（通信与信息系统专业论文）分离机制下入侵检测与防火墙应用研究.pdf

中文摘要 中文摘要 摘要：随着以网络为中心的信息时代的来临，互联网在短短几十年内以迅猛 的发展速度，带动了整个社会的巨大进步。近年来接入终端的数量急剧扩大，互 联网也从单纯的静态接入向移动接入发展。由此带来复杂环境下互联网的应用问 题和网络安全问题。 分离机制网络以主机身份与位置分离为设计思想，将互联网体系划分为接入 网与核心网两大部分，很好地解决了互联网的扩展性及移动性。但是新网络体制 下的安全研究还没有得到重视。在新的网络机制下，如何应用入侵检测系统和防 火墙系统，及时发现入侵行为，并实时做出有效响应，保证接入网和核心网的安 全，有着重要的研究意义。 本文以此为背景，研究分离机制网络的接入网安全问题，提出了分离机制下 入侵检测系统和防火墙系统的应用方案，并对该方案进行具体实现和验证。文章 首先对分离机制网络技术、入侵检测与防火墙技术具体理论进行概述。在此基础 上深入分析了分离机制下接入网的安全优势和问题。在对分离机制网络、入侵检 测和防火墙系统进行分析理解之后，通过对可能的入侵行为分析，从若干方案讨 论中得出分离机制接入网的安全增强方案：基于网络入侵系统检测接入网入侵行 为、防火墙控制接入网通信流量，i d s 与防火墙联动实时阻断接入网严重入侵行为， 基于主机入侵检测系统保护接入路由器和核心网安全。 该方案充分利用了入侵检测和防火墙的特性，不仅实现了对分离机制接入网 的全方位安全检测控制，更是达到通过保护接入路由器来保护核心网、防患于未 然的目的。为实现该方案，本文选择了基于主机的入侵检测系统o s s e c ，基于网 络的入侵检测系统s n o r t ，l i n u x 下防火墙i p t a b l e s 和s n o r t i p t a b l e s 联动模块s n o r t s a m 进行应用研究。为验证实现效果，本文在分离机制原型网络下进行了三部分功能 验证和测试：分离机制i p v 4 和i p v 6 接入网的入侵检测；分离机制i p v 4 接入网严 重入侵行为实时阻断；接入路由器及核心网的入侵保护和实时响应。结果表明系 统初步达到了设计的功能要求。 后续工作应从提升分离机制下整个入侵检测与防火墙系统的性能与管理方案 入手，以分布式系统，私有安全网络和服务器客户端模式为基础，实现大规模的 应用部署能力。 关键词：分离机制网络；网络安全；入侵检测系统；防火墙 分类号：t n 9 1 5 0 8 a b s t r a c t a b s t r a c t a b s t r a c t ：黝t h ec o m i n go ft h ei n f o r m a t i o ns o c i e w , t h ei n t e r n e th a sh a da r a p i dd e v e l o p m e n ti nj u s taf e wd e c a d e s m e a n w h i l e i tb r i n g st h et r e m e n d o u sp r o g r e s s o fs o c i e t ya saw h o l e i nr e c 锄ty e a r s ，t h en u m b e ro fa c c e s st e r m i n a l se x p a n d e d d r a m a t i c a l l y , m a k i n gt h ef o r m a ls i m p l ei n t e m e tt ob e c o m et oa n e wo n ew i t ht h em o b i l e a c c e s sc a p a c i t yc o m p a r e dt ot h es t a t i ca c c e s ss i t u a t i o n s m e a n w h i l e ，t h ec o m p l e x i t y p r o b l e mo ft h ea p p l i c a t i o n sr o s e ，a sw e l la st h en e t w o r ks e c u r i t yi s s u e so ft h ei n t e r a c t e n v i r o n m e n t b a s e do nt h et h o u g h to ft h es e p a r a t i o no ft h ei d e n t i t ya n dt h el o c a t i o no fah o s t ，t h e s e p a r a t i o n - a n d m a p p i n gn e t w o r ki sd e s i g n e dt om a k et h ed i v i s i o no f t h ew h o l ei n t e r a c t i n t ot w op a r t s ：t h ec o r en e t w o r ka n dt h ea c c e s sn e t w