（通信与信息系统专业论文）关键与正常应用保证及实时防护系统的设计与实现.pdf

中文摘要 关键与正常应用保证及实时防护系统的设计实现 专业：通信与信息系统 硕士生：欧阳烨 指导老师：李宁副教授 摘要 随着互联网的迅猛发展，出现了各式各样的应用层网络服务，网络攻击与入 侵开始转向应用层，传统的网络安全防护系统常常无法有效发挥其作用。 本论文是国家8 6 3 项目“基于应用行为规范的网络主动实时防护系统 的一 个子课题，同时也是对本项目组前期课题“关键与正常应用保证模块的设计与实 现 研究的延伸和扩展。本文深入研究了入侵检测和入侵防御技术，并对l i n u x 下的n e t f i l t e r i p t a b l e s 平台以及加载在该平台上的l 7 f l t e r 模块的原理和运行机 制进行了具体分析；针对项目组前期设计的系统检测能力以及发现攻击后防护措 施的效果有限等不足，提出了一种基于历史记录、通过优先级实时规范当前网络 应用行为的异常检测机制；通过对l 7 f i l t e r 模块作相应扩展，设计并实现了一个 具有资源优化和主动控制功能的关键与正常应用保证及防护系统。该系统能够采 集并统计各个应用信息；根据由历史数据建立的正常规范集，判断实时的应用行 为是否规范，进而为应用设定优先级：并通过与同项目组的t r a f f i cc o n t r o l 模块 的联动，使得系统在保证关键与正常应用的同时能够进行实时控制，因而极大地 提高了系统的防护能力。 测试结果显示，本系统正常情况下的资源优化，以及在网络出现异常情况下 的检测和控制均有良好的效果。本文的研究成果将为网络应用层的资源优化和实 时防护提供一种有价值的技术支撑和实现方案。 关键词：应用层防护，实时，异常检测，入侵检测，资源优化 英文摘要 d e s i g no f ag a r a n t e ea n dr e a l t i m ep r o t e c t i o ns y s t e mf o rk e y a n dn o r m a la p p l i c a t i o n s m a j o r ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m n a m e ：y eo u y a n g s u p e r v i s o r ： a s s o c i a t ep r o f e s s o rn i n gl i a b s t r a c t w i t ht h er a p i dd e v e l o po fi n t e m e t ，v a r i o u sk i n d so fn e t w o r ks e r v i c e sa p p e a r o n - l i n ea t t a c k sa n dn e t w o r ki n t r u s i o nt u r nt ot h ea p p l i c a t i o nl a y e r , w h i c hm a k e st h e t r a d i t i o n a ln e t w o r ks e c u r i t yp r o t e c t i o ns y s t e mi n e f f e c t i v e t h i sp a p e ri sas u b p r o j e c to ft h en a t i o n a l8 6 3p r o j e c t ：“a l la c t i v er e a l t i m e n e t w o r kp r o t e c t i o ns y s t e mb a s e do nr e g u l a t i o no fa p p l i c a t i o n s ”，a n da ni m p r o v e m e n t a n de x p a n s i o no f ”t h ed e s i g na n di m p l e m e n t a t i o no fak e ya n dn o r m a la p p l i c a t i o n s g u a r a n t e em o d u l e t h ep a p e rd e e p l ya n a l y z e st h ei n t r u s i o nd e t e c t i o na n dp r o t e c t i o n t e c h n o l o g y , a n ds t u d i e st h en e t f i l t e r i p t a b l e sp l a t f o r mo fl i n u x ，a n dt h e np u t s f o r w a r dh i s t o r y - b a s e da n o m a l yd e t e c t i o nt on o r m a l i z et h en e t w o r ka p p l i c a t i o