（计算机应用技术专业论文）入侵防御中集中控制系统的研究及实现.pdf

北方工业大学硕士学位论文 摘要 无处不在的计算机网络连接了科研、文化、经济与国防的各个领域，影响到社会 的发展。信息共享和信息安全是一对矛盾。i n t e r n e t 的迅猛发展，标志着信息共享 的程度发展到了一个新的高度，随之而来的信息安全问题也日益突出。近年来，校园 网得到了迅速普及。许多校园网是从局域网发展来的，由于意识与资金方面的原因， 它们在安全方面往往没有太多的设置。本课题来源于北京市教委科研基金项目“校园 网安全保密器”( 编号；2 0 0 2 k j 0 2 4 ) ，目标是构建一个校园网安全防御体系。笔者主 要负责入侵防御中集中控制系统的研究及实现。 综合国内外的研究现状及水平，可以看出：防火墙和入侵检测系统是当前网络安 全领域较成熟的防护措施，它们各有利弊。近年，国外进行了关于i d s ( i n t r u s i o n d e t e c t i o ns y s t e m ：入侵检测系统) 和i p s ( i n t r u s i o np r e v e n t i o ns y s t e mo r i n t r u s i o np r o t e c t i o ns y s t e m ：入侵防御系统) 的讨论。g a r t n e r 在0 3 年6 月发布 的一个研究报告中称：建议用户使用i p s 来代替i d s 。 入侵防御系统是在防火墙和入侵检测系统的基础上发展而来的，现在尚处于研究 与实现的初级阶段。本文的研究内容包括如下几个方面： 1 )深入研究了网络安全中最重要的两种措施；防火墙和入侵检测系统，包 括其发展及概念、原理及分类等等，并在此基础上针对刚刚兴起的入侵 防御系统提出了本文的研究方向，即入侵防御中集中控制系统的研究及 实现。 2 )集中控制系统采用了基于w b m ( w e bb a s e dm a n a g e m e n t ) 的方式进行控制 和管理，分析了w b m 受到的安全威胁，采用一次性口令的身份认证技术 来保证系统的安全，研究并实现了两种一次性口令的算法。 3 )集中控制系统的各分布式引擎及s e r v e r 控制中心都是装载在l i n u x 系统 下的，引擎用c 语言实现了系统对底层的访问及控制，b s 结构的中间层 及上层采用j a v a 语言来实现，提供给用户一个友好的界面。 4 )研究了通用入侵检测框架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 及入侵检测的协议及标准，在此基础上提出了一种开放式入侵防御联动 模型o i p i m ( o p e ni n t r u s i o np r o t e c t i o ni n t e r a c t i o nm o d e l ) ，该研究 成果已公开发表论文。 关键词：入侵防御系统，一次性口令，入侵检测，防火墙，网络安全 1 一 ! ! 查三些盔兰堡主堂堡堡苎 t h er e s e a r c ha n dr e a l i z a t i o no f c o n c e n t r a t i n g c o n t r o l s y s t e m i ni n t r u s i o np r o t e c t i o n t h e u b i q u i t o u sc o m p u t e rn e t w o r k h a sc o n n e c t e de a c hf i e l do ft h es c i e n t i f i cr e s e a r c h ， c u l t u r e ，e c o n o m ya n dn a t i o n a ld e f e n c e ，i n f l u e n c e dt h ed e v e l o p m e n to f t h es o c i e t y i ti sa p a i ro fc o n t r a d i c t i o n st h a tt h ei n f o r m a t i o ns h a r i n ga n di n f o r m a t i o ns e c u r i t y t h er a p i d d e v e l o p m e n to f i n t e m e t , i n d i c a t e t h ed e g r e eo f t h ei n f o r m a t i o n s h a r i n gd e v e l o p s i n t oan e w h e i g h t , t h ef o l l o w i n gq u e s t i o no fi n f o r m a t i o ns e c u r i t yi so u t s t a n d i n gd a yb yd a yt o o i n r e c e n ty e a r s ，c a m p u sn e t w o r kh a sb e e n p o p u l a r i z e dr a p i d l y a l o to f c a m p u sn e t w o r kc a m e f r o ml