（计算机应用技术专业论文）社区网络节点可信接入系统设计与实现.pdf

摘要 随着互联网技术的高速发展和多样化网络服务的不断出现，网络环境的安全性要求 越来越高，社区网络便是一类安全性要求较高的网络环境。在社区网络环境下，社区网 络中的接入节点的安全性、即可信接入，成为社区网络安全的重要指标。 本文研究了现有可信接入方案，利用网络监控采集的用于网络用户行为分析的数 据、基于o v a l c v e 的漏洞扫描技术、利用c v s s 评分原理，设计并实现了支持多平 台的、量化评估接入节点安全的社区网络节点可信接入系统。本文的主要工作如下： ( 1 ) 对网络用户行为分析进行了探讨，研究了网络用户行为分析数据测量的相关 技术原理，利用社区网络监控服务模块( 即网络用户行为分析模块) 获取和分析节点主 机网络用户行为监控采样点数据，对影响节点主机安全度、可信度的节点网络用户行为 进行量化评分，为社区网络节点的可信接入提供接入控制策略； ( 2 ) 对漏洞扫描技术进行了探讨，研究了漏洞扫描及评估相关技术原理。对c v e 、 o v a l 和c v s s 进行了深入分析，着重分析了c v s s 的漏洞评分机制，为节点的可信接 入系统设计提供理论支持和依据； ( 3 ) 利用网络用户行为分析的采样点数据量化分析、o v a l 技术的漏洞扫描标准， 并结合c v s s 的评分机制，提出了社区网络节点可信接入系统的设计方案，并对系统的 体系结构、工作流程、功能模块进行了详细描述和说明； ( 4 ) 实现了社区网络节点可信接入系统设计的主要功能，详细描述了用户行为分 析数据的采集、漏洞扫描服务、可信接入控制等关键技术环节，并通过一个社区网络节 点准入控制系统的应用实例，给出了系统的实现方法和工作过程。 社区网络用户节点可信接入系统的实现证明了设计方案具备较强的适用性和部署 于不同体系结构的社区网络环境的灵活性。在针对不同类型操作系统、同时在线的多个 节点主机进行的可信接入评估的系统运行测试中，系统同样表现出了高效性和稳定性。 通过基于浏览器的可交互式页面，系统有效保证了对于社区网络环境中接入节点的可控 性、可管理性，为社区网络环境的安全提供了可靠保证。 关键词：网络用户行为分析，漏洞扫描，c v e 、o v a l 、c v s s ，可信接入 t h ed e s i g na n dr e a l i z a t i o no ft h et r u s t e da c c e s ss y s t e mo f n o d ei nc o m m u n i t yn e t w o r k a b s t r a c t a st h en e t w o r k t e c h n o l o g yd e v e l o p sr a p i d l ya n dd i v e r s i f i e dn e t w o r ks e r v i c ea p p e a r s c o n t i n u o u s l y , t h es e c u r i t yo fn e t w o r ki sm o r ei m p o r t a n tt h a ne v e r ；c o m m u n i t y - n e t w o r ki s j u s tam o s tt y p i c a ln e t w o r kw i t hh i g hd e m a n do fs e c u r i t y i nc o m m u n i t y - n e t w o r k ，t h e s e c u r i t yo ft h en o d eb e c o m e sa v i t a li n d i c a t o ro ft h es e c u r i t yo fc o m m u n i t y - n e t w o r k at r u s t e da c c e s ss y s t e mo fn o d ei nc o m m u n i t y - n e t w o r kt h a ts u p p o r tm u l t i p l a t f o r ma n d t h eq u a n t i t a t i v es t a n d a r df o r t h en o d e s s e c u r i t yi sd e s i g n e da n dr e a l i z e db a s e do nt h er e s e a r c h o ft h et r u s t e dc o n n e c t i o nm e t h o d ，b yu s i n gt h eb e h a v i o r s a n a l y s i sd a t ac o l l e c t e db yn e t m o n i t o r i n ga n dt e c h n o l o g yo fv u l n e r a b i l i t y - s c a n n i n gb a s e do no v a l c v ea n dt h em a r k i n g p r i n c i p l eo fc v s s t h e m a i nw o r ki nt h i st h e s i si sl i s t e da sf o l l o w s ： ( 1 ) t h eb e h a v i o r so fn e t w o r k u s e r sa r es t u d i e d t h et h e o r ya n dt e c h n o l o g ya b o u tt h e m e a s u r e dd a t af r o mt h ea n a l y s i so ft h en e t w o r k - u s e r s b e h a v i o r sa r ea n a l y z e dt op r o v i d et