（计算机软件与理论专业论文）协同入侵防御系统树型管理模型与协议流分析.pdf

华中科技大学硕士学位论文摘要分布式网络安全系统中安全实施节点的增多会带来安全系统可管理性的下降，各个安全节点安全策略的自主控制会增加相互冲突的可能性，单一管理台将会成为系统中的瓶颈与单一失效点。同时，现有入侵检测系统面对高速网络流量，其较低的检测效率与较高的误警率无法保证检测入侵的成功率。针对上述问题，在协同入侵防御系统c i p s ( c o o p e r a t i v ei n t r u s i o np r e v e n t i o ns y s t e m ) 中采用了一种树型层次管理模型t h m m ( t r e e 1 i k eh i e r a r c h i c a lm a n a g e m e n tm o d e l ) 用以管理分散在受保护网络内部各个节点上的微安全系统m s s ( m r i c os e c u r i t ys y s t e m ) ；并引入了基于协议流分析p f a ( p r o t o c o lf l o w a n a l y s i s ) 的入侵检测技术，以提高入侵检测的效率与检测率。在t h m m 模型中，c i p s 保护的网络从逻辑上被划分为多个域，域内各节点运行微安全系统m s s ，每个域设置一个安全管理台s a ( s e c u r i t y a d m i n i s t r a t o r ) ，通过s a的交互完成树型层次模型构架，实现分域管理：t h m m 的运行采用自主认证机制，验证管理域内节点的身份，避免恶意用户破坏造成保护节点脱离安全管理域，提高了系统的安全性：采用动态入侵响应机制，可以实时处理本域内发生的入侵行为，并能将入侵行为根据响应策略动态发布，通知域内与域间的其它节点，避免同类入侵造成更大的破坏。在p f a i d s ( p r o t o c o lf l o wa n a l y s i s i n t r u s i o nd e t e c t i o ns ) s t e m ) 中，通过网络抓包模块完成对网络数据流的采集，为进行入侵分折提供数据源；通过配置检测规则列表，生成基于模式匹配的入侵检测规则库；通过数据包常规分析，处理网络层与传输层的数据包，检测网络层与传输层入侵行为；基于协议流分析处理应用层协议数据，在分析网络流量特点的前提下，以m t p 协议流分析为例实现了p f a i d s ，检测应用层的攻击行为：最后通过日志报警输出向控制台报告入侵信息，由控制台采取响应措施并进行关联分析，以便检测出协同入侵行为。关键词：网络安全，协同入侵，树型层次管理，协议流华中科技大学硕士学位论文a b s t r a c ti n c r e a s i n go fs e c u r i t yn o d ew i l lm a k ei tm o r ed i f f i c u l tt om a n a g et h ed i s t r i b u t e dn e t w o r ks e c u r i t ys y s t e m ，a n de a c hn o d ec o n t r o l l i n gs e c u r i t ys t r a t e g yt h e m s e l v e sw i l la g g r a v a t ep r o b a b i l i t yo fc o n f l i c ta m o n ge a c ho t h e r , a n da l s os i n g l ea d m i n i s t r a t o rw i l lb e c o m et h eb o a l e n e c ka n ds i n g l ep o i n to ff a i l u r eo fs y s t e m a tt h es a m et i m e ，f a c e da tf l o wo fh i g hs p e e dn e t w o r k , t h el o w e rd e t e c t i n ge f f i c i e n c ya n dh i g h e re r r o ra l a r mr a t eo ft h ep r e s e n ti d s ( i n t r u s i o nd e t e c ts y s t e m ) c o u l dn o ta s s u r ec o r r e c tr a t eo f i n t r u s i o nd e t e c t i n g t os o l v et h e s ep r o b l e m s ，an o v e lm o d e lt h m m ( t r e e l i k eh i e r a r c h i c a lm a n a g e m e n tm o d e l ) i si n t r o d u c e dt ot h ec i p s ( c o o p e r a t i v ei n t r u s i o np r e v e n t i o ns y s t e m ) ，w h i c hm a n a g e sa l lt h em s s ( m _ r i c os e c u r i t ys y s t e m ) o ne a c hn o d ei nt h eb e i n gp r o t e c t e dn e t w o r k s i m u l t a n e i t y , p f a ( p r o t o c o lf l o wa n a l y s i s ) i sc r e a t e dt oi n c r e a s ei n t r u s i o nd e t e c te f f i c i e n c ya n dc o r r e c tr a t e i nt h m m ，n e t w o r kp r o t e c t e db yc i p si sd i v i d e di n t os e v e r a ld o m a i ni nl o g i c m s si sr u ni ne a c hn o d eo ft h e s ed o m a i n s e a c hd o m a i nh a si t so w ns a ( s e c u r i t ya d m i n i s t r a t o r )a n dt h m mm a n a g e sa l lo ft h e s ed o m a i n st h r o u g hc o m m u n i c a t i o na m o n gt h e s es a t h m mv a l i d a t e sn o d e so fad o m a i nb ys e l fa u t h e n t i c a t i o nm e c h a n i s m ，w h i c hc a na v o i dp r o t e c t e dn o d e sd i s e n g a g ef r o md o m a i nb ym a l i c i o u su s e rd e s t r o ya n di m p r o v et h es y s t e ms e c u r i t y d y n a m i ci n t r u s i o nr e s p o n s em e c h a n i s mc a i lr e a l - t i m ed e a lw i t hi n t r u s i o nt od o m a i na n di s s u ei tt oo t h e rn o d e so fa l lt h ed o m a i n s w h i c ha v o i d st h es a i n ed e s t r o yt oo t h e rn o d e s p f a i d s ( p r o t o c o lf l o wa n a l y s i s - i n t r u s i o nd e t e c t i o ns y s t e m ) p r i m a r i l yc o m p l e t e st h ef o l l o w i n gf u n c t i o n s ：( 1 ) c o l l e c tn e t w o r kd a t af l o wt h r o u g ht h en e t w o r ks n i f f e rm o d u l e ，w h i c hs u p p l i e sd a t ar e s o u r c et oi n t r u s i o na n a l y s i s ( 2 ) t h r o u g hc o n f i g u r i n gd e t e c tr u l el i s t ，b u i l di n t r u s i o nd e t e c tr u l es e tw h i c hb a s e do np a r e mm a t c h ( 3 ) t h r o u g ha n a l y z i n gd a t ap a c k e t ，d e a l 丽t hd a t ap a c k e ta n dd e t e c ti n t r u s i o nf r o mn e t w o r kl a y e ra n dt r a n s f e rl a y e r ( 4 )a n a l y z i n gp r o t o c o ld a t af r o ma p p l i c a t i o nl a y e rb a s e do np r o t o c o lf l o w b a s e do na n a l y s i so fc h a r a c t e r i s t i co fn e t w o r kf l o w , i m p l e m e n tp f a - i d st od e t e c ta t t a c ka c t i o nf r o ma p p l i c a t i o nl a y e r ( 5 ) r e p o r