（计算机应用技术专业论文）嵌入式入侵防御系统的研究与实现.pdf

、 f l n a n j i n gu n i v e r s i t yo f a e r o n a u t i c sa n da s t r o n a u t i c s t h eg r a d u a t es c h o o l c o l l e g eo fi n f o r m a t i o ns c i e n c ea n dt e c h n o l o g y r e s e a r c ha n d i m p l e m e n t a t i o no f e m b e d d e di n t r u s i o np r e v e n t i o ns y s t e m a t h e s i si n c o m p u t e rs c i e n c ea n dt e c h n o l o g y b y h ep e i a d v i s e db y v i c e - p r o f c h e nb i n g s u b m i t t e di np a r t i a lf u l f i l l m e n t o ft h er e q u i r e m e n t s f o rt h ed e g r e eo f m a s t e ro f e n g i n e e r i n g d e c e m b e r , 2 0 0 9 l 1 承诺书 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进 行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容外， 本学位论文的研究成果不包含任何他人享有著作权的内容。对本论文所 涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标 明。 本人授权南京航空航天大学可以有权保留送交论文的复印件，允许 论文被查阅和借阅，可以将学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的学位论文在解密后适用本承诺书) 作者签名： 日期： 一、 一 南京航空航天大学硕士学位论文 摘要 互联网的迅速发展不仅丰富了社会财富和方便了人们生活，同时也带来了日益严重的安全 问题。尤其是当前我们正处在互联网同现实生活不断融合的背景之下，一些以网络攻击为手段， 获取非法利益的黑色产业链条的形成更是加剧了网络安全问题对现实生活的干扰。因此，网络 安全技术越来越受到计算机研究人员的重视。作为一项新兴的网络安全技术，入侵防御主要是 由入侵检测发展而来，并结合了防火墙功能，其摆脱了防火墙静态防护、入侵检测被动检测的 局限性，采用主动的网络安全模型实施防护。 根据后续模型设计的需要，本文首先研究了入侵检测领域的警报分析问题，并且针对基于 警报相似性和基于统计因果分析这两种警报分析算法各自的不足，提出一种新的警报分析算法。 该算法引入警报分类机制替代原先的警报组优先级设定过程，降低对于先验知识的依赖性，简 化因果关系分析。 针对中小型网络环境的动态防护需求，融合深度防御思想，本文主要研究并实现了一个基 于嵌入技术的分布式入侵防御系统模型e b d i p s 。在防御机制的设计上，采用外联式、内嵌式 相结合的防御机制，组成两层防线；在检测机制的设计上，定义入侵、可疑和正常三种事件类 型，避免误报造成的可用性损失。内嵌式防御由分布在各主机前端的嵌入式防御单元构成，各 单元负责检测进出主机的网络流量，对入侵数据进行阻断，对可疑数据发出警报。外联式防御 使用警报分析算法聚合相似警报重建攻击场景，并提取攻击者信息，通过边界阻断模块执行过 滤。本文最后分别对嵌入式防御单元和警报分析算法进行了测试。结果表明嵌入式防御单元能 够满足内嵌式防御要求；警报分析算法通过聚合有效减少了警报数量，同时在关联规则的指导 下生成了正确的攻击场景，能够有助于提高外联式防御的准确性。 