（管理科学与工程专业论文）基于OSSIM技术的信息安全集成管理系统分析与设计.pdf

基于o s s i m 技术的信息安全集成管理系统分析与设计 摘要 随着网络时代的飞速发展和网络应用的越来越复杂，i n t e r n e t 日益普及，网 络安全问题也日益突出并呈几何级数增长，黑客和病毒给网络带来了前所未有 的挑战。虽然目前对安全技术的研究也越来越深入，但目前的技术研究重点都 放在了某一个单独的安全技术上，大多数主流安全产品针对的只是计算机系统 在某一方面的安全缺陷，不足以应付当今的安全威胁。为了能更全面的解决安 全问题，对各种安全技术和安全产品加以整合，构建一个完整的网络安全防御 系统即安全集成，已是大势所趋。 本文在分析信息安全领域相关技术的基础上，重点研究了基于关联引擎技 术的o s s i m 安全集成系统，该系统由数据收集、数据关联、数据仓库以及控制 台4 个模块构成，涵盖了目前安全领域从评估、防护到检测、响应的一个完整 的事件处理过程。 论文的主要工作和特色如下：系统分析了o s s i m 安全集成系统的架构、功 能、流程及工作原理；详细研究了安全集成系统中所涉及的核心技术关联 引擎技术及其算法；在l i n u x 环境下完成系统的实施，同时对关联引擎的事件 序列关联进行测试。 关键词：o s s i m信息安全集成管理系统关联引擎 t h ea n a l y s i sa n dd e s i g no fb a s e do no s s i m i n f o r m a t i o ns e c u r i t yi n t e g r a t i o nm a n a g e m e n ts y s t e m a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r ks o c i e t ya n dt h ee x t e n s i o no fi n t e r n e ta n d i n t r a n e t ，t h ea p p l i c a t i o n so fn e t w o r kb e c o m em o r ea n dm o r ec o m p l i c a t e d ，a n dt h e p r o b l e m so fn e t w o r ks e c u r i t yb e c o m em o r e a n dm o r ea c u t e ，e v e ni n c r e a s ea s g e o m e t r i cs e r i e s h a c k e r sa n dv i r u s e sb r i n gu n p r e c e d e n t e dc h a l l e n g e s t ot h e n e t w o r k a l t h o u g ht h es e c u r i t yt e c h n o l o g yi sa l s os t u d i e dm o r ea n d m o r ed e e p l y ， t h es t u d i e sa r ef o c u s i n go ns e p a r a t es e c u r i t yt e c h n o l o g i e sa tp r e s e n t m o s ts e c u r i t y p r o d u c t so n l yt a r g e ts i n g l es e c u r ef l a w s ，w h i c ha r en o ts u f f i c i e n tt om e e tt o d a y s s e c u r i t yt h r e a t s i no r d e rt o s o l v et h es e c u r i t yi s s u e sm o r ec o m p r e h e n s i v e l y ， i n t e g r a t i n gv a r i o u ss e c u r i t yt e c h n o l o g i e s a n ds e c u r i t yp r o d u c t st oc o n s t r u c ta c o m p r e h e n s i v en e t w o r ks e c u r i t y d e f e n s es y s t e m s i m ( s e c u r i t yi n t e g r a t i o n m a n a g e m e n t ) i sat r e n d b a s e do nt h ea n a l y s i sa b o u tt h et e c h n o l o g i e sr e l a t e dt ot h ef i e l do fi n f o r m a t i o n s e c u r i t y ，t h i st h e m e sm a i np o i n ti st or e s e a r c ho nt h eo s s i ms y s t e mb a s e d o nt h e