（计算机应用技术专业论文）一种分布式网络入侵防御系统的设计与实现.pdf

中文摘要 随着分布式协同攻击不断出现，网络攻击造成的危害正日益加大，而攻击却 越来越难以检测。这些都对网络安全提出了新的挑战。传统的网络安全技术包括 防火墙技术、入侵检测技术和访问控制技术等，然而，它们都有各自的缺点，当 面对种类繁多的网络攻击时，很难依靠其中的一种技术确保网络的安全。因此， 需要研究构建一个动态的网络安全综合防御体系，将各种网络安全技术融入防御 体系，通过各个网络安全组件的相互协作，达到优势互补，联动防御。 本文旨在构建一个动态的网络入侵综合防御体系。通过对防火墙技术和入侵 检测技术的分析，研究入侵检测与防火墙联动技术。通过对p 2 d r 和p d r r 网络安 全模型的分析，总结出动态的网络入侵综合防御模型。在动态网络安全模型的框 架下，具体设计并实现了一个分布式的网络入侵防御系统，从而构建了一个动态 防御体系。 系统分为网络探测器、主机探测器、策略管理中心、控制台和联动响应模块， 采用多级的分布式体系结构。网络探测器布署于受保护网段，主机探测器部署于 受保护主机，它们负责监控一个子网或主机。策略管理中心采用集中控制模式， 统一接收各个探测器的报警信息，并对探测器进行控制。对于探测器的报警信息， 策略管理中心进行综合分析，根据其报警级别生成联动规则，并通过联动响应模 块向具体的防火墙中动态添加规则以及时对攻击进行响应。 系统综合了入侵检测和防火墙技术、主机检测和网络检测技术、误用检测和 异常检测技术，并且为各个组件之间的信息交换定义了统一的接口，从而使系统 具有良好的互操作性和可扩展性。实验表明，本文构建的分布式网络入侵防御系 统可以有效的检测网络中和主机上的攻击，并能对攻击进行实时响应，分布式的 动态防御体系使系统可以检测出单个i d s 无法检测出的复杂攻击。 关键词：网络安全入侵防御防火墙联动 a b s t r a c t a sd i s t r i b u t e dc o o p e r a t i v ea t t a c k se m e r g e ，t h el o s s r e s u l t e df r o ma t t a c k si s g r o w i n g ，w h i l ea t t a c k sa r em o r ea n dm o r ed i f f i c u l tt o d e t e c t t h e s ea l et h en e w c h a l l e n g e so fn e t w o r ks e c u r i t y t r a d i t i o n a ln e t w o r ks e c u r i t y t e c h n i q u e s i n c l u d e f i r e w a l li l l 仃u s i o nd e t e c t i o na n da c c e s s c o n t r o l ，e t c h o w e v e r , t h e y a l lh a v e d i s a d v a n t a g e ss ot h a ti t sq u i t ed i f f i c u l tt or e l yo no n et e c h n i q u et o e n s u r en e t w o r k s e c u r i t yw h e nf a c i n gag r e a tv a r i e t yo f n e t w o r ka t t a c k s a sar e s u l t ，ac o m p r e h e n s l v e n e l 啪r ks e c u r i t yd e f e n s es y s t e mi sn e e d e d ，w h i c hc a ni n t e g r a t ed i f f e r e n tn e t w o r k s e c u r i t yt e c h n i q u e s ，t oa c h i e v ec o m p l e m e n t a r ya d v a n t a g e sa n d i n t e r a c t i v ed e f e n s e t h i sp a p e ra i m sa tc o n s t r u c t i n gac o m p r e h e n s i v en e t w o r ks e c u r i t yd e f e n s es y s t e m b a s e do na n a l y s i so ff i r e w a l la n di n t r u s i o nd e t e c t i o nt e c h n i q u e ，t h e i n t e r a c t i o n t e c h n i q u eb e t w e e ni d s a n df i r e w a l li sd i s c u s s e d a f t e ra n a l y s i so fg e n e r a ln e