（模式识别与智能系统专业论文）智能防火墙核心模块的研究与实现.pdf

硕士论文智能防火墙核甚模块的设计与实现 摘要 近年来，随着互联网技术的迅速发展，信息化进程不断深入，i n t e m e t 的发展已经深 入到我们生活的每个角落。网络通信技术可以为计算机信息的获取、传输、处理、利用 与共享提供一个高效、快捷的环境与传输通道，但与此同时，互联网上存在着各种形式 的恶意攻击，对计算机用户和网络资源造成了严重的危害。 本文分析了传统防火墙的缺点，根据专家系统的特点，选择产生式规则系统来设计 智能防火墙学习模块。接着，使用了数据包截获工具，并把截取出来的数据包按协议分 发到数据库的三个数据表。本文设计并实现了数据包预处理模块，可以从大量无序的数 据包记录中，分析提取出与网络攻击知识库中条件相匹配的事实数据。接下来使用基于 c f 模型的推理方法，从事实数据逐步推导出结论。分析得出网络中是否包含攻击行为， 及攻击的源地址、端口及m a c 地址等相关信息，生成过滤规则，添加到防火墙列表中。 本文还针对s y nf l o o d 攻击的特点，实现了网络红名单技术，在对截获的数据包进 行分析后，向红名单中添加安全访问的m 地址，这种技术的实现给网络管理员手工配置 过滤规则提供事实依据，以免过滤掉合法的访问。 本文根据防火墙策略树异常检测算法，实现了规则优化模块，该模块可以将规则表 中策略异常分析整理出来，记到日志里，并删除冗余异常规则。最后，在实际的网络环 境中，对模块进行了测试，结果显示，规则学习模块能准确地判断出s y nf l o o d 、i c m p f l o o d 、l a n d 等攻击，规则优化模块也能够按照预想的方式进行工作。 关键字：智能防火墙，产生式规则专家系统，网络攻击，规则优化 a b s t r a c t 硕士论文 a b s t r a c t i nr e c e n ty e a r s ，w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e tt e c h n o l o g y ，t h ei n f o r m a t i o n p r o c e s s i sb e i n gd e e p e n e dc o n s t a n t l y ，t h ed e v e l o p m e n to fi n t e m e th a sa l r e a d yg o td e e p l yt o e a c hc o r n e rw h e r ew eh a v el i v e d n e t w o r kc o m m u n i c a t i o nc a nb eo b t a i n e df o rt h ec o m p u t e r i n f o r m a t i o n ，t r a n s m i s s i o n ，d e a l i n gw i t h , u t i l i z i n ga n ds h a r i n ga n do f f e r i n gah i g h - e f f i c i e n t ， s w i f te n v i r o n m e n ta n dt r a n s m i s s i o np a s s w a y ，b u tm e a n w h i l e ，t h e r ea r es om a n yh o s t i l e a t t a c k st h a ts p r e a do ni n t e m e t ，w h i c hh a v ec a u s e ds e r i o u sd a n g e rt ot h ec o m p u t e ru s e ra n d n e t w o r kr e s o u r c e t h i sp a p e ra n a l y s e st h es h o r t c o m i n g so ft h et r a d i t i o n a lf i r e w a l l ，f o rt h ep r o d u c t i o nr u l e s e x p e r ts y s t e mf e a t u r e s ，s e l e c tt h i sm o d e lf o rd e v e l o p i n gt h er u l el e a r n i n gm o d u l ef o r i n t e l l i g e n tf i r e w a l l n e x t ，w eu s e t h en e t w o r kd a t ap a c k e t si n t e r c e p t et o o l s ，t h e nd i s t r i b u t et h e i n t e r c e p t i o no fd a t ap a c k e t st ot h r e ed a t as h e e t si nd a t a b a s eb yp r o t o c 0 1 t h i sp a p e rd e s i g n s a n di m p l e m e n t sap a c k e