ti n t r u s i o nt oa d m i n i s t r a t o rb yl o g g i n ga l e r tm e s s a g e a d m i n i s t r a t o rr e s p o n s e si ta n de x e c u t e sa s s o c i a t ea n a l y s i st od e t e c tc o o p e r a t i v ei n t r u s i o na c t i o n k e yw o r d s ：n e t w o r ks e c u r i t y , c o o p e r a t i v ei n t r u s i o n ，t r e e l i k eh i e r a r c h i c a lm a n a g e m e n t ，p r o t o c o lf l o w1 1独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体己经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均己在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文储魏多卜悟日期：阳o r 年多月日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。保密口，在年解密后适用本授权书。本论文属于，不保密翻。( 请在以上方框内打“4 ”)学位论文作者签名：寥ni 名指导教师签名：日期：瑚r 年譬月8 日日期：乒年广月a 日华中科技大学硕士学位论文1 绪论本章简述协同入侵网络防御系统的研究背景并介绍国内外相关系统的发展状况，然后解释几个网络安全系统的相关概念，包括防火墙、入侵检测、异常流量检测等，最后讲述树型层次管理模型与协议流分析技术在协同入侵网络防御系统中的作用和本课题研究的工作。1 1 研究背景在电子信息时代，计算机网络渗透到社会生活的各个方面，其安全问蹶已经成为影响国家独立与安全、经济运行与发展、社会稳定与繁荣的重大问题。随着网络系统结构的复杂化和大型化，系统的弱点和漏洞将趋向于分布化。同时，随着黑客入侵水平的提高，入侵行为也不仅局限于单一的行为。这样当单个的入侵检测i d s i l l ( i n t r u s i o nd e t e c t i o ns y s t e m ) 设备( 无论是主机型还是网络型) 应对分布式、协同式、复杂模式攻击的入侵行为时，就显得十分力单势薄。这些分布化、协同化的网络攻击行为的典型特点是：1 ) 攻击持续时间长，单个攻击行为不明显；2 ) 攻击者范围分布广泛，攻击危害性大；3 ) 攻击成员之间及时交流攻击信息，将缩短攻击时间和优化攻击手段。面对这种趋势，现有的安全系统暴露出如下严重的缺陷：常用的安全组件只能针对独立的入侵行为，而难以防范大规模的、有组织的协同入侵行为；安全系统默认信任内部用户，因此不能防止来自受保护网络内部的攻击；在大规模分布式系统中，各安全组件缺乏协同工作和互动的防御机制。协同入侵2 1 会给现有的入侵检测系统带来较高的误报率和漏报率。在联动的一体化安全防御体系中，入侵检测系统可以自动调整其他安全组件的策略，以防止进一步的攻击，这时误报带来的负面影响可能更大了误报触动策略调整之后，本该许可的访问反而可能无法正常进行，这形成了一种新的拒绝服务攻击。所以，如何提高入侵防御体系结构中的报警的准确性是一个急待解决的问题。协同入侵防御系统通过联合各种安全组件，对安全事件进行综合分析与动态响应，同时采用可扩展的系统框架结构，实现对大规模协同入侵行为的防御。华中科技大学硕士学位论文1 2 国内外概况1 2 1 国内外入侵检测系统概况常用的访问控制a c c e s sc o u t r o l 2 - 4 l 安全机制在传输网络中无法防范针对大规模网络的、有组织的攻击行为。入侵检测技术就作为第二道防线引入。作为整体安全技术的一个组成部分，入侵检测系统还应该和其他安全组件协同工作，建立互动的响应机制。随着分布环境下的协同攻击与日俱增，其危害程度也日益严重。所以，协同入侵检测技术已成为研究热点。目前，国内外一些有前瞻性的研究机构对大规模协同入侵检测系统进行了有益的研究，也建立了一些实验性系统。为减少对美国国防部非保密网络的入侵，美海军使用新的网络安全系统i a s m s , 6 i( i n t e l l i g e n t a g e n ts e c u r i t y m o d u l e ，智能代理安全模块) 。i a s m 增加了对信号文件的管理( 基于知识的规则库，用来指示可能的网络错误使用) ，它通过寻找不规则网络行为，而不是特殊的黑客技术来产生警报。系统通过将信息相互关联，为正常使用网络行为开发出统计列表，然后使用异常行为检测算法，达到检测入侵行为的目的。使用i a s m ，警报的数量将极大地降低，使得快速反攻击成为可能。目前正在进行小规模商业创新研究。g e o r g em a s o n 大学的c a r d s l 7 , 8 ( c o o r d i n a t e da t t a c kr e s p o n s e & d e t e c t i o ns y s t e m ) 系统由入侵特征管理器，监视器和目录服务器构成。