防火墙与入侵检测技术的联动

山西xxxxxxxx学院

毕 业 论 文（设计）

防火墙与入侵检测技术的联动

———————————————————

论文指导教师姓名：

（职称）

所在系及专业名称： 计算机系计算机网络技术

班级：

论文提交日期： 2011年

月

日 论文答辩日期：

年

月

日

答辩委员会主席：_____________

评 阅 人：_____________

20 年 月 日

山西财贸职业技术学院毕业论文

论文题目：防火墙与入侵检测技术的联动 专 业：计算机网络技术

毕 业 生： 签名： 指导教师： 签名：

摘 要

网络的迅猛发展在给人们带来巨大的便利的同时，也给人们带来了众多的烦恼。防火墙与入侵检测的联动，使安全防御体系由静态防御升级为动态防御,提高了网络的整体防御能力，体现了网络安全的整体性和动态性，具有重要的研究意义和实用价值。

本文在深入研究和分析现有联动模型的基础上，结合它们的优点，并考虑联动系统的可实现性、易用性和可扩展性，设计并实现了NSS （Netfilter-Snort-Stunnel）防火墙与入侵检测联动模型。

本文首先介绍了课题研究的背景，并对目前代表性的联动技术进行了研究。接着根据联动系统的功能组成，分别分析了防火墙技术、入侵检测技术和联动技术，为 NSS 防火墙与入侵检测联动模型的设计与实现打下了坚实的理论基础。

其次，本文从功能角度详细描述了 NSS 联动模型各模块的详细设计包括各主要模块的设计思想、体系结构和具体软件配置等。

关键词：防火墙，入侵检测，联动，分析，动态规则，SSL

2

目

录

1 绪论 ..............................................................................................................................................4

1.1 研究背景 .......................................................................................................................4

1.1.1 网络安全现状 ...................................................................................................4 1.1.2 本文研究内容及结构安排 ...............................................................................5

2 防火墙与入侵检测联动技术分析 .........................................................................................6

2.1

防火墙技术分析 ............................................................................................................6

2.1.1 防火墙简介 .....................................................................................................6 2.1.2 防火墙关键技术 .............................................................................................6 2.1.3 防火墙发展趋势 .............................................................................................7 2.2 入侵检测技术分析 .......................................................................................................7

2.2.1 入侵检测系统 .................................................................................................7 2.2.2 入侵检测分析手段 .........................................................................................8 2.2.3 入侵检测系统分类 .........................................................................................8

3 NSS联动技术的设计与实施分析 ............................................................................................10 3.1 联动产生的背景 .......................................................................................................10 3.2 联动模型的设计目标和设计思想 ...........................................................................10 3.2.1 NSS 联动模型的设计目标 ...........................................................................10 3.2.2 NSS 联动模型的设计思想 .............................................................................11 3.3 NSS 联动模型的基本设计 .........................................................................................11 3.4 NSS 联动模型各模块的具体设计 .............................................................................12 3.4.1 入侵检测系统模块 .........................................................................................12 3.4.2 防火墙模块 ...................................................................................................13 3.4.3 联动模块 .........................................................................................................14 3.4.4 管理控制模块 .................................................................................................15 4 总结与展望 .............................................................................................................................16

山西财贸职业技术学院毕业论文

1 绪论

1.1 研究背景

1.1.1 网络安全现状

通信技术和计算机技术的迅猛发展，给 IT 及相关行业注入了新的生机和活力,给社会生产、生活方式带来了革命性的影响。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到 Internet 上，以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展强大动力，其地位越来越重要，已经成为国家的经济基础和命脉。但是伴随着网络的发展，网络安全的问题也越来越严重，网络入侵及安全事件更是频繁发生。

网络面临的主要威胁主要来自下面几方面: 1.黑客的攻击

黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有 20 多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，"杀伤力"强，是网络安全的主要威胁。

2.管理的欠缺

4

网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA 的调查显示，美国90%的IT企业对黑客攻击准备不足。目前，美国75%－85%的网站都抵挡不住黑客的攻击，约有75%的企业网上信息失窃，其中 25%的企业损失在25万美元以上。