c o r r e l a t i o n e n g i n et e c h n o l o g y t h es y s t e m c o n s i s t so fd a t ac o l l e c t i o n ，d a t a c o r r e l a t i o n ，d a t a b a s ea n dc o n s o l em o d u l e s ，w h i c hi n c l u d e sc u r r e n ts e c u r i t yf i e l d s c o m p l e t ec o u r s e f r o ma s s e s s m e n t ，p r o t e c t i o n t od e t e c t i o n ，r e s p o n s e t h em a i nw o r ka n dt h ef e a t u r ea r ea sf o l l o w s ：t h es y s t e m sa r c h i t e c t u r e ， f u n c t i o n ，f l o wa n dw o r k i n gp r i n c i p l ea r ea n a l y z e ds y s t e m i c a l l y a n da s t h ec o r e t e c h n o l o g yo fs i m ，t h e c o r r e l a t i o ne n g i n et e c h n o l o g ya n di t sa l g o r i t h ma r e r e s e a r c h e di nd e t a i l b a s e do nt h ea b o v ew o r k ，t h es y s t e mi si m p l e m e n t e di nl i n u x e n v i r o n m e n t ，a n dt e s tt h ee v e n ts e q u e n c ec o r r e l a t i o n k e y w o r d s ：o s s i m ，i n f o r m a t i o n s e c u r i t y ，i n t e g r a t i o nm a n a g e m e n ts y s t e m ， c o r r e l a t i o ne n g i n e 表格清单 表4 - i 规则树链表3 2 表5 - ie v e n t 表一存储a g e n t 采集的来自各p l u g i n 的事件4 8 表5 p l u g i n s i d 表一存储各p l u g i n 的子i d ( 如s n o r t 的r u l e s 等) 4 9 表5 - 3p li c y 表一存储由用户设置的策略4 9 表5 - 4u s e r s 表一记录系统用户资料4 9 表5 - 5a l a r m 表一存储关联引擎产生的报警信息4 9 表5 - 6c o n f i g 表一系统的各项默认配置4 9 表5 - 7c o n t r o lp a n e l 表4 9 表5 - 8a u t o t o o ls 编译顺序5 0 插图清单 2 - 1 信息加密通信模型5 2 - 2 三种类型的防火墙部署示意图6 2 - 3 入侵检测系统运作图7 2 4 信息认证概要图8 2 5 安全审计系统的典型配置l o 2 - 6 杀毒流程1 1 2 - 7v p n 示意图12 2 8p d r 模型1 3 2 - 9p 2 d r 模型1 4 3 - 1 信息安全集成管理系统逻辑结构图17 3 - 2a g e n t 结构图1 9 3 - 3s e r v e r 结构图2 0 3 - 4d a t a b a s e 结构图2 0 3 - 5f r o n t e n d 结构图2 1 3 - 6f r a m e w o r k 结构图2 l 3 7 系统总架构图2 2 3 8 系统功能层次图2 3 3 - 9 系统功能架构图2 5 3 - 1 0 系统流程图2 6 4 - 1 基于关联引擎的安全集成系统结构简图2 7 4 - 2 规则关联模型2 8 4 - 3 漏洞关联模型2 9 4 - 4 基于c a l m 的启发式关联逻辑示意图3 4 4 - 5 风险评估概念图3 6 5 1a g e n t 流程图4 3 5 - 2s e r v e r 流程示意图4 5 5 3a g e n t 产生s n o r t 报警消息5 2 5 4a g e n t 产生s p a d e 报警消息5 2 5 5a g e n t 接收到s e r v e r 的n t o p 请求5 2 5 6a g e n t 产生n t o p 响应消息5 2 5 7 关联引擎产生d c o m 报警5 2 5 8c a l m ( r is km o n i t o r ) 即时风险图5 3 图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得金目墨王些太堂 或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了 明确的说明并表示感谢。 