摘 要:入侵防御系统是最近发展的全新安全防范工具,也是积极、主动的入侵防范系统,在入侵防御系统检测到攻击企图之后,就能够自动丢弃攻击包,以此使信息系统受到实时的保护。但是目前内嵌式入侵防御系统的检测算法并不完善,从而提高了检测入侵漏报率及误报率。并且,单一检测机制无法实现空间及时间分散攻击的有效检测,从而提高了全新拒绝服务及瓶颈问题的出现机率。因此,本文就全面分析联动式网络安全系统防御体系,从而有效弥补传统入侵防御系统的不足。
关键词:联动式;网络安全系统;防御体系
中图分类号:TP393.08 文献标识码:A 文章编号:2096-4706(2018)12-0174-03
Design and Analysis of Defense System for Linked Network Security System
TENG Cui,LIANG Chuan
(School of Information Engineering,Baise University,Baise 533000,China)
Abstract:Intrusion prevention system (IDS) is a new security prevention tool developed recently. It is also an active intrusion prevention system. After the IDS detects the attack attempt,it can automatically discard the attack packet,so that the information system is protected in real time. However,the detection algorithm of embedded intrusion prevention system is not perfect at present,which improves the detection rate of missing report and 1. Moreover,a single detection mechanism can not detect spatially and disperse attacks effectively,thus increasing the probability of new denial of service and bottleneck problems. Therefore,this paper makes a comprehensive analysis of the defense system of the linkage network security system,so as to effectively solve the shortcomings of the traditional intrusion prevention system.
Keywords:linkage;network security system;defense system
0 引 言
防火墙技术的主要研究方向就是硬件防护墙,目前的硬件防火墙指的就是使防火墙功能能够基于硬件平台实现,从而降低CPU负担,提高路由器稳定性。其一般都是网络和被保护主机中的专用网络设备,在连接内网和外网网管处设置。但是此网络安全防护系统产品及研究的实现功能较为单一,防火墙及入侵检测技术融合都是简单添加入侵检测模块,在检查入侵行为之后,只能够利用非法IP拦截进行反应,无法满足网络安全的需求。所以,本文就提出了联动式网络安全系统防御体系的设计。
1 联动式网络安全系统防御体系的设计
在现代网络环境越来越复杂,并且全新攻击方法不断出现之后,单一功能安全产品已经无法满足客户需求,多种技术的相互结合及集中管理也成为了网络安全的主要发展方向。通过以上描述可以看出来,不同安全解决方案的优缺点各有不同,结合入侵检测及防火墙技术,就会出现现代化入侵防御安全解决方案,但是此种方法具有诸多不足,入侵防御系统还是使用传统入侵检测技术对攻击行为进行检测,无法解决漏报和误报的问题[1]。那么,本文就融合入侵检测技术、防火墙技术、漏洞扫描技术的优势展开探讨,从而能够有效降低漏报及误报出现的频率,实现网络安全解决对策的完善。
1.1 系统的模型及构成
图1为联动式网络安全系统防御体系的结构模型,图2为系统的构成,通过图2可以看出来,其中的防护系统主要包括终端主机和联动控制台,终端主机系统主要包括审计集中系统、病毒检测系统、防火墙、入侵检测系统。
1.2 终端主机子系统
本文所研究的主机防火墙中主要包括网卡接口、策略执行器、IP包截取、IP安全模块、IP包过滤模块[2],详见图3。