a n b e c a u s eo fc o n s c i o u s n e s sa n d f u n d t h e y d on o to f t e nh a v et o om u c h e s t a b l i s h m e n ti nt h es e c u r i t y n l i ss u b j e c ts t e m sf r o m “t h es e c u r i t ya n ds e c r e td e v i c eo f c a m p u s n e t w o r k ”o ft h es c i e n t i f i cr e s e a r c hf u n d p r o j e c t o fm u n i c i p a le d u c a t i o n c o m m i s s i o no f b e i j i n g ( s e r i a ln u m b e r ：2 0 0 2 k j 0 2 4 ) ，t h eg o a li st os t r u c t u r eas a f e d e f e n c e s y s t e mo f c a m p u sn e t w o r k r e s e a r c ha n dr e a l i z a t i o no f t h ec o n c e n t r a t i n gc o n t r o ls y s t e mi n i n t r u s i o np r o t e c t i o ni st h a ti 锄r e s p o n s i b l e m a i n l y s y n t h e s i z ed o m e s t i c a n di n t e r n a t i o n a lr e s e a r c hc u r r e n ts i t u a t i o na n dl e v e l w ec a l lf i n d o u t ：f i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e ma r er i p es a f e g u a r dp r o c e d u r e si nn e t w o r k s e c u r i t yf i e l da tp r e s e n t ，t h e ye a c hh a v ep r o sa n dc o n s a na r g u m e n t a t i o nh a so c c u r r e d a b o u ti d s0 n t m s i o nd e t e c t i o ns y s t e m ) a n d i p s ( i n t r u s i o np r e v e n t i o ns y s t e m o ri n t r u s i o n p r o t e c t i o ns y s t e m ) a b r o a di nr e c e n ty e a r s g a r t n e rc l a i m si nar e s e m hp a p e rr e l e a s e di n j u n eo f 0 3 ：a d v i s eu s e r st ou s ei p st or e p l a c ei d s i p sd e v e l o p sf r o mt h ef i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e mt o 。n o wi ti ss t i l la t p r i m a r ys t a g es t u d y i n g a n dr e a l i z i n g t h er e s e a r c hc o n t e n t so ft h i st e x ti n c l u d et h e f o l l o w i n g s e v e r a l r e s p e c t s ： 1 ) f u r t h e ri n v e s t i g a t e dt w ok i n d so fm o s ti m p o r t a n tm e a s u r e si nn e t w o r ks e c u r i t y ： f i r e w a l la n di n t r u s i o nd e t e c t i o n s y s t e m ，i n c l u d i n g t h e i r s d e v e l o p m e n ta n d c o n c e p t ，p r i n c i p l e a n dc l a s s i f i c a t i o n ，e t c r e s e a r c hd i r e c t i o no ft h i st e x ti s p r o p o s e dt oi p st h a th a si u s t r i s e no nt h i sb a s i s ，r e s e a r c ha n dr e a l i z a t i o no f