h e t h e o r e t i c a l s u p p o r tb a s i s f o rt h e d e s i g n o ft h et r u s t e da c c e s s s y s t e m o f n o d ei n c o m m u n i t y - n e t w o r k t h em o n i t o r i n gs e r v i c eo ft h et r u s t e da c c e s ss y s t e mb a s e do nt h e c o m m u n i t y - n e t w o r kp r o v i d e st h e r e s u l t so ft h ec o l l e c t i o na n da n a l y s i sa b o u td a t a q u a n t i t a t i v es c o r i n gs c a l eo ft h er e l i a b i l i t ya b o u tt h ei n f l u e n c eo fs e c u r i t ya n da c c e s s i n g w h i c hc o m e sf r o mt h eb e h a v i o r so ft h en e t w o r k u s e r sw a ss h o w e di nt h i st y p eo fn e t w o r k i t a l s op r o v i d e st h e o r e t i c a la n dt e c h n i c a ls u p p o r tf o r t h ed e s i g n i n g ，a n a l y s i sa n di m p l e m e n t a t i o n o ft h et r u s t e da c c e s ss y s t e m ( 2 ) t h et e c h n o l o g yo f v u l n e r a b i l i t y - s c a n n i n gi ss t u d i e d ，a n ds oi st h er e l a t e dt e c h n o l o g y a n dt h e o r yo fv u l n e r a b i l i t yc a n n i n ga n da s s e s s m e n t c v e 、o v a la n dc v s s 、o v a la r e d e e p l yr e s e a r c h e di no r d e r t o s u p p o r tt h ed e s i g n o ft r u s t e da c c e s ss y s t e mo fn o d ei n c o m m u n i t y - n e t w o r kw i t ht h e o r e t i c a le v i d e n c e ( 3 ) b a s e do nt h ed a t ac o l l e c t e df r o mt h ea n a l y s e so ft h en e t w o r k u s e r s ，t h et e c h n o l o g y o ft h ev u l n e r a b i l i t y - s c a n n i n gb a s e do no v a la n dt h es c o r i n gr u l e so fc v s s ，a ni n t e g r a t e d s c h e m eo ft h et r u s t e da c c e s ss y s t e mo fn o d ei nc o m m u n i t y - n e t w o r ki sr e a l i z e d t h e a r c h i t e c t u r e ，t h ew o r k i n g - p r o c e s sa n dt h em o d u l e sa r ed e s c r i b e di nd e t a i l s ( 4 ) t h em a i nf u n c t i o n so ft h es y s t e ma r er e a l i z e d t h ei m p o r t a n tt e c h n o l o g i e ss u c ha s t h et r u s t e d a c c e s s a l g o r i t h m ，t h e m e t h o do fa c q u i s i t i o nd a t aa n dt h ek e yo ft h e v u l n e r a b i l i t y - s c a n n i n ga r ed e s c r i b e di nd e t a i l s t h ew o r k i n g - p r o c e s sa n dt h ei m p l e m e n t a t i o n 1 1 1 m e t h o do fa ne x a m p l ea b o u tt h et r u s t e da c c e s ss y s t e mo fn o d ei nc o m m u n i t y - n e t w o r ka r e e s t a b l i s h e d t h ei m p l e m e n t a t i o nb yt h et r u s t e da c c e s ss y s t e mo fn o d ei nc o m m u n i t y - n e t w o r ks h o w s t h a tt h ed e s i g n i n go ft h