（计算机应用技术专业论文）ids管理系统的研究与实现.pdf

摘要 摘要 入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火 墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的 安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基础结 构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能 对网络进行检测。它可以防止或减轻上述的网络威胁。 本文首先介绍了i d s 的相关背景知识以及i d s 管理系统的基本情况。接着介 绍了旧有i d s 管理系统的发展与局限性，然后引入了基于i p v 6 的i d s 管理系统。 针对i p v 6 网络的特征，i d s 系统的功能，结构体系，划分管理系统管理模块， 建立管理系统框架结构。针对需要持久化的数据对象，建立数据库，建立数据管 理层，提供上层i d s 管理与底层数据存储之间的接口。在新的i d s 管理系统中， 提供网络流量特征分析功能。针对现有的常见网络流量分析算法，提供代码实现。 同时，提出对现有算法的改进，提高流量特征分析性能，同时适应新的网络状况。 作者在本论文过程中所做的主要工作如下： 1 对i p v 6 和i d s 的学习和研究： 2 对旧有i d s 管理系统进行了研究和分析； 3 将i d s 管理系统核心部分进行改造，用面向对象的方式描述整个系统； 4 在改造后的系统中加入网络流量特征分析模块。 关键字：i d s 、i p v 6 、i d s 管理系统、网络流量 a b s l r a e t i n t r u s i o n d e t e c t i o ni san e t w o r ks e c u r i t yt e c h n o l o g yw h i c hp r o t e c t e do n e s e l f f r o m a t t a c k a st h er e a s o n a b l ec o m p l e m e n t a r i t i e s ，i n t r u s i o nd e t e c t i o nt e c h n o l o g yc a r lh e l pt o d e a lw i t hn e t w o r ka t t a c k a tt h es a n l et i m e ，t h ea d m i n i s t r a t i o no ft h e s y s t e m a d m i n i s t r a t o rh a sb e e ne x t e n d e d ；i n t e g r a l i t yo ft h ei n f o r m a t i o ni n 台a s t r u c t u r eh a sb e e n i m p r o v e d i n f o r m a t i o na l eg a t h e r e df r o mc e r t a i nl o c a t i o n so ft h ec o m p u t e rn e t w o r k s ， a n da n a l y z e d i n t r u s i o nd e t e c t i o ni sd e e m e dt ot h es e c o n dg u a r do ft h en e t w o r kb e h i n d f i r e w a l l t h en e t w o r kc a nb ed e t e c t i n gw i t h o u tr e d u c i n gn e t w o r kp e r f o r m a n c e t h i st h e s i sc o m m e n c e df r o mi d sr e l a t e d b a c k g r o u n dt e c h n i q u ea n di d s m a n a g e m e n ts y s t e mb a s i ct e c h n i q u e a f t e rt h a tt h ei m p r o v e m e n ta n dr e s t r i c t i o no ft h e p r e c e d e n t o fi d sm a n a g e m e n t s y s t e m i si n t r o d u c e d t h e ni p v 6b a s e di d s m a n a g e m e n ts y s t e mi sb r o u g h to u t a c c o r d i n gt oi p v 6n e t w o r kf e a t u r e s ，i d ss y s t e mf u n c t i o n s ，s y s t e mf r a m e w o r k ， t h em o d u l e so fm a n a g e m e n ts y s t e ma r ed i v i d e d , t h ef r a m e w o r ka r ee s t a b l i s h e d d a t a b a s ea n dt h ed a t am a n a g e m e n tl a y e ra r ee s t a b l i s h e da l s ot o p r o v i d ed a t aa n d o p e r a t i o ni n t e r f a c e sf o rd a t as e r i a l i z a b l e i nt h en e wm a n a g e m e n ts y s t e m ，n e t w o r kf l u x a n a l y s i si sp r o v i d e dw i t ha l g o r i t h mi m p l e m e n t a t i o n m e a n w h i l e ，i m p r o v e m e n to ft h e a l g o r i t h mi sb r o u g h to u tt oi m p r o v et h