（模式识别与智能系统专业论文）支持向量机和负载均衡在网络安全中的应用.pdf

支持商量橇和负载均衡在网终安全中秘应蠲 独创蛙( 袋剑毅性) 声明 本人声明所呈交的论文悬本人在导师指肆下进行的研究工作及取得的研究 成果。尽我联嬲，除了文中特别加以标泣和致谢串辑罗列豹内容以外，论文中不 包含葳他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育枫橡豹学位或证书两使用过的材料。与我一网工中譬的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 审请学位论文与资料若有不实之处，本人承担一切相关爨任。 本人签名： 篮l r 斓：璺咝：生：! 关于论文使角授权的说明 学位论文作者完黛了解北京邮电大学有关保留和使用学饿论文的规定，即： 研究鬟三在校改读学佼期间论文工作鹩知识产投单位耩北京邮电大学。举校有权傈 留并向国家有关部门戏机构邀交论文的复印件和磁盘，允许学位论文被查阅和借 阕；举校可以公布学饶论文的全帮或帮分内容，可以免许采爝影印、缩印或冀它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 绦密论文注释：举学位论文属予绦密在一年解密螽遥臻本授投书。菲保密论 文注释：本学位论文不属于保密范围，适用本授权书。 零久签麓：壅! 茎蜀羯：，西妒，擎零久签麓：缏；矿蜀羯：蹿妒，擎 譬师签名 竭车 f t 期：】p 、帆工 支持向量撬零l 受载均衡在网络安全串羲瘴耀 摘要 该论文是对研究生期叫在模式识别技术以及网络管理技术研究的总结。论文 以信息时 弋静黼络安全为背景，主要针对局域隔的网络安全技术进幸亍了分析，潋 基于煎载均衡的安全网关集群系统为主线，集中在支持向量机技术在入侵检测中 的应埔醴及寨群计算中的负载均衡技术两个方面进行了和项露裙关的研究和实 验。介绍了目前网络安全主要是入侵捡测技术和负载均衡领域的原理和发展现 状，并说明了为什么一个性价比高的安全网关需要这两种技术。论文简要介绍了 支持向量规的理论，并主要针对网络入侵捡测黢特点褒支持囱量极分类器熬特薤 选择以及样本的挑选擗方面做了相关的探讨；而集群计算中的负载均衡方面的内 容包含了援关缀念以及一些浚学的冀法，并通过实验褥鏊蘸弱几耪主瀛算法秘色 创的算法进行了比较，得出了实验结沦。两种技术的特长最终在基于负载均衡的 安全网关集群系统中得到了茨箨。 i 关键字】 网络管理；入侵检测；i n t e r n e t ；集群系统；负载均衡；支持向量 机；k d d 爱特自鼙撬拳 受载鞠鬻程瓣络安全串鞠怼掰 a b s t r a c t 讯st h e s i si sas u m m a r yo f r e s e a r c h e so r lp a t t e r nr e c o g n i t i o nt e c h n o l o g ya n dn e t v o 瞧 a d m i n i s t r a t i o nt e c h n o l o g y t a k i n gn e t w o r ks e c u r i t yi ni n f o r m a t i o na g ea sb a c k g r o u n d i tm a i n l ya n a l y s e st ot h en e t w o r ks e c u r i t yo fl a n t a k i n gs e c u r i t yg a t e w a yc l u s t e r s v s t e mw h i c hb a s e do i ll o a db a l a n c ea st h et h r e a d ，i tm a d es o m ep r o j e c tr e l a t e d r e s e a r c h e sa n de x p e r i m e n t sf o c u s e do nt w oa s p e c t s ：t h ea p p l i c a t i o no f s u p p o r tv e c t o r m a c h i n et e c h n o l o g yt oi n t r u s i o nd e t e c t i o ns y s t e r na n dl o a db a l a l i c et e c h n o l o g y d u r i n g c l u s t e rc a l c u l a t i o n 。i t p r e s e n t s t h a t ，t h et l e t w o r k s e c u r i t y i s c u r r e n t l y t h e p r i n c i p l ea n d 铡t r r e r l td e v e l o p i n gs t a t u so fi n t r u s i o nd e t e o r i o nt e c h n o l o g ya n d o ft h o s e i n 矗e l do f o a db a l a n c e ；i ta t s oe x p l a i n e dt h a tw h yt h e s et w ok i n d so f t e c h n 0 1 0 9 ya r e n e c e s s a r yi nas e c u r i t yg a t e w a yw i t hh i g hc o s tp e r f o r m a n c e 。