（计算机应用技术专业论文）支持隧道代理的主动防御型防火墙——入侵检测的研究.pdf

湖北工业大学硕士学位论文 摘要 随着网络技术的发展和应用范围的扩大，人们越来越依赖于网络进行信息的 处理。信息基础设施己成为国民经济的一个重要支撑点，作为信息基础漫施的一 个重要组成部分，信息安全关系到国家的存亡，经济的发展，社会的稳定。现在， 计算机网络安全己经成为个国际化的问题，每年全球因计算机网络安全系统被 破坏而造成的经济损失达数卣亿美元，而随着网络攻击工具和攻击手法的同趋复 杂化多样化，仅靠传统的网络安全防范措施已经无法满足对网络安全的要求，近 年束频繁暴发的网络黑客攻击事件也证明了这一点。因此，刚络安全研究是目前 项十分重要的任务。入侵检测系统是近年来发展迅速的一种新型的网络安全技 术。 由r 网络规模的不断扩大和入侵手段的不断涌现，传统的基于模式匹配的入 侵检测技术已经不能适应入侵检测需要。而协议分析是基于网络协议的高度规则 性柬检测，它是继模式匹配之后的第三代入侵检测技术，能适应新的入侵检测的 需要。 基于协议分析技术的入侵检测系统是目前较为先进的入侵检测系统，它利用 网络协议的高度规则性，快速地探测网络上不安全因素的存在。同传统的模式匹 配技术相比，基丁二协议分析的入侵检测系统具有检测速度快、系统消耗低、降低 误报率和探测芥片攻击等优点。 在本功能模块的设计中，使用了协议分析和模式匹配相结合的方法，有效地 减小了目标的匹配范围，提高了检测速度，从而可以尽量减少错报和漏报的现象， 提高了整个检测模块的准确性。 关键瑚：网络安全，入侵检测，协议分析，模式匹配 湖北工业大学硕士学位论文 a b s t r a c t b e c a u s eo fc o n s t a n te x p a n s i o no fn e t w o r ks c a l ea n dc o n s t a n t e m e r g e n c c o fn e w i n t r u s i o nm e t h o d s ，t r a d i t i o n a li n t r u s i o nd e t e c t i o nt e c h n o l o g yb a s e do np a t t e r n m a t c h i n gh a sn o ta d a p t e dt od e m a n do fi n t r u s i o nd e t e c t i o n b u tp r o t o c o la n a l y s i sb a s e do n a l t i t u d i n a lr e g u l a r i t yo fn e t w o r kp r o t o c o li st h e t h i r d g e n e r a t i o ni n t r u s i o nd e t e c t i o n t e c h n o l o g ya f t e rp a t t e r nm a t c h i n ga n dc a na d a p tt on e wd e m a n do f i n t r u s i o nd e t e c t i o n w i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n dt h ee x p a n s i o no fa p p l i c a t i o n ，t h e o p e r a t i o no fi n f o r m a t i o ni sd e p e n d e do nt h en e t w o r km o r ea n dm o r e t i l ei n f o r m a t i o n f a c i l i t yh a sb e c o m ea ni m p o r t a n ts u p p o r to fn a t i o n a le c o n o m y a st h ei m p o r t a n t c o n s t i t u t i o no fi n f o r m a t i o nf a c i l i t y , i n f o r m a t i o ns e c u r i t yi sr e l a t e dt ot h ee x i s t e n c eo f c o u n t r y , t h ed e v e l o p m e n to fe c o n o m y , t h es t a b i l i t yo fs o c i e t y n o wt h ec o m p u t e rn e t w o r k s e c u r i t yh a sb e c o m ea ni n t e r n a t i o n a lp r o b l e m ，e v e r yy e a rt h ee c o n o m i cc o s tr e s u l t e df r o m t h ed e s t r u c t i o no fc o m p u t e rn e t w o r ks y s t e mc o m e su