（模式识别与智能系统专业论文）分布式入侵检测系统的设计和算法研究.pdf

中国科学技术大学博士学位论文摘要 摘要 随着计算机和网络技术的飞速发展，计算机系统已经从独立的主机发展到复 杂的、开放式互联的网络系统。随着网络规模的不断扩大和网络使用者的增多， 针对计算机主机和网络系统的的入侵已经成为一个严峻的问题，并且计算机操 作系统和网络通信技术的不断复杂化，也导致了入侵方式的多样化，这就对计 算机安全技术的研究提出了更高的要求。 本论文中对计算机安全中的重要技术入侵检测技术的理论和实现进行 了深入地研究。论文的第一章中首先简单介绍了计算机安全的相关概念和主要的 传统计算机安全技术，并且分析了这些技术的局限性，在此基础上引出了新一代 计算机安全技术入侵检测技术，然后从概念、分类、研究方法、当前研究现 状、评测标准和发展趋势等方面对入侵检测技术进行了详细介绍。 通过对当前大量的入侵检测系统的分析，我们发现这些系统都或多或少存在 着一些不足，为了更加安全有效地保护计算机和网络系统，论文设计了一个分 布式自适应入侵检测及响应系统( d i s t r i b u t e da d a p t i v ei n t r u s i o nd e t e c t i o na n d r e s p o n s es y s t e m ，简称d a i d r s ) 。d a i d r s 系统能通过各个检测节点之间的协 同工作，共同检测和防范对系统的入侵行为，并且具有对入侵行为的实时响应 和入侵者追踪的功能。论文的第二章根据提出的d a i d r s 系统的设计目标，建 立了d a i d r s 系统的分布式体系结构，对系统所需的模块逐个进行了详细设计， 并且详细介绍了d a i d r s 系统的工作流程。 论文的第三章详细介绍了在d a i d r s 系统中采用的入侵检测算法。入侵检 测算法是整个入侵检测系统的核心，为了提高检测准确率，我们在d a i d r s 系 统中同时采用了误用检测算法和异常检测算法，这两种检测方法互为补充，提 高检测系统的检测准确度。d a i d r s 系统的主要特点之一就是在分析器模块中 采用的异常检测算法是我们自己提出的几种异常检测算法：m a r k o v 模型方法、 隐m a r k o v 模型( h m m ) 方法、支持向量机( s v m ) 方法。论文中对这几种异 常检测算法进行了详细地推导和解释，并且还通过试验的方法说明了这几种异 常检测算法能成功地解决当前异常检测算法的一些问题，具有很强的实用性。 在论文的第四章中介绍了一些系统实现中的关键问题及其解决方法，详细说 明了在实现d a i d r s 系统中所采取的一些关键技术：数据采集策略、通信机制 和通信安全策略、各模块之间的协作策略，并且还对入侵的响应，尤其是入侵 者定位和追踪的方法进行了说明。 入侵检测技术作为计算机安全技术的一个重要组成部分，现在受到越来越广 泛地关注。迄今为止，在入侵检测的算法及系统实现的研究方面已经取得了了 大量的研究成果，并且也许多的入侵检测产品问世。但是错误率作为衡量入侵 中国科学技术大学博士学位论文 摘要 检测系统性能的一个很重要的指标，目前却很少人进行入侵检测的错误率方面 的研究工作，尤其是在错误率的计算或者估计方面，目前还没有人对此进行研 究，而这些研究对入侵检测产品的评估和改进都具有重要意义。论文的第五章 讨论了入侵检测系统中的错误率问题，包括入侵检测系统中的错误率的分类和 定义、产生原因，并对在实际工作中错误率非常难计算的问题，提出了一种对 错误率进行估计的方法，该方法简单、有效，可以用于对入侵检测系统进行评 估。 论文的最后部分从系统结构和入侵检测算法方面对d a i d r s 系统进行了总 结，并提出了今后研究的方向。 关键词：计算机安全，入侵检测系统，异常检测，误报率，漏报率 中国科学技术大学博士学位论文摘要 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e ra n dn e t w o r kt e c h n i q u e s ，t h ec o n n e c t i v i t yo f t h ei n t e r n e tt oc o r p o r a t e ，a c a d e m i c ，a n dh o m e u s e r s d e s k t o pc o m p u t e r h a sb e c o m e u b i q u i t o u s t h ei n t e m e tp r o v i d e su sm a n y k i n d so fs e r v i c e s ，b u ti th a sa l s ob e e na l l e n a b l i n gm e d i u m f o rc o m p u t e r - b a s e da t t a c k s ，a c ta st h ek e y c o m p o n e n to fc o m p u t e r s e c u r i t yt e c h n o l o g i e s ，i n t r u s i o n d e t e c t i o nh a sb e e np a i dm o r ea n dm o r ea t t e n t i o n i nc h a p t e r1 ，w eb r i n gi nt h