（计算机应用技术专业论文）基于规则转换的linux平台下入侵防御系统（rtips）研究与设计.pdf

中南大学硕士学位论文摘要 摘要 由于计算机网络环境日趋复杂，新的攻击方法层出不穷，传统 单一安全技术难以确保网络的安全。为弥补防火墙和入侵检测系统 等传统安全技术之不足，入侵防御系统( i n t r u s i o np r e v e n t i o n s y s t e m ，i p s ) 便应运而生。i p s 综合了防火墙的粗粒度检测功能和 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 的细粒度检测功 能，紧密实现上述两种安全机制的互动互利，对受保护网络提供更 为完善的服务。 本文首先论述了相关技术基础，深入讨论了防火墙和入侵检测 这两种传统主流网络安全技术并分析了各自缺陷；然后，研究了i p s 的发展、分类和规则转换的相关问题，以及基于规则转换的l i n u x 平台下入侵防御系统( r u l et r a n s f o r m - b a s e di n t r u s i o np r e v e n t i o n s y s t e mo nl i n u x ，r t i p s ) 的设计原则，设计了r t i p s 系统结构，系 统包括入侵检测模块、防火墙暨入侵防御模块、控制服务模块、告 警日志服务模块、控制中心、数据中心和安全审计中心共七个模块； 接着，给出了r t i p s 的详细设计与实验性实现，并对r t i p s 进行了 测试并取得较满意的结果。 r t i p s 融合了防火墙、入侵检测技术等，通过采用i p s 主动响应 技术和l o s 被动响应技术的协同工作，实现了全方位、多层次的网 络安全防御体系，提高了主动实时的入侵响应能力，确保了网络整 体的安全性。 关键词：网络安全，防火墙，入侵检测，入侵防御，规则转换 i i 中南大学硕士学位论文 a b s t r a c t a b s t r a c t t h en e t w o r ke n v i r o n m e n tb e c o m e sm o r ea n dm o r ec o m p l e x ，a n dt h e n e wm e t h o d so fa t t a c k so c c u ri n c r e a s i n g l y , t h e r e f o r es i n g l es e c u r i t y t e c h n o l o g yc a n ts a t i s f yt h en e e df o rn e t w o r ks e c u r i t yo fc o r p o r a t i o n s i n t r u s i o np r e v e n t i o ns y s t e m ( i p s ) i sf l e s hi n f o s e c u r i t yt e c h n o l o g yt o m a k eu df o rt h ei n a b i l i t i e so ff i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e m ( 1 d s ) f i r e w a l li sa b l et od e f e n s ea t t a c ka c t i v e l y , a n di d sh a st h ea b i l i t y t od e t e c tn e t w o r kt r a f i l e i p si m p l e m e n t st i g h t l yi n t e r a c t i o n sb e t w e e n f i r e w a l la n di d sb yi n t e g r a t i n gt h e i ra d v a n t a g e st op r o v i d em o r e e f f e c t i v es e c u r i t yp r o t e c t i o n a tt h ev e r yb e g i n n i n g ，t h et h e s i si n t r o d u c e si n t r u s i o nd e t e c t i o n t e c h n o l o g ya n df i r e w a l lt e c h n o l o g yr e l a t i n gt ot h et o p i c ，a n dt h e ng i v e sa t h o r o u g h l yo v e r v i e wo ft h ed e v e l o p m e n ta n dc l a s s i f i c a t i o no fi p s t h e n t h ed e s i g nr u l ea n df r a m e w o r ko ft h er u l et r a n s f o r l n b a s e di n t r u s i o n p