学位论文作者签名： 学位论文版权使用授权书 本学位论文作者完全了解 金胆王些盔堂 有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印和磁盘，允许论文被查阅和借阅。本 人授权 金月垦王些太堂 可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复印手段保留、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文 签字日期 学位论文 工作单位： 通讯地址： 日量墨苕翥：锄祈捌 篆：期：研年中月二日 特别声明 本学位论文是在我的导师指导下独立完成的。在研究生学习期间，我的导 师要求我坚决抵制学术不端行为。再次，我郑重声明，本论文无任何学术不端 行为，如果被查出任何学术不端行为，一切责任完全由本人承担。 致谢 本论文是在骆正清教授的悉心指导下完成的。在整个研究生学习和论文撰 写过程中，导师一直给予我亲切的关怀和指导，从治学到为人，我的每一点进 步都离不开他。导师渊博的知识、严谨的治学态度、敏锐的学术思想、诲人不 倦的学者风范、谦和平等的为人处事方式，都给我留下了深刻的印象，使我受 益终身。在此，谨向骆老师致以崇高的敬意和衷心的感谢。 另外，感谢胡庆辉、黄春、杜林、江天缘、王秀芳等同学和朋友，共处的 三年中，他们一直对我默默地支持和帮助，带给我无尽的欢乐，这些我都永生 难忘。 最后，值此论文完稿之际，我再次向曾经关心和帮助过的老师、领导和朋 友，表示我最衷心的感谢，并向我的母校合肥工业大学致以最诚挚的敬意。 作者：郭军 2 0 0 9 年4 月 第一章绪论 通信技术的快速发展、创新，推动着人类社会的迅速发展，并深刻改变着 人类的生活方式。随着电信、互联网和电子商务的发展，企业信息化、政府电 子政务、金融、保险和证券等行业推动了网络的迅速发展和普及。如今，网络 覆盖全国，连通世界，网络结构越来越复杂，网络规模越来越大。随着网络应 用的越来越复杂，安全问题也呈几何级数增长，黑客和病毒给网络带来了前所 未有的挑战。 病毒、黑客、网络就像是孪生兄妹，从网络诞生那天起，病毒、黑客就尾 随而来，它们早已成为互联网最突出的隐患之一。而现在的网络攻击手段除了 病毒、黑客攻击外，还有隐含通道、拒绝服务攻击、口令攻击、路由攻击、中 继攻击等多种攻击模式【l 】。不断出现的混合式攻击已经成为当前网络最大的安 全威胁之一。 信息化社会要求安全的网络信息传输，面对病毒、黑客袭击网络方式的“集 成化”，迫切需要能够将多种安全防护手段集成在一起的安全解决方案。 安全集成不是功能的简单堆砌，而是优化组合。 1 1 研究背景 进入2 l 世纪，网络与信息系统特别是互联网的安全面临严峻挑战，严重 的互联网安全事件层出不穷。2 0 0 0 年y a h o o 等网站遭到大规模拒绝服务攻击， 2 0 0 1 年爆发红色代码和尼姆达等蠕虫事件，2 0 0 2 年全球根域名服务器遭到大规 模拒绝服务攻击，2 0 0 3 年爆发s q l 杀手、冲击波及其变种等蠕虫事件l l j ，2 0 0 4 年底到2 0 0 5 年初，间谍程序造成个人使用者信用卡号与银行账户号码遭窃， 2 0 0 5 年p a y p a l 、e b a y 、y a h o o 等知名网站成为网络钓鱼攻击的对象【2 j ，2 0 0 6 年 底0 7 年初熊猫烧香的猖獗网络安全已成为国家与国防安全的重要组成部分，同 时也是国家网络经济发展的关键。在这种情况下，如何提高网络的安全性和可 靠性成为人们关心和研究的主要问题。 综合观察近年来发生的大大小小的各类安全事件，不难发现网络病毒、黑 客攻击形式正远离“单一攻击”，“混合攻击”日渐成为主流。混合攻击具有双层 含义：一是在同一次攻击中，既包括病毒攻击、黑客攻击，也包括隐通道、拒 绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式；二 是不但攻击来自不同的地方，攻击对象更是遍及信息系统的各个层面，包括客 户端、网关和服务器。面对混合攻击威胁的日益增强，单纯的针对计算机单一 安全缺陷、提供某一单独的安全保护功能的网络产品或安全产品已经越来越不 能满足用户的需求，它们在频繁的变种病毒或者蠕虫攻击面前不堪一击。 信息化社会呼唤一种全新的能够将多种安全防护手段集成在一起的网络安 全解决方案的出现，这种方案必须在具备防御多病毒共同骚扰能力的同时又可 降低成本，这种方案就是“集成化网络安全解决方案”。集成式解决方案不是各 项技术的简单相加，而是功能的优势互补。安全集成也并不只是安全产品的简 单堆砌，而是根据不同客户的不同需求灵活配置网络，使客户网络安全合性能 达到完美的平衡点。 面对目前的安全产品各自为政、管理复杂、安全事件与安全信息无法共享、 存在着大量的安全信息资源利用率低、难以自动流转等诸多问题的尴尬局面， 如何提高各安全工具之间的耦合度，实现真正意义上的安全集成呢? 答案是关 联引擎技术。关联引擎能够实时的分析来自于计算、网络、存储、安全等设备 的与安全相关的事件，通过关联来自不同地点、不同层次、不同类型的安全事 件，发现真正的安全风险，提高安全报警的信噪比，从而准确地、实时地评估 当前的安全态势和风险，并根据预先制定的策略做出快速的响应，确实的达到 安全集成的目的。 