（计算机系统结构专业论文）基于多核的入侵防御系统的研究.pdf

摘要 摘要 随着计算机和网络技术的应用日益普及，各种网络安全问题也日益突出，为 此人们开发出了许多针对具体安全问题的安全技术和系统。防火墙和入侵检测系 统作为传统的网络安全技术都存在着各自的缺陷，不能很好地解决日趋严重的网 络安全问题。 本文首先介绍和分析了防火墙和入侵检测系统各自的实现原理和缺陷，并在 此基础上引入了入侵防御系统的概念。入侵防御系统是近几年来发展起来的一种 网络安全技术，它采用在线运行的方式部署在网络中，其性能的高低将影响到整 个网络的运行效率。本文提出了实现一种基于多核处理器硬件平台的网络入侵防 御系统，利用多核并行技术以解决当前入侵防御系统的性能问题。 本文接着介绍了基于多核的入侵防御系统的软硬件架构设计。该系统采用 r m i 公司的x l r 7 3 2 多核处理器作为硬件平台，采用天融信t o s 网络安全操作 系统作为软件平台。接着介绍了多核入侵防御系统的重要模块，分析了系统的关 键问题，并重点对以下几个模块进行了阐述： 1 ) 报文收发模块是内核与用户空间检测进程之间数据报文交互的桥梁。它采 用在内核空间预先分配内存构成环形队列，并将这些内存映射到用户空间的零拷 贝方式，以提高用户空间访问数据报文的效率。 2 ) 快速检测模块是对报文的一次预过滤。它根据报文的源和目的端口信息， 只把满足检测条件的报文送到用户空间检测。从而减少了送到用户空间的报文数 量，提高了系统的性能。 3 ) 并行检测模块是在用户空间启动多个检测进程，并分别将这些进程绑定到 不同的处理器上来并行运行。各个检测进程从映射的环形队列中取报文进行内容 检测，并将检测的结果通过报文收发模块返回给内核。 最后对系统进行了功能测试和性能测试，并对测试结果做出了评价，证明了 系统方案的正确性。 关键词：入侵防御，多核，处理器绑定，并行检测，内存映射 a b s t r a c t a b s t r a c t 触t h ea p p l i c a t i o no ft h ec o m p u t e ra n dn e t w o r kt e c h n o l o g yi sp o p u l a r i z e dm o r e a n dm o r e ，v a r i o u sk i n d so fn e t w o r ks e c u r i t yi s s u e sh a v eb e c o m ei n c r e a s i n g l yo b v i o u s l o t so fs e c u r i t yt e c h n o l o g i e sa n ds y s t e m sa r ed e v e l o p e dt os o l v es p e c i f i cs e c u r i t y i s s u e s a st h et r a d i t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g i e s ，b o t hf i r e w a l la n di n t r u s i o n d e t e c t i o ns y s t e m ( i d s ) h a v et h e i ro w nd e f e c t s ，t h e yc a n ts o l v et h ei n c r e a s i n g l y s e r i o u sn e t w o r ks e c u r i t yp r o b l e m f i r s t l mt h ei m p l e m e n t a t i o np r i n c i p l e s a n dd e f e c t so ff i r e w a l la n di n t r u s i o n d e t e c t i o ns y s t e ma r ei n t r o d u c e da n da n a l y z e di n t h i st h e s i s ，a n dt h e nt h ec o n c e p to f i n t r u s i o np r e v e n t i o ns y s t e m ( 口s ) i si n t r o d u c e d i p si so n eo ft h en e t w o r ks e c u r i t y t e c h n o l o g i e si nr e c e n ty e a r s d u et oi p si sd e p l o y e di nt h en e t w o r kw i t ho n l i n em o d e ， i t sp e r f o r m a n c ew i l la f f e c tt h ew h o l eo p e r a t i n ge f f i c i e n c ya c r o s st h en e t w o r k t h e i m p l e m e n t a t i o no f i n t r u s i o np r e v e n t i o ns y s t e mb a s e do nm u