c o n c e n t r a t i n g c o n t r o ls y s t e mi ni n t r u s i o np r o t e c t i o n 2 1 c o n c e n t r a t i n gc o n t r o ls y s t e ma d o p t e dt h ew a yb a s e do nw b m ( w 曲b a s e d m a n a g e m e n t ) t o c o n t r o la n dm a n a g e ，s e c u r i t yt h r e a tt h a tw b m r e c e i v eh a db e e n a n a l y z e d ，a d o p ti d e n t i t y a u t h e n t i c a t i o nt e c h n o l o g yo fo n e - t i m ep a s s w o r dt o m a k es u r e s e c u r i t y o ft h e s y s t e m ，t w ok i n d s o fa l g o r i t h m so fo n e t i m e p a s s w o r dh a v eb e e ns t u d i e da n dr e a l i z e d 2 韭蔓三些奎堂堡主堂垡笙奎 3 )e v e r yd i s t r i b u t e de n g i n ea n ds e r v e rc o n t r o lc e n t e ro ft h ec o n c e n t m t i n gc o n t r o i s y s t e ma r el o a d e do nt h eo p e r a t i n gs y s t e mo fl i n u x ，t h ee n g i n e sr e a l i z e dt l l e v i s i ta n d c o n t r o l l i n g t ot h eb o t t o m l a y e ri ncl a n g u a g e , t h ei n t e r m e d i a t ea n d t o p l a y e ro f b ss t r u c t u r e sa d o p t i n gj a v al a n g t t a g et or e a l i z ea f r i e n d l yi n t e r f a c ef o r u s e r s 4 ) h a v es t u d i e dc i d f ( c o n u n o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) a n d t h e p r o t o c o l sa n ds t a n d a r d so fi n t r u s i o nd e t e c t i o n ，o n ek i n dm o d e lo f o i p i m ( o p e n i n t r u s i o np r o t e c t i o ni n t e r a c t i o nm o d e l ) h a sb e e n p r o p o s e d0 1 1t h i sb a s i s t i f f s r e s e a r c hr e s u l t sh a v e a l r e a d yp u b l i s h e dt h et h e s i s k e yw o r d s ：i n t r u s i o np r o t e c t i o ns y s t e m ，o n e - t i m ep a s s w o r d ，i n t r u s i o n d e t e c t i o n , f i r e w a l l ，n e t w o r ks e c u r i t y 3 一 北方工业大学 谚 7 5 2 7 5 3 一 过簋扭应旦蕉盔 学科 学科带头人( 签字)丝鱼 莎r 年r 月弓。口 学位论文任务书 研究生：张红红 篮星王捏 学院 盐簋扭廛届撞盎 专业 盐簋扭圆鳖! 旦终塞全 研究方向 论文题目： 厶攫随御主塞史整剑丕堑鲤班冠丑塞现 ( 2 0 0 4 年1 月1 5 日经院学术委员会批准) 选题的来源、意义和价值： 奎堡墅苤鳗王韭直直数量鲍型虹垂垒亟旦：撞圄圆塞全堡萱墨：i 耍目强量盏； 2 q 9 2 k i q ! 业! 堑壬圭! 堕羞随丛鬓麴1 量塑型丞缠垂西弛趟堡星垒亡丛盥4 1 啦捱蕉硅，融 佥煎耋盐能圭1 量随塑丕缝鲍挺垒诞生工。盘工夏五握厦垫埕瞳控国豳殴擅丑塞垒：直竖蔓 盟窭韭珏蕉二尘埕随徊丕筮! 堡匿量耋地睦霞耋：也丝金国睡筮匮盟翊远! 学术论文工作自 z q 丝 年l 月! 日起 至! ! ! ! 年上月! i 日止 呈交学位论文日期! ! 堕 年! 一月 ! i 日 答辩日期垫堕 年 月 ! ! 