（电路与系统专业论文）基于LINUX防火墙的入侵检测技术研究[电路与系统专业优秀论文].pdf

硕士学位论文 m a s 丁日t s 了1 瑾s i s 摘要 信息化和网络化是当今社会发展的大趋势，信息资源的深入开发利用和共 享已得到迅速发展。但是，如何防止网络系统遭到未授权的非法入侵和破坏， 如何保护机要、敏感数据不被窃取或非法复制，仍是网络安全中的重要问题。 解决这类闯题最重要的技术就是防火墙技术。 但是仅仅采用防火墙，并不能保证整个内部网络的安全，要想实现一个较 为完整的网络安全方案，必须将入侵检测技术和防火墙技术相结合。本文重点 阐述了入侵检测技术和防火墙技术，并以l i n u x 防火墙为例，对l i n u x 防火墙 底层结构- - n e t f i l t e r 进行了详细分析。 目前，基于开放源代码的二次开发是计算机应用领域的热点之一，而除了 企业级的防火墙产品外，有些用户使用的仍是自制或免费的防火墙。本论文在 l i n u x 防火墙的基础上，迸行二次开发，提出了针对中小型用户的网络安全方 案，其目的在于以保障网络的安全为前提，尽可能地降低各种费用。具体的研 究内容包括： ( 1 ) 深入研究了n e t f i l t e r 结构，并利用i p t a b l e s 构建了具有d m z 的l i n u x 防火墙。该防火墙具有包过滤和网络地址转换功能。 ( 2 ) 实现了基于l i n u x 防火墙的日志检测，具有常规检查和实时监测两种 功能。 ( 3 ) 实现了基于w e b 的防火墙配置与管理便于远程操作，也使其更加适 合中小型用户的管理员。 ( 4 ) 设计和实现了基于w e b 的日志管理。 【关键词】网络安全，入侵检测防火墙，n e t f i l t e r ，日志监测 硕士学位论文 m a s l 玎弧s1 诬s i s a b s t r a c t a si n f o r m a t i o n l i z a t i o na n d n e t w o r k l i z a t i o nb e c o m e g e n e r a lt e n d e n c yo f c u r r e n ts o c i e t y , i n f o 删o ns h a r eh a sb e e n s p r e a dq u i c k l y f o rt h em o m e n t ，h o w t o p r e v e n tn e t w o r ks y s t e mf m mi l l e g a la t t a c ka n dd e s t r u c t i o n ，h o wt o p r o t e c t c o n f i d e n t i a ld a t af i o mb e e nf i l c h e d - - n e t w o r ks e c u r i t y - - - i sb e c o m i n gm o r e a n dm o r e i m p o r t a n t t h e f i r e w a l li s r e g a r d e d 船i m p o r t a n tt e c h n o l o g y f o r p r o t e c t i n g n e t w o r k ss e c u r i t y i ti sn o te n o u g ht oe n s u r et h en e t w o r k s s e c u r i t yi fo n l yf i r e w a l lu s e d a i n t e g r a t e d n e t w o r k s e c u r i t y s c h e m es h o u l d i n t e g r a t e f i r e w a l lw i t l li n t r u s i o n d e t e c t i o n t h i sp a p e r p u t se m p h a s i s0 ni n t r u s i o nd e t e c t i o nt e c l l i l o l o g ya n dm e w a l l t e c h n o l o g y , t h e na n a l y s e st h ea r c h i t e c t u r eo f l i n u x n e t f i l t e r i nd e t a i l s a tt h e p r e s e n tt i m e ，s e c o n d a r yd e v e l o p m e n tb a s e d o n o p e ns o u r c ei so n eo f t h e h o t s p o t s o fc o m p u t e r a p p l i c a t i o n s e x c e p t o fm a t u r e e n t e r p r i s e - l e v e l i i r e w a l l p r o d u c t s ，m o s tu s e da r ec o s t - f