（计算机应用技术专业论文）网络安全集成防御系统信息标准化的研究.pdf

西南科技大学硕士研究生学位论文第1 页 摘要 随着互联网的快速发展，网络对我们的影响与日俱增。同时，威胁网络 安全的入侵行为也成为我们不能忽视的问题。在这种情况下，将防火墙和入 侵检测技术融合在一起的集成防御技术成为防御发展的新方向，“网络安全集 成防御系统”采用了这种新技术，实现了立体防御功能。 本文首先针对“网络安全集成防御系统”中各种安全产品通信协议不一 致的问题，依据i d x p 框架定义了统一的协议。接下来，对于“网络安全集成 防御系统”中各种安全产品数据格式多样性的问题，参照i d m e f 定义了统一 的信息格式。 而后，从“网络安全集成防御系统”的逻辑层次入手，引出了信息交互 平台和a g e n t 标准化接口的构想，并对其进行了设计与实现。 最后，进行了系统的测试，分析了对“网络安全集成防御系统”进行标 准化研究取得的成果以及还存在的不足。 关键词：集成防御入侵检测交换协议入侵检测消息交换格式 西南科技大学硕士研究生学位论文 第1 i 页 a b s t r a c t w i t hi n t e r n e td e v e l o p sr a p i d l y ，i th a sm o r ei n n u e n c eu p o nu s a tt h es a m e t i m e ，t h ei n t r u s i o na c t i o n ，t h a tt h r e a t si n t e r n e t ，h a sb e c o m eas e r i o u sp r o b l e m w ec 觚n e v e ri g n o r et h et h f e a t w i t ht h es i t u a t i o n ，t e c h n i q u eo fi n t e g r a t i o n d e f e n c eh a sb e c o m ea e wf o c u si nt h ef i e l do fn e t w o r ks e c u r i t y n e t w o r k s e c u r i t yi n t e g r a t i o nd e f e n c es y s t e ma c t sa sa ni n t e g r a t i o nd e f e n s es y s t e m ，w i t h t h ea p p l i c a t i o no ft h i sn e wt e c h i l i q u e a tf i r s t ，a st ot h ep r o b l e mo fd i 舭r e n tp r o t o c o li nn s i d s ，au n i f o 珊 p r o t o c o li sp u tf o 刑a r d ，b a s e do nt h ei d x pf r a m e s e c o n d l y au n i f o r md a t a f o r m a t ，w h i c hi sf r o mt h ed r a f tn a m e di d m e f ，i sp u tf o r w a r dt os o l v et h e p r o b l e mo fd i f f e r e n td a t af o r m a t si nn s i d s i ns u c c e s s i o n ，ap l a ni sp r o v i d e di n c l u d i n gap l a t f o r ma n ds o m ei n t e r f a c e st o a g e n t s t h e nt h ew h o l ep r o c e s st h a tt h e ya r ec a r r i e do u ti sd e s c r i b e di n t h i s t h e s i s f i n a l l y ，t h es y s t e mi s t e s t e d t h ep r o g r e s si nr e s e a r c ha n dt h ef l a wa r e a n a l y z e d ，t o o k e y w o r d s ：i n t e g r a t i o nd e f e n s e ；i d x p ：i d m e f 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得西南科技大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名；蓑新亭 日期： z 。，舞r 日- 。日 关于论文使用和授权的说明 签名：氯 4 考导师签名： 日期：z o o j 粤s l 刁n 日 冬 协n r 西南科技大学硕士研究生学位论文第l 页 1 绪论 当今的世界，信息资源、材料资源和能源资源共同构成了国民经济和社 会发展的三大战略资源，是国家信息化体系的六要素之一。互联网使得人类 全部的信息资源以前所未有的程度和方式在全球内互联互通。