pt os e v e r a lb i l l i o nd o l l a r s a n dw i t h t h ed i v e r s i t ya n dc o m p l e x i t yo fn e t w o r ka t t a c kt o o l sa n dm e 山o d s t h en e e do fn e t w o r k s e c u r i t yc a l l tb em e e to n l yb vt l l et r a d i t i o n a lm e t h o d s t h er e c e n ti s s u e so fn e t w o r kh a c k e r a l s os u p p o r tt h i sp o i n t i n t r u s i o nd e t e c t i o ns y s t e mi san e wn e ts e c u r i t yt e c h n o l o g y t h ep r o t o c o la n a l y s i s b a s e di d si sa na d v a n c e di d s w h i c hf u n d st h ee x i s t e n c eo f a n s a l 、ef a c t o ri nt h en e tq u i c k l yu s i n gm a t c h i n gp a t t e r nt e c h n o l o g y , h i 曲r e g u l a r i t yo fn e t p r o t o c o lc o m p a r e dw i t ht h et r a d i t i o n a tp r o t o c o la n a l y s i s b a s e di d sh a st h ea d v a n t a g e s s u c ha s ：h i g hs p e e do fd e t e c t i o n 1 0 ws y s t e mc o s t ，l o we r r o rr a t e ，d e t e c t i o no fc h i pa t t a c k a n ds o o n i n t r u s i o nd e t e c t i o nm e t h o di st h ek e yo fi d s n o w a d a y s w eu s ep r o t o c o la n a l y s i s c o m b i n e dw i t hp a t t e r nm a t c hi nd e t e c t i o nm e t h o dt h a tc a nm i n i s hr a i l g eo fm a t c h i n g o b j e c t i v e i m p r o v i n gt h ea c c u r a c ya n de f f i c i e n c yo fs y s t e m 1 1 1 ed i s s e r t a t i o nm a k e si t s i g n i f i c a n tt oh e l pc o r p o r a t i o ne s t a b l i s ht h en e t w o r ks c c u r i t ys y s t e ma n di m p l e m e n ti d s k e y w o r d s ：n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n ，p r o t o c o la n a l y s i s ，p a t t e r nm a t c h i n g 诹 l 童工繁失港 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名：董、字日期：文p 年6 月厂日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名：黄宇 日期：州年f 月f 日 指导教师签名 日期：p o f 年6 月宫日 湖北工业大学硕士学位论文 第1 章绪论 计算机网络技术的飞速发展改变了过去以单机为主的计算模式，实现了分布 式的信息处理与信息交换环境。从“信息高速公路”到“数字地球”，信息化浪潮 席卷仝球。天系到围计民生的能源、交通、制造、金融、保险、电信、医疗和教 疗等行业都大规模地使用网络信息系统，伴随着电子商务、电子政务、网络银行、 网络虚拟社区等应用的产生，计算机网络逐渐成为现代社会的中卡区神经，与人们 的f 1 常生活联系越来越紧密了。但随之而来的删络入侵事件的急剧增加使嘲络信 息安令形势也同趋严峻和复杂化，人们对于网络信息安全的要求越来越高，保障 悯络安全以及信息的安全传输已成为企业和个人用户的迫切需求。防火墙保护、 vpn 集成、入侵检测、病毒扫描等也就成为人们安全解决方案首选的网络安全 产品。 据统计，几乎每2 0 秒全球就有一起计算机入侵事件发生，且在过去5 年中以 2 5 0 f c j 速度增长，仪美国每年所造成的经济损失就超过1 0 0 亿美元。