戴乾坤，蒋新华（中南大学信息科学与工程学院，湖南长沙410083）摘要：随着Linux在服务器、桌面应用领域的快速发展，Linux的安全问题也开始涌现并日趋复杂化，该文安全防御手段的局限性,设计出一种分层防御，各子系统协同工作的防御系统。该系统由基于honeyd的陷入侵检测系统和基于Iptables的防火墙构成，利用蜜罐改进入侵检测的性能，并利用入侵检测与防火墙的联的主动适应能力。该文对陷阱网络的部署、入侵检测和防火墙的联动等方面做了详细探讨，实际运行结果御系统相比，该文提出的主动防御系统具有一定的互动及整合优势。

　　关键词：主动防御；蜜罐；网络安全；主动防火墙.

　　The Design and Implementation of Linux-based Active DefensDAI Qian-kun,JIANG Xin-hua(1.School of Information Science and Engineering,Central South University,Changsha 410083;2.Research Centre forTechnolog&Applications,FuJian University of Technology,FuZhou 350014;Abstract:With the rapid development of Linux on the servers,desktops areas,security issues have begun to emerge acomplex,Considered the limitations of current network security defensive means,this paper designs a defensive system withinteraction of the various components by using the honeypot improving the performance of IDS,and make the firewall a certThe system is discussed in three aspects:the Honeynet based on h e Intrusion Detection System based on oneyd,th Snoron Iptables.

　　Key words：Active defense,Honeypot,network security,Active firewall.

　　1引言Linux继承了UNIX的众多优点，它的稳定性，多工能力与网络功能，以及自由和开放性，使得它在全球范围内得到迅猛发展。基于其强大的网络功能和较低的投资成本，Linux在服务器端的应用日益广泛，网络安全问题也随之凸显，主要表现有：

　　（1）目前所采用的网络安全体系是建立在防火墙、入侵检测、漏洞扫描等这些被动防御的措施上，作为网络完全领域的两大技术，入侵检测系统（IDS）与防火墙(Firewall)仍然存在各自的缺陷，如防火墙不能针对网络状况实时调整策略，入侵检测易产生漏报、误报等。

　　（2）在通常的网络安全体系结构中，往往把入侵检测系统放在防火墙之后[1]。这样一来，一些有用的（对于入侵检测分析来说）攻击数据包就被防火墙拦截了，被防火墙系统阻拦住的外部攻击包对于IDS进行网络攻击智能分析具有非常重要的价值。

　　(3)网络安全面临的另一个问题是缺乏对入侵者的了解，即入侵者的攻击手段、攻击工具，攻击目的和活动规律等。

　　对于问题(1)，参考文献[2]设计出一种把防火墙和入侵检测集成在一起的系统[2]，该系统可以让防火墙和入侵检测优势互补，但这样做的缺点是：IDS的检测负荷将会占用大量的处理器资源和内存空间，而防火墙又会影响IDS的吞吐能力，从而使系统的整体性能下降。对于问题(2)，McAfee公司研发的入侵检测产品McAfeeInstruShield就可以放在防火墙之前，国内对入侵检测的摆位问题关注不是很多。本文做出了一次大胆的尝试：

　　将IDS摆位在防火墙之前。针对问题（3），蜜罐项目组（Honeypot Project）提出一整套用蜜罐来了解、分析入侵者的入侵策略和工具等，该项目拥有美国、加拿大、以色列、印度、德国、澳大利亚以及中国等几十家安全团队，技术日益成熟，下面就系统具体架构与实现做详细介绍。

　　2系统总体架构设计总体的架构思路是：分层防御，各子系统协同工作，系统的主体为3部分：基于蜜罐(Honeypot)技术的陷阱网络、位于防火墙之前的入侵检测系统和基于Iptables的防火墙。

　　陷阱/蜜罐系统的主要用途是分散攻击者的注意力，获取攻击和攻击者的信息。它不能直接提高网络的安全性能，但能够吸引攻击者的注意力，消耗攻击者的资源和精力，使其远离实际的工作网络，从而提高网络的安全性。

　　入侵检测系统是暴露在防火墙之前的，这样便于把入侵检测系统（IDS）生成的动态规则库写入防火墙的规则库，利用Guardian软件实现IDS和防火墙的联动。另外这样也是出于防止防火墙被流量攻瘫的考虑，毕竟在大多数情况下，一旦防火墙被流量冲垮，就会造成网络的暂时中断。这样一来防火墙就具有了一定的主动适应能力。

　　基于Iptables的防火墙是整个系统的最后一道防线，通过在snort中安装一个插件：guardian,可以达到动态更新防火墙规则的目的。

　　通过这样的设计，可以让陷阱系统分散风险，有效地改善入侵检测系统中的误报、漏报和无法检测新型入侵方式的不足，提高防火墙的主动响应能力。模型总体结构如图1所示。

　　图1模型总体结构3陷阱/蜜罐网络的部署3.1蜜罐概述陷阱/蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术。它不同于大多数传统安全机制，它的价值正是在于被探测、被威胁，甚至是被攻击。Honeypot是故意被部署在危险的复杂网络环境中，以便它被攻击，它可以是任何计算机资源，可以是工作站、文件服务器，也可以是打印机、路由器，甚至是整段的网络。蜜罐的核心价值在于对攻击活动进行监视、检测和分析。

相关热词：基于 Linux 主动 防御 系统 设计 yizh