l t i - c o r ep r o c e s s o r h a r d w a r ep l a t f o r mi sp r o p o s e di nt h i st h e s i s ，u s i n gt h em u l t i - c o r ep a r a l l e lt e c h n o l o g y t os o l v et h ec u r r e n tp e r f o r m a n c ep r o b l e mo fi n t r u s i o np r e v e n t i o ns y s t e m s e c o n d l y , t h eh a r d w a r ea n ds o f t w a r e a r c h i t e c t u r ed e s i g no ft h es y s t e mi s i n t r o d u c e di nt h i st h e s i s t h i sp r o j e c tt a k e sx l r 7 3 2m u l t i c o r ep r o c e s s o rw h i c hi s p r o d u c e db yr m i a si t sh a r d w a r ep l a t f o r m ，a n dt a k e st o p s e et o sn e t w o r ks e c u r i t y o p e r a t i n gs y s t e ma si t ss o f t w a r ep l a t f o r m t h e ns o m ei m p o r tm o d u l e s o ft h es y s t e ma r e i n t r o d u c e d ，a n dt h ek e yp r o b l e m sa r ea n a l y z e di nt h i st h e s i s i tm a i n l yg i v e sa d e t a i l e d d e s c r i p t i o no f t h ef o l l o w i n gs e v e r a lm o d u l e s ： 1 ) p a c k e tr e c e i v i n ga n ds e n d i n gm o d u l ei st h eb r i d g eo fd a t ap a c k e ti n t e r a c t i o n b e t w e e nt h ek e r n e ls p a c ea n dt h eu s e rs p a c ed e t e c t i o np r o c e s s ra l l o c a t e ss o m e m e m o r y i nk e r n e lt oc o n s t i t u t es e v e r a lc i r c u l a rq u e u e s ，a n dm a p st h em e m o r yi n t ot h e u s e rs p a c e t h i sz e r o - c o p ym e t h o dc a l la c c e l e r a t et h ee f f i c i e n c yo ft h eu s e rs p a c et o a c c s $ t h ed a t ap a c k e t 2 ) f a s td e t e c t i o nm o d u l ei sap r e f i l t e r i n gf o rp a c k e tp r o c e s s i n g i t d e c i d e s w h e t h e rt h ep a c k e ti sn e c e s s a r yt ob es e n tt ot h el l s e rs p a c ea c c o r d i n gt oi t ss o u r c ea n d d e s t i n a t i o np o r t t h en u m b e ro fp a c k e t sw h i c hb es e n tt ot h eu s e rs p a c ed e c r e a s e d ，s o a b s t r a c t t h ep e r f o r m a n c eo ft h es y s t e mc a l lb ei m p r o v e d 3 ) p a m u e ld e t e c t i o nm o d u l es t a r t ss e v e r a ld e t e c t i o np r o c e s s e si nt h eu s e rs p a c e , a n ds e p a r a t e l yb eb o u n dt od i f f e r e n tp r o c e s s o r st op a r a l l e lf u l l e a c hd e t e c t i o n p r o c e s s f e t c h e st h