（计算机应用技术专业论文）网络安全管理系统研究与实现.pdf

西安建筑科技大学硕士论文i 网络安全管理系统研究与实现 专业：计算机应用 硕士生：何升文 指导教师：武维善教授 摘要 随着网络技术的普及，网络安全性问题日益得到人们的重视。为了保护网络的安全， 防火墙、入侵检测系统、安全审计等技术已广泛应用于网络，并取得了一定的效果。但 是因各种安全设备对网络防护的单一性、独立性，其防护的效果不理想，因此一些企业 推出了网络安全管理系统来综合监管各种网络安全设备，实现对网络的整体防护。 本文首先分析了传统网络安全管理系统并指出了系统的不足。然后本文重点阐述了 将代理技术运用到网络安全管理系统，利用代理技术的自治性等特点来优化网络安全管 理系统的性能。文章中详细描述了系统中代理部署设计、代理及代理管理控制中心的设 计、数据采集模块、检测分析模块、代理通信模块、关联分析模块、策略模块及联动模 块的设计和实现。 最后对整个系统进行了相关总结和评价，同时指出了论文中的不足和下一步工作。 关键词：网络安全代理技术关联分析整体防护 卜 西安建筑科技大学硕二t 论文 i i r e s e a r c ha n di m p l e m e n t a t i o no ft h en e t w o r ks e c u r i t y m a n a g e m e n ts y s t e m m a i o r ：c o m p u t e ra p p l i c a t i o n n a m e ：h es h e n g w e n i n s t r u c t o r ：p r o f e s s o rw uw e i s h a n a b s t r a c t w i t ht h ep o p u l a ro ft h en e t w o r k ，m o r ea n dm o r ep e o p l ea t t a c hi m p o r t a n c et ot h es e c u r i t y o ft h en e t w o r k t od e f e n dt h en e t w o r k ，t h e s et e c h n o l o g ys u c ha sf i r e w a l l ，i d s ，a u d i th a v eb e e n a p p l i e dt o t h en e t w o r ka n da c h i e v e ds o m ee f f e c th o w e v e r , t h er e s u l td o e sn o ts a t i f yw h a t p e o p l ee x p e c tb e c a u s et h e d e f e n s eo ft h o s es e c u r i t yp r o d u c t si s s i n g l e 。t h e r e f o r e ，s o m e e n t e r p r i s e sp u tf o r w a r dt h es y s t e mo ft h en e t w o r ks e c u r i t ym a n a g e m e n tt os u p e r v i s ea l lk i n d s o f t h es e c u r i t ye q u i p m e n tt or e a l i z et h ei n t e g r a t e dd e f e n s e f i r s t l y ，t h et h e s i sa n a l y s et h et r a d i t i o n a ls y s t e mo ft h en e t w o r ks e c u r i t ym a n a g e m e n ta n d p o i n to u tt h es h o r t a g e s e c o n d l y , t h et h e s i se m p h a s i so nd e m o n s t r a t i n gt h ea p p l i c a t i o no ft h ea g e n tt e c h n o l o g y t on e t w o r ks e c u r i t ym a n a g e m e n ts y s t e m ，m a k i n gb e s to f t h ea d v a n t a g eo f t h ea g e n ta u t o n o m y a n di m p r o v i n gt h es y s t e m t h et h e s i sd e s c r i b ei nd e t a i lt h ed e s i g na n di m p l e m e n t a t i o no ft h e a g e n t ，a g e n tm a n a g e m e n t c o n t r o l c e n t e r , d a t a c a p t u r e ，d e t e c t a n d a n a l y s e ，a g e n t c