ec o n c e p t so f c o m p u t e rs e c u r i t ya n ds o m e t r a d i t i o n a l c o m p u t e rs e c u r i t yt e c h n o l o g i e sm a i n l yu s e dn o w b u tt h e r ea r es o m el i m i t a t i o na n d d e f i c i e n c ye x i s t i n gi nt h e s et e c h n o l o g i e s ，s ot h en e wg e n e r a t i o nc o m p u t e rs e c u r i t y i n t r u s i o nd e t e c t i o nt e c h n o l o g yi sp r e s e n t e d i nt h ef o l l o w i n g p a r to f t h i sc h a p t e r w em a k eaf u l li n t r o d u c t i o no ni n t r u s i o nd e t e c t i o nt e c h n o l o g yf r o mc o n c e p t ， c l a s s i f i c a t i o n ，r e s e a r c hm e t h o d ，c u r r e n ts t a t u so fr e s e a r c h ，s t a n d a r d ，d e v e l o p m e n t a l t r e n d ，a n ds oo i l t oo v e r c o m es o m eo ft h el i m i t a t i o no ft h ee x i s t i n gi n t r u s i o nd e t e c t i o ns y s t e m 、 w ed e s i g na n di m p l e m e n tad i s t r i b u t e da d a p t i v ei n t r u s i o nd e t e c t i o na n dr e s p o n d s y s t e m ( d a i d r s ) ，i td e t e c t si n t r u s i o na n dl o c a t ei n t r u d e rb yc o o p e r a t i o no fe a c h i n t r u s i o nd e t e c t i o ns u b s y s t e m w ea l s og i v et h ed i s t r i b u t e da r c h i t e c t u r eo fd a i d r s a n ds o l u t i o n so fs o m ek e yp r o b l e m s i nc h a p t e r2 ，w eb r i n go u tt h ed e s i g ng o a lo f d a i d r s ，a n df o u n dt h ea r c h i t e c t u r e t h e n ，w ed e s i g ne a c ho ft h em o d u l e so n eb y o n e d e t a i l e d l y i nc h a p t e r3 w ei n t r o d u c et h ei n t r u s i o nd e t e c t i o na l g o r i t h m su s e di nd a i d r s ， e s p e c i a l l yt h ea n o m a l y d e t e c t i o na l g o r i t h m s i n t r u s i o nd e t e c t i o na l g o r i t h mi st h ec o r e o fi d s ，t oi m p r o v et h ep e r f o r m a n c eo fd a i d r s ，w eb r i n gm i s u s ed e t e c t i o na n d a n o m a l yd e t e c t i o na l g o r i t h m s i n t oa n a l y z e ro fd a i d r s t h ea n o m a l yd e t e c t i o n a l g o r i t h m sa r ei n t e r c o m p l e m e n t a r ya n dt h e nt h e yc a ni m p r o v et h ep e r f o r m a n c eo f d a i d r st o g e t h e r o n eo ft h ep r i m a r yf e a t u r e so fd a i d r si st h a tt h ea n o m a l y d e t e c t i o n a l g o r i t h m s u s e di nt h ea n a l y z e rm o