（计算机科学与技术专业论文）基于通用有限状态机的网络行为监控系统的研究与实现.pdf

国防科学技术人学研究生院尊俺沦文 摘要 随着计算机网络技术的普及与发展，网络安全已成为一个备受关注的问题。2 0 0 3 年美 国计算杌安全协会( c s i ) 和旧金山联邦调查局( f b i ) 计算机入侵小组共同开展的“计 算机犯罪和安全调查”的统计数据显示，有近一半的安全破坏是在组织网络内部发生的， 已经超过了来自外部的攻击。除数据破坏以外，信息外泄也成为网络安全亟需解决的一个 重要问题，网络的复杂性和隐蔽性使得组织内部的机密信息更容易透过网络被泄露出去， 其造成的危害和损失不亚于有时甚至大大高于直接的数据破坏【1 1 。如何对主机的网络行为 进行监视与控制是解决问题的基础和关键所在。 为了监视主机行为，就必须实现面向会话的网络行为分析以监控行为的整个过程，但 是这种方式由于需要保存会话状态而导致分析开销的增大。针对这些问题，本文基于通用 有限状态机( m e a l y 机) 实现了面向会话的网络行为分析。本文围绕如何实现基于通用有 限状态机的网络行为分析、如何有效提高分析效率和如何实现高度可扩展的软件体系结构 以适应不断扩大的网络规模与不断增加的行为分析插件等三大问题，开展了如下工作： 1 ) 基于通用有限状态枫的网络行为分析技术的研究与实现 a ) 网络行为的通用有限状态机描述与分析技术的研究和实现： b ) 网络行为分析的通用有限状态机可视化建模与实现代码的自动生成技术的研 究与实现： c ) 报文的协议解析与行为事件生成技术的研究与实现 d ) 通用可视化建模控件a c t i v em o d e lb u i i d c r ( a c t i v e xc o n t r 0 1 ) 的设计与实现； e ) 基于c o m a u t o m a t i o n 自省技术的通用运行时对象属性访问控件c o m p o n e n t b r o w s e r ( a c t i v e xc o n t r 0 1 ) 的设计与实现。 2 ) 有效提高网络行为分析效率的关键技术的研究与实现 a ) 高效的并行会话还原算法的研究与实现； b ) 高效的网络行为状态对象与标示对象的分配算法的研究与实现； c ) 高效的有限状态机激励算法的研究与实现。 3 ) 系统高度可扩展的软件体系结构的设计与实现 a ) 分布式网络行为监控系统的分层异构软件体系结构的设计与实现； b ) 完整支持插件、其有高度可定制性与可扩展性的a s e ( a d d l ns u p p o r t e d e n v i r o n m e n t ) 软件体系结构模式的设计与实现； 本文实现的原型系统可以有效显示、存储和分析网络行为。分析得到的行为信息准确 充分，应用效果良好，可广泛应用于网络安全领域，如网络拓扑发现、入侵监测、网络信 息取证、网络行为监视和控制、网络攻击行为分析等。 本文的研究成果已经在“十五”8 5 3 项目“分布式网络监控与预警系统” ( 2 0 0 3 a a l 4 2 0 1 0 ) 中得到了应用，为该8 6 3 项目顺利推进打下了坚实的基础。 关键词：网络行为，协议分析，会话还原，网络安全，有限状态机。产生是系统设计 国防科学技术火学研究生院学位论文 a b s 仃a c t w i t ht h e p r e v a l e n c e a n dd e v e l o p m e n to ft h ec o m p u t e rn e t w o r kt e c h n o l o g y , n e t w o r k s e c u r i t yi sb e c o m i n gav e r yp o p u l a rp r o b l e ma l l o v e rt h ew o r l d i n2 0 0 3 ，t h ec s ia n df b i c o m p u t e r i n t r u s i o ng r o u pw e n to na ni n v e s t i g a t ea b o u tt h e ”c o m p u t e rc r i m ea n ds e c u r i t y ”，w h o s e s t a t i s t i cs h o w e dt h a ta l m o s th a l fo ft h es e c u r i t yd e s t r o yw e r ef r o mt h ei n t e r i o rn e t w o r k ，a n dt h i s e x c e e d e dt h ed e s t r o yf r o mt h ee x t e r i o rn e t w o r k b