它无疑已经成 为最大的公共数据网络，在全球范围内实现并促进了个人通信和商业通信。 每一天，网络上传输的数据流量都以指数级的速度迅速增长。越来越多的通 信都通过电予邮件进行；移动员工、远程办公人员和分支机构都利用互联网 来从远程连接他们的企业网络，而通过w w w 方式完成的商业贸易现在已经成 为企业收入的重要组成部分。到目前为止，c n 下注册的域名数已经达到 0 9 7 3 4 ，国际线路的总容量也已增长为1 2 3 4 舭。 随着互联网络的普及，网络开始渗透到社会和经济生活的各个方面，随 之而来的网络安全问题就逐渐成为了社会的焦点。利用网络进行的各种犯罪 行为严重地影响了正常的社会和经济秩序，带来了巨大的经济损失。人们 丌始意识到，安全是网络生存的根本条件，没有安全保障的信息资产，其自 身的价值就好像是空中楼阁。在互联网应用产业链基本形成，应用规模迅 速扩大的情况之下，接踵而至的网络安全问题，如果得不到有效地解决，那 么就会给经济发展带来严重的后果。 不仅仅是各大商业网站、企业网络成为攻击的目标。政府机构、军方设 施遭受黑客攻击的事件也在不断传出。中国9 5 的与i n t e r n e t 相连的网络管 理中心都遭到过境内外黑客的攻击或侵入。美官员称，俄罗斯黑客曾成功地 入侵美防御署达一年之久，盗取了未分类但极为敏感的数据，n a s a 发言人宣 布其遭受了“极为巨大的攻击”，损失无法估计。由此可见，网络安全问题 带来的威胁，已不仅仅局限在经济领域，而逐渐扩散到了国家安全领域。 进入2 0 0 0 年以来，网络更加频繁的受到攻击，全球许多的著名站点比如 y a h o o ，c n n 以及新浪网都遭到过不明身份的黑客的攻击。在这些攻击行为之 中，黑客们不再满足于以往的变换主页这些破坏性相对较小的行为，而是采用 了在一定的时问内使网络彻底瘫痪的拒绝服务攻击方式( d d o s ) 。攻击的柬源 也不再是一台主机，而是来自不同地址的一大批计算机。从中可以看出，黑客 对网络正常运行的威胁越来越大，活动的方式越来越隐蔽，攻击的手法也越 来越“高明”了。随之带来的突出问题就是，对他们实行有效防范的难度也 越来越大了。 西南科技大学硕士研究生学位论文第2 页 1 1课题背景 黑客的猖獗使得网络安全技术的研究成为现在计算机和通信界的一个 热点，并且正r 益受到人们的关注。 在维护网络安全的技术中，最常见的就是设立防火墙。防火墙能按照设 定的规则，对进入网络的i p 分组进行过滤，同时也能针对各种网络应用，提 供相应的安全服务。利用防火墙技术并经过正确的配置之后，通常能在内外 网之间实施安全的网络保护机制。”。但是，仅仅使用防火墙保障网络的安全 是远远不够的。一般来说，防火墙有以下的弱点：不能防范经过授权的东西； 只能按照对其配置的规则进行有效的工作；对授权用户利用合法访问进行的 恶意攻击不起作用；不能修复脆弱的管理措施或设计有问题的安全策略；不 能阻止那些不经过它的攻击m 。基于以上原因，绝不能仅仅采用防火墙这一种 防御手段。 入侵检测系统i d s 是近年来出现的新型网络安全技术，是软件与硬件的 结合体。作为防火墙之外的另一种安全产品，i d s 能弥补防火墙的不足，为网 络提供有效的入侵检测及防护手段。在整个安全体系之中，入侵检测作为一 个主动防御环节起着至关重要的作用：它能对外部攻击及内部攻击提供实时 的保护，从而构筑起一个有着立体纵深的安全体系。 现有的入侵检测产品虽然都能起到一定的作用，但是在功能上还各有不 足。有些只提供入侵的实时告警，不能进行自动阻断攻击，还有些只是采用 了单一硬件的实现方式，不能集成其它类型的检测系统。 鉴于现有的入侵检测产品功能单一，又存在着不少的缺陷。为了实现更 有效的防御，势必需要将入侵检测产品和防火墙产品进行整合，发挥整体防 御作用，以达到取长补短的效果。 提供防火墙集成防御、入侵检测集成防御和网络入侵自动阻断等功能的 立体防护产品体现了网络防御的新观念，是一种比较理想的解决方案。 1 2 课题来源和研究的意义 本课题来源于国家科技型中小企业技术创新基金项目“网络安全集成 防御系统”，项目编号：0 3 c 2 6 2 1 5 1 0 0 2 4 9 。 本课题研究的意义在于实现了“网络安全集成防御系统”中信息的标准 化，完成系统内各种格式的安全信息的共享，实现了各部件无障碍的信息交 西南科技大学硕士研究生学位论文第3 页 互，从而提高了整体防御能力。 1 3 开发平台与工具 微软公司的w i n d o w s 2 0 0 0 和b o r l a n d 公司的d e l p h i 6 o 。 1 4 论文结构 全文共分六章。 第一章总结当前网络安全面临的严峻形势，分析了国内外的研究现状， 提出了论文的研究课题并阐述了研究意义。 第二章结合防火墙、入侵检测技术以及入侵检测标准化的草案，分析 了在“网络安全集成防御系统”中完成信息标准化的重要性。 第三章分析了“网络安全集成防御系统”中各种安全产品通信协议不 一致的问题，提出了根据i d x p 自定义统一协议的解决方案。对于自定义协议 框架到t c p 协议的映射做了详细的阐述。对协议的包头及数据区的结构进行 了定义。 第四章分析了“网络安全集成防御系统”中各种安全产品数据格式不 统一的问题，提出了根据i d m e f 自定义统一信息格式的解决方案。阐述了采 用x m l 语言的理由，分析了采用x m l 结合d t d 的方式实现统一信息多样表述 的可行性。