（信息与通信工程专业论文）基于多核处理器高效入侵检测技术研究与实现.pdf

摘要 摘要 信息技术的飞速发展带来便利的同时也带来了更加严重的网络安全问题。传 统的网络安全技术如防火墙、入侵检测系统等存在着很大的不足：一方面，防止 越来越频发的“瞬间攻击”( 一个会话达到攻击目的) 无能为力；另一方面，这些 技术在实时阻断入侵攻击方面存在着明显的不足。因此网络安全专家提出入侵防 御系统概念，特别是千兆网络环境下的入侵防御系统，被认为必将成为网络安全 的主流技术。 入侵防御系统主要分为三大部分：数据包处理、入侵检测和入侵防御，其中 数据包处理的主要功能是对数据包进行协议解析、包重组。本文主要针对千兆网 络入侵防御系统中数据包处理后的入侵检测部分进行了研究，综合分析了多种安 全防御的机制，详细研究了千兆网络入侵防御系统的特点、实现原理、工作方式 以及关键技术，并在此基础上给出了一种高效的基于负载均衡的入侵防御系统解 决方案。主要内容涉及了以下几个方面： 1 详细介绍了千兆网络入侵防御系统的总体方案，包括硬件的选择、主要的 软件架构、入侵检测模块的设计和性能的考虑等。尽可能的提高网络入侵 防御系统的性能、增强其适应性。 2 针对网络带宽的增加对网络入侵检测系统提出的性能要求，提出了利用多 核专用网络处理器进行入侵检测，并给出相应的负载均衡策略。检测引擎 采用s n o r t ，实现到多核平台的移植和改进。 3 详细介绍了入侵检测模块的架构，包括检测引擎数据流图，单检测引擎的 规则组织结构改进、模式匹配算法在不同环境下适应性改进。 4 搭建了测试环境，编写了测试程序，对本文讨论的千兆网络入侵防御系统 的负载均衡子系统进行了功能测试和性能测试，并进行了性能分析。 测试结果表明，本文讨论的千兆网络入侵防御系统中数据包处理子系统的功 能和性能都能够达到预期的设计目标，并具有实用性。 关键字：网络安全，入侵防御系统，负载均衡，多核 a b s t r a c t a b s t r a c t t h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ya l s ob r o u g h tam o r es e r i o u s p r o b l e mo fn e t w o r ks e c u r i t y t r a d i t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g i e ss u c ha sf i r e w a l l s ， i n t r u s i o nd e t e c t i o ns y s t e m se x i s ts i g n i f i c a n td e f i c i e n c i e s ：o nt h eo n eh a n d ，t op r e v e n t m o r ea n dm o r ef r e q u e n t ”i n s t a n t a n e o u sa t t a c k ”( o n es e s s i o nt oa c h i e v et h ee f f e c to ft h e a t t a c k ) c o u l dd on o t h i n ga b o u ti t ；o nt h eo t h e rh a n d ，t h e s et e c h n o l o g i e si nr e a l - t i m e b l o c kt h ei n v a s i o no fa t t a c k st h e r ea r eo b v i o u sd e f i c i e n c i e s h e n c et h eu r g e n tn e e df o r n e wt e c h n i q u e sa n dt o o l st oe n s u r en e t w o r ks e c u r i t y , e s p e c i a l l yg i g a b i tn e t w o r kd e f e n s e s y s t e m sh a v eb e e nh i g hh o p e s ，w i l lb e c o m et h em a i n s t r e a mo fn e t w o r ks e c u r i t y t e c h n o l o g i e s g i g a b i tn e t w o r ki n t r u s i o nd e f e n s es y s t e mi sc o m p o s e do ft h r e ep a r t s ：t h ed a t a p a c k e tp r o c e s s i n g ，i n t r u s i o nd e t e c t i o na n di n t r u s i o np r e v e n t i o n t h ep r o t o c o ld a t a p a c k e t sa n a l y s i s ，r e s t r u c t u