t w o r k s e c u r i t ym o d e l s u c ha sp 2 d ra n dp d r r , ac o m p r e h e n s i v en e t w o r ki n t r u s i o nd e f e n s e m o d e li sc o n c l u d e d b a s e do nt h em o d e l ，ad i s t r i b u t e di n t r u s i o np r e v e n t i o ns y s t e mi s d e s i g n e da n di m p l e m e n t e d ，s ot h a tad y n a m i c n e t w o r kd e f e n s es y s t e mi sc o n s t r u c t e d - t h es y s t e mi sd i v i d e di n t on e t w o r ks e n s o r , h o s ts e n s o r , p o l i c ym a n a g e m e n tc e n t e r , c o n s o l ea n dr e s p o n s em o d u l e ，a n di s b a s e do nm u l t i l e v e ld i s t r i b u t e da r c h i t e c t u r e n e t w o r ks e n s o ri sd e p l o y e di nt h ep r o t e c t e ds u b n e t , w h i l eh o s ts e n s o ri sd e p l o y e do n t h ep r o t e c t e dc o m p u t e r t h e ya r er e s p o n s i b l ef o rs p e c i f i cs u b n e to rh o s t t h e c o n t r o l s e r v c ru s e s 也ec e n t r a l i z e dc o n t r o lp a t t e r n ，r e c e i v i n ga l e r tm e s s a g e so fe a c hs e n s o r w h i l ec o n t r o l l i n gt h e m t h ep o l i c ym a n a g e m e n tc e n t e rc o m p r e h e n s i v e l ya n a l y z e st h e a l e r tm e s s a g e so fs e n s o r s ，a n dg e n e r a t e sl i n k a g er u l e sa c c o r d i n gt o a l e r tl e v e l ，a n d t l l e na d l d st h er u l e si n t os p e c i f i cf i r e w a l lt h r o u g hr e s p o n s em o d u l e t h es y s t e mi st h ei n t e g r a t i o no fi n t r u s i o nd e t e c t i o na n df i r e w a l lt e c h n i q u e ， h o s t b a s e dd e t e c t i o na n dn e t w o r k - b a s e dd e t e c t i o nt e c h n i q u e ，m i s u s e dd e t e c t i o na n d a b n o n n a ld e t e c t i o nt e c h n i q u e ，w h i l ed e f i n i n gt h eu n i v e r s a li n t e r f a c e sf o ri n f o r m a t i o n e x c h a n g e b e t w e e nd i f f e r e n tm o d u l e s ，s o t h a tt h es y s t e mg a i n s e x c e l l e n t i n t e r o p e r a b i l i t ya n de x p a n s i b i l i t y e x p e r i m e n t ss h o wt h a tt h es y s t e mc a ne f f e c t i v e l y d e t e c tn e 觚r ka n dh o s ta t t a c k s ，w i t hr e a l - t i m er e s p o n s e d i s t r i b u t e da r c h i t e c t u r e e n a b l e