d u l e sa r e p r e s e n t e db y o u r s e l v e s ； m a r k o vm o d e l ，h i d d e nm a r k o vm o d e l ( h m m ) ，a n d s u p p o r tv e c t o rm a c h i n e ( s v m ) w eh a v ed e d u c e da n de x p l a i n e de a c ha n o m a l yd e t e c t i o na l g o r i t h mi nd e t a i la n dh a v e i l l u m i n a t e dt h a te v e r ya l g o r i t h mc a nt r i u m p h a n t l yr e s o l v es o m ep r o b l e m so ft h e c u r r e n ta n o m a l yd e t e c t i o na l g o r i t h m sb ye x p e r i m e n ti nt h i st h e s i s t h e r e b y , w e b e l i e v et h i st h e s i sw i l ld og r e a te f f e c ti np r a c t i c e ， w eh a v ei n t r o d u c e ds o m ek e yp r o b l e m sa n dr e s o l v e n to fs y s t e mi m p l e m e n t a t i o n a n di l l u m i n a t e ds o m ek e yt e c h n o l o g i e sa b o u td a i d r s i m p l e m e n t a t i o n i nc h a p t e r4 ： d a t ac o l l e c t i o np o l i c y , c o m m u n i c a t i o nm e c h a n i s ma n ds a f e t yp o l i c y , c o o p e r a t i o n 中国科学技术大学博士学位论文 摘要 p o l i c yo f e a c hm o d u l e m o r e o v e r , w eh a v ea l s oa c c o i u i tf o rt h em e t h o d so f i n t r u d e r l o c a t i o na n dt r a c e b a c k a c ta st h ek e yc o m p o n e n to fc o m p u t e rs e c u r i t yt e c h n i q u e ，i n t r u s i o nd e t e c t i o n h a sg o t t e nm o r ea n dm o r ea t t e n t i o n s of a r , t h e r ea r em u c hr e s e a r c ho na l g o r i t h ma n d i m p l e m e n to fi n t r u s i o nd e t e c t i o n ，a n dm a n yi d sa r ed e v e l o p e db ym a n yn e t w o r k s e c u r i t yc o m p a n i e s b u tf a l s er a t ea c ta st h eb a s i cc r i t e r i o n t h e r ei s a l m o s tn oo n e s t u d yi te s p e c i a l l ya b o u t t h ec a l c u l a t i o na n dt h ee s t i m a t i o no ff a i s er a t e b u tr e s e a r c h o ni ti sj u s to f g r e a ts i g n i f i c a n c et ot h ee v a l u a t i o na n di m p r o v e m e n t o ft h e s ei d s i n c h a p t e r5 ，w ed i s c u s st h ep r o b l e mo f f a l s er a t e ，i n c l u d i n gd o i n gs o m er e s e a r c ho n c l a s s i f i c a t i o n ，d e f i n i t i o na n dc a u s a t i o no ff a l s er a t e ，a n db r i n go u ta na l g o r i t h mo f e s t i m a t i n gi ta i m i n g a te x t r e m e l yi n c a l c u l a b l ep r o b l e m si np r a c t i c e t h i sa l g