r e v e n t i o ns y s t e mo nl i n u x ( r t i p s ) a r ed i s c u s s e d t h e nt h ed e s i g ni n d e t a i la n dr e a l i z a t i o no fr t i p sa r eg i v e n o fc o u r s e ，t h et e s t i n gr e s u l to f ak e m e lm o d u l ei nt h i ss y s t e mh a sb e e ni l l u s t r a t e d r t i p si n t e g r a t e st h et e c h n o l o g i e so ff i r e w a l la n di d s r e l y i n go n t h ec o o p e r a t i o nb e t w e e nt h e s ec o m p o n e n t s ，i ti m p r o v e st h ea c t i v ea n d r e a l t i m ea b i l i t yo fi n t r u s i o nr e s p o n s e f u r t h e r m o r e i ti m p l e m e n t s c o m p l e t ep r o t e c t i o no fn e t w o r ke n v i r o n m e n ta n di m p r o v e st h ee n t i r e s e c u r i t y k e yw o r d s ：n e t w o r ks e c u r i t y , f i r e w a l l ，i n t r u s i o nd e t e c t i o n ，i n t r u s i o n p r e v e n t i o n ，r u l et r a n s f o r m i i i 中南大学硕上学位论文 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致 谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得中南大学或其他单位的学位或证书而使用过的材 料。与我共同工作的同志对本研究所作的贡献均已在在论文中作了 明确的说明。 作者签名：泌虹 日期：兰丝工年生月望日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学 位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学 位论文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：鎏数 轴 导师签名- 兰竺竺垦 日期：兰竺z 年月三主日 中南大学硕士学位论文 第一章引言 1 1 研究背景 第一章引言 互联网在全球范围广泛渗透到我们的生活中，已经成为人类发展不可或缺 的信息基础设施。2 0 0 6 年1 月1 7 日，中国互联网络信息中心( c n n i c ) 在京发 布? 第十七次中国互联网络发展状况统计报告”。报告显示，我国互联网正处 于发展的黄金时期，截至2 0 0 5 年1 2 月3 1 日，我国上网用户总数突破1 亿，达 到1 1 1 亿人，i p 地址总数达到7 4 3 9 万个，仅次于美国和日本，位居世界第三。 与此同时，网络安全事件也层出不穷。2 0 0 6 年，公安部就我国信息网络安 全状况暨计算机病毒疫情进行了一次较大规模调查。经对调查数据统计分析， 2 0 0 5 年5 月至2 0 0 6 年5 月间，有5 4 的被调查单位发生过信息网络安全事件， 其中，感染计算机病毒、蠕虫和木马程序为8 4 ，遭到端口扫描或网络攻击的 占3 6 ，垃圾邮件占3 5 。计算机病毒感染率为7 4 ，多次感染计算机病毒的用 户数量为5 2 。人们对网络安全的回顾是：网络安全工作没有结束感，网络安 全问题将伴随互联网的发展而依然长期存在。 1 2 国内外入侵防御系统( i p s ) 研究现状与水平 由于传统被动式安全防护系统的局限性，主动防御的思想被推到了前台。 日前，国内外的信息安全专家、学者以及安全厂商都认识到了采取主动防御的 重要性，都在积极地进行主动防御方面的研究和探讨，提出了许多实施主动防 御的创新思想和策略，并开发出了相应的主动防御产品。 1 2 1 国外i p s 研究现状与水平 目前，越来越多的网络安全公司正在从被动的入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m 。i d s ) 转移到采取主动防御的入侵防御系统( i n t r u s i o n p r e v e n t i o ns y s t e m ，i p s ) 。