该系统采用事件驱动的机制把检测任务分布在各个监视器上，提供了一种分布式可扩展的框架。法国国防部进行的m i r a d o r 项目研制一种协同式的可自适应性的入侵检测系统，其中综合采用了各种报警关联与聚集技术。i s s ( i n t e m e ts e c u r i t ys y s t e m ) 公司的r e a l s e c t t r e 是一个计算机网络上自动实时的入侵检测和响应系统。r e a l s e c u r e 提供了分布式安全体系结构，多个检测引擎可以监控不同的网络并向中央管理控制台报告。管理控制台与引擎之间的通信采用1 2 8 一b i tr s a l 9 j o j 进行认证和加密。它还提供了实时的网络监视功能。c y b e t c o dn e t w o r k 是n a i 的网络安全系列产品之一，其主要功能是在复杂的网络环境中通过循环监测网络流量的手段保护网络上的共享资源，是基于数据审计的攻击检测系统，也可以识别遭受攻击的系统部位，能对系统活动进行日志记录、捕获攻击线索。c y b e r c o p n e t w o r k 系统由智能化的传感器构成，传感器是可以根据组织企业的需要进行配置以适合系统安全策略的信息采集器，分布在网络各处敏感和易遭攻击的华中科技大学硕士学位论文场所，如广域连接、拨号连接、簇集服务器、特定的网段等。系统提供定义包括监控、过滤及封锁网络通信量等规则的功能，能够有效地监测网络，检测出攻击企图，及时发送警报电子函件报警、进行事件记录，还县备向安全管理人员发寻呼的功能。虽然r e a l s e c u r e 和c y b e r c o p n e t w o r k 都实现了较强的网络流量监测管理、检测攻击和入侵响应功能，但它们都不是基于大规模网络开发的，没有采用针对大规模网络环境的可扩展体系结构，只有一个集中的管理控制台，不能实现多层次的管理。其次，它们没有实现网络交换设备一级的安全控制；在检测到入侵之后，不能实现攻击源的追踪定位；最后，它们缺乏全网统一的安全策略和响应效果的及时验证。国防科技大学开发的天一猎鹰h m i d s 采用基于代理的分布式入侵检测【l i - 1 4 体系结构，利用代理捕捉入侵和可疑的事件，在入侵成功之前发现并阻止入侵。该系统由两个层次构成：中心服务器保存系统配置和各网络代理信息，接受网络代理报告的安全事件。网络代理完成具体的入侵检测任务，包括对攻击的检测、响应及预警，并报告重要的审计信息。由于针对协同入侵的检测需要从相互无明显关联的海量网络行为中快速发掘协同关联，并及时做出联合响应，是一个尚未解决的技术难点，所以，协同入侵检测研究尚处于实验室阶段，尚未见相关成熟系统和产品。1 2 2 相关技术简介1 ) 防火墙技术防火墙 1 s , 1 6 1 是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的系列部件的组合。第一代防火墙技术几乎与路由器同时出现，采用了包过滤【1 7 l ( p a c k e tf i l t e r ) 技术a这种类型的防火墙根据定义好的过滤规则审查每个数据包。过滤规则基于数据包的报头信息进行制订。包过滤类型的防火墙遵循的一条基本原则是“最小特权原则”，即防火墙只接受管理员规定可以通过的数据包，拒绝接受其它的数据包。1 9 8 9 年，贝尔实验室的d a v ep r c s o t t o 和h o w a r dt r i c k e y 推出了第二代防火墙( 电路层防火墙) 和第三代防火墙应用层防火墙( 代理防火墙) 的初步结构。1 9 9 2年，u s c 信息科学院的b o b b r a d e n 开发出了基于动态包过滤( d y n a m i cp a c k e tf i l t e r )技术的第四代防火墙，后来演变为目前所说的状态监视( s t a t e f u li n s p e c t i o n ) 技术。1 9 9 4 年，以色列的c h e c k p o i n t 公司开发出了第一个基于这种技术的商业化的产品。1 9 9 8 年，n a i 公司推出了一种自适应代理( a d a p t i v ep r o x y ) 技术，并在其产品g a u n t l e t华中科技大学硕士学位论文f i r e w a l lf o rn t 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。1 9 9 9 年b e l l o v i n 提出了分布式防火墙【1 羽的概念并开始了实验性研究，2 0 0 0 年p e n n s y l v a n i au n i v e r s i t y 与a t & t 联合实现了分布式防火墙的原型【1 9 ，该原型系统采用基于k e y n o t e 2 4 l 凭证的方式进行访问控制，利用 p s e e 2 5 1 用于受保护实体之间的通信。当前已经有众多防火墙厂商如s y g a t e 、c y b e r w a l l 已推出分布式防火墙的商业产品。