o r i t h mi s n o to n l ys i m p l ea n de f f i c i e n c y , b u ta l s oc a nb eu s e di nt h ee v a l u a t i o no fi n t r u s i o n d e t e c t i o ns y s t e m i nt h ee n do ft h i st h e s i s ，w eh a v es u m m a r i z e dt h ed a i d r so nt h es y s t e m f r a m e w o r ka n dt h ea n o m a l yd e t e c t i o na l g o r i t h m sa n ds u g g e s tt h er e s e a r c hd i r e c t i o n i r lf u t u r e k e yw o r d s ：c o m p u t e rs e c u r i t y , i n t r u s i o nd e t e c t i o ns y s t e m ，a n o m a l yd e t e c t i o n ，f a l s e p o s i t i v er a t e ，f a l s en e g a t i v e s r a t e 中国科学技术大学博士学位论文 第一章绪论 第一章绪论 随着计算机和网络技术的飞速发展，计算机系统已经从独立的主机发展到 复杂的、开放式互联的网络系统，而随着网络规模的不断扩大和网络使用者的 增多，针对计算机主机和网络系统的入侵已经日益成为一个严峻的问题。 计算机操作系统和网络通信技术的不断复杂化，也导致了入侵方式的多样 化，这就使得入侵检测的难度增大，从而对计算机安全的理论和技术的研究提 出了更为迫切的要求。本章中，我们将酋先简要介绍计算机安全的知识，然后 对入侵检测技术从定义、分类，以及目前发展现状等方面进行详细介绍。 第一节计算机安全简介 1 1 1 计算机安全的定义 国际标准化组织( i n t e r n a t i o n a lo r g a n i z a t i o nf o rs t a n d a r d i z a t i o n ，简称i s o ) 将计算机安全定义为：“数据处理系统建立、采取的技术，和管理的安全保护， 保护计算机硬件、软件、数据不因偶然和恶意的原因而遭受到破坏、更改和泄 漏”。 但是这个定义只是偏重于对静态信息的保护，而对计算机系统的动态性强 调不够，为了能对计算机安全有更全面的了解，我们重新定义计算机安全为： 计算机系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的 原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，并且由计算机系统 提供的网络服务不被中断。 1 1 2 计算机安全的研究内容及研究意义 计算机安全从其本质上来讲就是网络上的信息安全，从广义来说，凡是涉及 到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论 都是计算机安全的研究领域。因此，计算机安全是一门涉及计算机科学、网络 技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种 学科的综合性学科。 计算机安全涉及的因素主要包括物理安全、系统安全、信息安全和文化安全 等四个方面【2 1 ： 物理安全：包括办公设备、网络环境、缆线结构设计等内容； 系统安全：包括操作系统、应用平台及应用系统中的安全机制： 中国科学技术大学博士学位论文 第一章绪论 信息安全：信息存储及传递中的完整性、私密性及不可否认机制； 文化安全：包括对一些网络不健康内容控制等。 计算机安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和 发扬的重要问题，其重要性正随着全球信息化步伐的加快而变到越来越重要。 “家门就是国门”，安全问题刻不容缓。近年来，计算机犯罪案件急剧上升，计 算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪 是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为4 5 0 0 0 美元，每年 计算机犯罪造成的经济损失高达5 0 亿美元。 计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常 计算机罪犯很难留下犯罪证据，这大大刺激了计算机高技术犯罪案件的发生。 计算机犯罪案率的迅速增加，使各国的计算机系统特别是网络系统面临着很大 的威胁，并成为严重的社会问题之一。 1 1 3 计算机安全的目标 为了理解为什么计算机安全技术如何能提高系统的安全性，我们首先必须 了解计算机安全试图达到的目标，计算机安全具有以下四个方面的目标 3 】= 保密性( c o n f i d e n t i a l i t y ) ：信息不泄露给非授权用户、实体或过程，或供 其利用的特性。对抗对手的被动攻击，保证信息不泄漏给未经授权的人。 完整性( i n t e g r i t y ) - 数据未经授权不能进行改变的特性。即信息在存储 或传输过程中保持不被修改、不被破坏和丢失的特性。