关键词：入侵检测，入侵防御系统，深度防御，警报分析，防火墙 嵌入式入侵防御系统的研究与实现 a b s t r a c t t h er a p i dd e v e l o p m e n to ft h ei n t e r a c te n r i c h e ss o c i a lw e a l t ha n dm a k e sl i f em o r ec o n v e n i e n t ， m e a n w h i l et h es e c u r i t yp r o b l e mi sg e t t i n gi n c r e a s i n g l ys e r i o u s e s p e c i a l l yi nt h ec o n t e x to fh u g e f u s i o nb e t w e e nt h ei n t e m e ta n dt h er e a l - l i f e ，b l a c ki n d u s t r yc h a i no b t a i n si l l e g a lg a i n st h r o u g h n e t w o r ka t t a c k sa n dt h u si m p e d e st h er e a l - l i f e t h e r e f o r e ，r e s e a r c h e r s 锄他p u t t i n gm o r ef o c u so n s e c u r i t yt e c h n o l o g i e s i n t r u s i o np r e v e n t i o n i sa ne m e r g i n gn e t w o r ks e c u r i t yt e c h n o l o g yw h i c h d e v e l o p e dm a i n l y f r o mi n t r u s i o nd e t e c t i o na n dc o m b i n e dw i t ht r a d i t i o n a lf i r e w a l l i n t r u s i o n p r e v e n t i o nu s e sa c t i v en e t w o r ks e c u r i t ym o d e lt oc a l t yo u tp r o t e c t i o n , w h i c hc a no v e r c o m et h e l i m i t a t i o no fs t a t i cp r o t e c t i o na n dp a s s i v ed e t e c t i o n a c c o r d i n gt ot h er e q u i r e m e n to ff o l l o w i n gm o d e ld e s i g n , an e wa l e r ta n a l y z i n ga l g o r i t h mi s p r o p o s e di nt h i sp a p e rt oi m p r o v et h et y p i c a la l g o r i t h m sr e s p e c t i v e l yb a s e do na l e r ts i m i l a r i t ya n d s t a t i s t i c a lc a u s a l i t ya n a l y z i n g t h i sa l g o r i t h mi n t r o d u c e sa l e r tc l a s s i f i c a t i o ni n s t e a do fa l e r t p r i o r i t i z a t i o nt or e d u c ed e p e n d e n c yo np r i o r ik n o w l e d g ea n ds i m p l i f yc a s u a la n a l y s i s c o n s i d e r i n gt h ep r i n c i p l eo fd e f e n s e - i n - d e p t h ，ad i s t r i b u t e di n t r u s i o np r e v e n t i o ns y s t e mm o d e l n a m e de b d i p si ss t u d i e da n di m p l e m e n t e di nt h i sp a p e rt om e e tt h ed y n a m i cp r o t e c t i o nr e q u i r e m e n t s o fs m a l la n dm e d i u m - s i z e dn e t w o r ke n v i r o n m e n t f i r s t l yi nt h ed e s i g no fp r e v e n t i o