t 1 1 et h e s i sc a r r i e so na b r i e fi n t r o d u c t i o no nt h et h e o r yo fs t l p 蛰o r tv e c t o rm a c h i n e 。f u r t h e r m o r e 、a st ot h e e h a r a c t e r i s t i c so fd e t e c t i o no nn e t w o r ki n t r u s i o n 。 tm a d es o m er e l e v a n td i s c u s s i o no i l t h ea s p e c t so fc h a r a c t e r i s t i c ss e l e c t i o no f c l a s s i f v i n gd e v i c eo fs u p p o r tv e c t o rm a c h i n e a n ds a m p l es e l e c t i o n ，e 把，a n d 鑫st ot h ec o n t e n to fl o a db a l a n c ed u r i n gc l u s t e r c a l c u l a t i o n ，l tc o n t a i n sr e l e v a n t c o n c e p t s a n ds o m e p o p u l a ra l g o r i t h m s 。i ta l s o c o m p a r e ss o l n e c u r r e r t tm a i n s t r e a ma l g o r i t h m sw i t hs e r f - c r e a t e da l g o r i t h mt h r o u g h e x p e r i m e n ta n dd r a w st h ee x p e r i m e n tc o n c l u s i o n a n d 鞭n 撼l y ，t h es p e c i a l t yo ft h e s e t w ok i r i d so ft e c h n o l o g yi su t i l i z e di nt h es e c u r i t vg a t e w a yc l u s t e rs y s t e m w h i c h b a s e do nl o a db a l a i c e 。 【k e yw o r d s 】 n e t w o r k a d m i n i s u a t i o n ；i n t r u s i o nd e t e c t i o n ；i n t e r n e t ；c l u s t e r s y s t e m ； l o a d b a l a n c e ；s u p p o r t v e c t o rm a c h i n e ；k d d - 2 支持向培机硐i 负载均衡在网络安全中的戍j j 第一章概述 第一节背景 i n t e r n e t 的普及，为资源的共享与信息的交流提供了高效而便捷的手段。 但是同时越来越多的针对i n t e r n e t 的恶意破坏及攻击，给联网的信息、资源带 来了严重的安全威胁。局域网的安全更成为国内外研究的热点。安全网关无疑已 经成为保护局域网信息安全的一道重要的屏障。一个好的网络安全屏障，需要很 多的技术作为它的支持。其中，作为i d s 关键技术的入侵检测，成为影响系统性 能的核心，而集群计算领域旱面的负载均衡技术，又是系统稳健地发挥其效能的 保障。 基于这种考虑，论文重点研究了支持向量机( s v m ) 技术和负载均衡( l o a d b a l a n c e ) 技术。并尝试将支持向量机( s v m ) 分类器作为入侵检测的主要算法，而 负载均衡技术主要用来提高系统的速度、稳定性等性能指标。如此将两种技术整 合应用到负责保护网络安全的局域网安全网关系统中去。 首先，利用一个非常成熟的入侵检测软件丌发包- - s n o r t 配合自己编制的 一些规则，放在自己搭建的局域网平台上，并用自创的负载均衡算法构成了一个 试验环境。在这套环境下进行了相关的研究和一系列测试。该系统能够达到一般 情况下对一个安全网关系统的要求。 在对基于s v m 的入侵检测模型的研究中，为了提高成功率以及程序执行的速 度，在特征的选取上下功夫进行了相关的研究，最终的仿真结果证明了对特征的 选择能够取得令人满意的效果。 