tp r e p r c e s s i n gm o d u l e ，w h i c hc a l lf i n da n da n a l y s i sn e t w o r ka t t a c k a c t i o n s ，w h i c hm a t c h e st h ec o n d i t i o n so fk n o w l e d g eb a s e ，f r o mal a r g en u m b e ro f d a t a p a c k e t sr e c o r d s t h e nu s i n gt h eu n c e r t a i n l yr e a s o n i n gi n f e r st h ec o n c l u s i o ng r a d u a l l yf r o m t h ef a c td a t a l e a r n i n gm o d u l ea n a l y s e st h en e t w o r kc o n d i t i o nt h a ti fi tc o n t a i n st h en e t w o r k a t t a c k s ，r e s t o r et h es o u r c ea d d r e s s ，p o r ta n dm a ca d d r e s s ，a n do t h e rr e l e v a n ti n f o r m a t i o no f t h o s ea t t a c k s ，t h e ng e n e r a t ef i l t e rr u l e s ，a d di tt ot h ef i l t e rl i s to ft h ef i r e w a l l t h i sp a p e ra l s oa i m sa tt h ec h a r a c t e r i s t i co fs y nf l o o da t t a c k ，a n dr e a l i z et h en e t w o r k r e d - l i s tt e c h n o l o g y a f t e ra n a l y s i n gt h ei n t e r c e p t e dd a t ap a c k e t s ，l e g a la c c e s si pa d d r e s sw i l l b ea d d e dt ot h er e d l i s t t h er e a l i z a t i o np r o v i d e st h ef a c tb a s i st ot h en e t w o r ka d m i n i s t r a t o r f o rd i s p o s i n gt h ef i l t e rl i s tm a n u a l l y ，w h i c hw o u l d n tf i l t e rt h el e g a lv i s i t a c c o r d i n g t ot h er u l es e tc o n f l i c td e t e c t i o na l g o r i t h mb a s e do np o l i c yt r e ea l g o r i t h m ， t h i sp a p e rr e a l i z et h er u l eo p t i m i z a t i o nm o d u l e ，t h i sm o d u l ec a nf i n da n o m a l yi nf i l t e rl i s ta n d r e c o r di nt h el o g ，i ta l s oc a nd e l e t et h er e d u n d a n c yr u l e f i n a l l y ，i nt h ea c t u a ln e t w o r k e n v i r o n m e n t ，t e s t i n gt h o s em o d u l e s ，t h er e s u l ts h o wt h a tt h er u l el e a r n i n gm o d u l ec a nj u d g e s y n f l o o d ，i c m pf l o o d ，l a n da n do t h e ra t t a c k sa c c u r a t e l y ，w h i l e ，t h er u l eo p t i m i z a t i o n m o d u l ea l s oc a l lw o r kd e f e r i n gt ot h ee x p e c t a t i o nw a y k e y w o r d ：i n t e l l i g e n tf i r e w a l l ，p r o d u c t i o nr u l e se x p e r ts y s t e m ，n e t w o r ka t t a c k s ，r u l e o p t i m i z e i i 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 己在论文中作了明确的说明。 