描述了自定义的标准信息格式，并通过与s a x 方式进行对比，阐 述了在系统中采用d o m 解析方式的理由。 第五章结合上两章的研究，从“网络安全集成防御系统”的逻辑层次 入手，引出了信息交互平台和a g e n t 标准化接口的设计构想，并对其具体的 实现进行了详细的阐述。 第六章进行了系统功能测试与性能测试。 西南科技大学硕士研究生学位论文第4 页 2 网络安全集成防御系统中的主流网络安全技术 及系统信息标准化分析 计算机网络安全的目的为：通过采用各种技术和管理措施，使网络系统 正常运行，从而确保网络数据的可用性、完整性和保密性。 当前主流的网络安全技术为：防火墙，虚拟专用网( v p n ) ，加密技术， 入侵检测。“网络安全集成防御系统”采用了其中的防火墙技术和入侵检测技 术。 2 1 防火墙 网络安全人员最初的防御思想是，不惜一切代价把入侵者阻挡在系统之 外。传统的信息安全技术都集中在系统自身的加固和防护上”。在这个时期， 比较常见的防御手段就是配置防火墙。 2 1 1 防火墙的功能 建立网络安全的屏障：通过过滤不安全的服务而降低风险。由于只有经 过精心选择的应用协议才能通过防火堵，所以网络环境变得更安全。 强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安 全软件( 如口令、加密、身份认证、审计等) 配置在防火墙上。 对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么， 防火墙就能记录下这些访问并作出日志记录，同时提供网络使用情况的统计 数据。 防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部 网重点网段的隔离，从而限制了局部重点网络安全问题对全局网络造成的影 响。 2 1 2 防火墙的分类 根据防火墙所采用的技术不同，我们可以将它分为三种基本类型；包过 滤型、代理型和监测型。 西南科技大学硕士研究生学位论文第5 页 2 1 2 1 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技 术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大 小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目 标地址、t c p u d p 源端口和目标端口等。防火墙通过读取数据包中的地址信 息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的 数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况 灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的 情况下，能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。它是一种完全基于网络层的安全技 术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基 于应用层的恶意侵入，如恶意的j a v a 小程序以及电子邮件中附带的病毒。有 经验的黑客很容易伪造i p 地址，骗过包过滤型防火墙。 2 1 2 2 代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型防 火墙，并已经丌始向应用层发展。代理服务器位于客户机与服务器之间，完 全阻挡了二者问的数据交流。从客户机来看，代理服务器相当于一台真诈的 服务器：而从服务器来看，代理服务器又是一台真正的客户机。当客户机需 要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再 根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。 由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就 很难伤害到内部网络系统。 代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描， 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较 大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进 行设置，大大增加了系统管理的复杂性。 2 1 2 3 监测型 监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙 定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些 数据加以分析的基础上，监测型防火墙能够有效地判断出各层中存在的不法 西南科技大学硕士研究生学位论文第6 页 行为。