（计算机应用技术专业论文）一种分布式入侵防御系统架构和关键算法研究.pdf

： i 乙 ， 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名：澄壶金日期： 弘l 绰s 月工j 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 位论文 缩印或 摘要 摘要 随着互联网的广泛应用，网络安全问题日益突出。各种类型的攻击手段层出 不穷，利用网络进行犯罪的案件逐年攀升。传统的一些网络安全防护措施，如防 火墙、身份认证和识别技术、加密技术、入侵检测系统等由于自身存在的一些不 足，已经越来越难阻止这些入侵行为。 入侵防御系统是在入侵检测系统的基础上发展起来的安全防御系统，它综合 了防火墙和入侵检测的功能，能够实时对检测到的入侵行为进行响应和拦截，减 少因网络安全事件而受到的损失，增强网络安全性，因而入侵防御系统已逐步得 到人们的关注并逐步的应用在网络安全防御体系中。然而也正是由于入侵防御系 统将对检测到的入侵行为进行实时拦截，入侵防御系统本身也面临一些挑战，即： 如何高效准确的识别出入侵行为；如何识别分布式的、复杂的入侵行为；如何对 检测到的入侵行为进行智能的响应；如何提供良好的可扩展性和抗攻击性等等。 这些挑战制约着入侵防御系统的进一步广泛应用。 针对以上问题，本文将移动代理技术引入入侵防御系统中，提出了一种抗攻 击的分布式入侵防御系统a r d i p s ，并对a r d i p s 系统的设计目标、体系架构、网 络部署结构、模块设计、协作机制、通信机制等进行了分析和描述。通过移动代 理技术将漏洞扫描系统、防火墙、入侵检测系统、入侵响应系统等进行充分融合， a r d i p s 系统真正形成一个全方位的、多层次的安全防护体系，以保护网络的安全。 同时，针对引入移动代理可能引起的一些安全问题，a r d i p s 系统利用公开密钥体 制以及访问控制机制设计了一套安全机制以解决相关问题，保护移动代理和主机 的安全。此外，针对几种主要的攻击方式，a r d i p s 系统中提出并实现了相应的检 测及遏制算法，使其能够有效的应对最新的恶意代码技术。最后，本文总结了 a r d i p s 系统中的创新点和不足之处，并提出了以后的一些研究工作。 关键词：网络安全，入侵防御系统，分布式，移动代理，a r d i p s l a b s t ra ( 玎 一一 a b s t r a c t w i t ht h ew i d e s p r e a da p p l i c a t i o no fi n t e r n e t ，n e t w o r ks e c u r i t yi s s u e sb e c o m e i n c r e a s i n g l yp r o m i n e n t n e wt y p e so f a t t a c km e t h o d sa r ec o m i n go u tw i t h o u te n d l e s s c r i m e sw h i c hm a k eu s eo fi n t e r n e ta r ea l s oi n c r e a s i n gy e a rb yy e a r h o w e v e r , s o m eo f t h et r a d i t i o n a ln e t w o r ks e c u d t yp r e v e n t i o nm e a s u r e s ，s u c h a s f i r e w a l l s ，i d e n t i t y a u t h e n t i c a t i o n ，e n c r y p t i o n ，i n t r u s i o nd e t e c t i o ns y s t e m sa n ds oo n ，h a v el e s s a n dl e s s p o w e rt os t o pt h e s ei n t r u s i o nb e h a v i o r sb e c a u s eo f t h ed e f i c i e n c yo ft h e s em e a s u r e s i n t r u s i o np r e v e n t i o ns y s t e mi sak i n do fs e c u r i t yp r e v e n t i o ns y s t e md e v e l o p e do n t h eb a s i so fi n t r u s i o nd e t e c t i o ns y s t e m i tc o m b i n e st h ef u n c t i o n