n b e h a v i o rw i t hp r i o r i t i e s b yt h er e c a l l so fa n a l y z i n ga n dr e v i s i n gt h es o u r c ec o d eo f l 7 - f i l t e rm o d u l e ，t h ea u t h o rd e s i g n sa n di m p l e m e n t sak e ya n dn o r m a la p p l i c a t i o n g a r a n t e ea n dr e a l - t i m ep r o t e c t i o ns y s t e m t h es y s t e m c a nc o l l e c tt h ed a t ao f a p p l i c a t i o n s ，b u i l dan o r m a t i v em o d e l ，j u d g et h er e a l - t i m ea p p l i c a t i o nb e h a v i o r , a n d s e tp r i o r i t i e sf o rt h ea p p l i c a t i o np r o t o c o l s w i t l lc o l l a b o r a t i n gw i t l lt h et r a f f i cc o n t r o l m o d u l e ，t h es y s t e mo b t a i n sa ne x t r aa b i l i t yo fr e a l t i m ec o n t r o l ，w h i c hc a nh e i p s y s t e mf i l t r a t et h ep a c k e t so ft h ea b n o r m a la p p l i c a t i o np r o t o c o l sa n di m p r o v et h e p r o t e c t i o na b i l i t yo f t h ew h o l en e t w o r k t h ee x p e r i m e n tr e s u l t ss h o wt h a tt h es y s t e mi m p l e m e n t e db yt h i sp a p e ri s c a p a b l eo fo p t i m i z i n gt h en e t w o r kr e s o u r c e si nn o r m a ls i t u a t i o n , d e t e c t i n ga n d c o n t r o l l i n gi nt h ea b n o r m a ls i t u a t i o n t h i sp a p e rp r o v i d e sav a l u a b l et e c h n i c a ls u p p o r t a n di m p l e m e n t a t i o nf o rt h en e t w o r ka p p l i c a t i o nr e s o u r c e so p t i m i z i n ga n dr e a l - t i m e c o n t r o l l i n g k e yw o r d s ：a p p l i c a t i o nl a y e rp r o t e c t i o n ，r e a l t i m e ，a n o m a l yd e t e c t i o n , i n t r u s i o n d e t e c t i o n ，n e t w o r kr e s o u r c e so p t i m i z i n g 本人郑重声明： 原创性声明 所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成 果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表 或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 学位论文使用授权声明 政阳咩 加卢年月2 日 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 学位论文作者签名：翟匙诩啤 日期：2 啪年月乙日 导师躲名 日期：加f 薛多月日 第i 章绪论 1 1 课题的研究背景 第1 章绪论 近年来，互联网在全球范围内得到迅猛发展，无论是商业机构、政府部门还 是个人用户，都纷纷接入到i n t e r n e t 中。为了满足用户信息获取、网络娱乐、交 流沟通、商务交易等需求，各式各样的网络服务应用层出不穷。