nm e c h a n i s m , l i n k a g ea n db u i l t - i np r e v e n t i o nm e c h a n i s m sa r ec o m b i n e dt of o r mat w o - t i e ra r c h i t e c t u r e ；s e c o n d l yi n t h ed e s i g no fd e t e c t i o nm e c h a n i s m ，w ed e f i n e si n t r u s i o n ，s u s p i c i o u sa n dn o r m a lt h r e ee v e n tt y p e st o a v o i dl o w a v a i l a b i l i t ym a yc a u s e db yf a l s ep o s i t i v e s b u i l t - i np r e v e n t i o ni si m p l e m e n t e db y e m b e d d e dp r e v e n t i o nu n i tw h i c hd i s t r i b u t e do ne a c hh o s tf r o n t - e n d ，t h ee m b e d d e dp r e v e n t i o nu n i ti s r e s p o n s i b l ef o rd e t e c t i n gn e t w o r kt r a f f i ci na n do u to fah o s t ，b l o c k i n gt h ei n t r u s i o na n dr a i s i n ga l e r t s f o rt h es u s p i c i o u s l i n k a g ep r e v e n t i o ni si m p l e m e n t e dt h r o u g ha p p l y i n ga l e r ta n a l y z i n ga l g o r i t h m w h i c ha g g r e g a t e ss i m i l a ra l e r t sa n dr e b u i l d sa t t a c ks c e n a r i o ，t h e ne x t r a c t i n ga t t a c k e ri n f o r m a t i o nf o r f i l t e r i n go nb o u n d a r yb l o c k i n gm o d u l e f i n a l l yw e t e s tt h ef u n c t i o no fe m b e d d e dp r e v e n t i o nu n i ta n d t h en e wa l g o r i t h m , t h er e s u l ts h o w st h a ta l e r tq u a n t i t yi sr e d u c e db ya g g r e g a t i o nm e a n w h i l ea t t a c k s c e n a r i oi sc o r r e c t l yr e b u i l ta c c o r d i n gt ot h ec o r r e l a t i o nr u l e s ，w h i c hh e l p st oi m p r o v et h ea c c u r a c yo f t h eb o u n d a r yb l o c k i n gm o d u l e k e yw o r d s ：i n t r u s i o nd e t e c t i o n , i n t r u s i o np r e v e n t i o ns y s t e m , d e f e n s ei nd e p t h ，a l e r ta n a l y s i s ， f i r e w a l l 、 南京航空航天大学硕士学位论文 目录 第一章绪论1 1 1 课题的研究背景1 1 2 课题的研究内容。3 1 3 论文的章节安排4 第二章网络安全与入侵防御技术。5 2 1 网络安全问题5 2 2 防火墙与入侵检测。6 2 2 1 防火墙。6 2 2 2 入侵检测。