市场上既有独立的i p s 设备，如i s s 的p r o v e n t a 系列、m c a f e e 的i n t r u s h i e l d 系列、j u n i p e r 的i d p ( i n t r u s i o nd e t e c t i o na n d p r e v e n t i o n ) 系列，也有安全厂商将入侵防御功能集成到安全设备当中，如 s y m a n t e c 、w a t c h g u a r d 、s o n i c w a l l 等都将入侵防御作为一个功能模块集成到 自己的安全网关设备当中。 t o pl a y e r 公司推出的a t t a c km i t i g a t o ri p s 硬件产品可以阻击由防火墙 漏掉的或i d s 只能检测而不能处理的网络攻击，从而减少因网络攻击而受到的 中南丈学硕士学位论文第一章引言 损失，增强网络的性能和可用性。 j u n i p e r 公司的入侵检测和防御产品i d p 把入侵检测和防御功能整合进一 个设备中并拥有优秀的管理能力。其多元检测技术具有八种检测机制，并且在 一个单独的平台上提供了所有其他几个品牌产品具有的功能。而且，它是基于 “内嵌”进整个网络来进行设计的，可以更主动的阻止入侵。c h e c kp o i n t 公 司在其防火墙产品f i r e w a l 卜i n g 中构造了s m a r t d e f e n s e 系统。它使用了由 c h e c kp o i n t 开发的可以在掌握通信状态的情况下检测出可疑数据包的 s t a t e f u li n s p e c t i o n 引擎。s m a r t d e f e n s e 不仅能满足防火墙0 1 访问控制、认 证等方面的需求，还能够对各种己知未知的网络攻击进行主动检测并积极防 范。 m c a f e e 推出的网络入侵防护解决方案m c a f e ei n t r u s h i e l d 拥有强大的可 编程安全硬件，对已知未知攻击、d o s 攻击都可以进行防护，可以同时线速支 持成千上万的特征且不会丢包；主机入侵防护解决方案m c a f e ee n t e r c e p t 提供 了更加有效的、可管理的防护性能，为企业提供了有效防护，可有效阻挡像红 色代码、尼姆达和s t a m m e r 病毒这样的混合威胁”1 。 c o m p u t e ra s s o c i a t e s 公司基于主机的入侵防御系统e t r u s ta c c e s s c o n t r o l 简化了u n i x 或w i n d o w sn t 的安全管理与增强特性。 1 2 2 国内i p s 研究现状与水平 在国内，i p s 曾多次在相关媒体上报道，安全厂商和安全人士对i p s 也十分 关注，一些防火墙厂商集成了防范部分攻击的功能，如天融信的防火墙4 0 0 0 一u f 内置有i p s 功能“”，联想网御系列防火墙可以检测出1 0 0 0 余种攻击行为。 绿盟科技的抗拒绝服务攻击产品“黑洞”采用高效防护算法和嵌入式体系 结构，能给用户提供一体化的抗拒绝服务攻击解决方案。黑洞使用自主研发的 抗拒绝服务( d e n i a lo fs e r v i c e ，d o s ) 攻击的“反向探测”和“指纹识别”算法， d o s 攻击下，连接维持率和新发起连接可用率可以达到9 0 ，比传统的 s y n c o o k i e s 和r a n d o md r o p 算法效率要高。作为专用的抗d o s 产品，黑洞采用 了多重体系结构：在技术架构中设计了4 个专用引擎，增加了防止连接耗尽，以 增强对典型“以小吃大”的资源比拼型攻击( 包括大规模的多线程下载) 的防护 能力。 启明星辰公司的安星个人主机防护系统是专门用于个人主机防范入侵或误 操作的安全保护系统，可对w i n d o w s 环境下的个人主机资源进行实时监测和有 效防护，它以系统默认策略和用户自定义策略为保护依据，从文件、注册表、 网络通信以及拨号网络四个方面进行安全控制。 总的来说，与国外轰轰烈烈的场面相比，国内的入侵防御技术发展比较缓 慢，产品也比较少，在技术上还有较大的差距。 2 中南大学顾士学位论文 第一章引言 目前，提得比较多的入侵防御方案一般是采用防火墙和i d s 联动的工作模式。 这种工作模式试图结束各网络安全设备单打独斗的局面，以实现它们之间的协同 工作，从而发挥整体优势。在这种工作模式中，用户需要分别购买防火墙和入侵 检测系统，如果入侵检测系统检测网络中存在入侵行为的话，就将检测结果通知 防火墙，防火墙就会因此修改过滤规则，并采取阻断连接等方式主动响应。这种 联动的工作模式存在不足，具体如下： 1 使用两个产品防御攻击会使系统变得比较复杂。如果任何其中一个产品发 生故障，都会导致安全防范体系的崩溃。 2 两个产品的维护成本比较高。 3 防火墙和入侵检测产品的互动并没有一个广泛认可的标准。这样，用户在 采购安全产品的时候就会比较被动，必须考虑不同产品的交互性问题，从而大大 限制了用户选择产品的范围。 1 3 本文主要研究内容与目标 目前，安全防御体系和安全产品市场正出现如下变革：从“被动防御”向 “主动防御”过渡，从“产品叠加型”向“策略管理型”过渡，从“单一形式” 向“集中管理( u t m ) ”过渡。