o r k i t sav e r yg o o ds o l u t i o nt ot h e f a c to ft h ee x t e n s i o na n dm o b i l i t yp r o g r e s so ft h ei n t e r n e t h o w e v e r , t h es e c u r i t ys y s t e m i nt h en e wn e t w o r ki sm u c hl e s sc o n s i d e r e dt h a nn e e d e d t h es i g n i f i c a n c eo ft h es t u d y i so b v i o u s w h i c hi sf o c u s e do nt h eu s eo fi n t r u s i o nd e t e c t i o ns y s t e ma n df i r e w a l l s y s t e mt od e t e c ti n t r u s i o n sa n dm a k ee f f e c t i v ea n dr e a l t i m er e s p o n s e ，t oe n s u r et h e s e c u r i t yo fb o t ha c c e s sn e t w o r ka n dc o r en e t w o r ki nt h es e p a r a t i o n - - a n d m a p p i n g n e t w o r k i nt h i sp a p e r , t h es e c u r i t yp r o b l e m sa r es t u d i e di nt h es e p a r a t i o n a n d - m a p p i n g a c c e s sn e t w o r k ap r o p o s a li ss u g g e s t e da b o u tt h ed e p l o y m e n to fi n t r u s i o nd e t e c t s y s t e m a n df i r e w a ui nt h en e wn e t w o r k t h i sp a p e rf i r s ti n t r o d u c e s t h e s e p a r a t i o n - a n d m a p p i n gn e t w o r kt e c h n o l o g y , t h ea r c h i t e c t u r ea n d t h ei m p o r t a n te n t i t i e s ， a n do v e r v i e w st h ei n t r u s i o nd e t e c t i o ns y s t e ma n df i r e w a l lt e c h n o l o g i e si ns p e c i f i c a d e e pa n a l y s i s i sm a d eo ft h e s e c u r i t ya d v a n t a g e s a n d p r o b l e m s u n d e r s e p a r a t i o n - a n d m a p p i n gn e t w o r k ，a n ds o m es e c u r i t ys c e n a r i o sa r ed i s c u s s e d b a s e do n t h e p r e v i o u s w o r kt h e s e c u r i t y e n h a n c e m e n t p r o p o s a l i s r e p r e s e n t i nt h e s e p a r a t i o n a n d m a p p i n gn e t w o r k ：n e t w o r k b a s e di n t r u s i o nd e t e c ts y s t e mf o ra c c e s s n e t w o r ki n t r u s i o nd e t e c t i o n ，f i r e w a l lf o rc o m m u n i c a t i o nc o n t r o l ，i d sa n df i r e w a l l i n t e r a c t i o nf o rr e a l t i m ed i s c o n n e c t i o no fs e v e r ei n t r u s i o n s ，a n dh o s t b a s e di d sf o rt h e s e c u r i t yo f b o t h a c c e s sr o u t e r ( a r ) a n d t h ec o r en e t w o r