1 2 研究的目的和意义 研制信息安全集成管理系统的目的和意义在于： 一是为网络安全提供强有力的保障。2 0 0 7 年初武汉男孩推出的熊猫烧香病 毒及其变种在全国上下闹得沸沸扬扬，大到大大小小的各类公司企业，小到p c 个人用户，受其危害之深，让全中国乃至世界的网络用户为之震惊。不难想象， 如果没有安全技术做保障我们的网络又是暴露在千千万万的电脑黑客前面的， 然而本设计方案将为网络安全提供一个强有力的保障。 二是对异种安全产品进行统一管理和控制。安全集成要达到真正意义上的 耦合多种安全产品，不是简单的叠加就可以实现的，需要对各个安全工具进行 统一的管理和控制，使其在不失原有功效的基础上和其他工具配合协作，构建 全面的网络安全。 三是为安全管理员处理海量数据带来便利。随着人们安全意识的不断增强， 安全设备部署得越来越广泛。安全管理员面临应对安全设备产生的海量数据和 误报的严峻挑战。本文所描述的关联引擎技术能够整合来自各种各样安全产品 的大量数据，并且从海量数据中提取用户关心的数据，帮助安全管理员对这些 数据进行关联分析和优先级分析，反映被管理资产的安全基线，定位安全风险， 对各类安全事件及时提供处理方法和建议的安全解决方案，从而有助于减轻这 些根本问题给网络安全检测带来的冲击。 1 3 研究内容 本文依托于笔者实习所在公司的研发部的安全集成项目，对o s s i m ( o p e n s o u r c es e c u r i t yi n f o r m a t i o nm a n a g e m e n t ) 关联集成机制进行研究分析，以o s s i m 2 原型系统为基础，尝试集成新的插件，提高系统的安全性能，为构建公司的信 息安全集成管理系统打下基础。 本文的结构安排如下： 第一章，介绍本文的研究背景、研究意义和目的等。 第二章，分析阐述现今安全领域相关技术，如，信息加密技术、防火墙技 术，安全认证等。 第三章，分析信息安全集成系统的需求、架构、功能、流程、工作原理等。 第四章，在对各种关联方法分析的基础上，对事件序列关联和启发式关联 算法进行深入分析，并对关联引擎的另两个功能，优先级修正和风险评估进行 分析。 第五章，安全集成管理系统各组件的实现，如，配置文件的编写、代理进 程的运行、关联引擎的运行、w e b 框架的构建、数据仓库的实现。 第六章，全文的主要工作、本文不足以及进一步研究方向。 第二章信息安全领域相关技术概述 信息安全涉及到信息的保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、可用性 ( a v a i l a b i l i t y ) 、可控性( c o n t r 0 1 l a b i l i t y ) 。综合起来说，就是要保障电子信息的有 效性。保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人； 完整性就是对抗对手主动攻击，防止信息被未经授权的篡改；可用性就是保证 信息及信息系统确实为授权使用者所用；可控性就是对信息及信息系统实施安 全监控【4 】【3 引。为了达到信息安全的目的，针对各式各样的攻击和安全隐患，各 类安全技术迅速发展，目前信息安全领域常用的技术有监控、扫描、检测、加 密、认证、防攻击、防病毒以及审计等几个方面。这里就比较有典型性和代表 性的安全技术做一些介绍和分析。 2 1 信息加密技术 ( 1 ) 信息加密技术针对的安全问题 加密技术所针对的安全问题是信息泄露，用于保护有价值且不便公开的信 息不被非法占有和使用。不同的信息安全主体都拥有独具价值而不便公开的信 息，包括国家安全机密与核心军事机密( 简称核密) 、商业机密( 简称商密) 以及个 人隐私和其他需要加密的信息( 简称普密) ，这都是信息加密技术的加工对象怛j 。 信息泄露问题往往比信息被破坏更有杀伤力。对于后者，我们尚可以通过数据 备份和物理隔离的方式恢复数据，然而有价值的信息一旦被监听并窃取，则可 能会产生不可弥补的严重后果。因此，信息保密在一定意义上可谓是信息安全 的核心问题。 根据调查显示，全球有超过2 0 0 万的具有独立编程能力的专业黑客，这些 人对我们的网络构成极大的威胁。对于现在使用的计算机，可被利用的漏洞数 不胜数，即使是计算机内安装了最新的杀毒软件、最好的防火墙。防火墙、杀 毒软件的先天特性决定了他们不是最终的解决信息安全的手段或者方案。防火 墙更多的是采取的所谓“堵外”的方式来保证内部的安全，但现在更多的网络威 胁来自于网络内部，比如同网段间的嗅探；杀毒软件做的则仅仅是在病毒发作 后，对病毒源码有一定认识了解后才能做出判断，这也正是为什么我们更多的 时候是在病毒泛滥的时候才想起杀毒软件的原因，杀毒软件并不知道病毒会在 什么时候以什么方式来攻击我们的电脑。有价值的信息赤裸裸地暴露在别人面 前，而我们对此却毫无办法，因此要想从根本上解决信息安全的问题，就必须 把信息由明文转换成密文，这是信息安全最后的坚固堡垒。在保障信息安全各 种功能特性的诸多技术中，加密技术可谓是信息安全的核心和关键技术。 ( 2 ) 信息加密技术的关键是随机数产生方法 密码学已经历了千余年的发展历史，计算机技术的加入使得这门学科又有 4 了许多重大的技术突破。