表1 1 展示了我 国2 0 0 8 年至2 0 0 9 年期间各类网络应用的使用状况及用户增长的情况： 表1 1 各类网络应用使用情况及用户增长【1 】 应用 网络音乐 网络新闻 搜索引擎 即时通信 网络游戏 网络视频 博客应用 电子邮件 社交网站 网络文学 论坛b b s 网络购物 网上银行 网上支付 网络炒股 旅行预订 2 0 0 8 年使用率 8 3 7 0 7 8 5 0 6 8 o o 7 5 3 0 6 2 8 0 6 7 7 0 5 4 3 0 5 6 8 0 3 0 7 0 2 4 8 0 1 9 3 0 1 7 6 0 1 1 4 0 5 6 0 2 0 0 9 年使用率 8 3 5 0 8 0 1 0 7 3 3 0 7 0 9 0 6 8 9 0 6 2 6 0 5 7 7 0 5 6 8 0 4 5 8 0 4 2 3 0 3 0 5 0 2 8 1 0 2 4 5 0 2 4 5 0 1 4 8 0 7 9 0 用户增长率 2 8 8 0 3 1 5 0 3 8 6 0 2 1 6 0 4 1 5 0 1 9 3 6 7 0 2 9 2 8 6 0 4 5 9 0 6 2 3 0 8 0 9 0 6 7 7 7 9 0 使用率排名 l 2o 3 4 5 6 7， 8 9 1 0 l l 1 2 1 3 1 4 1 5 1 6 增长率排名 1 1 9 7 1 3 6 1 4 8 1 0 1 2 5 4 l 3 2 从表中可以看到，与2 0 0 8 年相比，2 0 0 9 年各类网络应用的用户数量都在迅 速增长，特别是新出现的应用，例如网上支付、网络炒股、购物的增长率非常高。 另外，新的应用服务在不断涌现，以满足用户新的需求。 在网络规模飞速发展，应用领域不断扩大的同时，网络安全事件转向了应用 层，开始出现了基于应用层的攻击。 如图1 1 所示，安全事件攻击方式的多样化趋势明显，而且近年来不断地有 中山大学硕士学位论文 新的攻击方式出现。人们面临来自计算机网络安全的威胁日趋严重，网络安全问 题不仅会造成巨大经济损失，还会导致社会混乱等严重问题。在这种形势下，网 络安全的研究正得到越来越多的关注。 围1 1 几类常见安全事件的发生比倒p 1 2 国内外网络安全防护研究现状 v - u 一- 一1 1 h b m “岫n 憎m t i j d ) 一u i i 晰 e 辩 一b m 一一n 枷f n 山 d n s 2 0 世纪9 0 年代末，美国国际互联网安全系统公司o s s ) 提出了自适应同络安 全模型( a d a p t i v en e t w o r ks e c u r i t ym o d e l ) ，并呼吁在此基础上建立网络安全的标 准。该模型将安全蕈略( p o l i c y ) 作为核心，基于防护( p i o t e 五o n ) 、检测( d e t e c t i o n ) 和响应皿e s p o n 辨) ，因此称为p 2 d r 模型1 3 】。其体系框架如图1 - 2 所示： 围1 之p 2 d r 模型 p 2 d r 模型中，检测、响应、防护组成了一个整体的、动态的循环。根据p 2 d r 模型的思想，网络安全舫护系统通过采用多种网络安全手段相结合的方式，以安 全策略为核心，通过流量统计、异常分析、模式匹配、入侵检测等方式进行安全 第i 章绪论 检测；实时分析和统计检测的结果为系统快速响应提供依据；采取静态防护( 离 线) 与动态防护( 在线) 相结合的措施实施保护。而在众多的检测技术中，入侵检测 作为新兴的技术获得了广泛的关注。 早在19 8 6 年，s r i ( s t a n f o r dr e s e a r c hi n s t i t u t e ) 的e d e n n i n g 在文章“a n i n t r u s i o n - d e t e c t i o nm o d e l ”f 5 】中提出了入侵检测的概念应是计算机安全防护的范 畴，并且提供了一个通用的入侵检测系统框架，该模型能够通过检查系统的审计 记录辨识异常使用系统的入侵行为。 入侵检测的软件与硬件的组合就是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ， 简称i n s ) ，它通过从计算机网络或系统中的若干关键点收集信息并对其进行分 析，识别网络或系统中是否有违反安全策略的行为并向相关人士告警【6 】。与传统 安全产品的静态防护不同，入侵检测系统是一种动态的、实时的智能系统，能够 根据网络威胁、安全需求制定不同的安全策略。 防火墙是一种连接内部私有网与外部网的网关，用于抵御来自外部网络的攻 击【7 1 。在i d s 技术出现后，若在防火墙中部署i d s ，通过两者相互配合可以进行 更有效的安全防护。 i d s 作为新兴起的产品，一度成为过去许多年里最炙手可熟的网络安全技术 之一，然丽2 0 0 3 年6 月，咨询公司g a r t n e r 在研究报告“入侵检测灭亡，入侵防 御万岁”【8 】中分析了i d s 的缺陷和不足，提出i p s ( i n t r u s i o np r e v e n t i o ns y s t e m ，即 入侵防御系统) 将会在将来代替i d s ，引起业界热烈讨论。