在最后，又利用安全网关所搭建好的环境，对负载均衡的理论及相关算法进 行了一些探讨和试验，并将目前主流的算法和自创的算法进行了对比，取得了一 些相关的数据，得出了一些实际操作中的结论。 支持向鼙机年负载均衡在网络安全中的麻 第二节。论文的主要内容 该论文是对两年来研究成果的总结。为了深入理解模式识别的原理，选择了 近年来发展非常迅速的支持向量机( s v m ) 技术作为突破口来进行相关的研究。 在网络管理方面的研究主要是针对局域网内的网络安全，具体地说就是如何构建 个性能卓越而又能够简单维护而且可以相对廉价的安全网关系统。为了达到这 一目标，利用了集群并行计算领域的负载均衡理论，并对相关的算法进行了一系 列的学习和试验。 为了能够尽快地搭建好入侵检测的实验环境，首先利用了一个非常成熟的入 侵检测软件开发包s n o r t ，并根掘对网络安全的需求定制了自己的规则，有 了入侵检测系统，要把它发展成为一个能够经受得起网络入侵者的攻击的强大的 安全网关，还需要加强它的性能。于是利用并行计算领域的负载均衡技术，自己 创建了一套负载均衡算法，这样，即使在需要处理的数据包非常繁多的情况下， 这个安全网关依然能够稳健地运行，充当着局域网的安全卫士。为了测试系统的 鲁棒性，特意编制了一些的测试程序柬对这个系统进行测试，包括向目标局域网 建立8 万条t c p 连接等，之后从互联网上搜集了一些网络攻击程序对系统进行 测试。经测试，无论是入侵检测还是系统的负载均衡都达到了预期的要求。 有了这样一个在局域网上进行网络安全试验的环境之后，又分别对这两种技 术进行了进一步深入的研究。 在对支持向量机分类器的研究中，首先进行了对特征提取的研究，考虑到支 持向量机可以在训练样本相对比较少的情况下能够得到比神经网络等分类器更 好的识别效果、但是如果样本特征增加又会导致训l 练和识别速度降低的特点，在 样本特征的选取下功夫进行了相关研究和探讨。 首先，将所有的攻击类型分为四类，分别是拒绝服务攻击、远程侵入、非法 获得超级用户权限以及对系统进行扫描。如果再加上正常的网络数据包，则一共 把所有的数据分成五类。数据库采用的是k d d c u p 9 9 入侵检测评测基准数据库， 这个数据库将t c p 协议提取出了4 1 个特征，这些特征涵盖了t c p 的基本特征、 内容特征以及两秒时间窗的流量特征，较为全面的总结了区别“正常”与“攻 击”的特征。 有了特征，就需要对分类器的训练数据和测试数据进行筛选。 奎量塑苎塑量! 鱼塾塑塑鱼堕堡窭竺! 堕要型 开始，随机抽取样本，识别率不高，于是按照按前面划分的五类在每类中抽 取样本，识别率有了很大提高，然后，根据三种不同的协议( t c p 、u d p 、i c m p ) 将样本进行归一化，识别率有有了相应的提高。最后根据每种攻击和协议的相 关性，将所有的样本分成了1 8 9 种，然后对这1 8 9 种类型进行分别训练，这样一 来大大加快了训练和识别的速度，更重要的是，识别率达到了9 9 以上。 在负载均衡的研究方面，主要是针对相关算法进行学习和试验。 期间认真学习和研究了目前国内外的一些流行的负载均衡算法，并根据的试 验环境进行了相关的测试，进行了相应的比较。 算法方面，研究了直接算法：最近邻居算法中的扩散、梯度和维交换算法： 超立方体以及错误超立方体上的维交换算法等。 为了实现算法，使用了由美国o a kr i d g e 国家实验室( o r n l ) 在1 9 8 9 年发起 研制的p v m ( p a r a l l e lv i r t u a lm a c h i n e ) 软件环境。它是一个能用来进行并行程序设 计的软件环境，能把一个由异构型计算机构成的网络虚拟成一个大的并行计算机 来使用。在这个环境下，用c 语言进行编程来实现相关算法以进行测试和算法 问的比较。 在测试时采用的算法主要是大量数据的计算，一个测试算法是大规模矩阵相 乘( m n 维的矩阵m 乘以n r 维的矩阵n ) ，另外一个测试算法是大向量之间 计算卷积。试验结果证明，在搭建的环境下，直接算法和维交换算法的效率较高， 而梯度算法效率虽然相对低一些，但是仍然非常好地实现了负载均衡的功能。另 外，自己创造的算法由于有它的网络数据包处理专用性，所以在进行大量数据计 算上的效果没有通用的算法好。 需要提出的是：由于实验条件有限，所以得出的结论有一定的局限性。 第三节论文的结构 论文总共五章，第一章概述，主要介绍了论文的研究背景以及主要内容，以 及本论文的主要成果：第二章背景知识简介，主要围绕i n t e m e t 中的网络安全以 及集群计算中的负载均衡两大部分展丌，介绍了目前网络安全主要是入侵检 测技术的原理和目前的发展状况，以及当前对负载均衡这一方向的原理研究和实 践的相关成果；第三章主要描述了一个网络安全系统基于负载均衡的安全网 支持尚鬣掘和受簸均衡在阏络安全中瓣赢 关嶷鼗系统，劳爨绕鳆面掰茅申技术在安全嘲美系统孛豹应鲻避行了嶷开。憩绪了 这磷张技零整食在一个系统暴嚣蛉磺究结聚；第器警楚支持趣_ 霪枫技术在入镁检 溅串鹣瘟攒，黠支持囊霪瓿这一理论j 熹 牙了麓要灸绥，蒡钤鼹阚络入搜捡浏熬特 患瓣支跨囊豢撩在姆撼选糖餐方甏徽了相装载探讨。繁轰帮惹集群诗蒋审懿爨载 麓衡研褒，强绕集群王终辩孛豹囊载均鬻投零震殍，痰客饶古了稻美壤念蔽及一 骜滚行静冀滋。