7 2 2 3s n o r t 1 0 2 3 入侵防御1 4 2 3 1 入侵防御系统概念1 4 2 3 2 入侵防御系统结构1 5 2 3 3 入侵防御相关研究1 9 2 3 4 入侵防御发展方向2 1 2 4 本章小结2 l 第三章警报分析方法研究与改进2 2 3 1 警报分析技术2 2 3 1 1 警报分析技术背景2 2 3 1 2 警报分析综合模型2 3 3 1 3 警报分析方法分类2 5 3 2 典型警报聚合关联算法的研究与分析2 7 3 2 1 基于警报相似性的分析技术2 7 3 2 2 基于统计因果关系的分析技术2 8 3 3 基于分类的警报分析算法3 1 3 3 1 相关定义3l 3 3 2 算法流程3 2 3 4 本章小结3 6 第四章e b d i p s 模型的设计与实现3 7 4 1e b d i p s 模型设计。3 7 4 1 1 深度防御思想3 7 4 1 2 系统设计原则3 9 4 1 3 系统体系结构3 9 4 2e b d i p s 功能设计与实现4 1 4 2 1 嵌入式防御模块4 l 4 2 2 边界阻断模块4 6 4 2 3 管理中心4 8 嵌入式入侵防御系统的研究与实现 4 3e b d i p s 模型测试 4 3 1 嵌入式防御单元测试 4 3 2 警报分析算法仿真 4 4 本章小结。 第五章总结与展望 5 1 总结一 5 2 未来工作及展望。 参考文献。 致谢 在学期间的研究成果及发表的学术论文 南京航空航天大学硕士学位论文 图清单 图1 1p d r 模型图2 图1 2p 2 d r 模型图3 图2 1i d e s 通用入侵检测系统模型8 图2 2 入侵检测通用模型9 图2 3s n o r t 工作流程1 l 图2 4s n o r t 规则三维链表1 3 图2 5 防火墙与i d s 的联动系统1 5 图2 6 传统n i d s 和在线n i d s 对比1 5 图2 7 七层交换机一1 6 图2 8 应用入侵防御系统。1 7 图2 9 混合交换机1 7 图3 1 通用的警报分析综合模型。2 4 图3 2 警报分析算法结构图。3 2 图4 1e b d i p s 模块说明3 9 图4 2e b d i p s 动态模型4 0 图4 3 嵌入式防御模块工作模型。4 2 图4 4 口v 4 的n c t f i l t e r 检查流程4 3 图4 5e p u 防御流程图4 4 图4 6 外联式防御工作模型4 6 图4 7 管理中心工作模型。4 8 图4 8 警报数据库结构一4 9 图4 9e b d i p s 测试环境5 3 图4 1 0 实验测试环境5 4 图4 11l l sd d o s1 0 攻击场景示意图5 7 嵌入式入侵防御系统的研究与实现 表清单 表4 1 功能测试得到的警报信息。5 4 表4 2 统计关联规则5 5 表4 3 警报类型间的统计关联矩阵。5 6 表4 4 警报聚合结果。5 6 表4 5 警报聚合属性权值。5 7 厂 南京航空航天大学硕士学位论文 a a f 玎) a s i c c ) f d d o s d f w d i d s e f w e p u g c i g c t h i p s 认p ) p d s 蹦s 口s m a c n a t n i d s n i p s o p s e c o t n p 2 d r p d r 刚 s d n t b s u t m 注释表 a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n a p p l i c a t i o ns p e c i f i ci n t e g r a t e dc i r c u i t s c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k d i s t r i b u t e dd e n i a lo fs e r v i c e d i s t r i b u t e df i r e w a l l d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m e m b e d d e df i r e w a l l e m b e d d e dp r e v e n t i o nu n i t g r a n g e rc a u s a l i t yi n d e x g r a n g e rc a u s a l i t yt e s t h o s t - b a s e di n t r u s i o np r e v e n t i o ns y s t e m i n t r u s i o na l