2 ) 入侵检测技术入侵检测技术是动态安全最核心的技术之一，它最早由j a m e s r a n d e r s o n 在1 9 8 0年提出。他将入侵企图( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为潜在的、有预谋的、未经授权的访问信息和操作信息，致使系统不可靠或无法使用的企图。入侵检测一般要经过数据收集与归纳、行为的分析与分类、报告与响应等过程。按照数据来源和分析方法的不同，目前对现有的入侵检测技术有以下两种分类方法：( 1 ) 根据原始数据( r a wd a t a ) 来源的不同，将入侵检测系统分为基于主杌( h o s t b a s e d ) 和基于网络( n e t w o r k b a s e d ) 流量的入侵检测。前者试图从主机和应用的审计记录发现入侵活动，而后者希望从网络流量中分析出异常的网络活动，进而发现可疑的入侵行为。( 2 ) 第二种方法根据分析方法不同，将入侵检测系统分为异常检测3 ( a n o m a l yd e t e c t ) 和误用检测【2 ”( m i s u s ed e t e c t ) 。异常检测基于这样一个假设，即在一段时间内用户或网络的行为通常遵循一个可预见的模式，于是可以通过检测资源的异常使用现象来发现入侵行为。异常检测一般使用统计分析方法。许多系统的入侵和攻击都是利用己知的系统缺陷和协议的漏洞，这种入侵表现为正常的通信行为，一般难以用统计的方法来检测。但是这些攻击遵循一定的行为特征，可以通过检查预先定义好的行为模式或规则发现可疑的入侵行为，这种方法称为误用检测。3 ) 入侵信息聚类技术因为一次攻击可能产生多个报警信息，所以需要提供一种机制，把这些源于同一攻击行为的报警信息进行归并，或者把那些相关性较强的报警信息聚合在一起。报警信息的相关性是指它们在时间上相关( 指安全事件按发生时间排序，相邻两个事件间隔不超过规定单位时间) 或空间上相关( 对于网络安全事件是指源i p 地址来自同一子网，对于主机安全事件是指来自n - - n p n 控制n ) 。聚类技术【2 删就是按照一定4华中科技大学硕士学位论文的规则和定义，把同类的数据分类、定性，总结出它们的共性，并构造报警簇。聚集技术主要研究如何根据报警信息之间的时问相关性、源目标地址相关性构造报警簇，并解决如何归并这些报警簇，用一个全局报警信息来表示它。报警聚集技术可以减少关联的工作量，从而大大提高关联效率。4 ) 入侵信息关联技术关联技术 3 0 , 3 1 的基础是：入侵者很难通过单一攻击的方式达到最终的入侵目标，通常是制定一个更加全局的入侵计划，采取分步骤攻击的方式达到入侵目的。关联技术的目的是将有可能相关的报警信息通过一系列相关函数的处理，识别正在进行的入侵意图。关联即表示多个数据源之间的相关程度和相互影响的程度。关联技术对经过聚类后的报警数据纪录进行处理，并产生描述入侵趋势的入侵计划候选集。5 ) 异常流量检测技术异常流量 3 2 翔1 检测的核心问题是实现描述流量正常行为、实时性检测、获得信息的全面性和反应的灵敏性，这些核心问题的解决将使系统设计和实现难度加大，所以面向网络的实时安全监测系统是目前研究的一个热点。实时异常检测的前提是能够实时测量，对大规模高速网络流量进行异常检测首先要面临高速流量荷载问题，由于测量、分析和存储等计算机资源的限制，无法实现全网络流量的实时检测，因此抽样测量技术成为高速网络流量测量的研究重点。网络异常流量检测主要研究会产生异常流量的攻击行为，如端口扫描p o r ts c a n t 3 4 1 、s y nf l o o d t 3 5 】型d d o s 3 6 1 ( d s t r i b u t e dd e n yo fs e r v i c e ) 攻击和蠕虫w o r m ”】等。异常检测的关键是通过对网络流量正常行为的描述来分析和发现网络或系统中可能出现的异常行为，并向管理员提出警告，或主动做出反应。网络的异常行为通常表现为通过流量的异常，例如由特定的攻击程序或蠕虫爆发的数据，而扫描攻击会产生大量的短报文，所以一旦出现大量扫描攻击发生，平均报文长度会有显著变化，因此报文平均长度可以作为一种测度。6 ) 内容过滤技术目前互联网上垃圾邮件p 砚的泛滥已经成为一个不容忽视的问题，同时大量的病毒也是通过邮件的形式进行传播。因此有必要研究基于内容检测的邮件过滤技术，在s m t p 【”, 4 0 l ( s i m p l em a i lt r a n s f e rp r o t o c 0 1 ) 、p o p 3 t 4 1 ( p o s to f f i c ep r o t o c o l3 ) 服务中无缝嵌入反垃圾邮件模块，采集垃圾邮件特征，实时组织和构造垃圾邮件的判别规则，抑制垃圾邮件的传播。华中科技大学硕士学位论文1 3 树型层次管理模型的作用协同入侵防御系统保护的对象是一个大型网络，如校园网、企业网。采用集中安全控制与分布式安全控制相结合的运行方式来防止协同入侵对网络关键点的破坏，同时防止网络内部用户对系统的关键服务器实施攻击。