日靳( 擀：邀 独创性声明 本人声明所旱交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得韭直王些盍堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名；歌9 l 红签字日期：2 0 由年 月3 0 日 学位论文版权使用授权书 本学位论文作者完全了解韭友王些盘堂有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅。本人授权j e 直王些盍堂可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：数红虹 签字b 期：2 0 q 海，月3 0 b 学位论文作者毕业后去向 工作单位： 通讯地址： 导师鼢丑易i 乜 签字日期：d f 年月f 日 电话 邮编 北方工业大学硕士学位论文 1 引言 1 1 课题背景及来源 无处不在的计算机网络连接了科研、文化、经济与国防的各个领域，影响到社会 的发展。信息共享和信息安全是一对矛盾。i n t e r n e t 的迅猛发展，标志着信息共享 的程度发展到了一个新的高度，随之而来的信息安全问题也日益突出。目前网络经济 正在成为推动经济持续增长的重要因素之一，但是与网络发展速度相比，网络安全问 题却一直没有得到很好的解决。据f i n a n c i a lt i m e s 曾做过的统计，平均每2 0 秒钟 就有一个网络遭到入侵。通过偷窃密码、非法进入电话系统和i p 欺骗等手段，黑 客正在不断地偷窃企业内部宝贵的数据资料。据统计，面向计算机的犯罪现在每年增 长率为3 0 口1 ，造成这种情况的原因主要为网络的开放性和复杂性。网络的范围和 密度不断增大，而网络结构包含了星形、总线和环形3 种基本拓扑结构，予网异构纷 呈，十分复杂，给网络安全带来很多无法避免的问题。而全球信息化的迅猛发展，使 网络的信息安全和国家的信息主权成为越来越突出的重大战略问题，关系到国家的稳 定与发展。 近年来，校园网得到了迅速普及。许多校园网是从局域网发展来的，由于意识与 资金方面的原因，它们在安全方面往往没有太多的设置，包括一些高校在内，常常只 是在内部网与互联网之间放一个防火墙就了事了，甚至什么也不放，直接面对互联网， 这就使得黑客有机可乘。而黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发 生任何一次对整个网络都将是致命性的。 校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具 体来说，危害网络安全的主要威胁有口】：非授权访问，即对网络设备及信息资源进行 菲正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合 法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非 法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运 行：指改变系统的正常运行方法，减慢系统的响应时间等手段；恶意攻击，即通过网 络传播恶意j a v a 、a c t i v e x 等；线路窃听，即利用通信介质的电磁泄漏或搭线窃昕等 手段获取非法信息。 本课题来源于北京市教委科研基金项目“校园网安全保密器”( 编号：2 0 0 2 k j 0 2 4 ) ， 目标是构建一个校园网安全防御体系。笔者主要负责入侵防御中集中控制系统的研究 及实现。 北方工业大学硕士学位论文 1 2 相关技术研究现状 网络安全在中国已经发展得如火如荼，2 0 0 3 年1 0 月2 1 2 3 日，在北京展览馆 举办的“2 0 0 3 年第五届中国国际计算机信息系统安全展览会”上，我们可以清晰地 感受到这一点。巨大的潜在市场引来了众多的新加盟者，他们或是凭着新颖的产品设 计或是独特的技术，吸引着与会者的眼球。同时，市场的先行者们也正努力丰富其产 品线，向整体解决方案转变。 n e t s r e e n 公司一直以高性能防火墙著称，但是现在，其中国区总经理王平却告 诉记者h 1 ：n e t s c r e e n 不再是纯粹的防火墙产品供应商，现在它的定位是网络安全整 体方案提供商。展会上，n e t s c r e e n 发布了它具有里程碑效应的防火墙新品深层 监测防火墙( d e e pi n s p e c t i o nf i r e w a l l ) 。它结合了防火墙与i d s 的特点，采用了 全新的二合一技术i p s ( n e t s c r e e n 称之为i d p ) 。n e t s c r e e n 认为，在应用代理、 状态监测之后，深度监测技术将成为新一代防火墙的领军技术，它将给防火墙的发展 带来一场新的革命。 最近，国外进行了关于i d s ( i n t r u s i o n d e t e c t i o n s y s t e m ：入侵检测系统) 和i p s ( i n t r u s i o np r e v e n t i o ns y s t e mo ri n t r u s i o np r o t e c t i o ns y s t e m ：入侵防 御系统) 的讨论。由于企业用户不断引入各式各样功能强大的入侵检测系统( i d s ) 工具，网络入侵威胁的势头似乎被打压了下去。正是由于用户需求的不断提升，网络 入侵检测产品不断翻新，入侵检测市场战役也如火如荼。