i p s 能为网络和系统提 供主动的防护，相对于i d s 而言，它可以预先对入侵活动和攻击性行为进行拦 截，而不是简单的在攻击流传送时或传送后才发出警报。i p s 部署在网络的进出 口处，当它检测到攻击企图后，会自动的将攻击包丢弃或采取措施将攻击源阻断。 上述几种安全系统均有各自的优势和缺点，都要面临计算机网络技术不断向 前发展的考验。比较一致的观点是，防火墙+ i d s 联动机制与i p s 会在今后相当 长一段时间并存，从长远来看，作为更新技术的i p s 发展势头会更好一些。一般 认为，i p s 将会继防火墙之后，成为网络入口的第二道防线。 虽然近年来网络安全技术取得了很大的发展，但还是存在不完善的地方。比 如对于大多数入侵检测系统而言，均存在误警和漏报等问题，系统经常处于大量 的报警事件中，反而没有对真正的攻击作出反应，在s a n g e e t h a 和v a i d e h i 实现 的基于应用层协议分析的i d s 里，系统通过定义规则集，对采集到的数据进行 孛由大学硕士学位论文 协议分析进而判断攻击行为，除了可能出现误警和漏报的问题外，系统的响应时 间也随规则集里规则的增多和检测数据量的增大而递增凹；独立i d s 的功能仅仅 局限于检测，防护能力十分有限；对于无法主动防护这一点，i d s 与防火墙联动 看上去似乎是一种很好的解决办法，例如唐言提出了这样的联动控制架构 i d s 与防火墙工作在客户服务器模式，在i d s 检测到攻击行为后，通过s s l 安 全协议进行通信，通知防火墙对攻击行为进行阻断f l o 】。然而由于两个系统的软 硬件标准不一致，在具体实现时，i d s 与防火墙不易联动，另外要达到实时防御 这一点，两者还需要有规范的通信次序和高效率。 1 3 研究目的及意义 本课题是8 6 3 项目“基于应用行为规范的网络主动实时防护系统 的一个子 课题，该系统能够根据应用、主机、用户的个体行为和它们的群体行为制定规范 集，作为衡量各主体的行为规范与否的标准，发展一种能够了解应用过程和群体 行为的通用方法，并采取规范各主体的实时行为的软控制措施。系统很好的解决 了提高网络主动防护系统的适应性和有效性的关键技术问题。 本课题同时也是对本项目组前期课题“关键与正常应用保证模块研究的延 伸和扩展。项目组在课题前期实现了一个能够检测应用层，优化网络资源的系统。 这是一个采用异常检测方式、基于协议分析的入侵检测系统，若网络中应用出现 与正常行为不符的异常，系统会将异常程度反馈给管理员。该系统虽然克服了传 统入侵检测的一些局限，但还存在一些缺陷。例如作为整个项目的模块之一，未 与其他模块整合测试，因此系统功能还局限于检测异常，不具备主动防御的功能； 另外，由于时间与实验条件限制，虽然功能测试能够达到设计需求，但还缺乏应 用性能测试，系统运行的效率和可靠性未能得到检验。 针对于项目前期存在的问题，本文作了如下创新和改进： 1 对联合系统的设计。通过与项目组另一模块，t r a f f i cc o n t r o l 模块( 后文简 称t c ) 联动，在原有检测的基础上真正实现了实时主动控制。这种实时控制能力 还能够帮助系统过滤掉恶意数据包，极大地提高整个防御系统的防护能力。 2 。提出了一种基于历史记录、通过优先级实时规范当前网络应用行为的异 常检测机制。 4 第1 章绪论 3 就单独系统而言，本文在原模块基础上，通过采用更为科学的统计方法， 改进了实时性和统计的精确性；增加了可识别应用层协议的数量，使得系统能够 统计最近出现的新应用；提出了模块化的设计理念，保持了系统良好的扩展性， 因此本系统可以很方便的移植到其他平台，也可以跟同项目组的其他模块重新组 合开发新的性能；对系统性能进行了更为全面的测试，例如对于系统运行的可靠 性和有效性等，一一列出了测试得到的详细数据。 1 4 研究的主要内容及安排 本文从入侵检测技术和入侵防御技术的基本概念入手，深入研究了现有网络 防护技术，进而引出基于应用行为规范的网络主动实时防护系统的特点；在对 l i n u x 下n e t f i l t e r i p t a b l e s 平台以及加载在该平台上的l 7 f i l t e r 模块的原理和运 行机制作了具体分析之后，进一步扩展了l 7 f i l t e r 源代码，提出了一种基于历史 记录、通过优先级实时规范当前网络应用行为的异常检测机制；通过与项目组的 t c 模块联动，设计并实现了一个在检测应用行为基础上具有实时主动控制功能 的系统；最后对本文设计的系统进行了实验验证及测试，验证了系统的可靠性和 有效性。 本文的结构安排如下： 第一章为绪论。主要介绍本文的研究背景，国内外网络安全防护技术的研究 现状，本文的研究目的和意义，研究的主要内容及其安排。 第二章是相关技术的概述。主要介绍了入侵检测技术、入侵防御技术的相关 概念，并阐述了基于应用行为规范的网络主动实时防护系统的特点。 第三章介绍l i n u x 下n e t f i l t e d i p t a b l e s 平台的原理和运行机制，然后对加载 在该平台上的l 7 f i l t e r 作了具体分析。 