ep a c k e tf r o mt h em a p p e dc i r c u l a rq u e u ea n dt h e nm a t c h e st h ec o n t e n to ft h e p a c k e t a tt h ee n do ft h ed e t e c t i o n ，i ts e n d st h ed e t e c t i o nr e s u l t st ot h ek e r n e lt h r o u g h t h ep a c k e tr e c e i v i n ga n d s e n d i n gm o d u l e f i n a l l y , s o m ef u n c t i o n a lt e s t i n ga n dp e r f o r m a n c et e s t i n go nt h es y s t e mh a v eb e e n d o n ei nt h i st h e s i s ，a n da l le v a l u a t i o no ft h et e s tr e s u l t sh a sb e e nw o r k e do u t a 1 lt h e s e t e s tr e s u l t sv e r i f yt h ec o r r e c t i o no ft h es y s t e md e s i g n k e yw o r d s ：i n t r u s i o np r e v e n t i o n , m u l t i c o r e ，p r o c e s s o ra f f i n i t y , p a r a l l e ld e t e c t i o n , m e m o r ym 印 l l i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也 不包含为获得电子科技大学或其它教育机构的学位或证书而使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示谢意。 签名：本性 日期：砂0 1 年岁月弓日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵 1 相毋 v 沂钰箩日；fi 第一章绪论 1 1 研究背景及意义 第一章绪论帚一早珀下匕 本课题来源于笔者在北京天融信网络安全技术有限公司全职实习期间参与的 基于多核的入侵防御系统( p s ) 项目。 2 1 世纪是信息化、网络化的世纪，信息是社会发展的重要资源。随着计算机 网络技术的迅猛发展和i n t e m e t i n t r a n e t 用户数量的激增，网络已深入到社会的各 个领域，人类社会各种活动对信息网络的依赖程度也越来越大。在我国，互联网 应用正处于高速发展的阶段。根据c n n i c 发布的第2 2 次中国互联网络发展状 况统计报告显示【l j ，截至2 0 0 8 年6 月底，我国网民数量达到了2 5 3 亿，首次 大幅度超过美国，跃居世界第一位。而根据相关预测，未来5 年，中国互联网的 用户数量应该会翻一番。随着网络技术的飞速发展，网络安全问题也随之出现。 根据中国互联网网络安全报告( 2 0 0 8 年上半年) 显示【2 】，国家互联网应急中 心( c n c e r t ) 接收和自主监测的各种网络安全事件数量与2 0 0 7 年上半年同期相 比有较为显著的增加。其中，垃圾邮件事件和网页恶意代码事件增长较快，网页 恶意代码同比增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长，同比增 长分别为2 3 7 和3 8 ，其中涉及国内政府机构和重要信息部门的网页篡改事件、 涉及国内外商业机构的网络仿冒事件占很大比重。综上所述，网络安全问题越来 越受到人们的重视。 针对网络上的各种攻击行为，网络安全系统采用了多种技术，建立起各种防 御机制。目前，市面上也出来了各种网络安全产品，如：防火墙、入侵检测系统、 防病毒网关、虚拟专用网v p n 等，其中以防火墙和入侵检测系统应用最为广泛。 但是面对当今复杂多变的网络安全问题时，传统的安全解决方案防火墙和入 侵检测系统都存在着不足之处。 防火墙通常放置在网络的入口处【3 1 ，能阻止外部对内部未公开的主机和端1 3 服务的攻击，限制对受保护网络的非法访问，实现对内部网络的保护。但是防火 墙不能对报文进行细颗粒的检查，不能对报文含有的应用层信息进行过滤。另外， 防火墙是一种被动防御技术，对内部访问难以有效地控制。入侵检测系统则可以 检查所有数据包中携带的应用层信剧4 1 ，因此能及时发现有威胁的访问。但入侵 检测系统有两方面的不足：第一是它检测到入侵事件后只能采取记录、报警、日 电子科技大学硕士学位论文 志等形式报告入侵，不能对入侵行为进行有效地及时阻止；第二是入侵检测系统 容易产生误报和漏报问题，给系统管理带来困难。针对防火墙和入侵检测系统各 自的缺点，出现i d s 一防火墙联动技术，即根据i d s 的检测结果来通知防火墙， 让防火墙来对攻击进行阻断【5 】。