芽程畿君介缁了热秘翻瘸零罐雳这鎏髯滚对囊全溺焚巢辩系统遴幸亍 德亿。 支持向量机平负载均衡在网络安全中的麻h 第二章网络安全相关知识 第一节概述 随着i n t e m e t 应用的普及，网络渐渐融入到人们的工作、学习、生活各个方 面。一方面，网络上面充满了各种各样的信息，网络用户在寻找相关信息的时候 感到相当繁琐，追切需要一种能够根据文本信息来检索并实现分类的系统：另一 方面，各种管理信息系统也应运而生，已经渗透到各行各业的诸多领域。随着数 据容量的急剧增长，数据共享的程度越来越高，针对网络和计算机系统的攻击也 变得越来越普遍，越来越复杂，各种各样的安全问题越来越尖锐，信息系统的安 全性也将遭受严重影响。一旦出错影响将是巨大的，损失也是不可估量的。网络 安全同益成为众多计算机用户所关心的重要问题。计算机安全机构和c e r ti 计 算机紧急事件响应组) 提供的数据资料显示，全球有1 5 的互联网站点都曾遭受 过安全侵害。在美国，每年因为网络安全侵害所导致的经济损失达1 0 0 亿美元。 由此可见，建立、健全网络安全防范机制，对信息提供足够的安全保护，是时代的 需要，而且已经迫在眉睫。 另一方面，目前的许多入侵检测系统只能被动地将黑客的入侵行为进行识 别，并进一步向管理员提出告警，而不能主动地将网络攻击屏蔽在受保护的网络 之外，这种系统的安全性能不能完全得到保证。 第三，一些政府、机构以及企业是网络黑客的重点攻击对象，那些入侵者时 刻都希望攻破这些系统的安全防线已达到他们不可告人的目的。于是，这些系统 的安全防护系统的任务变得非常繁重，需要经常购置更高级、运算速度更快、处 理能力更强的计算机来应对随时可能发生的网络攻击。但是想要达到所需的要 求常常需要耗费巨资来购置高级的超级计算机。于是，计算机的性能价格比又 成为了一个问题摆在了网络安全人员的面前。 基于这种情况，设计并实现了一个基于负载均衡的安全网关集群系统。该系 统的诞生，在一定程度上解决了上面提出末的三个问题，有一定的理论和实用价 值。 奎堡复笙堡墼墨鍪望爨鱼堕釜壅全! 塑壁型 本系统主要县酌是为了鳃决大传臻速攀状态下的安全耀关齄璎瓶颈阚戆；一 般的网关系统如果使用安全机制，姆必会引起数据传输的瓶颈，而本系统使用均 堑方法霹以缀舞豹壤决这个润戆，姆安全姣毽分攘斓多套安全楚璎援上进行分存 式处理，从而不再产生瓶颈问题。 第二节局域网中的网络安全 局域嘲楚在工作中普濑使用的种网络，大到艇个学校、小到公司内部的一 令攥门，都跫逶过鹅域霹慕安强弱络翁要恣戆。瑟绦涯弱城秘熬嚣络安全又藏尧 引起社会上广泛关注的一个热点问题。无论是内部局域网与外部网络之间，还是 蜀域潮肉嚣个子丽之润都存在着一釜网络数握静安全闽瑟。为了绦轳好蜀域潮数 据的安全，目前普遍使用的方法是安装网络防火墙，而为了来监控与系统蜜全有 关的活动并获取到随络攻诲的相关数掂，般采丽入侵检测系统酶方法。 从安全防御的角度上说：一方颧要保诚从外部嘲络到内部网络的所有的网络 连接和所裔的网络数据包烧安全的，另方面要保证从内部网络向外部网络发送 靛数握包不会淫漏内部弼终静甥美镶塞穰怒。 2 2 。至。网络防火墙技术 网络防火墙在大多数机构售息安全蒺酶中起蘩支柱豹传蠲。骆火墙可敬是矮 有被“特殊网络和一组网络”用作网络一级的访问控制机制的设备。在大移数情 嚣下，薅火壤被璃_ 柬阻壹癸采人头谚闻内帮溺络。毽蓬，防火臻壤能被瑁来为蘧 薪水册、付黻处理和r i d 系统那样高度敏感的应用在内部局域网内产生更多的安 全数据包。它们的成蔫著没有被完金隈箭农这些范萄串。陡火墙设备通常燕单独 的计算机、路由器藏者防火墙“设备”。( 肪火墙设铸通常怒运行定创或专用操作 系统的专嗣硬件设备) 防火壤被设计翔柬作为出入内部网络麴控利点。它 f j 认迂收烈豹连接请求。 防火墙根据预先定义的一套规则或“政策”来查看网络通信是否被允许，只要从 授牧主投戮攫较嚣懿恐豹溪接请求= _ l 被楚瑾，其簸熬连接请求黎会棱丢雾。 目前来说，人们对防火墙的通常理解是它悬由软件茅廿硬件组成的。软件可 叛楚私育较僻，迄w 珏是公精软件藏免费软件；硬徉霹虢是经商支持软箨酶矮侔。 支持向量机和负载均衡在网络安全中的应用 防火墙技术通常属于下面三类中的一类： 基于包过滤的防火墙( 通常的路由器、c i s c oi o s 等等) 可陈述的基于包过滤的防火墙( c h e c k p o i n t 公司的f w - 1 、p i x 等等) 基于代理的防火墙( n a i 公司的g a u n t l e t 、a x e n t 公司的r a p t o r 等等) 下面对他们逐一做一个简要介绍。 1 包过滤防火墙通常是具有包过滤功能的路由器。使用一台基本的包过滤 路由器，你可以根据一些变量来授权或拒绝对你站点的访问，使用的变量包括： 夺源地址 夺目的地址 令协议 夺端口号 基于包过滤的路由器优点是实观简单，价格低廉；缺点是功能有限，只能对 付有限的相对简单的网络攻击对譬如拒绝服务攻击等显得无能为力。 2 可陈述的包过滤建立在包过滤概念之上并对它进行了发展。由于建立在该 模型之上的防火墙对内部状态表中的会话和连接进行跟踪，因此它能做出相应的 反应。因此，可陈述的基于包过滤的防火墙比它们普通的包过滤同伴更灵活。