ep e r f o r m a n c eo ft h ea n a l y s i sa n da d a p tv a r i o u s n e t w o r ke n v i r o n m e n t s m a j o rw o r k so f t h ea u t h o r ： 1 - s t u d yo f l p v 6a n d s ： 2 s t u d ya n da n a l y s i so f t h ep r e c e d e n ti d sm a n a g e m e n ts y s t e m ； 3 d e s c r i b et h es y s t e mw i t ho b j e c t - o r i e n t e dp a t t e m ； 4 s t u d ya n di m p l e m e n t a t i o no f n e t w o r kf l u xa n a l y s i s 。 k e y w o r d ：i d s ，i p v 6 ，i d sm a n a g e m e n ts y s t e m ，n e t w o r kf l u x i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：李丕耀日期：加6 年( 月6 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 日期：跏g 年f 月j 曰 第一章概述 1 1项目背景 第一章概述 入侵监测系统i d s 与系统扫描器s y s t e ms c a 肌e r 不同。系统扫描器是根据攻击特 征数据库来扫描系统漏洞，它更关注配置上的漏洞而不是当前进出你的主机的流 量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。i d s 扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机 网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞， 而1 d s 监视和记录网络流量。如果在同一台主机上运行i d s 和扫描器的话，配置合 理的i d s 会发出许多报警。 本课题来源于国家计算机网络与信息安全管理中心项目，研究基于i p v 6 环境下 新型的入侵检测技术的i d s 的管理系统，特别重视能监控i p v 4 i p v 6 共存网络环境下 的网络流量，进行流量特征分析，为入侵检测提供依据。 主要研究内容包括：同时支持i p v 4 i p v 6 协议的入侵检测系统的管理框架；网 络流量特征分析技术。 本课题i p v 6 的i d s 管理系统拟采用基于b s 模式的w e bs e r v e r 。w 曲服务器系统 采用的a p a c h eh t t ps e r v e r 。数据存储采用m y s q l 数据库系统。 对于 d s 管理系统的管理要求，主要是管理i d s 的各种资源，并实现流量特征 分析功能，给用户提供友好的图形化操作界面。 1 2 国内外发展概况 随着网络技术的快速发展，i p v 6 概念开始引入i d s 系统，未来i p v 6 网络将成为 i d s 的监控对象。现有的互联网是在i p v 4 协议的基础上运行。i p v 6 是下一版本的互 联网协议，它的提出最初是因为随着互联网的迅速发展，i p v 4 定义的有限地址空间 将被耗尽，地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间， 拟通过i p v 6 重新定义地址空间。d v 4 采用3 2 位地址长度，只有大约4 3 亿个地址，估 计在2 0 0 5 2 0 1 0 年闯将被分配完毕，而i p v 6 采用t 2 8 位地址长度，几乎可以不受限 制地提供地址。按保守方法估算i p v 6 实际可分配的地址，整个地球每平方米面积上 可分配1 0 0 0 多个地址。在i p v 6 的设计过程中除了一劳永逸地解决地址短缺问题以 电子科技大学硕士学位论文 外，还考虑了在i p v 4 中解决不好的题。i p v 6 的主要优势体现在以下几方面：扩大地 址空间、提高网络的整体吞吐量、改善服务质量( q o s ) 、安全性有更好的保证、支 持即插即用和移动性、更好实现多播功能。 随着入侵检测系统的发展，如何合理并且高效的配置，管理入侵检测系统， 成为了1 d s 发展过程中的一个热门问题。同时，在管理系统中增加了网络流量特征 分析功能，使i d s 管理系统更具实用性。 i d s 管理系统的框架结构决定了系统的性能与效率。效率关系至i j l d s 系统的实 时性，在入侵检测上，实时性直接影响到了d s 系统发挥的作用。因此如何让管理 系统尽可能的高效是我们需要长期关注的问题。网络流量状态是入侵检测的一个 重要参考面，因此对网络流量准确建模也是当前入侵检测上的一个热门问题。同 时，作为管理系统，需要提供给管理员友好的界面，直观的反映入侵信息。 随着i d s 管理系统的兴起，目前在国际上，该方面的项目以及研究多为开源项 目。开源项目的性质，促进了其快速的发展。同时，这些项目为我们的工作提供 了基础。 1 3本人主要工作 作者首先对基于口v 6 的i d s 系统所涉及到的安全知识和i p v 6 协议进行简要介 绍，并在此基础上提出一个完整可行的i d s 管理系统模型。并在a p a c h eh t t ps e r v e r 上实现这一模型，对具体的实现步骤和细节进行详细描述。以一个新产品作为项 目成果，以充分体现基于i p v 6 的i d s 管理系统的特点和功能。 作者在项目中的主要工作是针对i d s 系统的特征，设计管理系统需要管理的资 源对象，设计管理系统整体框架，设计管理系统操作接口，并完成代码实现。在 后期的完善阶段，针对当前管理系统框架的结构，进行系统优化。提高管理框架 的健壮性，提高各管理模块的独立性，从而提高系统的可扩展性。 根据网络流量特征，建立网络流量的数学模型，根据数学模型，建立网络流 量特征分析模块的整体框架。根据系统整体框架划分各细节模块，并完成代码实 现。分析网络流量特征分析的数学模型，通过的网络流量特征分析模型的算法改 进，提高网络流量曲线生成效率，降低延迟，达到优化模块性能的目的。 2 第一章概述 1 4论文章节安排 第一章，引言。