因此，许多 国家纷纷投入大量的人力、物力和财力来保护网络信息系统的安全，并立法加以 保护。 入侵检测技术作为网络信息安全领域中一种新的安全保障技术，它主动地对 网络信息系统中的恶意入侵行为进行泌别和响应，不仅检测和防御米自外部网络 的入侵行为，同时也监视和防止内部用户的未授权活动和误操作行为。针对在其 发展过程中逍到的一些新问题，本文进行了一些入侵检测方面的研究。 1 1 网络安全概述 1 1 1 网络安全现状 近年来信息革命席卷全球，网络化浪潮汹涌而至，特别是互联网的爆炸式发 展，给人类社会、经济、文化等带来了无限的机遇，但也给信息安全带来了严峻 挑战，各种不安全因素的大量涌入致使计算机网络安全问题月益突出。2 0 0 0 年2 月在短短的3 天时间里美国数家顶级互联网站受到黑客攻击，陷入瘫痪。据估算， 袭击所造成的经济损失大约在1 2 亿美元以上，其中受害攻击3 天内的损失高达1 0 多亿美元的市场价值，营销和广告收入损失1 亿美元以上。町见，保障计算机网 湖北工业大学硕士学位论文 络系统及整个信息基础设施的安全非常重要，它甚至关系到国家的安全和社会的 稳定。 目前虽然使用了防火墙、访问控制、加密产品、虚拟专用网( v p y l 、防病毒软 件等技术末提高信息系统的安伞，但由于如下原因它们仍不足以完全抵御入侵： 第一，防火墙虽充当了外部网和内部网之恻的屏障，但并不是所有的外部访问都 要通过防火墙，此外安全威胁也町能来自内部，而防火墙本身也极易被外部黑客 攻破：第二，软件丌发商为了抢占市场，过早推出了不很稳定的产品，致使许多 大型软件( 如服务器守护程序、客户端应用程序、操作系统等) 部存在很多致命 的缺陷，它们极易被黑客利用；第三，山于用户的口令设置过于简单或管理不善， 易被攻破，许多基于口令的认汪系统并不安全；第四，t c p i p 协议标准1 p v 4 在设 计j 二对安全考虑不足【2j ，存在许多漏洞，使得路由攻击、a r p 欺骗、i p 欺骗和多 种拒绝服务攻击不, f f 避免，不少应用协议( 如f t p , t e l n e t 等) 的认证口令采用明 文传输，檄易被窃听；第血，授权用户滥用权限，危害信息安全。调查表明，8 0 的网络安全帮件来自内部人员。因此，为保证计算机系统的安全，要一种能及时 发现入侵，成功阻止网络黑客入侵，并在事后对入侵进行分析，查明系统漏洞并 及时修补的网络安伞技术，即入侵检测。 固际上信息安全研究起步早，力度大，积累多，应用广。2 0 世纪8 0 年代，美 国国防部皋j 二军事计算机系统的保密需要，在7 0 年代的基础理论研究成果计 算机保密模型( b e l l & l ap a d u l a 模型口1 ) 的基础上，制定了“可信计算机系统安全评 价准则”( t c s e c l 4 1 ) ，其后又制定了关于网络系统、数据库等方面的系列安全标 准，形成了安全信息系统体系结构的最早原则。9 0 年代初，英、法、德、荷四国 针对t c s e c 准则只考虑保密性的局限性，联合提出包括保密性、完整性、可用性 概念的“信息技术安全评价准则”o t s e c ) 。近年来六固七方共同提出了“信息技术安 仝评价通用准则”( c cf o r i ts e c l 5 1 ) 。c c 综合了国际上已有的评审准则和技术标准 的精华，给出了框架和原! i ! | j 要求。然而作为将取代t c s e c 用于系统安全评测的 困际标准，它仍然缺少综合解决信息的多种安全属性的理论模型依据。同时，某 些高安全级别的产品对我国是封锁的。 我曰的信息安全研究经历了通信保密、计算机数掘保护两个发展阶段，现已 进入例络信息安全的研究阶段。在安全体系的构建和评估方面，我固通过学习、 吸收、消化t c s e c 标准进行了安全操作系统、多级安全数据库的研制。在学习借 鉴固外技术的基础上，国内一些部门也开发研制了一些防火墙、安全路由器、安 全网关、黑客入侵检测、系统脆弱性扫描软件等。总的来说，我国的网络信息安 全研究起步晚，投入少，研究力量分散，与技术先进国家相比还有不小的差距。 湖北工业大学硕士学位论文 1 1 2 网络安全威胁 计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是 对网络中设备的威胁。影响计算机网络安全的因素很多，有些因素可能是有意的， 也可能是无意的；可能是人为的，也可能是非人为的：可能是外来黑客对网络系 统资源的非法使有。归结起束，针对网络安全的威胁主要有： 1 ) 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权 访问。它主要有以下几种形式：假冒、身份攻击、非法用，、进入网络系统进行违 法操作、合法用户以未授权方式进行操作等。 2 ) 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常 包括：信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽 隧道等窃取敏感信息等。 3 ) 破坏数据完整性：以非法手段窃得对数据的使异j 权，删除、修改、插入或 重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰 用户的正常使用。 