（通信与信息系统专业论文）网络安全解决手段及入侵检测系统.pdf

西南交通大学硕士学位论文第1 页 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ - 。 。_ - 。- - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ - _ _ 。- _ - 。_ _ - 。- 。_ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ _ _ - _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ _ _ _ - 。- _ - 。一 摘要 本论文的研究背景是网络的安全状况受到越来越多的威胁，病毒蔓延， 黑客攻击日益频繁，黑客软件泛滥，这些都严重威胁着信息的安全状况。文 毒从t c p i p 协议本身入手，分析了协议本身的脆弱性及由此产生的网络 的不安全因素，然后论述了黑客的常用攻击手段，接着针对不同的安全需 要提出了相应的解决办法。紧接着，文章对当今安全产品的新秀入侵检测 系统( i d s ) 进行了详细了论述：包括i d s 的产生、历史、现状和发展趋 秘及与其它的安全产品的关系，i d s 在整个安全领域中的地位，研究i d s 豹重要意义。文章的最后一章详细阐述了一个分布式的、具有c i d f 体系 结构的、基于协议分析的i d s 的设计思想和实现方法。 i d s 的核心在于三个方面： 其一，智能性。就是要具备检测人工知识库中不具有的入侵攻击手段， 、只有这样，i d s 才能跟踪不断发展的入侵手段；这是当前研究的热点，有 i 许多的技术处于研讨阶段，如生物免疫技术，遗传算法，神经网络，数据 ：，睦掘等，但成熟的技术仅限于统计的方法； 其二，实时性。随着高速网络的发展，网络流量日益增大，如何实时 睑测所有的网络数据包也是研究的焦点，在这点上公认的方法是协议分析 法； 其三，准确性。也就是不产生漏报和误报，影响准确性的4 个核心是 对入侵事件的抽象上，也就是事件描述语言的功能是否强大。 本文的核心工作围绕这三点，设计了当前商用i d s 所不具备的自适 应入侵模型分析引擎，旨在提高入侵检测的自适应性，其整体的模型结构 符合c i d f 的框架体系，但在具体的实现中根据目前的技术状况水平和实 际应用的情况进行了取舍，以期在这一领域作一个有益的探索。 关键字：i d s ：协议分析；模型引擎；事件描述语占：t c p i p 堕塑銮望查兰堡主堂焦堡塞笠! ! 窭 一 a b s t r a c t t h et h e s i si sm a d eu n d e rt h ef o l l o w i n gb a c k g r o u n d so fs e c u r i t ys t a t eo f t h en e t w o r kb e i n gt h r e a t e n e dm o r ea n dm o r e ，t h a ti s ，o v e r s p r e a do fv i r u s e s ， t h eh i j a c k e r st h a ta t t a c kt h en e t w o r kf r e q u e n t l y ，a n dt h eo v e r f l o w i n gh u a c k e r s o f tw a r e s t h o s ea l lt h r e a t e ns e v e r e l yt oi n f o r m a t i o ns e c u r i t y t h e t h e s i s s t a r t sf r o mt c p i pp r o t o c o l ，a n a l y z e st h ef r a n g i b i l i t yo ft h ep r o t o c o la n dt h e n o n s e c u r i t yf a c t o r so f i n t e m e tb e h i o di t a n dt h e na n a l y z e sa g g r e s s i v ew a y s u s u a l l yu s e db yh i j a c k e r , a n dt h e nt h e s o l u t i o n sc o r r e s p o n d i n gt od i f f e r e n t s e c u r i t yr e q u i r e m e n t sa r eb r o u g h tf o r w a r d a f t e r w a r d ，t h et h e s i s d i s s e r t a t e s i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) i nd e t a i l s ，an e w s e c u r ep r o d u c