st h es y s t e mt od e t e c tc o m p l i c a t e da t t a c k sw h i c hs i n g l ei d s c a l l td e t e c t k e yw o r d s - n e t w o r ks e c u r i t y , i n t r u s i o np r e v e n t i o n , f i r e w a l l ，l i n k a g 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨鲞苤堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：王凤，3签字日期：2 0 0 7 年2 月2 日 学位论文版权使用授权书 本学位论文作者完全了解盘洼盘鲎有关保留、使用学位论文的规定。 特授权鑫鲞盘鲎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：王冈a导师签名： 槲陟 签字日期：2 0 d ，2 年2 月2 日 签字日期：2 d 0 7 年2 月2 - 日 第一章绪论 1 1 课题背景和意义 第一章绪论 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和 部门在得益于网络的同时，其上网的数据遭到了不同程度的破坏，数据的安全和 自身的利益受到了极其严重的威胁1 1 。 为了保证各种网络信息的安全可靠，就需要一个健全的安全方案。 防火墙、入侵检测系统是当前流行的网络安全技术。利用这些技术，人们在 不断完善系统漏洞，构建出安全的网络体系。同时，密码学的迅速发展，使得安 全通信得到进一步的保证。互联网是网络组成的网络，通过使用安全技术，用户 可以使本地网络成为更加安全的地方。 现代安全技术使得攻击变得越来越困难，然而困难并不代表安全。网络上存 在大量的安全信息，这些信息是免费的。几乎每天都有新的黑客工具或病毒工具 出现，使用单一的安全技术不可能完全抵御变化多端的攻击行为。研究集成化的 网络安全系统，并解决各组件的部署以及协调工作，是当前急需解决的课题。 1 2 国内外发展现状 从网络诞生之初开始，网络安全问题便随之而来，近些年来，随着网络攻击 的日益多样化、复杂化，对网络安全防御技术也提出了越来越高的要求。同时， 随着新理论和新技术的不断出现，网络安全防护技术也经历了一个由静态防护到 纵深防御到动态综合防御的发展历程。 防火墙技术目前比较成熟，正朝着分布式方向发展。2 0 0 0 年p e n n s y l v a n i a u n i v e r s i t y 与a t & t 联合实现了分布式防火墙的原型 2 1 ，该原型系统采用基于 k e y n o t e 3 】【4 】【5 】【6 】吲凭证的方式进行访问控制，利用i p s e c 8 佣于受保护实体之间的 通信。t m a r k h a m 等人讨论了基于硬件实现的分布式防火墙体系结构1 9 ，该体系 结构采用了基于i p s e c 的策略管理。m i l l e r 等人提出了管理防火墙策略的方法【1 0 】。 b a r t a l 等人设计了一套管理工具f i r m a t o 1 1j ，m o t o r o l a 公司的n s m i t h 提出了一种在 广域网上各防火墙进行联动防御d o s 攻击的协议【1 2 】，该协议是在b g p 4 上修改而 成。 第一章绪论 入侵检测领域，分布式入侵检测日益成为研究的热点。p u r d u e 大学研究出的 a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 是一种分布式入侵检测系统的 原型实现【1 3 】。d f r a n k i e 等人提出 h u m m i n g b i r d 协同入侵检测系统【1 4 】，该系统采 用层次结构，由管理台、下属管理台和主机组成，它们之间的通信采用k e r b e r o s 进行认证。u c - d a v i s 安全实验室提出的通用的入侵检测框架中介绍了一种入侵描 述语言( c i s l ) ，用来表示入侵事件和响应指标，以集成各种i d s 使之协同工作【1 5 】。 动态防御技术目前主要关注的是各个安全组件之间的联动与响应。 m g a i l g a d h 猢l 与k a i h w a n g 提出基于移动代理的前摄式入侵检测与响应系统【1 6 1 。 b o e i n g 公司、美国n 越实验室和u cd a v i s 分校的计算机安全实验室联合开发了独 立于安全设备的入侵检测与隔离协议( i n t r u s i o nd e t e c t i o na n di s o l a t i o np r o t o c o l ， i d n , ) 和围绕该协议的基础框架实现【1 7 1 。 总之，从目前国内外研究现状来看，动态防御系统是信息安全领域研究的热 点之一。许多著名大学、研究机构和商业公司均重视相关技术研究和产品开发。 但是，作为一个新的研究防线，动态防御技术仍有诸多问题有待解决。