r i n ga r et h em a i nf u n c t i o n so f p a c k e tp r o c e s s i n g i nt h i sp a p e r , t h em a i nw o r ko ft h ea u t h o rf o c u s e so nt h ep a r to fi n t r u s i o n d e t e c t i o ni ng n i p s t h e a u t h o ra n a l y s e sm a n ym e c h a n i s mo fs e c u r i t yd e f e n s e ，s t u d i e st h ef e a t u r e ，i m p l e m e n t - a t i o np r i n c i p l e s ，w o r k i n gm e t h o d sa n dk e yt e c h n o l o g i e so fg i g a b i tn e t w o r ki n t r u s i o n p r e v e n t i o ns y s t e m a n dt h r o u g ht h e s es t u d i e s ，t h ea u t h o rg i v e sah i g h l ye f f i c i e n t i n t r u s i o np r e v e n t i o ns y s t e ms o l u t i o n sb a s e do nl o a db a l a n c i n g m a i n l yc o v e r i n gt h e f o l l o w i n ga s p e c t s ： 1 ad e t a i l e di n t r o d u c t i o no ft h eg i g a b i tn e t w o r ki n t r u s i o nd e f e n s es y s t e mo ft h e o v e r a l lp r o g r a m ，i n c l u d i n gh a r d w a r es e l e c t i o n , t h em a i ns o f t w a r ea r c h i t e c t u r e ，i n t r u s i o n d e t e c t i o nm o d u l ed e s i g na n dp e r f o r m a n c ec o n s i d e r a t i o n s p o s s i b l en e t w o r ki n t r u s i o n d e f e n s es y s t e mi m p r o v e sp e r f o r m a n c e ，e n h a n c ei t sa d a p t a b i l i t y 2 f o rn e t w o r kb a n d w i d t ht oi n c r e a s en e t w o r ki n t r u s i o nd e t e c t i o n s y s t e m p e r f o r m a n c er e q u i r e m e n t s ，p r o p o s e dm e t h o d sm a k eu s eo fd e d i c a t e dm u l t i - c o r e p r o c e s s o r sf o ri n t r u s i o nd e t e c t i o n , a n dg i v et h ea p p r o p r i a t el o a db a l a n c i n gs t r a t e g y , d e t e c t i o ne n g i n eu s i n gs n o r t , m u l t i - p l a t f o r mi m p l e m e n t a t i o na n di m p r o v e m e n to f t r a n s p l a n t 3 ad e t a i l e di n t r o d u c t i o no ft h ei n t r u s i o nd e t e c t i o nm o d u l ea r c h i t e c t u r e i n c l u d i n g m ed e t e c t i o ne n g i n ed a t af l o wd i a g r a m ，as i n g l ed e t e c t i o ne n g i n et ot m p r o v et h e o r g a i l i z a t i o n a ls 仃u c t u r eo ft h er u l e s ，p a t t e r n - m a t c h i n ga l g o r i t h mi nd i f f e r e n tn