e r tp r o t o c o l i n t r u s i o nd e t e c t i o n & p r e v e n t i o n i n t r u s i o nd e t e c t i o ns y s t e m i n t r u s i o nm a n a g e m e n ts y s t e m i n t r u s i o np r e v e n t i o ns y s t e m m e d i aa c c e s sc o n t r o l n e t w o r ka d d r e s st r a n s i t i o n n e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m n e t w o r k - b a s e di n t r u s i o np r e v e n t i o ns y s t e m o p e np l a t f o r mf o rs e c 谢修 o p t i o n a lt r e en o d e p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e p r o t e c t i o nd e t e c t i o nr e a c t i o n r u l et | e en o d e s e l fd e f e n d i n gn e t w o r k t i m eb a s e ds e c u r i t y u n i f i e dt h r e a tm a n a g e m e n t 基于主体入侵检测系统 专用集成电路 通用入侵检测框架 分布式拒绝服务攻击 分布式防火墙 分布式入侵检测系统 嵌入式防火墙 嵌入式防御单元 格兰杰因果关系指数 格兰杰因果关系检验 主机入侵防御系统 入侵警报协议 入侵检测防御 入侵检测系统 入侵管理系统 入侵防御系统 媒体访问控制 动态网络地址转换 基于网络的入侵检测系统 网络入侵防御系统 开放式安全平台 规则选项节点 安全策略、防护、检测与响应 防护、检测与响应 规则树节点 自防御网络体系 基于时间的安全 统一威胁管理 南京航空航天大学硕士学位论文 第一章绪论 1 1 课题的研究背景 近年来，互联网在我国持续快速发展【l 】，截止到2 0 0 9 年6 月，我国网民数量已达3 3 8 亿， 互联网普及率达2 5 5 ，口v 4 地址数达2 0 5 亿，域名总数达1 6 2 6 万个，互联网已成为重要的 国家信息基础设施，在国民经济建设中发挥着日益重要的作用，网络安全也已成为关系到国家 安全、社会稳定的重要因素，社会各界都对网络安全提出了更高的要求。 虽然近些年我国政府部门及各信息系统和安全组织采取了一系列措施，维护国家基础设施 安全运行，但网络安全事件仍然频发。2 0 0 9 年上半年接收国内外报告事件总数为9 1 1 7 件，比 去年全年总数的5 1 6 7 件都多【2 】。与此同时，感染主机3 0 0 0 多万台的“飞客”蠕虫；影响多个 省份的“5 1 9 ”暴风影音事件；6 月2 5 日广东电信路由器设备故障影响腾讯等用户系统事件； 7 月2 8 日域名解析系统软件b i n d9 出现的高危漏洞等典型网络空间安全事件等，一次又一次 地为我国网络空间安全敲响了警钟。 值得关注的是，互联网业务与现实社会中诸如货币、交易、讯息交互等活动不断融合，为 网络世界的虚拟要素附加了实际价值，越来越多的承载这类业务的信息系统成为黑客攻击的目 标。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的 流水作业构成了完善的地下黑色产业链条。在地下黑色产业链条的推动下，网络犯罪行为趋利 性表现更加明显，追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木 马、后门病毒等，窃取大量用户数据牟取暴利，包括网游账号、网银账号和密码、网银数字证 书等。 由以上分析可见，网络攻击的频次、种类快速增加，遭入侵和受控计算机数量巨大，潜在 威胁和攻击力持续增长，信息数据安全问题日益突出，并呈现出有组织性的黑色产业化趋势， 网络安全形势依旧严峻。 在捍卫网络安全的斗争中，研究人员先后提出过许多种技术并设计生产了相应的产品。其 中防火墙作为最早出现的网络安全设备，实质上是实现访问控制的软件或硬件系统。防火墙最 主要的功能是按照预先配置的访问控制策略，允许或拒绝匹配策略条件的网络流量。