因而开展 该领域的研究和开发工作既具现实意义i 亦有重要的理论价值。 1 3 课题研究内容 本课题主要研究网络入侵防御技术，通过对传统的入侵检测技术及防火墙技 术的研究，分析其各自的优缺点，设计并实现了一套网络入侵防御系统，该系统 可以有效的集成入侵检测系统和防火墙等多种网络安全产品，通过建立一个统一 的综合防御平台，充分利用各种网络安全技术的优势，取长补短，从而增加整个 系统及网络的安全性，抵御各种复杂的网络攻击。本课题对整个网络入侵防御系 统的功能和体系结构进行了设计，并对系统的各个子模块进行了详细设计和实 现，最终开发研制出了一套集入侵检测、日志分析、防火墙联动等多种功能于一 体的网络入侵防御系统。该系统不但能有效的检测出网络中的攻击，而且可以通 过联动防御，自动对攻击进行响应，从而有效阻断攻击。 1 4 全文结构 本文设计并实现了一套网络入侵防御系统，对系统总体设计、功能模块、各 模块详细设计及系统的具体实现进行了深入而具体的论述，全文分为如下部分： 第二章相关技术背景。介绍与本课题相关的网络安全技术，包括入侵检测技术、 第一章绪论 防火墙技术、入侵防御技术等。 第三章系统总体设计。对入侵防御系统的总体架构及功能模块进行设计，论述 各个模块的主要功能及模块之间的接口。 第四章系统详细设计。对系统中的各个子模块进行详细的功能设计和结构设 计，并提出其中关键技术的解决方案。 第五章系统实现。根据详细设计的结果，对系统各个功能模块进行了具体实现， 对其中的关键技术及流程进行了详细论述。 第六章系统测试。在真实的网络环境中对系统进行了测试。介绍具体的实验环 境和配置、测试过程以及测试结果。根据测试结果对系统的功能和性能 进行了讨论。 第七章总结与展望。对全文内容进行总结，并对将来的工作进行展望。 第二章相关技术背景 第二章相关技术背景 本章简要介绍与网络入侵防御系统相关的技术背景，首先介绍传统的防火墙 技术和入侵检测技术，然后介绍入侵防御技术，并分析了其中存在的问题。 2 1 防火墙技术 防火墙i l7 】是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。 防火墙设备通常是单独的计算机、路由器或防火墙固件( a p p l i a n c e ) 。大部 分防火墙通过审查源地址、目的地址及端口号来完成其功能。防火墙能够分析进 入的协议包。根据这种基本分析，执行有条件的操作，通常称之为过滤策略。防 火墙进行过滤的操作策略，称为过滤规则。 当前流行的防火墙主要采用下面一些技术： 1 ) 基于包过滤的防火墙 包过滤防火墙可以根据下列变量来授权或拒绝对站点的访问：源地址、目的 地址、协议类型、端口号。 2 ) 状态包过滤防火墙 状态包过滤在包过滤的基础之上，对内部状态表中的会话和连接进行跟踪， 并做出相应的反应。这种防火墙可以检测出违反协议标准的反常行为，提供了比 简单包过滤更为灵活的功能。大部分的状态包过滤防火墙用来防御d o s 攻击，并 增加了s m t p 邮件保护等其他安全功能。由c h e c k p o i n t 公司发明的“状态检查” ( s t a t e f u li n s p e c t i o n ，s i ) 技术，发展了状态包过滤技术。s i 使得管理员可 以创建防火墙规则来检测实际数据的有效负载。 3 ) 基于代理的防火墙 基于代理的防火墙与上两种防火墙的主要区别在于，它是在应用级而不是较 低的级别上进行检测通信。这种防火墙能理解应用协议( h t t p 、f t p 等) ，可以 拒绝任何与协议不匹配的数据。现阶段，处于应用层的防火墙运行速度要大大低 于前两种防火墙。另外，基于代理的防火墙也存在协议适应性问题。 防火墙是一种静态攻击防御体系，虽然可以通过修改规则表来改变其安全策 略，但是，这种努力效果有限。在相关文献【l 8 】中可以看到很多防火墙失效的例子。 第二章相关技术背景 2 2 入侵检测 入侵检测系统对网络或操作系统上的可疑行为做出策略反应，及时切断资料 入侵源、记录，并通过各种途径通知网络管理员，提高信息安全基础结构的完整 性，是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门，它在不影响 网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作 的实时保护，最大幅度地保障系统安全。它在网络安全技术中起到不可替代的作 用，是安全防御体系一个重要组成部分。 入侵检测系统按照其数据来源来看，可以分为两类： 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统主要使用操作系统的审计跟踪日志作为输入，某些 也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信 息集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统在通过在计算机网络中的某些点被动地监听网络 上传输的原始流量，对获取的网络数据进行处理，从中获取有用的信息，再与已 知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。 