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器 安簧在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部 的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计， 在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型 防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。 2 2 入侵检测系统 入侵检测技术i d s 是一种主动保护自己免受攻击的网络安全技术。 作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了 系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ，确保 了信息安全基础结构的完整性“。 2 2 1 入侵检测系统技术原理 图2 1 通用入侵检测系统模型 f i g 2 1 t h er 帕d e lo fc u rr e n ti d s 网络引擎负责截获网络中的原始数据包，是整个检测系统中的数据源。 分析模块由预处理模块、检测模块和知识库组成。预处理模块实现模 拟t c p i p 协议栈的功能，如i p 碎片重组、t c p 流重组等。检测模块对经过 预处理后的数据包与知识库的规则进行匹配，产生分析结果。同时，它还负 西南科技大学硕士研究生学位论文第7 页 责对分布式攻击进行检测。规则的存储由知识库负责。这三者组成的分析模 块是整个入侵检测系统的核心“”。 入侵与日志数据库的作用，是储存网络数据引擎模块捕获的原始数据， 分析模块产生的结果和入侵响应模块操作日志等。入侵与日志数据库也是不 同部件之问数据处理的共享数据库，为系统不同部件提供各自感兴趣的数据。 入侵响应模块能对入侵行为做出反应，如记录入侵行为数据以此作为r 后查询的依据，或者给控制中心发送警告，甚至在紧急情况之下，还能依据 这些数据直接切断与攻击源的网络连接，起到保护网络安全的目的。 控制中心是整个入侵检测系统和用户交互的界面，用户通过控制中心来 配置系统参数、规则和知识数据库。当检测到新的入侵方式时也可以通过 控制中心对以往记录的日志进行比对，来更合理的配置入侵检测系统的参数。 从功能实现的角度上来讲，一个完整的入侵检测系统应该具有以下几个 功能模块：数据收集模块、通信模块、检测模块、数据库模块和管理模块。 如果按照信息流的方向进行表示，各个模块之间的关系应该如下图所示： 控制信息+ 数据流匕= 冷 圈2 2 模块间关系示意图 f i g 2 2 t h er e l a t i o nb e t _ e e nm o d u i e s 数据收集模块：该模块完成系统所需数据的所有收集工作。根据检测方 式收集网络数据、主机内核信息和系统审计日志信息。由于数据量较大，该 模块通常要进行一些数据预处理工作。该模块处于系统的最底层部分，一般 安排在底层驱动部分。 西南科技大学硕士研究生学位论文第8 页 通信模块：该模块保证数据在各模块之间通信的完整性和安全性。规定 了模块之间的通信协议和形式，以及数据传输的格式。在有的系统中该模块 还负责加密和认证。 检测模块：该模块完成具体的检测任务，也是该系统的核心部件。 数据库模块：该模块负责同志数据以及检测的结果的长久保存，以便将 来查询和分析。该模块具有数据的简化存储和分析功能。 管理模块：该模块通过图形界面，完成与管理员的信息交互。它向管理 员提供检测的结果报告并接受管理员命令，同时通过控制信息实现对其他模 块的动态配置。 2 2 2 入侵检测技术分类 现阶段，入侵检测技术中主要采用两类检测方法：异常检测技术和误用 检测技术“”u “= - 。“n7 。 异常检测技术( a n o m a l yd e t e c t i o n ) 异常检侧技术，又称为基于行为的入侵检测技术，它假定了所有的入侵 行为都有异常特性。首先，它为每一个单元建立一个j 下常行为的描述，这个 正常行为描述记录了每个单元正常行为的状态信息。通过比较主机或用户的 当前行为描述和正常行为描述得到二者的差异，根据这个差异是否超过了预 先设定的闽值来判定用户和计算机的行为是否属于入侵行为。异常检测技术 的优点在于可以实现对未知入侵行为的预报能力，它的缺点是存在较高的误 报率。异常检测技术的关键在于用户行为的建模，阈值的选取，以及系统特 征量的选择。现阶段，基于异常的检测系统主要采用了统计、神经网络等方 法。 误用检测技术( m i s u s ed e t e c t i o n ) 误用检测技术，又称为基于知识的入侵检测技术，它通过攻击模式的形 式表达入侵行为。它很类似于病毒检测技术的特征码技术。同样的，对于入 侵行为的变种形式，该方法也有很好的效果。它对已知的入侵行为进行分析， 提取检测特征，构建攻击模式。通过系统当前状态模式与攻击模式的匹配， 判断是否为入侵行为。误用检测技术的优点在于可以准确地检测已知的入侵 行为，但它不能检测未知的入侵行为。误用检测技术实现的关键在于入侵行 为的表达。 西南科技大学硕士研究生学位论文第9 页 2 2 3 入侵检测系统分类 根据入侵检测系统所处的位置和信息来源，可以分为以下几类：主机型 入侵检测系统、网络型入侵检测系统和分布式入侵检测”“。 主机型入侵检测系统保护的一般是其所在的系统，以系统同志、应用程 序开志等作为数据源。