树型层次管理模型t h m m( t r e e 1 i k eh i e r a r c h i c a lm a n a g e m e n tm o d e l ) 用于管理大规模网络内部各终端节点上运行的微安全系统m s s ( m i r c os e c u r i t ys y s t e m ) ，处理m s s 的报警信息。主要包括：1 ) 提供分布式安全系统的可管理能力；2 ) 入侵的快速响应；3 ) 动态更新防火墙等安全组件。1 4 协议流分析入侵检测系统的作用大规模网络中高速的网络流量给入侵检测带来严峻的挑战。引入协议流【4 3 】分析技术，可以根据协议区分入侵检测系统检测的数据，极大的减少数据处理负载，使得入侵检测系统的检测效率与准确性都大大提高。p f a - i d s ( p r o t o c o lf l o wa n a l y s i s - i n t r u s i o nd e t e c t i o ns y s t e m ) 其具体作用包括：1 ) 检测全局网络数据流量；2 ) 形成报警信息，提供统一的报警格式；3 ) 通知系统控制台。1 5 主要研究工作在协同入侵防御系统中，网络节点数目巨大，分布式安全系统实施点众多，增加了管理的困难，并且导致扩展性差。同时，面对高速网络数据流量，入侵检测系统的负载过重，极大的影响了入侵检测效率。为解决分布式安全系统的管理问题，需要为协同入侵防御系统c i p s ( c o o p e r a t i v ei n t r u s i o np r e v e n t i o ns y s t e m ) 提出新的安全系统管理方法。本文提出一种树型层次管理模型。t h m m 模型中，分布式安全系统被划分为多个域，每个域中有一个域管理台，负责控制域内安全节点并与其它域进行交互。t h m m 将实现以下功能：1 ) 安全节点的认证；华中科技大学硕士学位论文2 ) 域节点的管理；3 ) 入侵响应机制；4 ) 系统容错。而在基于协议流分析的入侵检测模块主要完成对全局流量的检测，并通知协同入侵防御系统的其它模块。将实现以下功能：1 ) 网络抓包；2 ) 规则链表初始化；3 ) 数据包普通分析4 ) 数据包协议流分析；5 ) 日志报警输出。1 6 文章的框架结构第一章简述网络安全防御系统的研究背景和国内外相关系统的发展状况与发展趋势，然后解释了网络安全系统相关概念与技术，最后讲述本课题将要研究的工作。第二章首先介绍协同入侵防御系统的整体架构、模块结构及模块的主要功能；然后结合系统结构图插述协同入侵防御系统的工作流程；最后介绍协同入侵网络防御系统的系统特色。第三章论述协同入侵防御系统中树型层次管理模型t h m m ，描述其框架结构、工作流程以及其优越性。t h m m 采用的是分层树型管理方式，可以达到更好的扩展性和更好的可用性。第四章论述协同入侵防御系统中基于协议流分析入侵检测模块，描述协议流分析p f a 在入侵检测系统中的运用。通过对网络数据包在协议级进行区分，针对特定的协议设计入侵检测流程，可以大大的提高检测效率与检测准确性。第五章介绍测试环境，从系统功能和系统性能两个方面对t h m m 模型与p f a i d s进行了测试。第六章对全文进行总结并展望了未来工作；最后是致谢、参考文献与附录。华中科技大学硕士学位论文2 协同入侵防御系统c i p s在分析国内外入侵防御系统研究成果的基础上，针对防御太规模协同入侵需要解决的问题，集群与网格计算湖北省重点实验室提出了一种协同入侵防御系统c i p s ，本文所论述的树型层次管理模型t h m m 与协议流分析入侵检测系统p f a i d s 是c i p s的组成部分。本章首先简要描述c 1 p s 的整体结构、工作流程及系统特色。2 1 系统概述针对r 趋复杂多变的常规入侵和新兴的协同入侵，研究开发针对协同攻击且支持多种分析机制的协同响应入侵防范系统，完成系统对大规模网络应用环境中各类入侵行为的检测、防御，并提供自免疫能力。其研究内容包括：可扩展的大规模网络安全防御系统构架、协同入侵信息的聚类与关联技术、协同式的响应技术、综合多种分析机制的检测技术等内容。c i p s 的设计充分借鉴目前国内外的先进方法与技术，经过系统详细设计与论证，目前已经形成了一套完整的系统设计方案。2 2 系统结构c i p s 主要包括调度模块、并行防火墙模块、p f a i d s 模块、网络日志分析模块、网络内容安全分析n c s a ( n e t w o r k c o n t e n ts e c u r i t y a n a l y s i s ) 模块、异常流量检测模块、控制台模块与树型层次管理模块，其系统结构如图2 1 所示，模块结构如图2 2所示。系统模块图中t h m m 与p f a i d s 的详细模块结构将分别在第3 章与第4 章做详细说明。调度模块是整个系统的数据流分配点，从外部网络来的数据包经过千兆h u b 到达调度模块与流量检测模块。调度模块包括并行防火墙的前端调度、并行防火墙的后端调度和入侵检测系统调度，完成对c i p s 系统中的数据包进行调度，使之按照一定的要求均衡地分配到各个并行防火墙模块与p f a i d s 模块上。并行防火墙模块接收防火墙前端调度模块发过来的数据，完成简单包过滤、状态检测、网络地址转换功能与s y n 代理功能。