k t h ep r o p o s a lm a k e sf u l lu s eo ft h ef e a t u r e so fi d sa n df i r e w a l l ，a c h i e v e s c o m p r e h e n s i v ei n t r u s i o nd e t e c t i o no ft h ea c c e s sn e t w o r k ，a n di m p l e m e n t sp r e v e n t i o no f t h ec o r en e t w o r kt h r o u g ht h ep r o t e c t i o no ft h ea c c e s sr o u t e r 1 1 1 es o l u t i o n sa r eb u i l tu p v 北京交通人学硕士论文 w i t hs o m eo u t s t a n d i n go p e n s o u r c es o f t w a r e ，s u c ha sh i d so s s e c ，n i d ss n o r t ， i p t a b l e sa n d s n o r t s a mw h i c ha l l o w sf i r e w a l l st om a k er e s p o n s ea c c o r d i n gt ot h es n o r t s a l e r t s t h et e s ta n dv e r i f i c a t i o nw o r ki sd o n ew i t ht h r e ep a r t s ：i n t r u s i o nd e t e c t i o ni n s e p a r a t i o n a n d m a p p i n gi p v 4 i p v 6b a c k b o n ea c c e s sn e t w o r k ，r e a l t i m ed i s c o n n e c t i o n o fs e v e r ei n t r u s i o n si nt h eb a c k b o n ea c c e s sn e t w o r k ，a n di n t r u s i o np r o t e c t i o na n da c t i v e r e s p o n s eo fh i d so n t h ea r p r e l i m i n a r yr e s u l t ss h o wt h a tt h es o l u t i o n sh a sr e a c h e dt h e f u n c t i o n a lr e q u i r e m e n t s s o m ef o l l o w i n gw o r ks h o u l db e d o n ei nt h ep e r f o r m a n c ea n dm a n a g e m e n t a p p r o a c ho ft h ei d sa n df i r e w a l ls y s t e m d i s t r i b u t e ds y s t e m ，p r i v a t es e c u r i t yn e t w o r k ， a n dc sm o d ec o m m u n i c a t i o ns h o u l d b eu s e d ，a n dt h er e a l i z a t i o no fl a r g e s c a l e a p p l i c a t i o nd e p l o y m e n tc a p a b i l i t i e sa c h i e v e s k e y w o r d s ：s e p a r a t i o n a n d - m a p p i n gn e t w o r k ；n e t w o r ks e c u r i t y ；i n t r u s i o n d e t e c t i o ns y s t e m ；f i r e w a l l c l a s s n o ：t n 9 15 0 8 北京交通人学硕士论文 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：缈牛 签字帆 纱净乡月砂r 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： ，1 黝彳 7 f聊签名彩够 签字日期：2 - 1 年占月，彩日 签字日期：2 7 年月膨日 致谢 本论文的工作是在我的导师张思东教授的悉心指导下完成的，张思东教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢二年来 张思东老师对我的关心和指导。 周华春老师对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。