而入侵检 测系统( i n t r u s i o nd e t e c t i o ns y s t e m , i d s ) 是上世纪八十年代出现的安全防范技术，它通过对计 算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行 为和被攻击的迹象。i d s 产品被认为是在防火墙之后的第二道安全防线，在攻击检测、安全审 计和监控等方面都发挥了重要的作用。作为防火墙的合理补充，i d s 增强了网络安全基础设施。 然而，以上技术不足以确保网络安全。首先，安全是一种意识，而不是某种技术就能实现 l 嵌入式入侵防御系统的研究与实现 绝对的安全。其次，防火墙和i d s 技术，只是网络安全建设环节中进行的一个防御步骤。所以， 在网络内进行防火墙与i d s 的设置，并不能保证网络的绝对安全，只能说设置得当的防火墙和 i d s ，为网络构建了一道有效防线，同时能提供较多的攻击信息供用户分析。以下用著名的网 络安全理论模型p d r ( p r o t e c t i o nd e t e c t i o nr e a c t i o n ) 及其演变来提供更加深入的分析说明。 w j n ns c h w a r t a u 3 】首先提出了基于时间的安全( t i m eb a s e ds e c u r i t y , t b s ) 这一网络安全理 论，其主要原理是给安全加上了时间的要素，并认为安全离开时间是没有意义的。如图1 1 所 示，p r o t e c t i o n 是一条始终贯穿的主线，而d e t e c t i o n 和r e a c t i o n 分别是并行在p r o t e c t i o n 过程中 的检测和响应环节，其目的是为了完善p r o t e c t i o n 。将这三者放到时间维度上来考查，首先令 p t 描述整个防护体系的有效防护时间，接着把检测时间描述为d t ，最后把响应时间描述为r t 。 于是根据上述三个时间p t ，d t ，r t ，安全即可表示为p t d t + r t 。 一 i。 几“唧m 优唧m m n l l r 叫d e t e c t 岫hr e a c t 劬尸 图1 1p d r 模型图 在上世纪九十年代中期，研究人员基于p d r 提出了p 2 d r 4 ( p o l i c yp r o t e c t i o nd e t e c t i o n r e s p o n s e ) 网络安全理论模型，并成为指导网络信息安全研究和实现的一个重要标准，如图1 2 所示。p 2 d r 模型包含4 个主要部分：安全策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 和响应( r e s p o n s e ) 。传统的安全手段中都会考虑访问控制、加密、认证等防范措施，即p 2 d r 模型中的p r o t e c t i o n ，而根据p 2 d r 模型，防护只是一个必须的环节，仅有基础防护的网络是不 安全的，访问控制等静态安全措施只能对网络中的某几个环节起保护作用。网络中有大量安全 漏洞存在，攻击者很可能绕过这些安全防范侵入系统。所以尽管静态的安全防护投入很大，如 果忽略网络系统中的安全隐患和随时可能发生的攻击，仍然达不到安全的目的。只有再通过检 测和响应这两个环节，发现隐藏的漏洞，才能主动提高网络的抗攻击能力。p 2 d r 模型是指在 ， 整体安全策略的控制和指导下，综合运用防护工具( 如防火墙、身份认证、加密等) ，同时利用 检测工具了解和评估系统的安全状态，通过适当的响应将系统调整到“最安全”和“风险最低” 一 的状态。防护、检测和响应组成了一个完整、动态的安全循环。 参照p 2 d r 网络安全动态模型，可以发现防火墙实际上是一种静态的网络安全技术，因为 访问控制依赖预先配置的策略，并且通常只能过滤传输层以下网络协议；而基于网络的入侵检 测系统( n e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m , n i d s ) 通常采用非在线工作方式，虽然执行 动态监控，却也只能被动检测网络流量，不能主动预防和阻止网络攻击。 2 南京航空航天大学硕士学位论文 n 图1 2p 2 d r 模型图 针对防火墙和入侵检测的不足之处，入侵防御思想应运而生。入侵防御主要是由入侵检测 发展而来，融入防火墙功能的一项新兴的网络安全技术。其意义在于摆脱了防火墙静态防护、 入侵检测被动检测的局限性，是一种主动的网络安全技术。