由于采用了并行技术，并依靠调度模块的数据均衡调度算法，可以提高防火墙处理数据的能力，实现对s y nf l o o d 等大规模8华中科技大学硕士学位论文协同攻击的防御，提高了系统的防御能力。图2 1c i p s 系统结构图图2 2c i p s 系统模块图p f a i d s 是一个基于专家知识库的误用检测的网络入侵检测系统，主要功能是实时记录和分析网络中的数据流。通过对协议的分析、数据包内容的搜索和匹配，可以华中科技大学硕士学位论文监测许多攻击和扫描，如缓冲区溢出、端口隐蔽扫描、c g i 攻击、s m b 探测、操作系统识别探测等等。同时引入协议流分析技术，提高入侵检测系统的检测效率。网络内容安全分析n c s a 通过解析h t t p 、p o p 3 或s m t p 等网络邮件传输协议，可以在邮件的头部信息中，通过语法分析分离出邮件的信头部分和信件体部分。对于信头，采用字符串查找的方法，定位到特定的邮件语法元素如：f r o m 、t o 、s u b j e c t 、d a t a 以及m i m e 特定的信头字段；根据m i m e 中c o n t e n t - t y p e 的取值( 一般为m u l t i p a r t多部件邮件) ，获得信件体不同实体之间的分割字符串；查找到c o n t e n t - - t y p e 为t e x t p l a i n 类型的实体，分离出该实体；根据该实体信头中的c o n t e n t - t r a n s f e r - e n c o d i n g的取值，对于该实体的信件体进行解码；这样就可以完整的得到一个信件的内容。通过比较发件人地址、回复地址与垃圾邮件列表，来过滤那些常见的垃圾邮件地址。或通过在邮件主题中扫描一些关键字如：广告、促销，来检测垃圾邮件并对其进行屏蔽。树型层次管理模块是树型层次模型的实现，完成对网络内部用户的安全管理。按照需求将内部节点划分为不同的安全域，构成树型结构，并与控制台模块交互，及时通知控制台网络内部发起的入侵信息并接收控制发布的安全控制策略。异常流量检测模块接收整个网络的数据流量，根据一些网络流量统计特性，如：t c p 平均报文长度、u d p 平均报文长度、t c p 占总流量比重、u d p 占总流量比重以及各种t c p 和u d p 应用流量占总流量的比率等在大规模网络中均有较为稳定的统计值，当出现异常行为对，这些统计量的数值将会明显地发生变化。利用w a l s h 序的平均功率序谱应该服从统一分布的原理，可以选用这些统计量作为异常检测的测度指标，并建立统计模型以检验流量异常行为的发生。也就是说对于一种测度来说，他的一段时间的波形( 和分布) 应该和总体的分布应该是接近的( 自相似原理) 。这样如果发现一个小的时间段的分布如果与总体的分布偏离很大的话，那么就认为发现了异常，就可以报警并根据偏离的程度给出报警的严重程度。基于网络日志分析模块是一个基于数据挖掘规则库的网络入侵检测系统，它与基于协议流分析的不同之处在于它是延迟分析数据流。通过记录一段时间的网络数据流，进行数据筛选、数据取样取得最能反映网络真实攻击情况的精简数据集。接着通过数据格式转换后将原始网络连接记录转换成适合数据分析的审计记录，然后通过挖掘各个记录之间的关联关系以及记录内的关联关系挖掘关联规则，发现手工编码规则不易发现的攻击，提高入侵检测的检测率与准确率。控制台模块完成对整个系统的配置与控制工作，包括管理权限配置、安全组件监华中科技大学硕士学位论文控、系统日志、策略规则管理与安全组件消息处理几个部分。管理权限配置负责用户的添加删除、用户信息的修改与用户权限的配置；安全组件监控负责更新系统拓扑图、组件负载监视、组件属性管理与组件起停控制；系统日志负责接收安全组件的报警日志、同志信息分析、日志信息查找与定制显示模式；策略规则管理负责防火墙、入侵检测、流量检测等安全组件的策略规则配置：安全组件消息处理负责安全组件的注册与报警消息处理，完成报警信息的汇总、聚类与关联工作。2 3 工作流程基于图2 1 所示的系统结构图，协同入侵防御系统c i p s 的工作流程如下。1 ) 数据由外部路由器传输至受保护系统，经由千兆h u b 发送到异常流量检测模块、防火墙前端调度模块与i d s 调度模块；2 ) 异常流量检测模块分析全部的网络数据流，计算用w a l s h 序的平均功率序谱，如果发现流量异常，将报警信息发送给控制台；3 ) i d s 调度模块将网络数据包均衡调度到p f a - i d s 模块，p f a - i d s 通过协议分析与常规入侵检测，完成对常规入侵的检测，向控制台报警。同时提取出邮件传输协议的数据包如p o p 3 、s m t p 协议，交给恶意邮件过滤模块；4 ) 恶意邮件过滤模块根据邮件内容过滤，发现恶意邮件，向控制台报警；5 ) 防火墙前端调度器均衡调度数据流至并行防火墙，并行防火墙完成对数据包的过滤，发现攻击行为就向控制台报警；6 ) 控制台综合分析各个安全组件发送的报警信息，进行聚类与关联，发现协同入侵行为，并进行动态响应；7 ) 内部网络数据向外流动是通过后端调度模块，与前端调度相协调；如果内部配置的分布式安全系统发现攻击行为，同样由t h m m 模型中的管理台向控制台报警，进行交互响应。