不过在红火的背后。一些研 究团体却提出了相反的看法，认为到2 0 0 5 年之前，网络入侵挑战和入侵检测产品市 场将呈现衰退的局面。g a r t n e r 在0 3 年6 月发布的一个研究报告中称陆1 ：i d s 给网络 带来的安全是不够的，有时会增加管理员的困扰，建议用户使用入侵防御系统( i p s ) 来代替i d s 。所以说，i d s 向i p s 的发展，就是一个寻求在准确检测攻击基础上防御 攻击的过程，是i d s 功能由单纯的入侵检测到审计分析结合访问控制的扩展。从早期 的主动入侵检测系统到最近的入侵防御系统，是一个不断完善的解决客户需求的过 程。 1 3 研究内容及意义 根据上述国内外的研究现状及水平，可以看出：仅仅检测到入侵是不够的，还需 要对检测到的入侵进行分析和响应，入侵检测系统加上入侵分析响应系统就成为入侵 防御系统( i p s ) 。如果要实现两个系统的功能，不能只把两个系统进行简单地物理迭 加，必须对其进行集中控制，实现两个系统的交互通信。这也就是本课题所要研究的 内容。 入侵防御系统是在防火墙和入侵检测系统的基础上发展而来的，现在尚处于研究 一2 北方- 1 ：业大学硕士学位论文 与实现的初级阶段。本文在深入研究了防火墙和入侵检测系统原理的基础上，尝试采 用b s 结构的集中控制系统把二者结合起来。总的说来，本文的研究内容包括如下几 个方面： 1 ) 入研究了网络安全中最重要的两种措施：防火墙和入侵检测系统，包括其发 展及概念、原理及分类等等，并在此基础上提出了本文的研究方向，即入侵 防御中集中控制系统的研究及实现。 2 ) 集中控制系统采用了基于w b m ( w e bb a s e dm a n a g e m e n t ) 的方式进行控制和 管理，分析了w b m 受到的安全威胁，采用一次性口令的身份认证技术来保证 系统的安全，研究并实现了两种一次性口令的算法。 3 ) 集中控制系统的各分布式引擎及处理中心都是装载在l i n u x 系统下的，引擎 用c 语言实现了系统对底层的访问及控制，b s 结构的中间层及上面采用j a v a 语言来实现，提供给用户一个友好的界面。 4 ) 研究了通用入侵检测框架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 及入侵检测的协议及标准，在此基础上提出了一种开放式入侵防御联动模型 o i p i m ( o p e ni n t r u s i o np r o t e c t i o ni n t e r a c t i o nm o d e l ) 。 安全是“相对”的，而不是“绝对”的，为了更大程度地保障校园网的相对安全， 我们有必要研究并开发一个入侵防御系统，这既是我们的需求，也符合国际发展的潮 流。 1 4 本文的组织结构 本文的内容安排如下： 第一章引言：首先对课题的研究背景及来源进行说明，然后介绍入侵防御的国 内外研究现状，阐述了本课题的研究内容及意义，最后说明了论文的组织结构。 第二章网络安全相关理论介绍：深入研究了网络安全中最重要的两种措旌：防 火墙和入侵检测系统，包括其发展及概念、原理及分类等等，并在此基础上针对刚剐 兴起的入侵防御系统提出了本文的研究方向，即入侵防御中集中控制系统的研究及实 现。 第三章入侵防御之集中控制系统：首先给出了入侵防御中集中控制系统的总体 概述，采用b s 多层结构，整个系统包括分布式入侵防御引擎和s e r v e r 控制中心两大 部分的研发。之后论述了入侵防御引擎的两种构架，s e r v e r 控制中心的总体设计，最 后详述了j d k + t o m c a t + a p a c h e + m y s q l 开发环境的构建。 第四章s e r v e r 控制中心的研发：详细论述了s e r v e r 控制中心的研发，采用嵌 入式w b m 进行控制管理，分析了w b m 受到的安全威胁，旌用一次性e l 令的身份认 一3 北方工业大学硕士学位论文 证技术来保证控制中心的安全性，研究并实现了两种一次性口令的算法，最后给出了 实现s e r v e r 控制中心的j a v a 类。 第五章入侵防御引擎的研发：详细论述了入侵防御引擎的研发过程，主要分为 两大部分：一是系统性能模块，二是网络监测模块。系统性能模块采集的数据主要是 c p u 及内存，这是基于伪文件系统p r o c 编程的；网络监测模块又包括数据包的捕获 及过滤模块和协议解析模块，其中给出了设计思路、数据结构及模块的设计实现。 第六章开放式入侵防御联动模型的研究：研究了通用入侵检测框架c i d f ( c o o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 及入侵检铡的协议及标准，在此基础上 提出了一种开放式入侵防御联动模型o i p i m ( o p e ni n t r u s i o np r o t e c t i o n i n t e r a c t i o nm o d e l ) 。 第七章测试：对整个系统进行测试，首先给出了测试环境，然后分别对s e r v e r 控制中心及分布式入侵防御引擎进行了测试。 第八章结论：总结全文，对自己所做的研究成果进行综述，并对迸一步的工作 做出了展望。 