周华春老师和刘颖老师悉心指导我完成了实验室的科研工作，在学习 上和生活上都给予了我很大的关心和帮助，在此向周华春老师，以及刘颖老师表 示衷心的谢意。 在实验室工作及撰写论文期间，赵鹏、许涛、孙亮、陆程遂等同学对我论文 中的研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢我的家人和朋友，他们的理解和支持使我能够在学校专心完成我 的学业。 祝我们的下一代互联网国家重点工程实验室有着更加灿烂的明天! 引言 1 引言 本章综述分离机制下入侵检测与防火墙应用的研究背景，国内外研究发展现 状，选题意义，以及论文的主要工作。 1 1 研究背景 互联网在其产生的三十余年里得到了迅猛的发展和广泛的应用。其发展速度， 发展规模之快让所有人始料未及。i n t e r n e t 从一些小规模的、低流量的、简单的应 用网络，逐渐演变成了当前庞大的、海量信息传输的、复杂的网络【1 1 。互联网的先 驱者们秉承了自由开放的原则，把这些内涵赋予了互联网，使它成为了普及全球 各个国家，大众化的，社会化的网络。 现代的i n t e m e t 犹如一个真正实在的社会一样，存在着各种形式的角色，各种 规模的组织与个人实体。d , n 个人用户，家庭网络，社团组织，大到如跨国公司， 党政部门系统、金融业务系统、企业商务系统等，都共享同一个i n t e r n e t ，同时在 上面分享信息，传递资料。如果所有的通讯信息都经过相同的方式传递，这必然 会导致一些大的安全问题。假设一封机密资料要由i n t e m e t 从甲组织传到乙组织， 这个过程中就会出现一些安全上的问题。例如：如何能保证接受这份资料的人是 乙，而不是丙，或者丁? 能不能避免第三者根据网络地址判断出甲和乙的身份? 能不能防止第三者对甲乙通讯的破坏行为? 能不能检测出存在第三个人在监听甲 和乙之间的通讯传输? 这些问题具体到当前的互联网中，主要就存在如下的几个问题： ( 1 ) i p 地址f 2 】的意义。i p 地址顾名思义即网络地址，也就是说它本来的用意是 用来标识一台主机或一个网络在i n t e r n e t 上的地址的。当前的互联网中，i p 地址的 用途有很多。在路由器位置，i p 地址直接被用作数据包的路由转发策略的判决依 据。在主机位置，i p 地址被用来表示接受数据包的合法身份，应用层程序的通信 接口。在一些基于身份验证的安全措施中，i p 地址用来标识主机的身份。这些情 况表明i p 地址似乎就是一个“万能的”标识，它可以用来做很多事情。但是，随 着互联网的发展，尤其是移动互联网的出现，i p 地址被随意地，含义模糊地使用， 在新的网络坏境下，出现了越来越多的问题。 ( 2 ) 网络流量的分析与检测。网络中大部分通信流量是正常的，但不能排除存 在少量的，同时具有潜在威胁的流量。产生这部分流量的行为一般被称作入侵行 为，即：所有企图危及到网络资源机密性，完整性的行为。当前的网络中，访问 北京交通人学硕士论文 控制及身份鉴定是保证网络安全性主要的两种方法。但是，网络中还存在着其它 威胁，这些威胁是上述两种方法无法解决的。例如蠕虫攻击，特洛伊木马，黑客 工具的攻击等等。因为攻击者或攻击程序可以通过某种“合理”的方式，获得了 相应的身份权限，导致上述安全策略作用的完全消失。如何弥补访问控制及身份 鉴定的缺陷? 最合理的逻辑就是分析网络的流量，从而判断流量的合法性。当然， 这需要消耗很多的计算机及网络资源。随着大规模集成电路以及软件技术的发展， 高速流量的分析与检测已经成为了现实。 ( 3 ) 网络内容的过滤与定向。在现实社会中，个体的活动范围是有一定限制和 规律的。例如，具有法国国籍的法国人不能随便到美国国境内部从事任何活动； 监狱里的罪犯在刑满释放之前只能在监狱内和其它一些限制区域内活动，等等。 网络中的通信也是如此。i n t e r n e t 被划分为一块一块的地址，每个地址再被细划分 为更小的网络。每个小的网络都是一个部分自制的组织。其它网络的流量不能不 受任何限制的到本网络来，尤其是恶意流量。同样，本网络的流量也不能不受任 何限制。实现这种功能的网络设备主要是防火墙。 i 2 国内外发展与研究 虽然关于i p 地址含义与应用的讨论已经被越来越多地提及，但目前国内外对 于互联网体系的研究仍然停留在理论研究和建议阶段。网络地址转换( n e t w o r k a d d r e s st r a n s l a t i o n ，n a t ) 技术于1 9 9 4 年在r f c1 6 3 1 中被首次提出，随后又被 r f c3 0 2 2 所代替【3 j 。n a t 产生的初衷是用来解决互联网i p 地址不足的问题。它的 设计思想也暗含了保护内网i p 地址机密的含义，实际的效果就是外网通讯对端并 不能知道内网用户的真正i p 地址是什么。在这之后，身份与位置的说法被正式的 提出来，并出现了些身份与位置分离的方案。主要有：主机身份标识协议h i p 【4 j ， 在通信终端协议栈内加入新的一层，用于表示用户的身份，而i p 层还是用来表示 位置。