对抗对手主动攻击，防 止信息被未经授权的篡改。 可用性( a v a i l a b i l i t y ) ：可被授权实体访问并按需求使用的特性。即当需 要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的 正常运行等都属于对可用性的攻击：保证信息及信息系统确实为授权使用者所 用。 可控性( c o n t r o l l a b i l i t y ) ：对信息的传播及内容具有控制能力。对信息及 信息系统实施安全监控。 1 1 4 计算机安全模型 计算机安全研究的目的是对目前尚未解决的安全问题提供概念性理解，进 而从安全功能的角度提出一些计算机安全模型，然后在模型的基础上展开对计 算机安全问题的研究。 中国科学技术大学博士学位论文 第一章绪论 由于我们所在的信息环境已经是个动态和变化的环境，信息业务的不断 发展变化、业务竞争环境的变化、信息技术和安全技术( 包括攻击技术) 的飞 速发展；同时我们系统自身也在不断变化，人员的流动、不断更新升级的系统 等等。总之，面对这样一个动态的系统、动态的环境，我们当然要用动态的安 全模型、方法、技术和解决方案来应对我们的安全问题。 美国国防部在1 9 8 5 年公布的可信计算机安全评估标准t c s e c 是以 r e f e r e n c em o n i t o r 为中心、规则集为安全内容的一种状态机模型的一种静态模 型。9 8 年美国、加拿大、欧洲等共同发起的c c ( c o m m o n c r i t e r i a ) 成为i s 01 5 4 0 8 标准，c c 的安全模型是一种动态风险模型，在它的基础上建立起了一套公认 的基于时间的p 2 d r ( p o l i c y ，p r o t e c t i o n ，d e t e c t i o n ，r e s p o n s e ) f 功态模型【4 1 【5 j ，如图 1 1 所示。p 2 d r 模型是对安全体系研究具有指导性的重要的参考模型。 p 2 d r 模型示意图 图1 1p 2 d r 模型示意图 p 2 d r 模型包含四个主要部分：安全策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检 测( d e t e c t i o n ) 、响应( r e s p o n s e ) 。p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在具备防护工具( p r o t e c t i o n ，如防火墙、身份认证、加密等 手段) 的基础上，利用检测工具( d e t e c t i o n ，如漏洞扫描、入侵检测系统等) 检测和评估系统的安全状态，通过针对性的响应( r e s p o n s e ) 将系统调整到“最 安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全 循环。 1 1 5 入侵技术简介 中固科学技术大学博士学位论文第一章鳍论 为了对计算机安全技术，尤其是入侵检测技术进行更加深入的研究，有必 要对入侵技术有所了解。入侵是指有关试图破坏资源的完整性、机密性和可用 性的活动集合1 6 】，入侵技术的分类并没有一个通用的标准，我们在这里将其大 概分为六类。 ( 1 ) 人因攻击 这种类型的攻击方法与人类社会其他领域的偷盗、欺骗行为并无区别，大 多是采用如下两种手法： 欺骗行为：通过一些日常的交际手段来获取一些本来应该保密的信息。 这种攻击手法主要利用网络用户安全意识薄弱的弱点，例如冒充网络管理员打 电话给用户，要求用户提供自己的密码，这在某些情况下能轻易得逞。 盗窃行为：通过一些物理( 与电子信息的窃取相对而言) 的手段来偷窃 保密信息，例如在合法用户登录时偷看密码等。 ( 2 ) 物理攻击 这种攻击一般来说都是由内部人员发动，危害是最直接的，而且往往能够 造成最大的破坏，因为攻击者可以获得受保护系统的完全控制权。物理攻击可 以分为如下两类： 物理破坏：采用物理方法对计算机系统的硬件进行破坏。 物理访问：如果某个入侵者能直接接触受保护的计算机系统，则它就可 以获取信息或者系统的控制权。 ( 3 ) 数据攻击 这种攻击针对数据而来，主要有： 信息获取：严格地说这种行为不算是攻击，主要是利用诸如地址扫描、 端口扫描等一些技术来获取网络的信息，或者利用某些网络服务来获取网络和 用户信息，例如f i n g e r 服务、w h o i s 服务和s m b 服务等。 非法获取数据：超越主体所具有的权限来获取数据，包括主机数据的获 + 取与网络传输数据的获取。这方面的例子如搭线监听来获取某些明文数据，窃 取主机上或者网络上的密文数据，然后再用工具进行破解。 篡改数据：修改主机上或者网络上传输的数据。需要注意的是这里的数 据是广义的，如果网络上传输的是某种类型的命令，那么对这种数据的篡改实 际上达到了权力获取的目的。 4 中周科学技术大学博士学位论文 第一章绪论 ( 4 ) 身份冒充 这种攻击的着眼点在于网络中的信任关系，主要有 地址伪装：由于现有网络大多数都是i p 网络，因此这种攻击的主要形式 是i p 伪装( t ps p o o f i n g ) ，由于一些比较老的服务是根据i p 地址来建立信任关 系，它就通过修改i p 来进行冒充。 会话重放( r e p l a y ) ：记录有效会话的全过程，在需要时重新发送，以达 到攻击的目的。 