a l i t yo ff i r e w a l l sa n d i n t r u s i o nd e t e c t i o ns y s t e m ，w h i l ep r o v i d i n gr e a l - t i m er e s p o n s ea n di n t e r c e p t i o n f o r i n t r u s i o nb e h a v i o r sd e t e c t e d t h e s ec h a r a c t e r i s t i c sm a k ei tv e r yu s e f u li nd e c r e a s i n g 1 0 s ec a u s e db yn e t w o r ks e c u r i t ye v e n t sa n de n h a n c i n gn e t w o r ks e c u r i t 弘s o i ti s g r a d u a l l yg a i n e dp e o p l e sa t t e n t i o na n du s e di nn e t w o r ks e c u r i t yd e f e n s es y s t e m s h o w e v e r , i th a s t of a c es o m ec h a l l e n g e sw h i c ha r e a l s o c a u s e db yt h es a m e c h a r a c t e r i s t i c s ，i e h o wt oi d e n t i f yi n t r u s i o nb e h a v i o r se f f i c i e n t l ya n da c c u r a t e l y ；h o w t o i d e n t i f yd e c e n t r a l i z e d a n dc o m p l e xi n t r u s i o nb e h a v i o r s ；h c i w t o r e s p o n s e t h e s e b e h a v i o r si n t e l l i g e n t l y ；h o wt op r o v i d eg o o de x t e n s i b i h t ya n da t t a c k - r e s i s t a n te t c i ti s t h e s ec h a l l e n g e sw h i c hp r e v e n tt h ef u r t h e ra p p l i c a t i o no fi n t r u s i o np r e v e n t i o ns y s t e m s a i m i n ga tt h e s ec h a l l e n g e s ，w ei n t r o d u c e dm o b i l ea g e n tt e c h n o l o g yt o i n t r u s i o n p r e v e n t i o ns y s t e ma n dp r o p o s e d a na t t a c k - r e s i s t a n td i s t r i b u t e di n t r u s i o np r e v e n t i o n s y s t e ma r d i p s w ea l s oa n a l y z e da n dd e s c r i b e dt h ed e s i g ng o a l s ，s y s t e ma r c h i t e c t u r e , n e t w o r kd e p l o y m e n ts t r u c t u r e ， m o d u l a r d e s i g n , c o l l a b o r a t i o n m e c h a n i s m s ， c o m m u n i c a t i o nm e c h a n i s m sa n ds oo n t h ef u l l yi n t e g r a t i o no fv u l n e r a b i l i t ys c a n n i n g a n dr e p a i rs y s t e m s ，f i r e w a l l s ，i n t r u s i o nd e t e c t i o na n dr e s p o n s es y s t e m st h r o u g hm o b i l e a g e n tt e c h n o l o g