正是基于这样一种思想，本文主要将从以下几个 方面展开研究： 1 研究入侵防御系统发展、分类、实现难点及规则转换的相关问题。 2 通过规则转换方法，在l i n u x 平台下将防火墙的粗粒度检测功能与i d s 的细粒度检测功能有机融合到同一个系统中，从而设计一个全新的入侵防御原 型系统r t i p s ( r u l et r a n s f o r m b a s e di n t r u s i o np r e v e n t i o ns y s t e m ) ，并给 予试验性实现。 3 研究r t i p s 传感器与控制中心的通信和告警日志信息的传输。 1 4 本章小结 本章介绍了本文的研究背景和国内外i p s 研究现状与水平。 首先介绍了本文的研究背景：当前，互联网络迅猛发展，与此同时，网络 安全事件也层出不穷。然后，分析了目前国内外在入侵防御领域的研究现状与 水平，总的说来，国外的研究水平比较高，国内研究水平与国外相比还有较大 差距。目前一般的防御解决方案是采用防火墙与i o s 联动的模式，这种模式存 在不少弊端。基于这一点，本文提出了一种新型的防御解决方案r t i p s 。 中南大学硕士学位论文第二章相关基础技术研究 第二章相关基础技术研究 2 1 网络安全p 2 d r 模型 p 2 d r 动态安全模型( 见图2 - i ) 是网络安全中一个著名的网络安全模型，它最 早由美国国际互联网安全系统公司( i s s ) 提出，其指导思想比传统静态安全方案 有突破性提高“”。 p 2 d r 动态安全模型包括p o l i c y ( 策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检 测) 和r e s p o n s e ( 响应) 。 图2 - 1p 2 d r 动态安全模型 事实证明，行之有效的安全策略应该包括防护、实时的检测和响应，并且 这个过程应该围绕着统一的策略来进行。根据p 2 d r 动态安全模型，一个良好的 完整的动态安全体系，不仅需要恰当的防护( 比如操作系统访问控制、防火墙、 加密等) ，而且需要动态的检测机制( 比如入侵检测、漏洞扫描等) ，在发现问题 时还需及时作出响应。这样，防护、检测和响应组成了一个完整的动态安全循 环。系统在统一的安全策略的指导下实施，从而确保信息系统的安全。 p 2 d r 动态安全模型具体说明如下： 1 p o l i c y ( 安全策略) 安全策略是安全管理的核心。要想实施动态网络安全循环过程，必须首先 制定企业的安全策略。所有的防护、检测、响应都是依据安全策略实施的，企 业安全策略为安全管理提供管理方向和支持手段。 2 p r o t e c ti o n ( 保护) 保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防 4 中南大学硕上学位论文第二章相关基础技术研究 火墙、加密、认证等方法。通过防火墙监视限制进出网络的数据包，可以防范 外对内及内对外的非法访问，提高了网络的防护能力。 3 d e t e c t i o n ( 检测) 在网络安全循环过程中，检测是非常重要的一个环节，检测是动态响应的 依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系 统来发现新的威胁和弱点，通过循环反馈来及时作出有效响应。 4 r e s p o n s e ( 响应) 紧急响应在安全系统中占有最重要的地位，是解决潜在安全性最有效的办 法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决 好紧急响应问题，就要制订好紧急响应方案，做好紧急响应方案中的一切准备 工作。 2 2 防火墙( f if e w a i i ) 2 2 1 概述 根据c h e s w i c k 及b e l l o v i n 的定义n 3 1 ，防火墙“m 7 儿”1 是位于两个网络间的 系统，并具有以下特性： 1 所有由外到内以及由内到外的通信都必须经过防火墙。 2 只有经过安全策略( s e c u r i t yp o l i c y ) 授权通过的通信才可以通过防火 墙。 3 防火墙本身不会被侵入。 防火墙本质上是进行访问控制的一种防御机制，对来往的网络通讯流量进 行检查，再依据安全策略来决定让其通过还是加以阻止。防火墙安全策略的定 义通常有两种，一是预设允许( d e f a u l ta l l o w ) ，另一个是预设拒绝( d e f a u l t d e n y ) 。 预设允许策略代表防火墙预设对所有通讯都采取允许通过的动作，通过定 义额外的拒绝策略规则( p o l i c yr u l e ) 来阻挡危险通讯，配置相对较容易；而 预设拒绝策略代表防火墙预设对所有通讯都采取拒绝通过的动作，对于想要允 许通过的通讯必须制定与之相对应的允许策略规则，配置相对麻烦一些，但安 全性要高一些。 2 2 2 常用防火墙及其缺点 自1 9 8 6 年来，防火墙技术得到了飞速发展。目前防火墙发展己经历了五代， 分别是包过滤防火墙、电路层防火墙、应用代理防火墙、状态监测防火墙和自 适应代理防火墙。