研究生签名： 何年乡月) e l 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：叫苫年舌月) 乙日 硕士论文智能防火墙核心模块的设计与实现 1 绪论 1 1 课题来源 在过去的几十年里，计算机网络技术的发展与广泛应用，对人类社会的文明进步起 了巨大的推动作用，其影响已经渗透到了人类社会的每一个角落。由于现有的计算机网 络系统在最初设计的时候没有充分考虑安全问题，因此，在人类社会越来越依赖于计算 机网络的同时，其潜在的安全隐患也随着其规模的不断扩大在逐渐地增加，并可能给人 类社会造成巨大的灾难。对一个国家而言，其信息化程度越高，整个国民经济和社会运 行对信息资源和信息基础设施的依赖程度也越高，而这种潜在的安全隐患可能造成的危 害也就越大。然而，最近几年的统计数据表明，计算机网络安全的现状是十分令人担忧 的。 中国公安部公共信息网络安全监察局所做的2 0 0 7 年度全国信息网络安全状况暨计 算机病毒疫情调查显示( 2 0 0 6 年5 月至2 0 0 7 年5 月) ，中国信息网络安全事件发生比例连 续3 年呈上升趋势，6 5 7 的被调查单位发生过信息网络安全事件，比2 0 0 6 年上升1 5 个百 分点；其中发生过3 次以上的占3 3 ，较2 0 0 6 年上升1 1 7 ，在此间发布的一项调查报告 显示，在被调查的一万三千多家单位中，5 4 的被调查单位发生过信息网络安全事件， 比去年上升5 ，其中发生过3 次以上的占2 2 ，比去年上升7 。 2 0 0 8 年3 月中国国家计算机网络应急技术处理协调中心的c n c e r t c c2 0 0 7 年网 络安全工作报告中指出，2 0 0 7 年，我国公共互联网网络整体上运行基本正常，但从 c n c e r t c c 接收和检测的各类网络安全事件情况可以看出，网络信息系统存在的安全 漏洞和隐患层出不穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数量成 倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻 的安全威胁。2 0 0 7 年各种网络安全时间与2 0 0 6 年相比都有显著增加。c n c e r t c c 接收 的网络仿冒事件和网页恶意代码事件成倍增长，分别超出0 6 年总数的近1 4 倍和2 6 倍， 监测发现我国大陆被篡改网站数量比去年增加了1 5 倍。 因此对网络安全领域的研究就显得非常重要，本文就是针对网络安全领域的网络 攻击检测与智能防火墙规则自学习做了一些研究和探讨。 1 1 1 网络安全的定义 国际标准化组织( i s 0 ) 将“计算机安全 定义为：“为数据处理系统建立采用的 技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然和恶意原因遭到破坏、 更改和泄密 。此概念偏重于静态信息保护。也有人将其定义为： “计算机硬件、软 件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄密，系统可以连续 1 绪论 硕士论文 正常运行该定义着重于动态意义的描述。 网络安全的内容应该包括两个方面，即物理安全和逻辑安全。物理安全指系统设 备和相关设备收到物理保护，免于破坏、丢失。逻辑安全包括数据的完整性、保密性、 可用性和可控性。 网络安全有以下四方面的基本特征： 1 数据完整性 数据的完整性是指数据未经授权不能进行改变的特性，即只有得到允许的人才能修 改数据，并且可以判断数据是否已经被修改。 2 数据的保密性 数据的保密性是指数据不泄露给非授权用户、实体，或供其利用的特性。数据加密 就是用来实现这一目标的，通过加密使数据在传输、使用和转换过程中不被第三方非法 获取。 3 数据的可用性 数据的可用性是指可被授权尸体访问并按照需求使用的特性，即攻击者不能占用所 有的资源而阻碍授权者的工作。 4 数据的可控性 数据的可控性是指可以控制授权范围内的信息流向及行为方式，如对数据的访问、 传播及内容具有控制能力。系统要能够控制谁可以访问系统或网络的数据以及如何访 问，同时能够对网络的用户进行验证，并对所以用户的网络活动记录在案。 1 1 2 网络安全面临的威胁 当前，网络安全面临的威胁主要来自以下几个方面： 1 非授权访问和破坏 未经同意就使用网络或计算机资源被看作非授权访问。例如有意避开系统访问控制 机制，对网络设备及资源进行非正常访问；或擅自扩大权限，越权访问。它主要有以下 几种形式：非法用户进入网络系统进行违法操作；合法用户以未经授权方式进行操作等。 目前，i n t e r n e t 上有很多黑客网站，这些网络介绍了许多常见的攻击方法和攻击软件的使 用。因而网络系统遭受攻击的可能性变大了，尤其是现在针对网络犯罪的反击和跟踪手 段还不多，使得黑客攻击的隐蔽性高、破坏性强，是当前网络安全的一个主要威胁。 2 病毒威胁 病毒包括通常的计算机病毒，如特洛木马和蠕虫等。