e s i d e st h ed a t ad e s t r o y , i n f o r m a t i o nr e l e a s ei s a l s oa ni m p o r t a n t p r o b l e mo f n e t w o r ks e c u r i t y t h ec o m p l e x i t ya n dc o n c e a l m e n to ft h en e t w o r k m a k e si tq u i t ee a s yt ol e tt h ei n t e r i o rs e c r e ti n f o r m a t i o no u tt h r o u ：咖t h en e t w o r k ，t h eh a r ma n d l o s i n gw h i c h c a u s e di sn o t h i n gl e s st h a nt h ed i r e c td a t ad e s t r o y h o wt om o n i t o ra n dc o n t r o lt h e c o m p u t e r sn e t w o r k b e h a v i o ri st h ef u n d a m e n t a la n dl i n c h p i nt os o l v et h e s ep r o b l e m s i no r d e rt om o n i t o rt h eb e h a v i o ro f t h e c o m p u t e r s ，w e m u s t i m p l e m e n t t h en e t w o r kb e h a v i o r a n a l y z e rf a c i n gt h en e w o r ks e s s i o nt om o n i t o rt h ew h o l ep r o c e s so f b e h a v i o r b u tt h i sm e t h o d n e e d s s a v i n gt h es e s s i o n ss t a t e m e n t s s ot h es p e n d i n go f b e h a v i o ra n a l y z i n g i si n c r e a s e d a i ma t t h e s eq u e s t i o n s ，w eu s e dt h eg e n e r a lf i n i t es t a t em a c h i n e ( m e a l ym a c h i n e ) t oi m p l e m e n tt h e n e t w o r kb e h a v i o ra n a l y z i n gf a c i n gt h en e w o r ks e s s i o n h o wt oi m p l e m e n tt h en e t w o r kb e h a v i o r a n a l y z e rf a c i n gt h en e w o r ks e s s i o n ，h o wt oi m p r o v e t h ea n a l y z i n ge f f i c i e n c ya n dh o wt og e ta g o o ds o f t w a r ea r c h i t e c t u r ee a s i l yt ob ee x t e n d e dt of i t t h en e e d so f r a p i d l yi n c r e a s i n go f t h e n e t w o r ks c a l e sa n dt h eb e h a v i o ra n a l y z i n ga d d i n s ，t h i sp a p e re n c l o s e dt h e s et h r e eb i gp r o b l e m s d o i n g t h ew o r k sa sf o l l o w s ： i )r e s e a r c ha n di m p l e m e n t a t i o no nt h et e c h n o l o g yo fn e t w o r kb e h a v i o rd e s c r i p t i o na n d a n a l y z i n g b a s e do n g e n e r a lf i n i t es t a t em a c h i n e a ) r e s e a r c ha n di m p l e m e n t a t i o no nt h et e c h n o l o g yo fn e t w o r kb e h a v i o ra n a l y z i n g b a s e do n g e n e r a lf i n i t es t a t em a c h i n e ； b ) r e s e a r c ha n di m p l e m e n t a t i o no nt h et e c h n o l o g yo fg e n e r a lf i n i t es t a t em a c h i n e v i s u a lm o d e l i n ga n dc o d e g e n e r a t i o no f t h ei m p l e m e n t a t i o n ； c ) r e s e a r c ha n di m p l e m e n t a t i o no nt h et e c h n o l o g yo f p a c k e td e c o d i n ga n db e h a v i o r e v e n t g e n e r a t i o n ； d ) d e s i g n a n di m p l e m e n t a t i o no ft h eg e n e r a lv i s u a lm o d e l i n gc o n t r o l ，a c t i v em o d e l b n i l d e r ( a c t i v e xc o n t r 0 1 ) ； e ) d e s i g na n di m p l e m e n t a t i o no ft h ec o n t r o lt oa c c e s so b j e c tp r o p e r t ya tr u n t i m e ， b a s e do nt h er e l e c t i o nt e c h n o l o g yo f c o m a u t o m a t i o n 2 ) r e s e a r c ha n di m p l e m e n t a t i o no nt h ek e yt e c h n o l o g yt oi m p r o v et h ee f f i c i e n c y o f n e t w o r kb e h a v i o r a n a l y s ee f f e c t i v e l y a ) r e s e a r c ha n di m p l e m e n t a t i o no nt h eh i 【曲e f f i c i e n ta l g o r i t h mo f p a r a l l e l s e s s i o n r 印1 a y ； b ) r e s e a r c ha n di m p l e m e n t a t i o no nt h eh i 曲一e f f i c i e n ta l l o c a t i o na l g o r i t h mo fn e t w o r k b e h a v i o rs t a t eo b j e c t sa n db e h a v i o ri d o b j e c t s ； c ) r e s e a r c ha n di m p l e m e n t a t i o no nt h eh i 曲e f f i c i e n ta l g o r i t h mo ff i n i t es t a t em a c h i n e s t i m u l u s ； 3 ) r e s e a r c h 姐d i m p l e m e n t a t i o n o nt h es o f b , v a r ea r c h i t e c t u r e e a s i l yt o b ee x t e n d e d 国防科学技术人学研究生院j 位论文 曲d e s i g na n di m p l e m e n t a t i o no ft h el a y e r e da n dd i s o m e r o u ss o f t w a r ea r c h i t e c t u r eo f t h ed i s t r i b u t e dn e t w o r kb e h a v i o rm o n i t o r s y s t e m ； b ) d e s i g na n di m p l e m e