第四章是系统的设计与实现过程。在系统设计目标的基础上进行了整体设 计；将系统分成数据采集分析模块、统计模块、实时控制模块、管理模块四个模 块，分别进行了详细设计与实现；最后通过与t c 联动，实现了系统。 第五章是系统的实验测试。在自主搭建的实验环境下，对本文设计实现的系 统进行了验证功能和性能的多项测试，验证了系统的可靠性和有效性。 第六章是总结和展望，对全文进行总结并指出进步研究的方向。 中山大学硕士学位论文 第2 章相关技术和方法 本章主要从与本文设计的系统密切相关的入侵检测和入侵防御技术着手，分 别阐述了两种技术的概况、分类、发展趋势等特点，在此基础上比较了两者的异 同以及在应用方面的前景，进而引出“基于应用行为规范的网络主动实时防护系 统 ，并简单介绍其特点。 2 1 入侵检测技术 2 1 1入侵检测的概念 入侵( i n t r u s i o n ) ，是指任何试图危及计算机资源的完整性、机密性或可用性 的行为【l l 】。 19 8 0 年，j a m e sa n d e r s o n 在技术报告“c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n g a n ds u r v e i l l a n c e ，【1 2 1 中第一次提出了入侵检测的概念，这是对于入侵检测最早的 研究。他将入侵定义为：“入侵是导致系统不可靠或无法使用的，潜在的、有预 谋的、未经授权的访问操作行为。 提出了根据审计数据监视入侵活动的理论， 成为入侵检测的开创之作。 如今，对于入侵检测有了更为全面的定义：“对企图入侵、正在进行的入侵 或者已经发生的入侵行为进行识别的过程 f 1 3 】，入侵检测是一项很新的网络安 全技术，早已受到各界的广泛关注，它的出现是原有网络安全防护系统一个很好 的补充。 基于入侵检测技术的软硬件系统被称为i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) ，它 能够收集计算机系统和网络的信息，并对这些信息加以分析，对保护的系统进行 安全审计、监控、攻击识别，并作出实时的反应，例如，通过控制台向管理员告 警，关闭系统，断开网络连接等。 如图2 1 所示，在网络安全体系中，入侵检测处于独特的关键位置，它通过 数据和行为模式的特征来监控系统和网络，提供实时保护。防火墙只能对从外部 6 第2 章相关技术和方法 网到内部的访问进行一定控制，实施防护，而对于内部的攻击，以及绕过防火墙 的攻击无能为力。访问控制系统可以阻止低权限的人员越权访问系统，却无法保 证高级权限的人不做破坏工作。因此，i d s 的作用和功能就十分关键，它是防火 墙的合理补充，帮助系统对付网络攻击，提高了信息安全基础结构的完整性【1 4 1 。 内部有职权的人员 外部访问 防 火 墙 内部访问 监视外部人员l监视内部人员 受 保 护 系 统 实时监测系统l定时扫描系统 入侵检测系统 il 漏洞扫描系统 图2 1 入侵检测系统在安全体系中的位置【1 4 1 2 1 2入侵检测的分类 入侵检测系统按照分析方法可以分为误用检测和异常检测2 种，按照数据源 可以分为基于主机、基于网络和混合式3 种【1 5 】【1 6 1 ： 1 按数据源分类 1 ) 基于主机的i d s 研究( h o s t - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) 基于主机的i d s 是早期出现的系统，其检测的目标主要是系统本地用户。 它从单个主机上提取数据( 如系统日志、应用程序日志、审计文件等) 作为入侵 分析的数据源，寻找攻击特征和异常特征。 该系统的优点是能通过日志记录，十分精确的监视主机系统中的各种活动， 如对敏感文件、目录、程序或端口的存取；数据量小，检测效率和准确率高。其 不足之处在于可移植性差，依赖于特定的操作系统和审计跟踪日志；检测实时性 较差，仅依靠分析主机的审计记录，无法检测到来自网络的攻击。 2 ) 基于网络的入侵检测系统( n e t w o r k b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) n i d s 的核心思想是在网络环境下，对网络数据包进行分析。它通常利用一 7 中山大学硕士学位论文 个工作在混杂模式下的网卡来实现对网络数据包的捕获，实时监视并分析通过网 络的数据流，从而检测出可能存在的入侵行为。它的分析模块通常使用模式匹配、 统计分析等技术来识别攻击行为。一旦检测到了攻击行为，n i d s 的响应模块就 做出适当相应，例如报警、切断相关用户的网络连接等。 n i d s 的优点：具有更好的实时性；系统运行与网络检测点实际是并行的模 式，因此对受保护的网络系统性能影响极小；可移植性好，无需对原有系统和结 构进行改动。其局限性在于无法检测内部人员在授权范围内从事的非法活动；对 于网络数据包无异常，而只能通过主机状态的异常变化才能反映出来的攻击无能 为力；在协议解析和模式匹配过程中耗费非常高，需要有很高的解析协议效率， 以达到实时监控的效果。 