当人们在整体安全策略的控制和指 导下，继续利用如数据加密技术、防火墙技术部署深度防御加固网络防护水平，延长网络安全 体系有效防护时间p t 的同时，集检测和响应功能于一体的入侵防御技术则致力于提高发现和阻 断入侵的速度及准确性，缩短检测响应时间d t + r t 。由此，p t 大于d t + r t 的程度体现了网络整 体安全质量。 1 2 课题的研究内容 警报分析技术是网络安全事件关联分析在入侵检测领域的具体应用。因此本课题首先研究 并分析了两种典型警报分析方法。针对两者的不足，设计了一种新的警报分析算法。该算法引 入警报分类机制替代原先的警报组优先级设定过程，达到降低对于先验知识的依赖性，并且简 化a 四分析空间的效果。 由于分布式的系统架构能够满足不同形态和规模的网络，适应网络结构的变化，充分体现 系统的灵活性。所以本课题采用分布式架构，针对中小型网络环境的动态防护需求，研究并实 现一个基于嵌入技术的分布式入侵防御系统模型e b d i p s ( e m b e d d e d - b a s e dd i s t r i b u t e di n t r u s i o n p r e v e n t i o ns y s t e m ) 。e b d i p s 具有混合式系统结构，采用外联式、内嵌式相结合的防御机制。 内嵌式防御采用独立硬件实现，在保障自身性能与安全的同时检测网络攻击流量，而外联 式防御中融入了警报分析技术，对来自于内嵌独立硬件的警报信息进行聚合和关联，生成高层 次的警报，进而提高边界防御的准确性。 综上，本文提出一个分布式入侵防御系统模型，在此模型平台之上，改进检测模块和响应 模块间的联动机制，即采用间接联动方式，在e b d i p s 中加入警报分析模块，该模块通过聚合 相似警报、关联攻击场景，可以提高警报信息的准确率和利用价值。 嵌入式入侵防御系统的研究与实现 1 3 论文的章节安排 本文共分为六章，具体章节的内容安排如下： 第一章：绪论。主要包括课题研究背景和研究内容介绍。 第二章：网络安全与入侵防御技术。首先引出网络安全问题，然后阐述了防 测、入侵防御三种主流的网络安全技术和研究现状，并介绍了一种著名的轻量级入侵检测系统 s n o r t ，并重点分析了其体系结构。 第三章：警报分析技术。首先对后入侵检测技术进行概述，并且利用一个通用的警报分析 综合模型来阐述警报分析技术的层次结构。然后介绍警报分析方法的分类以及各类的研究现状。 最后在研究分析两种典型警报分析算法的基础上提出一种新的基于分类的警报分析算法。 第四章：e b d i p s 系统模型设计与实现。首先介绍了深度防御思想，并以此为指导提出了 一种新型的基于嵌入技术的分布式入侵防御系统模型e b d i p s 。然后给出各个模块的详细设计。 最后分别对嵌入式防御单元和警报分析模块进行了测试。 第五章：总结与展望。总结了本课题所完成的主要工作，同时展望了今后的研究和改进方 向。 南京航空航天大学硕士学位论文 第二章网络安全与入侵防御技术 网络安全是网络资源正常发挥作用的前提，而解决网络安全问题的前提就是要明确其实质。 本章以网络安全问题以及主流网络安全技术为主要内容，首先分别介绍了防火墙与入侵检测的 原理和研究概况；然后详细介绍了一种轻量级入侵检测系统s n o r t ：最后本章阐述了入侵防御技 术的概念、体系结构和研究进展情况。 2 1 网络安全问题 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或恶意的原因 而遭到破坏、更改、泄漏，系统可以连续可靠正常地运行，网络服务不被中断。在计算机应用 日益广泛和深入的同时，计算机网络的安全问题日益复杂和突出。网络的脆弱性和复杂性增加 了被攻击的可能性【5 1 。 作为最主要的网络安全问题，网络攻击在最高层次可以分为主动攻击和被动攻击。主动攻 击是指攻击者利用虚假信息、垃圾数据和计算机病毒等破坏信息的真实性和完整性；被动攻击 是指在通信传输线路中直接搭线窃听，使信息泄露而不被察觉。 按照攻击原理，网络攻击可分为： 1 利用系统实现漏洞 此类攻击利用操作系统、应用软件、甚至是网络设备和网络体系的缺陷，如s s h n u k e 、 t e a r d r o p 等，属于主动攻击。由于此类攻击只针对系统实现的漏洞进行，因此通过安装软件开 发商提供的补丁程序，一般都可以防御。 2 利用网络设计缺陷 此类攻击利用网络协议设计的缺陷进行攻击，有些攻击使软件协议栈崩溃，如s y n f l o o d ： 有些则提供虚假信息，达到欺骗用户的目的，如d n s 欺骗。此类攻击数量并不是很多，既有主 动攻击也有被动攻击，但由于i n t e r n e t 协议的开放性，一般很难完全阻挡。常见的解决方案是 对原有协议进行一定程度修补。