n t a t i o no ft h ef u l l ys u p p o r t i n ga d d i n s ，e a s i l yc u s t o m i z da n d e x t e n d e ds o f t w a r ea r c h i t e c t u r ep a t t e r n a s e ( a d d l ns u p p o r t e de n v i r o n m e n t ) t h es y s t e mc a n d i s p l a y , s t o r i n ga n da n a l y z i n g t h en e t w o r kb e h a v e se f f i c i e n c y , t h eb e h a v i o r i n f o r m a t i o n sg o t t e nb ya n a l y z e da r es u f f i c i e n c ya n dn i c e t yi tc a nw e l lu s e di ns e r v e r a ln e t w o r k s e c u r i t yf i e l d s ，s u c h a s t o p o l o g i c a ld i s c o v e r yo ft h en e t w o r k ，n e t w o r k i n t r u s i o n d e t e c t i o n ， 1 1 1 f o r i l l a t i o ne v i d e n c ec o l l e c t i o n m o n i t o ra n dc o n t r o lo fn e t w o r kb e h a v i o r n e t w o r ka t t a c k a n a l y z i n g a n ds oo n t h er e s e a r c hp r o d u c t i o n so ft h i s p a p e rh a sb e e na p p l i e di n t h e8 6 3i t e m s “d i s t r i b u t i n g n e t w o r km o n i t o ra n dp r e w a m i n gs y s t e m “( 2 0 0 3 a a l 4 2 0 1 0 ) ，a n di th a sl a i das o l i df o u n d a t i o n f o rt h es m o o t h p r o m o t i o no f t h i s8 6 3 i t e m k e y w o r d ：n e t w o r kb e h a v i o r , p r o t o c o la n a l y z e r , s e s s i o nr e p l a y , n e t w o r ks e c u r i t y , f i n i t e s t a t e m a c h i n e ，g e n e r a t i v es y s t e md e s i g n i i i 独创性声明 本人声明所里交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目： 基士通用直阻迭查扭盟圆垒筮盘些撞丕红的丛壅生塞丑 学位论文作者签名：趁盈i 一 日期：缈年j 月罗日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：基王通用煎腿盐查扭曲圆鳖盘应些整筮统鲍丛壅生塞塑 学位论文作者签名：幺邕丕耻日期：呼年夕月日 作者指导教师签名：多窆兰矗丝 日期：沁年r 月g 日 国防科学技术犬学研究生院学俺沧文 图目录 图2 1n d i s 在w i n d o w s 内核中所处的位置6 图2 2 报文静态协议解析的实现7 图2 3 动态协议解析的一般流程8 图2 ，4 产生式领域模型的组成一1 2 图2 5 基于d e 的软件开发 2 3 1 1 3 图2 , 6 产生器完成的主要任务1 6 图2 7 转化生命周期模型【2 6 】1 6 图2 8 模型驱动开发途径解决问题的过程一1 7 图3 1 软件体系结构的形式化描述 2 9 】1 9 图3 2 系统分层异构的框架体系结构1 9 图3 , 3 报文捕获引擎与报文协议分析引擎共同构成的管道过滤器模式2 l 图3 4 监控代理与控制台共同构成的c i s 模式和基于事件的模式2 1 图3 5 行为分析引擎和需要行为分析信息的各类应用以黑板模式通信2 1 图3 6 系统实现模型两种视图描述一2 2 图3 7 系统实现的元模型描述2 2 图3 8 系统框架部署图2 3 图3 , 9 a s e 模式的接口设计2 4 图3 1 0 a s e 模式接口关系的静态u m l 描述2 5 图3 1 1 插件预定义接口的事件响应函数的调用流程。