2 4 系统特色c i p s 的主要特色包括以下几点：1 ) 分布环境下的协同攻击与日俱增，传统的入侵检测技术已经不能满足应用需求，本系统采用汇总决策技术收集时间和空间上分布的各种安全事件进行汇总、关联和检测，发现协同入侵并及时更新安全策略；华中科技大学硕士学位论文2 ) 为检测日趋分布化和动态化的入侵行为，本系统采用多层次交互方式提供互动的安全检测防御机制，以提高系统的自免疫能力、入侵响应的主动性和实时性：3 ) 本系统采用基于规则、内容和病毒的多种分析检测机制，对网络和主机中的各类入侵行为进行多层次的检测，并迅速发现和阻断病毒或入侵源，阻止恶意邮件进入受保护网络，提高系统的联合安全防御水平和自免疫能力；4 ) 采取集中控制与分布式控制相结合的安全实施机制，摆脱了对网络拓扑结构的依赖，可以独立的快速检测和响应入侵，消除了单一失效点和处理瓶颈，同时还可以检测内部和外部攻击；5 ) 本系统采用动态扩展的树型结构提供受保护域的自组织和动态规模扩展；多种安全组件体化融合，既可以提高现有安全组件之间的联合防御优势，同时可以扩展新的安全组件功能；报警信息的聚类技术有效减少了向管理台传输的数据量，降低了管理台进行报警关联的开销，从而缩短反应时间。2 5 小结本章介绍协同入侵防御系统c i p s 的系统结构，工作流程及系统的特色。c i p s 主要有8 个模块组成，其中调度模块负责整个系统数据的分配点，完成对网络数据的均衡调度，并保证通信链接的完整性；防火墙完成对网络数据流的控制，拦截入侵行为；流量检测完成对全部网络流量的分析，发现网络异常流量；入侵检测、网络日志分析和邮件过滤完成对入侵行为与恶意邮件的检测：t h m m 模型完成对分布式安全系统的管理，更好防御内部外部攻击；控制台综合分析各个安全组件的报警信息，完成对协同入侵行为的检测，并控制各安全部件进行响应。c i p s 采用十分清晰的工作流程。用户通过控制台对各个安全组件进行简单配置，完成对受保护网络的全面防护。通过以上几大模块的有机联合，c i p s 可以综合实旌各个安全组件功能，检测并防御常规入侵与协同入侵，同时可以防御来至受保护网络内部与外部的攻击，提供一套完整的安全防护方案。华中科技大学硕士学位论文3 树型层次管理模型t h m m为管理大规模网络中分布实施的微安全系统m s s ，采用一种树型层次管理模型t h m m 。本章将讨论c i p s 中t h m m 模型的作用，并在此基础上描述t h i v l m 模型的框架和工作流程。3 1t h m m 在c i p s 中的作用c i p s 系统的目标是防御协同入侵，保证受保护网络不受外部攻击的侵犯。同时由于网络内部某些用户也有可能对网络中的服务器和其它用户发起攻击，所以，需要在网络内部实施分布式安全措施，分布式安全系统能够保证用户防御内部攻击。集群与网格计算湖北省重点实验室在b e l l o v i n 分布式防火墙的概念基础上研制了分布式微入侵检测与微防火墙安全系统，两者相互配合构成微安全系统m s s( m i c r o s e c u r i t ys y s t e m ) ，目前正在对m s s 进行扩展，增加了病毒检测与垃圾邮件过滤模块。所以m s s 可以如下定义：由多个安全子模块组成，各模块之间相互配合，完成主机级安全保护功能的安全系统。每个m s s 运行于受保护网络内的终端节点上，同时引入一个管理台对各个m s s的安全策略的配置进行管理。但是，在局域网广域网范围内在各个终端节点上部署m s s ，单一管理台的存在又将产生如下问题：1 ) 当节点数目较多而只有一个管理台进行系统管理时，形成管理上的瓶颈；2 ) 管理台会成为管理上的单一失效点；3 ) 整个系统的扩展性较差，不适应未来网络规模日益扩大的需求；4 ) 安全管理策略设置的单一，缺乏灵活性。为了消除上述不足之处，实现系统的高可扩展性，采用了一种树形层次管理模型t h m m 。3 2t h m m 模型框架在对t h m m 结构进行描述之前，首先描述几个相关概念：1 ) 网络实体节点主机( n o d e ) ：这三个概念视为等同，表示受保护的单机，是安全策略的实施点，其上运行m s s ；华中科技大学硕士学位论文2 ) 安全管理台s a ( s e c u r i t ya d m i n i s t r a t o r ) ：表示那些需要承担安全管理任务的节点，其上运行安全管理系统与m s s ；3 ) 管理域安全域域组s d ( s e c u r i t y d o m a i n ) ：表示一群具有同样安全需求的节点的组合，一个域包括一个管理台和若干受保护的节点或者子管理台，域的划分以系统管理需要逻辑划分，并不依赖于网络拓扑结构。在t h m m 模型中，为提高安全管理系统的可扩展性，在网络内设置多个安全管理台s a ，每个s a 管理一个安全域s d ，由于分域管理，可管理的主机数大大增加，提高系统的可扩展性。多个s a 的设置降低了每个s a 的系统负载，一个s a 的失效不会影响到其他s d 内的主机，提高了系统的稳定性和容错性能。系统中各个s a 分级构成如图3 1 所示。图3 1t h m m 管理结构1 4华中科技大学硕士学位论文各s a 之间关系具体说明如下：1 ) 父子关系：子s a 管辖一些节点，同时它又是一个受父s a 控制