ym a k e sa r d 碑s f o r m sac o m p r e h e n s i v e ，m u l t i l a y e r e ds e c u r i t ys y s t e m t op r o t e c tn e t w o r ks e c u r i t y m e a n w h i l e ，w ed e s i g n e das e to fs e c u r i t ym e c h a n i s m su s i n g p u b l i c - k e ys y s t e ma n da c c e s s c o n t r o lm e c h a n i s mt oa d d r e s s - p r o b l e m sw h i c hm a y c a u s e db yt h ei n t r o d u c t i o no fm o b i l ea g e n ta n dp r o t e c tt h es e c u r i t yo fm o b i l ea g e n ta n d i i i l i 目录 目录 第一章绪论。1 1 1 研究目的与意义1 1 2 国内外研究现状1 11 3 论文研究内容。4 1 4 论文组织结构。4 第二章网络安全相关技术研究6 2 1 网络安全面临威胁的主要原因。6 2 2 常见攻击方式7 2 3 相关防御技术8 2 3 1 漏洞扫描系统9 2 3 2 防火墙1o 2 3 3 入侵检测系统1 2 2 3 4 入侵响应系统1 5 2 3 5 入侵防御系统1 7 2 4 移动代理技术2 0 2 4 1 移动代理的基本原理2 0 2 4 2 移动代理在漏洞扫描系统中的应用。2 3 2 4 3 移动代理在入侵检测系统中的应用2 3 2 4 4 移动代理在入侵响应系统中的应用一2 4 2 4 5 移动代理在入侵防御系统中的应用2 5 2 5 总结2 5 第三章a r d i p s 架构设计2 6 3 1a r d i p s 设计目标一2 6 3 2j 6 i p s 网络部署结构2 7 3 3a r d i p s 体系架构2 8 3 4a r d i p s 模块设计3 0 3 5a r d i p s 分派机制一3 4 i v 目录 3 6a r d i p s 协作机制3 5 3 7a r d i p s 通信机制3 8 3 8a r d i p s 安全问题3 9 3 9a r d i p s 架构优缺点分析4 2 3 1 0 总结。4 2 第四章a r d i p s 关键算法研究及实现4 4 4 1 基于反向假设检验的蠕虫检测算法4 4 4 1 1s n o r t 入侵检测系统及插件的实现4 4 4 1 2 反向假设检验算法的原理4 5 4 1 3 反向假设检验算法的实现j 4 9 4 1 4 反向假设检验算法的优缺点分析5 2 4 2 基于朴素贝叶斯的木马检测算法5 3 4 2 1 基于朴素贝叶斯的木马检测算法原理5 3 4 2 2 基于朴素贝叶斯的木马检测算法的实现5 7 4 2 3 基于朴素贝叶斯的木马检测算法优缺点分析5 9 4 3 基于协作分析的入侵检测算法6 0 4 3 1 基于协作分析的入侵检测算法原理。6 0 4 3 2 基于协作分析的入侵检测算法的实现6 2 4 3 3 基于协作分析的入侵检测算法的优缺点分析：6 3 4 4a r d i p s 入侵响应机制6 4 4 5 总结6 6 第五章结束语6 7 j c 谢6 9 参考文献7 0 在学期间的研究成果7 4 v 第一章绪论 1 1 研究目的与意义 第一章绪论弟一早殖t 匕 互联网为人类提供了巨大的信息交流和资源共享的平台，极大的方便了人类 社会生活、推动了人类社会的进步。然而随着互联网的广泛应用，网络安全问题 日益突出。根据c e r t c c ( c o m p u t e re m e r g e n c yr e s p o n s et e a m c o o r d i n a t i o n c e n t e r ) 从1 9 8 8 年到2 0 0 6 年的攻击事件统计结果【1 】，如图1 1 所示，网络中的攻 击事件不断爆增。尤其，病毒生成器出现后，即使对病毒一无所知的用户，也能 够轻易的生成新的计算机病毒。这使得互联网中的网络攻击事件变得极其频繁， 自2 0 0 4 年以后，c e r t 已经不再提供具体的攻击次数信息。 另一方面，面对越来越先进的攻击方式，传统的一些网络安全防护措施，如 防火墙，身份认证和识别，加密技术，入侵检测系统等由于自身存在的一些不足， 已经越来越不能够阻止这些入侵行为。根据v a n d y k es o f t w a r e 2 0 0 3 年的调 查显示【2 】，在0 3 年的网络安全事件的受害者中，8 6 的用户使用了防火墙，4 2 的用户使用了入侵检测系统，而2 0 0 3 年的安全事件次数仍然暴增到1 3 7 ，5 2 9 。 