第22卷第4期 聊城大学学报(自然科学版) VoIJ 22 NO.4 2009年12月 Journal of Liaocheng University(Nat.Sci.) De 2009 入侵检测和防火墙结合的研究 赵俊雅 王金亮 (聊城大学计算机学院,山东聊城252059) 摘 要 针对防火墙无法防护内部网络用户的攻击以及不能预防新的网络安全问题的缺陷,本 文提出将入侵检测与防火墙相结合来提供一个更加安全的防护措施,从而达到既可以检测到内 部用户的并常行为,也可以检测出突破防火墙和系统后的非法入侵,并对其及时地进行处 理.入侵检测系统是近年来出现的一种网络安全技术,在网络安全领域中发挥着越来越大的作 用. 关键词入侵检测,防火墙,结舍,网络安全 中图分类号TP393。08 文献标识码A 文章编号1672—6634(2009)04—0090—03 0 引言 随着计算机网络的迅猛发展,网络技术日益成熟,使得网络应用的范围涉及到社会的方方面面.网络 已经成为现代人们工作和生活必不可少的一部分.但网络在带给人们极大便利的同时,难免会带来一个棘 手的问题就是网络安全问题,如信息泄密、数据篡改、计算机病毒等.网络安全问题日益重要,它已逐渐成 为网络社会一个潜在的巨大问题. 为实现网络安全、防范网络攻击,我们现在最常用的对策就是构建防火墙.防火墙是指在内部网和互 联网之间或者其他外部网之间插入一个中介系统,阻断来自外部的威胁和入侵.虽然防火墙是保护内部网 络免遭黑客袭击的有效手段,但是防火墙也有一些缺陷和不足,如防火墙不能防备新的网络安全问题,无 法解决安全后门问题,无法防护内部网络用户的攻击等等.所以仅仅使用防火墙技术来保障网络安全是远 远不够的,必须寻找新的解决方法来弥补防火墙的不足,提供一个更加安全的解决方案. 为了弥补防火墙不足,入侵检测技术应运而生.它主要检测来自网络内部的攻击,为网络提供实时 监控,并在发现初期采取相应的防护措施.防火墙技术与入侵检测技术结合在一起,就可以大大提高系统 的安全防护水平,从而可以实现网络安全立体纵深、多层次的防御. 入侵检测与防火墙的联动是现在网络安全研究中的一个热点啪. 1 防火墙 1.I防火墙概述 防火墙[2]是指设置在被保护网络与公共网络(如因特网)或其他网络之间,并位于被保护网络边界,对 进出被保护网络信息实施“通过/阻断/丢弃”控制的硬件、软件或系统. 简而言之,防火墙是保护可信网络,防止非可信网络人侵,提供网络安全服务,实现网络和信息安全的 基础设施之一.它是不同网络之间信息的唯一出人口,能根据企业的安全策略控制出入网络的信息流,尽 可能地对外部屏蔽网络内部的拓扑结构和运行状况,以此来实现网络的安全保护. 收稿日期;2009—06-12 通讯作者:赵俊雅,E-mail:j sj zhao@163.tom. 第4期 赵俊雅等:人侵检测和防火墙结合的研究 91 1.2防火墙分类 (1)包过滤防火墙.这类防火墙也叫IP级防火墙.它通常在路由软件中实现,在IP报文进行转发之 前根据报文的源地址、目的地址及服务类别(端口号)来过滤报文.使用这种类型的防火墙时,内部主机与 外部主机之间存在直接的IP报文交互,即使防火墙停止工作,也不影响其连通性. (2)应用级防火墙.这类防火墙通常是一台封堵了内外直接连接的双穴主机(dual-home-host,即具 备两个网络接口,同时拥有两个网络层地址),一般针对某一特定的应用,由用户端的代理客户(proxy cli— ent)和防火墙端代理服务器(proxy server)两部分组成. (3)链路级防火墙.链路级防火墙的工作原理、组成结构与应用级防火墙相似,但它并不针对专门的 应用协议,而是一种传输层的TCP(UDP)连接中继服务.连接的发起方不直接与响应方建立连接,而是 与链路级防火墙交互,由它再与响应方建立连接,并在此过程中完成用户鉴别,在随后的通信中维护数据 的安全(如进行数据加密)、控制通信的进展【3]. 