特洛伊木马( t r o j a nh o r s e ) ：在合法的程序中加入恶意代码，通过合法程 序的执行来运行恶意代码，以达到攻击的目的。当前这种攻击方法有与病毒相 结合的趋势，即特洛伊木马利用病毒来进行传播。 陷阶门( t r a p d o o r ) ：在系统的合法程序中加入的后门代码，它利用了用 户对于系统程序的信任，一般是在攻击成功之后为了进行进一步的攻击而引入 的。例如在成功地入侵系统之后，对系统l o g i n 程序进行替换，保证攻击者能够 绕过系统的鉴别过程随时进入系统。这方面一个著名的例子是k e n t h o m p s o n ， 在早期的u n i x 系统中通过修改c 语言的编译器加入的后门。 f 5 ) 非法使用服务 这种攻击的目的在于非法利用网络的能力，主要有： 主机缓冲区溢出：本地的非特权用户利用系统的漏洞成为特权用户，这 种攻击主要利用了系统堆栈具有可执行权限的漏洞，近几年来这种类型的漏洞 可以说是层出不穷。 远程缓冲区溢出：利用网络服务的漏洞来远程获取特权用户的权力，例如 s e n d m a i l 和i i s 的漏洞等。 利用系统r 务漏洞的攻击：利用系统正常服务的各种漏洞，来获取正常 情况下无法获取的数据，例如早期通过c g i 获得p a s s w d 文件的漏洞、近期的 u n i c o d e 漏洞等方法。 ( 6 ) 拒绝服务 这种攻击的目的是干扰网络的正常运行，它针对全部三个要素，既干扰用 户合法获取数据，又妨碍合法的信任关系的建立，还要阻止系统提供服务，主 要有： 中国科学技术大学博士学位论文 第一章绪论 占用网络带宽：妨碍正常的网络流量，干扰正常工作，甚至占用全部网 络带宽，例如s r n w t 攻击等。 干扰服务：干扰系统提供的各种网络服务，降低服务性能，例如s y n f l o o d 等。 本地关机：在w i n d o w sn t 和各种u n i x l i n u x 主机上，非特权用户是不 能关机的( 不是按开关) ，但是系统的缺陷可能会使他们也能够非法关机，例如 x 8 6 指令集的缺陷。 远程关机：远程使主机关机，例如早期的w i n n u k e 攻击。 另外，入侵技术近年来都发生了很大变化，入侵的手段与技术也有了“进 步与发展”，入侵技术的发展主要反映在下列几个方面： 入侵或攻击的综合化与复杂化： 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化： 入侵或攻击的规模扩大： 入侵或攻击技术的分布化； 只有对入侵技术及其发展趋势非常了解，才能更好地解决计算机安全所面 临的问题。 第二节传统的计算机安全解决方案 在早期的计算机安全研究中，主要是通过识别和验证的方法来阻止非法用 户对系统的使用，即采用拒敌于外的策略，这些方法我们通称为传统的计算机 安全解决方案，主要有数据加密、防火墙和虚拟专用网技术。 1 2 i 数据加密 随着计算机联网的逐步实现，计算机信息的保密问题显得越来越重要。数 据保密变换，或密码技术，是对计算机信息进行保护的最实用和最可靠的方法。 1 2 1 1 信息加密概述 计算机密码学是研究计算机信息加密、解密及其变换的科学，是数学和计 算机的交叉学科，也是一门新兴的学科。随着计算机网络和计算机通讯技术的 发展，计算机密码学得到前所未有的重视并迅速普及和发展起来。在国外，它 已成为计算机安全主要的研究方向，也是计算机安全课程教学中的主要内容。 密码是实现秘密通讯的主要手段，是隐蔽语言、文字、图像的特种符号。 。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来，不为第三者 所识别的通讯方式称为密码通讯。在计算机通讯中，采用密码技术将信息隐蔽 6 中国科学技术大学博士学位论文 第一章绪论 起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获， 窃取者也不能了解信息的内容，从而保证信息传输的安全。 任何一个加密系统至少包括下面四个组成部分： 未加密的报文，也称明文。 加密后的报文，也称密文。 加密解密设备或算法。 加密解密的密钥。 发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收 方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取， 他只能得到无法理解的密文，从而对信息起到保密作用。 1 2 1 2 加密技术 数据加密标准 数据加密标准( d e s ) 是美国经长时间征集和筛选后，于1 9 7 7 年由美国国 家标准局颁布的一种加密算法。它主要用于民用敏感信息的加密，后来被国际 标准化组织接受作为国际标准。d e s 主要采用替换和移位的方法加密。它用5 6 位密钥对6 4 位二进制数据块进行加密，每次加密可对6 4 位的输入数据进行1 6 轮编码，经一系列替换和移位后，输入的6 4 位原始数据转换成完全不同的6 4 位输出数据。d e s 算法仅使用最大为6 4 位的标准算术和逻辑运算，运算速度 快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适 合于在专用芯片上实现。 国际数据加密算法 国际数据加密算法i d e a 是瑞士的著名学者提出的。它在1 9 9 0 年正式公布 并在以后得到增强。