ASAS集群联动式入侵防御系统研究与实现

论文摘要

随着网络的发展,人们在获得便利的同时,网络安全问题也越来越突出。为确保安全,入侵检测、防火墙等一系列技术被大量应用。但仅仅依靠单一的网络安全组件己经难以满足现在的需要,必须把它们结合起来实现构成综合的安全体系。防火墙和入侵检测系统联动是目前网络信息安全技术的重要解决方案,依靠防火墙的阻断功能和入侵检测系统的检测能力,能够实时的检测和阻断入侵,使系统得到最大程度的保护。服务器集群技术是为了适应网络访问的流量和数据量不断增长而产生的,建造高性能的集群系统也越来越成为人们关注的焦点。但传统的集群技术中很少考虑到安全的因素,更少有集群技术中加入入侵检测和入侵防御机制。本文就是着眼于这种需求,在主动式自调度集群服务器系统(ASAS)中研究实现了联动式入侵防御系统。现有的防火墙与入侵检测系统的联动方式主要有紧密集成方式和开放接口方式,两者各有优缺点。在综合两种联动方式的基础上,本文研究了一种混合式联动入侵防御系统模型。该模型分有前后两端,前端参考了集成方式的联动技术,主要由入侵检测模块和包过滤类型的防火墙构成,能够用于快速和粗粒度的入侵检测,有着实时检测和阻断入侵的能力。后端主要由一组入侵检测探针和通信插件构成,它们同样是和前端的防火墙构成联动,这种联动是通过开放端口实现的。后端的一组入侵检测探针拥有强大的检测能力,可以弥补前端入侵检测能力不足的缺点。在后端检测到入侵后会通知防火墙采用预定的防护措施,完成入侵的阻断动作。混合联动入侵防御系统模型在ASAS平台上得到实现。ASAS由集中器和执行服务器构成,其中集中器位于网络的关键位置为执行服务器做请求调度,执行服务器用于完成请求任务。将入侵防御系统的前端集成在ASAS的集中器上,利于防火墙模块对恶意流量的实时阻断。后端的入侵检测探针则是分别部署在执行服务器上,用于检测通过了前端粗粒度检测达到执行服务器的流量。因为ASAS集中器的主要资源应用于集群的调度管理,所以入侵防御系统前端的检测模块选用了一种快速检测引擎,以免造成系统瓶颈。本文的最后展现了联动式入侵防御系统的测试情况。在我们搭建的实验环境中对入侵防御系统做了一系列的检测,取得了良好的实验效果。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 背景

1.2 研究现状

1.3 主要工作及论文组织

1.3.1 主要工作

1.3.2 论文组织结构

第二章相关技术基础

2.1 服务器集群技术

2.1.1 集群技术概述

2.1.2 主动自调度集群ASAS

2.2 防火墙技术

2.2.1 防火墙技术概述

2.2.2 防火墙基本技术

2.2.3 防火墙技术的局限性

2.3 入侵检测技术

2.3.1 入侵检测概念

2.3.2 入侵检测系统结构

2.3.3 入侵检测方法

第三章安全联动模型研究

3.1 紧密集成联动模型

3.2 开放接口联动模型

3.2.1 通信协议

3.2.2 数据交换格式

3.3 商用联动平台介绍

3.3.1 OPSEG 体系平台

3.3.2 TOPSEC 体系平台

3.3.3 LinkTrust 联动方案

第四章混合联动入侵防御系统设计

4.1 总体设计

4.2 防火墙模块

4.2.1 Netfilter/Iptables 防火墙结构

4.2.2 netlink 套接字

4.2.3 传递数据包到用户空间

4.3 入侵检测模块

4.3.1 数据包读取

4.3.2 内部结构

4.3.3 工作流程

4.4 前后端通信

4.5 报警融合

4.5.1 报警归并

4.5.2 报警关联

4.6 响应方式

4.6.1 串行方式

4.6.2 并行方式

第五章 ASAS 平台上入侵防御系统实现

5.1 总体设计

5.2 ASAS 集中器子系统详解

5.2.1 集中器子系统作用

5.2.2 集中器子系统基本框架

5.2.3 报文处理流程

5.3 IPS 与ASAS 集中器子系统集成

5.3.1 总体结构

5.3.2 报文处理流程

5.3.3 响应策略实现

5.4 IPS 与执行服务器的集成处理

5.4.1 ASAS 执行服务器子系统

5.4.2 IPS 与执行服务器子系统集成

第六章系统测试

6.1 测试指标

6.2 测试环境

6.3 测试结果

6.3.1 功能测试

6.3.2 性能测试

6.3.3 界面可用性测试

第七章结束语

致谢

参考文献

作者在学期间取得的学术成果

ASAS集群联动式入侵防御系统研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