互联网为用户提供快捷方便的 信息传播途径的同时，也给计算机网络病毒的传播和侵袭打开了方便之门，通过网络传 播的病毒进化无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟 的。 硕士论文 智能防火墙核心模块的设计与实现 3 操作系统漏洞 随着操作系统规模的不断增大，系统中的安全漏洞也不可避免的存在而且也在不断 增多。比如常用的操作系统，无论是w i n d o w s 还是u n i x 几乎都存在或多或少的安全漏 洞，众多的各类服务器、浏览器及其它常用的软件等也都不同程度的存在着安全隐患。 黑客利用这些漏洞，进行网络攻击，目标是对系统数据的非法访问和破坏，其常用手法 是通过网络监听获取网上用户的帐号和密码，例如利用u n i x 操作系统缺省的超级管理 员帐号，利用标准协议或工具，收集驻留在网络系统中各个主机系统的相关信息。这也 是网络安全的一个主要安全威胁。 4 后门程序 与上述操作系统漏洞类似，后门程序也是软件漏洞的一种，它们一般是由软件编程 人员编写，用来提供一些非用户授权的功能，而这些额外功能往往是有害的，它把预谋 的功能隐藏在公开的程序中，使用户在执行其他程序时自动在后台执行后门程序，导致 网络安全产生了不确定性。特洛伊木马程序就是一种典型的后门程序，被黑客广发使用， 对计算机网络安全造成了严重威胁。 5 拒绝服务攻击 拒绝服务攻击作为网络攻击一种简易有效的手段，被很多黑客利用，破坏网络安全。 拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击 手段之一。 这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其 实对网络带宽进行的消耗性攻击只是拒绝服务攻击的- - + 部分，只要能够对目标造成麻 烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直 得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒 绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实 现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用i p 欺骗，迫使服 务器把合法用户的连接复位，影响合法用户的连接。 6 来自网络内部的攻击 当前用于网络安全方面的产品大多针对来自网络外部的攻击，但是来自网络内部的 攻击也非常频繁，造成的损失也很大，而且也更加难于防范，因为这些攻击者往往具有 一定的内部网络操作权限。 7 。非技术因素 除了上面的技术原因导致的网络安全问题，还有一些其他非技术因素造成的网路安 全问题：网络系统的严格管理是企业、机构以及用户免受攻击的重要措施。可是，事实 上很多企业和机构都疏于这方面的管理，例如不及时升级操作系统及应用软件的版本， 不及时打补丁，或者没有制订完善的安全策略并积极的予以实施等等。这些因素只能依 1 绪论硕士论文 靠管理的规范化，使企业机构的网络管理人员逐渐养成良好的网络安全防范意识。 1 1 3 网络安全的基本措施 针对目前网络所面临的各种威胁，人们也研究出了许多用于安全防御的技术，下面 是当前应用较为广泛的几种技术： 1 防火墙技术【1 1 【2 】【3 】【4 1 。防火墙是建立在两个网络边界上的实现安全策略和网络通 信监控的系统或系统集，它强制执行对内部网络( 如校园网) 和外部网络( 如i n t e m e t ) 的访 问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，从而达 到保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、均衡负 载等。它已经成为目前保护内部网络最重要的安全技术之一。 2 防病毒技术。防病毒技术主要是通过自身常驻系统内存，通过监视、判断系统是 否存在病毒来阻止计算机病毒进入计算机系统，防止病毒对系统进行破坏，从而可以有 效防止计算机病毒对系统造成的危害。 3 w e b ，e m a i l ，b b s 的安全监测系统，在网络的w w w j 艮务器、e m a i l 服务器等中使 用网络安全监测系统，实时追踪、监视网络、截获i n t e m e t 网上传输的内容，并将其还原 成完整的w w w 、e m a i l 、f t p 、t e l n e t 应用的内容，建立保存相应记录的数据库，及时发 现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。 4 i p 欺骗的解决。在路由器上捆绑i p 和m a c 地址。当某个i p 通过路由器访l h - i n t e m e t 时，路由器要检查发出这个口包的主机或工作站的m a c 是否与路由器上的m a c 地址表 相符，如果相符就放行。否则不允许通过路由器，同时给发出这个d 包的主机或工作站 返回一个警告信息。 5 漏洞扫描技术。漏洞扫描技术通过扫描软件来发现系统存在的安全漏洞，判断系 统存在的安全威胁，帮助系统管理人员修正系统存在的安全隐患，以此提高系统的安全 性。 6 入侵检测技术【5 】。