但这种方式也有不足之处：一方面，这种方式的 防御攻击会使系统很复杂，任何一个产品发生故障都会导致安全防范体系的崩溃； 另一方面，防火墙系统过滤方法过于机械，按照i d s 产生的规则进行过滤，经常 将合法的网络访问错当攻击行为进行过滤。 由于以上所讨论的传统解决方案的不足，人们提出了入侵防御系统【3 9 】的概 念。入侵防御系统( i n t r u s i o np r e v e n t i o ns y s t e m ，i p s ) 是一种主动的、积极的入侵 防范、阻止系统【6 】，它部署在网络的进出口处，当它检测到攻击企图后，它会自 动将攻击包丢掉或采取措施将攻击源阻断。i p s 通常采用防御机制，能够精确、 实时的阻断深层入侵行为。因此，从网络安全的角度来看，研究入侵防御技术具 有很重要的意义。 由于i p s 是以在线运行的方式工作在网络中，需要对网络流经的数据包信息 进行检测、过滤等操作，所以很容易成为系统瓶颈。随着网络带宽的不断增加， 若它的处理速度不能达到要求，不仅会增加滞后时间，而且会降低网络的效率。 硬件技术的发展，使得多核处理器的强大计算处理能力得以被更多的应用所支持。 将多核处理器应用于网络安全产品中，可以充分发挥多核多线程技术强大的计算 能力的优势，使i p s 系统能够满足高速网络环境下的应用要求。因此，本文研究 多核技术在入侵防御系统中的应用，对于解决目前的网络安全问题有着重大的意 义。 1 2 国内外研究现状 1 2 1国外研究现状 入侵防御系统( i p s ) 的概念首先是由n e t w o r ki c e 公司在2 0 0 0 年首次提出 的，并于同年的9 月1 8 日推出了b l a c ki c eg u a r d 。这是一个串行部署的i d s ， 能够直接分析网络数据并实时对恶意数据进行丢弃处理。g a r t e r 对于i p s 进行了 进一步的解释：“i p s 必须结合多个算法阻塞恶意行为，可以基于特征阻塞已知攻 击，同时还可以利用防病毒和i d s 使用的那些方法一致支持策略、行为和基于异 常的检测算法。这些算法必须在应用层操作，作为对网络层防火墙处理的补充。 2 第一章绪论 它也必须具备区别攻击事件和正常事件的智能。刀 2 0 0 2 2 0 0 3 年这段时期i p s 得到了快速发展。在国外市场越来越多的网络安 全产品中具有i p s 的功能，由于其定位不同，逐渐形成三大集团【6 】。 第一集团是入侵检n 保护厂商。他们对入侵检测保护技术有深入研究，比 较典型的厂商和产品代表有i s s 公司的p r o v e n t i a 系列、m c a f e e 公司的i n t r u s h i e l d 系列产品。 第二集团是集成网关厂商。他们基于防火墙的网关访问控制能力，在网关中 加入多种功能模块，其中很重要的一个就是i p s 功能。代表产品有n e t s c r e e n 公 司的i d p ( i n t r u s i o nd e t e c t i o na n dp r e v e n s i o n ) 产品、s o n i c w a l l 公司的i p s 产品、 安氏公司的l i n k t r u s tb o r d e rp r o t e c t o r 产品等。 第三集团是负载均衡厂商。他们基于对t c p i p 协议的七层分析，在其负载均 衡产品中加入对某些攻击的防御模块，比如t o p l a y e r 公司的a r a c km i t i g a t o ri p s 系列产品、r a d w a r e 公司的s y n a p p 产品。 吮 1 2 乞。国内研究现状 相比之下，国内的完全拥有自主知识产权的国产i p s 并没有如此迅猛的发展。 国内业界由于对这类安全产品接触的较少，对于攻击误报、串接方式和运行效率 等问题还存在疑问，一直处于争论观察期【2 0 】。 绿盟科技在2 0 0 5 年9 月1 5 日推出了冰之眼网络入侵防护系统( i c e y e n p s ) ，这是国内安全厂商推出的第一个拥有自主知识产权的i p s 产品，打破了 国内i p s 市场由国外产品垄断的局面【8 1 。 启明星辰公司推出的天清系列i p s n ，具有完善的攻击特征库，漏洞机理分析 技术，领先的网络防病毒技术，实用的流量监控系统，完善的p 2 p 、i m 、流媒体、 网络游戏和股票软件控制能力等特点。 此外，国内的其它网络安全厂商也相继推出了各自的i p s 产品。如：联想网 御的n 2 0 0 0 ，h 3 c 公司的s e c p a t h 系列，天融信公司的t o p l d p 1 0 j 等。 纵观i p s 国内外研究现状和持续观察讨论可以看出，入侵防御系统对于当今 网络安全防护非常重要，它的研究前景十分广阔。 电子科技大学硕士学位论文 1 3 主要研究内容及论文结构 1 3 1主要研究内容 本论文结合了笔者在天融信公司实习时参与的多核入侵防御系统项目，研究 以多核处理器为核心的网络安全设备的应用，解决实际应用过程中的问题，分析 最终产品的性能指标，为今后多核技术在网络安全领域的应用提供参考。 本文主要研究内容如下： 1 ) 分析防火墙、入侵检测和入侵防御等网络安全技术，并从原理和优缺点 上对这几种安全技术进行了比较。 2 ) 提出多核入侵防御系统的软件体系结构，引入多处理器的舢衄架构设 计。 