主要介绍课题的来源和背景，作者的主要工作，文章的章节 安排等。 第二章，d v 6i d s 管理系统概述。首先介绍了i d s 相关的理论知识；然后介绍 了i p v 6 的基本知识；接下来概要描述了在i d s 管理系统的功能。 第三章，n e t n u i v i e n 体系结构和设计目标。本章在第二章的基础之上，主要 是针对i p v 6i d s 管理系- 统n e t n u m e n 的总体结构进行详细介绍，将系统分为了管 理模块和流量特征分析模块，最后明确了n e t n u m b n 的主要功能。 第四章，n e t n u i v l e n 需求分析。针对n e 耵n 舡! n 的功能和模块划分进行项 目需求分析。 第五章，n e t n l r m e n 设计与实现。在需求分析的基础上，按照分期分阶段分 模块的原则，实现了n e t n u m e n 的管理模块和流量特征分析模块以及日志管理模 块的详细设计与代码实现。 第六章，n e t n u i v i e n 系统分析。根据当前n e i 玎讧e n 系统的整体结构与模 块功能，以及网络流量特征分析模块的算法，对系统进行功能与性能的分析，阐 述系统存在的不足，提出系统未来的发展思路，作为未来工作的内容。 述系统存在的不足，提出系统未来的发展思路，作为未来工作的内容。 电子科技大学硕士学位论文 2 1本章主要工作 第二章i p v 6 管理系统概述 本章以i d s 管理系统以及i p v 6 协议为主线，介绍何为m s 系统以及i d s 管理系 统。简述i p v 6 与i d s 的关系。同时给出论文中将要用到的名词定义和约定。 2 2引言 近年来，随着全球网络化热潮的兴起，网络安全作为一个无法回避的问题呈 现在人们面前。传统上，一般采用防火墙作为安全的第一道防线。而随着攻击者 知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法 满足对安全高度敏感的需要，网络的防卫必须采用一种纵深的、多样的手段。与 此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断 升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成 安全的重大隐患。在这种环境下，入侵检测系统成为了安全市场上新的热点，不 仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作 用。万事万物总是相辅相成的，随着i d s 的快速发展，如何合理，高效的配置管理 i d s 系统，如何更加直观快捷地反映i d s 系统的探测结果，成为了另一个热门问题。 在这种情况下i d s 管理系统应运而生。 本文中的“入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括发起攻击的人( 如恶 意的黑客) 取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访 问( d e n i a lo fs e r v i c e ) 等对计算机系统造成危害的行为。 2 3i d s 概述 2 3 1id s 的定义 入侵检测( i n t r u s i o n d e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。它通过 对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现 网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件 与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。与其他安 4 第二章口v 6 管理系统概述 全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行 分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作， 保证网络安全的运行。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员 的安全管理能力( 包括安全审计、监视、进攻识别和响应) ，提高了信息安全基础 结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息， 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防 火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从 而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务 来实现： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别反映己知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统 ( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供 指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易 地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需 求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络 连接、记录事件和报警等。 2 3 2 l d s 的功能 具体说来，入侵检测系统的主要功能如下所述， 1 信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状 态和行为。而且，需要在计算机网络系统中的若干不同关键点( 不同网段和不同 主机) 收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就 是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可 疑行为或入侵的最好标识。 