校园网入侵防御系统的研究与设计

摘要:该文从加强校园网安全的重要性出发,提出在校园网中引入了入侵防御技术(IPS),最后设计了一个基于蜜罐技术的校园网入侵防御系统,并采用开源免费的snort_inline、Netfilter和Honeyd加以实现,对高校及中小企业建立主动防御网络安全体系有一定的参考价值。

关键词:网络安全;入侵防御;蜜罐技术

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)16-4381-02

Research and Design for Campus Network Intrusion Prevention System

ZHOU Feng-jie1,2

(1.School of Computer & Information, Hefei University of Technology, Hefei 233099,China; 2.Anhui Vocational college of Electronics & Information Technology, Bengbu 233000,China)

Abstract: In this paper, the importance of security campus network starting, and proposed the introduction of the campus network intrusion prevention technology (IPS), the final design A honeypot technology-based campus network intrusion prevention system, using open source free snort_inline, Netfilter and Honeyd be achieved, on the universities and SMEs in network security system of active defense has some reference value.

Key words: network security; IPS; honeypot

校园网已经成为高校的重要基础设施之一,是高校教学、科研、管理的重要手段和平台,校园网的网络安全问题日益突出。近年来,校园网安全事件屡屡发生,导致高校的重要信息的泄密、破坏,正常网络服务无法进行,更有甚者导致校园网瘫痪,造成无法估量的损失。校园网的安全隐患,给校园网的维护和管理带来严重挑战,成为校园网管理和维护中主要课题[1]。

IPS(入侵防御系统)被认为是防火墙之后的第二道安全闸门,它作为一种主动的网络安全防御技术,从网络安全立体、多层次防御的角度出发,对防范网络攻击提供了主动的实时保护,能够在网络系统遭到破坏之前拦截和响应[2-4]。本文通过校园网入侵防御系统的研究与设计,有助于校园网主动防御安全体系的构建,加强校园网安全保障。

1 校园网入侵防御系统模型设计

校园网入侵防御系统由防火墙、NIPS和蜜罐系统三级防御体系组成。防火墙部署在内网和外网之间,监控内、外网之间的访问流量,保障内网安全。NIPS部署在防火墙之后,检测网络流量,并对攻击进行主动防御。蜜罐作为独立系统部署,一方面蜜罐是防火墙很好的补充,它能够伪装成被攻击的主机和攻击者交互,捕获黑客的入侵活动并记录日志,利用这些日志信息可以制定出新的安全策略,更新检测规则和防火墙的策略,从而起到弥补误报、漏报缺陷和完善防火墙安全策略的作用。另一方面,蜜罐吸引攻击者对真实网络的注意力,让攻击者把时间都花费在对蜜罐的攻击上,保护了真实网络的安全,减小了防火墙和未能检测到的攻击对网络造成的损失,提高了加强网络防范的效率。可见由防火墙、NIPS和蜜罐系统三级防御体系构成的校园网安全防御系统大大降低了网络攻击所造成的损失。

校园网入侵防御系统的总体框架如图1所示。整个框架由防火墙系统、NIPS、蜜罐系统、日志管理系统和系统控制中心组成。从图中可以看到,防火墙、NIPS和蜜罐系统将各自的日志/报警信息交给日志管理系统;日志管理系统负责收集日志/报警信息并将信息交给系统控制中心处理。系统控制中心负责分析日志/报警信息,根据分析结果制定出新的安全策略并及时更新防火墙策略和NIPS的检测规则。另外,系统控制中心还负责集中控制防火墙、NIPS、蜜罐系统和日志管理系统的运行。

2 校园网入侵防御系统实现

网络安全是个复杂的问题,必须综合采用多种安全技术,并将其有机整合到一起构成统一的网络安全防御体系。当前在互联网上以开放源代码为代表的免费资源非常多,应加以采用。通过努力设计校园网的网络安全系统,不但充实了知识,还为学校节约了大量资金,并且更能适应校园网的具体要求,便于在今后的应用中维护与更新。