北方工业大学硕士学位论文 2 网络安全相关理论介绍 2 1 防火墙 防火墙是一种网络安全防卫的典型实例。通常，将防火墙安装在被保护的内部网 和外部网i n t e r n e t 之间的连接点上，所有进出内部网络的活动都必须经过防火墙，这 样防火墙就可以在此检查这些活动，实施安全防范措施。防火墙也可以被认为是一种 访问控制机制，决定哪些内部服务允许外部访问，哪些不允许，反之亦然。从逻辑上 讲，防火墙是一个分离器，是一个限制器，也是一个分析器。 2 1 1 防火墙的概念和功能 网络防火墙是一种用来加强网络之间访问控制的特殊网络互连设备，比如路由 器、网关等。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略 对其进行检查，来决定网络之间的通信是否被允许，它能有效地控制内部网络与外部 网络之间的访问及数据传送，从而达到保护内部网络的信息、不受外部非授权用户的 访问和过滤不良信息的目的3 。 图2 - 1 所示是一个防火墙模型。 o s i r m 防火墙 应用层网关级 表不层 会话层 传输层电路级 网络层路由器级 数据链路层网桥级 物理层中继器级 + 一防火墙系统+ 图2 - 1 防火墙模型 防火墙从实现上主要分为软件防火墙和硬件防火墙。软件防火墙基于现有的网络 操作系统，一般选用比较稳定的u n i x 操作系统，其特点是基于的操作系统内核比较 稳定高效，不易于遭受基于下三层的攻击，并能充分利用操作系统的功能，安全功能 比较完善。不足是如果基于的操作系统有问题，会影响防火墙本身的安全性，并需要 另外购置安装操作系统。硬件防火墙一般基于自己特定开发的操作系统或经改造的现 有的操作系统并运行于特定的硬件平台，可以摒除原操作系统中对于安全不必要的部 分，整体性能比较高，源代码的保密对于安全也有一定的增强作用。 设置防火墙的主要目的是保护内部网络，限制来自外部网络的访问，防火墙的功 5 一 ! ! 互三兰竺奎兰堡圭兰堡笙茎 能主要有以下内容： ( 1 ) 保护内部网络存在的某些脆弱服务； ( 2 ) 控制外部网络对内部网络的访问； ( 3 ) 便于内部网络安全的集中管理； ( 4 ) 隐藏内部网络的敏感信息，强化 内部网络安全； ( 5 ) 防火墙可以提供日志记录； ( 6 ) 执行网络安全政策。”8 简而言之，防火墙的功能包括：过滤信息，管理进程，封堵服务，审计监测。 2 1 2 防火墙的分类及原理 i n t e r n e t 采用t c p i p 协议，根据防火墙设置的不同网络层次防火墙可以分为三 类：包过滤型防火墙( p a c k e tf i l t e r i n gf i r e w a l l ) 、电路网关型防火墙( c i r c u i t g a t e w a yf i r e w a l l ) 和应用网关型防火墙( a p p l i c a t i o ng a t e w a yf i r e w a l l ) 。 2 1 2 1 包过滤型防火墙 包过滤( p a c k e tf i l t e r i n g ) 技术是在网络层对数据包进行分析、选择，选择的依 据是系统内设置的过滤逻辑。称为访闯控制表( a c c e s sc o n t r o lt a b l e ) 。通过检查数 据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的 组合来确定是否允许该数据包通过。 2 1 2 2 电路级网关型防火墙 电路级网关( c i r c u i tg a t e w a y ) 又称线路级网关，它工作在会话层。它在两个主 机首次建立t c p 连接时创立个电子屏障。它作为服务器接收外来请求，转发请求； 与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连 接时的握手信息，如s y n , a c k 和序列数据等是否合乎逻辑，判定该会话请求是否合 法。一旦会话连接有效后网关仅复制、传递数据，而不进行过滤。 2 1 2 3 应用层网关型防火墙 应用层网关( a p p l i c a t i o ng a t e w a y s ) 是在网络的应用层上实现协议过滤和转发 功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑规则，并在过滤的同 时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在 专用工作站系统上。 应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻 辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立 直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大 大增加了非法访问和攻击的机会。“” 北方工业大学硕士学位论文 针对如上缺点，出现了代理服务技术，它能够将所有跨越防火墙的网络通信链路 分为两段。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来 实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机 系统的作用。