4 ) 拒绝服务攻击：它不断刈网络服务系统进行干扰，改变其正常的作业流程， 执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户 被排斥而不能进入计算机网络系统或不能得到千h 应的服务。 5 ) 利刖网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系 统，而且用，- r 很难防范。 除j ，以卜的一些主要的威胁以外，还有以下人为凶素：人为的无意失洪；人 为的恶意攻_ 占等。 1 1 3 传统网络安全技术及新技术 1 ) 加密 加密是一种最基本的安全机制，是用一个具有密钥的数学函数( 加密算法) 对没有加密的信息( 明文) 进行处理，产生加密的信息( 密文) 的过程。根据密 钥分配方式的不同，加密机制在实现上分为私有密钥加密和公开密钥加密两大类。 2 ) 认证 认证( a u t h e n t i c a t i o n ) 也被称为鉴别，它是一种通信的主体和客体对双方的身 份进行主动识别的机制。认证关心的是是否在和对方所宣称的对象进行通信，即 通信剥。象不是假冒的。其在实现上也有多种方式，如基于共享秘密密钥的认证、 湖北_ y - 业大学硕士学位论文 綦f 公丌密钥的认证、基y - k e r b e r o s 的认证等。 3 ) 数字签名 数字签名主要提供反拒认的功能，即第三方无法伪造发送者所发送的数据， 凶此发送者对其所发的数据不能够抵赖。数字签名常采用公开密钥来实现，签名 肯利用秘密密钥时需签名的数据进行加密，验证方利用签名者的公外密钥对签名 数据做解密运算，从而认定所接收信息是否是伪造的。 4 ) 数据完整性 数据完整性分析主要是检测数据是否被非法篡改或破坏，这经常包括文件和 目录的内容及属性。它在发现被更改的数据文件、被特洛伊化的应用程序方面特 别有效，从而使用户不会被虚假信息所欺骗。 5 ) 访问控制 访l u 控制机制是根据事先确定的规则限制主体对客体的访问。当一个主体试 图非法使用一个未经授权使用的客体( 资源) 时，访问控制功能将拒绝这一企图，并 报告给审训跟踪系统。访问控制技术可分为自主型访问控制和强制型访问控制( 强 制型访问控制是指允许系统安伞管理员强行指定对某些火键资源的访问条件) 。 6 ) ，审计 审计就是对涉及系统安全的操作做一个完整的记录，并以日志的形式保存。 因此，审计常作为一种事后检测的手段来保障系统的安全。审计过程一般是一个 独立的过程，其可以在不同级别上进行，如操作系统审计、数据库审计、应用系 统审计等。 7 ) 防火墙 防火墙系统将安全策略转换成具体的安全控制操作，在_ i l 二j 的信任级别或安 全级别的m 络之n 设立了一个安全边界，按照一定的安全策略规则检查网络数据 包或服务请求，能有效地控制内部网络与外部网络之间的访问及数据传送，从而 实现保护内部网络的信息不受外部非授权用户的访问或者限制内部用户所访刚的 外部信息。 8 ) 入侵检测 入侵检测( i n t r u s i o nd e t e c t i o n ) 是通过收集和分析计算机网络或计算机系统中 若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的 迹象。入侵榆测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻 击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 9 ) 蜜罐 蜜罐足一个专门为了被攻击或入侵而设置的欺骗系统，它表面上被做成一个 湖北工业大学硕士学位论文 真实存在的刈攻击者很有吸引力的主机，引诱入侵者进行攻击，通过后台软件记 录攻击者与蜜罐主机的网络通信数据，使用分析1 二具对这些数据进行分析，从而 发现攻击者进入系统的方法和策略，而且可以据此分析系统存在的漏洞和缺陷。 这就有iz j 能发现新的攻击方法，然后通过重新对安全系统进行配置而抵御这种新 的攻击方法。 1 2 课题来源、目的及意义 1 2 1 课题来源 课题来源：2 0 0 4 年湖北省科技攻关项目“支持隧道代理的主动防御型防火墙的 研究”( 项目编号：2 0 0 4 a a l 0 1 c 6 7 ) 。 1 2 2 课题研究的内容和目的 本课题是对摹丁支持隧道代理的主动防御型防火墙的技术研究，利用已有的 扩展第二层隧道协议el 2 t p ，支持隧道代理技术，针对以往的防火墙被动防御策 略，提m 并研究防火墙的主动防御性。其目标是深层次地利用已有的开发成果， 结合研究国内外同类技术取长补短，设计开发出一套功能完备，能够进行纵深防 御的主动防御型防火墙系统。 术论文主要针对主动防御型防火墙中的主动防御技术中的入侵检测进行研 究。 本人课题部分的研究和需要完成的内容是：对入侵检测技术的原理，组成， 通用的体系结构，检测技术等等都进行了深入地研究和剖析。同时，针对目前入 侵检测系统中计算量大、误报率高等问题，提出以协议分析为主导，并结合模式 匹配的方法柬改进这方面的问题。 入侵检测技术的运用将使得网络安全防护系统在攻击与防护的对抗中占据主 动地位，更好地保障网络的安全。 