这充分说明了仅仅使用防火墙等技术已经不能满足当前网络安全的需求。因而入 侵防御系统开始登上历史的舞台。入侵防御系统综合了防火墙和入侵检测的功能， 能够实时的对检测到的入侵行为进行响应和拦截，减少因网络安全事件而受到的 损失，增强网络的安全性。f r o s t 以及s u l l i v a n2 0 0 7 年对世界入侵检测以及防御 市场的一份市场调查报掣3 】显示：从2 0 0 6 年到2 0 1 3 年，入侵检测以及防御市场 将不断的增长，年均增长率为1 7 1 。而且市场上主要的增长部分来源于入侵防 御产品，传统的入侵检测产品的需求与之前大致持平，甚至可能减少。因而对入 侵防御系统的研究现在已成为一大研究热点。 1 2 国内外研究现状 入侵防御系统( i n t r u s i o np r e v e n t i o ns y s t e m ，m s ) 是在入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 的基础上发展起来的。起初，人们认为i p s 就是i d s 的升 级产品。第一款i p s ： b l a c k i c eg u a r d 就是该类思想的典型代表【4 1 。之后，人们 电子科技大学硕士学位论文 逐渐意识到i d s 与i p s 产品的区别。国际知名调研机构g a r t n e r 认为：“入侵防 御系统必须结合使用多个算法阻塞恶意行为，可以基于特征阻塞已知攻击，同时 还可以利用防病毒和入侵检测系统使用的那些方法至少支持策略，行为和基于 异常的检测算法。这些算法必须在应用层操作，作为对标准的，网络层防火墙处 理的补充。它也必须具备区别攻击事件和正常事件的智能【2 】，即i p s 将使用多 种检测算法来检测各种恶意行为，并对那些被明确判断为攻击行为进行检测和防 御，它更加侧重于风险控制。而i d s 则更侧重于对可能造成危害的攻击行为的检 测和报警，告知使用者网络中的实时状况，它更加侧重于风险管理。目前，国外 一些安全厂商的主流的i p s 主要有：美国网络联盟【5 】的m c a f e ei n t r u s h i e l d 网络入 侵防御系统，i s s 6 】的p r o v e n t i a g 系列，j u n i p e r 7 】的n e t s c r e e 系列，s y m a n t e c 8 】 的e n d p o i n tp r o t e c t i o n 以及n e t w o r ks e c u r i t y 系列，华为3 c o r n 9 的t i p p i n g p o i n t 系 列。国内的i p s 主要有：启明星晨【1 0 】的天清系列i p s ，绿盟科技】的冰之眼i p s 等等。然而这些安全厂商的i p s 主要是跟自身的一些其它的安全产品：如防火墙， i d s 等进行联动以防御入侵。而各个厂商之间并没有一个通用的标准接口。这使 得各个厂商各自为营，其i p s 的检测和响应能力主要是基于各个厂商各自的一些 基于异常或基于误用的检测算法和响应机制。此外，各个i p s 产品之间的分布式 协作机制也还有待进一步的改进。 i n c i d e n tr e p o r t s 图1 11 9 8 8 - 2 0 0 6 c e r t 入侵统计信息 学术界对i p s 的研究则主要集中在分布式i p s 的研究。随着网络上数据流量 的急剧增加，尤其是千兆位高速网络上，传统的集中式i p s 架构已经逐渐成为i p s 2 第一章绪论 的性能瓶颈，单用一台计算机已无法负担所有的工作。而且，在这种集中式的i p s 中，还存在着单点失效的问题，即：一旦这台用于入侵分析的系统由于受到攻击 或故障而停止工作，那么整个网络都将处于危险之中。此外，随着大量分布式的、 复杂的入侵攻击模式的出现，这种集中式的i p s 的问题也日益突出。因而，学术 界研究的一个热点就集中在了分布式架构的研究【1 2 d 引。分布式架构主要分为两种： 一种是基于静态代理的层次式的架构【1 2 d 3 1 ，在这种架构方式中，底层信息收集节 点负责收集入侵检测的信息，而上层的节点负责对入侵检测进行分析和协作检测， 并在根节点出进行最后的分析和决策。该架构结构清晰，便于大规模网络控制与 管理，然而仍然存在单点失效的问题。此外，由于仍然有大量的检测信息需要在 中间节点或者根节点处进行分析，可能会增加网络负载。网络中信息传输的时延 也可能使得入侵行为不能够及时的得到响应。因而，基于移动代理的分布式架构 逐渐引起了学术界的重视 1 4 - 1 8 】。移动代理是指能够在复杂的网络中自主迁移的代 理软件，它可以在复杂的网络中，自主的从一台主机迁移到另一台主机，完成特 定的任务。