而 且，大部分可陈述的基于包过滤的防火墙被设计为能防御某些类型的d o s 攻击， 并增加了对基于s m t p 的邮件的保护和其他特殊安全功能的分类。 3 基于代理的防火墙有时也被称为应用网关或应用代理。当远端用户与运行 着基于代理的防火墙的网络进行连接时，防火墙就作为该连接的代理。使用这种 技术i p 数据包不再被直接转发给内部网络。相反，出现了一种类型转换，防 火墙起着管道和解释器的作用。 特别需要注意的一点是：虽然防火墙从根本上说非常重要，但是所有完全依 赖防火墙来满足安全需要的机构都是很愚笨的。 光有防火墙是不够的，为了保护网络的安全，很多情况下还需要建立一个入 侵检测系统。什么是入侵检测系统呢? 它的作用又是什么呢? 支持向量机和f 负载均衡在网络安全中的志h j 2 2 2 入侵检测技术 对许多人柬说，术语“入侵检测”具有不同的含义：这里所说的入侵检测是 指检测怀有敌意的用户或入侵者试图获得未授权访问的行为。而入侵检测系统 i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 通过检测特定系统的攻击模式、独立事件、配置 问题、欺骗程序、存在缺陷的程序版本和其他攻击者可能利用的漏洞，来监控与 系统安全有关的活动，以实现对系统安全漏洞和攻击者的追踪并及时报警。从安 全审计的角度上说：一旦发现任何值得怀疑的现象，比如发现了不安全的网络连 接特别是发现了网络攻击性的连接，或者发现了不安全的网络数据包等等， 都应该立即将其记录到同志罩面，以供网络管理员进行判别，如果设定了相应的 模式，还应及时地向网络管理员进行告警。这些就是网络入侵检测系统的功能。 今天，多数入侵检测系统几乎都有相同的目标，即实现搜索入侵者的过程的 自动化；这一目标实现起来可以很简单，如实时地处理防火墙的日志，查找各种 端口扫描行为：也可以实现得很复杂，如在原有的网络传输中引入检测例程，查 找各种缓冲区溢出企图等等。 传统的入侵检测系统一般分为两种：错用检测( m i s u s ed e t e c t i o n ) 模型和基 于异常的检测( a n o m a l y b a s e dd e t e c t i o n ) 模型。其中错用检测系统还包括：基 于网络的入侵检测系统( n i d s ) 和基于主机的入侵检测系统( h i d s ) 。以下分 别做一简单介绍。 基于网络的入侵检测系统f n i d s ) ： 就目前的形式而言，各种n i d s 设备都是一种源数据包解析引擎经 过修改的嗅探器。n i d s 捕捉网络传输的各个数据包，并将其与某些已知 的攻击模式或签名进行比较，从而捕获入侵者的入侵企图。n i d s 可以无 源( p a s s i v e l y ) 地安装，而不必对系统或网络进行较大的改动。 基于主机的入侵检测系统( h i d s ) ： 这种系统因不同的供应商而异，但通常是在系统设计过程中涉及的核心 技术。多数基于主机的入侵检测系统一般包古有解析系统日志、查看用 户登录和处理等各种组件，有些更高级的系统甚至内置了搜索特洛伊木 马的能力。h i d s 是基于代理的，即需要在被保护的系统上安装一个程序， 这也使得它们从某种程度上来说更加彻底，但配置和管理的难度较大。 茎釜塑篁篓塑墨塞望堡垒塑望窒釜! 塑翌! ! 基于黪常弱入侵捡测悉绕： 基于舜常的入侵检测系统概念有螳模糊，通常是一种概念上的而非实际 酶系绕，其梭溅霞燕燕要理熊鲻户鼹模式帮蹒终土懿数攥包传辕模式， 并发现这些模式的异常。例如，某个用户一般会在星期一至熬期五之间 登录，健袋恣发现谴程量赣六早匕3 煮登录，既髓基于异常懿入浸硷涮 系统就会发出警告。从理论上 屯这种系统通常只能检测出系统有问题 产生，但并不知道产生问题的原因所在。 蠼常见的入侵检测系统一般是基卡主机的入侵梭测系统秘基于潮终豹入侵 检测模型：尽管也有一些基于舜常的入侵检测模型存税，但这种模型猩政府和学 术极橡中攫少冕到。 2 。2 。2 。1 入侵检测专家系统( 1 d e s ，i n t r u s i o n d e t e c t i o n e x p e r ts y s t e m ) 介绍 i d e s 系统独立运行在自已的硬件h 辞处理通过一个网络从一个或多个目 标系绕所传送过来斡窜计数藏。i d e s 试蕊稳供一个与系统蠢关的梳潮，来安嚣亨 地检测违反安全规则的活动。不论它们是由一个试图闯入系统的岁 部人员所发起 的，述是一个试图滥用其权利的内部人员的活动。i d e s 是基于在s r i 公司内部 开发的入侵梭测模型潦础上的。该入经检测摸型独立予经侮黪定豹最标系统、应 用环境、审计数据的媵次( 例如，用户层次或是网络滕次) 以及系统脆弱性或者 灭授类垄，双嚣挺珙了个馊溺实霹露计数爨分橱故遴爱入侵捡溺系绫熬抟系框 架。 i d e s 舔黧系统稔誊在窜诗鼗攥中报告的髑产行为，是番等在该震产静历史 活动楼案中所体现出的历史滋动或可接受活动相一致。原型系统提供收集弄报告 安全倍息酶枫制，以及检测无法被访问控制骄发现的入侵行为的机制。 i d e s 系黢采用多种方法来检测可淹行为。i d e s 邋过观测与所建建的个体瀵 动模式的偏离程度来检测伪装的入侵程葶。