3.网络的缺陷

因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的

TCP/IP 协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会 因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。

4.软件的漏洞或"后门" 随着软件系统规模的不断增大，系统中的安全漏洞或"后门"也不可避免的存

在，比如我们常用的操作系统，无论是 Windows 还是 UNIX 几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉病毒大都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。

5.网络内部攻击

防火墙安全策略的设置的一个基本假设是，网络的一边即外部的人是不可信的，另一边即内部是可信的，但在实际网络中，据统计70%的攻击和越权访问来自与内部，内部人员的不当操作和恶意行为已经成为网络安全的主要威胁之一。

1.1.2 本文研究内容及结构安排

第一章：绪论。

首先介绍了本文的研究背景和内容现状，概述了网络安全的现状。最后介绍了本文的研究内容和结构安排。

第二章：联动技术及理论分析。

本章首先对防火墙和入侵检测进行了基本的阐述，然后分析研究了当前防火墙与入侵检测技术及发展趋势其理论模型，为 NSS（Netfilter-Snort-Stunnel）联动模型设计和实施打下了坚实的理论基础。

第三章：NSS 联动模型的设计与实施分析。

山西财贸职业技术学院毕业论文

本章在第二章对防火墙与入侵检测联动方式的研究分析基础上，结合现有联动模型的优点，着重对防火墙与入侵检测之间的整合方式进行了探讨，设计了NSS（Netfilter-Snort-Stunnel）防火墙与入侵检测系统联动模型，并给出了模型的体系结构图。 第四章：联动系统与陷阱系统有机整合 本章结合实际，对防火墙与入侵检测系统联动模型在实际网络中的应用进行了研究，着重研究了联动系统与陷阱系统有机整合以实现更加全面的纵深防御体。 第五章：总结和展望。对全文的主要工作进行了总结，并对未来的工作进行了展望。

2 防火墙与入侵检测联动技术分析 2.1

防火墙技术分析

2.1.1 防火墙简介

在计算机科学中，防火墙是指位于可信网络和不可信网络之间并对经过其间的网络流量进行检查的网络安全设备，其核心思想是通过监测和控制网络之间的信息交换和访问行为来实现对网络安全的有效管理，在信任程度不同的网络之间（如Internet 或有着一定风险的局域网之间）构造一个相对安全的子网环境，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效的控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。典型防火墙系统应具有以下几个方面的特征：

1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 2.只有符合安全策略的数据流才能通过防火墙。 3.防火墙能经受得起对其本身的攻击。

2.1.2 防火墙关键技术

1.数据包过滤(Packet Filtering)

数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置

6

的过滤逻辑，被称为访问控制表(Acce Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

2.状态检测(State Detecting) 状态检测防火墙在不断开C/S的模式的前提下，提供一个完全的应用层感知。在状态检测防火墙里，信息包在网络层就被截取了，然后，防火墙从接收到的数据包中提取与安全策略相关的状态信息，并将这些信息保存在一个动态状态表中，用于验证后续的连接请求。

3.代理服务(Proxy) 代理服务(Proxy)是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器 (ProxyServer)作用在应用层上，它用来提供应用层服务的控制，利用代理服务器起到内部网络向外部网络申请服务时中间转接作用。

2.1.3 防火墙发展趋势

防火墙从技术发展上来看，提高性能和采用模块化设计是主要方向。防火墙处理能力的提高主要集中在两个方面，硬件结构的优化和软件算法的更新。硬件结构的优化是走向软硬件一体化，充分发挥硬件最高效能，又提高系统自身的安全性。功能设计的模块化提高了防火墙的适应能力，处理能力提高是追求防火墙性能的线速处理能力，达到对整个会话过曾中所有传输内容进行检查。审计报告也向智能化方向发展，在报告的基础上对整个网络安全状况进行全盘的把握，并进行总结改进，依据充分的日志记录，为用户提供详细又灵活的使用情况分析报告，为网络管理人员提供一个全局的视角。网络安全不能单一的依靠防火墙，而应与其他安全技术相融合。所以与入侵检测、防病毒技术、反垃圾邮件技术、信息加密技术的协同联动，形成一个立体全面的网络安全防御体系，也是未来防火墙的一个发展趋势。