s y n - f l o o d 、d n s 欺骗等属于此类攻击。 3 利用大量正常请求 此类攻击也被称作“暴力型”攻击，通过发送大量的正常请求，导致对方服务器或者网络 不可用，如分布式拒绝服务攻击( d i s t r i b u t e dd e n i a lo f s e r v i c e ，d d o s ) ，暴力密码猜测等。d d o s 是指攻击者利用一批受控制的机器向一台机器发起攻击，占用大量带宽，能使很多网络设备瘫 痪。 5 嵌入式入侵防御系统的研究与实现 2 2 防火墙与入侵检测 2 2 1 防火墙 防火墙是一种较早出现的网络安全保障技术，也是现阶段网络安全解决方案中重要的组成 部分。它是一种设置在网络可信任区域与不可信任区域之间的一道安全屏障。这些防火墙通常 置于网络的入口处或者内部网络的边缘，因此也称为“边界防火墙”。这种传统防火墙依据所采 用的技术分为包过滤型和代理型。包过滤技术包括无状态检查的包过滤和有状态检查的包过滤， 在i p 层实现，根据包的源口地址、目的口地址、源端口、目的端口及包传递方向等包头信息 来判断是否允许包通过。其工作原理是系统在网络层检查数据包，与应用层无关，使用方便， 而且具有很好的传输性能，易扩展。但是这样也带来了安全隐患，因为系统对应用层信息毫无 所知，不能在用户级别上进行过滤。代理型防火墙使用代理服务器，通过检查往来内部客户的 服务请求，验证其合法性，作为一台客户机一样向真正的服务器发出请求并取回所需信息，最 后再转发给客户。这种代理方式可提供的服务数和伸缩性有限，不能被设置为网络透明工作， 管理复杂，影响系统的整体性能。总的来说，由于存在物理上对内部网和外部网的严格区分， 这种传统的防火墙确实存在一些不足，比如防外不防内、“瓶颈”问题、“单点失效”问题、未 授权访问问题、限制网络新业务而且不能处理端到端的加密数据，此外还造成策略的制定和维 护较为复杂【6 j 。 基于上述原因，一种新型的防火墙技术，分布式防火墙( d i s t r i b u t e df i r e w a l l ) r 7 】技术产生 了。它可以很好地解决边界防火墙的不足，通过把防火墙的安全防护系统延伸到网络中各台主 机的方法，一方面有效地保证用户的投资不会很高，另一方面给网络安全带来全面的安全防护 【8 】。广义分布式防火墙是一种全新的防火墙体系结构，由网络防火墙、主机防火墙、中心管理 这三部分所组成【9 】。狭义分布式防火墙是指驻留在网络主机并对主机系统提供安全防护的软件 产品，这类防火墙将驻留主机以外的其他网络都认作是不可信任的，并对驻留主机运行的应用 和对外提供的服务设定针对性很强的安全策略。 一 分布式的系统架构能够满足不同形态和规模的网络，同时适应网络结构和规模的变化，系 统的灵活性得到充分的体现。分布式防火墙在保证每个节点安全的前提下，达到整个网络安全 一 的目标，某个节点的脆弱环节不会导致整个网络的安全遭到破坏。同时，分布式防火墙通过集 中管理控制中心，统一制定和分发安全策略，真正做到多主机统一管理。分布式防火墙有基于 软件和硬件两种实现方式。基于软件实现的分布式防火墙构建在主机操作系统之上，由于操作 系统本身的不安全，因此存在“谁保护谁”的功能悖论。基于硬件的实现具有更高的安全性， 系统启动后，防火墙的工作将与主机操作系统基本无关，攻击者将无法通过攻破操作系统的手 段来影响防火墙的工作。这种基于硬件实现的分布式防火墙通常称之为“嵌入式防火墙” 6 南京航空航天大学硕士学位论文 ( e m b e d d e df i r e w a l l ，e f w ) 。 2 0 0 1 年，c h a r l e sp a y n e ，t o mm a r k h a m 实现了一种基于硬件的分布式防火墙【1 0 】【i l 】，相比2 0 0 0 年b e l l o v i n 等人的实现【1 2 1 ，基于硬件的分布式防火墙具有更高的可靠性。该实现的核心为3 c o m 公司生产的3 c r 9 9 0 系列网卡，该系列网卡嵌入了3 x p 处理芯片，能独立于主机操作系统而运 行，称为嵌入式防火墙网卡e f wn i c ( n e t w o r ki n t e r f a c ec a r d ) 。e f wn i c 负责执行策略，一 个中心服务器( 亦受到e f wn i c 保护) 提供管理界面、策略制定和分发工具，审计和日志组 件。该实现方案的主要优点是基于硬件，不依赖操作系统，因而难以被绕过，具有坚固的基础。然 而，网卡上嵌入芯片的处理能力毕竟有限，不适宜做复杂的运算。 国内的华为3 c o m 公司也研发出p c i 卡和p c