t ，f r o mi d s s c o m i n gi n t ob e i n g ，i t sh i s t o r y ，a n dt h es t a t u si nq u o t oi t sd e v e l o p m e n tt r e n d ， t h er e l a t i o nw i t ho t h e rs e c u r ep r o d u c t s ，a n di t ss i g n i f i c a n c e t h el a s tc h a p t e ro f t h et h e s i s e x p a t i a t e s t h ed e s i g nt h o u g h ta n di m p l e m e n t a t i o nm e t h o do fa d i s t r i b u t e di d sw i t hc 1 d ff r a m e w o r kb a s e do i lp r o t o c o la n a l y s i s t h ec o r eo f t h ei d sl i e si nt h r e ep o i n t s ： f i r s ti si n t e l l i g e n t t h i si st os a y ，d e t e c t i o ns h o u l df i n dt h ei n t r u s i o nt h a t i sn o ti nt h ek n o w l e d g e d a t a b a s e o n l yd o i n gs o ，i d sc a n t r a c ei n t r u s i o nw a y s c o n t i n u o u s l yd e v e l o p e d t h i si st h eh o ti n c u r r e n tr e s e a r c hf i e l d t h e r ea r e m a n yt e c h n o l o g i e s i nr e s e a r c h s t a g e ，f o re x a m p l e ，b i o l o g yi m m u n i t y ， i n h e r i t a n c ea l g o r i t h m ，n e u r a ln e t w o r k ，d a t am i n i n g ，a n ds oo n b u t ，t h em a t u r e t e c h n o l o g yi ss t a t i s t i c sm e a n s s e c o n di sr e a l t i m e w i 吐lt h ed e v e l o p m e n to fh i g hs p e e dn e t w o r k 、t h e t h r o u g h o u to fn e t w o r kb e c o m e sg r e a t h o wt o d e t e c tt h ep a c k e to fd a t ai n n e t w o r ki nr e a lt i m ei sa l s ot h ep r e s e n tf o c u s i nt h i sf i e l d ，t h ep r o t o c o l a n a l y s i si sk n o w n a st h ew a y m a i n l y u s e d t h el a s ti sv e r a c i t y i tr e d u c e st h el e a ka n dm i s t a k ea l e r to ft h ei n t r u s i o n o n eo fc o r e si st h ea b s t r a c to ft h ei n t r u s i o ne v e n t ，w h i c hi sd e t e r m i n e db yi f t h ef u n c t i o no f e v e n t d e s c r i p t i o nl a n g u a g ei sp o w e r o rn o t t h ei d sd e s i g no ft h i st h e s i si sb a s e do nt h ea b o v et h r e ep o i n t s a n a d a p t i v em o d e lo fi n t r u s i o na n a l y s i se n g i n e ，w h i c hd o e sn o te x i s ti nc u r r e n t i d s p r o d u c t s ，i sd e s i g n e d t o a n a l y z e n e wi n t r u s i o n ，a n d i m p r o v e t