【正文】 新遍歷數(shù)據(jù)庫(kù)向INPUT鏈插入規(guī)則 for (int i = 0。 i ()。 i++) { Log l=(Log) (i)。 String mand1=sudo iptables t filter A INPUT s + () + j DROP。//對(duì)于源地址的所有包都丟棄 (mand1)。 } (updatemsg1, updatemsg1)。 }else{ String updatemsg1=失??！。 (updatemsg1, updatemsg1)。 } (Template/).forward(request, response)。//跳轉(zhuǎn)到顯示攻擊事件頁(yè)面 }響應(yīng)事件查看告訴管理員聯(lián)動(dòng)模塊對(duì)攻擊事件做出了什么響應(yīng)。響應(yīng)事件查看頁(yè)面如圖510所示。圖510 響應(yīng)事件查看 snort規(guī)則管理模塊snort規(guī)則管理模塊是管理員對(duì)snort規(guī)則進(jìn)行管理的模塊，該模塊包括以下三個(gè)功能：snort規(guī)則查看、snort規(guī)則添加和snort規(guī)則刪除。通過(guò)snort規(guī)則查看頁(yè)面管理員可以查看用戶自定義的snort規(guī)則，也可以刪除用戶自定義的規(guī)則。snort規(guī)則查看頁(yè)面如圖511所示。圖511 snort規(guī)則查看：protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // 獲得要?jiǎng)h除的規(guī)則的ID String sid=(sid)。snortRuleDAO snortRuleDAO=()。 boolean flag=(sid)。 //重新生成規(guī)則文件 snort_Rule snort_Rule=new snort_Rule()。 String url=//etc//snort//rules//。 (url)。 if(flag){ String deletesnortrulemsg=刪除成功！。 (deletesnortrulemsg, deletesnortrulemsg)。 }else{ String deletesnortrulemsg=刪除失??！。 (deletesnortrulemsg, deletesnortrulemsg)。 } (Template/).forward(request, response)。//跳轉(zhuǎn)到規(guī)則顯示頁(yè)面 }通過(guò)snort規(guī)則添加頁(yè)面管理員可以添加自定義的規(guī)則，根據(jù)不同攻擊的類型特征?？梢蕴砑拥膬?nèi)容如圖512至圖517所示。規(guī)則頭添加是規(guī)則的必填項(xiàng)，主要填寫攻擊數(shù)據(jù)包的源地址、目的地址等特征信息。運(yùn)行效果如圖512所示。圖512 snort規(guī)則頭添加常用基本規(guī)則選項(xiàng)添加是可選項(xiàng)，主要填寫的內(nèi)容有：報(bào)警信息msg、優(yōu)先級(jí)priority、規(guī)則描述等。運(yùn)行效果如圖513所示。圖513 snort常用基本規(guī)則選項(xiàng)添加content選項(xiàng)添加是可選項(xiàng)，主要填寫內(nèi)容有：搜索偏移量offset、搜索深度depth等內(nèi)容。運(yùn)行效果如圖514所示。圖514 content選項(xiàng)添加IP選項(xiàng)集合添加是可選項(xiàng)，主要填寫內(nèi)容有:生存時(shí)間TTL、IP頭分片id值等內(nèi)容。運(yùn)行效果如圖515所示。圖515 IP選項(xiàng)集合添加ICMP選項(xiàng)集合添加是可選項(xiàng)，主要填寫內(nèi)容有：ICMP包的itype值、ICMP包icode值等內(nèi)容。運(yùn)行效果如圖516所示。圖516 ICMP選項(xiàng)集合添加TCP選項(xiàng)集合添加是可選項(xiàng)，主要填寫內(nèi)容有：數(shù)據(jù)包的flags值，數(shù)據(jù)包的seq值，數(shù)據(jù)包的ack值等內(nèi)容。運(yùn)行效果如圖517所示。圖517 TCP選項(xiàng)集合添加：FileOperate fileOperate=new FileOperate(url)。 if(()){//如果文件存在刪除掉，不存在直接創(chuàng)建了 ()。//刪除文件 ()。//創(chuàng)建新的空白文件 }else{ ()。//創(chuàng)建新的空白文件 } //查詢數(shù)據(jù)庫(kù)中的snort規(guī)則snortRuleDAO snortRuleDAO=()。 ListsnortRule snortRulelist=()。 for (int i = 0。 i ()。 i++) { snortRule snortRule=(snortRule)(i)。 String rules=null。//規(guī)則頭和規(guī)則動(dòng)作合并 rules=()+ +(+()+)。 