1.3如何选择一个好的防火墙H 如何选择一个好的防火墙,是我们需要解决的问题.下面是几个选择的原则:(1)自身的安全性.防火 墙自身的安全性主要体现在如何设计和如何管理两个方面.(2)系统的稳定性.可以通过权威的测评认证 机构、实际调查、试用、厂商实力等多个方面加以判断.(3)是否能高效工作.一般来说,防火墙加载上百条 规则,其性能下降不应超过5 -10 (指包过滤防火墙).(4)是否可靠.有较高的生产标准和设计冗余度 能够提高可靠性.(5)是否具有灵活性并且功能强大.例如对普通用户,只要对IP地址进行过滤即可;如 果是内部有安全级别不同的子网,有时则必须允许高一级别子网能够对低一级别子网进行单向访问.(6) 是否配置方便.配置方便是衡量防火墙好坏的一个非常重要的方面.(7)是否可以抵抗拒绝服务攻击.在当 前的网络攻击中,拒绝服务攻击是使用频率最高的.(8)是否可以扩展、可以升级.好的升级性及扩展性能 起到良好的防护作用. 2 入侵检测 2.1入侵检测概述 人侵检测(Intrusion Detection,ID),顾名思义,是对入侵行为的检测.它通过收集和分析计算机网络 或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象. 进行人侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS).入侵检测作为 一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危 害之前进行拦截和响应入侵. 目前,人侵检测技术已经是网络安全中一项非常重要的技术,是继“防火墙”、“数据加密”等传统安全 保护措施之后的新一代安全保障技术.入侵检测技术作为一种积极主动的防御技术,在一定程度上能为 系统的安全提供有力的保护.入侵检测系统能很好的弥补防火墙的不足,从某种意义上可以说是防火墙 的补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和 响应),提高了信息安全基础结构的完整性. 2.2入侵检测技术分类 根据检测的方法可将入侵检测分为两大类型:误用人侵检测和异常入侵检测. 误用人侵检测又称为特征检测或滥用检测,其是利用已知攻击的方法,根据已定义的人侵模式确定是 否有人侵发生.该检测系统的优点是误报少,准确率高,处理速度快.因此,该技术是目前最有效、最流行的 检测方法.局限是它对未知的攻击为力,对具体的系统依赖性太强,并且对入侵特征库进行升级需耗 费大量精力和时间.基于误用的检测技术大致有专家系统、模式匹配与协议分析、基于键盘监控、模型误用 推理、状态转换分析、Petri网状态转换等方法[5]. 异常入侵检测是假定所有入侵检测行为都是与正常行为不同的.对“正常”行为特征轮廓的确定、更新 和特征量的选取是异常入侵检测技术的关键.异常入侵检测较少依赖特定操作系统环境,对于合法用户超 越其权限的违法行为的检测能力大大提高.但具有较高的虚警率,并且由于系统活动行为不断变化,需不 断地进行在线学习[6].基于数据挖掘、神经网络、支持向量机的异常入侵检测是近几年的研究热点[7]. 92 聊城大学学报(自然科学版) 第22卷 3 防火墙与入侵检测的联动 3.1未添加入侵检测技术的单纯防火墙 将入侵检测技术与防火墙技术结合使用,可以极大地提高网络的安全防御能力,然而没有添加入侵检 测技术的单纯防火墙往往存在以下的弱点:(1)防火墙无法阻止来自内部的攻击.防火墙保护的范围是网 络边界安全,对来自内部的攻击行为却是为力.根据目前有关调查资料可知,网络攻击事件中有半数 以上都是由内部人员所为.(2)防火墙对信息流的控制缺乏灵活性.防火墙自身无法根据情况的变化进行 自我调整.(3)攻击发生后,利用防火墙保存的信息难以调查和取证.防火墙由于自身的功能所,难以 识别在复杂网络中的攻击并保存一些有用的信息.