2.1 校园网NIPS的设计

校园网安全主要是针对校园中的学生黑客,学生黑客大多采用现成的技术和工具,相应的特征库很容易提取,所以本文采用了基于特征的人侵检测技术。采用基于特征的检测技术应用在校园网的主动防御体系中有以下两个明显的好处:一是可以准确快速根据特征检测出攻击;二是在校园网主动防御体系中加入了蜜罐系统,对于一些新的攻击技术和特征也可以通过蜜罐系统提取,添加到人侵检测系统的特征库中。校园网NIPS中的检测模块采用Snort-inline来实现。NIPS中的防火墙模块负责实现主动防御,该模块首先获取数据包,并根据入侵检测模块的检测结果采取相应防御措施,该模块由Linux的Netfilter防火墙实现。图2是Snort_inline与Netfilter的联动实现IPS的示意图。

2.2 蜜罐系统的设计

本文采用低交互的产品型蜜罐来实现蜜罐系统。Honeyd是Linux下的开源蜜罐,容易部署、风险较小并且不容易被入侵。蜜罐系统通过模拟操作系统、服务进程、协议、应用软件的漏洞、脆弱性来诱骗入侵者。它能在网络上创建并运行虚拟主机的后台程序。通过配置,虚拟主机可以运行任意连接和服务,并且能够提供真实的服务以致看起来就像是运行在真实的操作系统上。使入侵的受害者在实际系统的内容没有毁坏或暴露风险的情况下可以确定入侵者的意图、记录下入侵者的信息。

蜜罐主机以旁路的方式部署在防火墙和NIPS的后面。如图3为蜜罐系统与其他系统的交互图。网络遭受攻击时,蜜罐系统与其交互,收集并记录攻击日志,通过发送日志消息上报日志管理模块。日志管理模块收集蜜罐日志并将其上报系统控制中心。系统控制中心分析日志并制定新的安全策略,及时更新检测规则库和防火墙的安全策略,弥补误报、漏报的缺陷和防火墙的不足。

2.3 日志管理模块的设计

日志管理模块主要功能是通过日志/报警收集进程及时收集Snort_inline、Netfilter、Honeyd所产生的日志/报警信息,并通过日志发送进程将这些信息发送给日志服务器, 如图4所示,日志/报警信息采用MySQL数据库方式存储,日志服务器和其他各个模块交互采用客户机-服务器(C/S)模式。

2.4 系统控制中心模块的设计

系统控制中心是整个系统的核心,一方面负责分析日志/报警信息并制定相应的安全策略,及时更新防火墙和NIPS的策略;另一方面对防火墙、NIPS、蜜罐系统和日志管理系统进行统一调配和集中管理。系统控制中心的设计如图5所示。

可以看出,系统控制中心由系统控制进程和日志分析及策略制定进程组成。日志分析和策略制定进程负责向日志服务器发出请求并获得日志信息,分析日志信息并制定出新的安全策略,然后将新的安全策略交由系统控制进程响应。一方面系统控制进程向防火墙、NIPS和蜜罐系统发送控制消息进行集中控制;另一方面对防火墙和IPS的日志进行更新。系统控制中心的实现基于web服务器的访问,web服务器采用Linux上的Apache服务器实现,编程基于PHH编程和MySQL数据库的访问技术。

3 结束语

本文设计了基于蜜罐技术的校园网入侵防御系统,并采用开源免费的Snort_inline、Netfilter和Honeyd加以实现,对高校及中小企业建立主动防御网络安全体系有一定的参考价值。

参考文献:

[1] 刘刚.高校校园网安全问题解析[J].铜陵学院学报,2006,1:90-91.

[2] 尹传勇,刘寿强,蒋建勋.从IDS到IPS的主动防御体系研究[J].计算机安全,2003,9:22-24.

[3] 聂林等.入侵防御系统的研究与分析[J].计算机应用研究,2005,22(9):131-136.

[4] 张兴东,胡华平,况晓辉,等.防火墙与入侵捡测系统联动的研究与实现[J].计算机工程与科学,2004,26(4):22-26.