熊雪晖 夏庆堂 罗金华 陈先进 61660部队 北京 100089

引言

当前，为确保网络安全，各类关键网络主干、骨干节点上通常部署有网络入侵检测系统，利用规则匹配技术，通过对流量进行模式匹配发现蠕虫病毒传播、网络探测扫描、网络攻击等非法行为。网络入侵检测系统作为关键网络安全防护不可或缺的一环，其规则集的管理和实时维护重要性凸显。本文提出一套规则集管理系统的设计和实现，并给出了具体实验结果。

1 系统设计

网络入侵检测规则集管理系统由管理控制台、入侵检测引擎代理端和规则集数据中心组成，架构如图1所示。管理控制台和入侵检测引擎代理端之间通过UDP Socket进行通信，控制台向代理端发送控制指令，代理端向控制台报告引擎运行状态，入侵检测规则集以数据库表的形式存储在数据中心。

图1 关键网络入侵检测规则集管理系统架构

2 功能模块

2.1 管理控制台

（1）规则集转换模块

模块分别实现从规则文件到数据记录和从数据记录到规则文件两个方向的格式转换，即正向解析和反向解析。正向解析是指把以文本文件格式存储的规则集从磁盘上读取出来，经过划词分析后，存储到数据中心。反向解析是指把存储到数据中心的规则集转换成入侵检测引擎能够识别的规则文件，规则文件的组织须保持转换之前的状态，并发送到指定入侵检测引擎的默认安装位置。

（2）规则集管理模块

该模块实现规则集衍生、删除以及规则增加、修改、查询和删除的功能。其中规则集衍生目的是为不同的引擎定制不同的入侵检测规则集，衍生的规则集是在源规则集基础上派生出来的新规则集，可以在源规则集基础上增加、修改、删除部分规则，从而形成一个与源规则集不同的规则集。

（3）引擎管理模块

该模块实现将规则集下发到入侵检测引擎、查询和展示引擎运行状态等功能。入侵检测引擎从规则文件中解析规则，并形成规则链，对获取的网络流进行规则匹配，从而判断是否发生网络安全事件。该功能需要将数据中心存储的某个规则集转换成规则文件集合，将规则文件集发送到指定的入侵检测引擎，存储到规则安装目录下

2.2 入侵检测引擎代理端

入侵检测引擎代理端主要功能包括接收来自控制台的规则集、启动停止入侵检测引擎以及入侵检测引擎运行管理。具体包括实现接收来自管理控制台的规则集变更指令，依据指令从数据中心查询到指定的规则集，将规则集数据记录转换成规则文件集合，将规则文件集合写入到规则安装目录。引擎运行管理主要实现向管理控制台报告自身运行状态、监视入侵检测引擎进程运行。

2.3 规则集数据中心

数据中心用于存储规则集、操作日志和系统配置参数，采用Mysql数据库。数据库中的表有：（1）规则表，以规则集名称和规则序号为关键字段，以规则头和规则体为字段，存储每条文本规则。（2）日志表，按照时间顺序，存储详细操作记录和系统状态记录。（3）引擎规则集对应表，按照时间顺序，存储入侵检测引擎IP地址和规则集对。

3 系统测试

入侵检测规则集管理系统测试环境主要由代理端服务器、数据中心服务器、交换机和管理端组成，设备连接关系如图2所示。

图2 测试设备连接关系图

测试包括功能性测试、性能测试、安全性测试和可靠性测试。其中性能测试内容主要包括：在10分钟内解析完120个规则文件、30秒内完成10000条规则下发至引擎并生效；安全性测试包括：控制端屏蔽非法输入字符；可靠性测试包括：系统异常自主恢复、资源占用率合理。所有测试结果均符合设计目标。

4 结语

本文对网络入侵检测规则集管理系统的设计与实现，借助数据库管理系统简化了操作规则，通过数据中心结构将规则更新时效性从小时级提升至秒级，彻底改变了过去手工管理规则集和入侵检测引擎的传统方式，为关键网络网络安全管理员管理成百上千台入侵检测引擎提供了技术手段。该系统不仅适用于关键网络的防护管理，也可用于各类安全从业人员的技能培训。