3 ) 提出用户空间与内核空间的数据交互及内存映射技术。 4 ) 提出进程与多处理器绑定技术，以及多进程并行检测技术。 5 ) 对系统运行的功能和性能进行分析，并提出一些改进方案。 1 3 2 论文结构 本文共分为六章，结构安排如下。 第一章主要介绍了本文的研究背景以及国内外对入侵防御系统的研究现状。 第二章主要论述了网络安全的基本概念，并重点介绍了防火墙技术、入侵检 测技术和入侵防御技术的原理、特点及各自的发展趋势。并对这三种技术做了比 较。 第三章主要介绍了多核入侵防御系统的工作流程、架构设计和主要的功能模 块等。并分析了该系统的关键问题。 第四章主要对多核入侵防御系统的几个功能模块的实现进行详细的阐述，论 述了其功能框图、设计方案、原理框图和模块设计，以及具体的实现方法。 第五章主要介绍了多核入侵防御系统测试环境的搭建、系统测试的方法，并 对测试结果进行了评价。 第六章对论文进行了总结，并对以后进一步的工作进行了论述。 4 第二章网络入侵防御的相关安全技术 第二章网络入侵防御的相关安全技术 2 1 防火墙技术 2 1 1 防火墙技术概述 防火墙( f i r e w a l l ) 的原义是指两个房屋为防止火在他们之间蔓延而采用的物 理防火边界。在网络安全中，防火墙通常是指一种高级访问控制设备【3 1 ，是置于 不同的网络安全域之间的一系列部件的组合。它是网络安全域之间通信流的唯一 通道，能根据不同的安全政策控制( 允许、拒绝、监视、记录) 进出网络的访问 行为。 防火墙是一种有效的网络安全控制机制，它一方面阻止来自外部网络的对受 保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对外部网络进 行访问，总的来说防火墙有以下功能特剧1 1 】： 1 ) 防火墙的过滤技术是网络安全的屏障 一个防火墙( 作为阻塞点、控制点) 能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通 过防火墙，所以网络环境变得更安全。 2 ) 防火墙的过滤技术可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将相应的安全功能( 如口令、加密、 身份认证、审计等) 配置在防火墙上。这种方式与将网络安全问题分散到各个主 机上相比，防火墙的集中安全管理更经济。 3 ) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么防火墙的过滤引擎就能记录下这些访问 行为，并做出相应的日志记录，同时也能为管理员提供网络使用情况的统计数据。 4 ) 防止内部信息的外泄 通过防火墙对内部网络的划分，可实现重点网段的隔离，从而限制了局部重 点的敏感网络的安全问题对全局网络造成的影响。 防火墙实质上是一种隔离控制技术，它对网络之间传输的数据包依照一定的 安全策略进行检查，以决定通信是否被允许。它对外屏蔽内部网络的信息、结构 和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的 电子科技大学硕士学位论文 信息不被外部非授权用户访问和过滤不良信息的目的。 2 1 2 防火墙技术的现状及发展 一、防火墙的种类 根据防火墙所采用的不同技术，可以将它分为以下几种类型【1 2 】： 1 ) 包过滤防火墙 包过滤( p a c k e tf i l t e r i n g ) 技术是利用数据包的五元组( 源地址、源端口、目 的地址、目的端口和协议类型) 的部分或者全部的信息，按照定义的规则( 例如 访问控制列表a c l ) 对通过的数据包进行过滤。这是一种基于网络层的安全技术， 对应用层的黑客行为无能为力。 包过滤防火墙的核心技术是访问控制列表。访问控制列表( a c c e s sc o n t r o ll i s t ， a c l ) 是防火墙接口的指令列表，用来控制端口进出的数据包。访问列表提供了 一种机制，它可以控制和过滤通过防火墙的不同接口去往不同方向的信息流。 包过滤的优点在于它只处理到网络层，速度较快，尤其在流量中等、访问控 制规则数量适中的情况下对路由器的性能几乎没有影响。其缺点在于缺乏灵活性， 对每个包都需要进行策略检查，策略过多会导致性能急剧下降；另外，包过滤防 火墙无法对应用层的数据报文进行分析，对应用层数据的攻击的控制作用较弱。 2 ) 应用层防火墙 应用层防火墙使用专用软件来转发和过滤特定的应用程序，如f t p 、t e l n e t 等服务器连接，是一种代理服务。代理服务技术应用于应用层，由一个高层的应 用层网关作为代理程序。其工作原理是用户与代理服务器建立连接，代理服务器 先核实该请求的合法性，然后将处理后的请求转发给真实服务器。在接受真实服 务器应答并做进一步处理后，再将回复交给请求的用户，代理在两个连接中转发 数据。代理服务器将外部网络和内部网络分开，从内部发出的数据包经过这样的 防火墙处理后，就好像是源于防火墙外部的网卡一样，从而达到隐藏内部网络结 构的作用。内部网络的主机，只需直接将需要的服务的口地址指向代理服务器主 机，就可以获取外部网络资源。 应用层防火墙的优点，在于它可以提供用户级身份认证、日志记录和账号管 理，彻底分隔内外网络。所以应用代理防火墙具有比数据包过滤器、状态检测数 据包过滤器等其他类型防火墙更高的安全级别【2 0 】。