当然也可以通过其他手段，从所在的主机采集信息进 行分析。 网络型入侵检测系统保护的对象是整个网段，以网络上的数据包作为数 据源。只需将一台机器的网卡设为混杂模式，就能监听所有本网段内的数据 包并进行判断。”。它能够检测到基于主机入侵检测系统所忽略的攻击。 从发展趋势上来看，入侵检测的检测技术在向自适应的方向发展，体系 结构则是在向分布式的方向发展“。这是因为，随着网络技术的发展，网络 规模与复杂度不断增大。实时的入侵检测系统完全采用集中式的部署将是很 难实现全部功能的，因此入侵检测系统只能采用分布的形式。 分布式检测技术的起步还是比较早的，在上世纪九十年代初，加州大学 戴维斯分校的研究人员就提出了分布式入侵检测系统的概念，给出了一种分 布式入侵检测系统的体系结构，如下图所示。 图2 3 分布式入侵检测系统体系结构图 f i g 2 3 t h ea r c h i t e c t u r eo fd is t r i b u t e dl d s 该种体系结构，将以往基于主枧和基于网络的入侵检测系统结合起来。 整个系统包括三个部分：位于每台监控主机上的传感器，局域网上的管理器 和中央数据处理器。主机上的传感器和局域网管理器分别从主机和局域网上 采集有用数据，然后将数据送至中央数据处理器作全局的入侵检测。 入侵检测的发展新趋势：使用智能化的方法与手段来进行入侵检测。所 谓的智能化的方法，即现阶段常用的神经网络、遗传算法、模糊技术和免疫 原理等方法。采用专家系统的思想来构建入侵检测系统也是常用的方法之。 西南科技大学硕士研究生学位论文第1 0 页 特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设 计的入侵检测系统的免疫能力不断增强，具有更广泛的应用前景。 2 3 入侵检测系统标准化分析 要防范分布式的网络攻击手段，入侵检测系统必须协同工作。而为了实 现有效的协同，必须制定一个规范。为了达到这个目的，国际上一些研究机 构正在进行这方面的标准化工作n ”n “。 目前，c i d f ( c o 册o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，通用入侵检测 框架) 组织和i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，国际工程任务小组) 都试图对入侵检测系统进行标准化。c i d f 阐述了一个入侵检测系统的通用模 型，将入侵检测系统分为4 个组件：事件产生器、事件分析器、响应单元及 事件数据库“。c i d f 将入侵检测系统需要分析的数据统称为事件，它可以 是网络中的数据包，也可以是从系统只志等其他途径得到的信息。 事件产生器从整个计算环境中获得事件，并向系统的其他部分提供此事 件：事件分析器分析已经得到的数据，并产生分析结果；响应单元则是对分 析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反 应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方 的统称，它可以是复杂的数据库，也可以是简单的文本文件。 入侵检测系统的几个组件往往位于不同的主机上。一般会有3 台机器， 分别运行事件产生器、事件分析器和响应单元。它们以g i d 0 ( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t s ，统一入侵检测对象) 格式进行数据交换”。 i e t f 的i n t e r n e t 草案工作组i 踯g ( i n t r u s i o nd e t e e t i o nw o r k i n g g r o u p ，入侵检测工作组) 专门负责定义入侵检测系统组件之间，以及不同厂 商的入侵检测系统之间的通信格式，目前只有相关的草案( d r a f t ) ，还未形 成j 下式的r f c 文档。i d w g 草案有：i a p ( i n t r u s i o na l e r tp r o t o c o l ，入侵 警报协议) ，该协议是用于交换入侵警报信息，并且运行于t c p 之上的应用层 协议：i d x p ( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c 0 1 ，入侵检测交换协议) ， 该协议建立在b e e p ( b 1 0 c k se x t e n s i b l ee x c h a n g ep r o t o c 0 1 ，块可扩展交 换协议) 基础之上的应用层协议，该协议用于在入侵检测实体问交换数据， | 黾供i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t s ，入侵检澳9 报文交换格式) 的报文、无结构的文本以及二进制数据的交换。i d w g 的目的 是定义数据格式和交换程序，从而能在入侵检测和响应系统，以及控制系统 西南科技大学硕士研究生学位论文 第l l 页 之删共享信息。w n ”。 2 4“网络安全集成防御系统” 入侵检测作为一种新兴的技术，虽然取得了长足的进步。但是，它对攻击 的抵抗力却很弱。