o r m n u n i c a t i o n ，c o r r e l a t i o na n a l y s e ，a n dl i n k a g em o d e l f i n a l l y , is u m m a r i z et h ed e f i c i e n c yo ft h et h e s i s ，a n da n a l y s et h ef o l l o w i n gw o r ko nt h e t h e s j s k e y w o r d s ：n e t w o r ks e c u r i t y c o r r e l a t i o na n a l y s e a g e n tt e c h n o l o g yi n t e g r a t e dd e f e n s e 声明 本人郑重声明我所呈交的论文是我个人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含本人或其他 人在其它单位己申请学位或为其它用途使用过的成果。与我一同工作的同 志对本研究所做的所有贡献均已在论文中作了明确的说明并表示了致谢。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名 关于论文使用授权的说明 日鼹：毽。l l 本人完全了解西安建筑科技大学有关保留、使用学位论文的规定，即： 学校有权保留送交论文的复e n , f 4 - ，允许论文被查阅和借阅；学校可以公布 论文的全部或部分内容，可以采用影印、缩印或者其它复制手段保存论文。 ( 保密的论文在论文解密后应遵守此规定) 黼：砀根新签名狮唿吼仉一 注：请将此页附在论文首页。 力入 彳 西安建筑科技大学硕：i 二论文 i 1绪论 网络已经在人们生活中扮演了重要的角色，人们对网络的依赖性日益增强。人们很 多的交流和交易通过网络来进行，使得人们的生活因为网络变得更加便捷。然而，网络 给我们带来便利的同时，也会因为来自网络的各种攻击使人们受到各种损失。因此网络 的安全性得到了人们的重视，人们已经采取了各种安全防护技术来保障网络的安全。然 而防护的效果始终没有达到人们的期望。本章我们就介绍了本文的研究背景和意义，以 及本文的主要工作。 1 1 研究背景和意义 当前，企业组织机构都越来越依赖于i t 技术提供的手段来提高自己的核心竞争力 和服务水平。i t 技术日益发展、i t 环境变得越来越复杂，更多的安全威胁被揭示出来。 为此，专业厂家开发了越来越多的安全产品和解决方案，对i t 信息资产提供安全防护。 这些产品和解决方案包括反病毒、防火墙、入侵检测、安全扫描器、访问控制、认证等。 它们都提供了针对某种或某些种威胁的防护手段。为了建设更严密的安全体系，专家们 提出了“深层防御”或者“多层防御”的概念模型，在某层或某个安全机制失败的情况 下，其它层次的安全机制依然可以进行防御。 经过前面几年的安全运行实践，企业的安全主管和安全管理员发现，他们正在被这 些安全产品产生的海量事件和繁杂的日常维护工作淹没。在典型的大型或者中型企业的 i t 管理中心，安全管理工作由系统管理员兼管，或者有1 2 位专职的安全管理员，管 理的安全产品或者应用数量通常在数十个左右，每个安全产品或者应用每天产生的安全 事件以数十个来估算的话，一个类似规模的企业每天将需要处理成千上万个安全事件。 那些实质上最为紧迫、最为关键的事件信息被夹杂在一起的“噪音”信息所淹没。 在多次安全体系扩容建设后，体系中通常会包括多个不同厂家的安全产品。每个产品产 生的事件告警和报表格式各不相同，收集和处理方式也大相径庭。管理员在处理紧急事 件告警和企业用户的投诉已是不可开交，更不可能挤出时间来制作每周的安全运行报 告，也不可能进行策略的规划、调优。 安全事件和告警不进行及时有效的处理等于没有产生告警。安全策略不定期进行规 划和调优，体系的防护效率会越来越低。这样，我们发现安全体系建设在某个阶段后， 继续增加这些“单点”安全产品，只会继续增加安全管理员和主管的“过载”，继续降 低防御效果和投资效益。 为了解决这个问题，我们采用网络安全管理系统来对整个网络安全设备进行综合管 西安建筑科技大学硕士论文 理，对来自各个安全设备的相关信息进行关联分析，在最短的时间获取最需要的信息 从而提高系统事件处理的效率。 1 2 论文主要内容 本论文来源于上海政务网络项目，该项目主要研究开发了一个基于8 n m p 协议的网 络安全管理系统用于对上海公众网络的各种安全设备进行管理，保护政务网络的安全。 由于原来系统基于s n m p 协议设计的，系统也是管理站和代理的结构，但是代理的 功能比较简单，主要是收集信息然后转发给管理站处理，自己没有信息处理的能力，管 理站要通过不断地轮询来获取代理的信息，容易导致信息瓶颈现象，造成信息处理不及 时的情况。主要局限性体现在如下几个方面： l 、互操作上的局限性 基于s n m p 的网络安全管理操作简单，易实现，是的各种网络设备生产厂家的产品 都支持s n m p 协议。但各个厂家生产的设备，在定义m i b 、选用操作系统，以及使用 管理程序的界面方面很难保持一致，这样在较大规模的异构网络中，基于s n m p 的网络 安全管理策略在互操作性上有很大的局限性。 