目前最为常用的防火墙有包过滤防火墙和应用代理防火墙， 下面具体对这两类防火墙及其缺陷进行讨论“”。 中南大学硕：l 学位论文第二章相关基础技术研究 1 包过滤型防火墙( p a c k e tf i l t e r ) 锄o ：包过滤型防火墙处于t c p i p 协 议的i p 层，它是根据定义好的过滤规则审查每个数据包并确定数据包是否与过 滤规则匹配，从而决定数据包的转发或丢弃，它拥有较强的“透明度”f i e o 过 滤规则是按顺序进行检查，直到有规则匹配为止。包过滤型防火墙只能实现基 于i p 地址和端口号的过滤功能，它实际上是允许内部网络上的主机直接访问外 部网络，而外部网络上的主机对内部网络的访问则要受到限制。 包过滤型防火墙的缺点口0 1 ： ( 1 ) 工作在网络层，只检查i p 和t c p 的包头，不能彻底防止地址欺骗。 大多数包过滤路由器都是基于源i p 地址、目的i p 地址进行过滤的，而i p 地址的伪造是很容易、很普遍的。过滤路由器在这点上大都无能为力。即使按 m a c 地址进行绑定，也不是完全可信的。 ( 2 ) 一些应用协议不适合于数据包过滤。 即使是完美的数据包过滤实现，也会发现一些协议不适合经由数据包过滤 进行安全保护。而且，服务代理和h t t p 的链接，大大削弱了基于源地址和源端 口的过滤功能。 2 应用代理型防火墙( p r o x y ) ：应用代理型防火墙工作在应用层，在应用层 实现防火墙功能。每一种应用都需要安装和配置不同的应用代理程序。它主要 使用代理技术来隔离内部网络和外部网络之问的直接通信，达到隐藏内部网络 的特性。代理型防火墙除了能实现包过滤防火墙的功能外，还能实现基于用户 的身份认证功能，以及应用协议内部的更详细控制功能。 应用代理防火墙的缺点： ( 1 ) 代理速度较路由器慢。 代理工作于应用层，要检查数据包的内容，按特定的应用协议如h t t p 进行 审查、扫描数据包内容，并进行代理( 转发请求或响应) ，故其速度较慢。 ( 2 ) 代理对用户不透明。 许多代理要求客户端作相应改动或安装定制客户端软件，这给用户增加了 不透明度。 2 2 3 防火墙n e t f i l t e r 在l i n u x 内核版本2 4 以上采用的n e t f i l t e r 架构“6 m ”“”是一种内核中 用于扩展各种网络服务的结构化底层框架。n e t f i l t e r 的设计思想是生成一个 模块结构使之能够比较容易扩展，新特性加入到内核中并不需要重新启动内核。 这样，可以通过简单的构造一个内核模块来实现网络新特性的扩展。这给底层 网络特性扩展带来了极大便利，使从事网络底层研发的人员能够集中精力实现 新的网络特性。 在l i n u x 2 4 内核中配置n e t f i l t e r 框架的程序是一个使用g e t s o c k o p t 6 中南大学硕士学位论文第二章相关基础技术研究 系统调用与内核通讯、称为i p t a b l e s 的数据报选择系统。i p t a b l e s 就是 i p c h a i n s 的后继工具，但有更强的可扩展性。内核模块可以注册一个新的规则 表( t a b l e ) ，并要求数据报流经指定规则表。这种数据报选择用于实现数据报过 滤( f i l t e r 表) ，网络地址转换( n a t 表) 及数据报处理( m a n g l e 表) 。l i n u x 2 4 内 核提供的这三种数据报处理功能都基于n e t f i l t e r 的钩子函数和i p 表。它们 是独立的模块，都集成到了由n e t f i l e t e r 框架中。 对n e t f i l t e r 框架作如下说明： 1 为每种网络协议( i p v 4 、i p v 6 等) 定义一套钩子函数，这些钩子函数在数 据报流过协议栈的几个关键点被调用。在这几个点中，协议栈将把数据报及钩 子函数标号作为参数调用n e t f i l t e r 框架。 2 内核中任何模块可以对每种协议的一个或多个钩子进行注册，实现挂接， 这样当某个数据包被传递给n e t f i l t e r 框架时，内核能检测是否有任何模块对 该协议和钩子函数进行了注册。若注册了，则调用该模块的注册时使用的回调 函数，这样这些模块就有机会检查( 可能还会修改) 该数据包、丢弃该数据包及 指示n e t f i l t e r 将该数据包传入用户空间的队列。 3 排队的数据包被传递给用户空间异步地进行处理。一个用户进程能检查 数据包，修改数据包，甚至可以重新将该数据包通过离开内核的同一个钩子函 数中注入到内核中。 4 任何在i p 层要被抛弃的i p 数据包在真正抛弃之前都要进行检查。例如 允许模块检查i p s p o o f e d 包( 被路由抛弃) 。 5 i p 层的五个h o o k 点的位置如图2 2 所示。数据报从左边进入系统， 进行i p 校验以后，数据报经过第一个钩子p r e r o u t i n g 进行处理；然后就进 入路由代码，其决定该数据包是需要转发还是发给本机的；若该数据包是发被 本机的，则该数据经过钩子i n p u t 处理以后然后传递给上层协议；若该数据包 应该被转发则它被f o r w a r d 处理；经过转发的数据报经过最后一个钩子 p o s t r o u t i n g 处理以后，再传输到网络上。