5 电子科技大学硕士学位论文 当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有 必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软 件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客 对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如， u n i x 系统的p s 指令可以被替换为一个不显示侵入进程的指令，或者使编辑器被替 换成一个读取不同于指定文件的文件( 黑客隐藏了初试文件并用另一版本代替) 。 这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应 具有相当强的坚固性，防止被篡改而收集到错误的信息。 入侵检测利用的信息一般来自以下四个方面： a 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日 志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和 不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过 查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应 程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用 户活动”类型的日志，就包含登录、用户d 改变、用户对文件的访问、授权和认证 信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登 录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 b 目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私 有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变( 包括 修改、创建和删除) ，特别是那些正常情况下限制访问的，很可能就是种入侵产 生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件， 同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系 统日志文件。 c 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特 定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来 实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系 统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现， 操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、 6 第二章i p v 6 管理系统概述 设备和其它进程，以及与网络间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会 将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方 式操作。 d 物理形式的入侵信息 这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的 未授权访问。黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访 问内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用 户加上去的不安全( 未授权) 设备，然后利用这些设备访问网络。例如，用户在 家里可能安装m o d c m 以访问远程办公室，与此同时黑客正在利用自动工具来识别 在公共电话线上的m o d e m ，如果一拨号访问流量经过了这些自动工具，那么这一 拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网， 从而越过了内部网络原有的防护措施，然后捕获网络流量，进而攻击其它系统， 并偷取敏感的私有信息等等。 2 信号分析 对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息， 一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两 种方法用于实时的入侵检测，而完整性分析则用于事后分析。 1 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行 比较，从而发现违背安全策略的行为。该过程可以很简单( 如通过字符串匹配以 寻找一个简单的条目或指令) ，也可以很复杂( 如利用正规的数学表达式来表示安 全状态的变化) 。一般来讲，一种进攻模式可以用一个过程( 如执行一条指令) 或 一个输出( 如获得权限) 来表示。该方法的一大优点是只需收集相关的数据集合， 显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测 准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断 出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 2 统计分析 统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建一个统 计描述，统计正常使用时的些测量属性( 如访问次数、操作失败次数和延时等) 。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值 7 电子科技大学硕士学位论文 范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因 为它发现一个在晚八点至早六点不登录的帐号却在凌晨两点试图登录。