h e 西南交通大学硕士学位论文第1 i i 页 a d a p t a b i l i t y o fi d s b u ts o m ec o n t e n t sh a v eb e e np r e d i g e s t e db yc u r r e n t t e c h n o l o g y l e v e la n dt h ep r a c t i c a la p p l i c a t i o n k e y w o r d s ：i d s ；p r o t o c o la n a l y s i s ；m o d e le n g i n e ；t c p i p e v e n td e s c r i p t i o nl a n g u a g e ； 西南交通大学硕士研究生学位论文 第l 贝 绪论 从1 9 8 8 年1 1 月r o b e r tt m o r r i s 的蠕虫事件造成数千台主机感染起， 到最近的r e dc o d e 病毒，h a p p yt i m e 病毒，il o v ey o u 病毒，以及极具诱惑 的库尼科娃美女病毒，最近的2 0 0 3 蠕虫王，令人谈“毒”色变的c i h 病毒 等等都给网络和个人计算机带来了极大的威胁和破坏，2 0 0 3 年刚出现的硬 盘杀手比c i h 更令人恐惧； 人们还没有从病毒的阴影中走出来，与病毒和网络几乎是同时诞生的 “黑客”活动越来越活跃。在美炸毁我南联盟使馆之后的中美黑客大战中， 美国白宫主页被插上五星红旗的历史和其主页被换上骷髅头，我几个重要 的国务院部委的网站也受到大肆攻击；2 0 0 1 年2 月，武汉邮电科学院、北 京移动、北京寻呼、北京电信发展总公司、中国地图出版社、通港网络、 华建集团等4 0 余家网站被黑：a r f i t i o n 公司的调查报告显示，、全球2 0 0 1 年的头三天就有9 0 个站点被变了脸。这些站点包括百事可乐英国公司、 t o n y r o m a s 公司、埃及航空公司等：即使是微软等国际一流的软件公司也 被黑客更改了主页。 我们听到网站被攻击，业务无法进行造成巨大的损失，邮箱口令密码 被盗窃、信用卡密码被盗窃资金被取走、公司的机密资料信息被窃取的闻 言就更多了。信息的安全不仅涉及到个人秘密，还关系到商业、金融的安 全，甚至涉及到了政治和国家安全。 面对病毒的泛滥，黑客的猖獗，对信息安全的认识和研究也逐步发展， 杀毒软件百花齐放，功能越来越强，防火墙技术同趋成熟，加密解密手段 从私钥密码体系发展到公钥密码体系，密钥长度也在不断发展：同时，数 字签名技术、身份验证技术也得到充分的应用。但是，这一切也不能完全 防范黑客的入侵。所以，近年来，对入侵检测系统的研究也f 1 益增多、只 益重视。尽管自第一个入侵检测系统问世以来已有2 0 多年的历史，但至今 仍处于“春秋战国”时代，没有一统天下的统领产品。 本文以此为背景，丌展了对入侵检测系统的研究和设计。根据入侵检 测的现状和发展的趋势，本文的重点放在各个组件间的通信问题、检测新 的入侵模式的设计以及如何提高检测效率等问题上。 作者的主要工作是分析了t c p i p 的安全性，设计了一个分布式的具有 自适应能力的网络入侵检测系统，并实现了其中的核心部分。 西南交通大学硕士研究生学位论文 第2 页 第一章t c p i p 协议及其i n t e r n e t 的安全性分析 本章第一节首先介绍t c p i p 协议族中t c p 和i p 协议的数据报格式。 第二节从t c p i p 协议的角度分析网络的安全性，作为其余各部分的基础。 1 1t c p i p 简介 t c p i p 协议是为了解决异种计算机间的通信问题的一组协议簇。 t c p i p 协议族按层设计，分为应用层、传输层、网络层、网络接口层。 各层负责不同的通信功能，每一层又是一个或多个协议的组合。其体系结 构及关系如图1 1 所示。 n n t p 、h t t p 、f t p 、s m t p 、t e l n e t 等 t c p p r o t o c o l 、u d pp r o t o c o l i pp r o t o c o l ( i c m r a r p r a r p ) f r a m e e n c a p s u l a t i o n 应用层 传输层 网络层 网络接口层 图1 1t c p i p 协议族结构 上层的通信以下一层为基础，建立在下一层通信正确的假设下。各层 之间封装格式如下图1 2 ： 网络接口 图1 2t c p i p 数据包的封装 对于与i p 处于同协议层的i c m p 控制报文协议的封装格式如图1 3 本文针对t c p f l p 协议的安全性，所以下面概述t c p 、u d p 和i p 数 据报格式。 西南交通大学硕士研究生学位论文 第3 页 i p 包 数据包数据区 l帧头部帧数据区 图1 - 3i c m p 数据包的封装 i p 数据报格式如下图1 4 ： ， 481 63 v e r s i o n h e a d e r i e n k y p e 。