基于IPv6的動(dòng)態(tài)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)
2.4 部署分布式NIDS
在整個(gè)網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng),要在需要檢測(cè)的主機(jī)上配置入侵檢測(cè)系統(tǒng)檢測(cè)器。檢測(cè)器可以放于防火墻之外,也可以放在防火墻之內(nèi)。
怎么放置檢測(cè)卡,要看我們的側(cè)重點(diǎn)在哪里。如果放在防火墻之外,可以清楚掌握站點(diǎn)和防火墻的非法攻擊;放在防火墻之內(nèi),可以通過設(shè)置良好的防火墻,使得檢測(cè)器不用將大部分的注意力分散在這類攻擊上。當(dāng)放在防火墻內(nèi)部會(huì)比外部脆弱一些。
如果有需要,我們可以將檢測(cè)器同時(shí)放置在防火墻的內(nèi)部和外部。
3 基于IPv6的NIDS模塊設(shè)計(jì)與實(shí)現(xiàn)
基于IPv6的入侵檢測(cè)系統(tǒng)從邏輯上可分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分,符合CIDF的規(guī)范。系統(tǒng)由數(shù)據(jù)包捕獲模塊、協(xié)議解析模塊、規(guī)則處理模塊、分析檢測(cè)模塊、存儲(chǔ)模塊和響應(yīng)模塊六個(gè)模塊組成,體系結(jié)構(gòu)框架如圖4所示。本文引用地址:http://m.butianyuan.cn/article/155292.htm
(1)數(shù)據(jù)包捕獲模塊。數(shù)據(jù)包捕獲是入侵檢測(cè)的基礎(chǔ),數(shù)據(jù)捕獲的準(zhǔn)確性、可靠性和效率決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。它的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。我們的設(shè)計(jì)是采用在Linux操作系統(tǒng)中使用系統(tǒng)底層調(diào)用來實(shí)現(xiàn)數(shù)據(jù)包的捕獲。我們?yōu)榱颂岣邤?shù)據(jù)包的捕獲性能,系統(tǒng)中采用的是在Linux下非常流行的BPF捕獲機(jī)制。它的優(yōu)點(diǎn)是不需要再用底層的調(diào)用來編寫代碼,封裝了底層調(diào)用并作了優(yōu)化處理。
(2)協(xié)議解析模塊。協(xié)議解析模塊是入侵檢測(cè)系統(tǒng)的基礎(chǔ),它對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析,檢測(cè)出每個(gè)數(shù)據(jù)包的類型和特征。此模塊的設(shè)計(jì)功能是否齊全和合理,會(huì)直接影響到入侵檢測(cè)系統(tǒng)的性能。
(3)規(guī)則處理模塊。規(guī)則庫是一個(gè)入侵檢測(cè)系統(tǒng)的知識(shí)庫,它的成功與否會(huì)直接決定入侵檢測(cè)系統(tǒng)的綜合性能,當(dāng)入侵檢測(cè)庫越豐富的時(shí)候,系統(tǒng)能檢測(cè)到的入侵行為就會(huì)越多,系統(tǒng)才會(huì)更安全。
(4)分析檢測(cè)模塊。分析檢測(cè)模塊完成的是一個(gè)匹配性工作。協(xié)議解析模塊對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析,規(guī)則處理模塊建立了入侵規(guī)則庫,而入侵檢測(cè)模塊需要做的就是完成對(duì)這兩部分的匹配工作。當(dāng)匹配成功,就說明有入侵行為發(fā)生。此外,該模塊除了使用入侵規(guī)則庫來檢測(cè)入侵之外,還有異常檢測(cè)功能,比方說對(duì)掃描入侵行為的檢測(cè)就使用了異常檢測(cè)技術(shù)。我們采用的是基于協(xié)議分析匹配技術(shù)。
(5)存儲(chǔ)模塊。存儲(chǔ)模塊的主要功能是存儲(chǔ)網(wǎng)絡(luò)相關(guān)信息,健全日志,以方便事后分析和處理。例如分析IP協(xié)議的分布情況,分析某個(gè)IP的活動(dòng)情況,等等。我們采用的是使用MySQL數(shù)據(jù)庫存儲(chǔ)的。
(6)響應(yīng)模塊。當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵時(shí),會(huì)通過響應(yīng)模塊來處理相關(guān)的事務(wù)。響應(yīng)模塊可以采取各種措施對(duì)檢測(cè)引擎檢測(cè)到的入侵行為進(jìn)行相應(yīng)的響應(yīng),常見的有傳送消息給防火墻、截?cái)嗤獠咳肭中袨榈龋部梢灾幌?a class="contentlabel" href="http://m.butianyuan.cn/news/listbylabel/label/網(wǎng)絡(luò)">網(wǎng)絡(luò)管理員進(jìn)行報(bào)警,由網(wǎng)絡(luò)管理員根據(jù)入侵情況再?zèng)Q定采取相應(yīng)的防御措施。
4 結(jié)論
目前采用的網(wǎng)絡(luò)安全防御體系由于自身存在著缺陷和不足,使得網(wǎng)絡(luò)安全問題一直困擾著我們的工作。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過改變以往的被動(dòng)防御方式,能夠主動(dòng)地跟蹤入侵行為,并及時(shí)做出相應(yīng)的響應(yīng)。使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為了防火墻之后最有力的安全防線。正是這些優(yōu)點(diǎn)使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為了當(dāng)前網(wǎng)絡(luò)安全方面研究的熱點(diǎn)。同時(shí)隨著IPv6的應(yīng)用和普及,原有的網(wǎng)絡(luò)將面臨全新的挑戰(zhàn),當(dāng)然也包括對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)。本文提出的就是在IPv6協(xié)議下構(gòu)建全新的網(wǎng)絡(luò)入侵檢測(cè)防御體系。
評(píng)論