一般的来说，它对攻击源的处理方式只有两种： 发送r s t 包复位连接； 发送回应包“h o s t u n r e a c h a b l e ”欺骗攻击源。 这两种方式都是以增加网络的流量为代价的，因此就失去了i d s 对网络的 流量和速度造成负面影响小的优势。 因此，i d s 在发展中也谋求着变革，集成防御就是发展的方向之一。 着眼于集成防御的“网络安全集成防御系统”就是在这种情况下产生的， 提供了防火墙集成管理、入侵检测集成管理、防火墙配置、入侵检测配置、网 络入侵自动阻断等功能，能检测端口扫描、后门、溢出攻击等各方面的入侵并 实现自动保护。 豳2 - 4 网络安全集成防御系统布局围 f _ i2 4t h e 1 0 ss y s t i a y o u t 如图2 4 所示，整个系统由四部分组成：主控计算机、防火墙入侵检测代 理、防火墙、入侵检测系统。主控计算机负责系统整体的运行和协调。防火墙 西南科技大学硕士研究生学位论文 第l2 页 入侵检测代理( a g e n t ) 负责管理相应的防火墙和入侵检测系统：接收主控计 算机下达的指令，并据此来操作防火墙入侵检测系统，执行启动、停止或者 规则配置命令；收集防火墙入侵检测系统的工作情况、告警信息，并将其上 报至主控计算机。整个系统中运用了防火墙集群技术、入侵检测系统集成技术 实现协同互动，构造出个分层次的立体防御体系。 从管理关系上，可以划分为两层结构：管理系统和被管理系统。 管理系统又由中心控制端和代理端两部分构成。被管理系统划分为防火墙 系统和入侵检测系统两个子系统。防火墙系统组成部分：w i n d o w s 下的a t g u a r d 防火墙。入侵检测部分：s n o r t 系统、端口扫描保护程序i p w a t c h e r 。 下图为系统体系结构。 圈2 5 网络安全集成防御系统体系图 f i g 2 5t h en s l d ss y s t e ma r c h i t e c t u r o 相关名词： n s i d s 一网络安全集成防御系统( n e t w o r ks e c u r i t yi n t e g r a t i o nd e f e n c e s y s t e m ) i p w a t c h e r 一端口扫描防御系统( 入侵检测系统之一) s n o r t 一轻量级防御系统( 入侵检测系统之一) a t g u a r d 一主机防火墙 西南科技大学硕士研究生学位论文第1 3 页 2 5 入侵检测标准化草案在“网络安全集成防御系统”中的 应用 入侵检测标准化草案定义了入侵检测交换协议( i d x p ) ，入侵检测报文交 换格式( i d m e f ) 。将这两者运用到“网络安全集成防御系统”中，能够大大 改善系统性能，具体体现为以下三点： ( 1 ) 通过规范不同入侵检测产品之间的通信协议和信息格式，能够做到 无障碍交互。 ( 2 ) 通过完成防火墙与入侵检测系统之间的信息共享，使得防火墙能够 根据入侵检测的告警信息，及时修改防御规则。 ( 3 ) 去掉了主控服务器和代理对不同格式信息的翻译工作，为实现系统 丌放式的架构创造了条件。 2 6 小结 本章通过对防火墙技术、入侵检测技术以及入侵检测标准化状况的阐 述，分析了在“网络安全集成防御系统”中实现信息标准化的重要性，确定 了接下来的研究方向，接下来就要结合系统中的实际情况，研究实现信息标 准化的方式。 西南科技大学硕士研究生学位论文 第1 4 页 3网络安全集成防御系统内统一通信协议的研究 3 1问题的产生 在没有定义统一协议之前， “网络安全集成防御系统”内的通信是无法协 调一致的。每一种安全产品都有自己的通信协议。以入侵检测系统s n o r t 和单 机防火墙a t g u a r d 为例进行说明。 入侵检测系统s n o r t 的协议头部( 命令信息) 。 图p 1s n o r t 协议头部 fjg3 1s n o r tp r o t o c oih e a d e r a t g u a r d 防火墙的协议头部( 命令信息) l ! 型【! 竺! 兰 l 壁! ! ：苎 图3 2a t g u a r d 协议头部 从上面的例子不难看出，不同的安全产品之间，协议差异很大。这样造成 的后果是不同安全产品之问的信息交互无法实现。一个解决方法是：在a g e n t 上加入翻译接口，解析对方的协议，转化为自己能读懂的格式。这种方法的可 操作性并不强。原因在于：( 1 ) “网络安全集成防御系统”内现有的安全产品 有多个，如果为每一种类型的产品都加入翻译接口，将使a g e n t 变得十分臃肿。 ( 2 ) 当新安全产品加入时，所有的a g e n t 都必须要发生改变，才能适应新的变化， 造成系统整体的扩展性难以提高。显然，对于整个防御系统来说这种解决方案 是不可行的。 基于以上的原因，在实际设计中采用的是另种方式：定义新的应用层协 议。借助这样一套新协议，实现系统内消息、非结构文本和二进制数据之f - 日j 的 交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征。这 样一来，系统内的所有通信都是以统一的格式进行，实现了检测引擎与系统的 无缝连接。 西南科技大学硕士研究生学位论文 第1 5 页 3 2 采用基于i d p 的自定义协议解决通信协议不统一的问 题 就本系统而言，采用基于i d x p 的自定义协议是一个较为理想的选择。