网络安全入侵检测系统初探

论文题目：《网络安全入侵检测系统初探》

作品类别：论文

作者姓名：卢钦

职务：教师

职称：中学二级

单位：高州市第二中学

手机：134********

地址：广东省高州市第二中学

邮篇：525200

网络安全入侵检测系统初探

广东省高州市第二中学作者：卢钦

摘要：防火墙与入侵检测系统（IDS）各有优缺点，本文在对二者进行细致的比较后，着重提出了一种将IDS与防火墙结合互动使用的新理念，指出了目前校园网络安全屏障技术存在的问题，重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势，并对IDS与防火墙的接口设计进行了分析研究与实现。

关键词：防火墙，入侵检测，网络安全，校园网

导言

随着互联网的兴起，网络服务、媒体的多元化发展，对网络安全风险系数的要求不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，提高了信息安全基础结构的完整性。

一般来说，校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等，目前我校所应用的很多安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪入侵者。而入侵检测则属于动态安全技术，它能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为。

基于以上问题，本文进一步比较了入侵检测技术为代表的动态安全技术和以防火墙为代表的静态安全技术各自的区别和联系，经过探究它们的优缺点，提出了将动态技术与静态技术相结合的应用能够取长补短，弥补各自的缺点，并结合校园网的建设和管理，大胆地尝试在校园网络中应用IDS与原来的防火墙联动使用，大大提高系统的安全防护水平，取得了良好的效果。

一、防火墙的缺点和不足

（一）防火墙可以阻断攻击，但不能消灭攻击源

互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。

（二）防火墙不能抵抗最新的未设置策略的攻击漏洞

就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。

（三）防火墙的并发连接数限制容易导致拥塞或者溢出

由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。

（四）防火墙对待内部主动发起连接的攻击一般无法阻止

“外紧内松”是一般局域网络的特点。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。

二、IDS存在的问题

IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的

值又会产生大量的漏报。

IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。

三、防火墙与入侵检测在校园网中的应用

（一）防火墙与IDS的单独摆放时的位置

１．防火墙位置

防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查、防护等功能。因此，在网络拓扑上，防火墙应当处在网络的出口处和不同安全等级区域的结合点处。

２．入侵检测位置

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有来自高危网络区域的访问流量和需要进行统计、监视的网络报文都必须流经的链路上。IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；尽可能靠近受保护资源。这些位置通常是：

?服务器区域的交换机上；

?Internet接入路由器之后的第一台交换机上；

?重点保护网段的局域网交换机上。

（二）防火墙与IDS联合的重要意义

防火墙和IDS的功能特点和局限性决定了它们彼此非常需要对方，且不可能相互取代，原因在于防火墙侧重于控制，IDS侧重于主动发现入侵的信号。而且，它们本身所具有的强大功效仍没有充分发挥。例如，IDS检测到一种攻击行为，如不能及时有效地阻断或者过滤，这种攻击行为仍将对网络应用造成损害;没有IDS，一些攻击会利用防火墙合法的通道进入网络。因此，防火墙和IDS之间十分合适建立紧密的联动关系，以将两者的能力充分发挥出来，相互弥补不足，相互提供保护。从信息安全整体防御的角度出发，这种联动是十分必要的，极大地提高了网络安全体系的防护能力。

四、防火墙与IDS结合在校园网中的解决方案

（一）防火墙与IDS联动原理

入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。

防火墙只是一种基于策略的被动防御措施，是一种粗颗粒的防御手段，无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击。所以，单靠防火墙是无法实现良好的安全防护性能的。

IDS能够实时分析校园网外部及校园网内部的数据通讯信息，分辨入侵企图，在校园网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护校园网系统的安全。但是，单靠入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。

我们将二者结合起来互动运行，防火墙便可通过IDS及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系，可以大大提高整体防护性能，解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。

（二）系统整体模型

我们经过将基于异常的IDS和基于误用的IDS系统相比较之后，最后选择使用基于误用的入侵检测系统，不仅因为这种方法的误报警率低，而且对一些已知的常用的攻击行为特别有效。将IDS与防火墙结合在校园网中应用的整体模型如图1所示：

图１．防火墙与IDS 结合整体模型图

如图1，当有外来入侵者的时候，一部分入侵由于没有获得防火墙的信任，首先就被防火墙隔离在外，而另一部分骗过防火墙的攻击，或者干脆是内部攻击没经过防火墙的，再一次受到了入侵检测系统的盘查，受到怀疑的数据包经预处理模块分检后，送到相应的模块里去进一步检查，当对规则树进行扫描后，发现某些数据包与规则库中的某些攻击特征相符，立即切断这个IP 的访问请求，或者报警。

（三） 建立入侵特征库 1.明确“报头值”

报头值的结构比较简单，而且可以很清楚地识别出异常报头信息，因此，特征数据的首席候选人就是它。一个经典的例子是：明显违背RFC793中规定的TCP 标准、设置了SYN 和FIN 标记的TCP 数据包。这种数据包被许多入侵软件采用，向防火墙、路由器以及IDS 系统发起攻击。异常报头值的来源有以下几种： 因为大多数操作系统和应用软件都是在假定RFC 被严格遵守的情况下编写的，没有添加针对异常数据的错误处理程序，所以许多包含报头值的漏洞利用都会故意违反RFC 的标准定义，明目张胆地揭发被攻击对象的偷工减料行为。