2 6 图3 1 2 插件预定义接口的事件响应函数的调用流程2 6 图3 1 3 控制台实现a s e 模式的组件模型2 7 图3 1 4 控制台总体架构的u m l 实现j 2 8 图3 1 5 监控代理体系结构2 8 图3 1 6 报文解析引擎的工作流程2 9 图3 7 控锚台分析m s _ n 协议效果图3 1 图3 1 8 监控代理运行效果图3 l 图3 1 9 系统报文分析程序运行效果图3 2 图4 1 网络行为分析引擎的构成与工作流程3 3 图4 2 通用有限状态机特征图3 4 图4 3 网络行为有限状态机特征图3 5 图4 , 4 一个( 或更多) 可选特征的特征图被形式化为一个所有特征都为可选特征的图3 5 图4 5 一个( 或更多) o r 特征的特征图被形式化为一个所有特征都为可选特征的图3 5 图4 , 6 基本特征图( 所有特征均为强制特征) 到u m l 的映射3 5 国防科。学技术人学研究生院学协论文 图4 7 含有可选特征或二选一特征的特征图到u m l 的映射 图4 8 通用有限状态机系统族组件集合 图4 9 通用有限状态机系统族组件使用关系 图4 1 0 网络行为有限状态机系统族组件集合 图4 1l 网络行为有限状态机系统族组件使用关系 图4 1 2 模板元程序设计图示【2 2 】 图4 1 3 网络行为有限状态机处理行为事件的流程 图4 1 4 网络行为有限状态机的激励算法 图4 1 5 小型对象分配器( s m a l lo b j e c ta l l o c a t o r ) 的四层构造 图4 1 6s m a l l o b j e c t a l l o c a t o r 的对象分配算法 图4 1 7 小对象分配释放算法测试结果图 图4 1 8 小对象分配测试结果图 图4 1 9 小对象释放算法测试结果图一 图4 2 0 行为标示对象的释放算法 图4 2 l 解析器的有限自动机的状态转换图5 1 图5 1 系统的m v c 模型5 3 图5 2 图元的创建模式- - p r o t o t y p e 模式5 4 图5 _ 3 图元的绘制模式- - t e m p l a t em e t h o d 模式5 4 图5 4 图元选择算法5 5 图5 5 图元连接算法5 6 图5 6 绘图算法流程图5 7 图5 7c f u i a c t i o n 及其子类的类层次结构图5 8 图5 8 宏命令的c o m p o s i t e 模式5 9 图5 9 执行u n d o 操作的过程描述5 9 图5 1 0 u n d o 操作的s t r a t e g y 模式描述6 0 图5 11u n d o 操作的m e m e m t o 模式描述6 0 图5 1 2c a c t i v e m o d e l b n i l d e r c t r l 的f a c a d e 模式6 l 图5 1 1 3 图元的c o m 封装的a d a p t e r 模式6 l 图5 1 4c o m p o n e n tb r o w s e r 的运行效果图6 2 图5 1 5i c m p 协议的行为分析有限状态机建模图6 3 拍”弛叭甜钙钉m娜 = | 一 一 “ 国防羊 。浮技术人2 二研究生院学何论文 表目录 表4 1 通用有限状态机系统族组件的分层描述 表4 2 通用有限状态机系统族组件的g e n v o c a 描述 表4 _ 3 网络行为有限状态机系统族组件的分层描述 表4 4 网络行为有限状态机系统族组件的g e n v o c a 描述 表4 5 通用的报文转储文件格式 表4 6 改进后的报文转储文件格式 3 7 3 8 3 9 3 9 5 2 5 2 国防科学技术人产研，i 生院学位论文 第一章绪论 1 1 课题背景 随着计算机网络及相关技术的发展与普及，政府机关、军事机构、企事业单位已经越 来越多地利用计算机网络开展日常工作和业务，以充分共享和利用网络的信息资源。计算 机网络正在经济和生活的各个领域迅速普及，整个社会对计算机网络的依赖程度越来越 高。但是，越来越庞大的网络及其迅速更新的相关技术也带来了不断增长的安全威胁，网 络安全已成为一个备受关注的问题。然而更大的安全威胁来自网络内部，2 0 0 3 年美国计 算机安全协会( c s i ) 和旧金山联邦调查局( f b i ) 计算机入侵小组共同开展的“计算机 犯罪和安全调查”的统计数据显示，有近5 0 的安全破坏是在组织的网络内部发生的，超 过了来自外部的攻击( 还有一些是未知来源的攻击) 。