2.2 入侵检测技术分析

2.2.1 入侵检测系统

实施入侵检测的系统称为入侵检测系统(IDS)。衡量入侵检测系统的两个基

山西财贸职业技术学院毕业论文

本指标为检测率和误报率，两者分别从正、反两方面表明检测系统的检测准确性和有效性。 实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率，但在实际的检测系统中这两个指标存在一定的矛盾，实现上需要综合考虑。除检测率和误报率外，在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击 能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。从系统组成上看，入侵检测系统一般由三个部分组成：数据采集、入侵检测、入侵响应。

2.2.2 入侵检测分析手段

目前，IDS 分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征匹配、统计分析、完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则常用于事后分析。

1.特征匹配

特征匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2.完整性分析

完整性分析主要关注某个文件或对象是否被篡改，包括文件和目录的内容及属性。它在发现被更改的、被特洛伊化的应用程序方面特别有效。

3.统计分析

统计分析首先给信息对象（如用户、连接、文件、目录和设备等）创建一个

统计描述，统计正常使用时的一些测量属性（如访问次数、读写次数、操作失败 次数和延时等）。

2.2.3 入侵检测系统分类

从入侵检测系统所采用的分析技术来看，它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。 1.误用检测(Misuse Detection) 误用检测是指根据已知入侵所独有的模式或特征，监视特定目标的特定行为，通过对检测数据的模式匹配来进行的检测。误用检测的关键是如何发现并表

8

达入侵独有的模式或特征，把真正的入侵与正常行为区分开来。误用检测的优点是可明确地指出入侵的类型，误报少，准确性高。而局限性是它只能发现已知的攻击，对未知的攻击无能为力。误用检测模型如图 2.1 所示。

2.异常检测(Anomaly Detection) 异常检测假设入侵者活动异常于正常的活动。为实现该类检测，IDS 建立正常活动的"规范集(Normal profile)"，当主体的活动违反其统计规律时，认为可能是"入侵"行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。

山西财贸职业技术学院毕业论文

常用的入侵检测统计模型为：操作模型、方差、计算参数的方差、多元模型、

马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以"学习"用户的 使用习惯，从而具有较高检出率与可用性。但是它的"学习"能力也给入侵者以机 会通过逐步"训练"使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。异常检测的模型如图 2.2 所示。

2.2.4 入侵检测技术发展趋势

入侵检测在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术、主动的自主代理方法、智能技术以及免疫学原理的应用。其主要的发展方向可概括为:

1.大规模分布式入侵检测 2.宽带高速网络的实时入侵检测 3.入侵检测的数据融合技术 4.与其它网络安全技术相结合

3 NSS联动技术的设计与实施分析

3.1 联动产生的背景

真正的网络安全应该是一个综合的、动静结合的、关联互动的安全体系。不但应有多种相关技术的有机集成，也应该有多种安全产品之间的动态联动，若仅仅是相关安全产品的简单叠加是远远不够的。正因如此，联动思想应运而生，并逐渐成为网络安全研究的热点。

3.2 联动模型的设计目标和设计思想

3.2.1 NSS 联动模型的设计目标

一个有效的联动模型需要考虑和解决以下问题： 1.联动的有效性

针对具体入侵行为，联动系统所采取的响应措施应该能够有效阻止入侵的延续和最大限度降低系统损失，这也是联动的目的。

10

2.联动的实时性

联动的目标是及时地采取措施以尽量降低入侵对系统造成的危害，需要尽可能地缩短入侵发现和响应实施之间的时间窗口，即缩短响应时间。这一方面要求 响应决策和响应执行的计算复杂度不能太高，另一方面要求系统有预测攻击者意图的能力。