r e e s o ，t h i sp a p e rp u tf o r w a r d st h en e t w o r ks e c u r i t y p r o j e c tw h i c ha i ma tm e d i u mo rd i m i n u t i v ec u s t o m e r s i t sp u r p o s ei sr e d u c i n g v a r i o u sc o s t so nt h eb a s i so fi n s u r et h es e c u r i t yo fn e t w o r k t h er e s e a r c hw o r k s m e n t i o n e di nt h i sp a p e ra r e ： ( 1 ) i ts t u d i e st h es t r u c t u r co f n e t f i l t e r i ti m p l e m e n t st h ed m z f t r e w a l lw i t h i p t a b l e so n l i n u x ( 2 ) i ti m p l e m e n t sl o g d e t e c t i o n - r o u t i n e i n s p e c t i o na n d r e a l t i m es u r v e i l l a n c e b a s e so nl i n u xf i r e w a l l ( 3 ) i ti m p l e m e n t sf i r e w a l lc o n f i g u r a t i o na n d 越i m i n i s t m t i o ni n t e r f a c e ，b e i n g c o n v e n i e n tf o rl o n g - r a n g e o p e r a t i o n “) i td e s i g n sa n di m p l e m e n t sl o ga d m i n i s t r a t i o ni n t e r f a c e 【k e y w o r d s n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n , f i r e w a l l ，n e t f i l t e r ，l o g s u r v e i l l a n c e 硕士学位论文 m a s l 玎弧s1 诬s i s 第一章引言 随着计算机技术的迅猛发展和普及，i n t e r n e t 在全世界范围内被广泛应 用，人类进入了一个崭新的信息时代。人们建立了各种各样完备的信息系统， 使得人类社会的机密和财富高度集中于计算机中。这些信息系统依靠计算机网 络接受和处理信息，实现相互间的联系和对目标的管理、控制。以网络方式获 得信息和交流信息已经成为现代信息社会的一个重要特征，网络正在逐步改变 人们的工作方式和生活方式，成为当今社会发展的一个主题。随着网络上各种 新业务的兴起，比如电子商务、数字货币、网络银行等，以及各种专用网络的 建设，比如金融网等，使得网络安全问题越来越重要。因此，对网络安全技术 的研究“诚为了现在计算机界的一个热点，并且成为信息科学的一个重要研究 领域，日益受到人们的关注。 从整体上讲，网络安全问题”1 分为网络系统安全和网络数据安全两类。网 络系统安全问题是指网络系统遭到未授权的非法入侵和破坏；而网络数据安全 问题则指机要、敏感数据被窃取或非法复制等。网络安全就是为保障网络服务 的可用性、网络信息的完整性和可靠性不被蓄意和偶然地破坏，而采取的一切 措施。 网络安全措施一般分为三类：逻辑上的、物理上的和政策上的。现在的计 算机网络大多数在建立之初就忽略了安全问题，即使考虑了，也仅仅将安全机 制建立在物理安全机制之上。而随着网络互联程度的扩大，这种安全机制对于 网络环境来说形同虚设。面对越来越严重危害计算机网络安全的种种威胁，仅 仅利用物理上和政策上的手段来有效地保护计算机安全，显得十分有限和困 难。因此，也应该采用逻辑上的措施，即研究与发展有效的网络安全技术，例 如身份认证技术、访问控制技术、密码技术、入侵检测技术、防火墙技术等， 以防止网络上传输的信息被非法窃取、篡改和伪造，防止非法用户的侵入 1 1 入侵检测和防火墙技术国内外研究现状 入侵检测技术“”是近年出现的新型网络安全技术，实际上就是一种信息 识别与检测技术。具体而言，就是在计算机网络系统中设置若干关键点来收集 i 硕士学位论文 m a s l 玎弧s1 诬s i s 信息，查看网络中是否存在违反安全策略的信息或试图入侵的迹象。如果将网 络想象成一幢建筑物，那么入侵检测就相当于监视建筑物周围的摄像机和活动 检测器。入侵检测主要对已经入侵的访问和试图入侵的访问进行跟踪、记录。 通过监视来自网络的攻击、非法闯入，能够实时地检测出攻击并做出切断服务、 重启服务器进程、发出警报、记录入侵过程等动作。 从实验室原型研究到推出成熟的商业化产品，走向市场并获得广泛认同， 入侵检测系统已经走过了2 0 多年的发展历史。1 9 8 0 年，a n d e r s o n 首先提出了 入侵检测的概念“”。