e t w o r k e n v i r o n m e n tt oi m p r o v ea d a p t a b i l i t y 4 t o b u i l dat e s te n v i r o n m e n t , t h ep r e p a r a t i o no ft h et e s tp r o c e d u r e sd i s c u s s e di n t h i sp a p e rg i g n b i tn e t w o r ki n t r u s i o nd e f e n s es y s t e m l o a db a l a n c i n gs u b s y s t e m f u n c t i o n a lt e s t i n ga n dp e r f o r m a n c et e s t i n g , a n d c o n d u c t e dp e r f o r m a n c ea n a l y s i s t b s tr e s u l t ss h o wt h a tt h ed i s c u s s i o ng i g a b i tn e t w o r ki n t r u s i o nd e f e n s es y s t e mi n p a c k e tp r o c e s s i n gs u b s y s t e mf u n c t i o n a l i t ya n dp e r f o r m a n c e a r ea b l et oa c h i e v et h e d e s i r e dd e s i g no b j e c t i v e s ，a n dr e l e v a n c e k e y w o r d s ：n e t w o r ks e c l 】r i t y , i n t r u s i o np r e v e n t i o ns y s t e m , l o a d b a l a n c i n gm u l t i 。c o r c i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下迸行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人己经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名： 望宅日期：如矽年多月日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 第一章绪论 1 1 课题研究背景 第一章绪论 随着计算机网络和信息技术的飞速发展和相互融合，尤其是互联网的广泛普 及和应用，网络正逐渐改变着人们的工作和生活方式。但是网络是一把双刃剑， 它给大家带来很多便利的同时，稍有不慎也给大家带来诸多困扰。小到聊天工具 密码丢失大到个人或公司重要资料被窃，每天都在我们周围或媒体上看到相关报 道，网络安全成为我们生活的一部分。国内的网络专家更是对目前存在的网络安 全隐患深表担忧。据统计【1 1 ，截至2 0 0 9 年1 月止，中国上网人数已经达到2 9 8 亿， 宽带网民数达2 7 亿，每天网络用户数还在不断增加。网络的应用领域更是不断的 扩大，这使得网络的安全问题也越来越突出，特别是一些和民众密切相关的应用 系统，如电信、金融、民航、电力等系统。c e r t c c ( c o m p u t e re m e r g e n c e yr e s p o n s e t e a mc o o r d i n a t i o nc e n t e r ) 统计了1 9 8 8 年到2 0 0 5 年间网络攻击总数的报告，如图 1 1 所示【2 】。我们可以看到1 9 9 9 年以后网络攻击数量成几何式增长。随着上网人数 的增加，各种网络交易平台的应用，计算机技术的大范围普及等因素，网络安全 问题日益突出，对网络安全技术提出的要求也越来越高。 网络安全主要是指保护网络信息系统使其实体安全、运行安全、数据安全和 管理安全。从技术角度上，网络安全的目标主要表现在系统的机密性、完整性、 可用性、可控性、真实性、抗否认性等方面，其中前三个被称为“信息安全金三 角【3 】机密性指的是确保网络信息系统不被非授权者获取和使用。换句话说，机密 性就是对抗对手的被动攻击，保证信息不被泄露给未经授权的人；完整性是真实 性的子集，完整性指的是保证信息是真实可信的，发布者不被冒充，来源不被伪 造，内容不被篡改；可用性指的是确保授权的用户在需要时可以正常使用信息。 此外，可控性( 对网络信息及信息系统实施安全监控) 也是网络安全需要特别关 注的特性之一。网络安全可以通过实行一套适当的控制措施来实现，这些控制措 施至少包括：安全策略、责任分配、安全教育培训、风险评估、事后审计等m 】。安 全措施的选择要考虑与降低风险相关的实施成本和潜在经济损失。 