另外代理服务器也对过往的数据包进行分析、记录、形成报告，当发现 攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。其应用层代理服务数据的控 制及传输过程如图2 2 所示。“”1 八八八 理 蟊薰i 请求 客 冀) i 客户) 7 户 、 代 应答 理 。防必氘理u 图2 - 2 代理服务防火墙应用层数据的控制及传输 应用层网关和代理服务防火墙大多基于主机，价格比较贵，但安全性高，其不足 是要为每种应用提供专门的代理服务程序，安装使用也比数据包过滤防火墙复杂。 2 1 , 3 防火墙的拓扑结构及模型 2 1 3 1 双宿主网关 主机系统作为网关，其中安装两块网络接口分别连接到i n t e r n e t 和i n t r a n e t 。 在该双宿主网关( d u a lh o m e dg a t e w a y ) 中，从包过滤到应用级的代理服务、监视服务 都可以用来实现系统的安全策略。对双宿主网关的最大威胁是直接登录到该主机后实 施攻击，因此双宿主网关对不可信任的外部主机的登蒙应进行严格的身份验证。“” 2 1 ，3 2 屏蔽主机网关 屏蔽网关( s c r e e n e dg a t e w a y ) 防火墙仅提供连接到内部网上的主机服务，通过使 用隔离路由来实现，在配置时需要一个带分组过滤功能的路由器和一台运行代理服务 的堡垒主机。般情况下，堡垒主机设置在被保护网络中，路由器设置在堡垒主机与 i n t e r n e t 之间，这样堡垒主机是被保护网络中唯一可到达i n t e r n e t 的系统，通常路 由器封锁了堡垒主机特定的端口，而只允许一定数量的通信业务。 2 1 3 3 屏蔽子网网关 屏蔽予网网关( s c r e e n e ds u b n e tg a t e w a y ) 防火墙是在内部网络和外部网络之间 建立一个被隔离的子网，用两台分组过滤路由器将这子网分别与内部网络和外部网 一7 一 北方工业大学硕士学位论文 络分开，从而进一步实现屏蔽主机的安全性。一般情况下，采用分组过滤路由器防火 墙来孤立这个子网。这样，受保护网络和i n t e r n e t 都可以访问子网主机，但跨过子 网的相互直接访问是被严格禁止的。“”在最简单的屏蔽子网结构中有两个屏蔽路由 器，通常，周边子网中的堡垒主机用来提供交互式的终端会晤，同时兼作应用级网关。 2 1 4 防火墙的局限陛 防火墙本身也有一些局限性。主要表现在： ( 1 ) i n t e r n e t 防火墙无法防范通过防火墙以外的其它途径的攻击。例如，如果允 许从受保护的网络内部向外拨号，内部网络上的用户就可以直接通过s l i p 或p p p 连 接进入i n t e r n e t 。有些用户可能会对需要附加认证的代理服务器感至0 厌烦，因而向 i s p 购买直接的s l i p 或p p p 连接，从而试图绕过由精心构造的防火墙系统提供的安 全系统，这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型的 连接对于一个有全面的安全保护系统来说是绝对不允许的。 ( 2 ) i n t e r n e t 防火墙很难防范来自内部交节者和不经心的用户们带来的威胁。防 火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或p c m c i a 卡上， 并将其带出公司。防火墙也不能防范攻击者伪装成超级用户或诈称新雇员，劝说没有 防范心理的用户公开口令或授予其临时的网络访问权限，从而达到入侵攻击的目的。 ( 3 ) i n t e r n e t 防火墙也不能防止传送己感染病毒的软件或文件。因为病毒的类型 太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同，所以不能期望 i n t e r n e t 防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别担心的机 构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。 ( 4 ) 防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的 数据被邮寄或拷贝到i n t e r n e t 主机上，但一旦执行就形成攻击。例如，一个数据型 攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权a 在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少 数据驱动型攻击的威胁。 ( 5 ) 由于防火墙受到测试和验证等各方面的限制，因此很难证明防火墙的防护能 力及失效状态能否满足安全政策的需要。 2 2 入侵 佥；则系统 2 2 1 入侵的概述 入侵的定义为“：任何试图破坏信息系统的完整性、保密性或有效性的活动的集 合。相对传统的对信息系统的破坏手段，网络入侵具有以下特点： 1 、没有地域和时间的限制，跨越国界的攻击就同在现场一样方便： 一8 一 北方工业大学硕士学位论文 2 、通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强； 3 、入侵手段更加隐蔽和复杂。 