这种算法是在d e s 算法的基础上发展出来的，类似于三重 d e s 。发展i d e a 也是因为感到d e s 具有密钥太短等缺点，已经过时。i d e a 的密钥为1 2 8 位，这么长的密钥在今后若干年内应该是安全的。 c l i p p e r 加密芯片 密码虽然可为私人提供信息保密服务，但是它首先是维护国家利益的工具。 正是基于这个出发点，考虑到d e s 算法公开后带来的种种问题，美国国家保密 局( n s a ) 从1 9 8 5 年起开始着手制定新的商用数据加密标准，以取代d e s 。 1 9 9 0 年开始试用，1 9 9 3 年正式使用，主要用于通信交换系统中电话、传真和计 算机通信信息的安全保护。 7 中国科学技术大学博士学位论文第一章绪论 新的数据加密标准完全改变了过去的政策，密码算法不再公开，对用户提 供加密芯片( c l i p p e r ) 和硬件设备。新算法的安全性远高于d e s ，其密钥量比 d e s 多1 0 0 0 多万倍。据估算，穷举破译至少需要1 0 亿年。为确保安全，c l i p p e r 芯片由一个公司制造裸片，再由另一公司编程后方可使用。 公开密钥密码体制 本世纪7 0 年代，美国斯坦福大学的两名学者迪菲和赫尔曼提出了一种新的 加密方法一一公开密钥加密队p k e 方法。与传统的加密方法不同，该技术采用 两个不同的密钥来对信息加密和解密，它也称为非对称式加密方法，每个用户 有一个对外公开的加密算法e 和对外保密的解密算法d 。 公开密钥密码体制下，加密密钥不等于解密密钥，加密密钥可对外公开， 使任何用户都可将传送给此用户的信息用公开密钥加密发送，而该用户唯保 存的私人密钥是保密的，也只有它能将密文复原、解密。虽然解密密钥理论上 可由加密密钥推算出来，但这种算法设计在实际上是不可能的，或者虽然能够 推算出，但要花费很长的时间而成为不可行的。所以将加密密钥公开也不会危 害密钥的安全。 1 2 2 防火墙 1 2 2 1 什么是防火墙 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火 墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来 实现网络的安全保护。 在逻辑上，防火墙是个分离器，一个限制器，也是一个分析器，有效地 监控了内部网和i n t e m e t 之间的任何活动，保证了内部网络的安全。它决定了哪 些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪 些外部服务可以被内部人员访问。防火墙实际上是种隔离技术。防火墙是在 两个网络通讯时执行的种访问控制尺度，它能允许你“同意”的人和数据进入 你的网络，同时将你“不同意”的人和数据拒之门外，阻止网络中的黑客来访问 你的网络防止他们更改、拷贝、毁坏你的重要信息。 1 2 2 2 防火墙的基本类型 实现防火墙的技术包括四大类：包过滤型防火墙、应用级网关、电路级网 关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用， 要看具体需要。 。 包过滤型防火墙 中田科学技术大学博士学位论文第一章绪论 数据包过滤( p a c k e tf i l t e r i n g ) 技术是在网络层对数据包进行选择，选择的 依据是系统内设置的过滤逻辑，被称为访问控制表( a c c e s s c o n t r o lt a b l e ) 。通 过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等 因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简 单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器 上。路由器是内部网络与i n t e m e t 连接必不可少的设备，因此在原有网络上增加 这样的防火墙几乎不需要任何额外的费用。 应用级网关 应用级网关( a p p l i c a t i o n l e v e lg a t e w a y s ) 是在网络应用层上建立协议过滤 和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在 过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应 用网关通常安装在专用工作站系统上。 代理服务 代理服务( p r o x ys e r v i c e ) 也称链路级网关或t c p 通道( c i r c u i tl e v e l g a t e w a y s o rt c pt u n n e l s ) ，也有人将它归于应用级网关一类。它是针对数据包 过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防 火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由 两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理 服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对 过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向 网络管理员发出警报，并保留攻击痕迹。 