根据所采用的检测分析方法，入侵检测系统可分为误用检测和异常检测。 1 ) 误用检测 误用入侵检测系统是检测网络数据信息与事先设定的条件是否匹配，如果发 现匹配的数据，即认为发生入侵或攻击行为，系统触发一个警告。误用入侵检测 系统具有较高的准确性，误报率极低。但是，误用入侵检测系统只能检测系统已 知攻击，并且维护包含所有已知入侵或攻击方法的数据库，因此误用入侵检测系 统对入侵或攻击的漏报率比较高。 2 ) 异常检测： 异常入侵检测系统是建立正常或合法用户行为模型，一旦出现入侵或攻击行 为，则可以根据偏离正常或期望的系统或用户行为而被检测出来。描述正常或合 法活动的模型是通过各种渠道收集大量历史活动资料并分析得来的。因此，异常 入侵检测系统可以检测系统未知攻击，漏报率极低。但是，异常入侵检测系统的 误报率却极高，一旦系统或用户活动发生变化，且该变化检测系统尚未学习到， 则检测系统认为发生入侵，启动报警。 误用检测和异常检测各有其适用范围，不同的入侵行为可能适应于不同的方 法，但就系统实现而言，基于异常检测的入侵分析需要保存更多的检测状态和上 下关系而需要消耗更多的系统处理能力和资源，实现难度相对较大。 第二章相关技术背景 2 3 入侵防御系统 入侵防御技术是网络安全领域为弥补防火墙及入侵检测系统的不足而新兴 的计算机信息安全技术，融合了访问控制和入侵检测的功能【1 9 1 。 目前的入侵防御产品基本上都是从入侵检测与防火墙的联动结合发展起来 的，不同的入侵防御系统实现的方式各不一样，但其共同点是综合了防火墙防御 功能和入侵检测系统的网络数据包检测功能，紧密实现两安全系统的互动互利， 对受保护网络进行更为完善的保护【2 0 】。 入侵防御系统可分为两类：基于主机的入侵防御和基于网络的入侵防御。 1 ) 基于主机的入侵防护( r a p s ) h i p s 通过在主机服务器上安装软件代理程序，防止网络攻击入侵操作系统 以及应用程序。h i p s 采用独特的服务器保护途径，利用由包过滤、状态包检测 和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下， 最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系 统的调用当中，提供对主机的安全防护，也可以以更改操作系统内核程序的方式， 提供比操作系统更加严谨的安全控制机制。h i p s 与具体的主机服务器操作系统 紧密相关，不同的平台需要不同的软件代理程序。 2 ) 基于网络的入侵防护( n i p s ) n i p s 通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用 在线连接方式，所以一旦辨识出入侵行为，不仅复位会话，而且可以去除整个网 络会话，所以需要具备很高的性能，以免成为网络的瓶颈。在技术上，n i p s 吸 取了目前n i d s 所有的成熟技术，包括特征匹配、协议分析和异常检测。特征匹 配是最广泛应用的技术，具有准确率高、速度快的特点。基于状态的特征匹配不 但检测攻击行为的特征，还要检查当前网络的会话状态，避免受到欺骗攻击。 通过对当前入侵防御系统的分析，可以发现入侵防御技术仍存在以下问题： 1 ) 对分布式攻击的检测能力有待加强 目前的i p s 产品对于分布式攻击的检测能力仍不够理想，尤其是对于大规模 网络分布式拒绝服务攻击的检测，仍然存在很大困难。 2 ) 缺乏通用联动机制 i p s 将防火墙和入侵检测联动，但由于市场上的防火墙种类较多，不同厂商 的防火墙接口之间存在很大差异，给入侵检测与防火墙的联动带来了很大困难。 尽管一些公司提出自己的联动标准，但由于市场竞争的原因，很难得到其它厂商 的支持。因此，目前的入侵防御系统仍然缺乏一种通用的联动机制。 3 ) 系统缺乏可扩展性【2 l 】 第二章相关技术背景 入侵防御解决方案必须可升级扩展，以满足网络发展的不断变化，而同时保 持最高水平的安全。当前的i p s 产品本身是一个非常庞大的系统，很难在上面修 改增添新功能。随着网络安全问题越来越突出，攻击、病毒等越来越难检测，各 种网络安全产品也需要不断升级，否则不久的将来就会被新的产品慢慢所取代。 2 4 小结 本章概述了防火墙、入侵检测、入侵防御系统的相关技术，分析了入侵防御 技术存在的问题和不足。下一章将介绍入侵防御系统体系结构的设计。 第三章系统总体设计 第三章系统总体设计 本章对网络入侵防御系统进行总体设计。从整体上对网络入侵防御系统进行 功能模块划分和接口定义，并对系统的体系结构进行设计。 3 1 网络安全模型 为了保障网络的安全。必须建立一套完整的网络安全体系结构，形成相应的 网络安全模型。目前，最常被使用的是p d r r 动态信息安全体系模型，它是在经 典的p 2 d r 模型基础上演变而来的。 3 1 1p 2 d r 模型 p 2 d r 模型包括4 个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、 d e t e c t i o n ( 检铡) 和r e s p o n s e ( 响应) 。防护、检测和响应组成一个完事的、 动态的安全循环，在安全策略的指导下保证信息系统的安全。