i e t f 于2 0 0 6 年把h i p 协议研究从草案状态转为了r f c ( r f c4 4 2 3 ：h o s t i d e n t i t yp r o t o c o l ( h i p ) a r c h i t e c t u r e ) 。此外还有c i s c o 公司提出的提出的位置身份 标识协议l i s p ( l o c a t o r i ds e p a r a t i o np r o t o c 0 1 ) 协议【5 】【6 】【7 】等，它与h i p 的思想主要 区别在于从网络设备上着手，而不是从终端上去解决身份与位置的分离问题。在 各种的身份与位置分离的网络中，关于安全基础设施的研究还很少。主要是因为 这些网络体系结构本身还不完善，基础设施方面的安全问题受到的关注还不够。 关于防火墙的研究，国外的研究起步较早，技术与产品也较为先进。例如 c h e c k p o i n t 公司的f i r e w a l l 防火墙，c i s c o 公司的p i x 系列防火墙，很早就采用了 基于状态监测的包过滤技术。n e t s c r e e n 的防火墙产品将防火墙，i p s e c 安全框架， 2 引言 虚拟专用网( v p n ) 及流量控制等功能集成在了专用硬件中，有效提高了高负载 情况下的产品性能。开源社区的l i n u x 下防火墙i p c h a i n s ，以及后续的新一代防火 墙i p t a b l e s 8 】通过插件式的架构，实现了状态检测，流量控制，日志分析等强大功 能。国内的防火墙以硬件防火墙居多，例如天融信，联想网御，中科网威等国内 公司的相关产品。i p v 6 9 】下防火墙的研究一直在进行着。c h e c k p o i n t 已经可以提供 i p v 6 的防火墙。思科提供了延伸的a c l 在他们的1 0 s 当中。6 w i n d 公司提供了一 个完整的防火墙与过渡到i p v 6 的解决方案。开源社区的l i n u x 下n e t f i l t e r i p t a b l e s 框架已经初步支持了对i p v 6 协议的支持，实现了i p v 6 下的包过滤技术。 关于入侵检测系统的情况，国外市场的i d s 比较成熟，比较著名的有c i s c o 公司的c i s c os e c u r ei d s 。该产品的特点是软硬件紧密结合，采用包括控制器，传 感器和监测的模块结构。c a 公司的入侵检测系统s e s s i o nw a l l 可以扫描整个网段 中所有信息，从而达到监测的目的。国内著名的i d s 厂商主要有绿盟科技和启明 星辰。绿盟科技的“冰之眼 i d s 能够实现千兆级别的流量监测，具有完善的i p 分片处理和随见攻击检测能力。启明星辰的“天阗”入侵检测与预警系统，具有 全局性网络安全管理能力。i p v 6 下i d s 的研究还处于起始的阶段，i e t f 在i p v 6 网络的规划中，网络层是要实现i p s e c 1 0 】对i p 通信的保护的。在现阶段的i p v 6 实 现中，网络层的通信并没有实现i p s e c ，i p s e c 的协议也还在完善之中，尤其是密钥 协商的协议i k e ，现阶段i k e v 2 t 版本还在考虑互联网移动性【1 2 1 的支持。著名的 开源i d s s n o r t 已经初步支持i p v 6 协议的一些监测。 1 3 课题意义和主要工作 1 3 1选题意义 随着电子科学技术的大规模进步，网络终端从传统的静止终端迅速发展成为 移动终端，互联网对移动性的支持被越来越多的学者和专家所关注。无线接入技 术的发展更是大大地促进了计算机互联网、电信网和广播电视网的三网融合。i p 地址的原始含义被扩展成了众多的其它含义和用途，以用来支持种类复杂的网络 以及接入环境。随之而来的互联网安全形势也变得异常严峻。 分离机制网络的提出很大程度上解决了现有互联网存在的一些问题。分离机 制网络的主要思想是i p 地址不再同时用作标识主机身份，与数据包的网络路由。 在新的体系中，网络中的主机使用主机标识，数据包的传输使用路由标识，两者 是分开的。现有分离机制网络仅仅由于协议的先进性，较当前网络提高了安全性。 但是，分离机制网络下还缺乏一些安全措施，例如流量过滤，流量分析，访问控 3 北京交通人学硕十论文 制等。分离机制网络下的安全基础设施还没有建立。 针对本文1 1 小节举例提出的典型安全问题，以及分离机制网络下的特殊安全 状况，本文研究入侵检测系统和防火墙在分离机制网络下的应用方案，以试图很 好的从安全基础设施的角度上，补充和完善分离机制网络的安全问题。 1 3 2论文主要工作 本文在研究了分离机制网络，入侵检测和防火墙系统理论的基础上，研究基 于l i n u x 操作系统下分离机制，i d s 以及防火墙的应用研究。论文详细分析了分离 机制接入网的安全问题，并对分离机制下入侵检测系统和防火墙的应用做了细致 的方案研究和对比分析，得出了一整套分离机制接入网安全的增强方案。