RulesOperate add=new RulesOperate(url, rules)。//規(guī)則文件生成 (())。 } iptables規(guī)則管理模塊iptables規(guī)則管理模塊是管理員對(duì)iptables規(guī)則進(jìn)行管理的模塊，通過(guò)該模塊管理員可以手動(dòng)阻止一些地址的攻擊，該模塊包括以下三個(gè)功能：iptables規(guī)則查看、iptables規(guī)則添加和iptables規(guī)則刪除。通過(guò)iptables規(guī)則查看頁(yè)面管理員可以查看用戶自定義的iptables規(guī)則，也可以刪除用戶自定義的iptables規(guī)則。iptables規(guī)則查看頁(yè)面如圖518所示。圖518 iptables規(guī)則查看頁(yè)面管理員可以通過(guò)iptables規(guī)則添加頁(yè)面添加自定義的iptables規(guī)則，規(guī)則添加包括以下內(nèi)容：鏈名、源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口、動(dòng)作、管理員ID和規(guī)則描述。運(yùn)行效果如圖519所示。圖519 iptables規(guī)則添加頁(yè)面： //判斷協(xié)議、源/目的端口是否為空 if(ary2amp。amp。(!ary3)){ //協(xié)議、源端口不能同時(shí)為空 String addiptablesrulemsg=協(xié)議、源端口不能同時(shí)為空！。 (addiptablesrulemsg, addiptablesrulemsg)。 (Template/).forward(request, response)。 }else if(ary2amp。amp。(!ary4)){ //協(xié)議、目的端口不能同時(shí)為空 String addiptablesrulemsg=協(xié)議、目的端口不能同時(shí)為空！。 (addiptablesrulemsg, addiptablesrulemsg)。 (Template/).forward(request, response)。 }else if(!ary3||!ary4) //源/目的端口不能同時(shí)為空的情況 { array[2]=array[2]+ + m tcp 。 for(int i=0。i5。i++){ if(array[i].equals()){ continue。 }else{ array[i]=lable[i]+ +array[i]+ 。 s2=s2+ +array[i]。 } } s1 = sudo iptables t filter+ + A + +table+ +()+ +j+ +action。//生成新的規(guī)則 }else{ //源/目的端口同時(shí)為空的情況 for(int i=0。i5。i++){ if(array[i].equals()){ continue。 }else{ array[i]=lable[i]+ +array[i]+ 。 s2=s2+ +array[i]。 } } s1 = iptables t filter+ + A + +table+ +()+ +j+ +action。//生成新的規(guī)則：iptablesRuleDAO iptablesRuleDAO=()。iptablesRule iptablesRule=new iptablesRule()。(s1)。//iptables規(guī)則插入數(shù)據(jù)庫(kù)(new String((employeeid).getBytes(ISO88591),utf8))。//獲得管理員ID并插入數(shù)據(jù)庫(kù)(new String((iptables_rule_msg).getBytes(ISO88591),utf8))。/獲得iptables規(guī)則描述信息并插入數(shù)據(jù)庫(kù) (new Date())。//規(guī)則添加時(shí)間插入數(shù)據(jù)庫(kù) boolean flag =(iptablesRule)。 String s3=sudo+ +s1。 CMD cmd=new CMD()。//在iptables規(guī)則鏈中插入新的規(guī)則 boolean flag1=(s3)。6 系統(tǒng)測(cè)試在本系統(tǒng)的實(shí)際開(kāi)發(fā)過(guò)程中，每個(gè)模塊都采用的白盒測(cè)試方法，對(duì)系統(tǒng)進(jìn)行了詳細(xì)的結(jié)構(gòu)分析、代碼質(zhì)量分析、代碼檢查、功能確認(rèn)與接口分析、性能與效率分析等。在系統(tǒng)開(kāi)發(fā)后期，對(duì)整個(gè)系統(tǒng)進(jìn)行黑盒測(cè)試，根據(jù)系統(tǒng)的需求，進(jìn)行相應(yīng)的測(cè)試，看功能是否實(shí)現(xiàn)。經(jīng)過(guò)反復(fù)測(cè)試，發(fā)現(xiàn)了一些問(wèn)題并進(jìn)行了改進(jìn)。