移动代理的移动性，自主性，智能性，协作性给i p s 带来了许多优势， 因而一些研究者提出了一些基于移动代理的分布式i p s 1 9 - 2 0 】。 i p s 中的入侵检测算法和响应机制也是i p s 系统研究中的一个关键部分。i p s 系统将会对检测到的入侵行为进行适当的、实时的拦截和遏制，因而，这要求i p s 系统能够提供准确的识别能力、高效的数据处理能力、以及智能的入侵响应机制。 然而目前i p s 系统中提出的一些算法及响应机制都还相对比较简单，如文酬1 9 锄 冽中就采用了基于s n o r t 的入侵检测方法，或将其与基于统计的异常检测方法相 结合的方式。文献【2 】中提及的a t t a c km i t i g a t o ri p s 则将攻击方式划分的更加细致， 并对不同类型的攻击方式采用了不同的检测方式，从而能够更加准确的检测特定 类型的攻击行为，同时对入侵行为的响应方式也包括了限制、阻止、报告等措施。 对i p s 系统的另一个研究方向则是在i p s 的联动机制上【2 l - 2 5 1 ，这主要包括i p s 系统与其它安全防护系统如：防火墙，入侵检测系统，加密技术，漏洞修复系统 等的联动机制上。同时也包括各种不同类型的i p s 系统间的相互联动，如基于主 机的m s ( h o s t - b a s e di p s ，h i p s ) 、基于网络的i p s ( n c t w o r k - b a s e di p s ，n i p s ) 与基 于应用的m s ( a p p l i c a t i o n - b a s c di p s ，a n s ) 的联动。通过这种联动机制可以使得 各种安全技术充分发挥自身的优势，同时也能更好的弥补各自的不足之处。随着 信息安全的发展，越来越多的用户认识到，网络的安全是一个全方位的，多层次 的，复杂的综合性安全问题，任何一个单一的安全产品都不能够保证网络的安全 电子科技大学硕士学位论文 因而，各个安全产品通过相互协作，相互联动以提供一个全方位的，多层次 全防护体系也就成了一种必然的趋势。 1 3 论文研究内容 本文的研究的内容主要包括两个方面：即入侵防御系统的架构以及入侵防御 系统中的关键算法，以提供一个更好的入侵防御机制，防止网络或主机招到恶意 代码，如：蠕虫、病毒、木马等的攻击。由于当前网络中的入侵手段的改进，尤 其是分布式、复杂的入侵攻击模式的出现，以及现有的一些安全防护手段如：防 火墙、身份认证和识别、以及i d s 等的不足之处，使得不管是安全厂商还是学术 界都对i p s 做了大量而细致的研究从具体的入侵识别方法到入侵防御整个体系 架构。总的来说，如何高效地、准确的识别入侵行为，对入侵行为及时的，适当 的予以遏制并保障自身的安全是入侵防御系统的关键。因而，本文在研究大量国 内外相关领域的技术发展的基础之上，提出一种新的、高效的、安全的多层次的 入侵防御系统，以解决我们面临的各种层出不穷的攻击。 本文的主要贡献有以下三点： 1 本文提出了一种抗攻击的分布式入侵防御系统架构模型( a r d i p s ) ，该模 型采用了基于移动代理的分布式入侵防御架构，避免了传统架构中的单点失效和 性能瓶颈等问题，并具有良好的可扩展性和抗攻击性。 2 针对移动代理可能引起的安全问题，本文中利用公开密钥体制以及访问控 制机制设计了一套安全机制，以保护移动代理和主机的安全。 3 本文研究并实现了a r d i p s 系统中的关键算法。入侵防御系统中，最关 键的因素在于入侵检测算法，入侵检测方法能否有效地应对最新的多态技术，能 否准确的识别出各种入侵行为是该入侵防御系统能否脱颖而出的一个关键。本文 中针对几种主要的攻击方式，提出了相应的检测算法及遏制机制。同时，为提高 检测率，本文还将应用移动代理技术来充分的采集各种可疑的信息，并对这些信 息进行协作分析，以充分识别各种分布式的、复杂的攻击模式。 1 4 论文组织结构 论文分为五章，内容组织如下： 4 第章绪论 第一章：“绪论，本部分介绍了论文的研究背景，简单介绍了国内外有关 i p s 的研究现状，概述了主要研究工作和论文结构。 第二章：“网络安全相关技术研究 ，本部分介绍了网络安全存在问题的根 本原因以及常用的攻击技术，同时分析了现有的各种入侵防御技术及其存在的一 些不足之处，以及将移动代理技术引入各种防御系统中的优势及可能引起的问题。 第三章：“a r d i p s 架构设计，本部分分析了a r d i p s 系统的设计目标， 并对其网络部署结构、体系架构等进行了描述，同时对系统的模块设计、协作机 制、通信机制、安全机制等方面进行了描述。最后，本部分对该架构的优缺点进 行了分析。 