基于网络安全集成防御体系的端口检测的主机防护系统的设计与研究
摘要: 该文在分析网络安全需求的基础上,提出了一种网络安全集成防御体系结构,同时也提出了一种在此基础上的基于端口检测的主机防护系统模型,该模型的防护策略是通过入侵检测和防护控制中心,根据入侵检测的结果动态制定和改变的,因而具有较高的适应能力和防护能力。
关键词: 网络安全 入侵检测 端口检测
1
引言
随着互联网的发展,其上的信息呈指数级增长,使得计算机网络信息系统逐渐成为国民经济发展的支柱,与此同时网络信息安全也成为世界各国共同关注的焦点。实践证明,仅仅依靠防火墙、身份认证系统等被动防御安全措施,是不能完全保证网络和计算机系统安全的。入侵检测作为新兴的安全防御手段,具有实时主动的特点,同时也能检测内部攻击,并能对攻击做出及时反应,减少网络入侵带来的损失。因此,采用深层防卫结构,部署入侵检测系统,同时建立起计算机紧急事件响应机制,建立集成化的安全防卫系统,才是保证计算机网络系统安全的有效手段。
防火墙在访问控制等方面优势明显,但不能控制内部攻击,且不能对攻击做出反应或调整。入侵检测作为新兴的安全防御手段,具有实时主动的特点,同时也能检测内部攻击,并能对攻击做出及时反应,减少网络入侵带来的损失。
网络安全集成防御方案是全新的网络安全技术。它将被动防御和主动防御有机结合起来,取长补短,形成集成化、一体化的网络安全防御系统,能准确、实时、智能地对网络入侵做出反应,从而大大改善网络防御的效能。基于防火墙集群管理审计技术和入侵检测技术的网络安全集成防御技术的研究,在国内外未见报道。但其有效的防御手段,必将会成为一种新的发展方向。本文正是基于网络安全集成防御方案进行的一种基于端口检测的主机防护系统的设计与研究。
2
网络安全
集成防御系统的体系结构
2.1系统体系结构
图1 网络安全集成防御系统体系结构
2.2 基本原理
从上面系统体系结构图可以看到本项目研制的计算机安全防护系统由四部分组成:主控计算机、防火墙/入侵检测代理、防火墙、入侵检测传感器。
主控计算机负责系统整体的运行和协调,防火墙/入侵检测代理负责管理一个子系统中所有的防火墙和入侵监测传感器。
防火墙负责抵抗外部网络发起的对内部网络的攻击(网关防火墙),和抵抗对主机发起的攻击(主机防火墙),防火墙根据预先设定规则对到达网络报文进行扫描。
入侵检测传感器负责对外部或内部发起的攻击进行检测,并将新发现的攻击类型形成规则传递给入侵检测代理。
3.
网络安全集成防御系统关键技术说明
3.1开放的入侵检测系统
系统分为三层:监控器、检测配置器、检测引擎。检测引擎驻留在主机上,对所负责的任务进行实时检测,它可以是任何一种检测方法,比如专家系统、简单特征字匹配、神经网络等。检测引擎是自治的Agent,由它的上一层检测配置器指派,并和检测配置器通讯。配置器根据情况在检测引擎间协调,它负责一个管理域的全面安全。最上层是监控器,它在更大的工作域内完成大系统的安全检测。监控器负责所辖检测配置器集群的协调工作。
3.2 入侵检测子系统的构架
入侵检测子系统的构架如图所示:
图2入侵监测子系统的构架
4. 基于端口检测的主机防护系统的设计
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。当数据包抵达目的主机后,防火墙和网络监控已经无能为力了,此时基于主机的入侵检测就发挥作用了。本文介绍的系统简称为watchport,是一种入侵检测系统。
4.1 watchport的
系统结构
图3 基于主机的IDS(watchport)结构图
4.2 Watchport的概要设计框架
(1)总体框架的设计
本系统主要由以下几个程序模块组成,与入侵检测和防护总系统组成一个有机的整体。
① 端口检测程序模块
② 入侵处理模块
③ 远程控制及信息报告模块
(2)端口检测程序模块
端口检测程序模块是以主动方式检测主机系统的端口状态,并根据端口扫描的特点提取出端口状态的特征数学模型。从而,判断出恶意扫描攻击的网址,供入侵处理模块处理。
(3) 入侵处理模块
根据恶意扫描网址的状态,以及当前端口的性质和状态,判断出入侵的处理级别,对可疑网址进行实际的处理。
入侵处理模块主要是根据端口检测程序的需要提供了几种组合的入侵处理方式,分别描述如下:
① 不进行处理。(如对于像超级端口,或超级用户)
② 只进行log纪录。(对于已经被封的网址)
③ 对于需要封的网址又根据端口检测程序模块提出的要求分别作以下处理
a. KillRunCmd。运行外部命令,如iptables
b. KillHostsDeny。加入系统的hosts.deny配置文件,对xinet.d的服务进行保护。
c. KillRoute。改变系统路由信息。
同时对以上的情况都需要加入log。
(4) 远程控制和信息报告模块
远程控制和信息报告模块是watchport的Agent(代理),代理watchport和中控端完成检测和控制策略。