另外，它可以授权网络管理员 对每一个服务的完全控制权，由代理服务限制了命令集合和哪一台内部主机支持 6 第二章网络入侵防御的相关安全技术 相应的服务。同时，网络管理员对支持哪些服务也可以完全控制。 其缺点在于，由于应用层防火墙需要对应用层的内容进行检测，因此需要耗 费大量的网络和系统资源，对系统性能的要求较高。而且每增加一个新的应用协 议，必须开发相应的代理来处理这些协议。 3 ) 状态检测防火墙 针对传统的包过滤防火墙只能通过检测口包头的相关信息来决定数据流的 通过还是拒绝，c h e c k p o i n t 最早提出了状态检测( s t a t e f u li n s p e c t i o n ) 技术。状态 检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为 一个整体的数据流看待，构成连接状态表。再通过规则表与状态表的共同配合， 对表中的各个连接状态因素加以识别。状态检测防火墙关心数据包连接状态变化， 在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话， 利用状态表跟踪每一个会话状态，根据状态的正确与否进行数据的过滤。 网关防火墙的一个挑战就是能处理的流量，状态检测技术在极大提高安全防 范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使 防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大 型网络上。任何一款高性能的防火墙，都会采用状态检测技术。 状态检测防火墙的优点在于它工作在协议栈的较低层，通过防火墙的数据包 在低层处理，而不需送到上层去处理，因此执行效率提高很多；另外，一旦一个 连接建立起来，就不用再对这个连接做更多工作，系统可去处理别的连接，执行 效率明显提高。 其缺点在于需要对每个会话进行维护，对不同类型的会话需要不同的规则。 所以状态检测防火墙的配置比较复杂，而且在处理的时候，也需要占据一定的网 络速度。 二、防火墙技术发展趋势 随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以 从防火墙体系结构和防火墙系统管理两个方面来体现【1 2 1 。 1 防火墙的体系结构发展趋势 随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能 够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍， 它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙 制造商开发了基于a s i c 的防火墙和基于网络处理器的防火墙。从执行速度的角 度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度 7 电子科技大学硕士学位论文 上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务 的引擎，从而减轻了c p u 的负担，该类防火墙的性能要比传统防火墙的性能好许 多。另外，随着多核处理器的出现，多核并行技术也被应用到防火墙设备中，从 而可能达到很高的网络吞吐率。 2 防火墙的系统管理发展趋势 防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面。首先是集 中式管理，它可以降低管理成本，并保证在大型网络中安全策略的一致性。其次， 还需要具有强大的审计功能和自动日志分析功能。这样可以更早地发现潜在的威 胁并预防攻击的发生。 2 1 3 防火墙技术的缺陷 防火墙作为一种访问控制设备，能够有效的对3 _ 4 层的攻击进行防范。但防 火墙不能防范应用层的入侵攻击，同时由于防火墙的访问控制规则不能实时的更 新，因而不能对新出现的攻击进行防范。总结起来，防火墙主要存在着以下这几 个方面的不足： 防火墙只能防止经由防火墙的攻击，但是它却难以防止网络内部用户对网 络的攻击。 防火墙不能防止来自应用层的入侵攻击。防火墙只能检测网络协议3 _ 4 层 的攻击行为，而蠕虫等攻击方式则可以穿透防火墙，对内部网络进行破坏。 防火墙对报文过滤采取的是基于访问控制列表的机械的方式，不能实时的 对访问控制规则进行更新。因而防火墙不能防范不断更新的攻击方式，不能阻止 新的入侵行为。 2 2 入侵检测技术 2 2 1 入侵检测概述 入侵检测( i n t r u s i o nd e t e c t i o n ) 是最近十几年发展起来的一种动态的监控、 预防或抵御系统入侵行为的安全机制。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 的研究最早可以追溯到j a m e s a d e r s o n 在1 9 8 0 年的工作【1 2 】。他首先提出了入侵尝 试( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 的概念，并将入侵定义为：“潜在的、有 预谋且未经授权而访问信息、操作信息，致使系统不可靠或无法使用的企图”。