3 ) 混合式入侵检测系统 混合式入侵检测系统就是将基于主机和基于网络两类系统集成到一起以取 长补短。许多机构的网络安全解决方案都同时采用了h i d s 和n i d s 两种入侵检 测系统，因为这两种该系统在很大程度上是互补的【1 7 1 。 2 按分析方法分类 1 ) 误用检钡l j ( m i s u s ed e t e c t i o n ) 误用检测是指系统已知入侵所独有的模式和特征，与特定目标的特定行为 进行模式匹配来实现检测。如何发现并表达入侵独有的模式或特征是误用检测的 关键。误用检测的优点是可以准确明晰地指出入侵的类型，并且误报极少。它的 局限性是，由于需要预先知道入侵的特征，因此只能发现已知的攻击，对未知攻 击无能为力。误用检测模型【1 9 1 如图2 2 所示： 8 图2 - 2 误用入侵检测模型 第2 章相关技术和方法 2 ) 异常检澳i ( a n o m a l yd e t e c t i o n ) 异常检测通过建立用户和网络应用在正常情况下的行为和状态的统计描述， 并分析这些统计量的当前值是否显著偏离了其相应的正常情况下的统计描述来 进行的检测【2 0 】。从描述网络应用的行为和状态等指标中选取统计度量，并根据 历史数据建立其正常模型，这是异常检测的关键。 异常检测的优点是对入侵特征的先验知识要求不高，有较为成熟的统计技术 可以应用。其缺陷是通常不能明确指出入侵的类型；在设置正常行为和状态的统 计量基线的时候，没有统一的标准；用户行为的一致性假设也并不是总能很好的 被满足，况且并非所有的入侵都表现为异常；系统没有灵活的处理方式，导致了 异常检测的误报率较高。另外，有经验的攻击者还能够使用分布式攻击行为而不 越过临界值的手段逃避异常检测技术的检查。异常检测模型如图2 3 【2 0 】所示。 图2 3 异常入侵检测模型 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统的防护 能力( 包括安全审计、监视、进攻识别和响应) ，提高了信息安全基础结构的完整 性。入侵检测是防火墙之后的第二道闸门，在不影响网络性能的情况下能对网络 进行检测，从而提供对内部和外部攻击的实时保护。 2 1 3入侵检测面临的问题与发展方向 入侵检测是- - f 比较新的技术，还未能完全成熟，存在一些自身技术上的困 难。如，误报和漏报的矛盾。大量的报警事件会分散管理员的精力，反而无法对 真正攻击作出反应。和误报相对应的是漏报，随着攻击的方法不断更新，i d s 能 9 中山大学硕士学位论文 否检测出网络中所有的攻击也是一个问题；隐私和安全的矛盾。i d s 可以收集网 络上所有数据，同时可以对其进行分析和记录，这对网络安全及其重要，但难免 对用户的隐私构成一定风险；被动分析与主动发现的矛盾。入侵检测系统是采取 被动监听的方式发现网络问题，无法主动发现网络中的安全隐患和故障。如何解 决这些问题是入侵检测产品面临的问题。 除了入侵检测技术自身的问题，i d s 还需要应对互联网发展现状的不断变 化，具体体现在以下几方面【2 l 】： 1 大规模网络的问题 i d s 大多运行在网络某个节点处。这对于小型网络足够，对于大型网络，则 只能部署在防火墙背后。随着现代网络规模的扩大，网络的拓扑结构也日益复杂， 往往包含多个子网，内部出口往往也不止一个。这使得i d s 系统的流量负担很 大，很难做出实时的检测。 2 网络应用多样化 现阶段网络的另一大特征是网络应用层协议复杂化，据统计现在i n t e r n e t 上 已经有6 0 0 多种网络协议、2 0 0 0 多种网络应用，为应用层入侵提供了很多机会， 大大加大了i d s 的负担。 3 入侵复杂化 随着网络的日益普及以及各种黑客工具的蔓延，入侵的复杂化趋势也越来越 明显，向着网络化，分布式，隐蔽化方向发展，入侵检测技术要适应这种趋势。 入侵检测的发展方向涉及到以下几方面： 1 协作式入侵检测技术研究。随着攻击模式的复杂化，入侵检测技术需要 有充分的协作机制，包括事件检测、分析和响应能力的协作，同一系统中入侵检 测部件之间的协作，不同安全工具之间的协作等。 2 入侵检测的标准化研究。统一标准有利于各个入侵检测系统间或i d s 与 其他安全产品之间的互联。 3 入侵检测系统在发现攻击行为后可以通过与防火墙的联动过滤掉攻击数 据包，即增加入侵检测系统的主动防御功能。 4 研究入侵防御系统i p s ，在实现入侵检测的同时，本身就可以组织入侵行 为，拦截行为与其分析行为处在同一层次，能够实时高效的将危害切断在发生之 前。i p s 技术将在下一小节详细介绍。 1 0 第2 章相关技术和方法 2 2 入侵防御技术 针对入侵行为的防御，目前占重要地位的部件是防火墙和i d s 。 防火墙作为企业级安全保障体系的第一道防线，已经得到了非常广泛的应 用，然而传统防火墙在使用过程中已暴露出以下弱点：入侵者可以设法绕过防火 墙；不能防止来自内网的攻击，通过调查发现将近6 5 的攻击来自于内部网：出 于防火墙效率的考虑通常不具备实时监控入侵的能力；防火墙对应用层数据包分 析能力有限等等。 