fs e r v i c e t o t a lp a q k e tl e n g t h d e t a t i f i c a t i o n f l a g。f r a g m e n t o f f s e t t i m e t ol i v e p r o t o c o l h e a d e rc h e c k s u m 。 s o u r c ei pa d d r e s s d e s t i n a t i o ni pa d d r e s s i po p t i o n ( i f e x i s t ) p a d d i n g d a t a 图1 - 4i p 数据包格式 t y p eo f s e r v i c e 用来标记数据报所希望的传输类型。可分为d ( d e l a y ) 低时延，t ( t h r o u g h p u t ) 高吞吐量，r ( r e l i a b i l i t y ) 高可靠性，t c p 协议根据 t o s 类型决定路由算法。 i d e n t i f i c a t i o n 、f l a g 和f r a g m e n to f f s e t 用以控制数据报的分片和重组。 t i m et o l i v e 是为了控制时延，避免网络堵塞而设置的数据报在网络 中存在的时间。 p r o t o c o l 字段标记上层软件处理数据报需要调用的协议，值为1 表示 i c m p 数据报，值为6 表示t c p 数据报，值为1 7 表示u d p 数据报等。 为了检验数据在传输过程中是否出错，采用c r c 用于对数据报的首 部进行校验，即h e a d e rc h e c k s u m 域。 s o u r c ei pa d d r e s s 和d e s t i n a t i o ni pa d d r e s s 分别表示数据报发送和接 收i n t e m e t 地址。 从i p 协议的结构和功能可看出，i p 协议提供的是不可靠、无连接的 数据传送服务，这给i n t e m e t 网的安全性带来了隐患。 西南交通大学硕士研究生学位论文 第4 页 t c p 协议报文段的格式如下图1 - 5 ) 1 62 43 s o u r c e p o r t d e s t i n a t i o n p o r t s e q u e n c en u m b e r ( s e q ) a c k n o w l e d g e m e n t n u m b e r h e a d e ri e jr e s e r v e d i c cw i n d o w c h e c k s u m u r g e n tp o i n t e r o p t i o n sp a d d i n g d a t a 图1 5 t c p 数据包格式 u r ga c kp s hr s ts y nf i n s o u r c ep o r t 和d e s t i n a t i o np o r t 分别表示发送数据的端口和接收数据的端 口号。 t c p 是面向连接的协议，建立连接过程采用三次握手方式，s e q u e n c e n u m b e r 就是在握手过程中双方协商的初始序列号对每个数据报模2 6 4 累 加1 得到的。a c k n o w l e d g e m e n t n u m b e r 是对方准备接收包的序列号。 c o d e 位分别是u r g 指示u r g e n tp o i n t e r 是否有效；a c k 表示 a c k n o w l e d g m e n tn u m b e r 是否有效；p s h 表示是否需要发送紧急数据； r s t 表示联结复位：s y n 表示序列号是否三次握手中的同步序列号；f i n 发送方数据是否发送完毕的标志。 。 t c p 是面向连接的协议，给数据报的安全传输带来了可靠性，但是，币 因为是其面向连接的特点，也给黑客的攻击带来了可乘之机，如s y n 洪 流，假冒地址的连接请求的拒绝服务等等。本文第二节将详细叙述。 i c m p 的报文种类很多，只介绍与黑客攻击有关的几种类型。 回送请求和应答报文格式如下图1 - 6 西南交通大学硕士研究生学位论文 第5 页 图1 6i c m p 请求应答报文格式 回送请求和应答报文最初用于测试和管理网络，但也被黑客用作了收 集信息的工具和直接用作攻击的手段。如利用d e a t ho fp i n g 和w i n n u k e 工具的d o s 拒绝服务攻击。 路由重定向报文格式如下图1 7 081 63 类型( 5 )代码( 0 3 )投验平 路由器互联网地址 重定向的数据包首部+ 数据报的前6 4 比特 幽1 - 7i c m p 路由耍定向数据包格式 w i n d o w s 操作系统都保持着一张已知的路由器列表，列表中位于第 一项的路由器是默认路由器，如果默认路由器关闭，则位于列表的第二项 的路由器成为缺省路由器。