1 2 3 国内外研究现状 入侵检测是网络安全领域中一个较新的课题。从9 0 年代开始有了一些针对具 体入侵行为或具体的入侵过程进行的入侵检测的研究和系统，9 4 年以后逐渐出现 一些入侵检测的产品，其中比较有代表性的产品有i s s ( i n t e m e ts e c u r i t ys y s t e m ) 湖北工业大学硕士学位论文 公司的r e a l s c c u r e ，n a i 洲e t w o r ka s s o c i a t e s 。l n c ) 公司的c y b e r c o p 和c i s c o 公司的 n e t r a n g e r 。现在入侵检测系统已经成为网络安全中一个重要的研究方向而越来越 受剑重视。 日前的入侵检测系统大部分是基于各自的需求和设计独立开发的，不同系统 之问缺乏巨操作性和通用性，这对入侵检测系统的发展造成了障碍，因此d a r p a ( t h ed e f e n s e a d v a n c e dr e s e a r c he r o j e c t s a g e n c y ，美国幽防部高级研究讣划局) 在 1 9 9 7 年3 月开始着手c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，公共入侵检测 框架) 枷i 准的制定。现在d m ) h 大学d a v i s 分校的安全实验室已经完成c i d f 标准， 1 e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e m e t 工程任务组) 成市了i d w g ( i n t r u s i o n d e t e c t i o nw o r k i n gg r o u p ，入侵榆测1 作组) 负责建立i d e f 【6 j ( i n t r u s i o nd e t e c t i o n e x c h a n g ef o r m a t ，入侵检测数据交换格式) 标准，并提供支持该标准的丁具，以 更高效牢地丌发i d s 系统( i n t r u s i o nd e t e c t i o ns y s t e m ，入侵检测系统) 。 目内住这方面的研究也有一段时间了，目前也已经丌始着手入侵检测标准i d f ( i n t r u s i o nd e t e c t i o nf r a m e w o r k ，入侵检测框架) 的研究与制定。 1 2 4 课题研究的意义与效益 入侵检测是种提高和加强网络整体安全和信息安全的重要手段。随着入侵 检测技术碑论和应用技术的不断发展，它的应用范围越来越广。入侵检测技术作 为一种积极主动的网络信息安全防护技术，具有监视和分析用户和系统的行为、 检测系统配置和漏洞、审计重要敏感数据的完整性、识别入侵者和攻击行为、对 异常行为进行审计跟踪、使用陷阱和诱骗技术记录入侵行为、对入侵行为进行主 动防御和响应等功能，使系统管理员可以较有效地监视、审计、检测、评估和保 护自己的网络信息系统，扩展了系统管理员的安全管理能力。凼此，入侵检测技 术提供了划外部攻击、内部攻击和误操作的实时防护，弥补了传统阚络信息安全 保护措施的不足，这就为入侵检测技术的应用带来了广阔的前景。 湖北工业大学硕士学位论文 第2 章网络安全模型与主动防御技术 网络信息安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信 息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科| 7 j 1 8 】。 信息安全可以从理论和工程的两个角度来考虑。一些从事计算机和网络安全 的研究人员从理论的观点来研究安全。这些安全专家开发了计算机的理论基础， 并从这个基础出发来考虑安全问题。他们感兴趣的是通过建造被证明是正确的安 全模型【9 1 【1 0 l ，用数学方法描述其安全属性，他们为安全领域带来了精确、清晰的论 点，这是非常有价值的。 计算机安全领域的另一个派系则以注重实际的、工程的角度来研究安全。这 些专家经常对安全问题的起因感兴趣，他们更关心保护操作系统的问题。有人认 为，所有从事研究工作的人都必须像理论家那样严密精确，而有人则认为理论家 都应该有能力管理系统1 1 1 】。 和其他领域的安全类似，网络安全也是基于基本的安全模型。安全模型是一 个抽象的概念，它定义了许多实体以及实体之间交互与相互引用的准则，它也是 一步一步发展完善。在网络安全模型中，采用的技术也越来越多，由传统安全技 术到现在的主动防御技术，这极大的提高了网络安全模型的可靠性和安全性。 2 1p p d r 模型 p p d r ( p o l i c y 、p r o t e c t i o n 、d e t e c t i o n 和r e s p o n s e ) 模型是可适应网络安全理 论或称为动态信息安全理论的主要模型，它是由美国国防部n c s c 国家计算机安 全中心于1 9 8 5 年推出的t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，可 信计算机系统评价准则，又称桔皮书) 模型即静态计算机安全模型的发展而来。 