电子科技大学硕士学位论立 1 ”1 ”7 1 馨份”2 ”“1 2 ”2 ”2 ”“52 “ 垃圾邮件 图1 - 1 网络安全数量统计 络仿胃 一 “当1 图1 22 0 0 8 年上半年度网络安全事件类型分布 网络面临的威胁多种多样主要可以归结为几个方面：黑客攻击、管理疏忽、 网络协议缺陷、软件漏洞、网络内部攻击等。其中黑客攻击的手段更是层出不穷， 比如：病毒、蠕虫、木马、垃圾邮件、拒绝服务攻击等，图l 一2 给出2 0 0 8 年上半 年的各网络安全事件的比例。目前在i n t e r n e t 上广泛应用的网络协议是t c p i p 协 第一章绪论 议族的设计思想是该网络不会因局部故障而影响信息的传输，基本没有考虑安全 问题，后加入的安全协议有明显的不足。所以这些协议的安全漏洞经常被黑客利 用，如小分片攻击，d o s 攻击等就是如此。随着大规模集成电路和数据存储等技 术的不断发展，计算机处理能力成倍提升，软件规模不断增大，系统中安全漏洞 也不可避免地存在，即使是操作系统，无论是w i n d o w s 还是u n i x 几乎都存在或 多或少的安全漏洞【5 j 。网络安全问题不可避免的关系到每个用户。 为了应对网络每天面临的安全威胁，多种网络安全技术被开发出来。传统的 解决网络安全防护方法主要包括五个方面：防火墙、数字加密、数字签名、访问 控制以及入侵检测系统。加密技术利用各种加密手段使传输或保存的数据变成不 相关的乱码，用以保证数据的保密性。数字签名技术的主要功能是：保证信息传 输的完整性、发送者的身份认证、防止交易中的抵赖发生。访问控制技术是按用 户身份及其所归属的某个预定义组来限制用户对某些信息项的访问，或限制对某 些控制功能的使用。虚拟专用刚6 1 ( v p n ，v i r t u a lp r i v a t en e t w o r k ) 是一种访问控制 技术的一个成功的应用。防火墙是位于两个( 或多个) 网络间，实施网络之间访问控制 的一组组件集合。对内部网络与外部网络之间的数据传输进行有效控制和过滤， 达到保护内部网络的目的。从技术类型上防火墙可以分为两型：包过滤型防火墙 和应用代理型防火墙【7 】。包过滤型防火墙工作在o s i 网络参考模型的网络层和传输 层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许 通过。满足条件则转发，不满足则丢弃。应用代理型防火墙是工作在o s i 的应用 层。其特点是完全”阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序， 实现监视和控制应用层通信流的作用。入侵检测系统【8 】是近十几年发展起来的网络 安全检测技术，它通过在计算机网络中重要节点部署检测系统收集数据，通过各 种检测方法检测是否有破坏网络安全的行为【9 】。 虽然很多网络安全技术被应用到网络中，但是网络安全的问题仍然有愈演愈烈 的趋势，网络入侵攻击时有发生，在入侵防御系统被开发出来以前主要采用入侵 检测技术来应对网络安全问题。但是，入侵检测系统的防御能力是它的致命缺点， 很多入侵是非常快速的，入侵防御不及时将会同样造成重大损失。入侵检测技术 只能在攻击发生后检测出攻击，不能阻断正在发生的攻击。国际知名调研机构 g a r t n e r 在2 0 0 3 年6 月的一份研究报告【l o 】中称入侵检测系统已经“死了。g a r t n e r 认为入侵检测系统对网络安全没有起到太大作用，反而会增加人力资源的浪费， 并且建议用户使用入侵防御系统( m s ，i n t r u s i o np r e v e n t i o ns y s t e m ) 来代替入侵检测 系统。入侵防御系统的入侵检测部分类似于入侵检测系统，但入侵防御系统检测 3 电子科技大学硕士学位论文 到攻击后会立即采取行动阻止攻击，可以说入侵防御系统是建立在入侵检测系统 基础上的网络安全产品【1 1 】。目前，入侵防御技术逐渐成为热门的网络安全方面技 术之一【1 2 1 。对入侵防御系统的研究有很大的实际意义。 1 2 国内外发展现状 入侵防御系统的概念是n e t w o r ki c e 公司在2 0 0 0 年提出的。入侵防御系统特 点非常符合企业或其他用户的对网络安全系统的需求，所以在国内外都进行了不 同程度的研究和实现。在学术界进行这方面深入研究的同时，工业界也对入侵防 御系统的研发投入了大量的资金和人力，多家公司相继推出自己的入侵防御产品。 n e t w o r ki c e 公司在2 0 0 0 年9 月1 8 日推出了业界第一款i p s 产品【1 3 】：b l a c k l c e g u a r d ，它第一次把基于旁路检测的i d s 技术用于在线模式，直接分析网络流量， 并把恶意包丢弃。从2 0 世纪9 0 年代到现在，入侵防御系统的研发呈现百家争鸣 的局面，并在智能化和分布式两方向取得了长足的进展。随着产品的不断发展和 市场的认可，欧美的一些安全大公司通过收购小公司的方式来获得i p s 技术，并 推出自己的i p s 产品。比如i s s 公司收购n e t w o r ki c e 公司，发布了p r o v e n t i a ； j u n i p e r 公司推出i d p 系列产品【l 副；m c a f e e 公司收购i n t u r v e r t 公司，推出 i n t r u s h i e l d 1 6 1 。