他提出审计追踪可应用于监视入侵威胁，虽然这一设想的 重要性在当时并未被理解，但他的这一份报告被认为是入侵检测的开山之作。 从1 9 8 4 年到1 9 8 6 年，d e n n i n g 和n e u m a n n 研究并发展了一个实时入侵检测系 统模型，命名为i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，入侵检测专家系 统) “”，它是一种通过使用统计方法发现用户异常操作行为，并判断检测攻击 的基于主机的入侵检测系统，将异常定义为“稀少和不寻常”( 指一些统计特 征量不在正常范围内) ，他们的这个假设是许多8 0 年代入侵检测研究和系统原 型的基础。1 9 8 7 年，d e n n i n g 提出关于这个问题的论文被认为是另一篇入侵检 测的开创之作“”。1 9 8 8 年，l u n t 等人进一步改进了d e n n i n g 提出的入侵检测 模型，提出了与系统平台无关的实时检测思想“”。1 9 9 0 年，h e b e r l e i n 等人提 出基于网络的入侵检测n s m ( n e t v o r ks e c u r i t ym o n i t o r ) “”，n s m 可以通过在 局域网上主动地监视网络信息流量来追踪可疑行为。1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理以便提高入侵检测系统的可伸缩性、可维 护性、效率和容错性。1 9 9 4 年，b i s w a n a t h 等人对先前入侵检测系统的研究做 了较为完整的回顾和分析，对各种入侵检测的系统原型进行了分析和评述。 1 9 9 5 年以后出现了很多不同的新的入侵检测研究方法，特别是智能入侵检测系 统，包括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘等，这些方法 目前尚处在理论研究阶段。 从入侵检测概念的提出到现在，入侵检测系统的研发呈现出百家争鸣的繁 荣局面，并在智能化和分布式两个方向取得了很大的进展。但就目前而言，入 侵检测系统还缺乏相应的标准。因为目前的入侵检测系统大部分是基于各自的 需求和设计独立开发的，不同系统之间缺乏互操作性和互用性，这对入侵检测 2 硕士学位论文 m a s l 玎弧s1 诬s i s 系统的发展造成了障碍，因此d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t s a g e n c y ，美国国防部高级研究计划局) 在1 9 9 7 年3 月开始着手c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ，公共入侵检测框架) 标准的制定“”，以便更 高效地开发入侵检测系统。国内在这方面的研究刚开始起步，但也已经开始着 手入侵检测标准i d f 的研究与制定。 目前国外一些研究机构已经开发出了应用于不同操作系统的几种典型的 入侵检测系统，它们通常采用静态异常模型和规则的误用模型来检测入侵。这 些入侵检测系统的检测基本是基于服务器主机或网络的。基于服务器主机的入 侵检测系统“”采用服务器操作系统的检测序列作为主要输入源，来检测入侵行 为，而大多数基于网络的入侵检测系统“”则以监控网络故障作为检测机制。 构筑防火墙也是目前保护网络安全最主要的手段之一”“。防火墙池3 是一 种计算机软件和硬件相结合的技术，在内部网络和外部网络之间直接构造一个 保护层，把入侵者挡在内部网络之外。在逻辑土，防火墙是一个分离器，也是 一个限制器，有效地隔离了内部网络和岁 部网络之间的任何活动，保证了内部 网络的安全。 自从1 9 8 6 年美国d i g i t a l 公司在i n t e r n e t 上安装了全球第一个商用防火 墙系统后，提出了防火墙的概念。防火墙技术得到了飞速的发展。第二代防火 墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护 的内部网络申请服务时的中间转接作用，这种方法可以有效地防止对内部网络 的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为 状态监测型防火墙，它可以对每一层的数据包进行检测和监控。随着网络攻击 手段和信息安全技术的发展，新一代的功能更强大、安全性更强的防火墙已经 问世，这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已经演变成 一个全方位的安全技术集成系统，称之为第四代防火墙，它可以抵御目前常见 的网络攻击手段，如i p 地址欺骗、特洛伊木马攻击、i n t e r n e t 蠕虫、口令探 寻攻击、邮件攻击等等。 1 2 选题意义 对于企业级用户，掰络安全非常重要；对于一般的中小型用户而言，其安 硕士学位论文 m a s l 玎弧s1 诬s i s 全问题同样不容忽视。黑客对入侵技术的掌握也存在一个从入门到精通的过 程，因而黑客往往通过攻击一些没有或者只有很少防御措施的系统来获取经 验。尽管一些个人用户可能认为交流资料并不是什么十分重要的秘密，但肯定 不希望陌生人阅读自己的e m a i l ，查看或窃取存储在计算机上的个人信息，修 改或销毁硬盘上的资料。