p p d r 模型能根据网络环境的变化，并综合各种可能的影响安全的因素来制定整个 网络的安全策略，并在统一的安全策咯的指导f ，针对安全威胁和攻击弱点，通 过保护、检测和响应三个环节实时地强制实施的群体安全策略i j “。 p p d r 安全模型的特点就是动态性和基于时问的特性，可以说对信息安全的 “相剥性”给予了更好地拙述：虽然没有1 0 0 的安全，但是该模型为进步解 决信息安全技术问题提供了有益的方法州方向，其安全模型如图2 1 所示。 p p d r 模型是目前业界主要推崇的动态安全管理概念。p p d r 模型包含四个主 湖北工业大学硕士学位论文 要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响 应) 。防护、检测和响应组成了一个所谓的“完整的、动念的”安全循环，在安全 策略的整体指导下保证信息系统的安全。安全策略有机结合可实现可信网络深度 防御的问题。该模型的理想实现是在整体的安全策略( p o l i c y ) 控制和指导下，综 合运用防护工具( p r o t e c t i o n ，如防火墙、身份认证、加密等手段) ，利用检测工具 ( d e t e c t i o n ，入侵检测系统i d s 和漏洞扫描等) 了解系统的安全状态，并通过适 当的响应( r e s p o n s e ，安全评估和策略管理系统) 将系统调整到“最安全”和“风 险最低”状态。 2 23 l 模型 图2 1p p d r 模型 信息产业部数据通信科学技术研究所通过多年来对i p 网络安全问题的深入研 究，提出了i p 网络安全保密体系，并根据用户网络可能遭受的攻击类型及其对用 户系统安全可能造成的影响，将i p 网络安全分为接入安个、传输安全、业务安全 三个层面，其安全模型如图2 2 所示，称为3 l 模型。 接入安全是指用户通过p s t n 、i s d n 、x d s l 等方式动态地接入安全保密系统 湖北工业大学硕士学位论文 时，在数据链路层提供的强身份认证机制。 不安全的外部 图2 23 l 模型 传输安全是指在i p 层为用户提供的数据传输的保密性、完整性及可靠性服务。 业务安全是指在业务应用层为安全保密系统内部用户提供的基于个人角色 的、进一步的安全保密服务，包括：用户身份认证、个人终端安全、个人信息保 密等。 2 3 主动防御技术 主动防御是相对于传统的被动式保护而言的。传统的保护措施( 如：防火墙 等) 都是采用预先设定好的策略对网络安全性进行保护，而主动防御技术的出现 则给网络安全领域带来了新的活力。 2 3 1 入侵检测 入侵检测( i n t r u s i o nd e t e c t i o n ，i d ) ，顾名思义，是对入侵行为的检测。它通 过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中 是否存在违反安全策略的行为和被攻击的迹象。入侵检测是对防火墙有益的补充。 入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警 与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵所造成的损失。在被 入侵攻击后，收集入侵攻击的相关f ：i 息，作为防范系统的知识，添加入知识库内， 增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的 q 湖北工业大学硕士学位论文 第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内 部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性【1 3 l 。 2 3 2 入侵防御 防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符 合安全策略的数据包。入侵检测技术( i d s ) 通过监视网络或系统资源，寻找违反安 全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的 网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可 施。而入侵防护系统0 p s ) 则倾向于提供主动防护，其设计宗旨是预先对入侵活 动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送 时或传送后才发出警报。 尽管1 p s 与i d s 仅仅相差一个字母，但两者有很大的不同，将i d s 与i p s 进 行比较是一件不恰当的事情，会带来概念上的混淆，但是在这里，仍有必要对两 者的异同点进行分析。 与i d s 相比，i p s 增加了在线( i n l i n e ) 连接和流量阻断两个新特征。在线连 接意味着i p s 成为所监控网络流量的必经之路，如下图2 3 所示，而不再像i d s 那 样只是旁路监听流量。此外，i p s 具有i d s 所不具有的允许或拦截流量的能力。 