思科【1 7 1 、赛门铁克i s 、z i p p i n g p o i n t 1 9 】等公司也发布了i p s 产品。 目前国内业界由于对这类安全产品接触较少、认知不同，对于攻击误报、串接方 式、运行效率等问题还存在疑问，所以对i p s 产品的研究开发还不是很多，国内 的i p s 产品主要有启明星辰公司的天清汉马【2 川；绿盟公司的冰之眼【2 1 】网络入侵保 护系统( i c e y en i p s ) ；天融信公司的入侵防御产品t o p i d p 矧等。 根据来自i n f o m e t i c s 的数据，2 0 0 5 年第三季度，全球入侵检测和入侵防御系 统( n 3 s a p s ) 产品收入1 8 5 亿美元。i n f o m e t i c s 预测，到2 0 0 7 年，全球i d s i p s 产 品收入达到9 3 2 亿美元，2 0 0 3 2 0 0 7 年复合增长率为2 1 。其中，在线式的i p s 产品将支撑市场，而基于网络的传统i d s 的销量将大幅下滑。但是，在入侵防御 系统的技术发展上还是存在着一些缺陷，如：防御系统设备的处理速度低、性能 差、系统的漏报率和误报率高、容易出现单点故障等。虽然目前的入侵防御系统 尚存在以上的一些不足，但同其它的防御手段相比，i p s 系统仍有其很大的优势， 它以更全面、更智能的检测与防御方法，使用户的网络免受多种类型的网络入侵 与攻击。而且随着国内外专家对其研究的不断深入，i p s 系统功能将不断完善，必 将成为目前网络安全市场的主流产品。 4 第一章绪论 1 3 本人主要工作 入侵防御系统的特点决定了它将面临着巨大的需求量，尤其是政府部门、企 事业单位等。本论文课题来源为电子基金项目高可靠、高性能入侵防御系统研 发与产业化，该项目的目标是设计一款千兆网络入侵防御系统，包括探针硬件平 台及相关软件、攻击数据库和监控中心。作者作为该千兆网络入侵防御系统的研 发人员之一，参与了千兆入侵防御系统的整体架构设计，并负责千兆入侵防御系 统的入侵检测引擎的设计与实现，希望能够为这个项目和网络安全领域做出有益 的探索。 作者通过对入侵防御系统的特点和主要的瓶颈进行深入的研究和比较分析， 开展了一系列理论研究和开发工作，主要有： 1 参与了入侵防御系统的整体架构设计，包括硬件平台的选取和软件体系结 构的设计。 2 针对基于网络的入侵防御系统千兆处理能力的需求瓶颈，提出利用多核网 络服务处理器实现多个检测引擎并行检测的思想。并提出了利用动态负载 均衡算法m d l b 解决待检测数据被分流后的检测准确率降低问题和因检 测引擎处理速度不同引起的负载不均问题。 3 为测试负载均衡算法的有效性，搭建了测试环境。通过和常见的负载均衡 算法r r 比较发现，m d l b 算法在多检测引擎的情况下对检测准确率有很 大提高。当数据流量最大时，应用m d l b 负载均衡的系统检测准确率下降 缓慢。 4 检测引擎采用开源软件s n o r t 的检测引擎，并在其基础上进行了一定的改 进。改进了入侵规则的内存组织形式，使规则匹配更加快速。针对规则模 式串和网络状况对模式匹配算法效率的影响，提出了一种自适应多模式匹 配方法。 5 按软件工程思想书写了入侵防御系统中的入侵检测引擎的需求分析、概要 设计和详细设计，并进行了部分编码工作。 1 4 论文章节安排 论文一共分为七章： 第一章，绪论。介绍课题的研究背景，当前入侵防御系统国内外研究现状。 电子科技大学硕士学位论文 概述论文的主要工作和论文的章节结构。 第二章，高效入侵检测引擎总体设计。首先对入侵防御系统进行概述性说明， 并指出基于网络的入侵防御系统的优势；然后介绍基于网络的入侵防御系统的原 理和工作方式；接着介绍本文原型系统的总体结构和作者做的主要工作入侵 检测引擎设计；最后分析入侵检测引擎设计要面对的几个问题，给出解决方法， 设计入侵检测引擎架构。 第三章，多核网络处理器并行检测技术。分析多检测引擎并行技术的关键点， 提出利用动态负载均衡算法m d l b 保证检测准确性和检测引擎负载均衡，并给出 算法的实现细节。 第四章，入侵检测引擎的改进。介绍检测引擎原理。提出改进入侵规则内存 组织形式以加快匹配效率。分析各种多模式匹配算法的优缺点，提出自适应多模 式匹配方法和系统_ d a p m a 系统提高引擎适应性。 第五章，软件平台的设计和实现。在上述工作的基础上，按照软件工程的规 范，详细讨论入侵检测引擎的设计方案，提出系统的总体框架结构并给出各主要 模块的详细设计。 第六章，性能测试和分析。搭建负载均衡算法m d l b 的测试环境，和常用负 载均衡算法r r 进行比较，分析测试后的结果。 第七章，结论。对本文的工作进行总结，并对下一步研究进行展望。 6 第二章高效入侵检测引擎总体设计 第二章高效入侵检测引擎总体设计 本章首先分析当前网络入侵检测技术的不足，并从入侵防御的特点和现状说 明入侵防御系统将成为网络安全领域的主流技术之一；第二节给出网络入侵防御 系统的原理和面临的主要挑战，并给出应对策略；第三节介绍作者论文原型系统 的总体架构及作者的主要工作内容，并指出其中的关键技术。