第四章：“a r d i p s 关键算法研究及实现”，本部分研究并实现了a r d i p s 系统中的几种关键算法，包括基于反向假设检验的蠕虫检测算法、基于朴素贝叶 斯的木马检测算法、以及基于协作分析的入侵检测算法。本部分同时对a r d p s 系统中的响应机制进行了描述。 第五章：“总结”，本部分总结了本文的研究成果、创新点和不足之处，并 提出了下一步的研究方向。 电子科技大学硕士学位论文 第二章网络安全相关技术研究 本章简要的介绍了网络安全问题存在的根本原因以及当前网络中的一些常见 的攻击方式，分析了现有的各种入侵防御技术及其存在的一些不足之处，以及将 移动代理技术引入各种防御系统中的优势及可能引起的问题。 2 1 网络安全面临威胁的主要原因 网络安全面临威胁主要有如下几个方面的原因： 1 系统漏洞 由于操作系统的复杂性，以及每个程序开发人员水平的不一致性，使得操作 系统代码中存在一些设计缺陷，甚至是b u g ，而这些缺陷可能被恶意的攻击者利 用来攻击和控制受害者的系统、窃取或伪造信息、或者是直接让系统无法再提供 正常服务。比如：缓冲区溢出漏洞。在编写代码的时候，某些函数并不会进行对 参数的长度进行检查，如：w i n d o w s 平台下的s t r c p y 函数，如果一个恶意的攻击 者向缓冲区中输入一个超过缓冲区长度的字符串，就可能使得该缓冲区相邻的存 储单元也被输入的字符串覆盖，从而使得程序可能出现某些问题，甚至导致系统 崩溃。此外，如果恶意的攻击者通过精心构造一个字符串，来覆盖掉函数的返回 地址，则攻击者将获得程序的控制权限，从而可能执行任意的恶意代码。 2 通信协议的不安全性 t c p i p 协议簇是互联网中使用的最广泛的网络互联协议簇。而这个协议簇存 在许多不安全的因素。以t c p 协议为例，通信的双方如果要建立连接，需要经过 三次握手，客户端将首先向服务器端发送一个包含s y n 标志的数据包，然后服务 器端将返回一个s y n a c k 应答包，表示接受客户端的请求，最后客户端将再返 回一个a c k 数据包，对服务器端的应答包进行确认。但如果客户端向服务器端 发送伪造源口地址的s y n 数据包，则服务器端将不能得到客户端的确认数据包， 服务器端会一直维护这些半连接的数据包的相应信息直到超时。但如果同时有大 量的s y n 数据包发送到服务器端，则服务端的资源可能被迅速耗尽，从而导致服 6 第二章网络安全相关技术研究 务端不能再进行正常的连接，甚至可能会导致服务端系统崩溃。这种攻击服务端 的方式也被称之为s y nf l o o d 攻击。 3 软件漏洞 和系统漏洞一样，第三方软件在开发过程中，也可能由于软件的复杂性，开 发人员的水平的不一致性，用户需求表述的不一致性等等因素造成软件中存在一 些设计缺陷或者b u g 。由于现在系统漏洞越来越少，很多的恶意攻击者将其攻击 目光转向了第三方软件，尤其是一些比较流行的第三方软件。现在的第三方软件 很多也是在发布以后，不断的被爆出存在的漏洞。 4 数据库的不安全性 数据库中存放了大量的敏感信息。而v e r i z o nb u s i n e s s 的年度计算机破坏报 告中指出，在2 0 0 8 年的数据丢失案中，数据库破坏占据了3 0 。更糟糕的是， 在数据入侵的统计中，数据库的入侵的比率高达7 5 t 2 6 1 。但我们目前对这块的安 全性认识还不是非常重视。一些数据库本身甚至将这些敏感的信息以明文的形式 存储在数据库中。一旦数据库被攻击成功，那么损失将无法估量。 5 人为的因素 人为的因素可分为两类：即人为无意失误引起的安全性问题以及人为恶意攻 击引起的安全性问题【2 7 】。网络管理人员对网络设备的配置不当就是一个典型的人 为无意失误引起的安全问题。g a r t n e r 咨询公司预测有6 5 的网络攻击者是利用配 置错误的系统【2 8 】。此外，人为的恶意攻击也是引起网络安全问题的一个极大的因 素。这包括人为的攻击各种漏洞，利用漏洞执行恶意代码，破坏用户计算机的行 为。同时也包括利用扫描、嗅探等技术来截获、窃取用户信息等行为。 2 2 常见攻击方式 正是由于网络中存在这样或者那样的漏洞，这给一些恶意的攻击者提供了可 乘之机。下面是一些网络中常见的攻击方式： 1 蠕虫 “蠕虫【2 9 】是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术， 它不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上 存在漏洞的节点主机，通过局域网或国际互联网从一个节点传播到另外一个节 点 。蠕虫的特点是可以主动寻找系统的漏洞，并利用该漏洞发起入侵攻击，达 到自动传播自身的目的。自1 9 8 8 年第一个蠕虫病毒m o r r i s 爆发以来，已经出来 7 电子科技大学硕士学位论文 了大量的蠕虫病毒及其变种，比如：爱虫病毒、红色代码、冲击波、震荡波等等。 