而且对于s o h o ( s i i i a l lo f f i c eh o m eo f f i c e ，在家办 公) 用户而言i 其系统中的信息可能本身就含有商业机密性。 但是目前的商业化网络安全产品，大都是针对企业级用户，价格昂贵，在 中小型用户的价格承受能力之外。中小型用户要么基本上对系统没有采取什么 安全措施，要么仅仅使用免费或自制的防火墙，对入侵检测技术则基本完全没 有使用。 许多用户认为在网络系统中安装了防火墙，就能够保证整个内部网络的安 全。防火墙虽然能将一些预期的网络攻击阻挡在网络外部，但入侵检测除了减 小网络系统的安全风险外，还可以对一些非预期的攻击进行识别并做出反应。 根据这些识别，可以修改防火墙的规则策略，将下一次的类似攻击阻挡在网络 外部。丽入侵检测技术虽然能对网络攻击进行识别并做出反应，但其侧重点在 发现，并不能替代防火墙系统执行整个网络的访问控制策略。因此仅仅只采用 防火墙或入侵检测都是不够的，只有通过入侵检测技术和防火墙技术的结合 c ”- 2 4 ，才可以实现一个较为完整的网络安全方案。 1 9 9 7 年，c h e c kp o i n t 就提出了建立入侵检测和防火墙的联动联盟o p s e c ， 国内天融信公司也在2 0 0 0 年提出了国家自有知识产权的安全体系开放平台 t o p s e c ，但它们都是分别以自己的防火墙产品为核心，从经济上而言，并不适 合中小型用户。本论文所实现的入侵检测与防火墙的结合，是以免费的l i n u x 防火墙为基础，针对中小型用户而言具有经济实用性。 在国内，也有公司和科研单位从事这方面的研究，不过主要是集中在基于 网络的入侵检测系统上。到目前为止，防火墙和入侵检测系统的结合已经成功 应用在电力企业信息网络嘲和服装企业信息网络嘲中，采用的都是屏蔽子网体 系结构防火墙和基于网络的国产入侵检测系统( 如北京中科网威的“天眼”入 侵检测系统的网络型监控系统，清华紫光的比威入侵检测系统等) ；在理论研 究和框架模型上，实现网络入侵检测系统与防火墙功能结合的观点”1 在前几年 4 硕士学位论文 m a s l 玎弧s1 诬s i s 就被提出，西安电子科技大学还提出了一个基于防火墙和网络入侵检测联动系 统的框架模型渊，并给出解决方案，采用包过滤防火墙和基于网络的入侵检测 系统；此外，也有人给出了内置入侵检测功能的防火墙的设计方案，防火墙 采用f r e e b s d 提供的公开源代码的i p f i l t e r ，入侵检测系统参考公开源代码的 s n o r t 啪1 ，通过适当修改，将s n o r t 嵌入到i p f i l t e r 中，从而构成整个系统。在 企业级产品上面，基于网络的入侵检测是主流。基于网络的入侵检测固然有其 优越性，但它需要额外的硬件设备，价格昂贵。 基于主机的入侵检测系统，也有了相当成熟的产品。全球领先的互联网 安全技术与解决方案供应商赛门铁克公司的基于主机的入侵检测 产品( s y m a n t e ch o s ti d s ) o ”，能够及时监控、检测入侵行为，并对 安全漏洞提出响应。日前，曙光信息产业( 北京) 有限公司推出的一款主机入 侵检测产品曙光g o d e y e - h i d s 主机入侵检测系统啪1 正式问世，它是国内唯 一一款经过公安部权威认证的增强型主机入侵检测安全软件产品。 基于主机的入侵检测系统专注于某些服务器，监视某些特殊的用户和特殊 的行为并且进行记录。它监视用户和文件的被访问活动，监视只有管理员才能 实施的非正常行为，并且可以监视主要系统文件和可执行文件的改变。这些行 为非常适合中小型用户的需要。而基于网络的入侵检测系统，要想做到这些还 是非常困难的。 基于主机的入侵检测系统不要求额外的硬件设备，它存在于现行阿络结构 之中，因为它们不需要在网络上另外安装、维护及管理的硬件设备，使得基于 主机的系统效率很高。而且就成本丽言，它的记录花费更加低廉，用户只需很 少的费用用于最初的安装。所以相对而言，基于主机的入侵检测更加适合中小 型用户。 1 3 论文内容安排 本论文主要研究了入侵检测技术和防火墙技术，并将二者结合起来，在此 基础上研究了基于l i n u x 防火墙的入侵检测技术，实现了一个针对中小型用户 的网络安全方案。全文共分六章，具体安排如下： 第一章是引言部分，介绍了入侵检测和防火墙技术在国内外的研究现状， 硕士学位论文 m a s l 玎弧s1 诬s i s 以及选题的意义。 第二章介绍了入侵检测技术的基本理论。首先介绍了入侵检测的分类，然 后介绍了入侵检测所面临的问题以及发展方向。 第三章对防火墙技术进行了理论分析。介绍了防火墙的基本概念、分类和 体系结构。 第四章研究t l i n u x 防火墙底层结构n e t f i l t e r 。介绍t n e t f i l t e r 的原理， 以此为基础所产生的数据包的几种可能流程，以及i p 规则表。 第五章设计实现了入侵检测和防火墙技术相结合的网络安全方案，并对该 设计做了整体测试。 第六章是对本文的总结和展望。 6 硕士学位论文 m a s l 玎弧s1 诬s i s 第二章入侵检测技术 入侵检测( i n t r u s i o nd e t e c t i o n ) 3 是对入侵行为的发觉。