如图3 - 1 所示。 圉3 - 1p 2 d r 安全模型 安全镱略是模型的核心，为整个阿络安全的依据。所有的保护、检测、响应 都是依据安全策略实施的。安全策略的建立包括安全策略的制定、评估、执行等， 制定可行的安全策略取决于对网络系统的了解程度。 检测是动态响应和加强保护的依据也是强制落实网络安全策略的有力工 具。利用检测工具来动态检测和监控网络，发现新的威胁和漏洞，了解和评估系 统的安全状态，通过循环反馈来及时作出有效的响应。 响应在网络安全系统中占有重要地位。它根据检测结果采取进一步的防护措 第三章系统总体设计 施增强系统的安全性。 防护是通过一些静态的安全技术来实现，例如访问控制、加密、认证、防火 墙技术等防范措施。 p 2 d r 体现了防御的动态性和基于时间的特性，它强调了系统的动态性和管理 的持久性，以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。 3 1 2p d r r 模型 p d r r 模型是美国国防部提出的，又称“信息安全保障，它主要包括四部分： 保护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、反应( r e a c t i o n ) 和恢复( r e s t o r e ) 。 如图3 - 2 所示。 图3 - 2p d r r 安全模型 p d r r 模型把信息的安全保护作为基础，将保护视为动态过程，要用检测手段 来发现漏洞，及时更正；同时采用合理的响应措施对付各种入侵；在系统被入侵 后，要采用相应的措施将系统恢复到正常状态。 动态安全模型p d r r 的主要问题是：( 1 ) 侧重于技术，对诸如管理等重要因素 没有强调。p d r r 模型为每种安全产品定义检测、防护、响应策略，而不是针对 系统的安全防御目标制定安全策略。这导致各种安全组件各自为政，安全策略没 有彼此动态关联，无法建立协调一致的安全控制机制；( 2 ) 动态性不够好。p d r r 模型所有的动态建立在入侵检测的基础上，而且采用既定的响应策略，而不是根 据入侵的威胁状况进行动态响应1 2 2 1 。 3 1 3 动态综合防御模型 根据对p 2 d r 模型和p d r r 模型的讨论分析，可以得出动态综合防御模型需 要包含以下要素： ( 1 ) 策略：理解信息系统的安全需求，制定主动防御的安全策略。该策略说明 第三章系统总体设计 防护、检测、响应等的联动关系以及处理方法，是实施网络安全动态防御的指南； ( 2 ) 防御：保障信息即系统的保密性、完整性、可用性等。将相关安全技术分 类，建立防护技术体系； ( 3 ) 检测：动态检测入侵及安全威胁，理解信息系统当前的安全状态。检查系 统安全漏洞，实时检测入侵，评估入侵的威胁程度，以利响应； ( 4 ) 响应1 主动响应危及系统安全的入侵事件，防止危害蔓延和扩散；如果攻 击造成了一定后果，及时恢复，保障系统提供正常服务； ( 5 ) 反击：在必要的情况下，对攻击者进行跟踪追击或者入侵诱骗，获取攻击 者详细的资料以备研究或取证田j 3 2 系统功能结构 按照动态综合防御模型的基本要求，本文设计并实现了一个动态的网络入侵 防御系统，该系统的整体功能结构如图3 - 3 所示。 图3 - 3 系统功能结构 系统分为5 个部分：网络探测器，主机探测器，策略管理中心，控制台和联 动响应模块。现对它们分别介绍如下： 3 2 1 网络探测器 网络探测器部署在网络中进行监听，它以原始的网络数据包作为数据源。网 络探测器综合采用误用检测和异常检测的方法，对获取的网络数据包进行分析， 第三章系统总体设计 分析数据包的包头和其中有效负载内容，检测出其中的网络攻击，并对攻击进行 报警，将报警信息发送到策略管理中心进行处理。 网络探测器分为规则匹配探测器和异常检测探测器，其中，规则匹配探测器 采用基于误用的入侵检测方法，异常检测探测器采用基于异常的入侵检测方法。 规则匹配探测器主要包括5 个模块：嗅探器、预处理器、规则分析器、报警 模块和探测器节点控制模块。各模块功能如下： ( 1 ) 嗅探器：在网络中监听，抓取网络数据包，并传递给预处理器。 ( 2 ) 预处理器：对获取的网络数据包进行预处理，并传递给规则分析器。 ( 3 ) 规则分析器：根据规则库中的规则，对网络数据包及其中的数据进行分 析匹配，检测出其中的网络攻击，并转发给报警模块。 ( 4 ) 报警模块：按照既定的格式产生报警数据包，发送给策略管理中心。 ( 5 ) 探测器节点控制模块：接收策略管理中心发送的控制指令，对其进行解 析，并执行相应控制动作。 异常检测探测器包括抓包模块、异常检测模块和报警模块。各模块功能如下： ( 1 ) 抓包模块：在网络中监听，抓取网络数据包，并传递给异常检测模块。 ( 2 ) 异常检测模块：采用异常检测算法，对网络中的数据包进行异常检测， 检测出网络中的异常，并转发给报警模块。 ( 3 ) 报警模块：按照既定的格式产生报警数据包，发送给策略管理中心。 3 2 2 主机探测器 主机探测器部署在被保护主机上，它以主机的操作系统日志和各种应用程序 日志为数据源，对主机上的用户行为进行实时监控，对重要数据文件和系统进程 进行监控，以决定哪一个进程和用户参与了对操作系统的一次攻击。 