i d s 旁路接入 交换机( 网络1 )交换机( 网络2 ) s l 交换机( 网络3 ) 交换机( 网络4 ) i p s 在线接入 图2 31 d s 与i p s 的区别 在检测入侵技术上，i p s 同样利用模式识别、协议分析和异常检测等技术。不 过一些先进的i p s 能够在应用层分析识别可疑或畸形流量。 针对不同的攻击行为，i p s 需要不同的过滤器。每种过滤器都设有相应的过滤 规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时， 1 0 湖北工业大学硕士学位论文 过滤引擎还需要参照数据包的信息参数，并将其解析全一个有意义的域中进行l f 文分析，以提高过滤准确性。 过滤器引擎集合了流水和火规模并行处理硬件，能够同时执行数于次的数据 包过滤检奄。这种硬件加速技术埘于i p s 具有重要意义，因为传统的软件解决方 案必须日竹i 进行过滤检查，会导致系统性能大打折扣l ”j 。 2 3 3 蜜罐 1 ) 蜜罐 蜜罐( h o n e y p o t ) 技术是网络安全领域中一项令人兴奋的新技术，与防火墙和入 侵检测技术不同，蜜罐技术的山现不是为了解决一个特定的网络安全问题，它足 一个非常弹性的工具，可以用来吸引来自网络上的攻击，并且收集所有的攻击方 法和过程，并记录h 志，可以认为蜜罐是一种信息系统资源，它的价值在于可以 对这些资源进行合法的利用。 蜜罐技术是种新型的技术，提供很少但很有价值的信息、r 志，它对一常 的访问不进行u 录，只录非正常、不合法的动作，所以其日志是容易分析的， 并且是很有价值的。蜜罐是没计用来诱惑入侵者对其进行入侵的，所以通过分析 f 1 志信息来捕获已知的或者是未知的攻击方法、攻击策略或是攻击工具，尤其是 对未知的攻击信息的获得尤为重要。由于蜜罐只是搜集具有攻击性的动作信息， 所以运行蜜罐只需要非常少的系统资源。 蜜罐的交互性足蜜罐的一种重要特性，交互性是入侵者和实现这个蜜罐的操 作系统之m 的交互程度。般可分为低交互性蜜罐、高交互性蜜罐。低交互性蜜 罐只是在一些特定端i _ 】上提供一些特定的虚假服务，然后用一个监听进程在这些 特定的端口进行监听，并把监听到的所有信息记录到文件中。这种低交互性的蜜 罐由 二不存存操作系统的复杂性，所以减少了可能的风险，但足它只能对特定端 r 】进 n 监听而不能刘相应的请求做出进一步的应答信号，因此这种蜜罐的实现方 式是被动的。高交互性蜜罐提供了一个真实的操作系统，这是和前一种蜜罐的最 大小i j 。这样可以收集更多的入侵者的信息，同时揲作系统的复杂度大大增加， 面临的风险性也非常大，其本身也有可能是网络巾的一个安全漏洞。这样一旦这 个蜜罐系统被黑客发陷，就有可能成为网络中的一个傀儡主机，所以蜜罐本身需 要存严格的监视之下。 湖北工业大学硕士学位论文 2 ) 蜜罐系统结构 蜜罐系统可以放置在网络中的任何位置，可以在防火墙内或防火墙外。蜜罐 一般是单个软件或系统，通常与要保护的网络系统放在一起，吸引攻击者的注意 力。如果要保护内部主机的安全，可以将蜜罐系统部署在防火墙的网络内部。如 果要保护w 曲、f t p 、h t t p 等服务器的安全，则可以将蜜罐部署在防火墙外，增强 服务器的安全性能。图2 4 表示一种蜜罐系统，它被放置在防火墙内，保护网络 内部主机的安全。 图2 4 蜜罐系统配置位置 根据蜜罐技术的特点和应用要求，综合考虑多方面的因素，又出现了一种基 于主机的蜜罐系统。系统被放置在防火墙内部通过防火墙与外部网络连接，可以 充分发挥防火墙的作用，设置内部网络主机和蜜罐系统的对外连接属性。蜜罐系 统以系统程序的形式安装并运行在主机上。蜜罐内部主要由网络服务、数据捕获 和日志记录三个模块组成，如图2 5 所示。 图2 5 单机蜜罐系统结构 网络服务是蜜罐系统提供的经过伪装的服务，应该能够使攻击者相信这些都 是正常的服务。此外，为了吸引攻击者的注意力，还可以提供一些便于入侵者进 入蜜罐系统的漏洞。如果丌放己知的安全漏洞，可能会导致一股类型的攻击；如 果堵上已知漏洞，则可能发现新型的和意料之外的攻击方式，但是同时也降低了 诱惑性。因此，蜜罐设计时需要精心设计丌放的漏洞类型，以便起到欺骗作用并 且有利于管理员进行精确的监视。 2 3 4 蜜网 1 ) 蜜f ( ；g ( h o n c y n e t l 蜜暖 ( h o n c y n c l ) 技术是蜜罐技术的延伸和发展，或者晚是蜜罐的一种形式。蜜 湖北工业大学硕士学位论文 罐足用柬i r 人攻击、存存安全风险的资源，而蜜网是种交互性很高的蜜罐，通 过构建个网络系统束实现这个目的，这个网络是高度集成的，所有流入和流出 的数据都会被控制和捕捉，在这个网络中的每个系统都是一个真正蜜罐，每个系 统郁是为了济导入侵者的攻击而设计的。 蜜网监控一个小型的网络，通过在不同的系统平台上运行不同的服务，呵以 研究入侵者在特定系统或漏洞上使用的不同的j ：具、策略、特别的技巧和动机。 蜜嘲系统的构造方法很多，不同的蜜网所能收集的信息也刁i 一样。h o n e y n e t 只不 过是一利，类型的h o n e y p o t ，与传统h o n e y p o t 最大的两个不同点是：一点是它不是 巾 系统而是一个网络，具有多个系统和应用程序供黑客探测和攻击。