其中策略执行器要和控制台能够相互通信,从而在端点主机中开辟特点端口,将其作为a,控制台和端点主机a端口相互连接,将自身密钥进行发送,端点在确定对方身份之后才能够与其通讯,要不然就会关闭端点连接,端点对控制台发送连接请求。其中网卡接口模块的主要目的就是实现数据的传输和通信;IP包截取模块的主要作用就是利用网卡接口模块实现数据包的获取;IP包过滤模块的主要作用就是提供网络层安全访问控制,首先通过网卡中实现数据包的截取,之后使过滤模块进行处理,根据相关的访问控制规则实现数据包匹配,满足规则转发,不满足丢弃;其中IP安全模块主要是针对内网主机载波侦听多路访问及冲突检测机制和TCP/IP协议不安全的因素,在本文设计过程中添加IP模块的主要目的就是能够实现报文加解密及完整性的校验,以此能够通过内部网络实现私有数据的传输,有效保障IP数据的安全性。
1.3 高速入侵检测系统
入侵检测系统模块主要包括事件发生器、事件分析器、响应单元和事件数据库。其中事件发生器主要组成部分就是获得事件模块,其主要目的就是获得网络数据包,从而为其他模块提供时间;事件分析器的主要目的就是对事件进行全面分析,以已知集合为基础进行结果分析;响应单元的主要作用就是实现对分析器结果的分析,实现对系统操作的设置,比如阻断和告警;事件数据库的主要作用就是对事件过程及结果进行存储。图4为入侵检测系统模型。
以不同应用场景和日志数据事件、网络数据包创建系统检测基础,入侵检测系统技术的主要内容就是行为特征表,其中具有全部基本的行为变量,此特征变量能够以具体统计方法为基础,此行为模式和记录相互匹配更新数据域,假如行为特征出现异常的变化,统计变量值也会出现异常,那么就要以记录为基础使用针对性的防御措施。规则模块主要包括系统安全策略及攻击模式,其不仅能够实现系统判断,还能够以事件记录和异常记录为基础实现模块状态的更新,这种更新的过程因为方式及规则的不同而各异。简单来说,行为特征模块都是以行为检测为基础,但是规则模块都是以知识检测为基础。
1.4 通信协议
通信协议指的就是避免对防御机制运行细节进行描述,从而实现信息归纳,实现防御机制的兼容和需要信息的交换需求。简单来说,通信协议设计过程中包括了大量对于安全事件描述的方式,在实际使用过程中能够从其中将共性进行抽象,此共性内容能够有效满足大部分防御机制信息需求,那么通过共性创建的协议就是合适的通讯协议。目前在联动防御安全防御机制的相互沟通管理方面存在大量的问题,因为IDXP、IDMEF、OPSEC协议都无法满足本文所设计需求,那么本文就使用NAP协议进行制定,其内容包括MAC地质、数据链路层源MAC及以太网帧类型,其主要的作用就是控制以太网帧,在以太网帧的类型属于IP协议的时候,其主要包括源IP地质、IP协议号及目的IP地址,若IP协议号属于TCP或者UDP,其控制的范围则属于目标的连接范围。本文通信协议以Clinent方式实现,通过TCP协议实现通信,服务器端实现端口开放,在客户端和服务端实现连接之后,客户端就会对服务端进行报文信息的发送,并且一条连接能够实现多个报文信息的发送,直到此连接关闭。在客户端对服务端发送报文信息的时候,不需要服务端回答。服务端在接收错误解码报文的时候就会将连接断开,而且在一段时间内没有接收到全新报文的时候就会将连接断开。在服务端和客户端创建TCP连接时,客户端就会对服务端实现报文信息的发送,报告客户端应用程序出现危险信息。图5为NAP的报文格式,NAP报文主要包括两部分,分别为报文头部和报文正文,头部为IAP协议格式,正文的主要目的就是实现传输协议及目标连接信息的传输,此部分通过XML格式实现描述。并且相关协议表示,要实现报文正文的认证及加密,以此对数据在网络传输过程中完整性及安全性进行保护。
1.5 策略决策系统
因为入侵检测系统自身存在重复报警及误报警的问题,所以联动模块无法直接处理入侵检测系统的告警,如果其中的告警信息都具有一定的防火墙规则的性质,那么就会扩大防火墙规则的内容,此种冗余较多的防火墙规则就会降低防火墙检测速度,系统只有通过对入侵检测系统的上报告警进行分类及分析,从中提炼有效信息,才能够实现后续的处理,以此来有效缓解系统压力。利用处理信息就能够提取攻击信息名称、协议层次、IP地址、攻击时间等,通过此种信息能够全面分析告警事件,从而对此事件是否为重复告警进行有效判断,从而得到告警事件等级,最后使用相应措施进行处理。
2 结 论
随着现代网络的广泛使用,网络安全问题也备受人们关注,现代入侵检测系统、防火墙等都已经成为网络安全领域中的主要产品,但是因为其自身具有多种不足,所以无法实现对网络的全面保护,因此就要需要全新的防御体系对其问题进行有效解决。本文以此为背景设计了联动式网络安全系统防御体系,入侵防御系体系属于积极主动地阻止入侵防御系统,其在网络进出口进行部署,在发现具有攻击企图之后就会自动将攻击包丢掉,使用全新的措施对攻击源进行阻断。本文所设计的入侵防御体系能够在一定程度上弥补入侵检测系统及防火墙中的不足,从而实现内部网络进行主动地防御,以此有效提高网络安全性。
参考文献:
[1] 李卫,孙少华,孙晓东.企业网络安全防护系统设计与实现 [J].电子设计工程,2017,25(13):9-12.
[2] 张娜.成套仪表通信网络的安全防护系统设计方法研究 [J].信息系统工程,2017(5):61.
作者简介:滕翠(1979.01-),女,汉族,广西百色人,工学硕士,高级实验师。研究方向:网络安全;梁川(1979.09-),男,壮族,广西百色人,工学硕士,讲师。研究方向:信息安全、数据挖掘。