主机探测器可分为数据收集模块、数据分析模块、输出报警模块以及接收和 响应控制指令模块。各模块功能如下： ( 1 ) 数据收集模块：从系统日志中收集相关数据，并传递给数据分析模块。 ( 2 ) 数据分析模块：根据规则库中的内容对数据收集模块传递的日志数据进 行分析匹配，对于检测到的攻击，传递到输出报警模块。 ( 3 ) 输出报警模块：根据接收的报警信息，产生报警数据包，发送到策略管 理中心。 ( 4 ) 接收和响应模块：接收策略管理中心发送的控制指令，对指令内容进行 解析，并执行相应的操作。 第三章系统总体设计 3 2 3 策略管理中心 策略管理中心是系统的核心控制模块，主要接收探测器发送的报警信息，将 其保存到数据库，同时根据报警信息的不同级别，提交联动响应模块，向防火墙 中添加规则，通过防火墙阻断网络攻击，同时对探测器和防火墙进行各种控制。 整个策略管理中心分为三个模块：探测器服务器、控制台服务器和联动响应 模块。三个模块之间采用进程间通信机制进行通信。各模块功能如下： ( 1 ) 探测器服务器：接收探测器发送的报警信息，将其发送给控制台服务器 模块，并接收控制台服务器模块的控制指令，对探测器进行控制。 ( 2 ) 控制台服务器：接收探测器发送的报警信息，查看其报警级别，根据其 报警级别向联动处理模块发送联动指令，向用户提供实时报警、统计分 析、控制探测器、控制墙联动等功能。 ( 3 ) 联动处理模块：接收控制台发送的联动指令，向指定的防火墙中添加或 删除相应规则，并可控制防火墙的状态。 3 2 4 控制台 控制台包括四个子模块：数据库控制、服务控制、入侵报警和身份认证。 ( 1 ) 数据库控制：控制是否向数据库中存取报警信息，以及执行相应操作。 ( 2 ) 服务控制：对探测器和防火墙的服务进行控制，控制探测器的状态及规 则配置，并对防火墙状态和联动模块进行配置。 ( 3 ) 入侵报警：对网络入侵进行实时报警。 ( 4 ) 身份认证：对用户的身份进行认证。 3 2 5 联动响应模块 联动响应模块实现与防火墙的通信。一方面向防火墙传递控制信息、添加 删除防火墙规则，另一方面向策略管理中心传送防火墙系统状态等信息。 联动响应模块主要分为6 个子模块：安全通信、信息转换、k e e p a li r e 、联 动控制、规则转换和防火墙操作模块。 联动响应模块采用分层结构设计，分为：通信层、核心层和防火墙接口层。 3 3 系统体系结构 系统采用分布式的体系结构，可以根据网络的实际情况进行灵活部署，以适 应不同的网络拓扑结构，同时具有良好的可扩展性。整体结构如图3 - 4 所示。 第三章系统总体设计 、竺! 竺 删歹椭麟块 二= i 二 二忑一i 规三潞烹懈瞎黪黪 主机探测器部署于被保护主机，网络探测器韶署于被保护同段，通常布署一 台规则匹配探测器和一台异常检授8 探测器，它们都在策略管理中心注册。策略管 理中心部署于专门的网段，每个网段的主机探测器和网络探铡器在策略管理中心 上注册登记后，当检测到攻击时向策略管理中心发送报警信息。联动响应模块部 署于具体的防火墙上，接收镱略管理中心的联动控制指令，对防火培进行控制。 3 4 系统的信息流 系统中各组件之间的信息流如图3 5 所示。 - 一t 图3 - 5 系统的信息流图 第三章系统总体设计 在图3 5 中，实箭头代表系统的数据流向，虚箭头代表系统的控制流向。因 此，可以从数据流和控制流两个角度对系统处理流程进行分析。 3 4 1 数据处理流程 整个系统的数据处理流程为： ( 1 ) 主机探测器接收主机数据源，获取主机日志信息后，从规则库中读取入 侵规则，根据主机规则对主机日志进行分析，当检测到攻击后，按照统 一的报警格式，向策略管理中心发送报警信息。 ( 2 ) 网络探测器接收网络数据源，获取网络数据包后，从规则库中读取网络 入侵规则，对数据包头及内容进行分析，对规则进行匹配。当检测到攻 击后，按照统一的报警格式，产生网络报警信息并发送到策略管理中心。 ( 3 ) 策略管理中心接收到来自主机探测器和网络探测器的报警信息后，对各 个探测器的报警信息进行关联分析，将报警信息传送给控制台，显示给 终端用户，同时将报警信息保存到数据库，以供用户查询统计。 ( 4 ) 策略管理中心根据报警信息的级别产生联动规则，发送给联动响应模块。 ( 5 ) 联动响应模块产生具体的防火墙规则，添加到其控制的具体防火墙中。 3 4 2 控制流程 系统的控制流程如下： ( 1 ) 用户通过控制台进行控制操作。 ( 2 ) 控制台向策略管理中心发送控制信息。 ( 3 ) 策略管理中心对控制信息进行解析，根据其控制对象转发给相对应模块。 如果是主机探测器控制信息，则转发给对应的主机探测器；如果是网络 探测器控制信息，则转发给对应的网络探测器；如果是防火墙控制信息， 则转发给联动响应模块。 ( 4 ) 对于主机探测器，策略管理中心向主机探测器发送主机探测器控制信息， 控制探测器开关，执行规则更新以及相应的响应操作。 ( 5 ) 对于网络探测器，策略管理中心向网络探测器发送网络探测器控制信息， 控制探测器开关，执行规则更新以及配置文件等操作。 ( 6 ) 对于联动响应模块，策略管理中心向联动响应模块发送联动控制指令， 控制防火墙开关，以及对防火墙规则进行添加、删除、更新等操作。 