本地产生的数据经过钩子函数o u t p u t 处理后，进行路由选择处理，然后经过p o s t r o u t i n g 处理以后发送到网络上。 n e t f i l t e r 可实现以下功能： 1 实现状态检测 每个网络连接包括以下信息：源地址、目的地址、源端口和目的端口，协 议类型、连接状态( t c p 协议) 和超时时间等。防火墙把这些信息叫作状态 ( s t a t e f u l ) ，能够检测每个连接状态的防火墙叫作状态包过滤防火墙。它除了 能够完成简单包过滤防火墙的包过滤工作外，还在内存中维护一个跟踪连接状 态的表，比简单包过滤防火墙具有更大的安全性。 7 中南丈学硕士学位论文 第二章相关基础技术研究 2 实现包过滤 f i l t e r 表格不会对数据报进行修改，而只对数据报进行过滤。i p t a b l e s 优 注：代表。从网络接收的i p 包”代表“p r e r o u t i n g ”代表“f o r w a r d ”代 表“p o s t r o u t i n ” 图2 - 2n e t f i l t e r 框架 于i p c h a i n s 的一个方面就是它速度更快，也更为小巧。它是通过钩子函数 n f - i pl o c a l _ i n ，n f _ i p f o r w a r d 及n f - i p - l o c a l _ 0 u t 接入n e t f i l t e r 框架的。 因此对于任何一个数据报只有一个地方对其进行过滤。 3 实现n a t n a t 表格监听三个n e t f i l t e r 钩子函数：n f - i p p r e r o u t i n g 、 n f i p _ p o s t _ r o u t i n g 及n f - i pl o c a l _ o u t 。n f - i p r e r o u t i n g 实现对需要转 发的数据报的源地址进行地址转换，而n f - i p p o s t _ r o u t i n g 则对需要转发的 数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由 n f i p _ l o c a l - 0 u t 来实现。n a t 表格不同于f i l t e r 表格，因为只有新连接的第 一个数据报将遍历表格，而随后的数据报将根据第一个数据报的结果进行同样 的转换处理。n a t 表格被用在源n a t 、目的n a t 、伪装( 其是源n a t 的一个特 例) 及透明代理( 其是目的n a t 的一个特例) 。 4 实现数据报从核心态到用户态的转换 标准的队列处理器模块q u e n e ( i p _ q u e u e o ) 可将数据报排队后从核心念转 换到用户态。q u e n e 是一个特殊的目标，它将包放到用户空日j 等待处理，需要 中南大学硕上学位论文第二章相关基础技术研究 两个额外的部件：队列处理器( 处理包在内核和用户空间的流通) 和用户空间 的应用程序( 接受包、操作包) 。 2 3 入侵检测系统( i d s ) 入侵检测( i n t r u s i o n d e t e c t i o n ) 是指发现非授权使用计算机的个体( 如 黑客) 或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为 的个体( 如内部入侵) 。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是执行入侵检测任务的计算机系统“。 入侵检测从最初实验室里的研究课题到目前的商业产品，大致经历了两个 发展阶段：入侵检测概念的提出和i d s 的诞生“”。 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为 c o m p u t e r s e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监 视) 的技术报告，第一次详细阐述了入侵检测的概念。a n d e r s o n 提出了一种对 计算机系统风险和威胁的分类方法，还提出了利用审计跟踪数据监视入侵活动 的思想阱1 。 这份报告被公认为入侵检测的开山之作。 1 9 8 7 年，d e n n i n g 发表了论文 a ni n t r u s i o nd e t e c t i o nm o d e l ”1 ，第 一次系统地提出了入侵检测的经典模型i d e s ( i n t r u s i o nd e t e c t i o ne x p e r t s y s t e m ) 模型“，它独立于任何特殊的系统、应用环境、系统脆弱性或入侵种 类，是一个通用的入侵检测专家系统框架。 受a n d e r s o n 和d e n n i n g 影响，在2 0 世纪8 0 年代后出现了大量i d s 原型系 统。