远程控制模块接受服务器控制系统对watchport的远程控制,实现对watcport的停止、启动、参数配置等功能。
信息报告模块对watchport产生的log日志文件进行扫描,并向服务器报告相应的日志信息。
4.3 watchport主控模块设计思想
(1) 对极危险端口进行阻塞监听,可以识别一些入侵行为,并采取相应措施,并可阻止一些后门程序的运行。
(2) 对危险端口进行隐藏式监听,将所有访问这些端口的一般用户认为入侵,将友好用户访问频率超过某一阈值也认为入侵,放过特定用户,并对入侵行为采取相应措施。
(3) 对未用端口进行隐藏式监听,将所有访问未用端口的一般用户认为入侵,将友好用户访问频率超过某一阈值也认为入侵,放过特定用户,并对入侵行为采取相应措施。
(4) 对服务端口进行隐藏式监听,将一般用户访问频率超过某一阈值认为入侵,放过友好用户与特定用户,并对入侵行为采取相应措施。
4.4 watchport主控模块算法及流程
在其中主要使用了原始套接字来抓包,它可以抓到数据链路层的数据,对每一个极危险端口绑定一个一般的TCP套接字和UDP套接字,而对其他类型的端口建立原始套接字来监听。
(1)对极危险端口,记录下访问主机,双方端口号等信息以待处理。
(2)对危险端口和未用端口,记录下访问主机,双方端口号,确认用户类型,以待处理。
(3)对特定用户不处理。
(4)对友好用户检查访问频率,未超过阈值,不进行处理。
(5)对服务端口,记录下访问主机,双方端口号,确认用户类型,对特定用户和友好用户不进行以下处理
(6)对一般用户检查访问频率,未超过阈值,不进行以下处理;否则待处理。
(7)对入侵行为进行相应的处理措施。
4.5 watchport Agent的设计
这里使用的Agent是C/S模式,在远程控制程序中,它相当于Server端,而中控端相当于
4.5.1远程控制模块
远程控制端在收到中央控制端的连接请求,经RSA认证通过后,接收服务器控制命令。对命令进行解析,完成对watchport的停止、启动及参数配置的功能。在进行启动watchport之前,首先要先停止正在系统中运行的watchport主进程;在完成参数配置后,重新启动。watchport以使参数生效。
4.5.2信息报告模块
信息报告程序定期对log日志文件进行扫描比较后,若有新的日志记录,则读取出新的日志记录,将其发送至中央控制端。
Watchport对指定端口进行监视扫描,记录相应的日志信息。信息报告程序定期对log日志文件进行扫描比较后,若有新的日志记录,则读取出新的日志记录,将其发送至中央控制端。在对log文件扫描的策略问题上,为了避免反复对文件进行打开、读取和关闭操作,我采用的方法是:首选对log文件的修改时间进行判断,如果和上次的读取时间不一致,则说明log文件发生了变化,即有新的记录添加进来,于是,在这种情况下才打开文件进行读取操作,这样也就提高了运行效率。
5
结论
本文介绍了在linux操作系统上,构建的基于主机端口检测的主机防护watchport
的概要设计方案,它的防护策略是通过入侵检测和防护控制中心,根据入侵检测的结果动态制定和改变的,因而具有较高的适应能力和防护能力。现在只是实现了主机防护的基于端口检测的主机防护功能,以后还应该与主机的文件系统检测,内核入侵检测,日志检测等有机结合起来,更有效地检测主机系统状态,更有效地实现主机防护。
基金项目:国家科技型中小企业技术创新基金项目(项目编号:
03C
26215100249)
参考文献
[1] Terry Escamilla. Intrusion Detection Prentice Hall International.北京:清华大学出版社,1998.4
[2] N R Jennings. controlling cooperative problem solving in industrial multi-agent systems using joint intertions[J]. Artificial Intelligence ,1995;
75(2): 195~240
[3] Vigna G, Kemmerer R. NetSTAT. A Network-based Intrusion Detection System[J].
Journal of Computer Security,1999; 7(1);37~71
[4] Winn Schwartau. surviving Denial of Service. Computer & Security;1999;
18(2):124
[5] 蒋建春,马恒太等.网络安全入侵检测研究综述.软件学报,
2000;11(11):1460
[6] W.Richard Stevens. UNIX网络编程 卷1:套接口 API和X/Open 传输接口API.
清华大学出版社,1999.4