第三章系统总体设计 3 5 组件信息交换格式 系统面临的一个重要问题是如何解决多个组件之间的信息交换。为了使系统 具有良好的通用性和互操作性，需要为各个组件之间的信息交换定义统一的数据 格式，使之能对不同操作系统不同组件的交换信息进行统一描述。本文基于 i d w g 提出的入侵检测信息交换格式( i d m f ) 来对报警信息进行统一定义。 入侵检测消息交换格式( i d m e f ) 描述了表示入侵检测系统输出信息的数据 模型，并解释了使用此模型的基本原理。该数据模型用x m l 实现。 i d m e f 数据模型以面向对象的形式表示探测器传递给控制台的警报数据，设 计数据模型的目标是为警报提供确定的标准表达方式，并描述简单警报和复杂警 报之间的关系。i d m e f 消息的最高层类是i d m e f m e s s a g e ，每一种类型的消息 都是该类的子类。i d m e f 目前定义了两种类型的消息：a l e r t ( 警报) 和h e a r t b e a t ( 心 跳) ，这两种消息又分别包括各自的子类。i d m e f 包括的主要类有i d m e fm e s s a g e 类、a l e r t 类、h e a r t b e a t 类、c o r e 类、t i m e 类和s u p p o r t 类，这些类还可以再细 分为许多子类。 参照i d m e f 数据模型，系统定义了n m l 数据格式，将报警信息封装成数据 包的形式发送，每个包由消息头和消息体组成。报警消息格式如图3 - 6 所示。 1 8 1 6 2 4 nips c l a s s报警优先级空格空格 空格 探测器的i p 地址 创建时间( t i m e 探测器内部标记( a n a l y z e r _ i d ) 攻击源i p 地址： 攻击目标i p 地址 源端口号 目标端1 3 号 报警信息 图3 石报警消息格式 对消息格式中各个字段说明如下： 1 ) c l a s s ：le m a i l2h o n e y3 ：d d o s4 ：保留56 保留7 ：常规攻击8 ：保留 2 ) 报警优先级：1 5 3 ) 创建时间： - - t h e e l e m e n tp r o v i d e st h et i m ea tw h i c h t h ea l e r to r h e a r t b e a tw a ss e n tb yt h ea n a l y z e r 1 5 第三章系统总体设计 4 ) 探测器内部标识： 表明了警报事件的唯一标记 5 ) 攻击源i p ： - - t h e e l e m e n ti m p l e m e n t st h es o u r c ec l a s s i t c o n t a i n sa l lt h ei n f o r m a t i o na b o u tt h es o u r c eo fa l le v e n t a ne v e n tm a yh a v e m u l t i p l es o u r c e s ( e g ，i nt h ec a s eo fad i s t r i b u t e dd e n i a l o f - s e r v i c ea t t a c k ) 6 ) 攻击目的i p ： - - t h e e l e m e n tc o n t a i n sa l lt h ei n f o r m a t i o na b o u t t h et a r g e to fa ne v e n t a ne v e n tm a yh a v em u l t i p l et a r g e t s ( e g ，i nt h ec a s eo fa p o r ts w e e p ) 。 7 ) 攻击源端口： 8 ) 攻击目的端口： - - t h e e l e m e n tc o n t a i n sad e s t i n a t i o np o r t n u m b e r i ti sas u b e l e m e n to ft h e e l e m e n t 9 ) 报警信息：对于不同的探测器，报警信息有所不同，其中： e m a i l 报警信息： a ) e m a i l 发信人： b ) e m a i l 收信人： e m a i l 标题： d ) e m a i l 探测器端d d e t e c t p o f t ) d d o s 报警信息： a ) d d o s 攻击强度： b ) d d o s 危险等级： 其它报警信息： a ) 攻击类型：对攻击的简单描述 b ) 攻击者使用的用户名： 一t h e e l e m e n t i m p l e m e n t st h eu s e r c l a s s i ti d e n t i f i e su s e r so f n o d e s 3 6 关联规则分析 主机探测器和网络探测器的报警信息发送到策略管理中心后，统一由关联规 则分析模块进