除数据破坏以外，信息外泄也成为 一个网络安全亟需解决的重要问题，网络的复杂性和隐蔽性使得组织内部的机密信息更容 易透过网络被泄露出去，其造成的危害和损失不亚于有时甚至大大高于直接的数据破坏。 如何对网络内部主机的行为进行监视与控制是解决问题的基础和关键所在。 目前，网络行为的分析技术按照其分析目标可以分为面向报文和面向会话两大类。前 者的典型应用是各类网络入侵监测技术，包括基于报文的模式匹配、统计等方法，并已有 很多相关成熟的产品。后者则从会话的角度分析网络行为的整个过程，可分析行为的状态 变迁，并根据激发状态变迁的事件信息作各种统计和分析，这种分析技术得到的信息比面 向报文的更详细、更全面，且它对行为状态本身和状态变迁的分析是面向报文的分析技术 无法做到的，但是这种方式由于需要保存会话状态而导致分析开销的增大，目前面向会话 的网络行为分析技术的研究远没有前者广泛和成熟，国内外都还没有面向会话的成熟完整 的网络行为监控系统。事实上，对网络行为的深入研究需要结合两者特点，取长补短，从 行为的可视化交互信息和底层的报文协议信息两个层面共同展开分析工作以获取更加全 面详细的行为信息。 在面向报文的网络分析软件中，n a i 公司的s n i f f e r p r o 是最为出色的，然而， s n i f f e r p r o 虽然具有强大网络报文分析和统计功能，却没有对针对网络行为的分析，一般 主要用于网络故障诊断和网络性能测试等相关领域。 在网络行为监控系统中，深圳德尔公司的网路岗相对来说是比较出色的。网路岗能够 对常见的应用层信息进行分析，目前支持啪门p 、p o p 、s m t p 、q q 、i c q 、f t p 、t e l n e t 、s m b 等八种应用层协议。但是网路岗的行为分析功能和系统紧耦合，可扩展性不高，此外，网 路岗没有报文分析功能，无法从底层分析网络行为，而从网络行为的底层分析是分析行为 协议特性和行为重放的基础。最关键的是，网络岗对行为的分析只是停留在从单个报文中 提取行为相关信息的层面，并没有实现面向会话的行为分析，本质上还是面向报文的网络 行为分析软件。 加州大学伯克利分校的e - n e x t ( n e t w o r ko fe x c e l l e n c ei ne m e r g i n gn e t w o r k i n g e x p e r i m e n t sa n dt e c h n o l o g i e s ) 研究小组在网络报文分析方面做了深入研究，著名的 w i n p c a p 、w i n d u m p 等报文分析的开源软件都出自该研究小组，但是他们的研究工作也还没 有涉及面向会话的网络行为分析。 第1 页 国防科学技术人学研究生院学何论丈 1 2 课题研究的目标、内容和意义 针对以上这些问题，本文围绕如何实现基于通用有限状态机的网络行为分析、如何有 效提高分析效率和如何实现高度可扩展的软件体系结构以适应不断增加的行为分析插件 等三大问题，提出了基于通用有限状态机的分布式网络行为监控系统，并建立了原型系统。 该系统通过捕获网络报文对其进行协议分析，并基于协议相关的通用有限状态机进行行为 分析，不但实现了面向报文的协议解析，更实现了面向会话的网络行为的分析、记录、显 示与统计，并能够在一定程度上控制网络行为，同时系统高度可扩展的体系结构使得本系 统可有效支持二次开发和网络行为分析插件的不断扩充。 在“十五”8 6 3 项目“分布式网络监控与预警系统”( 编号：2 0 0 3 a a l 4 2 0 1 0 ) 的支持下， 本文结合我国具体国情，重点研究了分布式的网络行为监控系统，主要工作集中在报文的 协议解析、系统体系结构设计、基于通用有限状态机的行为分析技术和提高行为分析效率 的关键技术的研究等方面，旨在提高系统的行为分析能力和效率以及增强系统的可扩展 性。本文的主要工作包括： 1 ) 基于通用有限状态机的网络行为分析技术的研究与实现 a ) 网络行为的通用有限状态机描述与分析技术的研究和实现。控制台将监控代理 提交的行为事件根据协议类型派发给各个网络行为分析插件，由插件完成行为 的状态分析以及信息提取、显示和存储，这里提取的信息与协议相关，不仅包 括行为信息而且包括网络信息和主机信息。本系统实现的网络行为分析插件针 对相应协议利用基于协议有限状态机对收到的行为事件信息进行分析、归类和 存储，改变相应的行为的状态，并在状态改变时执行相应动作，具有准确、直 观、灵活、高扩展性等特点。 b ) 网络行为分析的通用有限状态机可视化建模与实现代码的自动生成技术的研 究与实现。为了提供面向行为分析的有限状态机的可视化建模方式，系统设计 并实现了网络行为有限状态机建模系统，提供方便的人机交互界面，易于操作， 可以根据用户所建立的有限状态机模型自动生成相应状态机的c + + 实现代码， 提高了开发效率。 