最后进行了总结。 2 1 入侵防御系统概述 2 1 1 当前应对网络入侵技术的不足 目前最常见的应对网络入侵的技术主要有三种：防火墙技术、入侵检测技术 和病毒防护技术。防火墙几十年前就被使用于应对网络安全问题，并得到了网络 安全专家充分的研究和应用。入侵检测技术最早出现于八十年代。入侵检测技术 从提出到现在已经得到十足的研究，多种方法被应用于入侵检测。基于网络的病 毒防护技术通过对流经网络硬件设备的网络流量进行检测来检测病毒，利用多层 次、多种类安全性策略，防止网络入侵。下面对这几种技术的优缺点进行分析： 1 防火墙技术 防火墙设备对所有进出受保护主机或网络的数据流进行允许控制，防护墙设 备一般部署在内部受保护网络和外部因特网之间，只有被防火墙设置安全策略允 许通过的数据包才能够通过防火墙，用以阻止入侵数据包不能进入受保护网络，内 部敏感信息不泄露n # t - 部网络。防火墙可以检查进出网络数据包的协议类型、源 地址、目的地址和端口号以及数据包的内容，决定是否允许其通过。 在逻辑上防火墙是过滤器、隔离器和监控器。防火墙监控流通过它的所有数 据包，根据预先设定好的过滤规则，只放行那些被授权的数据包通过，并且对非 法数据包进行记录，进行深入分析。防火墙按技术类型可以分为：包过滤技术和 代理技术。包过滤技术类防火墙经历了简单包过滤、动态包过滤、状态检测和深 度包检测技术共四个阶段的演变。在实现上看，防火墙分为硬件防火墙和软件防 火墙。 防火墙的类型很多，用户可以根据自己的需要，选择不同种类的防火墙。防 火墙在应对网络安全威胁的历史中发挥了巨大的作用。但是，随着计算机网络的 7 电子科技大学硕士学位论文 普及，各种攻击手段涌现，防火墙的作用越来越小，防火墙的弱点也逐渐暴露出 来，主要有下面几点瞄3 j ： ( 1 ) 内部网或个人主机的活动端口不能被防火墙关闭，这些端口可能会成为安 全漏洞。 ( 2 ) 利用被保护网络或主机的后门可以轻易穿透防火墙。 ( 3 ) 防火墙设备存在安全风险。 ( 4 ) 来自内部被保护网络的攻击防火墙是无法检测的。 ( 5 ) 防火墙不能主动防御入侵，对入侵无法追踪。 因此，防火墙只能在一定范围保护网络安全，认为部署了防火墙就可以高枕无 忧的想法是不现实的。要保护你的网络免于安全威胁，就必须和其他安全措施结 合起来。所以，随着防火墙的发展，多种安全技术被融合进防火墙，防火墙与入 侵防御系统的界限逐渐消失。 2 入侵检测技术 入侵检测技术是在1 9 8 0 年被j a m e s a d c r s o n 提出来的。入侵检测技术通过从计 算机网络或计算机系统中的若干关键点收集信息并对其进行分析，发现各种违法 安全策略的行为或意图并得出攻击结果，以保证被保护信息的完整性、机密性和 可用性的计算机安全技术【2 4 】。入侵检测技术的主要功能有：对规则库中已有的入 侵检测规则进行检测；对网络中的异常流量进行监视；生成日志记录入侵行为并 给事后关联分析提供依据。入侵检测系统按部署环境分为t 基于主机的入侵检测 系统( h t d s ) 、基于网络的入侵检测系统( n i d s ) 。 不管i d s 是按照什么方式分类，它们采用的方法和技术主要由误用检测( 也 称为特征检测，m i s u s ed e t e c t i o no rs i g n a t u r ed e t e c t i o n ) 、异常检测( a n o m a l y d e t e c t i o n ) 和蜜罐系统组成。基于特征的入侵检测系统，必须从一个或多个网络数 据包中提取出特征的模式。如果发现这些模式中有与已知模式相匹配，检测系统 就能检测出攻击的发生。但它只能检测出已知模式的入侵，基于特征的系统就不 能检测新型的攻击。同时，对特征的错误理解会产生误报。特征可以通过多种方 法取得，从手工提取特征到用传感器进行自动训练或学习取得。因为一个特征是 从一种已知的攻击抽象而来，对基于特征的鉴别器来说相对容易鉴别出攻击的类 型。当前基于特征的入侵检测分析工具是最常用的且检测准确率最高的入侵检测 手段，但因不能测试新型的攻击模式，它还不能提供一个完全的入侵检测解决方 案。基于异常的入侵检测系统( a n o m a l y - b a s e di d s ) ，是基于以下思想：正常工作 下的受保护系统有一定的“特征基准 ，例如c p u 占用率、磁盘活动、用户登陆、 第二章高效入侵检测引擎总体设计 文件访问等等。一旦偏离这一“特征基准 检测系统就被触发。基于异常的入侵 检测把正常的系统环境当作“特征基准。异常检测的主要优点是能够识别出未知 攻击。但正常的操作产生的变化可能会产生误报，并且有可能把入侵行为当作正 常行为而产生漏报现象。而且系统很难确定攻击的类型。蜜罐系统【2 5 】通过模拟一 个或多个包含漏洞的主机来诱骗攻击者，让攻击者的攻击目标可控。但是作为蜜 罐的主机并不会主动和外界进行服务连接，攻击者的主动连接将会作为可以行为 被发现。简单的说蜜罐是一个网络安全防御者精心布置的陷阱，用来捕获和拖延 入侵者。入侵检测系统的研究和应用非常广泛，基于神经网络、基于小波分析和 基于有限状态自动机等技术都被应用在其中。 基于主机的入侵检测系统对指定用户的用户、系统行为进行监控，对来自外 部的入侵行为进行检测。