它通过从计算 机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是 否有违反安全策略的行为和被攻击的迹象。由于仅仅使用一个防火墙来保证系 统的安全性是远远不够的，入侵检测就成为了系统的第二道安全防线。它是防 火墙的合理补充，提高了信息安全基础结构的完整性。入侵检测之所以引起人 们如此大的兴趣，其主要原因在于： 1 如果能够足够迅速地检测到入侵，那么就能确认入侵者，并能在破坏发 生前将其逐出系统。即使未能足够迅速地检测出入侵并加以阻止，越旱检测出 入侵，就为尽可能减少入侵的危害增加了条件。 2 高效的入侵检测能够起到威慑作用，从而在一定程度上阻止入侵。 3 入侵检测收集到的有关入侵的信息，可以用来加强阻止入侵的设置。 2 1 入侵检测的分类 入侵检测可以按照其分析方法及数据来源进行分类。 2 1 1 按分析方法分类 1 异常检测( a n o m a l yd e t e c t i o n ) 异常检测洲又称基于行为的入侵检测，它通过检测用户的异常行为来发现 入侵事件。它首先假定所有的攻击行为与正常行为不同，这样发现与正常行为 有不同时，则认为存在入侵。这需要建立正常行为的标准，也就是总结正常操 作应该具有的特征，称为用户轮廓。用户轮廓通常定义为各种行为参数及其阀 值的集合，用于描述正常行为范围，如登录时错误次数为多少时视为正常。 异常检测的过程是：( 1 ) 系统对用户的各种行为进行监控；( 2 ) 将收集到的 信息进行量化；( 3 ) 和正常行为的标准，也就是用户轮廓进行比较，必要时可 以进行用户轮廓的修正：( 4 ) 判定用户行为是否属于入侵。 异常检测的前提是入侵是异常活动的子集。异常检测系统的效率取决于用 户轮廓的完备性和监控的频率，因为不需要对每种入侵行为进行定义，因此能 有效检测未知的入侵。由于异常检测可以发现未知的入侵行为，同时有一定的 7 硕士学位论文 m a s 硼【s 口瞄f s 学习能力，所以系统可以针对用户行为的改变进行自我调整和优化。但随着检 测模型的逐步精确，异常检测会消耗更多的系统资源，并且入侵者可通过对正 常行为模式的缓慢偏离使系统逐渐适应，而当合法用户改变他的行为模式时， 系统又会误认为入侵发生。 图2 - i 异常检测模型 2 误用检测( m i s u s ed e t e c t i o n ) 误用检测。”又称为基于知识的入侵检测，是将收集到的数据与预先确定的 特征知识库里的各种攻击模式进行比较，如果发现有攻击特征，就判断有攻击。 特征知识库是将已知的攻击方法和技术的特征提取出来，来建立的一个知识 库。如果入侵特征与正常的用户行匹配，系统就会发生误报；如果没有特征能 与某种新的攻击行为匹配，系统就会发生漏报。 误用检测的过程是：( 1 ) 系统对用户的各种行为进行监控：( 2 ) 将收集到的 信息进行特征提取：( 3 ) 和特征知识库中的记录进行匹配；( 4 ) 判定用户行为是 否属于入侵。 误用检测的前提是所有的入侵行为都有可被检测到的特征。它的特点是： 采用特征匹配后，误用模式能明显降低误报率，对入侵行为检测的准确性高， 但漏报率将随之增加。由于误用检测只能发现已知的入侵行为，因此攻击特征 的细微变化，就会使得误用检测无能为力。 硕士学位论文 m a s 唧l s1 诬s i s 图2 2 误用检测模型 3 两种技术的比较 相比两言，误用检测的原理简单，配置容易，特征知识库也容易扩充，但 它存在一个很大的弱点只能检测到已知的攻击方法和技术。异常检测则可 以检测出已知的和未知的攻击方法和技术，问题是正常行为标准只能采用人工 智能、机器学习算法等来生成，并且需要大量的数据和时间，同对，目前人工 智能和机器学习算法仍处于研究阶段，所以现在的入侵检测系统大多采用误用 检测的分析方法。 就其技术指标而言，异常检测的漏报率低，误报率高，而误用检测的误报 率低，漏报率高。 2 1 2 按数据来源分类 1 基于主机的入侵检测( h o s e - b a s e di d s ) 基于主机的入侵检测耵，系统获取数据的依据是系统运行所在的主机，保 护的目标也是系统运行所在的主机。目前基于主机的入侵检测很多是基于日志 分析，在审计日志文件中寻找攻击特征，然后给出统计分折报告。 基于主机日志的安全审计，是通过分析主机日志来发现入侵行为。目前很 多u n i x 类型的操作系统都有产生详细审计纪录的功能模块，有了它们做数据 源，基于主机的入侵检测系统就能对计算机系统做全面的监控。由于入侵者常 在系统日志文件中留下他们的踪迹，因此，充分利用系统日志文件信息是检测 入侵的必要条件。基于圭机的入侵检测具有检测效率高，分析代价小，分析速 度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序 9 硕士学位论文 m a s l 玎弧s1 诬s i s 的行为特征对入侵进行进一步分析。由于基于主机的入侵检测是对到达攻击目 标后的数据流进行分析，所以它拥有攻击是否成功的第一手信息。 基于主机的入侵检测的缺点是它与攻击相关的网络视野有限。其次，入侵 检测软件必须运行于网络中的每一台主机上。在由多种操作系统组成的异构网 络中，就对入侵检测的开发带来了一个很大的挑战。