一个完整的加密模型( 如图2 1 ) 包括明文、密文、密钥 和加密算法【3 1 。 发送者 图2 1 信息加密通信模型 窈密者 接受老 通过信息加密通信模型可知，信息泄露的过程如下：首先通过不安全通道 截获密文，然后进行密文破译。破译密文又有两种可能，一是获得管理不善的 密钥，二是通过破解算法制造一把伪密钥。因此，一个加密系统的安全因素有： 信息传递通道、密钥管理、加密算法的破译难度，其中加密算法的破译难度是 保密强度的根本保证。目前世界上所有的高级加密算法都需要配备随机数发生 器，主流方法有两种：数学方法产生伪随机数、硬件产生近似的真随机数，而 二者都具有明显的缺陷。广泛应用的数学法通常采用计算机软件运行某个复合 函数产生伪随机数( 各随机值间存在函数关联且随机数可预测) ，其伪随机性及 有限的随机数量使得该方法的破译难度通常较低。硬件法是利用真实世界的自 然随机性产生随机数，如热噪声、细胞自动机、利用单光子的测不准原理等。 事实证明，该方法产生的随机数非常接近真随机数，然而也有致命的缺陷：一 是随机数的分布是固定的，二是随机数发生器容易被窃取，此外昂贵的设备价 格和繁琐的使用方法也使大多数客户望而却步【4 儿引。 伪随机数是数据加密技术不安全的关键原因，已知的当代加密算法的破解 方案中几乎无一例外的是从随机数的伪随机性入手。所以，信息加密技术的突 破方向在于在理论上需要产生基于真随机数的信息加密技术，在应用上需要解 决与相关技术的配套如先进的密钥管理系统、实时监控与数据恢复技术。 2 2 防火墙技术 ( 1 ) 防火墙概念 防火墙就是指设置在不同网络( 如可信任的企业内部网和不可信任的公共 网) 或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器，也是一 个分析器，能有效地监控内部网和i n t e r n e t 之间的活动，保证内部网络的安全。 于f 一圜1 蛊鼹“诽4 圭机屏蔽 子网屏蔽 图2 2 三种类型的防火墙部署示意图 ( 2 ) 防火墙的主要类型 创建防火墙时，必须决定防火墙允许或不允许哪些传输信息从i n t e r n e t 传 到本地网或从别的部门传到一个被保护的部门。三种最流行的防火墙分别是： 双宿主机防火墙、主机屏蔽防火墙、子网屏蔽防火墙【6 】。双宿主机防火墙是 把一台主机作为本地网和i n t e r n e t 之间的分界，这台主机( 堡垒主机，运行代 理服务) 使用两块独立网卡把每个网络连接起来。主机屏蔽防火墙把屏蔽路 由器加到网络上并使主机远离i n t e r n e t ，即主机并不直接与i n t e r n e t 相连，如果 网络用户需要连接到i n t e r n e t ，则必须先通过与路由器相连的主机。子网屏蔽 防火墙把内部网络与i n t e r n e t 隔离开来，它把两台独立的屏蔽路由器和一台代 理服务器连接起来，一台路由器控制本地到网络的传输，另一台屏蔽路由器监 测并控制进入i n t e r n e t 和i n t e r n e t 出来的传输。三种类型的防火墙部署如图2 2 所示。 通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全， 并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查 取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风 险。 2 3i d s ( 1 ) i d s 概念及其功能 i d s 即入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) ，对网络活动进行实时检 测。许多情况下，由于可以记录和禁止网络活动，入侵监测系统被认为是防火 墙的延续。i d s 扫描当前网络的活动，监视和记录网络的流量，根据定义好的 规则来过滤从主机网卡到网线上的流量，提供实时报警1 7 j 。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系 统( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订 6 提供指南。更为重要的一点是，它管理、配置简单，从而使非专业人员也能非 常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造 和安全需求的改变而改变。i d s 的运行简图如图2 3 所示。 图2 3 入侵检测系统运作简图 应措施 ( 2 ) 从技术上对i d s 产品进行分类 目前市场上的i d s 产品从技术上看，基本可分为：基于网络的产品和基于 主机的产品以及混合的入侵检测系统，混合的入侵检测系统可以弥补一些基于 网络与基于主机的片面性缺陷。此外，文件的完整性检查工具也可看做是一类 入侵检测产品。