目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于 用户透明，在o s i 最高层上加密数据，不需要你去修改客户端的程序，也不需 对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙 之一o nt e c h n o l o g y 软件公司生产的o ng u a r d 和c h e c kp o i n t 软件公司生产的 f i r e w a l l 1 防火墙都是一种规则检查防火墙。 1 223 防火墙的缺点和未来发展趋势 数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务 请求，防火墙技术的致命缺点是无法防止防火墙内侧的攻击，因此，防火墙技 术需要和入侵检测技术结合使用。 4 未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络 级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则 向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保 护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。 9 中国科学技术大学博士学位论文第一章绪论 1 2 3 虚拟专用网 1 2 3 1 虚拟专用网简介 虚拟专用网是( v p n ，v i r t u a lp r i v a t e n e t w o r k ) 一种利用公共网络来构建的 私有专用网络。目前，能够用于构建v p n 的公共网络包括i m e m e t 和服务提 供商所提供的d d n 专线、帧中继、a t m 等，构建在这些公共网络上的v p n 将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。 “虚拟”的概念是相对传统私有专用网络的构建方式而言的，对于广域网连 接，传统的组网方式是通过远程拨号和专线连接来实现的，而v p n 是利用服 务提供商所提供的公共网络来实现远程的广域连接。通过v p n ，企业可以以明 显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴 1 2 3 2 虚拟专用网的分类 针对不同的用户要求，v p n 有三种解决方案：远程访问虚拟专用网( a c c e s s v p n ) 、企业内部虚拟专用网( i n t r a n e t v p n ) 和企业扩展虚拟专用网( e x t r a n e t v p n ) ，这三种类型的虚拟专用网分别与传统的远程访问网络、企业内部的 i n t r a n e t 以及企业网和相关合作伙伴的企业网所构成的e x t r a n e t 相对应。 访问虚拟专网a c c e s sv p n a c c e s sv p n 通过一个拥有与专用网络相同策略的共享基础设施，提供对企 业内部网或外部网的远程访问。a c c e s sv p n 能使用户随时、随地以其所需的方 式访问企业资源。a c c e s s v p n 包括模拟、拨号、i s d n 、数字用户线路( x d s u 、 移动i p 和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。 企业内部虚拟专网i n t r a j l e t v p n i n t r a n e tv p n 通过一个使用专用连接的共享基础设施，连接企业总部、远程办 事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量( q o n ) 、 可管理性和可靠性。 扩展的企业内部虚拟专网e x t r a n e tv p n e x t r a n e tv p n 通过一个使用专用连接的共享基础设施，将客户、供应商、 合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包 括安全、服务质量( q o s ) 、可管理性和可靠性。 1 2 3 3 虚拟专用网的优点 利用公用网络构建虚拟私有网络是个新型的网络概念，它给服务提供商 ( i s p ) 和v p n 用户都将带来不少的益处。对于服务提供商来说，在通过向企 业提供v p n 这种增值服务。 1 0 中田科学技术大学博士学位论文 第一章绪论 对i s p 而言，i s p 可以与企业建立更加紧密的长期合作关系，同时充分利用 现有网络资源，提高业务量。 对于v p n 用户而言。利用i n t e m e t 组建私有网，将大笔的专线费用缩减为 少量的市话费用和i n t e m e t 费用，而且，企业甚至可以不必维护自己的广域网 系统，交由专业的i s p 来帮你完成：v p n 用户的网络地址可以由企业内部进 行统一分配、v p n ，组网的灵活、方便性等特性将大大方便企业的网络管理；另 外，在v p n 应用中，通过远端用户验证以及隧道数据加密等技术使得通过公 用网络传输的私有数据的安全性得到了很好的保证。 第三节入侵检测靳一代的计算机安全解决方案 入侵检测是新一代的计算机安全