这些蠕虫由于能够主动的攻击系统的漏洞，其传播速度是传统的计算机病毒所无 法比拟的，其给全球造成的经济损失更是非常严重。仅是爱虫病毒，给全球造成 的经济损失就超过了1 0 0 亿美元。 而且，现在蠕虫为了能够潜伏更长时间，给网络造成更大的破坏，更加注意 自身的隐蔽性。多态蠕虫就采用了一种先进的隐蔽技术。该类型的蠕虫可在每次 传播自身的时候，可以通过加密引擎和多态引擎，改变自身的形态，使的自身没 有任何规律可循，以逃避传统的一些基于误用的检测系统的检测。 2 木马 木马，即特洛伊木马，它是指那些表面上有用，但实际上却是潜伏在计算机 中，窃取用户敏感信息、危害计算机安全的恶意程序。与病毒、以及蠕虫不同， 木马不会传播自身，它的主要功能是把程序的服务器端植入目标主机中，通过控 制者的客户端程序来控制服务器端程序，获取用户的敏感信息、安装后门程序等 等。木马一般具有很强的隐蔽性，比如通过注入到其它进程中，或者是利用r o o t l d t 技术来隐藏自身，以逃避一些进程查看工具或者检测系统等。 3 拒绝服务攻击 拒绝服务攻击( d o s ) 是指通过请求大大超过正常值的资源，大量消耗服务器 资源，致使其不能再为其它合法的请求提供服务，甚至出现服务器瘫痪的情况。 前一节提到的s y nf l o o d 实际上就是一种典型的拒绝服务攻击。 而分布式拒绝服务攻击( d d o s ) 贝j j 是在传统的d o s 的基础上，同时控制多个 傀儡机，分层次的向目标主机发起d o s 攻击。由于大量的主机同时向目标机器发 起攻击，可使的目标主机在短时间内迅速被攻击成功。而且，通过傀儡机来发起 攻击，将使得对d d o s 的检测相对比较困难，同时也可以将真正的黑客隐蔽起来， 是黑客常用的攻击手段之一。 2 3 相关防御技术 随着网络攻击方式的不断演进，网络的防御措施也在进一步的不断完善之中。 k a i z o 3 0 】将目前的一些防御措施根据如图2 1 所示的攻击时间线分为了三类：攻击 前、攻击时、以及攻击后。 由于各种入侵存在的根本原因是系统存在这样或者那样的漏洞，为攻击者提 供了可乘之机，因而解决入侵问题的根本方法是修复系统中存在的漏洞。漏洞扫 8 第二章网络安全相关技术研究 描系统正是建立在这样的思想的基础上的系统。它主要是自动检查并修复系统存 在的漏洞，为漏洞打上补丁以提早预防恶意的攻击者入侵系统。因而，它是处于 攻击时间线的第一道防御措施。 由于网络的复杂性和灵活性，以及程序开发人员水平的不一致性，要修复网 络中所有的漏洞，几乎是不可能的。因而处于攻击时间线上的第二道防御措施则 是根据访问规则部署一些访问控制系统，以提前阻止某些不合法的入侵行为。防 火墙就是典型的访问控制系统。 由于防火墙等系统仍然具有一定的局限性，它也不可能保证能够阻止所有的 入侵行为，尤其是内网的一些恶意行为，因而处于攻击时间线上的第三道防御措 施则是利用入侵检测系统对入侵行为进行实时的检测。 在检测到入侵攻击之后，接下来自然要对检测到的入侵行为进行响应。因而 处于攻击时间线上的第四道防御措施即是入侵响应系统。 再之后则是灾难恢复系统，该系统将对入侵行为造成的危害进行修复，将系 统恢复到入侵前的一个状态。 最后的一道防线是计算机取证，该系统主要是提取出入侵相关的证据，以便 于对恶意的攻击者进行控告。 漏洞攻击 入侵破坏 漏洞扫描访问控制入侵检罚入侵响应灾难恢复取证 图2 - 1 攻击时间线 目前常用的安全防御系统及其存在的一些问题如下： 2 3 1 漏洞扫描系统 作为网络安全的第一道防线，漏洞扫描系统主要是通过对整个网络范围内的 主机进行扫描，以及时发现网络中存在的漏洞并进行修复。漏洞扫描系统一般根 据漏洞数据库来扫描网络中存在的漏洞并根据相应的补丁信息进行修复。目前， 提供漏洞数据库信息的一些组织如【3 l 】： 紧急响应小组协调中心( c e r t c c ) 是美国国防高级研究项目署d a r p a 于 1 9 9 8 年在卡耐基梅隆大学软件工程所建立的致力于防范安全事故、响应安全事件 的组织。 9 电子科技大学硕士学位论文 开源漏洞数据库( o p e ns o u r c ev u l n e r a b i l i t yd a t a b a s e ，o s v d b ) 于2 0 0 2 年黑帽 安全会议以及随后的d e f c o n 黑客大会中成立，它主要用于提供一个准确的、详细 的开源的漏洞数据库信息。 通用漏洞披露( c o m m o nv u l n e r a b i l i t ya n de x p o s u r e s ，c v e ) 是一个漏洞数据字 典，它为广泛认同的信息安全漏洞或者已经暴露出来的漏洞给一个公共的名称。 通过该c v e 名称，用户可以快速的在各个c v e 兼容的漏洞数据库中找到相应的 修补信息，解决安全问题。 