h o n e y n e t 可以同时使h j 多个系统，如：s o l a r i s 、l i n u x 、w i n d o w s n t 、c i s c os w i t c h 等，可使 h o n e y n e t 与真实的网络环境更接近。通过使用不同的系统和不同的应用程序，如 l i n u x 服务器、w i n d o w s1 1 s 服务器、s o l a r i sd a t a b a s e 服务器，我们能学到不同的 1 具和策略。特定的攻击者会瞄准特定的系统或漏洞，通过部署不同的操作系统 和应用科j 手，可更准确地了解黑客的攻击趋势和特征；另一点是所有放置在 t t o n e y n e t | 斗l 的系统都是真实的系统，它们和在i n t e r n e t 上能找到的系统和应用程序 完伞相i 叫，没有任何东西是模拟的，也没有故意使系统有漏洞。 ) 低交互型蜜望蚓 低交互型蜜望嘲也就是所谓的低级别的包含的蜜网，这类蜜网只提供了一些 特殊的虚假的服务，这些服务通过在特殊的端口监听柬实现。在这种方式下，所 有进入的数掘流_ 才容易被识别和存储，但这种简单的解决方案不可能获取复杂协 议传输的数据。如个初始的s m t p 握手就不会产生有用的信息，因为没有回应 的消息l l j + 以u 录。存低级别包含的蜜网中攻击者没有真正的操作系统可以用，这 样就人大减少了危险，因为操作系统的复杂性降低了。这种方式的一个缺点是刁i i 能观察攻击者和操作系统之间的交互信息。低级别交互的蜜网就像单向的连接， 只是监听但不会发送响应的信息，这种方式显得很被动。低级别包含的蜜网和被 动的入侵检测系统很相似，因为两者都不会改变数据流或者和攻击者交互，当进 入的数据包符合某种模式时它们被用来产生同志和报警。 低交瓦型蜜网最大的特点是模拟。蜜嘲为攻击者展示的所有的攻击弱点和攻 击的对象都不是真j 卜的产品系统，而是对各种系统及提供的服务的模拟。 ( 2 ) 中交互型蜜望网 随着技术的发展，逐渐出现了中级别蜜网，也就是中交互蜜网。一个中级别 蜜m 能够提供了更多的信息，但还是没有提供一个真实的操作系统。由于蜜网的 复杂程度的提高，攻击者发现安全漏洞和弱点的可能性也就大大提高了。然而， 湖北工业大学硕士学位论文 通过这种较高程度的交目：，更复杂的攻击手段就会被记录和分析。因为攻击者认 为这是个真实的操作系统，就会对系统进行更多的探测和交瓦。 中交互蜜网是对真正的操作系统的各种行为的模拟，在这个模拟的操作系统 中，用。可以进行随心所欲的配置，让蜜罐看起来和一个真正的操作系统没有任 何区别。 中交蜜网设汁的目的是为r 吸引攻击者的注意力，从而起到保护真i f 的系 统的作用，它们是看起来是比真正的系统还要诱人的攻击目标，而攻击者一旦进 入蜜| 西9 就会被监视并跟踪。中交互蜜网与攻击者之间的交互非常接近真实系统之 问的交互，所以中交互的蜜网可以从攻击者的行为中获得更多的信息。虽然中交 互的蜜嘲是对真实的系统的模拟，但是从它的模拟程度上，已经可以把中交互蜜 网近似理解为一个经过修改的操作系统，这就存在着整个系统有可能被入侵的危 险，所以系统管理员必须对蜜网进行定期的检查，了解蜜网的状态。 ( 3 ) 商交互型蜜望嘲 为了更好的了解黑客的攻击行为，高级别蜜阚出现了，即高交互蜜网。一个 高级别蜜网包含有一个真实的操作系统，这样随着复杂程度的提高危险性也随之 增大，仉【亓_ i 时收集信息的可能性，吸引攻击者攻击的程度也大大提高。黑客攻入 系统的目的之一就是获取r o o t 权限，一个高级别蜜网就提供了这样的环境。一一旦 攻击者获得这样的权限，他的真实活动和行为都将被记录。但是如果攻击者取得 了r o o t 权限，就呵以在被攻陷的机器上为所欲为，这样系统就不再安全，整个机 器也就不再是安全的了。 这类蜜网的最大的特点就是真实，高交互蜜网是完全真实的系统，设汁的最 主要的目的就是对各种网络攻击行为进行研究。目前安全组织最缺乏的就是对自 己的敌人攻击者的了解，最需要回答的问题则是谁是攻击者，攻击者如何进 行攻击，攻击者使用什么工具攻击以及攻击者何时会再次发动攻击。高交互蜜网 所要做的就是对攻击者的行为进行研究以回答这些问题。 显然，奇交! 【的蜜网最大的缺点就是被入侵的可能性很高。如果整个高交互 蜜例被入侵，那它就会成为攻击者列其它主机和组织进行下一次攻击的最好的r 具。所以必须采取各种各样的策略和预防措施防止高交互的蜜网成为攻击者进行 攻击的跳板。 2 ) 虚拟簧网 虚拟h o n e y n e t 是借用了h o n e y n e t 技术的概念，并将它们在一个系统上运行。 这种技术与传统的h o n e y n e t 相比有优点也有缺点。优点是降低了成本而且容易部 嚣和维护然而，简单也是要付出代价的。首先，受到计算机硬件和虚拟软件的限 湖北工业大学硕士学位论文 制不能随意选择安装操作系统。举例来院，大部分的虚拟h o n e y n e l 都是基于i n t e l x 8 6 芯片的，因此选择的操作系统必须是基于这个结构的；第二，虚拟h o n e y n e t 会产生危险。攻击者可以攻陷虚拟软件进而攻占整个h o n e y n e t ，控制整个系统；最 后，会产生指纹识别的危险。一旦攻击者进入了虚拟h o n e y n e t 中的系统，他们可 能马上察觉出这