2 、时效上的局限性： s n m p 采用从n m s 中t 3 节点向其它各个网络节点轮询的机制，以获取各节点上设 备的状态变量。这样网络规模越大，设备越多，所需轮询的节点就越多。随着轮询密度 的增大，网络开销越大，很容易造成网络的阻塞和管理指令执行的延时，从而大大降低 网络管理的时效性。 3 、主动性能上的局限性： s n m p 的代理自身只能被动接受网络管理站发出的轮询，然后去访问设备的m i b ， 并按一定的时间间隔上传数据。但这些s n m p 代理不具备主动计算和管理的能力，它本 身不能对节点数据进行分析处理，只能按网络管理站的指令被动地将所有的基础数据上 传。 4 、可靠性能的局限性： 按照大系统控制论，系统控制集中程度越高，规模越大，可靠性能越差。基于s n m p 协议的网络安全管理属于典型的集中式控制系统，控制中心或者控制中心与网络节点间 的链路出现故障时，就势必造成全局网络的管理失控。 鉴于以上情况，我们引入了一种代理技术，这种代理是具有自治性、反应性等特点， 即这种代理自己有信息处理的能力，可以使很多信息本地处理，减少信息上传的数量， 从而提高系统处理的效率。另外我们采用了关联分析技术，对采集的信息进行精简，从 而进一步提高信息处理的及时性和准确性。下面介绍一下文章的主要内容。 第一章，介绍了网络安全管理系统研究的背景以及意义，分析了网络安全管理系统 西安建筑科技大学硕士论文 3 研究的必要性以及网络安全管理系统研究对网络安全的促进作用。 第二章，对网络安全的相关技术进行了概述，同时对网络安全管理的相关研究进展 进行了介绍。 第三章，对目前网络安全管理方面的相关技术包括代理技术、s n m p 、o p s e c 、关联 分析技术进行了介绍，同时对网络安全管理系统的总体设计包括系统的数据流程设计以 及功能模块设计进行了阐述。 第四章，对网络安全管理系统的主要模块的设计及实现进行了阐述，主要包括代理 模块的设计以及实现，然后对系统进行了总结和评价。 第五章，网络安全管理系统的总结和展望部分，对论文中网络安全管理系统的研究 进行总结，同时分析下一步的工作。 1 3 本章小结 本章介绍了网络安全管理系统研究的背景是各种安全设备广泛应用于网络，产生了 信息过载现象，需要应用网络安全管理系统来对这些设备进行统一的管理，从而形成整 体的防护，研究的目的和意义是提高防护效果和减少网络管理人员的工作量。 最后对整个论文的结构以及相关主要内容进行了介绍。 西安建筑科技大学硕士论文 2 网络安全管理研究 随着网络的普及和人们网络安全意识的提高，很多科研机构和企业投入了大量的技 术力量和资金来进行网络安全技术的研发，取得了一定的成果，并且很多科研成果已经 转化成了产品。目前市场上已经有防火墙产品，入侵检测产品和安全审计类产品以及安 全管理类等产品。下面我们就这些技术的原理和功能进行相关介绍，另外就网络安全管 理的研究进展情况进行一些描述，为后面的章节展开做个铺垫。 2 1 1 防火墙技术 2 1 网络安全相关技术介绍 防火墙川是指设置在不同网络( 如可信任的组织内部网和不可信任的公共网) 或网 络安全域之间的一系列部件组合。它对两个网络之间的通信进行监控，通过强制实施统 一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的 系统，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙通 常位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、 管理制度所制定的安全策略，运用状态包过滤、代理网关、n a t 转换、i p + m a c 地址绑定 等技术，实现对出入网络的信息流进行全面的控制( 允许通过、拒绝通过、过程监测) ， 控制类别包括i p 地址、t c p u d p 端口、协议、服务、连接状态等网络信息的各个方面。 防火墙本身必需具有很强的抗攻击能力，以确保其自身的安全性。目前防火墙设计采用 的技术主要有包过滤技术、代理技术、协议解析技术等。防火墙主要可实现以下基本功 能。 1 、监控并限制访问 针对黑客攻击的不安全因素，防火墙采取控制进出呋j # t - 网的数据包的方法，实时监 控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同 时，根据不同情况采取相应的防范措旌，从而提高系统的抗攻击能力。 2 、控制协议和服务 针对网络协议设计的先天缺陷，防火墙采取控制协议和服务的方法，使得只有授权 的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难 性安全事故的可能性。 3 、保护网络内部 西安建筑科技大学硕士沦文 5 针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用 软件无关的体系结构，其自身建立在安全操作系统之上：同时，针对受保护的内部网络， 防火墙能够及时发现系统中存在的漏洞，进行访问上的限制：防火墙还可以屏蔽受保护 网络的相关信息，使黑客无从下手。 4 、日志记录与审计 当防火墙系统被配置为工作在不同安全域之间的关键节点时，防火墙系统就能够对 不同安全域之间的访问请求做出日志记录。日志是对一些可能的攻击行为进行分析和防 范的十分重要的情报。