本系統(tǒng)運(yùn)行環(huán)境是虛擬機(jī)Vmware Workstation中Ubuntu系統(tǒng)，攻擊平臺(tái)是安裝在Windows 8中的Nmap軟件和系統(tǒng)命令。通過(guò)一些常見(jiàn)的攻擊來(lái)測(cè)試系統(tǒng)的可用性，比如端口掃描、ping包過(guò)大等。 snort規(guī)則管理模塊測(cè)試snort規(guī)則管理模塊測(cè)試主要是測(cè)試snort規(guī)則的添加功能，添加的規(guī)則如表61所示。表61 添加的測(cè)試snort規(guī)則規(guī)則描述alert tcp any any any any (flags: A。 ack: 0。 msg: “NMAP TCP ping”。)檢測(cè)到nmap tcp ping報(bào)警alert tcp any 23 any any (content: “confidential”。 msg: “Detected confidential”。 )檢測(cè)到的包含字符confidential的Telnet數(shù)據(jù)包報(bào)警alert icmp any any any any (ttl:100。 msg: “Ping with TTL=100”。 )檢測(cè)到ttl為100的數(shù)據(jù)包報(bào)警alert icmp any any any any (dsize:800。 reference:arachnids,246。 classtype:badunknown。 rev:4。 msg: “ Large ICMP Packet ”。 )檢測(cè)大的ping包，長(zhǎng)度超過(guò)800的包就報(bào)警在snort規(guī)則添加模塊添加完表61中的規(guī)則后，查看規(guī)則如圖61所示。圖61 snort規(guī)則添加測(cè)試結(jié)果。圖62 生成的snort規(guī)則文件 iptables規(guī)則管理模塊測(cè)試iptables規(guī)則管理模塊測(cè)試主要是測(cè)試添加iptables規(guī)則的功能，添加的規(guī)則如表62所示。表62 添加的測(cè)試iptables規(guī)則規(guī)則描述iptables A INPUT p tcp s j ACCEPT接受來(lái)自 iptables A INPUT p tcp s j DROP 的數(shù)據(jù)包在iptables規(guī)則添加模塊添加完表62中的規(guī)則后，查看規(guī)則如圖63所示。圖63 iptables規(guī)則添加測(cè)試結(jié)果生成的新的規(guī)則鏈如圖64所示。圖64 生成的新的iptables規(guī)則鏈 防御ping攻擊測(cè)試在Windows平臺(tái)下，用長(zhǎng)度超過(guò)800的大包和生存時(shí)間為1的包分別去ping虛擬機(jī)中Ubuntu系統(tǒng)。具體命令為：ping l 802 –t、ping n 1 i 1 t。 用長(zhǎng)度超過(guò)800的大包ping進(jìn)行攻擊的測(cè)試結(jié)果如圖65所示。圖65 大包ping攻擊測(cè)試使用小TTL值的ping進(jìn)行攻擊的測(cè)試結(jié)果如圖66所示。圖66 小TTL值的ping攻擊測(cè)試 防御Nmap掃描測(cè)試使用Nmap對(duì)系統(tǒng)進(jìn)行端口掃描，針對(duì)端口掃描的規(guī)則snort規(guī)則添加測(cè)試時(shí)已經(jīng)添加。攻擊界面如圖67所示。圖67 nmap攻擊測(cè)試攻擊測(cè)試 完成以上兩個(gè)類型的攻擊測(cè)試，可以通過(guò)事件查看模塊查看攻擊的具體信息。攻擊信息如圖68所示。圖68 攻擊信息查看測(cè)試結(jié)束語(yǔ)這篇設(shè)計(jì)闡述了snort和iptables的工作原理、體系結(jié)構(gòu)等，并設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于snort和iptables的簡(jiǎn)單的IPS系統(tǒng)。系統(tǒng)能對(duì)入侵行為進(jìn)行動(dòng)態(tài)防御，滿足了中小型企業(yè)的網(wǎng)絡(luò)安全需求。通過(guò)對(duì)snort的報(bào)警日志的分析記錄，系統(tǒng)可以分析出企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀，方便了對(duì)網(wǎng)絡(luò)的管理。參考文獻(xiàn)[1] [D].河北科技大學(xué):河北科技大學(xué)碩士研究生學(xué)位論文,2012[2] 宋獻(xiàn)濤,:從IDS到IPS[J].計(jì)算機(jī)安全,2003(11):2628[3] [D].北京林業(yè)大學(xué):北京林業(yè)大學(xué)碩士研究生學(xué)位論文,2007[4] [J].信息安全與通信保密,2005(2):5253[5] [EB/ OL].[6] [EB/ OL]. [7] [EB/OL]. [8] 李國(guó)棟,孫忠林,衛(wèi)文學(xué),趙衛(wèi)