1 9 8 3 第二章网络入侵防御的相关安全技术 年，s r i ( s t a n f o r dr e s e a r c hi n s t i t u t e ) 用统计方法分析i b m 大型机s m f ( s y s t e m m a n a g e m e n tf a c i l i t y ) 记录，这也是早期对入侵检测的研究。 1 9 8 7 年，d e d e n n i n g 首次给出了入侵检测的抽象模型1 2 】( 如图2 。l 所示) ， 由六部分构成：主体、对象、审计记录、活动简档、异常记录、活动记录。d e n n i n g 模型基于这样一个假设：由于袭击者使用系统的模式不同于正常用户的模式，通 过监控系统的跟踪记录，可以识别袭击者异常使用系统的模式，从而检测出袭击 者违反系统安全性的情况。d e n i - f i n g 模型独立于特定的系统平台、应用环境、系 统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 入侵是指任何试图危及计算机资源的完整性、可用性或机密性的行为【1 2 】。而 入侵检测系统是对入侵行为的发觉。它通过从计算机系统中的若干关键点收集信 息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为 和遭到攻击的迹象。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，它 扩展了系统管理员的安全管理能力，提高了信息安全结构的完整性。入侵检测被 认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行 监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 图2 - 1d e n n i n g 通用入侵检测系统模型 入侵检测系统【1 3 】可分为基于主机的入侵检测系统和基于网络的入侵检测系 统。基于主机的入侵检测系统( h o s t b a s e di d s ) 通常是安装在被重点检测的主 机之上的，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判 断。可以监测系统、事件和操作系统下的安全记录以及系统记录。基于网络的入 侵检测系统( n e t w o r k b a s e di d s ) 将原始网络包作为数据源，基于网络的入侵检 测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络 9 电子科技大学硕士学位论文 的所有通信业务。 2 2 2 入侵检测分析方法 在进行入侵检测分析之前，应先对数据进行采集。这些数据包括系统、网络、 数据及用户活动的状态行为等信息。入侵检测系统通常会采用三种方法进行分析： 特征检测，异常检测，完整性检验【2 0 1 。这三种方式分别适用于不同类型的入侵， 因此入侵检测系统有可能采用其中一种或几种方法进行入侵分析。 1 特征检测 特征检测对那些试图以非标准化手段使用系统的安全事件进行鉴别。入侵检 测系统中存储着已知的入侵行为描述，以此为根据比较系统行为。某方面的系统 调用与一种行为描述匹配时，就会产生一种响应处理，比如记录日志或报警。 特征必须能准确描述某一种特殊入侵行为的特点。由于差不多每一种类型的 恶意流量都能被一种惟一的特征所鉴别，因此大部分恶意流量都能被i d s 用特征 检测捕获。虽然存在一些攻击能逃过特征检测，但是它们是很小的一部分并且能 够用其他手段检测出来。当然特征检测也具有一些局限性，因为它并不关心进行 特征匹配的行为的意图，因此容易产生误报。同时由于它要求对攻击行为进行精 确描述，因此只要对攻击进行一点微小的修改，比如一个比特位的变化，就能绕 过入侵检测系统，所以易产生漏报。更主要的是它依赖已知入侵行为的描述，这 使得它在未知攻击面前几乎无能为力。 虽然特征检测存在上述缺点，但就目前来说，特征检测仍是检测已知攻击的 最为准确的技术，采用特征检测的入侵检测系统还是性能最突出、最可靠的。 2 异常检测 异常检测通过对标准的测量来检测滥用行为，如果一个行为模式与标准不同， 就会产生一个警报。异常检测试图用定量的方式描述可接受的行为特征。异常检 测从用户的系统行为中收集一组数据作为基准数据，如果用户偏离了正常调用模 式，就会产生警报。异常检测可以用来监控权限升级攻击，能更好的捕获富有经 验的攻击者。 异常检测的主要优点在于它不依赖于对已知攻击的识别，可以检测到未知的 或更为复杂的入侵事件；缺点是正常模式的知识库难以建立。在建立正常模式标 准时，必须假定基准数据中收集的数据是无恶意的正常行为，否则i d s 容易产生 漏报；相应的，如果某一种罕见类型的流量没有在产生基准数据时被捕获，i d s l o 第二章网络入侵防御的相关安全技术 遇到这种流量时容易产生误报。 3 完整性检验 完整性检验是一种简单高效的监控入侵者的方法。它为系统的每个文件生成 一个校验和，然后定期将这个校验和与源文件比较，以确保文件没有修改。 完整性检验能对入侵过程中造成的文件破坏或改动做出有效的检测，但是它 要求首次检验的系统必须是干净的，否则校验和会因与“脏 系统的源文件进行 匹配而改变。另外，系统正常的更新操作可能带来大量的文件更新，导致基准数 据库的重建。 