因为 i d x p 定义的初衷，就是建立一个用于入侵检测实体间交换数据的应用层协议。 3 2 1l d x p 的基础一b e e p 协议框架 标准化工作组所提出的i d x p 是以b e e p 为基础实现异步交互的功能，它的许 多方面都是在b e e p 的框架中实现的。 b e e p 已经被i e t f 标准化。其核心为一个通信框架，可以映射在传输层协议 上实现，例如t c p 。b e e p 协议通信双方同时以多个通道( c h a n n e l ) 传输数据， 而每个通道关联一个轮廓( p r o f i l e ) ，在轮廓中定义了信息描述，信息安全和 身份认证等机制，b e e p 协议通过信道o ( c h a n n e l o ) 管理其它信道的会话。通信 双方在通信开始时通过通道传递各自所支持的轮廓，如果双方的协商成功，则 进行数掘传输，否则关闭会话。为了保证b e e p 框架下传输的安全性，目前b e e p 提供了两种安全轮廓：s a s l ( s i r n p l ea u t h e n t i c a t i o na n ds e c u r i t y l a y e r ) 和 t l s ( t r a n s p o r tl a y e rs e c u r i t y ) 。其中，t l s 比s a s l 提供了更多的安全机制。 3 2 2 采用基于i d x p 的新协议的理由 对“网络安全集成防御系统”而言，考虑采用基于i d x p 的新协议，原凶在 于以下几点： 能够使用已经定义好的结构化数据来进行通信。这样做实际上是使正在通 信的应用程序并不需要详尽地了解彼此的接口，而只是松散耦合而已。这种情 况对于“网络安全集成防御系统”来说是十分理想的。因为，在这样一个系统 之中所使用的安全产品多种多样，既有入侵检测系统又有防火墙，他们之问的 通信格式势必不尽相同，如果采用传统的通信方式，必然要求他们了解彼此的 接口。新协议的采用，为系统的扩展提供了条件。 应用程序在传递数据时保持连接状态，做完它们的数据交换然后断开连接。 这使得通信具有有序、可靠的特征。而这一点，对于依赖可靠的信息传输的“网 络安全集成防御系统”来说是非常重要的。 支持点对点的传送，但是并不排除客户机服务器通信。因此，在具体的实 现过程中，可以采用常规的客户机服务器模式。 西南科技大学硕士研究生学位论文 第1 6 页 f 是由于上面的考虑，在整个“网络安全集成防御系统”中决定采用基丁 i d x p 的应用层协议来传输系统内的数据。 3 2 3 从对等体到通信实体的映射 i d x p 规定传输数据的各个实体为对等体。按照i d x p 的要求，对等体只能成 对出现。 两个对等体之间要建立通道，就必须先进行一次会话，就以后的安全问题 进行协商，协商达成一致后才能建立通道，这个协商的结果称为安全轮廓。下 图描述了对等体a 和b 之间，乖j 用基于i d x p 的应用层新协议进行通信的情形。 a b x p o r tc o n n e c t 一 一g r e e t i n g 一 一 一s t a ns e c u r i t yp r o f i l e 一 g r e e t i n g 一 一s t r a ts e n d i n g 一 图3 3 基于i d x p 协议进行通信的示意图” f i g 3 3c o m m u n i c a t i o n sb a s e do nt h e1 0 x pp r o t o c o 首先，a 向b 的某一个端口发起连接请求。如果这个请求得到允许。那么， 双方至“问候”( g r e e t i n g ) 并开始安全轮廓的建立( s t a r ts e c u r i t yp r o f i l e ) 。 接下来再次问候，直到最后才能开始数据传输。 为了建立通道，在底层上实现采用了在网络编程中最为常用的一种模型 客户机服务器模型。这是一种非对称式编程模式，其基本思想是把集中在 起的应用划分成为功能不同的两个部分，分别在不同的计算机上运行，通过它 们之间的分工合作来实现一个完整的功能。对于这种模式而言，其中一部分需 要作为服务器，用来响应并为客户提供固定的服务，另一部分则作为客户机程 序用来向服务器提出请求或要求某种服务n “m 。 这样一来，在每个信道上系统中的对等体之间都以客户机，服务器模式进行 通信n ”。其中会话的发起者为客户机，收听者为服务器”7 ”。 当通信实体建立连接时，为了构成其通信，还要请求彼此的概要文件。在 本系统中，将概要文件分为两个类别：调整连接和交换数据。 西南科技大学硕士研究生学位论文第l7 页 3 2 4 从b e e p 协议框架到t c p 协议的映射 b e e p 作为一个协议框架，在实现中还需要会话映射到单个t c p 连接上。 会话管理 b e e p 会话管理到t c p 业务的映射是直接进行的。 当建立起一个t c p 连接时，两个b e e p 对等体之间会随之建立个b e e p 会话。 发起一个被动t c po p e n 呼叫的b e e p 对等体称为接收者。发起一个主动t c po p e n 呼叫的b e e p 对等体称为发起者。