而单纯的i d s 则具有较高的漏报率和误报率，管理和维护比较困难，只能 检测攻击不能阻止攻击等问题。 为了完成完全防御的需求，就需要将协议分析和在线防御相融合，这就是入 侵防御系统( i p s ) ：深层分析网络的实时数据，精确判定隐含其中的攻击行为， 实施及时的阻断。这就是入侵防御系统( i p s ) 的思想田】。 2 2 i入侵防御系统的概念 i p s 是一种主动的、智能的入侵检测，防范和阻止系统。其设计旨在预先对 入侵活动和攻击性网络流量进行拦截，而不是简单地在恶意流量传送时或传送后 才发出警报瞄l 。 i p s 在物理上的结构实现和设计思想上都沿袭了i d s 的设计特点：两者都从 网络中截获的网络数据包中找出攻击行为，根据事先定义好的安全策略做出判断 和响应。不同的地方是： i d s 只能接在网络的边缘，它是一种并联的接入方式，被动的监听网络，i p s 是串联进网络当中，主动检测网络信息流；i d s 是一种失效即敞开机制，当i d s 被攻击失效后，所保护的系统在攻击者面前就会完全敞开；i p s 是一种失效即阻 断机制，当i p s 被攻击失效后，它会阻断网络连接，使被保护资源与外界隔绝。 综上所述，真正的i p s 与传统i d s 有两点关键区别：接入方式和自动阻截。 2 2 2入侵防御系统的分类 i p s 根据部署方式可以分为2 类【2 4 】： 中山大学硕士学位论文 1 基于主机的入侵防护系统( h o s ti p s ，h i p s ) 顾名思义，h i p s 通过监视主机资源、网络服务和网络服务的客户端程序来 检测和阻断违反安全策略的行为。它在主机服务器上安装软件代理程序，防止 网络攻击入侵操作系统及应用程序，与具体的主机服务器操作系统平台紧密相 关，不同的平台需要不同的软件代理程序。进出这个特定系统的通信和应用程序、 操作系统的行为将被监视和检查，判断其是否存在攻击迹象。 h i p s 的检测准确度较高，能检测到没有明显行为特征的入侵，而且不会因 为网络流量而影响性能。但是h i p s 也存在不足：实时性较差；检测效果取决与 日志系统；占用主机的系统资源，增加系统的负荷；不同的操作系统需要开发出 不同的应用程序。 2 基于网络的入侵防护系统( n e t w o r ki p s ，n i p s ) n i p s 通常是作为一个独立的个体放置在受保护的网络上，将原始的网络分 组数据包作为数据源，一般利用一个网络适配器来实时监视和分析所有通过网络 传输的数据。一旦检测到攻击，入侵防御系统响应模块能够通过报警以及中断连 接等方式来对攻击做出反应。 n i p s 通常基于特定的硬件平台，来实现高流量的深度数据包检测和阻断功 能。当受保护的网络与其他网络之间交互的数据包通过n i p s 时，n i p s 将判断当 前通信是否存在攻击行为。n i p s 系统的攻击检测方法包括特征模式匹配、协议 分析和异常检测等等。 相对于h i p s ，n i p s 具有明显的优势：可以提供实时的网络行为检测；可以 同时保护多台网络主机；不影响被保护的主机的性能。当然，n i p s 也具有一定 的不足：检验性能受硬件条件的限制；不能处理加密后的数据等。 2 2 3i p s 面临的问题及发展前景 i p s 技术要面对诸多挑战，其中主要有3 点【2 5 】： 1 单点故障 由于i p s 必须以串联的模式工作在网络中，而这就可能造成单点故障的问 题。当i d s 出现严重故障时，最坏的情况也只是导致某些攻击无法被检测到， 而i p s 若出现故障时，受保护网络就会面临由于一个i p s 的关闭而出现全网无法 第2 章相关技术和方法 访问的严重问题。 2 性能瓶颈 i p s 存在一个潜在的网络瓶颈i p s 必须与数千兆或者更大容量的网络流 量保持同步。设计不够完善的i p s 在加载了数量庞大的检测特征库时，响应时间 增加，随之而来的是网络效率的降低。 3 误报与漏报 误报率和漏报率也同样是i p s 需要面对的问题。如果基于模式识别的入侵特 征编写得不十分完善，那么漏报就无法避免。对于基于异常检测的i p s 而言，一 旦拦截了具有“攻击性”的数据包，就会对来自可疑攻击者的所有数据流进行拦 截，这导致合法流量也有可能被意外拦截。发起正常流量而被误报的用户的所有 访问权限都会被关闭，此后该用户所有重新连接到该网络的合法访问都会被“尽 职尽责”的i p s 拦截。 当然，i p s 的不足并不会成为阻止人们使用i p s 的理由，因为安全功能的融 合是大势所趋，i p s 的提出顺应了这一潮流。研究者试图通过各种方式加以解决 如综合采用多种检测技术，采用专用硬件加速系统( f p g a 、网络处理器和a s i c 芯片) 来提高i p s 的运行效率等。随着时间的推移，i p s 的不断完善，相信i p s 会像防火墙一样成为和7 层的深层检测防火墙，变成网络入口的第二道阀门。 2 3 基于应用行为规范的网络主动实时防护系统简介 国家高技术研究发展计划( 8 6 3 计划) “基于应用行为规范的网络主动实时 防护系统 是要通过规范用户、主机的个体行为和它们的群体行为，主动、实时 地防范已知的和未知潜在的有害网络行为。