许多包含错误代码的不完善软件也会产生违反RFC 定义的报头值数据。

并非所有的操作系统和应用程序都能全面拥护RFC 定义，至少会存在一个方面与RFC 不协调。 随着时间推移，执行新功能的协议可能不被包含于现有RFC 中。

由于以上几种情况，严格基于RFC 的IDS 特征数据就有可能产生漏报或误报效果。对此，RFC 也随着新出现的违反信息而不断进行着更新，我们也有必要定期地回顾或更新存在的特征数据定义。非法报头值是特征数据的一个非常基础的部分，合法但可疑的报头值也同等重要。例如，如果存在到端口31337或27374的可疑连接，就可报警说可能有特洛伊木马在活动；再附加上其他更详细地探测信息，就能够进一步地判断是真马还是假马。

２．入侵检测流程

单个数据报的检测流程详细的分析如下：首先对收集到的数据报进行解码，然后调用预处理函数对解码后的报文进行预处理，再利用规则树对数据报进行匹配。在规则树匹配的过程中，IDS 要从上到下依次对规则树进行判断，从链首、链表到规则头节点，一直到规则选项节点。

基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步：第一步是规则的解析流程，包括从规则文件中读取规则和在内存中组织规则；第二步是使用这些规则进行匹配的入侵流程。

（四）IDS 与防火墙的接口互动方式

IDS 与防火墙的接口目前实现入侵检测系统和防火墙之间的互动一般有两种方式：一种方式是实现紧密结合，把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于数据包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙的检测规则的验证，还要判断是否是有攻击，以达到真正的实时阻断。这样实际上是把两个产品合成到一起。但是由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度上，还是合成后的整体性能上，都会受很大的影响。第二种方式是通过开发接口来实现互动。即防火墙或者入侵检测系统

网 站 内

部

开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。

经过比较之后，将IDS与防火墙通过开放接口结合起来实现互动要比将两者紧密结合在一起要好，因为系统越复杂其自身的安全问题就难以解决。所以选择将防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。当防火墙和入侵检测系统互动时，所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口，并且互相正确配置对方IP 地址，防火墙以服务器(Server)的模式来运行，IDS以客户端(Client)的模式来运行。其互动原理图如图2所示。

图2 IDS互动原理图

具体步骤如下：

第一步，初始化通信连接时，一般由IDS向Fire-wall发起连接。

第二步，建立正常连接后，当IDS产生需要通知Firewall的安全事件时，通过发送约定格式的数据包，来完成向Firewall传递图2 所示IDS与防火墙结合必要的互动信息。其中主网站内部模式库匹配进入防火墙的入侵者外来入侵者被防火墙挡住的入侵防火墙报警网站外部预处理插件处理插件输出插件规则处理模块解码模块主控模块辅助模块日志模块使用/调用要的信息包括：源IP地址、目的IP地址、IDS的IP地址、实施阻断的时间、源端口、目的端口、通信协议、端阻断模式(阻断源、阻断目的、两者都阻断)、是否要求回应的标识、其他保留字段。

第三步：Firewall收到互动信息后，可以实施互动行为，并将结果(成功与否)以约定格式的数据包反馈给IDS。

五、校园网中防火墙与IDS联动实现测试

（一）防火墙包过滤实例

1. 建立规则

第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。

（二）IDS检测非授权行为

1. 判断非授权行为

匹配规则语法树，先根据报文的IP地址和端口号，在规则头链表中找到相对应的规则头，找到后再接着匹

配此规则头附带的规则选项链表。

（1）从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对，如果两组字节相同，则视为检测到一次攻击;如果两组字节不同，则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。

（2）接着比对过程重复进行，每次后移一个字节直到数据包的每个字节都比对完毕，最后将数据包与特征库中下一个攻击特征串进行匹配。

（3）重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结果为止，然后整体模型从网络中读取下一个数据包进行另一次检测。

2. 记录非授权入侵

以下是本校校园网的一段入侵检测记录：

以上入侵活动全部避过了防火墙的过滤，在入侵检测系统中被成功捕获，其中第1条记录是来自内部用户的未授权活动，第2、4条记录是来自校园网内用户的攻击记录，第3、6、7条记录是来互联网的攻击记录。

3. 入侵检测系统报警并实施阻隔

入侵检测系统检测到入侵活动后，及时对未授权行为进行阻隔，并更新入侵检测特征库。

六、结束语

将防火墙技术与入侵检测系统结合互动的使用，是将两个系统各自的功能展现在新的系统中，将入侵检测安全技术的实时、快速、自适应的特点成为防火墙技术的有效补充，将防火墙技术的包过滤、信任检查、访问控制成为入侵检测系统的有力保障，事实证明这样的组合比以前单一的技术都有了较大的提高，使网络的防御安全能力大大提高，使防御系统成为一道更加坚固的围墙。

不管是从理论上还是实际上，这样的组合都较以前单一的动态或者单一的静态技术都有了较大的提高，使网络的防御安全能力大大提高。二者结合使用可以很好的将对方的弱点淡化，而将自己的优点补充上去，使防御系统成为一个更加坚固的围墙。在未来的网络安全技术领域中，将动态技术与静态技术的互动使用，将有很大的发展市场和空间。

参考文献：

［1］罗进文, 王喆. 网络安全与解决方案. 人民邮电出版社. 2009(3): 37-43

［2］王宝生, 朱培栋. 网络安全原理与实践. 清华大学出版社. 2008(3): 33-35

［3］马春光, 郭方方. 防火墙、入侵检测与VPN. 北京邮电大学出版社2008(8) 87:113

［4］胡昌振. 网络入侵检测原理与技术。北京理工大学出版社. 2006(1): 28-59

［5］桂春梅,钟求喜. 基于UML的防火墙和入侵检测联动模型的研究. 计算机工程与科学, 2004 (11)：22-25