通过对系统日志、检测日志和报警信息等进行分析来发 现入侵行为，阻止后续的入侵发生。h i d s 的保护重点是主机，非法的或异常的用 户行为和对文件的访问将会被检测出来。根据权威机构的调查显示，8 0 以上的入 侵都是来自受保护网络或主机的内部，基于主机的入侵检测系统通过对被监控对 象的行为异常等情况来应对内部入侵。具有代表性的基于主机的入侵检测系统有n i d e s ( n e x t - g e n e r a t i o ni n t r u s i o nd e t e c - t i o ne x p e r ts y s t e m ) t 2 6 和m i d a s ( m u l t i e si n t m s i o nd e t e c t i o na n da l e r t i n gs y s t e m ) 口7 1 ，n i d e s 对用户行为等进行概率论分析 发现异常，m i d a s 则对用户行为等作为状态，利用状态转移进行异常分析。h i d s 可以对保护对象的系统行为进行监控。比如用户登录和退出行为、用户的敏感操 作、关键的文件的读取或改变和可执行文件的改变等。h i d s 通过审计功能可以确 认入侵行为是否成功以确认风险，h i d s 适与被加密和交换的环境。但同时，h i d s 却有以下缺点： ( 1 ) 由于企业中每个主机的配置和用途情况不同，在企业中给每个连入网络中 的主机安装h i d s 很困难，而那些没有被安装h i d s 的主机将会被利用， 成为企业安全防护的漏洞。 ( 2 ) h i d s 受主机的操作系统影响很大，操作系统的漏洞将会影响h i d s 性能。 ( 3 ) h 1 d s 会占用主机资源，降低设备的效率并可能造成软件冲突。 ( 4 ) h i d s 依赖于被保护主机的能力，有些主机不能被部署。 网络入侵检测系统f n r d s ，n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ) 检测设备部署点 的网络数据信息。通过抓取流经部署节点的网络数据包，网络入侵检测设备利用 多种检测手段进行入侵检测，网络中的数据包协议种类很多，但大部分是t c p i p 协议数据包。抓取后，对数据包进行协议还原和入侵检测，一些n i d s 并未对数据 9 电子科技大学硕士学位论文 包进行深层还原，只是在o s i 模型的底层就进行模式匹配；也有一些n i d s 采用 异常检测方法进行检测。无论在那种情况下，n i d s 都被认为是比较滞后的网络入 侵防御手段。常见基于网络的入侵检测系统如s n o r t 2 8 】、b r o 2 9 1 。但与基于主机的 入侵检测相比，基于网络的入侵检测系统的优点突出。n i d s 主要的优点有： ( 1 ) 对被保护主机的影响小。由于n i d s 主要部署在交换机等关键的网络节点 上，不需要在被保护主机上安装任何软件，对主机的性能影响小。 ( 2 ) 对网络服务影响小。n i d s 不会成为网络中的关键节点，只需要对网络数 据包进行拷贝分析，不会影响网络设备的正常服务。被保护主机是否在线 不会影响检测效果。 ( 3 ) 部署成本低。只需要在几个主要的网络关键节点部署检测设备，不需要对 所有被保护主机上部署软件，成本相对较低。 ( 4 ) 可以检测h i d s 不能检测的攻击。n i d s 可以检测数据包的头部信息来发 现入侵，而h i d s 不能检测数据包的头部信息。比如碎片包攻击等。 ( 5 ) 操作系统无关性。n i d s 和被保护主机的操作系统的类型没有关系。 ( 6 ) 可以记录攻击者攻击证据。n i d s 是对网络中的数据包进行检测，所以可 以发现一些攻击者的实时信息。捕获的数据包中可能含有攻击者的一些信 息，同时可能发现一些不易被发现的攻击企图。 虽然基于网络的入侵检测系统的优点突出，但是面对目前的网络安全状况还 是有一些不足，具体如下： ( 1 ) 基于网络的入侵检测系统不能够实时的阻断正在发生的攻击。事后发现 时，入侵造成的损失已经无法挽回。 ( 2 ) 基于网络的入侵检测系统的防御手段有限，不能对在网络中传输的数据包 进行丢弃等处理，只能和防火墙等设备联动。 ( 3 ) 基于网络的入侵检测系统对加密数据处理能力较弱，需要硬件加速。 3 病毒防护 计算机病毒【3 0 】对所有计算机用户来说都不陌生，从上世纪八十年代产生到现 在计算机病毒的种类增加迅速，传播方式也在不断的进化。通过移动数据载体、 网络等多种途径传播，计算机病毒危害性非常大。多种杀毒软件被开发出来，但 仅靠单机杀毒软件不能杀灭病毒。必须有基于网络的防毒产品。 传统的单机版病毒防护软件有下面几个缺点t ( 1 ) 对病毒库的依赖性大，只能发现有特征的病毒，对未知病毒无能为力。 ( 2 ) 只能杀灭被保护主机硬盘上的病毒，不能在根源上阻断病毒。 1 0 第二章高效入侵检测引擎总体设计 ( 3 ) 防病毒软件可能会造成和被保护主机上的软件冲突。 ( 4 ) 病毒库更新不及时可能使防病毒软件失效，目前可以使防病毒软件失效的 病毒经常出现。 