基于网络的入侵检测产品放置在比较重要的网段内，对每一 个数据包或可疑的数据包进行特征分析，商品化的产品包括：国外的i s s r e a l s e c u r en e t w o r ks e n s o r 、c i s c os e c u r ei d s 、c a e t r u s ti d s 、a x e n t 的 n e t p r o w l e r ，以及国内的金诺网安k i d s 、北方计算中心n i s d e t e c t o r 、启明星 辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。基 于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能 分析和判断，如i s sr e a l s e c u r eo ss e n s o r 、e m e r a l de x p e r t b s m 、金诺网安k i d s 等。混合式入侵检测系统综合了基于网络和主机的两种结构特点，既可发现 网络中的攻击信息，也可从系统日志中发现异常情况，商品化产品有：i s ss e r v e r s e n s o r 、n a ic y b e r c o pm o n i t o r 、金诺网安k i d s 等。文件完整性检查工具通过 检查文件的数字摘要与其他一些属性，判断文件是否被修改，从而检测出可能 的入侵，这个领域的产品有半开放源代码的t r i p w i r e 引。 ( 3 ) 从结构上对i d s 进行划分 i d s 在结构上可划分为数据收集和数据分析两部分。从不同的角度，数据 收集又可以分为分布式数据收集( 检测系统收集的数据来自一些固定位置而且 与受监视的网元数量无关) 与集中式数据收集( 检测系统收集的数据来自一些 与受监视的网元数量有一定比例关系的位置) 、直接监控( 从所监控的对象处直 接获得数据) 和间接监控( 依赖一个单独的进程或工具获得数据) 、基于主机的 数据收集( 从所监控的主机上获取数据) 和基于网络的数据收集( 通过被监视 网络中的数据流获得数据) 。根据i d s 如何处理数据，又可以将数据分析分为 分布式和集中式2 种一儿1 0 j 。 但是，目前的i d s 在构建方法、检测效率、可移植性、可升级性方面还存 在普遍缺陷，采用统计方法和临界值计算的异常检测将会是i d s 研究领域的重 点。 总之，入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术， 能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息 安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分 析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络 性能的情况下能对网络进行监测。它可以防止或减轻网络威胁。 2 4 安全认证 安全认证主要是进行信息认证。信息认证的目的是确认信息发送者的身份 和验证信息的完整性，即确认信息在传送或存储过程中未被篡改过，如图2 4 所示。常用的安全认证技术主要有数字摘要、数字信封、数字签名、数字时间 戳及数字证书等【1 1 1 。 ! 信息发送方 i - 信息接收方 信息处理 i 信息认证 i 图2 4 信息认证概要图 ( 1 ) 数字摘要 数字摘要采用单向h a s h 函数对文件中若干重要元素进行某种变换运算得 到固定长度的摘要码，并在传输信息时将之加入文件一同送给接收方，接收方 收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相 同，则可断定文件未被篡改，反之亦然。 ( 2 ) 数字信封 数字信封，用加密技术来保证只有规定的特定收信人才能阅读信的内容。 在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接 收方的公开密钥来加密( 这部分称为数字信封) 之后，将它和信息一起发送给接 收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对 称密钥解开信息，这种技术的安全性相当高。 ( 3 ) 数字签名 数字签名，日常生活中，通常用对某一文档进行签名来保证文档的真实有 效性，防止其抵赖。在网络环境中，可以用电子数字签名来模拟。把h a s h 函 数和公钥算法结合起来，可以在提供数据完整性的同时保证数据的真实性。完 整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的 h a s h ，而不是由其他人假冒。把这两种机制结合起来就可以产生数字签名。 8 ( 4 ) 数字时间戳服务 数字时间戳服务( d t s ) ，网络安全服务项目，由专门的机构提供，能提供 对电子文件发表时间的安全保护。时间戳是一个经加密后形成的凭证文档，它 包括三个部分：需加时间戳的文件的摘要、d t s 收到文件的日期和时间及d t s 的数字签名。 ( 5 ) 数字证书 数字证书，用电子手段来证实一个用户的身份及用户对网络资源的访问权 限。由于它由证书管理中心做了数字签名，因此，任何第三方都无法修改证书 的内容。数字证书一般有4 种类型：客户证书、商家证书、网关证书及c a 系 统证书。 2 5 审计技术 ( 1 ) 安全审计的概念 安全审计是对访问控制的必要补充，是访问控制的一个重要内容。