3.联动系统自身的安全性

联动系统的作用在于保护网络及主机免遭非法入侵，显然其自身的安全性是最基本的要求。安全性的要求使入侵响应策略不能是简单的静态策略，而是能够具有时效性和自删除性。

3.2.2 NSS 联动模型的设计思想

在 NSS 联动模型中，防火墙作为网络的第一道安全屏障，根据预先设定好的安全策略来控制网络流量，并阻挡一部分外来的入侵。另外，入侵检测系统时刻检测网络动态信息，一旦发现异常情况或者攻击行为，便通过加密通道向联动模块发送告警信息，联动模块提取其中的重要信息（入侵事件类型、源地址、源端口、目的地址、目的端口）等，对其进行综合分析，拟定合适的响应策略发送给防火墙模块，防火墙模块根据接收到的控制信息添加阻断规则以实现动态响应。 NSS 联动模型中通过联动模块来进行防火墙模块与入侵检测模块之间的信息交互。联动模块作为整个系统的核心的部分，需要对入侵告警信息进行综合、分析、处理，并制定、调整相关的响应策略。经过联动模块的综合分析，不仅能减少误报率，防止对防火墙模块造成 Dos 攻击。而且可以减少安全组件间的通信流量，有效提高系统的性能。

3.3 NSS 联动模型的基本设计

本章根据通用的安全联动系统的决策流程，采用间接联动、开放接口的方式设计了一种基于 Linux平台的 NSS（Netfilter-Snort-Stunnel）防火墙与入侵检测系统的联动模型。并对联动模型的主要的功能模块的设计进行了详细的分析 描述。NSS 联动模型主要由四部分组成，分别为防火墙模块，入侵检测模块，联动模块以及管理控制模块。

图 3.1 为 NSS 联动模型的基本架构图。

山西财贸职业技术学院毕业论文

3.4 NSS 联动模型各模块的具体设计

3.4.1 入侵检测系统模块

入侵检测系统模块主要完成入侵检测、入侵告警及日志记录等功能。 入侵检测系统模块结构如图 3.2 所示，包括数据采集模块、规则匹配模块、入侵告警模块和日志记录模块。

12

1.数据采集模块

数据采集模块截获网络数据包从而获得网络事件，并对事件进行预处理，以便规则匹配模块进行进一步处理；

2.规则匹配模块

规则匹配模块采用误用检测的方法把从数据采集模块中所获得的事件记录与规则库中的规则一一匹配。

3.入侵告警模块

此模块负责按照规则匹配的结果生成入侵告警信息。该告警信息应包括入侵发生时间、入侵种类、协议类型、入侵源 IP 地址与端口、入侵目的 IP 地址与端口等，为联动做准备。

4.日志记录模块

日志记录模块负责将入侵告警信息存入日志记录库，为进一步的分析入侵事件或日后取证提供必要的依据。

3.4.2 防火墙模块

防火墙模块主要负责执行数据包处理的功能，并且根据联动模块发送的策略

山西财贸职业技术学院毕业论文

响应控制信息生成相应的防火墙动态阻断规则，以实现对网络攻击的实时阻断。 根据上述功能需求，我们设计了图 3.4 所示防火墙模块。该模块包括控制信息解析子模块、动态规则处理子模块及数据包处理模块。

1．控制信息解析模块 2．动态规则处理模块 3．数据包处理模块 最后，为实现系统的完整性，还需开发防火墙系统的日志审计系统。日志审计系统包括响应事件存储数据库及防火墙流量记录数据库，并提供显示查询的 WEB 接口，本文将这一部分功能集成到了管理控制模块。

3.4.3 联动模块

联动模块是 NSS 模型最为重要的部分，它不仅承担为入侵检测系统模块和防火墙模块提供安全可信的信息交互通道，并且还需对入侵事件进行综合分析和响应决策。 联动模块主要完成对入侵检测系统生成的告警信息进行分类和优先级标定，然后根据不同的告警事件提供不同的响应策略。另外，联动模块还负责信息交互的安全性。模块间的信息交互需采用统一的格式，当有入侵事件发生时，从入侵事件中提取相关信息，生成特定的控制信息，然后通过安全通信方式发送给防火墙。

14

针对联动模块的主要功能需求，我们分别加以阐述。 1．联动模块的安全通信

由于防火墙对于防火墙与入侵检测系统之间的通信，应考虑以下问题： 1) 交互的信息应有标准的表示机制，并能够支持扩展。 2) 保证信息交互的安全性。 3) 应该保证传输的实时性。