另外，防火墙系统也能够对正常的网络使用情况做出统计。这样 网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个 网络。 2 1 2 入侵检测技术 入侵检测技术2 1 是一种主动保护自己免受攻击的一种网络安全技术，它是一种在防 御的纵深程度上优于防火墙的安全技术。作为防火墙的合理补充，入侵检测技术能够帮 助系统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审计、监视、进攻 识别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键 点收集信息，并分析这些信息。入侵检测系统作为网络安全体系的第二道防线，对在防 火墙系统阻断攻击失败时，最大限度地减少相应的损失。也可以与防火墙等安全产品进 行联动，实现动态的安全维护。 入侵检测技术系统的目的是提供实时的攻击入侵检测及采取相应的防护手段，如记 录证据用于跟踪和恢复、断开网络连接等。具有以下一些功能： l 、识别黑客常用入侵与攻击手段 入侵检测技术通过分析各种攻击特征，可以全面快速地识别探测攻击、拒绝服务攻 击、缓冲区溢出攻击、电子邮件攻击等各种常用攻击手段，并做相应的防范。 2 、监控网络异常通信 入侵检测系统会监控和分析网络的数据通信，然后对网络中不正常的通信连接作出 反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据均会被入侵检测系 统检测并警告。 3 、鉴别对系统漏洞以及后门的利用 入侵检测系统有系统漏洞以及后门的详细信息，通过对网络数据包连接的方式、连 接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进 行地非法行为。 西安建筑科技大学硕士论文 2 i 3 漏洞扫描技术 漏洞扫描”1 主要有以下两种： l 、网络漏洞扫描 网络扫描器通过对网络安全弱点全面和自主地检测与分析，能够迅速找到并修复安 全漏洞。网络扫描器对所有附属在网络中的设备进行扫描，检查它们的弱点将风险分 为高、中、低3 个等级，并且生成大范围的有意义的报表。以管理者角度来分析的报告， 以及为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。 网络扫描器对网络设备进行自动的安全漏洞检测和分析，并且在执行过程中支持基 于策略的安全风险管理过程。另外，网络扫描器执行预定的或事件驱动的网络探测，包 括对网络通信服务、操作系统、路由器、电子邮件、w e b 服务器、防火墙和应用程序的 检测，从而识别能被入侵者利用来非法进入网络的漏洞，并将给出检测到的漏洞信息， 包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息， 并跟随开放的网络应用和迅速增长的网络规模而相应地改变。 2 、系统漏洞扫描 系统扫描器是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。这 些扫描器代理的安全策略可以通过系统扫描器控制台进行集中管理和配置。 系统扫描器通过对内部网络安全弱点的全面分析，协助管理者进行安全风险管理。 l 又- n ：j 二静态的安全策略，系统扫描工具对主机进行预防潜在安全风险的设置。其中包括 易猜出的密码，用户权限，文件系统访问权，服务器设簧及其他含有攻击隐患的可疑点。 系统扫描器在相当严格的基础上对安全风险级别进行划分。在u n i x 系统上，它对 大量的安全问题能够自动产生修补程序脚本。一旦系统被确认处于安全的状态后，系统 扫描器会用一种数字指纹锁定系统配置，以便更容易发现非法访问。 安全扫描不能实时监视网络上的入侵者，但是能够测试和评价系统的安全性，并及 时发现安全漏洞。 2 1 4 防病毒技术 防病毒技术f 4 1 就是通过防病毒代理引擎监测相关文件，把文件和相关病毒码进行比 对来发现确认病毒，如果发现病毒就通过删除文件中的病毒特征串解毒或者把文件隔离 成非可执行文件来保护系统。防病毒技术有主机防护和网关防护两种。主机防护主要是 防护单个主机系统，网关防护部署在整个网络的入口处，对整个网络进行全面的防护。 2 1 5 安全审计技术 我们将安全审计【5 1 定义为：产生、记录并检查按时间顺序排列的系统事件记录的过 西安建筑科技大学硕士论文 程。具体实现方式是利用技术手段，不间断地将计算机网络上发生的事件记录下来，用 事后追查的方法保证系统的安全。 安全审计技术系统是事前控制人员或设备的访问行为，并能事后获得直接电子证 据，防止行为抵赖的系统。它是信息安全保障系统的重要组成部分。 安全审计技术具体实现以下一些安全目标： 1 、基于每个目标或每个用户，审查访问模式，并使用系统的保护机制。 2 、发现试图绕过保护机制的外部人员和内部人员。 3 、发现用户从低等级到高等级的访问权限转移。 4 、制止用户企图绕过系统保护机制的尝试。 另外，安全审计可以起到以下的作用： 1 、对潜在的攻击者起到震慑或警告作用 2 、对于已经发生的系统破坏行为提供有效的追纠证据。 3 、提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统 漏洞。 