审计会 对用户使用何种信息资源、使用的时间，以及如何使用( 执行何种操作) 进行 记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。 审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必 要。 ( 2 ) 安全审计的目标 审计技术出现在计算机技术之前，是产生、记录并检查按时间顺序排列的 系统事件记录的过程。安全审计是计算机和网络安全的重要组成部分。安全审 计提供的功能服务于直接和间接两方面的安全目标：直接的安全目标包括跟踪 和监测系统中的异常事件，间接的安全目标是监视系统中其他安全机制的运行 情况和可信度。所有审计的前提是有一个支配审计过程的规则集。规则的确切 形式和内容随审计过程具体内容的改变而改变。在商业与管理审计中，规则集 包括对确保商业目标的实现有重要意义的管理控制、过程和惯例。这些商业目 标包括资源的合理使用、利率最大化、费用最小化、符合相应的法律法规和适 当的风险控制。在计算机安全审计的特殊情况下，规则集通常以安全策略的形 式明确表述。并且，为了能完成合理的审计数据分析，策略表中还需要增加一 些不容易明确表述的规则【1 2 】【1 3 1 。 ( 3 ) 安全审计系统 审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括 审计发生器、日志记录器、日志分析器和报告机制等几部分【l4 1 。在理想的情况 下，日志应该记录每一个可能的事件，以便分析发生的所有事件，并恢复任何 时刻进行的历史情况。然而，这样做显然是不现实的，因为要记录每一个数据 包、每一条命令和每一次存取操作，需要的存储量将远远大于业务系统，并且 9 将严重影响系统的性能。因此，日志的内容应该是有选择的。通常，对于一个 事件，日志应包括事件发生的日期和时间、引发事件的用户( 地址) 、事件的源 和目的的位置、事件类型、事件成败等。接下来通过对日志进行分析，发现所 需事件信息和规律，这是安全审计的根本目的。日志分析就是在日志中寻找模 式，主要内容有潜在侵害分析、基于异常检测的轮廓、简单攻击探测、复杂攻 击探测。 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的 安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅 应该受到严格的限制，不能篡改日志。审计事件存储的安全要求有受保护的审 计踪迹存储、审计数据的可用性保证、防止审计数据丢失等。 传统意义的安全审计类产品包括网络设备及防火墙日志操作系统应用系 统日志、s n i f f ，s n o o p 类的工具、入侵检测类的产品等。现代网络安全审计则 突破了以往“日志记录”等浅层次的安全审计概念，是全方位、分布式、多层次 的强审计概念，真正全面实现c c 国际标准的安全审计功能要求，如图2 5 所 示为当今安全审计系统的一类典型配置i l 引。 生嘲r 岫i i 盎均j 嘏生埔i 驴t m p l l 喜的f 拂氇 图2 5 安全审计系统的典型配置【1 6 】 2 6 反病毒技术 病毒是一段程序，不同种类的病毒，它们的代码千差万别，任何人都不可 能预测明天将会出现什么新病毒。实际上，计算机病毒学鼻祖早在8 0 年代初期 就已经提出了计算机病毒的模型，证明只要延用现行的计算机体系，计算机病 毒就存在“不可判定性”。杀病毒必须先搜集到病毒样本，使其成为已知病毒， 然后剖析病毒，再将病毒传染的过程准确地颠倒过来，使被感染的计算机恢复 原状。因此可以看出，一方面计算机病毒是不可灭绝的，另一方面病毒也并不 可怕，世界上没有杀不掉的病毒。 ( 1 ) 常见的反病毒技术 l o 目前常用的反病毒技术有以下几种：基于对已知病毒分析、查解的特征码 技术和启发式探测未知病毒的虚拟机技术。特征码查毒方案实际上是人工查 毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同 类病毒的某一部分代码相同”的原理，但并非所有病毒都可以描述其特征码，很 多病毒都是难以描述甚至无法用特征码进行描述，使用特征码技术需要实现一 些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。虚拟机在 当今反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。所谓虚拟 机杀毒技术，即是在电脑中创造一个虚拟c p u 环境，将疑似病毒在虚拟环境中 激活，根据其行为特征，从而判断是否是病毒。一个比较完整的虚拟机，不仅 能够识别新的未知病毒，而且能够清除未知病毒。目前虚拟机的处理对象主要 是文件型病毒。对于引导型病毒、w o r d e x c e l 宏病毒、木马程序在理论上都是 可以通过虚拟机来处理的，但目前的实现水平仍相距甚远1 1 7 】。 图2 - 6 杀霉流程 ( 2 ) 杀毒软件气扫描算法的主要种类 从杀毒技术上来讲，杀毒软件是对付计算机病毒的最有效方法，但是没有 杀毒软件能1 0 0 的保证系统不被病毒感染。当前最流行的杀毒软件都是一个 扫描器，扫描的算法有多种，如病毒扫描、启发式扫描、c r c 扫描等。