与单机版防病毒原理不同，基于网络的防病毒技术可以对网络流量进行检测， 通过对被保护主机与网络进行的网络通信进行检测，可以防止网络中的病毒感染 到主机或主机上的病毒扩散到网络中。 但是，无论是基于主机还是基于网络的病毒防护技术，都只是对已知的病毒 进行检测和杀灭，对其他类型的攻击达不到防御效果，要不断的更新病毒库。病 毒防护技术的防御滞后问题也是一个不小的问题。虽然目前杀毒软件还很有市场， 但是它不是一个健全的企业级的入侵防御解决方案。 总结上面的几种当前应对网络入侵的技术发现这些技术主要的不足点是实时 阻断能力不足。随着用户安全意识的不断增强，入侵检测技术被越来越重视。入 侵检测系统通过抓取流经被检测节点的网络数据包，通过各种检测手段检测入侵 然后报警和记录日志，使网络安全管理员能清楚地了解网络上发生的事件，并能 够采取行动阻止可能的破坏。然而它只能够检测攻击，而不能实时阻止攻击。当 采取行动时可能入侵的破坏已经无法挽回了。换言之，仅仅依靠网络入侵检测系 统对企业起不到需要的保护等级【3 1 1 。 为了应对实时阻断能力不足的问题，安全工程师采取了几种应对方法。主要 的阻断方法有两种：t c pr e s e t 方法【3 2 】和i d s 与防火墙联动方法。t c pr e s e t 方法 指的是当入侵被入侵检测系统检测到后，同时向通信双方发送t c pr e s e t 包来结束 本次有问题的通信。下面是这种机制存在的问题： ( 1 ) 通信双方的信息交换是非常快速的，当入侵检测系统检测出本次会话有问 题时，可能通信已经结束，入侵造成的损失已经无法挽回，则发送重置数 据包起不到阻断的效果。 ( 2 ) 网络上的通信协议很多，不仅仅是t c p 协议，比如u d p 等。但是t c pr e s e t 只是t c p 协议中的重置包，对其他协议起不到作用。 ( 3 ) 由于t c p 协议的“滑动窗口”问题可能导致攻击方接收到t c pr e s e t 包， 但是在“滑动窗口乃外而不被接受，则本方法将会失效。 与防火墙联动方法同样存在致命缺点，当入侵检测系统检测到有入侵时，会 将对应的入侵通信的详细信息发送给防火墙。构造防火墙规则可以在入侵检测系 统端或防火墙端，假设是在防火墙端，则防火墙根据入侵通信的详细信息提取出 过滤规则，阻断本次入侵。但是这种联动方式同样会有阻断滞后现象发生，当入 电子科技大学硕士学位论文 侵检测系统检测到入侵时，可能入侵已经完成，阻断并没有达到想要的效果。同 时这种方法还会引起另外的安全威胁，比如拒绝服务攻击【3 3 】。当攻击者假冒合法 用户的m 进行入侵时，防火墙将会生成规则阻断来自这个合法用户的请求，当入 侵者不断伪造多个m 时，被保护服务器将会被拒绝服务攻击。所以说利用这种方 法实现的阻断，并没有达到预期的效果，还会引入额外的安全威胁。 另外，防火墙与i d s 联动的系统是一个非常复杂的系统，这个系统需要两个 设备，维护起来比较浪费人力。如果任何一个系统发生故障将会影响整个系统。 入侵检测系统和防火墙之间的接口统一问题也是一个不得不考虑的问题。防火墙 的多样化造成接口定义标准不统一，这会给入侵检测系统的设计带来困难。 2 1 2 入侵防御系统定义 随着网络入侵事件的不断增加、黑客攻击水平的不断提高和网络设备的不断 更新换代。网络上病毒的传播速度加快，攻击速度不断提升，而当网络安全产品 对受到攻击做出响应的时间却越来越不及时。传统的防火墙或入侵检测等网络安 全技术已经越来越不能满足人们的需求，被动防御技术对新的攻击方法往往不能 正确识别，从而陷入被动的地位，这就需要引入一种全新的网络安全技术入 侵防御系统1 3 4 ( i n t r u s i o np r e v e n t i o ns y s t 锄，m s ) 。 i p s 是一种智能的、主动的入侵检测、防范、阻止系统【3 5 1 。它不仅具备侦测 与预防的能力，更重要的是有响应与管理的能力。它部署在网络的进出口处，当 它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。但是 它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤，最大程度地地保证 系统的安全。 i p s 可以被视作是增加了主动阻断功能的i d s 。与i d s 相比，i p s 具有三个显 著特点：一是建立在稳定和可靠的平台上，成为网络通信线路的一部分；二是像 交换机那样运行，需要专门的运行硬件( 这里是指基于网络的i p s ) ；三是作为网络 基础结构的一部分，i p s 既能实时监视入侵还能实时阻止入侵，提供主动式的安全 保障。所以，i p s 绝不仅仅是增加了主动阻断的功能，而是在性能、检测能力和可 靠性等方面都比i d s 有更高的要求。 2 1 3 入侵防御系统分类 1 基于主机的入侵防御( h i p s ) 1 2 第二章高效入侵检测引擎总体设计 h i p s 在被保护主机朋艮务器上安装软件代理程序，用于检测和阻挡针对被保护 主机的网络安全威胁。h i p s 是增加了主动阻断功能的h i d s 。c i s c o 公司的o k c n a 、 n a i 公司的m c a f c ee n t c r c e p