其优点是 可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户 正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的 和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 3 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的 内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性 分析利用强有力的加密机制，称为消息摘要函数( 例如m d s ，它能识别哪怕是微 小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成 功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处 理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产 品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块， 对网络系统进行全面地扫描检查。 综上，入侵检测系统的主要功能有： 监督并分析用户和系统的活动 检查系统配置和漏洞 检查关键系统和数据文件的完整性 识别代表已知攻击的活动模式 对反常行为模式的统计分析 对操作系统的校验管理，判断是否有破坏安全的用户活动。 入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击 和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立 体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外 入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键 业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅 停留在研究和实验样品( 缺乏升级和服务) 阶段，或者是防火墙中集成较为初级 的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲， 我们认为，除了完善常规的、传统的技术( 模式识别和完整性检测) 外，应重点 加强统计分析的相关技术研究。 8 第二章i p v 6 管理系统概述 2 3 3 l d s 的发展趋势 无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有 了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面： 入侵或攻击的综合化与复杂化。入侵手段有多种，入侵者往往采取一种攻击 手段。由于网络防范措施的多重化，攻击的难度增加，使得入侵者在实施入侵或 攻击时往往同时采用多种入侵手段，以保证入侵的成功率，并可在攻击实施的初 期掩盖攻击或入侵的真实目的。 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技 术，可掩盖攻击主题的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对 象攻击的主题是无法直接确定的i 入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某 公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排 除商业的盗窃与破坏行为。由于战争对于电子技术和网络技术的依赖性越来越大， 随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术 都与一般意义上的计算机网络的入侵与攻击都不可相提并论的。信息战的成败与 国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单击执行。由 于防范技术的发展使得此类行为不能奏效。所谓分布式拒绝服务( d d o s ) 在很短 的时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常的 通信无差异，所以往往在攻击发动的初期不易被确认，分布式攻击是近期最常用 的攻击手段。 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为 却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的 形势。现在已经有了专门针对i d s 作攻击的报道。攻击者详细的分析了i d s 的审计 方式、特征描述、通信模式找出i d s 的弱点，然后加以攻击。 今后的入侵检测技术大致可朝下述三个方向。 a 分布式入侵检测：第一层含义，即针对分布式网络的攻击的检测方法：第 二层含义即使用分布式的方法来实现分布式的攻击，其中的关键技术为检 测信息的协同处理与入侵攻击的全局信息的提取。 b 智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智 能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等 9 电子科技大学硕士学位论文 方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的地思想来 构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系 统，实现了知识库的不断升级语扩展，使设计的入侵检测系统防范能力不 断增强，应该具有更广泛的应用前景。应用智能体的概念来进行入侵检测 的尝试也有报道。较为一致的解决方案应为高效常规意义下的入侵检测系 统与具有智能检测功能的检测软件或模块的结合使用。 c 全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络 安全问题，将网络安全作为一个整体工程来处理。从管理，网络结构，加 密通道，防火墙，病毒防护，入侵检测多方位全面对所关注的网络作全面 的评估，然后提出可行的全面解决方案。 2 4i p v 6 概述 2 4 1lp v 6 协议简介 i p v 6 的提出最初是为了扩大i p v 4 地址空间。