入侵检测技术用来对各种入侵行为进行检测，它通过对系统的 运行状态进行监视，以发现各种攻击企图，攻击行为或者攻击结果，然后及时的发出报 警或做出相应的响应，以保证系统资源的机密性、完整性与可用性。 1 2 选题背景及当前研究现状 1 2 1 智能防火墙的发展现状 针对目前的网络安全的严峻形势，已有的传统防火墙技术并不能完全解决网络安全 所遇到的很多问题。现在也有很多新的方法和技术正在应用于防火墙的研究，主要方向 有，入侵检测与防火墙的联动，防火墙的智能化，分布式防火墙，嵌入式防火墙技术等 等，下文给出一些研究智能防火墙的专家学者的研究方法： 4 硕士论文智能防火墙核心模块的设计与实现 s u s a n c l e e 提出一种b p 神经网络的方法 6 3 ，使用人工生成的实验数据来训练一个检 测异常的模块，从而进行检测异常的学习。实验结果显示，这样的检测模块能够对异常 进行反应，而且不只是对那些己知的攻击。它所检测到的攻击数据并不需要事先给出信 息或针对他们进行训练，但必须事先给出正常行为的特征。u l r i c hu l t e sn i t s c h e 和i n s e o n y o o 提出一种将防火墙与其他网络安全技术结合的方法【7 】【8 1 ，尽可能将将其结合在防火墙 中，比如入侵检测，病毒扫描等。他们进行了将智能引擎加入到防火墙中的研究，这个 智能的检测引擎可以发现潜在的恶意数据包。这样生成的防火墙的一个重要特性就是异 常检测能力。他们将人工智能技术应用于检测异常的网络流量，来使得防火墙具有异常 检测的能力，也就是一种入侵检测能力，同时也可以检测数据包的异常的内容，从而智 能地生成防火墙过滤规则。比如他们使用恶意的代码模式训练一个人工神经网络，当相 似的模式被检测到的时候将会报警。 天津大学的邹军等人提出了使用了模糊自适应算法的智能防火墙体系【9 】，其主体思 想是定义了一种新的策略规则，其中包含了五个域：数据包过滤域、应用层域、攻击时 间域、源和目的安全级别域，总的安全级别域，其中总的安全级别域是通过模糊自适应 算法，从网络数据包信息和管理员输入的源和目的安全级别，推导出总的安全级别。 吴克喜等提出了将专家系统应用于网络安全管理【l o 】，他通过将过滤机制与专家系统 紧密结合，其知识库的设置是按是否是合法访问来制定的，实现智能化的网络信息提取 和智能化的授权访问过滤；黄海明等提出了“黑洞式 智能型防火墙【1 1 1 ，其关键技术是 网络地址映射技术，从而实现了黑洞式动态监测技术，动态判断连接的合法性；许强等 提出了基于图像内容过滤的智能防火墙系统【l2 1 ，提出了一种基于轮廓特征抽取与多智能 体技术的图像内容检索算法，实时的检测网络中的图像；鄢红国提出了基于被屏蔽子网 混合型智能防火墙【l3 1 ，主要是有一个用专家系统实现的智能认证服务器，此智能认证服 务器对不满足路由器任何规则数据进行推理学习，从而产生新的过滤规则，达到规则学 习的目的。 因此，本文针对各种网络攻击，通过分析攻击的特性，使用专家系统，产生新的规 则，抵御网络实时的攻击行为，本文对专家系统的产生式规则系统的构建和规则冲突及 规则优化的一系列算法进行分析研究，并设计实现了智能防火墙的核心模块，最后对模 块进行了实验检验和测试。 1 3 本文的主要内容及组织结构 本文主要是对智能防火墙中的规则学习模块以及规则优化模块进行研究，首先研 究几种常见的攻击方式，分析特征，使用专家系统，产生抵御攻击的新规则，合并原 有规则，构建防火墙策略，使得防火墙系统针对同类型的攻击具有免疫能力。接下来 针对对于规则的相关性、及策略异常进行研究，实现了规则优化模块。为网络管理员 5 l 绪论硕士论文 制定防火墙规则提供帮助。相比与传统的研究方式，本文详细给出了防火墙规则学习 模块的设计过程，重点研究了数据预处理模块的设计与实现，本文结合了s q ls e r v e r 2 0 0 0 工具，把网络数据包的相关信息添加到表中，使得网络管理员可以清晰地监视某 一时段网络中数据包收发情况，通过数据预处理，使得杂乱无章的网络数据包信息直 观可视，再根据拟定好的推理机制和知识库，可以迅速地进行推理，给出结论，即是 否包含网络攻击行为，是否需要生成防火墙规则等等。本文还设计了红名单模块，即 是可信的m 地址集，为网络管理员添加防火墙规则提供事实依据，可以避免把合法的 i p 地址误认为是非法地址，使其拒绝访问这种情形的发生规则优化模块是采用了一个 策略树异常检测算法即基于b i n a r y 的策略异常检测算法，该算法原来应用于分布式防 火墙技术中，本文将其移植到智能防火墙模块中，这种算法提高建立规则列表的速度， 具有很强的时效性。 全文共分为六章，首先分析了传统防火墙的缺陷和智能防火墙的技术及优点，接 下来介绍了学习模块需要的理论知识专家系统理论，然后重点分析本文设计和实 现的智能防火墙的核心模块，即规则学习模块和规则优化模块，最后给出了模块界面 和实验结果。 第一章介绍网络安全相关知识，阐述课题的研究意义及当前的研究现状，给出本 文的组织结构。 第二章对传统防火墙及智能防火墙的相关技术进行研究，重点介绍了智能防火墙 的体系结构和特点。 第三章介绍了产生式规则系统的组织形式，论述了知识的获取和表示方法以及推 理方法和控制。 第四章本篇论文的核心部分，即利用产生式规则系统原理，开发出基于网络攻击 分析的规则学习模块，随后给出了智能防火墙规则优化模块的设计与实现。 