1、508計(jì)算機(jī)技術(shù)與應(yīng)用進(jìn)展2010校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計(jì)周豐杰121合肥工業(yè)大學(xué)計(jì)算機(jī)與信息學(xué)院，合肥2330992安徽電子信息職業(yè)技術(shù)學(xué)院，安徽蚌埠233000摘要:本文從加強(qiáng)校園網(wǎng)安全的重要性出發(fā)，提出在校園網(wǎng)中引入了入侵防御技術(shù)（IPS），最后設(shè)計(jì)了一個(gè)基于蜜罐技術(shù)的校園網(wǎng)入侵防御系統(tǒng)，并采用開源免費(fèi)的snt_inline、filter和Honeyd加以實(shí)現(xiàn)，對(duì)高校及中小企業(yè)建立主動(dòng)防御網(wǎng)絡(luò)安全體系有一定的參考價(jià)值。關(guān)鍵詞

2、關(guān)鍵詞:網(wǎng)絡(luò)安全入侵防御蜜罐技術(shù)1引言校園網(wǎng)已經(jīng)成為高校的重要基礎(chǔ)設(shè)施之一，是高校教學(xué)、科研、管理的重要手段和平臺(tái)，校園網(wǎng)的網(wǎng)絡(luò)安全問題日益突出。近年來，校園網(wǎng)安全事件屢屢發(fā)生，導(dǎo)致高校的重要信息的泄密、破壞，正常網(wǎng)絡(luò)服務(wù)無法進(jìn)行，更有甚者導(dǎo)致校園網(wǎng)癱瘓，造成無法估量的損失。校園網(wǎng)的安全隱患，給校園網(wǎng)的維護(hù)和管理帶來嚴(yán)重挑戰(zhàn)，成為校園網(wǎng)管理和維護(hù)中主要課題[1]。IPS(入侵防御系統(tǒng))被認(rèn)為是防火墻之后的第二道安全閘門，它作為一種主動(dòng)的

3、網(wǎng)絡(luò)安全防御技術(shù)，從網(wǎng)絡(luò)安全立體、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)攻擊提供了主動(dòng)的實(shí)時(shí)保護(hù)，能夠在網(wǎng)絡(luò)系統(tǒng)遭到破壞之前攔截和響應(yīng)[24]。本文通過校園網(wǎng)入侵防御系統(tǒng)的研究與設(shè)計(jì)，有助于校園網(wǎng)主動(dòng)防御安全體系的構(gòu)建，加強(qiáng)校園網(wǎng)安全保障。2校園網(wǎng)入侵防御系統(tǒng)模型設(shè)計(jì)圖1校園網(wǎng)入侵防御系統(tǒng)的總體框架校園網(wǎng)入侵防御系統(tǒng)由防火墻、NIPS和蜜罐系統(tǒng)三級(jí)防御體系組成。防火墻部署在內(nèi)網(wǎng)和外網(wǎng)之間，監(jiān)控內(nèi)、外網(wǎng)之間的訪問流量，保障內(nèi)網(wǎng)安全。NIPS部署

4、在防火墻之后，檢測網(wǎng)絡(luò)流量，并對(duì)攻擊進(jìn)行主動(dòng)防御。蜜罐作為獨(dú)立系統(tǒng)部署，一方面蜜罐是防火墻很好的補(bǔ)充，它能夠偽裝成被攻擊的主機(jī)和攻擊者交互，捕獲黑客的入侵活動(dòng)并記錄日志，利用這些日志信息可以制定出新的安全策略，更新檢測規(guī)則和防火墻的策略，從而起到彌補(bǔ)誤報(bào)、漏報(bào)缺陷和完善防火墻安全策略的作用。另一方面，蜜罐吸引攻擊者對(duì)510計(jì)算機(jī)技術(shù)與應(yīng)用進(jìn)展2010毀壞或暴露風(fēng)險(xiǎn)的情況下可以確定入侵者的意圖、記錄下入侵者的信息。蜜罐主機(jī)以旁路的方式部署

5、在防火墻和NIPS的后面。如圖3所示為蜜罐系統(tǒng)與其他系統(tǒng)的交互圖。網(wǎng)絡(luò)遭受攻擊時(shí)，蜜罐系統(tǒng)與其交互，收集并記錄攻擊日志，通過發(fā)送日志消息上報(bào)日志管理模塊。日志管理模塊收集蜜罐日志并將其上報(bào)系統(tǒng)控制中心。系統(tǒng)控制中心分析日志并制定新的安全策略，及時(shí)更新檢測規(guī)則庫和防火墻的安全策略，彌補(bǔ)誤報(bào)、漏報(bào)的缺陷和防火墻的不足。圖3蜜罐系統(tǒng)與其他系統(tǒng)的交互圖3.3日志管理模塊的設(shè)計(jì)日志管理模塊的設(shè)計(jì)日志管理模塊主要功能是通過日志報(bào)警收集進(jìn)程及時(shí)收集S

6、nt_inline、filter、Honeyd所產(chǎn)生的日志報(bào)警信息，并通過日志發(fā)送進(jìn)程將這些信息發(fā)送給日志服務(wù)器如圖4所示，日志報(bào)警信息采用MySQL數(shù)據(jù)庫方式存儲(chǔ)日志服務(wù)器和其他各個(gè)模塊交互采用客戶機(jī)服務(wù)器（CS）模式。圖4日志管理系統(tǒng)設(shè)計(jì)圖圖5系統(tǒng)控制中心的設(shè)計(jì)圖3.4系統(tǒng)控制中心模塊的設(shè)計(jì)系統(tǒng)控制中心模塊的設(shè)計(jì)系統(tǒng)控制中心是整個(gè)系統(tǒng)的核心，一方面負(fù)責(zé)分析日志報(bào)警信息并制定相應(yīng)的安全策略，及時(shí)更新防火墻和NIPS的策略；另一方面對(duì)防

7、火墻、NIPS、蜜罐系統(tǒng)和日志管理系統(tǒng)進(jìn)行統(tǒng)一調(diào)配和集中管理。系統(tǒng)控制中心的設(shè)計(jì)如圖5所示。可以看出，系統(tǒng)控制中心由系統(tǒng)控制進(jìn)程和日志分析及策略制定進(jìn)程組成。日志分析和策略制定進(jìn)程負(fù)責(zé)向日志服務(wù)器發(fā)出請(qǐng)求并獲得日志信息，分析日志信息并制定出新的安全策略，然后將新的安全策略交由系統(tǒng)控制進(jìn)程響應(yīng)。一方面系統(tǒng)控制進(jìn)程向防火墻、NIPS和蜜罐系統(tǒng)發(fā)送控制消息進(jìn)行集中控制；另一方面對(duì)防火墻和IPS的日志進(jìn)行更新。系統(tǒng)控制中心的實(shí)現(xiàn)基于web服務(wù)器