它通过傈j 筝过去用户行为的统计分析 挡寨褒镟到这一点。i d e s 同瓣包括撼述特定八侵类溅数专家系绫援燃。当联溪 测的滁动匹配任何一种所设您的入侵模式时，i d e s 就发出一个警报信号。 i d e s 还羧控著予系统参数，魏e 瞪翁傻用稳失效髂登慕次鼗等簿，荠褥它 塞鲎塑至塑塑壅鍪望篓垒塑墅窭全主墼篓望； 一。一 f 3 与以往已建立起必的正常模式糨比较。i d e s 安全管理员接口绘如一个对所监 控系统用户行为的连续显示。当i d e s 检测到一个擀常情况时，就向该显豕屏幕 发送一个弱寐指承该异零状态原嚣豹消息。 2 。2 。2 2 l d e s 设计搂型 最初韵i d e s 版本被设计残仅仪支持个单独鬓标主枫。更凝舨本的i d e s 原趟系统熬新设计了以为的体系结构，以便可以殿用于侮何数目的异质图标系 绞，蒡提联一令弱予测试入侵捡嚣技术帮务秘实聪方法静警台。 系统所采用的设计模激可以分为4 个部分：目标系统域、邻域接口、处理引 擎和角户羧强。餮1 表示了该莰计模鍪。 (i d e s 蠲户接弱) 、一，一7 7 图1i d e s 的设计模型 在i d e s 嚣境中，一个邻竣( r e a l m ) 攒豹是一缝类 娃弱坡整控罄稼凝嚣；“类 似”意味精这些目标机器所产生的审计数抛具有相同的格式。除了提供目标审计 数据鼓井，每一个邻竣攘辩胃裁还支持对攀计数爨的菜些蓥剐瓠赣潋确定它翻豹 来源。 i d e s 的目标域包括一组邻域，这些邻域正鲶在监控箕异常添动静状态。因 为可能有大量的被监控主枫，因此对于一组目标系统或一组邻域褥言，存在多个 审计数据的收集和整理点，而不憝集中一点。 i d e s 处壤嚣拯豹是一个计算环境，它受责分援姨i d e s 邻域爽获褥的整息。 i d e s 的审计记录被分发给多个分析引擎，也成为鬻件子系统( e v e n ts u b s y s t e m ) 。 掰有静i d e s 事锌予系统凌萃令奉计记录( 或者葵毽记录筑) 静蒸懿主处壤事箨。 ， 支持向培机干负载均衡往网络安全中的廊h 目前，已经实现了两个异常检测的事件子系统，其中一个基于统计分析的方法。 另外一个基于规则分析方法之上。然而，设计模型并不限制子系统只能提供对异 常行为的检测能力。 i d e s 的邻a 或接口是连接i d e s 邻域和i d e s 分析组件的桥梁。该接口有两个 部分：一个部分留驻在目标系统中( 邻域客户) ，而另外。个部分则在i d e s 处理 器的本地主机上( 邻域服务器) 。因为不同的邻域类型具有不同的审计记录模式， 因此，对于每一种邻域接口类型都必须开发一个对应的邻域接口。这两个组件结 合起来负为i d e s 分析组件收集目标系统的活动信息，以及过滤掉任何邻域私有 数据，将它们另外存储以备使用。 下面用两幅示意图来描述设计模型中的这3 个部分是如何相互联系的。图2 显示了一个包含了4 个邻域的i d e s 域的例子。类似的邻域类型可能共享一个单 独的邻域服务器，邻域b 使用了邻域a 的服务器。邻域c 和d 为单独的邻域，都 有自己的一组邻域服务器和客户进程。 、 邻域 户 图2i d e s 域和邻域接口 接下来，图3 显示了i d e s 处理环境的对应配置情况。邻域客户同时传送处 理过程过的审计信息给事件子系统。图3 同时显示了 d e s 子系统可能被组织成 “分段”的形式。例如，所有的异常信息，无论其严重程度如何，都在一个阶段 内进行分析，然后在下一个阶段内进行过滤，直至该信息的异常程度对i d e s 终 端用户( 通常是一个安全管理员) 足够严重。 注意图3 表现了一个i d e s 环境的较为复杂的组织形式。实际使用的原型系 支掩向鬟辊萃拜受载均衡在霹终安全中静疵蠲 绞楚一个加以麓化的模型，并且只使用了一个邻域装型。 采塞铝域 鲞3i d e s 郐域攘磬稻处骥环壤 i d e s 瑙户接鞠缝 孚龛诲露户袭察在i d e s 系统中( 帮邻蠛接舀粒i d e s 攀传 子系统) 所产生和处理的侄何信息，以及任何组件的状念和活动。注意i d e s 域 并不包括i d e s 幂户接臼：遮晕选择邻域特定数据猿立于雨核的i d e s 用户接口， 是因为它们与基本的i d e s 数据处理不相关。 图4 将整个i d e s 环境的各个缀件放在丁一个图中。它显示了每一个缀件所 处瑗的数掇。该图还描述了i d e s 髑户接口与系统缝合的铰鬟。 i d e s 的设计模型很自然地导出一个结论，即其工程实现为一个模块化的系 统，这里霉个缀弹懿实醚都可敬蠢不掰嚣整个系绞骰基本修改秘稽况下麓潋改 变。它实质上允许系统将i d e s 的低层结构( 实现方法) 和系统的内核功能( 异 常稔瓣) 送分开柬。 i d e s 系统实际上由以下的功能组件组成： 夺邻域接口 夺统计异常捻溯器 夺专家系统舜常检测器 夺篾声接蜀 支持商懿梳幕l 受栽均凝程溺络交垒中的癍潮 用户 环境 图4i d e s 练禽坊能图 2 2 3 。防火墙秘入侵检测联动 漾雳了貔火蘧与入侵捡溺系统联渤夔方式惹，不仗鼙鼓被动建鼹髑络当中滚 入侵进行记袋和报警，而且还可以主勘地采取相应的手段来阻断网络攻击。( 比 礤断开实施玻击的涟搂等等) 使整个系统的安全性髓大大摄黼。 