如果基于主机的入侵检测 软件不能支持网络中的所有操作系统，那么网络就不能得到完整的入侵防护。 防火墙 图2 3 基于主机的入侵检测 2 基于网络的入侵检测( n e t w o r k b a s e di d s ) 基于网络的入侵检测一1 ，是在网络通信中寻找符合网络入侵模板的数据 包，并立即做出相应反应，保护的是网络的运行。它可利用工作在混合杂模式 下的网卡，实时监视和分析所有通过共享式网络的传输。基于网络的入侵检测 产品一般被放置在比较重要的网段内，以便对每一个数据包或可疑的数据包进 行特征分析。部分产品也可以利用交换式网络中的端口映射功能，来监视特定 端口的网络入侵行为。一旦攻击被检测到，响应模块按照配置对攻击做出反应。 基于网络的入侵检测通过查看去往多个主机的数据流，可以获得与针对网 络的攻击相关的网络视图。如果有人企图扫描网络中的多个主机，这些信息很 快就会被发现。同时，基于网络的入侵检测软件不需要运行在网络中的每一种 操作系统上，只需要运行在有限数量的探测器上即可。 基于网络的入侵检测的最大缺点是带宽问题。随着网络带宽越交越大，要 想在单个节点上成功地实时监测穿过网络的所有数据流，同时不丢包，就变得 越来越困难。 1 0 硕士学位论文 m a s l 玎弧s1 诬s i s 其次，是数据包分片的重组问题。网络数据包都是有大小限制的，如果一 条连接需要发送超过最大尺寸限制的数据，则需要将数据包分片，当接收方主 机收到被分片的数据包后，必须将数据重组。但并不是所有的主机都按同样的 顺序执行重组过程。有些操作系统从第一个分片开始，一直处理到最后一个： 而有些操作系统则从最后一个分片开始，一直处理到第一个。如果这些分片不 存在交迭现象i 处理的顺序就无关紧要，否则这两种重组过程所得的结果就会 不同。 基于网络的入侵检测的另一个缺点，是用户数据的加密问题。当用户通过 加密技术来保护数据的私密性时，这种入侵检测就无能为力了。因为如果网络 数据流是被加过密的，网络探测器就不能根据特征数据库来判断其中是否有入 侵行为。 防火墙 图2 - 4 基于网络的入侵检测 3 两种技术的比较 如果攻击不经过网络，基于网络的入侵检测系统就无法检测到，只能通过 使用基于主机的入侵检测系统来检测。 基于主机的入侵检测使用的是已发生事件的信息，可以比基于网络的入侵 检测更加准确地判断攻击是否成功，而网络部分可以尽早提供警告。 基于网络的入侵检测通过检查所有包的包头信息来进行检测，基于主机的 入侵检测则并不查看包头。而许多基于i p 的拒绝服务攻击和碎片攻击，只能通 过查看它们通过网络传输时的包头信息才能识别。 一丑一 凰 硕士学位论文 m a s l 玎弧s1 诬s i s 2 2 入侵检测所面临的问题 入侵检测发展到现在，技术上仍不成熟，其存在的两个主要问题”3 为： ( 1 ) 误警率高 误警包括两种情况：一个是漏报，即未能发现存在的入侵；另一个是误报， 即将正常行为判为入侵。这将直接严重影响到入侵检测系统的自动反应能力。 误警的产生原因主要有以下几点： 当前入侵检铡系统使用的主要检测技术仍然是模式匹配，模式库的组织 简单、不及时、不完整，而且缺乏对未知攻击的检测能力。 随着网络规模的扩大以及异构平台和不同技术的采用，尤其是网络带宽 的迅速增长，入侵检测系统的分析处理速度越来越难跟上网络流量，从而造成 数据包丢失。 网络攻击方法越来越多，攻击技术及其技巧性日趋复杂，也加重了入侵 检测系统的误警现象。 ( 2 ) 拒绝服务攻击 入侵检测系统是失效开放( f a i l0 p e n ) 的机制，一旦系统停止作用，整个 网络或主机就变成开放的，这与防火墙的失效关闭( f a i lc l o s e d ) 机制正好相 反，防火墙一旦失效，整个网络就是不可访问的。因此，当入侵检测系统遭受 拒绝服务攻击时，这种失效开放的特性使入侵者可以实旄攻击而不被发现。 ( 3 ) 插入和躲避攻击 插入攻击和躲避攻击是两种逃避入侵检测的攻击形式。其中插入攻击可通 过定制一些错误的数据包到数据流中，使入侵检测系统误以为是攻击。躲避攻 击则相反，可使攻击躲过入侵检测到达目的主机。插入攻击的意图是使入侵检 测系统频繁报警，但实际上并没有攻击，起到迷惑管理员的作用。躲避攻击的 意图则是真正要逃脱入侵检测，对目标主机发起攻击。 2 3 入侵检测技术的发展方向 近年对入侵检测的研究方向主要有： ( 1 ) 异常检测方法的深入研究 硕士学位论文 m a s l 玎弧s1 诬s i s 异常检测技术所具有的对未知攻击的识别能力、对用户行为的自适应能 力，正是一个理想的入侵检测系统应该具备的。异常检测的关键是用户正常行 为特征的提取，对于入侵行为的检测实际上是对被监视对象的行为进行分类和 识别。尽管已经有神经网络、遗传算法等在入侵检铡领域的应用研究，但只是 些尝试性的研究工作，对这些方法进一步研究以解决误警率高的问题，从而将 异常检测方法推向实用化是今后研究的一个重点。 ( 2 ) 入侵检测系统自身的安全性 入侵者对入侵检测系统的攻击，说明了入侵检测系统对入侵者构成了威 胁，这一方面既肯定了入侵检测系统的作用，也对入侵检测系统自身的安全性 提出了挑战。如对入侵系统进行的拒绝服务攻击，插入、躲避攻击就令入侵检 测系统防不胜防。这方面的工作虽然开展地还比较少，但它必然是未来入侵检 测系统所必须面对和解决的问题。 ( 3 ) 入侵检测系统间的互操作性 入侵检测是一个快速发展的领域，一个开发商不可能在每个方面都做到最 好，所以，各种不同入侵检测产品之间需要协同工作，这正是互操作要解决的 问题。 ( 4 ) 应用层入侵检测 目前的入侵检测系统仅能检测如w e b 之类的通用协议，而不能处理诸如 l o t u sn o t e s 、数据库系统等其它应用系统。许多基于客户机服务器结构以及 中间件技术的大型应用，需要应用层的入侵检测保护。而加密技术越来越广泛 的应用，也是入侵检测向应用层转移的一个主要原因。 ( 5 ) 入侵检测的评测方法 用户需要对众多的入侵检测系统进行评价( 评价指标包括入侵检测的范 围、系统资源的占用、入侵检测系统自身的可靠性等) ，从而设计通用的入侵 检测测试与评估方法或平台。实现对多种入侵检测系统的检测已成为当前入侵 检测系统的另一重要研究与发展领域。 ( 6 ) 与其它网络安全技术相结合 结合防火墙、安全电子交易等新的网络安全与电子商务技术，提供完整的 网络安全保障，是一个必然的发展趋势。 1 3 硕士学位论文 m a s 硼【s 口瞄f s 第三章防火墙技术 防火墙是一个将内部私有网络和外部公共网络分开，在它们之间建立一个 安全屏障的软件或硬件产品。它的主要作用是通过限制网络通信，对信息资源 提供可靠的安全服务。防火墙可以是一台计算机系统，也可以是由多台系统组 成的计算机群”。1 。 3 1 防火墙的特征 通常，防火墙具有下列特征： 1 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是由 防火墙所处网络的位置特性决定的。只有当防火墙是内、外网络之间通信的惟 一通道时，才可以全面、有效地保护内部网络不受侵害。 2 只有授权的数据流，即符合本地安全规则的数据流，才被允许通过防火 墙。这是防火墙的工作原理特性。防火墙之所以能保护内部网络，就是依据这 样的工作原理进行的。 3 防火墙自身应具有非常强的抗攻击力。这是防火墙防护内部网络安全的 先决条件。防火墙处于网络边缘，时刻面帻着黑客的入侵，这就要求防火墙自 身要具有非常强的抗击入侵的本领。这里防火墙操作系统本身就成了关键，只 有自身具有完整信任关系的操作系统才可以谈论系统的安全性，这正是l i n u x 防火墙之所以流行的最主要原因。 4 肪火墙使内部网络对外部不可见。 3 2 防火墙的分类 根据防火墙所采用的不同技术，可以将它分为四种基本类型“。1 ：包过滤型 ( p a c k e tf i l t e r i n g ) ，代理服务器型( p r o x ys e r v e r ) ，监测型( s t a t e f u t i n s p e c t i o n ) ，复合型( h y b r i d ) 。 3 2 1 包过滤型防火墙 包过滤m 1 又称“报文过滤”，是一种简单有效的方法，通过拦截数据包， 读取包头信息，把不应入站的包过滤掉。防火墙对数据的过滤，首先是根据数 1 4 硕士学位论文 m a s l 玎弧s1 诬s i s 据包中包头部分所包含的源i p 地址、目的i p 地址、协议类型( t c p 包、u d p 包、 i c m p 包) 、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规 则，以此来确定该数据包是否允许通过。而这个安全规则就是防火墙技术的根 本，它是通过对各种网络应用、通信类型和端口的使用来规定的。 由于包过滤技术相对简单，只需对每个数据包与相应的安全规则进行比 较，就可得出是否通过的结论，所以防火墙主机用来处理包过滤的时间非常短， 执行效率也很高，其应用就非常广泛。 包过滤型防火墙是对各种类型的传输协议包进行过滤。在此类型的防火墙 上需要制定包过滤规则，包过滤规则一般基于部分或全部的包头信息。内部网 络需要以防火墙为网关，所有内部网络所发出的包都会经过防火墙。而外部包 如果要进入内部网络，同样也需要经过防火墙做包过滤。此时，担任防火墙的 主机称为堡垒主机( b a s t i o nh o s t ) ，主要起着过滤通过内部网络的各种包的作 用。因此，堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机必须是自 身保护最完善的主机。 包过滤型防火墙的优点是不用改动客户机和主机上的应用程序，因为它工 作在网络层和传输层，与应用层无关，而缺点主要在于其规则的复杂性。而且， 由于包过滤型防火墙通常直接分析从网络层俘获的数据包，并不检查应用层中 与包相关的数据，无法理解特定信息的前后关系，就不能鉴别不同的用户和防 止i p 地址的盗用，所以比较容易被黑客欺骗。 图3 - i 包过滤型防火墙网络拓扑结构 硕士学位论文 m a s l 玎弧s1 诬s i s 3 2 2 代理服务器型防火墙 与包过滤不同的是，代理服务器的功能主要在应用层实现。当代理服务器 收到一个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实 服务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的 客户。代理服务器在外部网络和内部网络之间，发挥了中间转接的作用。