如果两个对等体都同意释放一个b e e p 会话，发 送“o k ”。回答的对等体立即发起t c pc l o s e 呼叫，另一个对等体收到回答后 也立即发起代pc l o s e 呼叫，会话也随之结束“。 报文交换 b e e p 报文交换到t c p 业务上的映射，可以使用t c p 的s e n d 和r e c e i v e 呼叫进 行可靠发送和接收。 信道建立 通过在新协议的报头中，设立信道区来标示不同的信道。在实际进行通信 时，首先要使用一个信道( o 信道) ，用于会话管理。随后爿能根据通信的要 求建立新的信道，具体的数据交换功能在其他信道上完成。所有通信都是山 个概要文件定义的，该概要文件描述了许可的交互类型。 3 2 5 信道内的传输元素 在信道中传输的元素包括以下几类： g r e e t i n g ：用来实现对等体之间的互致问候，并且确认双方谁是客户机， 谁是服务器。在本系统中，这一步就是要确认通信双方的身份。也就是说不管 发起者是控制中心还是a g e n t ，他们都要确认通话的对象，以决定下一步连接 的方式。 i d m e f m e s s a g e ：实现结构化封装的标准化信息的载体。以面向对象的方式 设计若干类，在这些类中封装了表达信息内涵所要求的所有元素。 3 2 6 交互方式的定义 b e e p 采用了三种交互方式。同样，在“网络安全集成防御系统”中也可以 采用类似的三种交互样式： m s g r p y ：客户机发送m s g 消息，通常要求服务器执行任务。服务器执行 任务并发送r p y 消息，表明连接成功并可能传达更多信息。这种样式描述了 信息在对等体之间传送的基本情形。 西南科技大学硕士研究生学位论文第1 8 页 m s g e r r ：这种方式类似于m s g r p y ，当服务器遇到错误时，它返回e r r 消 息表明失败并可能描述问题，而不是执行客户机要求的任务。 在一方提出连 接请求时，并不总是能够得到肯定的响应。这种样式用于在连接建立的过程中 失败情况的描述。 m s g a n s ：客户机发出请求m s g ，服务器回答a n s 。在服务器完成任务后， 发送n u l 消息，这个消息表明刚才客户机发出的任务已完成。在“网络安全 集成防御系统”中，控制台控制命令的发送是必不可少的。这种样式用于控制 中心对各个a g e n t 发出控制指令。 3 2 7自定义协议的结构 在完成了上面的工作之后，就可以定义统一的应用层协议了。下图是自定 义的协议头部。 o81 62 43 1 信道序号传输元素类型通信的类型 a g e m 类裂 命令 保留 图3 4 新协议头部 fi g 3 4 n e _ p r o t o c o ih e a d e r 在新协议的设计中利用单对话一多信道模式管理通信过程。 在一个会话建立初始阶段建立o 信道。0 信道的建立，标志着会话管理的启 动。在o 信道之下，还可以建立多个信道，这一点完全由系统的实际应用来决 定。会话结束的过程完全相反，后建立的信道一个一个的拆除。0 信道最后断 开，它的终止也标志着会话的终止。 在协议中，使用8 位( b y t e 类型) 来表示信道序号。用8 位( b y t e 类型) 来 表示信道中可以传输的3 种元素：g r e e t i n g 元素、告警信息元素、规则信息元 素，1 表示g r e e t i n g 元素，2 表示告警信息元素，3 表示规则信息元素。通信的 类型的8 位( b y t e 类型) 表示是否是进行通信的端点的类型，l 表示为控制中心 与a g e n t 之间的通信，2 表示a g e n t 之间的通信，接下来的8 位表示a g e n t 的类型， l 表示为s n o r t ， 2 表示为i p w a t c h e r ， 3 表示为a t g u a r d 。其中的保留位是为将 来系统扩展时添加更多的a g e n t 预留的。命令部分表示指令的类型：o 告警1 启动，2 停止，3 规则配置。 西南科技大学硕士研究生学位论文 第l9 页 包头的数据结构 c o m a n d h e a d = r e c o r d c h a n n e l ：b y t e ： e l e m e n t t y p e ：b y t e ： c o m t y p e ：b y t e ： o b j e c t t y p e ：b y t e ； c m d ：b y t e ： e n d ： 如果发送的是告警信息或者是规则配置信息，那么就要确定数据部分的结 构以实现解析。下图是规则配置信息和告警信息的数据区。 第1 条规则内容 规则结束标志符 第2 条规则内容 规则结束标志符 第3 条规则内容 共规则数条规则( 作为总结柬标志符) 图3 5 规则信息数据区结构 f j g 3 5t h es t r u c t u r eo fr u l ei n f o r m a t i o n s d a t aa r e a 第l 条告警内容 告警结束标j 占符 第2 条告警内容 告警结束标志符 第3 条告警内容 共。告警数条告警( 作为总结束标志符) 围3 6 告警信息数据区结构 f ig 3 6 t h es t r u c t u r eo fa i a r mi n f o r m a t i o n sd a t aar e