4 、提供系统运行的统计日志，使系统管理员能够发现系统性能上的不足。 2 2 网络安全管理系统研究概述 2 2 1 网络安全管理研究国内外进展情况 在信息安全领域针对安全问题提出了p p d r 模型。p p d r 模型【5 j 就是在整体的安全 策略的控制和指导下，在综合运用防护工具( 如防火墙、防病毒、操作系统身份认证和 加密等手段) 的同时，运用检测工具( 如漏洞评估、入侵检测等系统) 了解和评估系统 的安全状态，将系统调整到“最安全”和“风险最低”的状态。 p p d r 模型包括p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 四个主要部分。防护、检测和响应组成了一个完整的、动态的安全循环，在安 全策略的指导下保证信息系统的安全，如图2 1 所示： 图2 1p p d r 模型示意图 西安建筑科技大学硕士论文 8 网络安全是动态的系统工程，单一的安全设备由于其功能局限性已不能满足网络安 全的需要。目前，基于满足网络不同层面的安全需求，由防火墙，防病毒，入侵监测系 统，安全漏洞扫描等多种网络安全设备有机构成的安全体系成为业界所共识的网络安全 整体解决方案。当前安全设备的设置、操作和运行均独立进行，它们之间不能相互进行 有效的沟通，是一种松耦合关系。要真正实现网络系统的整体安全，这种安全设备的简 单集成和叠加显然是不够的，应该建立相关安全设备能够相互通信并协同工作的网络安 全体系，实现防火墙，防病毒，i d s ，安全漏洞扫描等的互通与联动，以达到整体安全 防护的目的。 目前，国外在网络安全管理方面基于多年的研究，取得了一些成果这些成果主要有 以下几个方面1 6 j ： 第一方面研究成果主要在于将用户管理、身份认证和权限管理统一。主要研究用户 管理和认证中心，另外研究了一些应用接口。这些研究成果目前已经形成了一些产品主 要有c a 公司的e t r u s t 。 第二方面研究成果主要是在分析原有系统的基础上，开发安全管理功能模块集成到 已有系统，从而实现对已有系统的安全管理功能。这些研究成果形成的产品主要有i b m 的t i v o l i 系列产品、c a 的u n i c e n t e rt n g 。 第三方面研究成果主要是基于已有的产品系列，研发相关的安全管理产品实现对产 品系列的安全管理，这些研究成果形成的产品主要有c i s c o 公司的c s p m ，c p m 和 n e t s c r e e n 公司的n e t s c r e e ng l o b a lp r o 。 第四方面研究成果主要是综合的网络安全管理系统研究，该系统要求能够对主流的 安全系统实现综合管理，从而形成对网络的整体防护。这方面的研究目前没有很成熟的 产品，需要进一步的研究。 另外，国内一些网络安全厂家根据国内用户对安全管理的需求，对网络安全管理进 行了研究，也推出了自己的安全管理产品，这些产品主要是对自己的安全产品进行管理， 同时有些产品可以实现对一些联盟组织的产品进行管理，这些安全管理产品有启明星辰 的泰合信息安全运营中心( s e c u r i t yo p e r a t i o nc e n t e r ) ，它是针对传统安全管理方式的 一种重大变革。它将不同位置、不同资产( 主机、网络设备和安全设备等) 中分散且海量 的安全信息进行范式化、汇总、过滤和关联分析，形成基于资产域的统一等级的威胁 与风险管理，并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理。另外还 有联想网御的网络安全管理平台，为用户提供一个整体的安全解决方案，实现对自己产 品的综合安全管理，另外还有天融信也推出了自己的网络卫士综合网络管理系统，它是 个综合的对整个网络产品包括网络设备以及安全设备的综合管理系统。 2 2 2网络安全管理研究的相关标准 经过多年的研究，在网络安全管理研究方面，目前提出了以下一些标准，这些标准为 西安建筑科技大学硕士论文 9 网络安全管理系统的开发提供了很好的参考： l 、基于开放的管理框架 为了实现各种网络安全设备能够互通与联动，以实现整体安全防护，以防火墙安全 厂商为首的提出了开放的管理框架，例如1 9 9 7 年，以色列c h e c kp o i n t 公司提出建立 o p s e c ( o p e np l a t f o r mf o rs e c u r it y ) 联动联盟，到2 0 0 3 年4 月，o p s e c 拥有超过3 5 0 家合作伙伴。o p s e c 是以c h e c kp o i n t 作为核心，向用户提供在网络安全方面的集成应 用。o p s e c 应用框架允许将整个企业网络安全任务分解成由不同的安全产品完成，每个 产品可以由不同的安全厂家提供和安装到不同的设备上。这样做的优势在于更好地解决 兼容问题以及分配加载处理；同时具有很高的灵活性，使管理人员能够根据企业网络安 全需求选择最佳的安全产品以及在进行某个安全产品的更新操作时不至影响其他产品 的正常运行。 类似的联盟国内有天融信公司提出的t o p s e c ，就是以天融信公司的防火墙为中心建 立联动的开放管理框架。 