所以， 代理服务器有时也称作应用层网关。 代理服务器可对网络上任一层的数据包进行检查并经过身份认证，让符合 安全规则的包通过，并丢弃其余的包。它允许通过的数据包由网关复制并传递， 防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 代理服务器型防火墙，则是利用代理服务器主机将外部网络和内部网络分 开。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部 的网卡一样，从而可以达到隐藏内部网络结构的作用。内部网络的主机，无需 设置防火墙为网关，只需直接将需要服务的i p 地址指向代理服务器主机，就 可以获取i n t e r n e t 资源。 使用代理服务器型防火墙的好处是，它可以提供用户级的身份认证、日志 记录和帐号管理，彻底分隔外部与内部网络。但是，所有内部网络的主机均需 通过代理服务器主机才能获得i n t e r n e t 上的资源，因此会造成使用上的不便， 而且代理服务器很有可能会成为系统的“瓶颈”。 3 2 3 监测型防火墙 在包过滤技术的发展中，出现过两种不同的技术，即静态包过滤和动态包 过滤。包过滤型防火墙所采用的传统包过滤技术就是静态包过滤技术，监测型 防火墙是包过滤的一种扩展，通常也称为动态包过滤。 动态包过滤技术最先由b o bb r a d e n 于1 9 9 2 年提出，它可以动态地根据实 际应用请求，自动生成或删除相应的包过滤规则，无需管理员人工干预，这样 就解决了静态包过滤技术使用和管理难度大的问题。同时动态包过滤技术还可 以分析高层协议，能够更有效、全面地对进出内部网络的通信进行监测，进一 步确保内部网络的安全。 在监测型防火墙中数据包在网络层被截获，然后防火墙从应用层中，提 取出做安全判断所必需的相关信息，并将此信息保存在动态状态表中，可以评 1 6 估以后的连接意图。监测型防火墙提供了一种高安全性、高性能和高可扩展性 的解决方案。 从外部看，监测型防火墙像一个代理系统，因为所有的请求看起来都来自 一个主机。但从内部看，它又像一个包过滤系统，因为内部的所有主机都认为 自己和外部网络直接相连，这是通过状态表和包重写来实现的。 监测型防火墙不仅能够监铡来自网络外部的攻击，同时对来自内部的恶意 破坏也有极强的防范作用。因此，监测型防火墙已经超越了传统防火墙的定义。 3 2 4 复合型防火墙 正如其名所示，复合型防火墙是将几种防火墙技术结合起来，经常用来在 现有的防火墙上快速增加新的服务。通常是在代理服务器型防火墙上增加包过 滤功能，构成复合型防火墙系统，所用主机称为堡垒主机，提供代理服务。也 可以通过增加服务代理，使监测型防火墙具有强大的用户认证功能。 3 3 防火墙的体系结构 按照拓扑结构，防火墙的体系结构基本上分以下几种：双宿主机结构、屏 蔽主机结构、屏蔽予网结构。 3 3 1 双宿主机结构 在双宿主机结构中，应把一台主机作为本地网和外部网之间的分界线。这 台主机使用两块独立的网卡把每个瞬络连接起来，这样主机就可以充当与这些 接口相连的网络之间的路由器。 双宿主机的防火墙体系结构禁止一个网络到另一个网络直接的i p 数据包 发送，因此外部网络能与双宿主枫通信，内部网络也能与双宿主机遇信，但外 部网络与内部网络不能直接通信，它们之间的通信必须经过双宿主机的过滤和 控制。由于内部网络的主机可以通过双宿主机上的代理软件间接访问外部网 络，而外部网络只能看到双宿主机对外的网络界面，因此达到了保护内部网络 的目的，同时内部可以使用伪i p 地址。双宿主机非常适合小规模网络用户的 上网要求，既节省了费用，也缓解了i p 地址短缺的问题。 1 7 硕士学位论文 m a s l 玎弧s1 诬s i s 图3 - 2 双宿主机防火墙结构 在网络中使用双宿主机防火墙时，必须使主机内部路由无效。随着路由的 无效，应用层就成了网络之间的唯一路径。如果主机内的内部路由有效的话， 防火墙就会失效。因此，双宿主机结构的一个致命弱点是：一且入侵者侵入主 机，并开放其路由功能，则任何网上用户均可以随便访问该内部网络。 在l i n u x 环境中运行的网络，对双宿主机结构的防火墙所固有自q 危险性特 别敏感。一些l i n u x 变量缺省时使主机路由有效，因此在基于l i n u x 的网络中， 必须验证操作系统已经使双宿主机防火墙中的所有路由无效。 3 3 2 屏蔽主机结构 在屏蔽主机体系结构的防火墙中，使用一台路由器把内部网络和外部网络 隔开，并且主要的安全由数据包过滤提供。在这种体系结构中一台路由器连 接外部网络，同时一台堡垒主机安装在内部网络上，通常在路由器上设立过滤 规则，并使这台堡垒主机成为外部网络唯一可直接到达的主机，这就确保了内 部网络不受未授权的外部用户的攻击。 由于堡垒主机是外部网上的主机能连接到的内部网上的唯一系统，任何外 部的系统要访问内部的系统或服务都必须先连接到这台主机，因此堡垒主机应 保持更高等级的安全性 3 3 3 屏蔽子网结构 这种结构是在内部网络和外部网络之间，建立一个被屏蔽的子网，起保护 垦垦 硕士学位论文 m a s l 玎弧s1 诬s i s 隔离作用。屏蔽子网体系结构防火墙由两台路由器和一台堡垒主机构成，路由 器过滤掉被禁止或不能被识别的信息，将合法信息送到堡垒主机上，而堡垒主 机作为唯一的可