第五章对设计实现了的核心模块，采取实验的方式验证其是否能达到预想的功 能，给出实验结果。 第六章对本文的工作进行了总结，研究方向提出来了一些自己的看法。 6 硕士论文 智能防火墙核心模块的设计与实现 2 智能防火墙技术概述 2 1 传统防火墙技术的发展 互联网的发展和网络应用的不断深入，使得上网的人数不断地增大，网上的资源 也不断地增加，网络的开放性、共享性、互连程度也随着扩大。政府上网工程的启动 和实施，电子商务、电子货币、网上银行等网络新业务的兴起和发展，使得网络安全 问题显得日益重要和突出。由此，人们开始研究各种各样的网络安全技术来保证网络 安全。解决网络安全问题的一个最有效的办法就是在不同的网络之间设置防火墙【6 儿7 1 。 防火墙从本质上讲是一种访问控制系统，除了可以用来保护与互连网相连的内部 网外，还可以用于保护其他网络对象，例如子网或主机。需要指出的是防火墙并不是 万能的，它只是整个网络安全体系中的一个构件，没有良好的网络整体安全策略和配 套的安全制度做保证，再好的防火墙也只能是形同虚设。 2 1 1 传统防火墙的概念 i n t e r n e t 安全日益成为网络用户棘手的主要问题，因此，有必要在内部网络和i n t e m e t 之间建立一个中介系统，竖起一道安全屏障。这道屏障的作用是过滤不安全的服务和 非法的用户，并控制内部网络对特殊站点的访问，同时为内外部网络之间的连接提供 预警和审计等功能。这道屏障就是防火墙，网络中的防火墙是一个或一组实施访问控 制策略的系统。当用户决定需要使用何种水平的连接时，就由防火墙来保证不允许出 现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。 具体可以用如下的语言描述定义防火墙【1 4 】：一个由多个部件组成的集合或系统， 它被放在两个网络之间，并具有以下特性：( 1 ) 所有的从内部到外部或从外部到内部的 通信都必须经过它：( 2 ) 只有内部访问策略授权的通信才允许通过；( 3 ) 系统本身具有高 可靠性。 2 1 2 传统型防火墙的主要缺陷 由于传统防火墙严格依赖于网络拓扑结构且基于这样一个假设基础：那就是防火 墙把在受控实体点内部，即防火墙保护的内部连接认为是可靠和安全的：而把在受控 实体点的另外一边，即来自防火墙外部的每一个访问都看作是带有攻击性的，或者说 至少是有潜在攻击危险的，因而产生了其自身无法克服的缺陷。随着网络规模的日益 扩大和对网络服务需求的日渐提高，传统防火墙逐渐暴露出以下的问题i l 5 j ： 1 结构性限制 传统防火墙主要依赖严格的网络拓扑结构和受控实体点进行工作。但是随着网络 的迅猛发展，越来越多的企业利用互联网架构自己的跨地区网络，包括家庭移动办公 和服务器托管等越来越普遍，所谓的内部企业网已经是一个逻辑概念；另一方面，电 7 2 智能防火墙技术及网络攻击概述硕士论文 子商务的应用，要求商务伙伴之间在一定权限下进入到彼此的内部网络，所以说企业 网的边界已经是一个逻辑的边界，物理的边界日趋模糊，传统防火墙的应用受到了愈 来愈多的结构性限制。 2 内部安全 传统防火墙设置安全策略的一个基本假设是外部网络的主机是不可信的，而内部 网络的所有主机都是可信任的。随着黑客入侵、蠕虫、病毒、恶意邮件及d o s d o s s 攻击的大量涌现，内部网络面临的风险逐日倍增。传统防火墙在对付网络安全的主要 威胁内部威胁时束手无策。 3 网络访问瓶颈 传统防火墙把检查机制集中在网络边界处的单点上，从性能的角度来说，防火墙 极易成为网络流量的瓶颈。从网络可达性的角度来说，由于带宽的限制，防火墙并不 能保证所有的请求都能及时响应，所以在可达性方面防火墙也是整个网络中的一个脆 弱点。传统防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台 服务器定制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要， 因此或者损失效率，或者损失安全性。 4 单点失效问题 防火墙集万千重任于一身，一点传统防火墙的边界被攻破，整个网络就暴露在攻 击者的面前。而且对于传统防火墙来说，所有的内部主机是平等的，一旦其中的一台 被侵入，攻击者能够很容易地以此为基点发起对其他内部主机地攻击。 5 端到端的加密对防火墙造成威胁 传统的网络协议没有使用加密，因而防火墙能对数据流实施过滤。当加密技术和 新一代网络协议被使用的时候，防火墙因为没有密钥而不能理解流过的数据包的内容， 从而不能实施检查。 6 网络应用协议流问题 现有的网络环境中，9 8 的通信流量是由h t t p 、f t p 、s m t p 和d n s 等应用协议 流构成，这些协议都有可能被黑客用来发动攻击，这是传统防火墙所无法防御的。 2 1 3 防火墙技术近期发展方向概览 针对攻击手段的多样化，防火墙技术也不断发展创新【m 】，总体来讲，主要有四个 发展方向，一是大幅度提升性能；二是在包过滤技术基础上另辟蹊径，采用其他新技 术；三是功能不断扩展，实现涵盖包括入侵检测、防病毒等功能的立体防御功能；四 是应用部署上突破原来网络边界，采用分布式防火墙多重防护。 