防火墙与入侵检测系统的联动研究

摘要：随着因特网的迅猛发展、网络规模的扩大和网络攻击方法的复杂，安全需求与日俱增。分析介绍了入侵检测系统和防火墙的基础上，设计一种入侵检测系统和防火墙联动的模式，从网络安全整体性和动态性的需求考虑，实现了对突发网络攻击的主动防御。

关键词：网络攻击；防火墙；入侵检测；入侵检查系统；联动；

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)30-0571-02

Firewall and Invasion Examination System Linkage Research

ZHAO Hao-jie, ZHANG Shan-liang

(Anyang Engineering Institute Computer Science and the Information Engineering Department, Anyang 455000, China)

Abstract: Along with Internet's swift and violent development, the network scale expansion and network method of attack complex, the security requirements grow day by day.The analysis introduced the invasion examination system and in the firewall foundation, designs one kind of invasion examination system and the firewall linkage pattern, and the dynamic demand considered from the network security integrity, realized to has arisen suddenly the network attack the active defense.

Key words: network attack; firewall; invasion examination; invasion inspection system; linkage

随着网络技术的不断发展，网络系统的安全成了人们关注的主要问题。如何确保网络系统免遭破坏，保证信息的安全，成为人们无法回避的课题。为此防火墙等多种网络安全技术被广泛应用到各个网络系统中，在抵御网络攻

击，保护网络安全中发挥了重要作用。

1 防火墙

防火墙是一种被动的访问控制技术，一般被安置于Internet与被保护子网之间。防火墙可分为包过滤型防火墙和应用型防火墙以及屏蔽主机型防火墙三种，它需要事先设计好规则才能对传输的数据包进行检查从而保护子网不受攻击。在网络中单独使用防火墙存在着不能防范内部攻击等许多潜在的问题，同时，由于入侵技术不断发展使得全面配置防火墙规则变得更加困难。

2 入侵检测系统

入侵检测系统，简称IDS(Intrusion Detection System)，是一种能够主动保护自己不受攻击新型网络安全技术，它通过对网络和系统记录的日志文件的分析来发现非法的入侵行为以及合法用户的滥用行为。按照收集的信息源IDS可分为基于主机的IDS(Host-based IDS)和基于网络的IDS(Network-based IDS，简称NIDS)。HIDS主要根据系统的审计记录(Audit log)、用户的位置和行为(命令)、CPU和I/O及内存的使用情况、文件系统的变化等因素来进行检测；NIDS主要收集并分析计算机网络中传输的数据包，是目前入侵检测系统研究的主流。因此，当攻击者向网络发送大量数据包时，NIDS易受拒绝服务(DoS)攻击，同时NIDS本身也暴露在Internet的大量攻击范围内，需要一个安全的运行环境。

无论是系统IDS或网络IDS，根据检测入侵的方法又可以分为以下两种方式：异常检测(Anomaly Detection)和滥用检测(Misuse Detection)。异常检测一般采用基于统计的方法，通过比较正常情况下系统或网络的状态来判断安全性；滥用检测一般采用基于规则的推理方法，需事先根据已知的入侵模式和系统的漏洞建立入侵的知识库，因此往往需要来自专家的知识，且知识库的建立也需要较长的时间，其优点在于检测的准确率较高，异常检测不需要事先建立知识库，但是也需要通过人工的或基于机器学习的方法来建立网络的正常状态，而且检测的准确率不会太高，其优点在于可以预测和检测出未知的入侵。

3 防火墙与入侵检测系统的联动

单独采用防火墙和网络入侵检测系统都不能很好地解决网络安全问题。如果把二者结合起来，则可以更大限度地实现网络安全。联动即通过一种组合的方式，将不同的技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能。入侵检测系统（IDS）能够帮助网络系统快速发现网络攻击的发生。通过入侵检测系统与防火墙联动可以达到网络的安全性与性能的最佳平衡，同时通过添加防火墙动态规则，能有效对攻击行为予以阻断，实现了防御的实时性和时效性。