2 、基于e s m 理念的安全管理机制 e s m 7 】( e n t e r p r i s es e c u r i t ym a n a g e m e n t ) 是目前国际上流行的一种整体安全管理 框架，它的主要思想是采用多种智能代理和安全控制中心，在统一安全策略的指导下， 将系统小的各个安全部件协同起来，实现总体的安全策略，并且能够在多个安全部件协 同的基础上实现实时监控、报表处理、统计分析等。这样的体系架构具备适应性强( 能 够适用于各种网络和系统环境) 、可扩充性强，集中化安全管理等优点已成为网络安全 整体解决方案的发展方向。 e s m 框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全 防御体系的问题。在信息技术被大量采用的今天，安全威胁可能来自内部和外部，许多 机构发现来自内部的威胁可能造成更大的损失。但是目前大多数的安全产品只能保护某 个点上的安全，例如可以安装防病毒软件查杀病毒、安装防火墙抵御外部的普通攻击、 采用入侵监测系统发现入侵等，但是许多机构在部署了某些安全产品后仍然无法保证网 络的安全，不同的安全产品问也缺乏联系，难以管理。 总之，真正的整体安全是在一个整体的安全策略下，安全产品和非安全产品以及管 理制度相互协调的基础上才能实现。 2 2 3网络安全管理研究发展趋势 随着网络安全技术的不断更新和深入，安全管理技术正在从简单的点、面形态向一 个有机联动的立体化体系形态发展，网络安全管理体系发展趋势如下： 1 、实现安全设备和安全软件网络化集中管理、实施全面实时监控、保障安全设备和系 统正常运转的中心； 瓯安建筑科技大学硕士论文 1 0 2 、实现安全信息收集、信息相关性分析的全方位安全管理的中心； 3 、实现系统动态反应和应急处理的中心； 4 、制i , t ) t n 实施安全设备和系统运行策略、确保安全设备和系统高效运转、实现组织安 全目标的中心。 5 、各种安全资源，包括软件、硬件、人员、规章等要素的集中管理中心。 总之，网络安全管理呈现出从通用网管系统中分离出来，自成体系，以及网络安全 管理系统标准化的趋势。 2 3 本章小结 本章对网络安全相关技术包括防火墙技术、入侵检测技术、漏洞扫描技术、防病毒 技术、安全审计技术等进行了介绍，就这些技术的原理、功能、应用范围等进行了阐述。 另外对网络安全管理系统的研究进展包括网络安全管理的相关标准研究和网络安全管 理产品进行了详细描述，另外对网络安全管理发展趋势进行了说明。 西安建筑科技大学硕士论文 i i 3 系统相关技术和总体设计 网络安全管理系统研究并采用了相关技术，这些技术包括代理技术、s n m p 技术、 o p s e c 技术、关联分析技术。其中代理技术，它主要用于安全信息的采集检测、安全 策略的响应等。s n m p 协议技术主要用于设备信息的管理，包括设备的状态信息，故障 信息等。o p s e c 技术主要用于系统对各种安全设备的联动管理。关联分析技术主要用 于对海量信息的关联性分析，从而实现信息量的简化和信息的准确提取。另外对系统的 总体设计进行说明。下面对这些内容进行详细阐述。 3 1 1 代理技术 3 1网络安全管理系统相关技术 代理技术【8 】最早可以追溯到人工智能研究的初期阶段，1 9 7 7 年h e w i t t 在研究 c o n c u r r e n ta c t o rm o d e l 时就首次提出了具有自组织性、反应机制和同步执行能力的软 件模型，这就是最初的软件代理思想。此后从7 0 年代末到9 0 年代初，科学家都将精力 集中于对代理理论的研究，并从系统的角度提出了一些基本概念。代理的具体实践开始 于9 0 年代，期间人们进行了一些非常成功的尝试，并对代理有了进一步的认识，例如 微软就认为：”代理是受人委托代表或代替用户行为，其智能性显示或表现在其优良的 判断力或合理的思想。” 目前代理在研究领域中尚没有一个理想的定义，但人们普通认为：代理是运行于动 态环境的、具有高度自治能力的实体，它能够接受其它实体的委托并为之服务。代理具 有以下一些特征： l 、自治性：代理的动作和行为是根据自身的知识、内部状态和对外部环境的感知来进行 控制。它的运行不受人或其它代理的直接干涉。 2 、反应性：代理能及时感知环境的变化而做出相应的反应。 3 、社会性：可以通过某种代理语言与其它代理或人进行交互和通信。在多代理中，代理 应具有协作和协商能力。 4 、自适应性：代理能够根据知识库中的事实和规则进行推理，还能够总结以前的经验， 校正行为，即具有自学习和自适应的能力。 5 、推理能力：代理能够按照抽象的说明完成任务。 6 、移动性：代理能够自主地在网络上跨平台漫游，且状态和行为具有连续性。 下面我们对代理的结构以及体系结构、代理的优点等进行描述。 西安建筑科技大学硕士论文 12 l 、代理结构及体系结构 代理是软件实体，包括一些软件模块，这些模块主要有知识库模块、逻辑推理模块、 数据采集模块、检测分析模块、响应控制模块、通信接口模块等。代理结构参考图3 1 ： 图3 1 代理结构 代理运行在一定的环境中，从环境中获取信息，同时会对环境产生响应。同时代理 之间有时需要合作进行事件的处理，因此代理的体系结构设计参考图3 2 ： 信 图3 2 代理体系结构 西安建筑科技大学硕士论文 2 、代理技术的优点 1 ) 减轻网络负载，减少网络延时 当前网络安全管理系统所面临的一个很大的问题是要处理大量数据，大量的信息都 要由中心控制节点来处理。