2 2 3 入侵检测技术的发展方向 近年来对入侵检测的研究方向主要有【1 5 1 1 异常检测方法的深入研究 异常检测技术所具有的对未知攻击的识别能力和对用户行为的自适应能力， 正是一个理想的入侵检测系统所应该具备的。异常检测的关键是用户正常行为特 征的提取，对于入侵行为的检测实际上是对被监视对象的行为的分类和识别。尽 管已经有神经网络、遗传算法等在入侵检测领域的应用研究，但只是些尝试性的 研究工作。对这些方法进一步研究以解决误报率高的问题，从而将异常检测方法 推向实用化是今后研究的重点。 2 入侵检测系统自身的安全性 入侵与攻击常以网络为入侵主体。但近年来不少攻击行为却发生了策略性的 变化，由攻击网络改为攻击网络的防护系统，且有越演越烈的趋势。现在已有专 门针对入侵检测系统进行攻击的报道，攻击者详细分析i d s 的审计方式、特征描 述、通信模式等，并找出i d s 的弱点，然后加以攻击。专门针对入侵检测自身加 固的工作开展得还比较少，但必然是入侵检测系统必须面对和解决的问题。 3 与其他安全技术结合 需要将网络安全作为一个整体工程来处理，用安全工程风险管理的思想和方 法来处理网络安全问题。从管理、网络结构、加密通道、防火墙、病毒防护、入 侵检测多方位全面对网络做出评估，然后提出可行的全面解决方案。这是个必然 的趋势。 电子科技大学硕士学位论文 2 2 4 i d s 一防火墙联动技术 1 i d s 与防火墙比较 从上面对防火墙和入侵检测系统的描述不难看出，防火墙本质是一种访问控 制设施，而入侵检测系统重在检测，并不进行访问控制【1 1 】。防火墙由于串联在网 络中，因而防火墙的性能是个关键问题；而入侵检测系统通常与网络是一种并联 关系，检测功能的强大与否是入侵检测系统的一个关键问题。防火墙与入侵检测 系统是一种互补的关系，由于这种互补关系的存在，综合利用这两种安全保障机 制，可以达到一种更好的效果。 防火墙作为一种主动防御设施使用串联方式接入网络中，而入侵检测系统作 为一种被动防御设施使用并联方式接入网络中。当来自外部的攻击发生时，首先 被入侵检测系统检测出来，然后入侵检测系统可以通过预先定义的接口将信息提 交给防火墙【l6 1 。防火墙收到信息后，可以做适当的配置调整，丢弃恶意连接会话 的后续报文，并在一段时间内拒绝接受来自攻击源地址的报文。 2 联动技术介绍 1 ) o p s e c 国外安全厂商联动技术的代表是c h e c kp o i n t 公司的o p s e c ，通过提供开放 接口标准，以c h e c kp o i n t 防火墙为核心，能够在多个安全产品之间构建一个主动 的网络安全防护体系【1 7 1 。o p s e c 联盟分为两大部分：提供应用程序进行联动集成， 基于c h e c kp o i n t 平台的安全应用服务。 应用程序的集成联动 安全厂商提供被c h e c kp o i n to p s e c 认可并与o p s e c 构架兼容的产品，这些 产品根据功能不同可分为四大类：实施安全产品、管理和报表、性能和可用性、 e b u s i n e s s 的应用安全。 o 基于c h e c kp o i n t 平台的安全应用服务 这些厂商向用户提供基于c h e c k p o i n t 解决方案的硬盒子产品、互联网设备和 服务器。 2 ) t o p s e c 国内安全厂商在联动技术方面有代表性的是天融信公司的t o p s e c 开放协 议。t o p s e c 体系结构主要围绕四个方面的安全应用【1 7 】：病毒防护和内容过滤、 入侵检测、管理和报表以及安全认证。t o p s e c 是中国第一个安全开放平台，目 前t o p s e c 的主要联盟也都是国内的网络安全和信息安全厂商。 1 2 第二章网络入侵防御的相关安全技术 t o p s e c 提供接口协议【1 。7 1 ，主要有入侵检测与阻断协议( i n t r u s i o nd e t e c t i o n & b l o c k i n gp r o t o c 0 1 ) 、信息检查与过滤协议( i n f o r m a t i o nc h e c k s c r e e np r o t o c 0 1 ) 、 鉴别服务接口( a u t h e n t i c a t i o ns e r v i c ei n t e r f a c e ) 、信任服务接口( t r u s ts e r v i c e i n t e r f a c e ) 、日志输出协议( l o ge x p o r t i n gp r o t o c 0 1 ) 、加密网关协议( c r y p t og a t e w a y p r o t o c 0 1 ) 、高可用协议( h i 【g ha v a i l a b i l i t yp r o t o c 0 1 ) 、远程管理协议( r e m o t e m a n a g e m e n tp r o t o c 0 1 ) 、有待扩展的协议( x p r o t o c 0 1 ) 。 3 联动技术的不足 联动技术解决了入侵检测系统与防火墙系统各自在功能上的不足之处。但这 种防火墙与入侵检测系统互动的方式也有一些不足【1 1 1 。首先，使用这种方式防御 攻击会使系统变得很复杂，任何一个