在此基 础上实现了分离机制网络下的h i d so s s e c 对接入路由器的实时保护和主动响应， n i d ss n o r t 和i p t a b l e s 分别在i p v 4 下的功能以及两者的联动机制，并对下一代互联 网i p v 6 协议下的s n o r ti p v 6 应用部署做了研究。最后对分离机制i p v 4 i p v 6 网络下 的入侵检测与防火墙系统进行了验证和测试工作。论文共分为血章，各章安排如 下： 第一章引言，介绍研究背景、国内外研究现状、选题意义及论文主要工作。 第二章概述了分离机制网络特点和体系结构，入侵检测与防火墙理论、相关 分类，技术标准等技术原理。 第三章深入研究了分离机制网络的安全优势，存在的安全问题，详细分析和 比较了几种入侵检测系统与防火墙的应用方案。在这两点的基础上，提出了分离 机制下接入网的四部分安全方案。 第四章为具体实现该方案，设计了基于主机入侵检测系统o s s e c ，网络入侵 检测系统s n o r t ，防火墙i p t a b l e s ，以及s n o r t i p t a b l e s 联动的分离机制口v 纠i p v 6 接 入网安全增强系统，并对该系统进行了口v 4 和i p v 6 下的验证与测试。 第五章总结全文，并为分离机制接入网安全研究做下一步展望。 4 分离机制网络安全研究 2 分离机制网络安全研究 本章从基础理论和技术入手，概述了分离机制网络的基本原理和体系结构， 并从安全基础设施的角度概述现有入侵检测与防火墙相关的理论和技术。 2 1 分离机制网络技术 本节讨论分离机制网络的相关概念，网络的体系结构，网络的层次划分，以 及主要网络实体等内容。 2 1 1分离机制网络概述 当前互联网体系结构中，i p 地址语义过多，即同时作为设备的身份标识和位 置标识。随着新业务的不断出现，人们对移动性的要求越来越高，而i p 地址的双 重身份导致一些问题难以解决，如移动、多家乡、i p 地址重分配等。虽然随着移 动i p v 4 和移动i p v 60 3 】的出现，i p 网络的移动性支持大大增强，但是口地址双 重身份的问题一直制约其性能的改进。于是在此问题上出现了将身份标识和位置 标识分离的思想，例如c i s c o 公司提出的l i s p 协议，以及i e t f 主机标识符协议 ( h o s ti d e n t i t yp r o t o c o l ，h i p ) 工作组目前正在的进行传统i p 地址的用户标识和位 置分开的技术研究。这些协议都从不同的思路着手去解决身份位置绑定的问题。 分离机制的引入，也是为了能够很好地解决上述的m 地址含义不明的问题。 分离机制下的网络通信采用“间接通信 的方式，即应用身份与位置标识分 离的技术，来完成网内终端的通信。分离机制网络用最简单的话可以概括如下：( 1 ) 用户在接入网络时，会从路由器得到一个表示自己身份的接入标识a i d ( a c c e s s i d e n t i f i e r ) ，就像普通互联网主机得到一个i p 地址一样；( 2 ) 而在用户与对端通信时， 需要从接入路由器获得一个可用的交换路由标识r i d ( r o u t ei d e n t i f i e r ) ，以便在核 心网内对数据包进行选路和转发。这一部分功能作为终端是体会不到的，它完全 由分离机制的核心网来完成这一部分。因此，总体而言，现有互联网可以无缝地 过渡到分离机制的网络。 在分离机制移动网络中，采用基于接入标识与交换路由标识分离映射机制的 通信方案，为语音、数据、图像等服务提供一个分离机制的通信平台。接入标识 代表终端的公开身份信息；交换路由标识代表终端的位置信息。当用户移动位置 5 北京交通大学硕十论文 时，保持原来的接入标识不变，只需改变交换路由标识，即改变二者之问的映射 关系，实现分离映射。 这种身份与位置分离的设计思想能使得用户的隐私性、可控可管性和移动性 在分离机制网络中得以很好的实现。具体表现在如下几个方面： l 、保证用户的隐私和安全。接入标识仅代表用户的身份，而交换路由标识仅 仅用于核心网络进行交换路由。接入标识和交换路由标识分离后，代表用户身份 的接入标识不会在核心网络上传播，使得其他用户不可能通过截获核心网络的信 息分析用户的身份，保证了用户的隐私性；也不可能通过用户的身份来截获他们 的信息，保证了用户信息的安全性。 2 、保证了各种接入网络及终端的移动性。各种接入网络在移动到其它位置之 后，仅其交换路由标识需要发生变化，代表用户身份的接入标识不需要发生变化， 只需要改变交换路由标识和接入标识的映射关系。这样，用户的连接不需要中断 就可以保证用户继续接受各种服务。 3 、实现了多元化接入网络与终端( 如互联网中的固定网络、移动网络和传感 网络等，电信网中的各种接入网络和终端等) 的统一接入，克服了传统互联网和 电信网的接入网络单一的问题，拓展了网络服务的范围。 实施分离映射机制之后，网络的通信过程有别于传统互联网。对于传统互联 网来说，通信建立之前，通过d n s 等手段获取对端的i p 地址，并以此作为目的地 址发送数据包。而分离映射机制实施之后，通信源端通过d n s 得到的是对端身份 标识符，即接入标识，接入标识不能像i p 地址一样用于核心网的选路、转发，因 为它代表的是用户身份，而非位置信息。 