实际上，i p v 4 除了在地址空间方面 有很大的局限性，成为互联网发展的最大障碍外，v 4 在服务质量、传送速度、安 全性、支持移动性和多播等方面也存在着局限性，这些局限性同样妨碍着互联网 的进一步发展，使许多服务与应用难以在互联网上开展。因此，在i p v 6 的设计过程 中除了一劳永逸地解决了地址短缺问题以外，还考虑了在d v 4 中解决得不好的其它 问题。 i p v 6 相对于i p v 4 的主要优势是：扩大了地址空间、提高了网络的整体吞吐量、 服务质量得到很大改善、安全性有了更好的保证、支持即插即用和移动性、更好 地实现了多播功能。这些改善都有利于迎战上述挑战，故实际上i p v 6 改变了互联网 的核心，使互联网上了一个新的台阶，变成一个性能更高、成本更低的全球互联 网。 i p v 6 的优点： 1 提供更大的地址空间，能够实现p l u ga n dp l a y 和灵活的重新编址。 2 更简单的头信息，能够使路由器提供更有效率的路由转发。 3 与m o b i l ei p 和i p s e c 保持兼容的移动性和安全性。 4 提供丰富的从口v 4 到i p v 6 的转换和互操作的方法，i p s e c 在i p v 6 中是强制 性的。 1 0 第二章i p v 6 管理系统概述 i p v 6 协议规范主要有如下内容： i p v 6 编址 1 地址空间：地址长度为1 2 8 b i t s 或1 6 b y t e s ，可分配的地址数量为：3 4 1 0 的 3 8 次方，每个地球人可拥有的地址数量为：5 1 0 的2 8 次方。 2 口v 6 的地址格式3 2 个1 6 进制数，每4 个一段，共有8 段，在每个段中的前导 位0 可以不写。 i p v 6 1 c j m u l t i c a s t p v 6 不使用b r o a d c a s t 通信，使用m u l t i c a s t 或者a n y c a s t 替代b r o a d c a s t 。 m u l t i c a s t 使网络的通信更有效率，i p v 6 有非常大的m u l t i c a s t 地址空间。 i p v 6t 约t a n y c a s t t 多个路由器共享同一个u n i c a s t 地址( 一组多播转发路由器) 。所有的多播源都 发送数据包到该u n i e a s t 地址。路由器自动选择最近的多播转发路由器到达目的。 i p v 6 的迪址聚合t 多个地址前缀能够汇总为一个地址前缀，地址聚合能够增加路由选择的效率 和扩展能力。 i p v 6 的趣址a 动配置功锯： 能够使用d a t a - l i n k 地址进行编址，能够进行无冲突的地址自动配置。 p v 6 的遗址更瓿； 通过修改路由器通告的旧前缀的生存时间( 减少其生存时间) ，同时通告一个新 的前缀。如果改变整个网络的前缀，可能需要改变d n s 。 i p v 6 帧格式； 1 简化的更有效率的头信息 6 4 b i t 的头字段，更少的字段数，能够实现基于硬件的，有效率的处理，改善 路由选择的效率、性能和转发速率。 2 i p v 4 与i p v 6 头信息的对比 i p v 4 一般使用1 2 个头字段, 2 0 b y t e s ；i p v 6 使用8 个头字段，4 0 b y t e s ，其中有5 个字段与i p v 4 相同，有3 个新字段。 i p v 6 不执行分片操作( f r a g m e n t a t i o n ) ，因此没有i p v 4 的f r a g m e n t a t i o n 信息，i p v 6 使用一个发现处理过程来判定和调整一个会话的最合适的m t u 。 电子科技大学硕士学位论文 i p v 6 的发送方的发现处理功能会依据网络返回的i c m p 消息自动的调整m t u 的大小。 i p v 6 的头信息中没有头校验字段，依赖与上层和d a t al i n k 层来保证数据传输 的可靠性。 i h , 6 扩展头信息： i p v 6 可以有很多类型的扩展头信息，并且可以同时使用多种扩展头信息，应用 的顺序如下： 1 ) i p v 6h e a d e r 2 1h o p - b y h o po p t i o n sh e a d e r 3 ) d e s t i n a t i o no p t i o n sh e a d e r 4 ) r o u t i n gh e a d e r 5 ) f r a g m e n th e a d e r 6 ) a u t h e n t i c a t i o nh e a d e r 7 ) e n c a p s u l a t i n gs e c u r i t yp a y l o a dh e a d e r 8 ) d e s t i n a t i o no p t i o n sh e a d e r 9 ) u p p e r - l a y e rh e a d e r i p t , 6 和l p v 4 的互操作能力： a 从i p v 4 到i p v 6 有丰富的转换手段 使用d u a ls t a c k 或者6 t 0 4t u n n e l 能够进行平滑转换，使用n a t 能够使1 p v 4 和 i p v 6 节点通信。 b 1 0 sd u a ls t a c k d u a ls t a c k e d ：如果在一个接口上同时配置i p v 4 和i p v 6 ，该接口被称为d u a l s t a c k e d 。 c o v e d a yt u n n e l ( 覆盖式隧道) 通过一个i p v 4 的主干网络连接两个i p v 6 的网络，把i p v 6 的数据包封装在p v 4 的 数据包中传输方法，隧道的两端都需要使用d u a l s t a c k 接口，隧道的两端都需要配 置i p v 4 和i p v 6 地址。 d 使用6 t 0 4t u n n e l 连接i p v 6 网络 使用i p v 4 网络连接和传输i p v 6 数据包，这是一种自动建立隧道的方法。隧道的 第二章i p v 6 管理系统概述 两端需要使用固定的口v 6 前缀( 2 0 0 2 + 2 字节的本地边界路由器的i p v 4 地址) ，被边界 路由器转发的i p v 6 数据包的目的地址中含有目的边界路由器的i p v 4 地址，本地边界 路由器自动取出该目的i p v 4 地址，将i p v 6 包封装在i p v 4 包中转发，目的边界路由器会 拆封所收到的) v 4 数据包，并转发给目的i p v 6 主机。 