缺省路由器通过向发送者发送另外的最短路由 信息，就是i c m p 路由重定向。黑客就可利用i c m p 来重定向路由，加强 窃听。通过设置防火墙及其后的不可到达主机h o s t 为目的地址，i p 数据 报的信息就达不到应该到达的地方。至本文形成之时，i c m p 路由欺骗技 术还仅是理论的论述，作者没有找到相关的具体攻击实例和源代码。 u d p 数据报格式如下图1 8 图1 - 8 u d p 数据包格式 u d p 数据报是无连接的，各个数据报单独传输，没有可控性和可测 性，也没有可验证性，具有很大的安全隐患。 1 2 i n t e r n e t 网的安全性 本节根据上一节介绍的i p 、t c p 、u d p 、i c m p 的格式和黑客们的攻 击手段分析t c p i p 协议存在的安全问题。 西南交通大学硕士研究生学位论文第6 页 1 2 1 信息安全性的基本要求 机密性 机密性一方面要防止数据的泄漏；另一方面要防止通信量的分析，一 个攻击不能够在通信实施上观察到通信量的目的、频度或其它特征。主要 的手段是加密传输。 完整性 完整性就是防止信息在通信中被修改、删除、重排序、迟延及伪装。 可控性 ， 可控性就是能够实现对信息资源的有效管理，如访问权限管理、信息 资源的使用管理等。主要的手段是访问控制。 可用性 可用性就是信息资源不被非法使用，而要求合法用户能够方便使用 它。如拒绝服务，当真正的用户需要服务时，因为带宽、c p u 、内存、磁 盘空间等其他资源耗尽而无法得到服务。需要运用多种手段综合管理信息 资源，才能达到信息资源的可用性。 不可抵赖性 不可抵赖性就是信息的发送者、接收者或使用者事后不得抵赖、否认 发送过或者接受过报文，能进行有效的验证。主要的技术手段是数字签名。 1 2 2 常见网络攻击方法 t c p i p 的开放性是引起一切安全问题的根源。t c p i p 设计之初是为了 使不同地域的、不同硬件软件的计算机网络能相互通信，达到资源共享， 同时也带来了安全的隐患。不考虑t c p i p 协议和服务由于实现中的b u 2 所引发的安全漏洞，就协议本身而言，也存在着安全问题，这主要源于三 个方面的因素： 在网络上传输的协议数据容易被监听和篡改； 主机间通信信任关系依赖于源i p ，容易造成欺骗类攻击： 网络控制和某些路由协议认证很弱或者根本没有认证。 具体的攻击方法如下： l 源地址假冒( s o u r c ea d d r e s s s p o o f i n g ) 也称i p 假冒，攻击者通过改变其主机的i p 地址等方法，向目标发送 数据包，假装来自某目标信任的主机，达到欺骗目标主机的目的。 西南交通大学硕士研究生学位论文 第7 页 2 路由攻击 这类攻击方法一般是通过改变某主机或路由器的路由表，破坏f 常的 路由寻径，以达到拒绝服务的目的。这类方法包括： 1 )源路由攻击：通过设置i p 严格源路由或自由源路由选项，使i c m p 或t c p 数据包按源路由返回。攻击者事先确定一条攻击路由，在源地址假 冒中使用它，以使目标机的回应信息返回来。 2 )路由信息协议攻击：路由信息协议( r i p ) 在局域网中用于，l 播 路由信息。接收到该协议数据包的主机不做任何检测。攻击者可以向到达 目标主机的所有网关发送伪路由信息，以便进行源地址假冒时，能收到目 标机的回应信息；攻击者也可将其主机声明为到某主机或网络的路由器， 以截获所有目的地址的数据包，并继续发动更进一步的攻击。 3 )i c m p 重定向攻击：i c m p 重定向报文用于网关向主机通知到信 宿的最优路径；攻击者可使用它做类似r i p 的攻击 3 序号假冒( s e q u e n c en u m b e rs p o o f i n g ) 这也是一种i p 假冒技术，它是通过没有目标机的回应的情况下，预测 初始序号，构造t c p 报文，假冒信任主机。 4 数据劫夺( h o a c k ) 也称非盲目的假冒( n o n b l i n ds p o o f i n g ) ，该攻击手段攻击的前提是能 俘获连接双方的数据包，并得到其序号和确认号。 劫夺有两类： 其一，使客户机与服务器在通信的过程中失去同步，接管客户机与服 务器的通信； 其二，使早期失去同步。攻击者监听服务器与客户机的s y n a c k 字 段：立即假冒客户机，用正确的序号确认号向服务器发送一r s t 字段， 接着又以另一不同的初始序号发送一s y n 字段。服务器收到r s t 字段后， 关闭先前建立的连接，但收到重新建立连接，而其初始序号与先前的不同。 这样，攻击者使原客户和服务器失去同步，而自己同服务器建立起合法通 信。若服务器需要口令认证，攻击者反过来冒充服务器，用对客户机而言+ 是正确的序号确认号转发服务器提示，接收到用户名和口令后，转发给 服务器。然后开始攻击服务器并使用f i n 和a c k 段f 常关闭双方的连接。 西南交通大学硕士研究生学位论文 第8 页 一一一一一 5 信息监听和信息的窃取 由于t c p i p 数据报要在公共网络中传输，因此攻击者可以窃听报文t 达到收集信息的目的。