防火墙近期发展主要有如下思路： 1 a s i c 与n p 架构防火墙【1 7 j 硕士论文智能防火墙核心模块的设计与实现 传统的基于x 8 6 架构的平台已不能满足千兆、万兆网络对防火墙的要求了，从性能 上来说，应用a s i c 和网络处理器( n p ) 架构的防火墙在设计上可以实现真正的千兆 线速转发，适应现在或将来千兆或万兆网络防火墙的需要，可以说a s i c 和n p 架构是 未来高速防火墙技术的发展方向。 2 新型的访问控制防火墙【1 8 】 过滤技术现如今已发展的相当完善，从包到协议从应用到内容，从内核空间到应 用空间，从简单到复杂，过滤技术已经涉及了方方面面。人们采用防火墙的重点需求 已经从包过滤转移到了执行访问控制。事实上，现在已经有不少实现新的访问控制方 式的技术，代表性的有身份认证技术和智能访问控制技术。身份认证技术保障只有通 过认证的主机才能建立起网络连接从而进行通信，直接实现访问控制，因而可代替基 于对包进行检查的过滤技术。智能访问控制技术则是新型防火墙采用的另一种技术， 亦即本文重点论述的技术。与传统防火墙被动抵御攻击不同，智能型防火墙能自动识 别并防御各种黑客攻击手法及其相应变种攻击手法，能在网络出口发生异常时自动调 整与外网的连接端口，能根据信息流量自动分配、调整网络信息流量及协同多台物理 设备工作，能自动检测防火墙本身的故障并能自动修复，智能防火墙还应具备自主学 习并制定识别与防御方法的特点。 3 防火墙与其他系统的联动【1 9 】 由传统防火墙的局限可以想到，若能将不同的网络安全技术与防火墙技术进行整 合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以 适应网络安全整体化、立体化的要求，则能最大限度发挥防火墙的作用，这就是联动 的思想。现有的联动主要有：防火墙与防病毒系统联动、防火墙与入侵检测系统联动、 防火墙与日志系统联动。 4 分布式防火墙【2 0 】【2 1 】 传统防火墙把检查机制集中在网络边界的单点，形成网络访问的瓶颈。由于安全 计算过度集中，大量的应用级检测、过滤计算使防火墙的吞吐能力大幅下降，此外， 一旦防火墙自身出现问题或被攻克，整个内部网络将会完全暴露在外部攻击者面前。 为此，美国a t & t 实验室研究员s t e v e nmb e l l o v i n 于1 9 9 9 年在他的论文“分布式防火 墙”( d i s t r i b u t e df i r e w a l l s ，d f w ) 一文中，首次提出了分布式防火墙的概念。分布式 防火墙是指，物理上有多个防火墙实体在工作，但在逻辑上只有一个防火墙。从管理 者角度来看，他不需要了解防火墙分布细节，只要清楚有那些资源需要保护，以及资 源权限如何分配即可。 2 2 智能防火墙技术概述 智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据 9 2 智能防火墙技术及网络攻击概述硕士论文 进行识别，并达到访问控制的目的 2 2 】。新的数学方法，消除了匹配检查所需要的海量 计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能 学科采用的方法因此被称为智能防火墙田】。 智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙 可以有效地解决s y nf l o o d i n g ，l a n da t t a c k ，w i n n u k ea t t a c k ，u d pf l o o d i n g ，t e a rd r o p ， p i n gf l o o d i n g ，s m u r f ，p i n go fd e a t h 等攻击，智能防火墙还可以实现防扫描技术，防 欺骗技术等等技术。 2 2 1 智能防火墙的关键技术 智能防火墙的关键技术主要有如下六种【2 3 l ： 1 防攻击技术 智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击，智能防火墙 可以有效地解决s y nf l o o d i n g 、l a n da t t a c k 、u d pf l o o d i n g 、f r a g g l ea t t a c k 、p i n g f l o o d i n g 、s m u r f , p i n go f d e a t h 及u n r e a c h a b l eh o s t 等攻击。防攻击技术还可以有效地 切断恶意病毒或木马的流量攻击。 2 防扫描技术 智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对于 目前已知的扫描工具如i s s 、s s s 及n m a p 等扫描工具，智能防火墙可以防止被扫描。 防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。 3 防欺骗技术 智能防火墙提供基于m a c 的访问控制机制，可以防止m a c 欺骗和i p 欺骗。支持 m a c 过滤，支持过滤。将防火墙的访问控制扩展到o s i 的第二层。 4 入侵检测技术 智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并 提供入侵检测保护。