在分离机制网络中，接入路由器是完成分离映射的主要实体，它为接入的终 端分配一个合法的交换路由地址。在通信连接建立时，接入路由器首先通过位置 管理系统查询通信对端的交换路由标识，在数据包到达时，接入路由器还要将交 换路由标识替换成为终端的接入标识，之后才能交付目的主机，这一替换转发的 过程就在分离机制网络中实现了分离映射的机制。 采用这种分离映射机制之后，对终端的身份和位置信息需要进行有效的管理， 这样才能保证一次通信连接的建立。下面概述分离机制网络的体系结构，并对网 络中的主要实体作出简要介绍。 2 1 2分离机制网络体系结构 图2 1 包含一个完整的分离机制网络的主要功能实体。 6 分离机制网络安全研究 q 繁“ 您 萨一m 豳2 - 1 分离机制网络基础结构 f i 9 2 - 1s e p a r a t i o n - a _ n d - m a p p i n g n e t w o r k i n f r a s t r u c t u r e 如图2 一l 所示，从整体结构上看，分离机制网络由两大部分构成：接入网部分 和核心网部分。接 网部分的核心设备是接入路由器，它负责接入州内所有身份 标识的具体分配和管理以及相应路由标识的映射关系存储，动卷调整等功能。 接入路由器可【三【连接多种网络设备，例如普通的用户终端备种服务器。接入路 由器连接标证! 转换器之后，可以连接一些常用的办公殴备。接入路由器连接移动 接入点a p ( a c c e s sp o i n t ) 之后，可以在下面组成一个或多个无线网络。接入路由器 还可以连接其它普通的交换设备，用以组成更大规模的子网。 分离机制核心网部分由核心路山器、认证中心和映射服务器组成。核心路由 器的功能同普通互联网的核一t l , 路由器一样，主要负责数据包的选路和转发等功能 0 4 1 。需要注意的是这里传输的数据包头地址为路由标识r i d ，而不是i p 地址。映 射服务器是负责接入标识与路由标识映射关系的设备。认证中，t l , 足负责验证接八 设备足否合法的设备。 f l j 】i 介绍分离机制蚓络的上要州络实体： 1 接入路山器( a c c e s s r o u t e l a r ) 接八交换路山位于核心网的边缘，它负责各种刚络、终端的接入，同时对接 入到网络巾的终端和子网进行接入控制管理。接入变换路由器还负责为终端用户 分配变换路由标泌，埘数据报文的接入标识进行映射解析。 2 核心路 l 器( c o r e r o u t e r , c r ) 核心路由器。e 要的功能是根据数据报文中的交换路由标识的同的标识，进行 蹄由选路和转发数掘报立。 3 映射服务器( i d e n t i f i e rs e r v e r ，i d s e r v e r ) 北京交通大学硕十论文 映射服务器主要负责维护网络中接入标识和交换路由标识的映射关系，并向 接入路由器和其他映射服务器提供查询服务。映射服务器上保存的映射关系都是 已经通过认证并且可以被合法终端所使用的。 4 认证中心( a u t h e n t i c a t i o nc e n t e r , a c ) 认证中心管理合法终端在注册入网时的信息，包括用户类别、服务等级等。 终端在接入网络都需要到认证中心进行认证，然后由认证中心将认证结果返回到 终端接入的接入路由器，由接入交换路由器根据认证结果进行接入控制。 2 2 入侵监测与防火墙技术 由于本文研究分离机制下的入侵检测与防火墙，所以需要先概述入侵检测技 术的理论、入侵检测系统的分类，以及入侵检测标准化模型。其次讨论了防火墙 的基本功能和作用，以及防火墙的技术和发展。 2 2 1入侵监测技术分类 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 是安全网络体系中的一种关键的 安全基础设施。入侵检测系统的主要功能是对单个系统或者网络系统中的恶意行 为进行监控，并产生报警。它一般是硬件、软件或者两者结合而成。通俗的说， 入侵检测系统就像现实生活中的防盗报警装置一样。例如汽车的防盗装置，如果 你去用力碰车门，踢轮胎或者是做其它“不怀好意”的动作，防盗装置就会报警。 在网络中，如果你试图扫描、攻击别的主机系统或者网络系统时，入侵检测系统 就会监控到你的行为，并产生报警。 由于网络中存在多种形式，不同种类的入侵行为，所以入侵检测相应的也有 多种方法。不同的入侵检测方法适用予监控不同类型的入侵。一般入侵检测系统 i d s 有如下几种检测方法： ( 1 ) 完整性检测 完整性检测是一种很简单而且很高效的入侵检测方法。它的基本原理比较简 单：完整性检测i d s 为指定的每一个系统文件或者其它指定文件计算出校验和， 然后保存起来。i d s 定期将指定文件与其校验和进行比较。如果校验和正确，就可 以确保文件没有被修改；如果文件经过了未授权的修改，i d s 就会发出警报。 完整性检测可以用于检测重要系统文件，用于检测w e b 服务器网页的篡改。 攻击者经常通过某些远程溢出程序，攻击未打补丁的对外w e b 服务器，然后篡改 w e b 服务器内的网页内容，以达到进一步的入侵目的。完整性检测i d s 可以指定 分离机制网络安全研究 相应w e b 页面监控，产生校验和。