i d e s 缄 i d e s 姓理器 支持向鼙撬誊l 受载均衡在网络霞全中的童瑚 2 24 集群系统的应震 剩霜惠蛙嶷豹嶷群诗冀来快速、裹囊爨地处溪丈量豹复杂戆嬲络数摄毽 如果的网络很大，网络中包括成百甚毯上千台计算机，这些计算机都鬻要和 瓣缀内帮和辩终外潞豹诗髯撬穗遗，在溺络上毂、笈数据，那么遴过薅关拣数据 包的数量将无疑是非常巨大的。为了对这么巨大的数据量的数据包进行非常复杂 斡她理工俸( 需要分涮将每一个数獬龟进行检验，并羯断哪磐是正鬻的网络数据， 而哪些是对网络进行的攻港) ，对处理这臻数据的系统提出了一个很高的要求： 第、需要系统的处理速度非常快。因为鲶理的速度必须簧快于网络数据龟出现 的速度，否则就会馕有些数握包漂掉、没缮到捆废瓣处理。第二、篱要系统菲鬻 的稳定。因为这种处理系统通常都需要每天2 4 小时、每周7 天不停地运转，如 鬃不糍缳好她爨证鬟绞稳定不闻錾建王终瓣话，蛰然会绘攀霞豢皋巨大豹、甚至 悬咒法弥补的损失。 为此，决定采璃集群( c l u s t e r ) 运算的方法来解决这个闲题。 什么感集群计算机呢? 集群计算机就是一组通过特定的硬件釉软件连接起 来的独立计算梳，它在蘑户面前表现为一个单一系统印象。 连接农网络上的一组p c 规并不具有蒙群计算机的资掇。为了构成集群计霎 机，这些p c 计算机中的每台必暑睫运行可以利用其他计鳟机的软件。必颁使它 们缘一个疆孰那撑运 乍，焱一起工作嚣虽为了一个共弱懿辍豹耀支簿，黯它翻 的用户表现为单一系统印氖。 菸么，仟么是肇系统鼙蒙? 零一系统印象裁蹙不髓与一台攀诗冀税送嗣 开辩乏的系统。它的用户察觉不到存在多于台的计算机。 集群诗算机的三个特点分稻怒： 可 审缩性 随着在集群中商更多的节点计算机加入，集群能够同时服务的用户数目会按 毙铡壤嬲。毽魁，实骣蠖况显零在独纛诗算枫瓣数鬟弱达一是土壤醇，牲裁 的增长是有限的，这悬因为处蠼器之阳j ( 计算机到计算机) 的通信需要开销。 随着独盔计雾壤耱数鼗增粕，毪耗据鬻鬟莱点螽就会露落，这个熹称为收 益递减点。对于可伸缩性的大量计算机科学研究致力于把这个点移渤褥高 些、霭高些，傻更多鹩节点诗算枫加入到集群时性能可以在一个更大的范匿 支箨向避祝莆 受栽均衡农丽络安全甲的麻弼 内相应毯趱长。 高有效性 褒肇一诗箨撬l 器务器兹实缆中，一令硬馋锩误会导致萁鞭务令入不浚块蟪孛 断。在集群服务器的实现中，这样的错误只是意味着一台或者多静计算机停 壹工作，詹果只惹与这个损失成魄饼的性髓鲍降低。这一情况酶优势在予还 有其他的计算机仍然在工怍，它职能维持关键的应用程序的运行。而不像在 荤服务器体系络构中那祥，所有的工怍都中断了。 容错性 獭集群中的一台计算机系统开始分担运行许多进程的责任时，系统就成为容 镫兹了。一些进程依赣子其 壤避程，些剩完全是独立静。当筠部楚控进程或者 可能是操作系统的一贱特性发现一个进程的错误，则从它最初的状态溅者从它最 遥静梭查点垂新癌动它。全蜀黥蓝控程j 葶可琵透过停斑一个系统上瓣逐程并裁舅 一个系统上莺新启动它，来试图平衡每台汁簿帆的资源负载。 麓蓝，把输戚一个黼络安全系统所需甍的馏关船识进行了番介绍，下丽采 看一下设计的这个网络安全系统基于负载均衡的安全网失集群系统。 支持向量机和负载均衡在网终安全中的麻州 第三章基于负载均衡的安全网关集群系统 第一节综述 本系统主要目的是为了解决大传输速率状态下的安全网关处理瓶颈问题。一 般的网关系统如果使用安全机制，势必会引起数据传输的瓶颈，而本系统使用均 衡方法可以很好的解决这个问题，将安全处理分摊到多台安全处理机上进行分布 式处理，从而不再产生瓶颈问题。 本系统是利用i p 载量平衡的集群处理技术来实现一个具有防火墙和i d s 功 能的安全网关。随着网络拓扑的复杂化、网络带宽的增长，安全设备的功能多样 性和设备自身的处理能力形成矛盾，本系统正是为解决此问题而设计开发的。 采用集群处理的概念，一方面在开发上利用成熟的软件方式，另一方面在处 理能力上利用载量平衡和集群堆叠来解决，在硬件结构上可采用普通的计算机也 可用p c i 0 4 卡堆叠( 以减小体积) 或用普通的计算机。整个网关可以同时实现 防火墙和i d s 功能，但在实现上又有别于传统的防火墙和i d s 联动的产品构架， 这里只实现一个动态包过滤的防火墙模块，应用层的代理和安全分析由i d s 模 块完成。 本系统实现数据包出收到转发延迟不超过2 0 毫秒，处理并发连接数不少于8 万条，并且能够实现防火墙功能与s n o r t 系统的所有安全功能。 本系统所涉及的技术难点主要有负载均衡器上的数据帧的接收、标记与发 送，安全处理机的状念检测以及均衡策略的实现等。 通过对本系统的测试，证明本系统可以用于边缘层、汇聚层等各级网络，在 大数据量传输情况下，不明显降低传输速度的前提下实现对内部网络的安全保 障。 第二节。主要技术指标 系统技术性能指标主要从数据包转发延迟与系统并发处理能力两个方面进 支持向最机和负载均衡在网络安全中的廊用 行考核。 擞鳜毽辘爱延迟是指正常的数据包出负载均衡器收到首先转发到安全处理 机，安全处理机分析后将数据包在返回负载均衡器，有均衡器的另一接口转发出 去，整个过程的所用的时间。数据包转发时延在很大程度上决定了系统的性能好 坏。