如果传输的是e m a i l 的1 ：3 令和密码，或公司的商 业机密文件，或其他远程访问控制的口令和密码，那么其后果是可想而知 的。如果数据在同一局域网中传播，窃听者只要将网卡设置为混杂模式即 可监听所有的数据报。即使重要的信息经过了加密，采用加密传输，但攻 击者可以截获密文进行唯密文分析。一旦成功，就可获取用户名等重要信 息。甚至发动重播攻击。重播攻击如图1 9 ： 图1 - 9 重播攻击示意幽 攻击者截获发送者的报文，进行改动，发送到接收者：将接收者返 回的报文进行改动，再发送到发送者，通信的双方进行的就是虚假的通信。 6d o s 拒绝服务 向目标系统发送大量的u d p 数据报，并且故意进行不完整的发送， 就会导致u d pf l o o d ；假冒不存在的地址向目标发送大量的t c p 连接请 求，t c p 将会按3 次握手协议发送应答，应答因为没有回应，所以t c p 将等待直到超时，大量的t c p 请求将会消耗完带宽资源，造成t c pf l o o d 拒绝服务，如s y nf l o o d 。 。更有甚者，将发送数据报的目的端口和源端口设置为目标地址的不同 端口，也会造成拒绝服务；还有一种通过堡垒主机发起的分布式拒绝服务 d d o s ，攻击者通过控制多个第三方的机器，同时向目标机器发起多种洪水 的拒绝服务攻击，而攻击者却隐身其后，如t r i b ef l o o dn e t w o r k 和t f n 2 k 、 s m u r f 、t a r g a 等，就是攻击者发起分布式拒绝服务的工具。还有一种i c m p f l o o d 的拒绝服务，通过控制多台堡垒主机向目标主机发出e c h o 回送请 求报文，目标主机将消耗大量的资源用于应答，导致拒绝服务，这就是所 谓的i c m pp i n g 洪水。 这方面的典型例子如2 0 0 0 年2 月8 目，新浪网的电子邮件系统收到 了百多万的电子邮件，电子邮件系统随即堵塞、崩溃。2 0 0 0 年2 月，黑 客使美国数家顶级网站雅虎、亚马逊、电子港湾和c n n 陷入瘫 西南交望杰兰堡主堕窒竺兰垡笙壅 笙! 至 _ _ - _ _ + _ ，- h 一 痪。黑客使用的就是“拒绝服务”的攻击手段，他们用大量无用信息阻塞 网站的服务器，使其不能提供正常服务。同一时间，微软公司网站也遭到 了同样的攻击。 7 网络探测 通过扫描允许连接的服务和开放的端口，来发现目标主机端口分配 情况、提供的各项服务以及服务程序版本号、域名和i p 地址的相互转换、 d n s l o o k u p 闽名查询、主机信息收集等等，从而为以后的入侵攻击建立 基础。这方面的例子如p o n s c a n 工具，n e t h a c k e r l i 工具、f i n g e r 工具、 p i n g 工具、n m a p 工具、t r a c e r t 命令、r u s e r s 命令、h o s t 命令、w h o i s 协议、s n m p 协议。 黑客们一般是先通过各种工具首先了解网络的结构、操作系统、提供 的服务、用户在线状况等情况，然后寻找系统的漏洞或者利用网络设计之 初就有的缺陷，进一步开始攻击。 8 碎片攻击 在因特网上传送的数据包大小因不同的网络的最大传输单元m t u 不 同，所以，路由器会进行数据包的分解，使大的数据包分解为小的数据包。 然而，这却成为了黑客们攻击的手段。他们向目标发送许多的碎片，造成 后面将要谈到的碎片的偏移量的重叠，引起缓冲区的溢出，或者使碲片不 发送完毕，目的主机无法重组碎片，将一直等待到超时丢弃，这样将消耗 掉所有的内存及带宽，引起拒绝服务。 9 缓冲区溢出 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而 破坏程序的堆栈，使程序转而执行其他的指令，如果这些指令是放在有 r o o t 权限的内存中，那么一旦这些指令得到了运行，入侵者就以r o o t 权 限控制了系统，也就达到了入侵的目的。缓冲区溢出攻击的目的在于扰乱 某些以特权身份运行的程序的功能，使入侵者获得系统的控制权。 d e a t h o f p i n g 就是缓冲区溢出的典型的例子。早期的时候，许多操作 系统对t c p i p 栈的实现在i c m p 包上都是规定6 4 k b ，并且在对包的标 题头进行读取之后，要根据该标题头晕包含的信息来为有效的载荷生成缓 冲区，当产生畸形包时，即声称自己的尺寸超过i c m p 的上限即6 4 k 时， 就会出现内存分配错误，导致t c p i p 堆栈崩溃，导致接收方死机。这就 是所谓的“p i n go f d e a t h , w i n n u k e 就是专用于发送这种包的典型工具。 西南交通大学硕士研究生学位论文 第1 0 页 1 3 威胁网络安全的几个主要因素 网络处于不安全的状况，i n t e m e t 更加不安全，威胁网络安全的因素 大致可以分为以下几类： l 因特网协议族本身具有的先天不足，是网络不安全最基本的根源。 这里的先天一方面指它的开放性，另一方面指协议本身被利用的弱 点。本文的第一章第二节已作了分析，这里不再重复。 