如果攻击者改变了w e b 页面的内容，则i d s 校 验和校验失败，从而产生告警，并通知网络管理员。因此，如果一个w e b 服务器 使用了完整性检测i d s ，必须小心指定被检测的文件。因为一旦网页需要被频繁修 改，则会引起i d s 的大量误报。另外，i d s 可以被配置为自动回复源文件到初始 状态。 完整性检验有时也存在局限性。完整性检测i d s 技术的主要缺点是，i d s 必 须可以访问被监控主机上的敏感文件。这就意味着它是一种严格的基于主机的入 侵检测系统。也就是说，它继承了h i d s 的所有优点的同时，也继承了所有的功能 缺陷和缺点。 ( 2 ) 异常检测 异常检测方法的原理是：通过对特定标准的测量，来检测滥用行为。如果一 个行为的产生与系统预定的模式标准不同，它就被认为是一次入侵。系统产生一 个警报。 异常检测一般被用在操作系统的应用程序层次，用来监控用户的行为。异常 检测i d s 先从用户的系统行为中搜集一组数据。这一基准数据集被视为“正常调 用 。此后，如果用户在某一次的行为中，偏离了j 下常的调用模式，异常检测i d s 就会产生一个警报。例如，假设一个用户在公司上班时间是每个工作日上午9 点 到下午5 点。他会在这段时间内登陆公司的某个服务器。如果他某天突然在早晨7 点登陆了该服务器，异常检测i d s 就会认为该用户的行为发生异常，从而发出一 个警报。 异常检测i d s 可以很好地捕获一些有经验的攻击者。一个有经验的攻击者可 以在一个受控环境中复制一个特征匹配i d s 。然后攻击者利用复制的这个i d s 去 尝试哪些潜在的攻击会被发现。但是，如果这个i d s 是异常检测i d s ，攻击者却 不可以预知哪些入侵行为会被发现，哪些不被发现。 异常检测常用来检测黑客的本地权限提升攻击。如果一个正常的用户帐户没 有权限访问一个重要的操作系统文件，例如w i n d o w s 系统的口令文件s a m 文件。 但是i d s 检测到它可以随意访问该文件，则异常检测i d s 就认为发生了潜在的破 坏行为并发出警报。 异常检测i d s 也存在着局限性。从它的基本原理可以看出。学习期的异常检 测i d s 不具备识别任何异常的能力，因为此时它还不具备任何的“知识 去检测 异常。因此如果使用异常检测i d s ，管理员必须假设基准数据集中收集的数据都是 合法的，无恶意的正常行为。如果异常检测i d s 的学习期发生了入侵行为，i d s 就会把这种行为当做“正常的行为刀，从而今后该类同样的入侵发生时，异常检测 i d s 就会发生漏报的错误。异常检测的另一个问题是误报率相对较高。从用户在公 9 北京交通人学硕士论文 司上班的例子中可以看出，如果该用户是合法的用户，只是忘记取某些文件，或 者行程有改变时，i d s 会发生误报。这就会带来重大的问题。因为这种事情发生的 概率并不是很低。类似事件使得异常检测i d s 并不总是那么有效好用。 ( 3 ) 特征检测 特征检测顾名思义，它事先定义了一些特征，并试图对非标准的特征安全事 件进行识别。这类i d s 事先预先存储了已知的入侵行为的描述；并以此为基准去 分析网络中的数据包是否与特征集匹配。当某种行为产生的数据包与描述特征匹 配时，i d s 产生报警，并提交给管理员。 特征的含义即已知的入侵行为。特征应该能够精确地描述一种特殊入侵行为 的特点，它既不能够涵盖太多的特征，导致特征的模糊；也不能只有很少的特征， 以至于难以识别。特征检测在n i d s 中，体现为对数据包内容进行分析，试图从中 找出某些特征，然后使之与特征规则库进行匹配。例如数据包的源地址和目的地 址与规则库中的某条规则定义的相同，就实现了一次匹配。 特征检测的优点就在于它对已知攻击的检测准确率最高。当特征与数据包匹 配时，数据包被认为是一次入侵，从而特征检测i d s 产生一个警报。而且，如果 特征的定义恰当合理的话，几乎每一种类型的恶意数据包都可以被某一种特征唯 一的匹配。所以绝大多数的恶意数据包都可以使用特征检测类型的i d s 捕获。只 有很少一部分的攻击由于特征规则库不包含其特征，从而逃过特征检测。幸运的 是，它们一般只是很小的一部分，而且可以通过其它的方法检测出来。 特征检测的局限性在于：它仅仅从特征入手，并不考虑匹配行为的意图。现 实中有很多的正常数据包特征会与恶意数据包相似而被匹配，从而产生误报。特 征检测必须预先知道各种攻击数据包的特征，在给出了精确的描述之后，才能进 行工作。因此特征检测类型的i d s 对没有准确描述的特征几乎无能为力。所以， 攻击者可以通过对已知特征的攻击方法进行微小的修改，就能躲过特征检测类i d s 的检测。不过，虽然特征检测i d s 有如此的缺点，在目前网络上，特征检测类型 i d s 还是最可靠，性能最突出的i d s 。 2 2 2入侵监测标准化模型 随着入侵检测系统的发展，越来越多的网络部署了不同种类的入侵检测系统。 但与此同时产生了一个问题，就是不同入侵检测系统之间的相互协调和通信问题。 因为在实际应用中，一个网络内的不同i d s 系统往往会产生相互的干扰。经过一 段时间研究，业界和研究机构提出了一些入