技术指标为数据包转发延迟 ；8 万条t c p 连接。 系统功能指标主要用均衡能力和系统安全处理能力。 均衡能力主要指在大数据量状态下，系统在均衡条件下是否出现数据传输 瓶颈。 系统安全处理能力主要包含对普通漏洞攻击、端口扫描与拒绝服务攻击以 及对内网非法访问等安全处理能力，是否能够拦截攻击数据包或非法数据包。 第三节。系统组成与工作原理 3 3 1 系统总方框图 系统硬件连接图如下所示 ( 图一) 系统连接图 图中。使用三台机器运行集群网关，1 台做载量均衡器l b s ( l o a db a l a n c e 支持向馘机和负裁均衡任嘲络安垒中的赢 j s e r v e r ) 2 台分剐 乍安全处理梳s p s ( s a f e , r ep r o c e s ss e r v e r ) ，搡捧羝统均使用 l i n u x 。在实际使鼹中，可咝使用多台安全处蠼机，以避免引趣传输瓶颈。 3 3 2 系统配鬟 载量均衡器在实际应用中可以做成硬件以提高处理速度，系统设计时使用 一台计算机做裁量均衡器，安装3 块湖卡，安全处理机可敬为酱通的计算机，各 个安全处理机都要求相同配置。 本系统设计时各机器配鬻如下： 蛙l s ：p 4 2 g2 5 6 n b u n u x s p s l ：赛扬1 g1 2 8 m bu n u x s 爱；2 ：p 42 g2 5 6 酾bl i n u x 3 3 3 。系统工作流程 系统工终嚣哼，蓄强载量均衡器上黪改配髯文昝，设霉每密安全鲶理祝豹糟 地址，然后启动均衡进程。均衡进程首先检查哪些安全处理机有效，发现第一台 有效静安全处理瓶蘑就开始邋行数据龟接受与发送，强及均衡策略鹩蜜施。 当栽量均糯器发现安全处理机出观过载，便调整均衡策略，使用更多的安全 处理机分布处理，以避免产生传输瓶颈。 安全处理搬处理完毕后，翅果数撼龟有入侵行为，安全楚壤援毫接将包丢蹇。 如果数据包安全，就将该包转发到l b s 上，由l b s 将包发往圈的网络 3 3 4 系统工作原理 内部网络与外部网络进行数据通信时，必须经过熊群处理安全网关。无论是 姨哪一方售- 柬瓣数据，善先经j 蓬载璧翰饕器( l o a d b a l a n c es e n e r ，l b s ) 壤雳鹭臻 策略j 行载量均衡，将数据帧打上标融通过i p 封装或修改数据帧后，发送到l b s 通过均衡算法选择靛浆一台安金憝毽辊( s a f e t yp r o c e s ss e r v e r ，s p s ) 上。 安全处理机接收的l b s 转发来的数据帧，通过防火墙与s n o r t 进行数据过滤 和入傻检测。如果产生告警，说明数攒包有入侵行为，炭全处爨机直接将包丢辫。 一2 2 茎矍塑燕篓妻! 墨塞望塑垒塑釜窒釜：耋塑皇蔓 一一 魏象s n o r t 没褒告警，滋明竣数攥电安全，s p s 秀耀该包转发到l b s 上，出l b s 将包通过打上的标记发往到翻的网络。 警羧量璃缀器发麓安全处遴辊蠢瑗过载，蠖调整垮鬻篆臻，馕惹燹多豹安全 处理机分布处理，以避免产生传输瓶颈。载量均衡器可以定时发送查询安全处理 税的状态，安全处理褫将自己的状态遨鼙载羹均衡器。过载均衡策略瓣实瑶觅关 键技术部分。 第四节关键技术( 技术难点) 与实现( 解决) 方法 系统实现的关键控术难点主要包括：数据帧的接收、标汜与发送，安全处理 辊的状态检测敷及均衡策珞鹊实现。 3 41 负载均衡器上的数据接收、标记与发送 横撵l b s 篌瞬撩潞翡数爨，翻建满稃多静线程，簿个线程受责一个俊氍磷霉 对所在网络的侦听。侦听方法采用l i b p c a p 方式。首先，设定每个侦听网卡为混 杂模式，然后每个线税都使用p c a rl o o p 函数，产生对各个嘲络的债昕。侦听的 结果键函数中进行进步的处理。 系统中，只处理i p 数据觎，a r p r a r p 数据包。 灸了区分数撂犊燕麸秘令嘲终接蕊土鳆瞬缮到豹，嚣数爨羧靛源m a c 缝缝 进行了修改，因为数掘帧的源m a c 地址在这里没有什么作用。对于第一个接口 l 赉瞬戮静薮嚣赣，添m a c 蟪缝修改为 l ：t l ：l l ：1 1 ：l l ：l l ，对第二令羧日篌辫鞠 的数据帧，源m a c 地址修改为2 2 ：2 2 ：2 2 ：2 2 ：2 2 ：2 2 。依此类推。这为l b s s e n d 进 程合壤簸分笈数据包罐侠了鬣件。 获取数攒帧的源地址，如果为1 1 ：1 1 ：1 l ：l l ：1 1 ：l l ，则该数据帧通过第二个阏 络接口发送出去。如粱源m a c 地址为2 2 ：2 2 ：2 2 ：2 2 ：2 2 ：2 2 ，则通过第个网络接 口发遴出去。 发送数据链路层的数据帧，采用tl i bn e t 的方法，调用l i b _ s e n d j i n k 函数， 将数撼犊壹接发送出去。 支持向鲑机和负载均衡在网络安全中的麻州 3 4 2 安全处理机的状态检测 安全处理机的状态包括c p u 占用率和内存占用量。为了检测c p u 占用率， 读取了系统中p r o c s t a t 文件，通过读取文件中对应的c p u 运行在空闲状态下 的时间而得到c p u 占用率( 因