2 系统漏洞广泛传播 ， 据统计，大概平均每于行代码就有一个缺陷。最近泛滥的2 0 0 3 蠕虫 王，就是利用s q l 数据库的一个漏洞。功能全面超过c i h 的“硬盘杀手9 9 9 也是利用w 1 n 9 x 的系统漏洞和网络本身的漏洞。 3 黑客的攻击活动 黑客攻击活动越来越频繁，从昔同的小规模向有组织的方向发展。美 国轰炸中国驻南联盟大使馆之后的中美黑客大战，就是国际i b 3 黑客组织的 表现。“中国黑客联盟”、“中国红客联盟”、“中华黑客联盟”、“中国鹰派” 等，都加入了这场中美黑客之战。本文的黑客指的是广义上的黑客，不仅 仅是具有专业知识的黑客，那些利用黑客软件，进行相应活动者也是本文 所指的黑客。 4 攻击的工具随手可得 如果说，在万维网技术问世前，黑客基本上都是专家级的，那么，万 维网问世后，中小学生也可以成为“黑客”，不需要任何专业知 ： ，只要 从网上下载一个黑客软件，点击几下鼠标，对目标的攻击就开始了。2 0 0 1 年，黑客侵入白宫、国防部、空军网站，美国联邦调查局的结果表明：“凶 手”是一个t 7 岁的以色列少年： 5 病毒的泛滥也是网络不安全的很重要因素。 病毒泛滥体现在以下几个方面： 首先，病毒生产技术水平不断进步。 当前的病毒生产技术主要有：抗分析技术；隐蔽性技术；多态性技术： 插入性技术：超级病毒技术：超级病毒技术：破坏性感染技术：病毒自动 生产技术； 其次，病毒的破坏力越来越大。 莫里斯蠕虫使数万台计算机瘫痪，c i h 更是令人谈虎色变，成千上万 西南交通大学硕士研究生学位论文第11 页 的硬盘毁于一旦，造成的损失无法估计；比c i h 更具破坏的硬盘杀手又 面世了。尼姆达带来的损失是1 0 亿美元；红色代码给全球带来了2 6 2 亿 美元的经济损失：2 0 0 3 元月的蠕虫王，几小时内感染了全球2 5 力台计算 机，造成的直接经济损失达1 2 亿美元。 6 基础信息产业严重依靠国外。 我国的信息化建设还处于基本上依靠国外技术设备的状况。当外国网 络安全公司大举推销安全产品时，在缺乏知识和经验的情况下，往往是淘 汰的技术和不成熟的技术。 ， 在计算机软硬件生产领域，在关键部位和环节上受制于人。计算机硬 件许多核心部件尤其是c p u 基本上是外国厂商制造的；计算机软件很重 要的部分一操作系统几乎被国外一统天下。据报道，不管是i n t e l 公司的 芯片还是微软的w i n d o w s ，都被发现了后门，为此，国家有关部委专门使 用国产的东方红操作系统，尽管其在功能上远不能和w i n d o w s 相比。 西南交通大学硕士研究生学位论文 第1 2 页 第二章网络安全问题解决办法 提高网络安全的防范措施手段不外乎安全管理规范和安全产品的使 用，本文不讨论安全管理的问题。本章第一节将简单介绍目前的安全产品： 第二节介绍密码学方面的解决手段：第三节提出网络安全的体系模型。 2 1 安全产品简介 ， 杀毒软件、防火墙和入侵检测是目前的主要安全防护产品。 杀毒软件和防火墙都是比较成熟的安全产品，但是杀毒软件和防火墙 不能完全防止黑客绕过其控制功能，因此，入侵检测产品应运而生。 杀毒功能较强大的产品有江明公司的k v 3 0 0 0 ，会山公司的i d u b a ， m c a f e e 的m c a f e ev i r u s s c a n ，c a 公司的k i l l 系列，诺顿公司的n o r t o n a n t i v i r u s 等 2 2 密码学在网络安全中的应用 1 通过加密进行保密通信 i n t e r n e t 网上传递的重要信息进行隐蔽传输的手段就是加密传输。过 程如下图2 1 l 密钥k e y ll 密钥k e y 2 幽2 1 加密解密过程 如果k e y l 与k e y 2 相同，或者如果知道k e y l 可以推测出k e y 2 ，就是 所谓的传统的密钥体系，或者私钥体系。例如d e s 算法的加密和解密密 钥是按相反的顺序出现的。密钥的长度一般为4 8 位、5 6 位、6 4 位、8 0 位9 6 位、1 2 8 位等。理论上密钥越长越安全，但是，密钥越长对处理机 的要求也越高，在一般的通信中，5 6 位或者6 4 位即可。但是，随着处理 机的速度越来越高，5 6 位似乎已不安全，最快的一次试验只用了8 个多 小时就破获了密钥。因为其强度为2 5 6 m 4 9 3 * 1 0 1 9 ，每秒计算十亿次的计算 机要计算约2 3 年，用万亿次计算机计算的时间也是2 0 小时，如果密钥长度 达6 4 位，万亿次计算机也需要约9 天，基本上能满足一般的应用 西南交通大学硕士研究生学位论文 第1 3 页 一一。一 私钥密码体系存在的问题是密钥的管理和分配问题如果有n 个通信 方，要传送的密钥就有n ( n 1 ) 个，给传送带来了不方便。公钥密码体系则 很好地解决了这一问题。 公钥体系有两个密钥，一个是可以公开的，一个是不公丌的，其加密 过程同上图2 1 ，不同的是k e y l 是通信接受方的公开密钥，k e y 2 则是通信 接受方的私有密钥，所以通信的各方没有密钥传输和保管的丌销，因为公 钥可以从公开的途径得到，研究的较热的是公共密钥基础设施( p k i ) 。 