2 4 2lp v 6 与i d s 的关系 i p v 6 提供给我们更广大的地址空间和安全特性。i p v 6 提供的i p s e c 解决了数据 的加密及身份认证问题，它可以有效的保证数据在不安全的网络上进行安全传输， 如目前广泛使用的v p n 技术就是i p s e e 的一个典型应用。但是，i p s e c 也有缺陷，如 无法有效防止针对协议本身的攻击等。同时p v 6 的可靠性是否如最初所设想的那 样，也有待时间的考验! 另外由于各安全产品之间传输的数据都经过了加密，且 加密所使用的算法也不尽相同，这将使他们之间难以沟通的现状更加恶化，况且 加密技术在流通上还有这样那样的限制。 新一代宽带网络入侵防范体系研究的目标是开创新的技术，让入侵防范系统 能适应高带宽和高负荷的网络环境，支持最新的i n t e r n e t 网络协议，并有自我学习 的能力。从而形成新一代宽带网络入侵探测技术、新一代网络安全体系结构模型 和新一代的网络安全控制平台。在i p v 6 下，i d s ( 入侵检测系统) 的设计也使我们 不得不放弃以往的网络监控技术，投身一个全新的研究领域。首先，i d s 产品同防 火墙一样，其程序在i p v 6 下不能直接运行，还要做相应的修改。其次，i d s 的工作 原理实际上是一个监听器，接收网段上的所有数据包，并对其进行分析，从而发 现攻击，并实施相应的报警措施。但是，如果使用传输模式进行端到端的加密， 则d s 无法工作，因为其接收的是加密的数据包，无法理解。当然，解决方案之一 是让i d s 能对这些数据包进行解密，但这样势必会带来新的安全问题。同时i p v 6 的 可靠性是否如最初所设想的那样，也有待时间的考验! 同时，面临日益发达的宽带网，我们将研究“高速网络数据采集技术”。无疑 的，新一代的入侵探测技术依然以数据采集为其中心，而这个技术本身最大的问 题就是计算能力远远跟不上网络带宽增长。针对这个问题，我们将进行最新的网 络采集和协议分析的研究，希望能将网络探测器变得更加快速、经济和容易部署。 首先，我们将进行采集器硬件和软件的结合方案的研究，以求将探测器的探测带 宽达到最大的速率。另外，我们将研究如何在不稳定的口的环境上( 无论是有线网 或无线网) 可靠的监控数据。这方面的研究将促成多种新一代的网络探测器，包 1 3 电子科技大学硕士学位论文 括：高质量的主干网络探测器，无线网络探测器，a t m 网络探测器。 由于i p v 6 中引入网络层的加密技术，我们认为未来的网络上的数据通讯的保密 性将会越来越强，这使网络入侵探测系统和主机入侵探测引擎也面临多种不同平 台部署的问题。我们应研究i d s ( i x 侵检测系统) 新的部署方式，再下一步，研究 如何才能在任何网络状况、任何服务器、任何客户端、任何应用环境，经过适当 的自转换和自适应。 随着i p v 6 的出现，可以将诸如数据发掘，专家系统和神经网络技术融入入侵探 测技术中，以建立先进的入侵探测算法的数学模型。今天的网络入侵探测技术， 唯一能实现的算法是模式匹配。但是，如果新的算法研究成功，我们不但可以保 留模式匹配算法的高性能，而且可以使它更聪明，并且大大降低了误报率。这项 研究将在未来几年内应用于最新的i d s 软件中。 总之，随着i p v 6 的出现，今后的入侵防范研究将围绕i n t e m e t 本身、网络安全 和通讯协议之间，把无序的数据演变成有序的数据，从人控制网络安全软件演变 成计算机自我学习，从以技术为本的用户界面演变成以人为本的智能用户界面。 2 5i p v 6i d s 管理系统简介 2 5 1l p v 6i d s 管理系统的定义，功能与应用 随着i d s 的飞速发展，如何有效，同时高效的管理i d s 系统，以充分发挥i d s 系统的性能，成为业内逐渐关注的问题。在这种条件下，i d s 管理系统应运而生。 作为i d s 的管理系统，它主要管理i d s 的各种资源以及配置。管理员通过对网络状 况的了解，修改i d s 的配置和资源，使i d s 能够适应当前的网络状况。同时，i d s 管理系统的网络流量特征分析模块实时监控当前的网络流量，针对网络流量进行 特征分析，结果反馈给管理员，又为i d s 的管理提供了依据，二者相辅相成。 i p v 6i d s 管理系统的功能主要分为：资源管理，配置管理以及网络流量特征分 析。其主要的应用在于：对i d s 的远程管理，以及多i d s 的集中管理。 2 6定义和约定 2 6 1 名词解释 入侵检测系统：i d s ( i d si n t r u s i o nd e t e c t i o ns y s t e m ) 是监视计算机网络 1 4 第二章娟管理系统概述 的系统，寻找入侵的特征( 未授权用户) 或错误使用( 越权的授权用户) 。入侵 行为可以定义为企图绕过主机或系统的安全机制，或企图危及主机、网络或系统 的机密性、完整性、可用性的各种行为，入侵检测就是监视并分析主机或网络中 入侵行为发生的处理过程。 i p v 6 ：i n t e r n e tp r o t o c o lv e r s i o n6 ，被称作下一代互联网协议，它是由i e t f 设计的用来代替现行的i p v 4 协议的一种新的i p 协议。i p v 6 是为了解决i p v 4 存在 的问题和不足提出的，同时它还在路由、自动配置、安全性、移动互通性方面提 出了很多改进。 隧道：隧道( t u n n e l i n g ) 是一种通过使用互联网络的基础设施在网络之间传 递数据的方式。使用隧道传递的数据( 或负载) 可以是不同协议的数据帧或包。 隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路 由信息，以便通过互联网传递被封装的负载数据。 j s p ：是基于服务器端的用于产生动态网页的可嵌入h t m l 中的脚本程序语言， 用于进行数据库和网页之间的数据交互。 s s l ：安全套接层协议( s e c u r es o c k e t sl a y e r ) 。它是由n e t s c a p e 公司开 发的一套i n t e r n e t 数据安全协议，当前版本为3 0 。s s l 协议位于t c p i p 协议与 各种应用层协议之间，为数据通讯提供安全支持。它被广泛地用于w e b 浏览器与 服务器