2 3 1 1 漏洞扫描系统的分类 根据扫描位置的不同，漏洞扫描系统可以分为两种类型：即基于网络的漏洞 扫描系统以及基于主机的扫描系统。基于网络的漏洞扫描系统一般部署在网关等 位置，通过网络来远程扫描并修复主机中存在的漏洞，保护整个网络。这种类型 的扫描系统不需要在目标主机上安装任何东西，而且维护比较简。但是由于它不 能访问到目标主机的文件系统，因而可能检测不到某些特定的漏洞。此外，由于 防火墙的规则限制，该类型的扫描系统可能不能穿越防火墙。与之相对应，基于 主机的漏洞扫描系统通常需要在目标主机中安装代理。这种类型的扫描系统由于 能够访问到目标主机中所有的系统信息，因而能够比基于网络的漏洞扫描系统扫 描到更多的漏洞信息。但这种类型的扫描系统需要部署在网络中的所有主机中， 同时会消耗主机的资源。 2 3 1 2 漏洞扫描系统存在的问题 漏洞扫描系统是一种防患于未然的网络安全防御技术，不管是基于网络的漏 洞扫描系统还是基于主机的漏洞扫描系统，在检测到系统中存在漏洞时，都将及 时的对系统进行修复，防止系统遭到利用该漏洞的恶意代码的攻击。然而，由于 网络的复杂性，不管是基于网络的扫描系统还是基于主机的扫描系统均不可能保 证百分百的检测到网络中所有的漏洞，因而需要其它的防御措施来一起抵御恶意 代码的攻击。两种最常用的防御技术即为防火墙以及入侵检测系统。 2 3 2 防火墙 “防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件 和软件，目的是保护网络不被入侵 3 2 】。 1 0 第二章网络安全相关技术研究 2 3 2 1 防火墙的分类 根据保护的主机范围的不同，防火墙可以分为基于网络的防火墙以及基于主 机的防火墙。基于网络的防火墙即是将防火墙部署在网络关键位置处，根据一定 的安全访问控制策略检查和过滤数据包，在被保护的网络和外部不受信任的网络 之间形成一道安全屏障。基于主机的防火墙与基于网络的防火墙类似，但其保护 的目的主机只有被接入的系统。 根据防火墙过滤方式的不同，防火墙也可以分为包过滤防火墙、应用级网关、 代理防火墙、透明防火墙等【2 2 1 。包过滤防火墙工作于t c p i p 的p 层，它会对每 个进出防火墙的数据包的包头信息进行检查，判断该数据包是否匹配某些已定义 的访问控制策略，从而决定是否转发或丢弃数据包。这种类型的防火墙通常都是 无状态的，它不会各种进出网络的数据包维护其连接状态的信息。此外，由于它 工作在口层，因而不能检测到某些深层次的入侵行为。应用级网关则是在应用层 上对特定的服务协议进行过滤，解决了包过滤防火墙不能识别应用层入侵行为的 缺点。代理防火墙更进一步，它通过强制通信两端的会话通过代理来检测入侵行 为。每一种应用都需要安装和配置不同的应用代理程序。在用户连接网络请求特 定的服务时，该请求信息将被发送到特定代理。同样，在服务器返回用户的请求 信息时，该数据包也将首先被发送到代理，这样，得受保护的网络和外网之间不 能够直接连接，保护目标网络的信息。此外，代理服务器提供了更加复杂的协议 分析技术，能够针对每种服务更加深入的检查数据包中的信息。不过，由于对数 据包内容的深入检查，这也为网络中数据包传输引入了一定的传输延迟。透明防 火墙工作在数据链路层，且其桥接接口是没有i p 地址的，因而其数据包的转发方 式类似于网桥，但防火墙上的数据包还需要送入到上层，并根据访问控制策略进 行过滤处理。这种类型的防火墙的最大好处是由于其没有分配口地址，因而无法 被攻击者发现。 2 3 2 2 防火墙存在的问题 只有符合访问控制策略的数据包才能够通过防火墙，因而防火墙可以大大降 低某些恶意入侵行为，在网络安全防御领域起着非常重要的作用，但随着恶意代 码的攻击方式的不断演进，防火墙的一些不足之处也逐渐暴露出来： 1 防火墙不能防止网络内部的攻击者。防火墙将外网认为是不受信任的网络， 而将内网认为是安全的网络。因而，防火墙一般是防外不防内的。但如果入侵者 正是在内部网络中，防火墙将无能为力。而事实上，通过调查发现，将近6 5 的 3 响应单元 该部分主要是对检测到的入侵行为进行响应，比如：向管理人员发送报警信 息、拦截相关的恶意操作等。 4 数据库 该部分主要是用于存放各种中间和最终的数据。 1 2 第二章网络安全相关技术研究 图2 - 2i d s 的通用模型 2 3 3 2 入侵检测系统的分类 根据入侵检测系统事件收集来源的不同，可以将入侵检测系统分为两种类型： 即基于网络的入侵检测系统以及基于主机的入侵检测系统。基于网络的入侵检测 系统的事件来源为网络中的各种数据包，它主要部署在需要被保护的网络的关键 位置处，以被动监听的方式监控进出整个被保护网络中的数据包，检测恶意入侵 行为，并采取实时的报警等措施来响应。被动监听可以采取多种方法来实现：如 很多交换机中都有端口镜像的功能，通过这个功能所有的通信流量都可以被监控 到。此外，也可以通过网络分流器( n e t w o