公共密钥体系下的算法密钥长度较长，目前的许多算法的长度很多是 1 2 8 位，如r s a ，其强度使得百万亿次计算机的破译也需要百万亿年。但 其计算量开销也大，因此，正如其发明者所云：“大家几乎普遍接受的观 点，是公开密钥密码编码学的使用只限于密钥管理和数字签名等应用。” 2 通过报文鉴别防止伪装、内容篡改、序号篡改、计时篡改 公开密钥体系在提供加密的同时也可提供鉴别，如下图2 2 图2 - 2 公钥体系用于鉴别 其中，k e y l l 是通信发起方的私钥，k e y l 2 是通信发起方的公钥，k e y 2 l 是通信接收方的私钥，k e y 2 2 是通信接收方的公钥 公开密钥体系用于签名和加密的缺点是要进行4 次加密解密运算和 一次比较，所以使用并不多。使用较多的是报文鉴别码。 报文鉴别码m a c 报文鉴别码m a c ( m e s s a g e a u t h e n t i c a t i o nc o d e ) 是通过对报文使用 密钥产生一个短小的定长数据分组，即所谓的密码检验，并将其附加在报 文中，发往接受方。接受方根据通信协议解密m a c 或者对接收到的消息 采用同样的算法进行运算，然后比较两个m a c 是否相等，即可确定报文 是否是由原发送方发送的。其流程如下图2 3 一般地，在m a c 中普遍使用的是h a s h 函数，减少传输的数据量， h a s h 函数的单向性也提高了可靠性。报文鉴别一般和加密 西南交通大学硕士研究生学位论文第1 4 页 技术结合使用，保证数据的隐蔽传输。 图2 - 3 报文鉴别的流程图 3 通过数字签名技术防止抵赖 公钥密码体系也同样具有数字签名的功能。其流程如下图2 4 幽2 4 公钥密码用于数字签名的原理 该种方法的k e y l l 、k e y l 2 、k e y 2 1 、k e y 2 2 和图2 2 具有相同的含义。 这种方法可以集加密和签名于体。缺点是要进行4 次加密解密运算。 为了减少计算，常用的签名方法是将通信的发起方的i d 加密或 散列处理后和报文一起发送给对方，由对方解密进行身份验证。其流 程如下图2 - 5 ： 这种方法只能防止发起方的抵赖，要进行双向签名，要用到更复杂 的协议，本文不详述。 2 3 网络的安全体系模型 2 3 1 传统的安全模型 在i n t e m e t 网广泛应用之前，计算机的安全模型是针对局域网提出的 其模型如图2 6 西南交通大学硕士研究生学位论文 第15 页 。 图2 - 6 传统安全模型 传统的安全体系参考模型由安全监视器、认证、审计、授权数据库组 成。主体的访问请求首先经过安全监视器的认证和审计，进行授权，即可 进入客体的访问，这种安全体系结构简单，功能基本上只限于认证和审计， 不具备对入侵的实时监测和信息的隐蔽传输，也无法完成对信息的抵赖、 身份验证、假冒等，安全结构过于单一，真f 的防御体系只有认证一道门 槛，没有控制部分，如果入侵者绕过认证部分，就可长驱直入。这与因特 网上日益活跃的攻击手段和方法既不相称，也无法防御多种的攻击。这与 网络越来越广泛的应用不相称。 2 3 2 互联网条件f 的安全模型 互联网条件下的安全防范不仅具有传统的访问控制功能的认证和审 计，还加入了实时监视系统i d s 和防火墙以及杀毒软件、安全管理部分 如下图2 7 ，是一个立体化的安全防范体系。各个安全产品之间不仅要独 立工作，还要相互联动，共同防御非法访问。其中i d s 是一个新的领域， 本文将详细介绍。 网络管理 i d s 安全监视器 图2 7 互联网条件下的安全体系 西南交通大学硕士研究生学位论文 第16 页 第三章入侵检测系统概论 3 1 入侵检测的历史 3 1 1 概念的诞生 j a m e sea n d e r s o n 在1 9 8 0 年给美国空军的一份计划中提出了基准监 视器的概念，他的一份报告建议改变计算机审计机制，以便为跟踪问题的 计算机安全人员提供信息，报告明确阐述了精简审计的目标在于从安全审 计数据中消除冗余或无关记录。这被认为是入侵检测系统的开创性工作。 3 1 2 模型的发展 1 9 8 6 年桥治敦大学的d e n n i n g 和s r i c s l 的p e t e rn e u m a n n 首次提 出了一种入侵检测模型入侵检测专家系统( i d e s ) 模型，为构造通 用的入侵检测系统提供了一个完整可用的结构框架：该模型出六个部分组 成：主体、对象、审计记录、活动规则、轮廓特征、异常检测。1 9 8 8 年， 在i d e s 改进模型的基础上，开发出了i d e s 系统，该系统包括一个异常 检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征 分析检测，如图3 1 幽3 1i d e s 结构框架 1 9 9 1 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学 戴维斯分校开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。这是