典型的i d s 有l o sa l a m o s 实验室n e t w o r ka n o m a l yd e t e c t o ra n di n t r u s i o n r e p o r t e r ( n a d i r ) ，u cd a v i s 大学的n e t w o r ks e c u r i t ym o n i t o r ( n s m ) 7 1 2u c d a v i s 、l a w r e n c el i v e r m o r e 国家实验室、h a y s t a c k 实验室以及美国空军合作 开发的d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ( d i d s ) ”。t e x a sa m u n i v e r s i t y的c o o p e r a t i o ns e c u r i t ym a n a g e r ( c s m ) ”1 ，u c d a v i s的 g r a p h - b a s e d i n t r u s i o nd e t e c t i o n s y s t e m ( g i d s ) 、n e x t - g e n e r a t i o n i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ( n i d e s ) 以及e v e n tm o n i t o r i n ge n a b l i n g r e s p o n s et oa n o m a l o u sl i v ed i s t u r b a n c e s ( e m e r a l d ) 1 和p u r d u e 大学的 a u t o n o m o u sa g e n tf o ri n t u r s i o nd e t e c t i o n ( a a e i d ) s 1 o 近年来在入侵检测领 域中的研究又有了新的进展，如s e o r r e s t 把免疫原理运用于入侵检测系统中， w e n k el e e 等用数据挖掘实现了在海量的数据中发现隐含的特征模式。为了使 i d s 具有互操作性和互用性，1 9 9 7 年，美国国防部高级研究计划局的c i d f 工作 组( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r kw o r k i n gg r o u p ) 提出了个i d s 9 中南大学硕士学位论文 第二章相关基础技术研究 的通用模型。”1 ( 见图2 3 ) ，是当前i d s 的典型结构。它将一个i d s 分为四个 部分：事件产生器( e v e n tg e n e r a t o r s ) 、事件分析器( e v e n ta n a l y z e r s ) 、响 应单元( r e s p o n s eu n i t s ) 和事件数据( e v e n td a t a b a s e s ) 。事件指的是i d s 需 要分析的数据，它可以是从系统日志得到的系统审计数据或网络中的数据流。 图2 = 3c i d f 通用模型 事件产生器也称为数据采集器，它从整个计算环境中获得事件，并向系统的其它 部分提供此事件。事件分析器分析得到的数据，并产生分析结果，实现入侵检测。 响应单元则是对分析结果作出反应的功能单元，它可以作出包括切断网络连接、 记录事件和告警等反应。事件数据库用来存放各种中间数据和最终数据。 该模型刻画了i d s 的基本结构，目前入侵检测的体系模型都足在这个模型 的基础上进行细化和扩展。 2 3 1i d s 分类 入侵检测技术根据数据源的不同分为基于主机的i d s ( h o s tb a s e d i n t r u s i o n d e t e c t i o ns y s t e m ，h i d s ) 和基于网络的i d s ( n e t w o r kb a s e d i n t r u s i o nd e t e c t i o ns y s t e m ，n i d s ) 。 h i d s 通过分析主机的审计数据和系统的同志发现可疑事件，检测系统可以 运行在被检测的主机或单独的主机上。h i d s 主要用于保护关键的主机例如服务 器等；n i d s 主要用于实时监控网络关键路径的信息，侦听网路上的所有分组来 采集数据，使用原始的网络数据包作为分析攻击的数据源。般来说，n i d s 位 于网络边缘的关键节点处，负责拦截在内部网络和外部网络之间流通的数据包， 并通过协议分析，特征匹配，统计分析等手段发现当前发生的攻击。 两种基本的入侵检测方法由于其采用的数据来源不同，而呈现了不同的特 点。h i d s 在确定攻击是否己经取得成功时具有很大的准确性，例如通过对文件 系统所进行的具有潜在危险的访问操作序列，对系统配置的修改以及应用程序 的异常运行情况等等。许多发生在应用层的攻击行为是n i d s 无法完成的。 2 3 2l d s 主要技术及标准化 i i d s 主要技术 对各种数据进行分析并从中发现攻击是i d s 的核心功能，其数据分析技术 包括滥用入侵检测技术和异常入侵检测技术两种。 