c ) 报文的协议解析与行为事件生成技术的研究与实现。监控代理能够依据过滤规 则高效过滤和捕获所在主机收到的所有类型的报文，通过将原始报文的比特流 还原成协议栈形式的树状结构，取得每一层协议的各个字段的信息，依据协议 特性向控制台报告x m l 描述的报文包含的行为事件信息。 d ) 通用可视化建模控件a c t i v em o d e lb u i l d e r ( a c t i v e xc o n t r 0 1 ) 的设计与实现。 e ) 基于c o m a u t o m a t i o n 自省技术的通用运行时对象属性访问控件c o m p o n e n t b r o w s e r ( a c t i v e x c o n t r 0 1 ) 的设计与实现。系统利用c o m 对象的自省能力设 计并实现了一个类似v i s u a ls t u d i o n e t 的属性浏览器的c o m 对象属性浏览控 件，以统一的方式提供了运行时对象属性的修改能力，实现了对象的数据表示 和u i 表示的解耦，极大提高系统的开发效率。 2 ) 有效提高网络行为分析效率的关键技术的研究与实现 a ) 高效的并行会话还原算法的研究与实现。系统在保证了与常见报文存储文件格 式兼容的前提下，设计并实现并行的会话还原算法，大幅度提高了处理海量报 文时会话还原的效率。 b ) 高效的网络行为状态对象与标示对象的分配算法的研究与实现。网络行为有限 第2 页 国防科学技术人学研究l 院学能论史 状态机用到的网络行为状态对象和行为标识对象非常小甚至小至数个卢 节，而这些对象正如网络行为有限状态机处理网络行为事件算法中描述的那 样，只能动态分配。c + + 预设的对象分配器不能高效分配此类对象，本文提出 并实现了适合于此类“小对象”的动态分配算法，时空开销都小于预设分配器。 c ) 高效的有限状态机激励算法的研究与实现。本系统实现的有限状态机处理事件 的激励算法采用了状态激励算法，有效降低了时空开销。 3 ) 系统高度可扩展的软件体系结构的设计与实现 a ) 分布式网络行为监控系统的分层异构软件体系结构的设计与实现。系统总体上 采用了分层异构的体系结构模式，在w i n d o w s 平台的实现则以a g e n t m a n a g e r 方式了实现层之间的耦合，其中a g e n t 为监控代理( m o n i t o r a g e n t ) ，m a n a g e r 为系统控制台( m o n i t o r c o n s o l e ) 。 b ) 完整支持插件、具有高度可定制性与可扩展性的a s e ( a d d l ns u p p o r t e d e n v i r o n m e n t ) 软件体系结构模式的设计与实现。系统控制台需要集成大量协议 相关的行为分析插件，这些插件具有显示行为信息的图形用户界面，同时这些 插件为了对外提供交互手段，还必须在控制台内动态添加u i 元素。如工具栏、 菜单等。为了实现这些复杂要求，同时使系统更具可扩展性，系统提出并实现 了完整支持插件并具有高度可定制性与可扩展性的a s e 体系结构模式。控制 台基于c o m 平台实现了a s e 体系结构模式，使软件架构更加合理，提高了系 统的稳定性、可重用性和可维护性。 本系统可广泛应用于网络安全领域，如网络拓扑发现、入侵监测、网络信息取证、 网络行为监视和控制、网络攻击行为分析等。 1 3 论文组织结构 本文共分为六章，各章的组织结构如下： 第一章为绪论，主要介绍课题的选题背景、本课题的研究目标、研究内容及论文的组 织结构。 第二章介绍与本课题研究相关的报文捕获技术、协议解析技术、网络行为分析技术、 产生式系统设计等相关的研究工作，并分析了现有技术的优缺点。 第三章描述了整个系统的分层异构体系结构，提出并实现了完整支持插件、具有高度 可定制性与可扩展性的a s e 体系结构模式，阐述了各子系统功能以及数据和控制流程。 第四章重点介绍了基于有限状态机的网络行为分析的关键技术的研究与实现，并详细 分析了并行的会话还原算法和网络行为状态对象与标示对象的分配算法的研究与实现。 第五章分析了面向网络行为分析的有限状态机建模系统的设计与实现以及行为分析 有限状态机代码的自动生成技术，分析了基于c o m a u t o m a t i o n 自省技术的通用运行时对象 属性访问控件c o m p o n e n tb r o w s e r 的实现技术。 第六章为结束语，总结了全文的工作并指出了下一步研究的方向。 1 4 本文的研究成果 本文深入研究了基于通用有限状态机的网络行为分析技术，包括报文的协议解析与行 第3 页 国防事 学技术人学趼究生l 筑晋：忙论文 为事件生成技术、网络行为的通用有限状念机描述和分析以及网络行为的通用有限状态机 可视化建模与分析代码的自动生成技术，提出并实现了高效的并行会话还原算法研究并 实现了分布式网络行为监控系统的分层异构软件体系结构等。