很多人以为要侵袭一个系统需要很高的技术水平，其实这是一种错误的认识。的 确，有一些破坏者是技术天才，但是不可能到处都有这样的高手。事实上，关于如留 入侵w i n d o w sn t 系统、网络服务器及u n i x 系统的指导在互联网上随处可见。甚至还 有一些网站提供方便易用、可下载的自动攻击工具。这些工具方便易懂，而且到处都 能找到。 2 2 2 入侵检测系统的概念形成和发展 上个世纪7 0 年代到8 0 年代，随着计算机技术的普及应用，尤其是军队和政府对 计算技术的需求量增大，人们发现计算机安全成了当务之急。需要解决的问题是确保 信息系统中硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。技 术发展的重点转移到分组密码和可信计算机系统评价技术。涉及的安全性有：完整性 ( i n t e g r i t y ) ，包括操作系统的正确性和可靠性，硬件和软件的逻辑完整性，数据结 构和当前值的一致性，即防止信息被未经授权的篡改，保证真实的信息从真实的信源 无失真地到达真实的信宿；可用性( a v a i l a b i l i t y ) ，保证信息及信息系统确实为授权 使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务或为敌手所用 却对授权者拒用。此时，对计算机安全的威胁扩展到恶意代码( 病毒) 、非法访问、脆 弱口令、黑客等。 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为c o m p u t e r s e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监视) 的技 术报告，第一次详细阐述了入侵检测的概念“”。他提出了一种对计算机系统风险和威 胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审 计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i i c s l ( s r i 公司计 算机科学实验室) 的p e t e rn e u m a n n 研究出了一个实时入侵检测系统模型，取名为 i d e s ( 入侵检测专家系统) i b o 该模型由六个部分组成：主体、对象、审计记录、轮 廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及 入侵类型，为构建入侵检测系统提供了一个通用的框架。1 9 8 8 年，s r i i c s l 的t e r e s a l u n t 等人改进了d e n n i n g 的入侵检测模型，并开发出了一个i d e s “”。该系统包括一 个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析 检测。 一9 一 北方工业大学硕士学位论文 2 - 2 3 入侵检测系统的基本结构 图2 3 给出了一个通用的入侵检测系统的结构。 圈2 3 通用入侵检测系统结构 图2 3 只是i d s 的一个基本结构，如图中所示，数据的来源可以是主机上的信息， 也可以是网络上的数据信息、流量变化等，这些都可以作为数据源。数据提取模块获 得数据之后，需要对数据进行简单的处理，如简单的过滤、数据格式的标准化等，然 后将经过处理的数据提交给数据分析模块。 数据分析模块对数据进行深入分析，发现攻击并根据分析的结果产生事件，传递 给结果处理模块。数据分析模块可以是简单的计数。也可以是一个复杂的专家系统。 结果处理模块用于告警与反应，可以看作反应( r e s p o n s e ) 的一部分。 2 2 4 入侵检测系统分类口1 1 1 、根据数据来源不同，可以分为： 基于主机的入侵检测系统：基于主机的入侵检测产品( h i d s ) 通常是安装在被 重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进 行智能分析和判断。如果其中主体活动十分可疑，入侵检测系统就会采取相 应措施。 基于网络的入侵检测系统：基于网络的入侵检测产品( n i d s ) 放置在比较重要 的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据 包进行特征分析。如果数据包是入侵数据包或比较可疑，则入侵检测系统就 会发出警报甚至直接切断网络连接。 混合型：综合了以上两种方式的优点而形成的一种入侵检测系统。 2 、根据分析方法不同，可以分为： 异常检测模型( a b n o r m a ld e t e c t i o nm o d e l ) ：首先总结正常操作应该具有的 特征，在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离 正常统计学意义上的操作模式，就进行报警a 误用检测模型( m i s u s ed e t e c t i o nm o d e l ) ：先收集非正常操作的特征，建立 一1 0 一 北方工业大学硕士学位论文 相关的特征库：在后续的检测过程中，将收集到的数据与特征库中的特征代 码进行比较，以检测出入侵。 3 、根据数据分