采用代理技术可以让很多信息由代理来自主处理，有必要的 话再把信息上传至分控制中心处理，如果分控制中，i i , 不能处理才将信息传输至中心节点 来处理。因此引入代理技术后减少了信息传输的数量，从而减轻了网络负载和减少了网 络延时。 2 ) 自治连续异步地运行 系统中的代理它们都是自治的实体，如果没有必要进行信息交互的话都是自主运行 和进行事件处理，不会对其他代理产生影响。因此即使和中心节点失去联系也不会影响 代理的工作，因此可以说代理能够连续地运行，进行相关的信息处理。 3 ) 能动态配置以适应网络变化 由于代理自身的独立性，可以独立地启动和停止代理的运行，这使得能够动态地配 置。如果一个代理来收集某种信息或检测某种攻击，可以在不影响其他代理的情况下， 启动相应的代理当在网络中加入一个新的主机时，可以配置代理到其上监视其活动。 如果不再需要检测某项内容，要求相应的代理结吏运行即可。 4 ) 异构环境下运行 企业的网络通常是由多种不同的计算平台和设备组成代理独立于计算机和传输 层，通过虚拟机和主机平台上的解释器，可以在任何有代理平台的节点上运行，从而实 现了在应用层上的互操作性。代理在异构环境下运行的能力为异构系统的集成提供了好 的解决办法，也为不同网络设备之问的数据融合提供了相应的解决方案。 5 ) 增强系统的健壮性和容错能力 代理的移动特性使其具有了对不良的环境和事件动态反应的能力，因而能容易地构 建强健的系统。系统定期使用移动代理检查系统各个节点，当结点失效时加以恢复。同 时移动代理对无连接操作的支持和分布式的设计模型也消除了单点失败的问题，使系统 能提供容错特性。 6 ) 多点检测 多点检测是指通过分析来自多个主机、应用程序或网络接口的事件来检测分布式或 渐进性的攻击。但是将分布式的信息移动到一点集中处理会增加很大的网络负载，因此 在多点检测以前，通常都要进行数据过滤和萃取，然而这会进一步增加检测的复杂性。 利用代理的移动性可以改进多点检测技术。移动代理可以在分布式数据源问移动，收集 各个点的数据，并进行多点检测，因而可以将攻击关联起来，发现协同攻击。 3 1 2s b l b f p 协议 s n m p ( s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) 协议删是基于t c p i p 的多厂商异构互 西安建筑科技大学硕士论文 连网管理而设计。采用管理进程和代理进程模型。由于它在简单性，灵活性和扩展性等 方面达到了理想的平衡，实现又比较容易，因此得到了众多i t 公司的支持，包括著名 的c i s c o ，i b m ，s u n ，m i c r o s o f t 等大公司，目前己经成为事实的工业标准。s n m p 模 型参考图3 3 ： 用户界面 网络管理应用 代理 代理 n 船m i b ln 监 进程 进程 m i b 匠 玉正 图3 3s n m p 模型 s n m p 主要包括管理信息结构( s m i ) 、管理信息库( m i b ) 和s n m p 协议。详细阐述如 下： l 、s m i ( s t r u c t u r eo f m a n a g e m e n ti n f o r m a t i o n ) s n m p 文档利用s m i 来描述s n m p 的数据结构。在s m i 中，采用文法描述方式对 每一个数据对象的属性，取值范围都做了详细说明。它是管理信息库的对象定义和编码 的基础它是对公共结构和一般类型的描述。管理对象的集合在s m i 中称为对象类型。 2 、m i b m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ) 是对于网络管理协议可以访问信息的精确定义。 使用一个层次型，结构化的形式，m i b 定义了一个设备可以获得的网络管理信息。每个 设备，为了和标准的网络管理协议一致，必须使用m i b 中定义的格式显示信息。管理 信息库存放各种管理对象的管理参数，网络管理活动通过访问和操作m i b 中的管理对 象来进行。 3 、s n m p 协议 它是为网络管理服务而定义的应用层协议，s n m p 协议规定了m a n a g e r 如何与代 理通信。定义了他们之间交换报文的格式和含义以及每一种报文怎样处理。s n m p 是网 络管理站和代理之间的异步请求和响应协议。s n m p 中规定了五种网络管理操作，n m s 西安建筑科技大学硕士论文 15 能够发送3 个类型的协议数据单元的报文： 1 ) g e t r e q u e s t p d u 管理节点可以通过这种操作向被管理者节点请求获得特定的管理信息对象。 2 ) g e t n e x t r e q u e s t p d u 这类操作与g e t - r e q u e s t 类似，不同的是它获取的是和特定管理信息对象相邻的 下一个对象。 3 ) s e t r e q u e s t p d u 管理站节点可以使用这类操作更新被管理节点m i b 中的一个或几个对象的值。 代理发送两个类型的报文： 4 ) g e t r e s p o n s e p d u 这类操作是由被管理节点的s n m p 代理发给管理节点的，它一般作为对管理站节 点g e t - r e q u e s t 和g e t - n e x t - r e q u e s t 操作的响应。 