杨玉新

摘要：网络的受攻击事件层出不穷，使网络安全问题尤为突出。该文在一些先进的网络安全解决方案的基础上，提出了一种入侵防御体系结构程序设计模型。在这一入侵检测防御系统中，设计了一种在Linux环境下基于网络的入侵防御系统sensor的检测和防御的实现方法，从而实现一定程度下的保护局域网的安全。

关键词：网络安全；Linux环境；入侵检测；防御系统

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）02-0038-03

1 概述

网络安全形势日趋严峻和复杂化，网络入侵者的攻击手段在不断变化，入侵检测系统Snort将数据流和规则进行匹配以检测入侵，对拒绝服务等攻击无法抵御，抗攻击能力弱；而Linux的Netfilter/iptables结构能按照预设的规则对数据流进行过滤，但过滤粒度大，规则缺乏灵活性，也不能检测基于过程的攻击。在安全模块间设计实现交互联动能够弥补各自的缺陷，为了实现更高的安全性。在对Snort和Netfilter/iptables做了深度分析的基础上，在对Netlink和Libipq这两个安全组件做了模块联动规划设计，提出了联动设计的一部份架构和设计思想，对这种联动的软模块的设计流程及实现进行了详解。这对构建Linux条件下入侵检测防护系统有现实的意义。

2 入侵检测

2.1 入侵检测防护模块的布置流程

入侵检测及防护系统sensor放在网络的进出的点上，即内网与外网进行通信的必经要口，全部通过sensor系统的网络流量都能够被捕促到。这里采用的是Netlink套接字的实现方法来实现内核空间与用户空间的相互通信，通过Libipq库实现由内核读取或是写入。

2）在链路层基础上的构建方法

在IP层的数据包基础上来构建与发送，就有一个有IP地址的接口（interface），因此会让入侵攻击者发现IPS的位置，就有可能遭到恶意入侵者的攻击，因此这样做会存在严重的不安全因素。为此，采用一种特别的响应方法，即在第二层就做出阻断（reset）。做出反应的数据包的构建就是链路层协议头部， Ethernet协议头的构建，IP和TCP协议头同上述保持一致。使用攻击数据包进入系统的接口设备来做发送reset包的出口，它的MAC地址作为目的MAC地址。此种方法已经不需要带IP地址的接口，而且可以用构造的MAC地址伪装成reset包的源MAC地址。这样因此可以隐蔽sensor的身份，达到保护IPS主机的安全。

4 结束语

通过安全策略的分析和端口的设计，分析了linux环境下防火墙内部各功能模块灵活实现的方法，结合一些入侵检测的Snort软模块并在其框架上有征对性的不断对防御模块sensor进行功能扩充、变更安全策略或加入新的服务。也只有与时具进、不断探索和在实践中改进防御设计方案，这样才有效防范可能的攻击。

参考文献：

[1] 彭新光.吴兴兴.计算机网络安全技术与应用[M].北京：科学出版社，2005.

[2] 肖军模.刘军.网络信息安全[M].北京：机械工业出版社，2006.

[3] Mike Barkett. Intrusion Prevention Systems[EB/OL]. www.nfr.com，2004.4.

[4] （美）Brian Caswel等.Snort2.0入侵检测[M].宋劲松，译.北京：国防工业出版社，2004.

[5] 刘文涛.网络安全开发包详解[M].北京：电子工业出版社，2005.