实现了一个基于通用有限状 态机的分布式网络行为监控系统的原型，包括监控代理、控制台、报文协议分析系统和网 络行为有限状态机的建模系统。 第4 页 国防科学技术人学研宄生院学位论之 第二章相关技术及相关研究工作 网络安全的实质是信息安全，凡涉及网上信息保密性、完整性、可用性、真实性、可 控性的技术和理论都属于网络安全的研究领域，而网络行为监控是其实现的主要手段。网 络行为监控通过分析网上数据来监测各种网络行为，并根据监 9 1 l | 结果报警、向应，达到主 动发现敏感行为的目的。网络行为监控系统比传统入侵检测系统的功能更强，最重要的原 因就是它是基于会话进行行为分析，分析时它保存了会话的状态信息。而传统的入侵检测 系统无法针对会话进行分析，根本上还只是基于报文进行各种特征匹配j 。 要实现基于会话的行为分析，系统除了实现基本的报文捕获外，还需要实现报文的协 议解析，将原始报文的比特流还原成协议栈形式的树状结构，取得每一层协议的各个字段 的信息，向行为分析引擎提交行为事件信息，而行为分析引擎则需要将事件信息归并到相 应会话中，依据会话的当前状态完成行为分析p 】。 本章从系统需要实现的基本核心功能出发，主要介绍了报文捕获技术、报文协议解析 技术与网络行为分析技术，此外还概括介绍了实现网络行为有限状态机所使用的产生式系 统设计理论。 2 1 报文捕获技术 网络报文捕获是报文协议分析的基础，报文捕获在基于口的网络中发挥着越来越重要 的作用，作为网络监控的关键技术，被广泛地应用于分布式实时控制系统、网络故障分析 系统、入侵检测系统、网络监控系统、计算机信息取证系统等领域中。 然而，随着网络带宽的不断增加，在处理效率方面，在通用平台上使用b p f 作为报文 捕获手段将面临越来越大的效率上的挑战【6 】。另外，越来越复杂的网络监测工具、大量并 发程序的存在也增加了报文捕获的负担1 。 当前已经有许多研究工作试图追求灵活、高效的网络报文捕获机制。一方面，有许多 研究集中在进一步完善b p f 。d p f f 8 】，它利用运行时产生的知识，使用动态代码产生技术来 提高b p f 的性能；b p f + t ”，它使程序员可以用高级语言编写b p f 的报文过滤器，并且使用 验证器以保证所产生代码的安全性。然而，多数的网络监测程序并不需要复杂的报文过滤 机制，它们往往是接收所有报文后再自己处理，因此并不能充分利用上述的优化措施。 x p f t m l ，它没有增强b p f 对报文过滤的性能，而是扩展了b p f 的过滤器使之可以执行报文监 测功能。这样，网络监测的核心功能在内核完成，因此可以提高整体效率。但是，它需要 为网络监测的核心功能编写新的过滤器程序，对于功能复杂的应用来说是困难的。 另一方面，有的研究致力于为网络监测开发专门的系统结构【1 1 1 【1 2 i ，例如，f l a m e l ”】 提供了一种可编程的报文监测系统：提供机制可以将代码载入到操作系统内核中，并且通 过使用类型安全的语言以及在运行时的检查保证安全性。这些为报文监测设计的专用系统 提供了大量的复杂函数和功能，但是对于那些已经存在的工具，必须重新花很大的力气去 实现。加上这些系统结构本身还远未成熟，因此也没有被广泛使用。 目前，w i n d o w s 平台上应用最广泛的报文捕获库是基于b p f 【4 】的w i l l p c a p 库吼本节首 先介绍w i n d o w s 平台下报文捕获的基本方法，然后介绍目前常用的报文监听方式。 第5 页 国防科1 j 技术人学研究生院。学位沦文 2 1 1w i n d o w s n t 2 0 0 0 x p 下的报文捕获 一般的网络报文捕获系统利用的是w i n d o w s 下的a p i h o o k 技术，即利用自己的d l l 函 数钩挂了w i n s o c k 2s p i 函数。这种方式实现的系统实际上是工作在系统的用户态，所以每 次分析报文时都是将报文内容从内核的内存空间拷贝到用户程序的内存空间，所以效率比 驱动程序低得多，当网络流量很大时，丢包率就很高，系统就损失了可靠性。 w i n p c a p 利用t b p f 的w i n d o w s 版本，通过n d i s 驱动程序依据过滤规则过滤和捕获报 文。n d i s 为传输层( t c p 、u d p 位于传输层) 提供标准的网络接口，所有的传输层驱动程 序都需要调用n d i s 接口来访问网络【1 4 1 。n d i s 在w i n d o w s p , j 核中所处的位置以及中间驱动 程序与上下层驱动程序、n d i s 驱动程序之间的关