(4)防火墙是一种静态的安全技术,需要人工来实施和 维护,不能主动跟踪入侵者,实时性不强. 3.2结合方法 防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分,防火墙与入侵检测系统协同防 御是现在协同防御体系中重要的一环,主要是因为这两种技术具有较强的互补性. 目前,实现入侵检测和防火墙之间的协同防御有两种方式[8]: 一种是紧密结合的方法,也就是把入侵检测系统内嵌到防火墙中,其数据不再来源于抓包的所得,而 是流经防火墙的数据流.所有通过的包不仅要接受防火墙检测规则的检验,还需要经过一步——入侵检 测,判断是否它具有攻击性,以达到真正的实时阻断,这实际上是把两个产品合成一体.但是,由于入侵检 测系统本身也是一个很庞大的系统,所以无论从实施难度、合成后的性能等方面都不是非常理想,因为系 统越复杂其自身的安全问题就越难以解决.所以,目前还没有厂商做到这一步,系统仍处于理论研究阶段. 但是不容否认,各个安全产品的紧密结合是一种新的发展趋势. 第二种方式是通过开放接口来实现协同防御,即防火墙或者入侵检测系统开放一个接口供对方调用, 按照一定的协议进行通讯、传输警报.防火墙与人侵检测系统结合模型,是在对防火墙系统和人侵检测系 统的功能和优缺点进行仔细的研究之后建立的一个模型,它可以实现二者功能上的互补. 3・3 联动在带来诸多好处的同时,时,本身也存在着一定的风本身也存在着一定的风I八堕仅悝硼示现} 菰 I圈阴必瑁I 险.所以,安全性是联动必须考虑的问题.有研究表明,这种 图1入侵检测与防火墙结合模型 整体的联动实际上也会给黑客提供拒绝服务攻击的机会,致 使IDS联动防火墙产生大量无用的规则,导致防火墙和IDS性能下降甚至拒绝服务. 4 结束语 安全是相对的,不安全才是绝对的.防火墙和IDS技术,只是网络安全环节中一个防御步骤.在网络 内进行防火墙与IDS的设置,并不能保证网络就是绝对安全了.但是设置得当的防火墙和IDS,至少会使 网络更为坚固一些,并且能提供更多的攻击信息来进行分析. 在网络安全的攻击与击中,攻击方法与防范方法都层出不穷,而且也是处于不断变化之中.防 火墙与入侵检测系统也处于日新月异的发展变化中,然而没有任何一种方法能保证网络是绝对安全的.世 界上没有绝对的事情.只有深入了解网络发展趋势,时刻紧跟时代步伐,才能发挥网络攻防的最大效力, 打好新时期的网络攻防战. 参 考 文 献 ’[13林昭文・王鲲鹏,马严.IPv6入侵检测系统性能优化的研究与实现[J].通信学报,2006,27(增刊),68 ̄71. [23戴宗坤.罗万伯,方勇,等.信息安全实用技术[M].重庆;重庆大学出版社,2005. [3]刘渊。乐红兵.因特网防火墙技术[M].北京;机械工业出版社,1998. [4]钱素娟.网络安全与防火墙技术[刀.河南水利与南水北调,2008.(7) 88. [5]卿斯汉・蒋建春,马恒太,等.人侵检测技术研究综述[J].通信学报。2004,25(7):19~29. [63 Verwoerd T,Hunt R.Intrusion Detection Techniques and ApproachesEJ].Computer oCmmunications,2002,25(15):1 356~I 365. [7]Cunningham R,Lippmann R.Improving intrusion detection performance using keyword selection detection performance using key2 word selection and neural networks[J].Computer Networks,2000,(34):597 ̄603. [8]闵锐,杨楚华.防火墙协同防御技术研究[刀.计算机安全,2008,(2):49~5O.