规范用户、主机的个体行为和它们的 群体行为是指使这些行为与网络公众的共同行为特征相类似、与正常历史行为相 同、与事先约定的行为方式一致、与扮演的角色相符合。整个系统包含两个层次 上的防护：第一个层次是了解用户、主机和应用的个体行为和群体行为，并在此 基础上对这些行为进行规范；第二个层次是检测和阻止有害的网络行为。 系统的工作流程大致为：首先在网络出口或是系统的若干关键节点在线工 作，采集必要的数据。然后各模块选取各自所需的统计量进行相应的分析，如对 流量进行分析，用户、应用和主机所扮演的角色，分量分析，关键正常应用分析， 中山大学硕士学位论文 可信度评估以及对应用的过程进行跟踪。分析应用当前所处的状态，并预测应用 的下一个状态。最后在实时控制模块中根据各个模块分析的结果并进行相应的动 作，对应用数据进行处理，包括对流量进行整形限制流量、角色的度控制和协调 控制、排队控制和过程控制。对应用行为的异常偏离，采取的是整形、降低优先 等级、减少资源分配额度等软控制措施。 本系统的研究很好地解决了提高网络主动防护系统的适应性和有效性等关 键技术问题。 2 4 本章小结 本章首先介绍了入侵检测技术和入侵防护技术，并分析了两种网络安全防护 特点和分类，剖析了它们各自要面临的问题及发展的方向。进而针对现有的网络 安全防护技术不完全成熟的问题，简单论述了“基于应用行为规范的网络主动实 时防护系统 的特点和优点所在。本章为下一章的系统设计提供了研究基础。 1 4 第3 章n e f f i l t “1 p t a b l c s 和l t - f i l l e a - 平台 第3 章n e t f i l t e r i p t a b l e s 和l 7 f i l t e r 平台 3 1 n e t f i l t e r i p t a b l e s 平台 3 1 1 n e t f i l t e r i p t a b l e s 的总体架构 l i n u x 系统的防火墙机制n e t f i l t e r f l p t a b l e s 是继2 0x 的i p f w a d m 、2 2 x 的 i p e h a i n s 之后出现的新框架。在过去，i p f w a d m 和i p c h a i n s 都是通过一个核心模 块实现的，然而对于用户而言，却不能根据自己需求实现自定义编码功能。相对 于i p f w a d r a 和i p e h a i r t s 而言，n e m l 衙是一个重新设计并有很大提高的系统，它 采用了模块化设计，提供了一个对网络数据包的直接干涉降到最低的框架，允许 用户使用规定的接口，将其他的包处理代码以模块的形式添加到系统的内核中， 因此具有很好的灵活性。另外它的功能强大，实现了对数据包进行过滤、n a t 转 换等功能口q 。 n e 哂1 t e r 主要通过表，链来实现规则的分类如图3 - i 所示。可以这么说， n e t f i l t e r 是表的容器，表是链的容器，链是规则的容器，最终实现按照规则对数 据包进行处理。 r n a t l o c l j n 一 l o c a l o u t f o r w a r d_ = 一 一l 一一 p r e r o u t i n gj - 二：、 l o c a l o u t = = = _ = = ：= = l o c a l i n j 一 p q 5 】一一 乜塑! g 堕j “lh o o k s l a b e 5 h an s r ，p r e - 只o u t i n g 匝。1 l o 丽c a l o u t p 0 5 tr o u 3 3 g 豳3 1n e f f i r e r i p t a b l e $ 总体框架嘲 中山大学硕士学位论文 n e t f i l t e r i p t a b l e s 框架的体系结构主要包含以下三个部分【2 8 1 1 2 9 ： 1 n e t f i l t e r 的钩子机$ u ( h o o k ) 。 n e t f i l t e r 为每种网络协议( i p v 4 、i p v 6 等) 定义了一套钩子函数，这些钩 子函数在数据包流过协议栈的几个关键点被调用。在这几个点中，协议栈将把数 据包及钩子函数号作为参数，传递给n e t f i l t e r 框架调用。 内核的任何模块可以对任何网络堆栈中的钩子函数进行注册，实现挂接。这 样当某个数据包被传递给n e t f i l t e r 框架时，内核能检测是否有任何模块对该协议 和钩子函数进行了注册。如果注册了，则调用该模块注册时使用的回调函数，这 样模块就有机会检查、修改、丢弃该数据包或指示n e t f i l t e r 将该数据包传入用户 空间的队列。传递给用户空间的数据包被异步进行处理，用户进程能检查数据包， 甚至可以重新将该数据包通过离开内核的一个钩子函数注入到内核。这样，钩子 函数提供了一种方便的机制，在数据包通过l i n u x 内核的