联动模型如图1所示，在防火墙和入侵检测系统联动模型的安全体系中，以入侵检测为核心构成网络安全系统，网络的安全通过安全策略来体现，制定安全策略的依据是用户的需求和来自入侵检测系统的输出。事件发生器将来自防火墙的IP包进行简单分析、筛选后，转换成有用事件信息传送给入侵检测模块，以达到减少数据(Data Reduction)的目的。入侵检测模块一旦检测到入侵,它可以自动通过改变安全策略来改变防火墙的行为，做出快速反应；同时也可将检测结果先报告给系统管理员，由系统管理员参考并手工做出安全策略调整。

4 联动模型的构建

4.1 编写基于误用的入侵检测系统特征库

基于误用的入侵检测系统的误报警率低，而且对一些己知的常用的攻击行为特别有效。为了使该入侵检测系统实现我们所期望的功能，就必须将一些规则编写至特征库中。通常规则划分为两个逻辑部分：规则头和规则选项。规则头包含了规则动作、协议、IP源地址和目的地址、子网掩码以及源端口和目标端口值等信息。而规则选项则包含警报信息以及用于确定是否触发规则响应动作而需检查的数据包区域位置信息。在编写特征库前必须先仔细分析所要保护的网络经常或可能遭受的攻击。

4.2 防火墙与入侵检测系统的接口

经过比较，我们认为将入侵检测系统与防火墙通过开放接口来实现互动的方法要比紧密结合方法要好，因为系统越复杂，其自身的安全问题就越难以解决。所以我们通过VC++语言来实现防火墙与入侵检测系统之间的接口。具体步骤如下：

1) 初始化通信连接时，一般由入侵检测系统向防火墙发起连接；

2) 建立正常连接后，当入侵检测系统产生需要通知防火墙的安全事件时，可以通过发送约定格式的数据包，来传递必要的互动信息；

3) 防火墙收到互动信息后，可以实施互动行为，并将结果(成功与否)以约定格式的数据包反馈给入侵检测系统。

防火墙端建立通信服务的代码如下；

Init openSSL();//初始化通讯环境

CreateServer(char * ip, char * port);//建立服务(其中ip为防火墙的ip地址,端口为通讯的端口)

SetRevCallbacd(void * ApRecvFunc);//设立接收的回调函数,处理接收数据

SetAcceptClallback(void * ApacceptFunc);//设立接收的回调函数

RunServer();//运行服务

Send(char * ApBuf, int AnBuflen);//向IDS发送反馈信息

StopServer();//停止服务

通信数据包结构代码如下：

Typedef struct Packet

{Unsigned char srcip[16];//源ip地址

Unsigned char dstip[16];//目的ip地址

Unsigned char sensorip[16];//IDS引擎ip地址

Unsinged int duration;//阻断时间

Unsinged int srcport;//源端口

Unsinged int dstport;//目的端口

Unsinged int protocol;//协议

Unsinged int mode;//阻断模式

Unsinged int version;//版本号

Unsinged int echo;//回应标识

Unsinged int reserver;//保留字段

}Packet;

5 结束语

入侵检测系统（IDS）已经走过了多年的发展历程，成为了继防火墙之后的又一个主要的安全系统组成。通过防火墙与入侵检测系统联动模型，防火墙就可以通过入侵检测系统及时地发现其策略之外的攻击行为，入侵检测系统也可以通过防火墙对来自外部网络的攻击行为进行阻断。入侵检测系统与防火墙地有效联动构成了较为有效的安全防护体系，可以大大提高整体防护性能，解决了传统信息安全技术的弊端和原先防火墙的粗颗粒防御与检测系统只发现，难响应的问题。但是，这种思想还仅仅是取得了一些进展，要将它进一步发展下去，还要经过不懈的努力。

参考文献：

[1] 薛立.防火墙和入侵检测系统在企业信息网络中的应用[J].中原工学院学报,2003,14(3):67-69.

[2] 谢洁锐,刘财兴,肖德琴,等.具有入侵检测功能的防火墙设计[J].计算机应用研究,2004,(7):91-92.

[3] 唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.

[4] 韩鸿哲,等.内置入侵检测功能的防火墙设计[J].计算机工程与应用,2003,39(25):151-152.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文