病毒 扫描是当前最主要的查杀病毒方式，它主要通过检查文件、扇区和系统内存、 搜索新病毒，用“标记”查找已知病毒，病毒标记就是病毒常用代码的特征。 启发式扫描是通过分析指令出现的顺序，或组合情况来决定文件是否感染，每 个对象都要检查，这种方式查毒效果是最高的，但也最可能出现误报。c r c 扫描的原理是计算磁盘中的实际文件或系统扇区的c r c 值( 检验和) ，这些c r c 值被杀毒软件保存到它自己的数据库中，在运行杀毒软件时，用备份的c r c 值 与当前计算的值比较，可以知道文件是否已经修改或被病毒感染。通常为了使 杀毒软件功能更强大，会结合使用若干种扫描方法。如图2 6 所示为当今最常 见的杀毒流程【18 1 。 2 7v p n 虚拟专用网( v i r t u a lp r i v a t en e t w o r k ，v p n ) 是一种“基于公共数据网，给 用户一种直接连接到私人局域网感觉的服务”，如图2 7 所示。它是在公共网络 上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。v p n 极大 地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性，是目前 和今后企业网络发展的趋势。企业租用本地的数据专线，连接上本地的公众信 息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的 拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。 v p n 提供用户一种私人专用( p r i v a t e ) 的感觉，建立在不安全、不可信任 的公共数据网的基础上，其安全性通过隧道技术、加密和认证技术得到解决。 在i n t r a n e tv p n 中，有高强度的加密技术来保护敏感信息：在远程访问v p n 中 有对远程用户可靠的认证机制。 总之，基于公共网的v p n 通过隧道技术、数据加密技术以及q o s 机制， 使得企业能够降低成本、提高效率、增强安全性。v p n 产品从第一代：v p n 路 由器、交换机，发展到第二代的v p n 集中器，性能不断得到提高。在网络时代， 企业发展取决于是否最大限度地利用网络。v p n 将是企业的最终选择【19 1 。 图2 7v p n 示意刚2 0 】 2 8 其他安全技术 ( 1 ) 智能卡技术 智能卡技术由授权用户持有并由该用户赋予它一个口令或密码字，该密码 字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。 ( 2 ) 安全脆弱性扫描技术 安全脆弱性扫描技术，它能针对网络分析系统当前的设置和防御手段，指 出系统存在或潜在的安全漏洞，以改进系统对网络入侵的防御能力。 1 2 ( 3 ) n 络数据存储、备份及恢复技术 网络数据存储、备份及恢复技术是当系统或设备不幸遭到灾难后就可以迅 速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种安全技术 方案【2 l 】。 2 9 安全体系理论模型 安全本身是一个动态的概念，安全集成是将多个安全工具整合于一体，使 其成为一个安全体系。本节简要介绍3 种安全体系理论模型。 2 9 1 基于时间的安全模型 基于时间的安全模型简称为t b s m 。其基本思想是：一个有效的安全体系是 由防护、侦厕、响应3 部分组成的有机实体，3 个方面缺一不可( 即p d r 模型) ， 该模型示意图如图2 8 所示。防护是指防火墙一类防御手段，侦测是指i d s 等 入侵侦测手段，而响应指网络系统对检测手段所发现的入侵企图作出的反应。 这三者之间有着以基于时间的简单关系：p d + r ，式中，p 代表防护手段所能支 持的时间，d 代表入侵侦测手段发现入侵行为所需的时间，而r 代表事件响应 设施产生效力所需的时间。由公式可知，如果在入侵者尚未能突破防护设施的 防御时检测系统已经发现了这一入侵企图，且响应设施随即进行了有效的处理， 尽管系统的防护设施不是百分之百有效( p ) ，但安全系统作为一个整体仍有可 能实现有效的防御。 3 p 防护d 侦测 q 应参 图2 - 8p d r 模型【2 3 1 2 9 2 可适应的理论模型 可适应网络安全理论或称为动态信息安全理论的主要模型是p 2 d r 模型。 p 2 d r 模型是一个动态模型，其中引进了时间的概念，而且对如何实现系统的 安全，如何评估安全的状态给出了可操作性的描述，p 2 d r 模型是对传统安全 模型的重大改进。p 2 d r 模型包含4 个主要部分：p o l i c y ( 政策) ，p r o t e c t i o n ( 防护) ， d e t e c t i o n ( 检测) ，r e s p o n s e ( 响应) 。防护、检测和响应组成了一个较完整的、动 态的安全循环。在安全政策的指导下保证信息系统的安全。p 2 d r 模型示意图 如图2 9 所示。 r 髂p i 啦e 图2 - 9p 2 d r 模型【2 4 】 2 9 3 基线安全理论 基线是指为保证计算机和网络安全的一组安全设置，例如访问的控制、服务 的控制、认证协议、通信协议等