入侵检测技术采用了多种检测技术，特征检测可以准确检测已知 的攻击，特征库涵盖了目前流行的网络攻击，异常检测基于对监控网络的自学习能力， 可以有效地检测新出现的攻击，检测引擎中还集成了针对缓冲区溢出等特定攻击的检 测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。 5 包擦洗和协议正常化技术 智能防火墙支持包擦洗技术，对i p 、t c p 、u d p 及i c m p 等协议进行擦洗，实现 协议的正常化，消除潜在的协议风险和攻击。这些方法对消除t c p i p 协议的缺陷和应 用协议的漏洞所带来的威胁，效果显著。 6 a a a 技术 i p v 4 版本的一大缺陷是缺乏身份认证功能，所以在i p v 6 的推广尚需时日，i p v 4 在 相当长一段时间内，还会继续存在，智能防火墙增加了对口层的身份认证，基于身份 来实现访问控制。 1 0 硕士论文智能防火墙核心模块的设计与实现 本文设计实现的智能防火墙的核心模块是隶属于防攻击技术，主要能防范s y n f l o o d 、l a n d 、p i n gf l o o d 、u d pf l o o d 、p i n go f d e a t h 等网络攻击。 2 2 2 智能防火墙的体系结构 为了便于比较，首先给出了传统防火墙的体系结构，见下图： 图2 2 2 1 传统防火墙体系结构 接下来给出了利用专家系统开发的智能防火墙的体系结构，见下图： 流入 - i 访问控制接口 1 外 一黜 内 部 部 网 网 络 过滤规则表 修改j 廿* + ” 络 网络信息获取 份i 川h l f 、 j ： 数据预处理规则优化模块 1 i 添加规则 r j h 知识库卜修改或添自 人机接口事实库推理机 7 ll 7 “ 图2 2 2 2 智能防火墙体系结构 2 智能防火墙技术及网络攻击概述 硕士论文 2 2 3 智能防火墙的主要特点 从上面两张体系结构图中，可以看出智能防火墙相比与传统的防火墙，增加了规 则自学习模块以及规则优化模块，而这恰恰是智能防火墙的核心。 规则自学习模块可以通过捕获通过网络接口的数据包，分析数据包信息，做出判 断，此刻的数据流中是否包含攻击特征，如果包含，则制定出相应的对策，即添加防 火墙的规则并向防火墙管理员反馈该信息。对于该模块中的知识库，防火墙管理员可 以依据领域专家的意见，制定添加新的知识，在现今大部分专家系统中，亦即产生式 规则。使得防火墙对攻击行为的分析能更加具有针对性，并且可以灵活的依据即时的 具体情况，调整知识库的结构。使得智能防火墙快捷有效地分析网络数据流，制定出 合适的规则来抵御攻击。 规则优化模块可以优化存在于防火墙过滤规则表中的规则，对于防火墙管理员手 工添加及学习模块制定的规则，能选择恰当的位置，插入新规则，并能手工选择，对 现存于规则表中的多条规则执行分析，使得防火墙的性能达到优化。 2 3 本章小结 本章首先介绍了防火墙的概念和发展阶段，然后分析了传统防火墙的缺陷，叙述 了近期防火墙技术的发展。在此基础上引出了智能防火墙的概念，对智能防火墙的结 构和工作原理进行了概述。 硕士论文智能防火墙核心模块的设计与实现 3 智能防火墙知识获取及推理 一种常见的基于产生式规则的专家系统模型1 3 0 】结构如下图： 图3 1 基于产生式规则专家系统结构 基于产生式规则的推理系统由下列几个部分组成： 1 用户界面( u s e ri n t e r f a c e ) 用户和专家系统的通信机制，能够使用户输入必 要的数据、提出问题和了解推理过程和推理结果等。系统则通过接口，要求用户回答 提问，并回答用户提出的问题，进行必要的解释。 2 解释机( e x p l a n a t i o nf a c i l i t y ) 能够向用户解释专家系统的行为，包括解释 推理结论的正确性以及系统输出其他候选解的原因。 3 知识获取机( k n o w l e d g ea c q u i s i t i o nf a c i l i t y ) 为用户建立的一个知识自动输 入方法，以代替知识工程师去编码知识。 4 全局数据库( g l o b a ld a t a b a s e ) 用于存储领域或问题的初始数据和推理过程 中得到的中间数据，即被处理对象的一些当前事实。 5 推理机( i n f e r e n c ee n g i n e ) 用于记忆所采用的规则和控制策略的程序，使整 个专家系统能够以逻辑方式协调地工作。推理机能够根据知识进行推理和到处结论， 而不是简单地搜索现成的答案。推理机的构造是简单还是复杂，依赖于知识库的结构。 6 知识库( k n o w l e d g ed a t a b a s e ) 存储某领域专家系统的专门知识，包括事实、 可行操作与规则等。为了建立知识库，必须要解决知识获取和知识表示问题。 3 1 知识的获取和表示 1 3 3 智能防火墙知识获取及推理 硕十论文 3 1 1 知识获取 知识获取是专家系统中最重要的一个环节，它直接影响专家系统的求解水平。知 识获取的途径可以分为两个方面，一是由领域专家提供，再借助知识编辑系统把知识 输入到计算机当中，此途径常称为知识获取。另一种途径是计算机自我学习，从处理 问题的过程中获得知识，积累知识，称为机器学习。机器学习在人工智能、信息论、 计算复杂性等相关学科的实践应用中一直起着主导作用。机器学习的方法有很