5 ) t r a p p d u 这类操作是由被管理节点的s n m p 代理发送给管理节点的，它主要用于向管理节 点报告异常现象。g e t - r e q u e s t , g e t - n e x t - r e q u e s t 和s e t - r e q u e s t 这三种操作 都具有原子特性。即如果一个s n m p 报文包含了对多个变量的操作，代理要不就执行所 有操作，要不就都不执行。 利用s n m p 协议，对网络设备的监视主要通过查询代理m i b 中的相应对象的值来 完成。代理也会发出一些陷阱来引导n m s 的查询和及时查询。s n m p 通过交换s n m p 协议报文来互通管理信息。 3 1 30 p s e c o p s e c 1 2 】是经c h e c kp o i n t 公司提议并成立的一个组织。0 p s e c 提供的集成和互操 作开放平台，扩展了c h e c kp o i n ts v n ( s e c u r ev i r t u a ln e t w o r k ) 的体系结构。该平 台通过一个开放的、可扩展的框架集成和管理网络安全的各个方面，第三方厂家的应用 程序可以通过公开的a p i 、工业标准协议、i n s p e c t 和高层脚本语言而插入0 p s e c 框架， 这样，就可以通过一个中心控制点，利用统一的安全策略来配置和管理这些应用程序， 从而实现统一的网络安全管理。 1 、o p s e c 模型 0 p s e c 模型参考图3 4 ： 0 p s e c 框架涉及网络以及网络安全设备，这些设备通过内置0 p s e ca p i 来实现统一 的安全管理。 西安建筑科技大学硕士论文 l6 防火墙| 【- r l 内容过滤 p l ( i入侵检测认证报告其他 o p s e ca p i 和接口 c h e c k p o i n t 产品套件 服务器交换机路由器访闻设备服务供应商 其他 2 、o p s e c 整体结构参考图3 5 图3 4o p s e c 模型 v p n l ，n r e 、v a l l 一1 0 p s e c 进程0 p s e c 进程 l d p s e 洱境d 随c 环境 臣田困臣习圈 illl illl o p s e c 传递 1 忑 厂可卜函订 il ll 由卤由由 o p s e 嗝境0 p s e 湃境 o p s i ! c 进程0 p s e c 进程 安全性应用程序 图3 5o p s e c 整体结构 说明如下： 1 ) o p s e c 环境：o p s e c 应用程序进行通信的框架，每个o p s e cp r o c e s s 仅创建一个 o p s e c 环境： 2 ) o p s e c 实体：一个实体通过为接收到的每种类型的事件指定处理函数来定义一 个行为，一个o p s e c 环境可以同时包含任意数量的o p s e c 实体。具体来讲，实体 西安建筑科技大学硕二l 论文 17 可以是c v pc 1 i e n t 、c v ps e r v e r 、s a mc 1 i e n t 、s a ms e r v e r 等： 3 ) o p s e c 对话：是两个o p s e c 实体问的对话，对于每个0 i ，s e c 服务来说，建立o p s e c 对话的函数是不同的。一个o p s e c 实体能够同时控制任意数量的o p s e c 对话。图 中粗线表示两个o p s e c 实体问的对话； 4 ) o p s e c 传递层：连接o p s e cc 1 l e n t 和o p s e cs e r v e r ，其连接机制如下：t c p ( 如 不同机器的两个实体间) 、内存( 如同一机器的两个实体间) 以及其他机制。 3 、o p s e ca p 简介 o p s e c 提供了一个强有力的给予消息的分层环境，o p s e ca p i 定义了一个异步的接 口，用于开发服务器端和客户端。 o p s e ca p i 包括在c l i e n t 和s e r v e r 间打开和监控连接的函数，这些函数对所有的 o p s e c 应用程序都适用。除了这些公用的a p i 函数外，专用的应用程序需要使用专 用的a p i 函数。 4 、o p s e ca p i 的使用 o p s e c 应用程序的核心是一个无限的循环，它等待事件出现并处理它们，事件由 o p s e ca p i 函数来处理，也可以调用用户定义的函数进行进一步的处理。o p s e c 应 用程序的结构如图3 6 所示： 图3 6o p s e c 应用程序结构 1 ) o p s e c 数据结构和函数 关于o p s e c 环境、实体、对话的信息存储在相应的数据结构中，可以使用o p s e c a p i 函数从这些数据结构中管理和获取，这些数据结构和函数对所有的o p s e c 应 用程序都适用。 ( 1 ) 环境结构和函数：结构o p s e c e n v 包括一些配置信息。函数初始化o p s e c e n v 结 西安建筑科技大学硕二l 二论文 i8 构、删除