滥用入侵检测技术，又称特征检测技术或误用检测技术，其技术基础是分 l o 中南大学硕士学位论文第二章相关摹础技术研究 析各种类型的攻击手段，并找出可能的“攻击特征”集合。滥用入侵检测利用 这些特征集合或者是对应的规则集合，对当前的数据源进行各种处理后，再进 行特征匹配或者规则匹配工作，从而发现网络入侵事件。 异常入侵检测是基于一个假设条件而工作的：对攻击行为的检测可以通过 观察当前活动与历史正常活动之间的差异来实现。异常入侵检测通常都会建立 一个关于系统正常活动的状态模型并不断进行更新，然后将用户当前的活动情 况与这个正常模型进行对比，如果发现了超过设定的差异程度，则指示发现了 非法攻击行为。 滥用技术和异常技术在处理数据上是互补的。滥用入侵检测技术速度快， 实现简单，但是对于新的攻击却无能为力；异常技术能够发现许多无法通过攻 击特征标识的攻击，并能发现合法用户的误用，但是异常技术无法准确地判断 攻击。因此，如果能结合两种技术会达到更好的检测效果。 2 i d s 标准化 网络的安全要求i d s 能够与其他i d s 、访问控制、应急、入侵追踪等系统 交换信息，相互协作形成一个整体有效的安全保障系统。然而，达到这些要求， 需要一个标准来加以指导，系统之间要有一个约定，如数据交换的格式，协作 方式等。基于上述的因素考虑，国际上的一些研究组织开展这方面的研究工作。 其中最有代表性的是s s t a n i f o r d _ c h e n 等人提出的c i d f 模型和i d w g 负责制定 的入侵检测响应系统之间共享信息的格式和交换信息的方式。 c i d f 探讨使用一种通用入侵说明语言( c l s l ) 。1 对事件、分析结构、响应方 式等过程进行表示说明，以达到i d s 之间的语法互操作。c l s l 语言使用符号表 达式，类似于l i s p 语言。s 一表达式是一种抽象的数据结构，可以由原子递归 定义如下： ( i ) 原子是s 一表达式。 ( 2 ) 如果a l ，a 2 是s 一表达式，则表( a l ，a 2 ) 也是s 表达式。 ( 3 ) 有限次使用( 1 ) 、( 2 ) 所得到的表达式都是s 一表达式，此外没有别 的s 一表达式。 c i s l 规定s 一表达式都有标记和数据。标记称作语义标示符( s i d ) ，用于说 明后续的s 表达式的含义。c i s l 的语义标示符有动作s i d 、角色s i d 、附带 s i d 、属性s i d 、原子s i d 、连接s i d 、指示和s i d 扩展名等多种类型。通过s 表达式的递归定义，组合就构成了c i s l 语言。将a s c i i 码形式的s 一表达式 转化为二进制编码形式就是g i o d 。g i o d 就是c i d f 各组件统一的信息表达格式， 也是组件之间写作信息交换的统一形式。 关于通信机制，c i d f 的内部通信文档描述了两种c i d f 组件之间的通信机 中南大学硕上学位论文第二章相关基础技术研究 制：匹配服务法和消息层法。匹配服务为c i d f 各组件之间的相互识别、定位和 信息的共享提供了一个统一机制。 i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ) 啪1 是为i d s 之间 进行事件通知、信息共享而定义的标准数据格式。2 0 0 3 年1 月i e t f 发布了i d m e f 最新版草案。i d m e f 草案描述了能够表示i d s 输出信息的数据模型，这种数据 模型可以使用x m l 进行描述。 i d m e f 定义的数据模型采用面向对象的方法来描述告警数据。所有i d m e f 消息的顶层是i d m e f _ m e s s a g e 类，每种类型的消息都是它的子类。i d m e f 目前 定义了两种类型的消息：a l e r t 和h e a r t b e a t ，这两种消息又由各自的子类聚集 而成，从而可以描述更详细的消息。i d m e f 数据模型各个部分的关系如图2 4 所示。 图2 - 4i d m e f 类结构简图 2 3 3i d s 缺陷 i d s 在确保互联网络的安全中发挥了重要作用，然而，i d s 还是存在不少问 题，其中较高的误报率与漏报率是主要问题。具体问题如下： 1 较高的误报率与漏报率。 现有的i d s 存在着较高的误报率与漏报率。一般情况下，在每天发出的上 万条的告警信息中，真j 下有价值的信息却不多，而从上万条信息中挖掘出有用 信息费时又费力，通常需要设立专人负责管理i d s ，这在缺乏i t 人才的企业中 是不太现实的。导致产生误报与漏报的原因有如下几个： 中南大学硕上学位论文 第二章相关基础技术研究 ( 1 ) 模式匹配检测技术存在缺陷。一般来说，传统的模式匹配方法还停留 在捕获数据包，并运用非智能模式与特征搜索技术来探测攻击的水平上。这种 检测机制只是机械地对网络中传输的数据流依次过行匹配，不涉及数据包的内 容，不能智能的去判断攻击模式的真正意图和最终效果，只是把它们看成是无 规律的字节流。正因为这样，简单的i d s 在检测过程中，一旦发现数据包中的 内容与攻击相匹配，也就是匹配算法中作为子串的输入串与作为