基于以上考虑，本文采取基于 XML [14]国际标准的信息格式进行控制信息的传递处理，底层通过 SSL [15]等加密方式对报文进行加密传输。

2．联动模块的策略管控

由于入侵检测系统不可避免的存在误报和漏报，所以若是对入侵检测系统生成的入侵告警事件不加区分，一概发送给防火墙添加动态规则加以阻断，这无疑会大大加重防火墙的负担，浪费两者之间宝贵的通信带宽，实在是得不偿失。并且攻击者有可能利用入侵检测误报率高的弱点，不断的发送攻击数据包，入侵检测系统不断产生告警信息，则这就会对防火墙形成 Dos 攻击。具体架构如图 3.3

3.4.4 管理控制模块

管理控制模块是用户与系统的一个交互平台，主要提供对联动模块的配置及

山西财贸职业技术学院毕业论文

管理功能，日志审计功能等。 管理控制模块可以分为以下几个子模块：配置信息读写模块，日志审计模块，

人工控制模快。 配置信息读写模块：主要负责对联动模块的配置加以设和查看，包括联动组件的 IP 地址设定、联动模块的加密通信的证书设定等。另外新联动组件的加入或移除也需通过该模块更改相关的配置。 日志审计模块：主要提供查看入侵告警日志及防火墙日志的功能，用户可根据日志信息调整安全策略以因应安全形势的变化。 人工控制模块：根据实际需求更改、添加或删除策略响应，或者在遇到紧急情况下断开联动机制，实施人工干预，以保证系统安全。

4 总结与展望

当前，单一的网络安全防御技术已无法适应网络安全形势的发展，急需多种安全技术整合构建全面的防御体系。本文研究的防火墙与入侵检测的联动技术，可以实现网络的动态和全面安全防护，具有十分重要的现实意义。本文的主要工作有： 1.分析了联动技术的研究现状、对现存的代表性联动技术进行了研究。对防火墙与入侵检测联动技术的关键技术进行了深入的研究和分析，着重对防火墙与入侵检测的不同整合方式进行了探讨和比较。 2.结合现有联动模型的优点，设计了采用通用开放接口、间接联动方式的 NSS（Netfilter-Snort-Stunnel）防火墙与入侵检测系统联动模型，并给出 了模型的体系结构图。然后从功能的角度对 NSS 联动模型进行了划分，并详细介绍了各个模块的体系结构和功能设计。

3.

详细介绍和阐述了 NSS 联动模型各模块的实现细节，包括模块架构，具体算法，决策流程图、信息交互格式及所需软件的配置并附上一些模块具体实现代码。在入侵检测模块的实现中，针对入侵检测误报率高的问题提出了一个简单的改进机制，并对告警信息的格式进行了定义。在今后的工作中要： 1.进一步完善 NSS 模型的入侵检测系统的效率，减少误报率。研究神经网络及其他智能检测手段在入侵检测系统中的应用。

2.对事件分析，策略决策和响应模型需进行更深入的研究，完善和优化

16

NSS模型的策略决策与响应流程。 3.研究不同安全产品之间的数据交换标准。目前国际上还没有安全产品间数据交互的通用标准，如何使防火墙、IDS、防病毒系统、VPN 等不同安全产品之间进行"无缝"的数据交换是困扰联动技术发展的一大问题。 4.继续深入研究网络安全纵深防御体系，并在防火墙与入侵检测系统的联动之外和其他的安全技术实现更加完善的整合。 5.研究分布式防火墙与分布式入侵检测系统的联动模型，针对分布式的联动模块的策略决策与响应进行深入的研究。

由于本人的水平与时间所限，许多工作还处于探索阶段，论文中的疏漏与错误在所难免，敬请各位专家，老师，同学指正。谢谢！

山西财贸职业技术学院毕业论文

入侵检测技术论文

网络安全与入侵检测技术的应用研究

入侵检测系统开发总结报告

防火墙和入侵检测系统在电力企业信息网络中的应用

计算机网络与防火墙技术论文

防火墙的技术与发展

防火墙技术报告

防火墙技术论文

防火墙技术研究报告

防火墙技术论文

《防火墙与入侵检测技术的联动.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档