es y s t e mh a sas t r o n ga p p l i c a b i l i t ya n df l e x i b i l i t yo ft h ed i f f e r e n t d i s p o s i t i o ns c h e m e si nd i f f e r e n ta r c h i t e c t u r e so ft h ec o m m u n i t y - n e t w o r k i td i s p l a y sh i g h e f f e c t i v e n e s sa n ds t a b i l i t yd u r i n gt h et e s t i n go ft h et r u s t e da c c e s se v a l u a t i o ni nt h ed i f f e r e n t s y s t e m sa n dm u l t i p l eo n l i n e h o s t s t h es y s t e ma l s op r o v i d e sr e l i a b i l i t ya n dm a n a g e a b i l i t yf o r t h en o d e a c c e s s i n gi nt h ec o m m u n i t y - n e t w o r kw h i c hb a s e do nt h ei n t e r n e te x p l o r e r t h e s e c u r i t yo ft h ec o m m u n i t y - n e t w o r k se n v i r o n m e n ti sg u a r a n t e e db yt h et r u s t e ds y s t e mo f n o d ei nc o m m u n i t y - n e t w o r k k e y w o r d s ：a n a l y s i so f t h en e t w o r k - u s e r s b e h a v i o r s ，v u l n e r a b i l i t y - s c a n n i n g ， c v e o v a l c v s s ，t r u s t e da c c e s s 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名： ：拯区 指导教师签名： 坝年厶月舛日埘年月列日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外， 本论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西 北大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 ：艺 恧。 学位论文作者签名：勃硪 川。年莎月w 日 西北大学硕士学位论文 第一章绪论 随着网络技术的日新月异，各企事业单位的互联网环境早已发展成跨越物理距离的 分布式的社区网络环境，各种移动办公节点、分支机构节点等社区网络元素，在开展业 务或者共享文档、甚至是访问数千公里外的总部核心数据区等等的网络应用中，诸如节 点安全、网络安全、信息安全等多种安全问题日益凸显，安全性的要求不仅仅局限于传 统观念中的针对节点单一计算机本身或者网络传输过程中的安全，如何保证社区网络环 境下各节点网络元素的接入安全、接入后的使用安全，社区网络环境下信息传输的安全、 社区网络的可控性、安全性等系统安全问题也已成为当今社会的热点问题。 1 1研究背景 随着互联网技术的迅猛发展和信息技术的不断更新，人们对计算机网络的使用已经 渗透到了社会生活的各个领域，在当前政府机关、企事业单位等机构大力倡导的信息化 过程中，这种相对独立的、对安全要求较高的社区式的网络环境成为各方以计算机网络 为平台构建各自网络安全域的信息安全系统的首选网络环境。 社区网络环境，作为当下互联网应用过程中的一种非常常见的网络应用模式，其突 出特点在于社区网络环境作为在互联网世界相对独立的安全域网络环境，其信息传输过 程既有满足与安全域外界互通的信息流交互，又有其核心服务嚣或共享服务器与社区网 络节点的信息通信的数据流传输，同样还有用于各种安全级别要求更高的业务的特殊网 络传输中的数据流的传输，这种应用上的需求，当前的网络应用产品，在功能的设置上， 信息表示格式上，针对不同网络环境的部署使用上，针对网络元素的兼容性，多平台的 支持性上依然存在诸多不容忽视的问题。 当前在信息安全系统的设计过程中，思路重点在于从互联网的基本特征即共享信息 服务及电子商务交易或网络应用行为等角度的安全需求为设计出发点的，安全性设计的 着重点在于在交易过程中或者是数据流的传输过程中的数据的本身的安全，诸多系统采 用例如在数据连接过程中通过建立v p n 隧道的方式，在社区网络中节点和服务器通讯过 程中采用r a d i u s 认证等方式，对于更高的网络应用复杂的数据加密等方式处理信息传输 中的数据，同时，这些系统的组成多采用由防火墙、入侵检测、身份认证和病毒防范等 方法，但这些方法普遍存在的一个问题是其所采用的安全手段都是从以核心服务器或核 心节点为中心，对其外围的非法用户和越权访问的网络行为进行防范和封堵，起到防止 外部攻击的目的，而对于进入社区网络的网络节点元素没有一个明确的管理和控制策 第章结论 略：对于社区网络边界及安全域井也没有一个明确的可控策略：对于进入社区网络的节 点主机，其主机自身的各种安全因素，包括网络用户行为对节点主机的安全的影响、- 机操作系统车身的各种层出不穷的漏洞等，给社区网络环境的安全带柬了严峻的考验。 根据计算机应急响应组织c e r t 的统计，截止到2 0 0 8 年9 b ，已发现的漏洞总数达4 4 0 7 4 个。i b m i s s 2 0 0 9 年漏洞报告指出，自2 0 0 8 年漏洞数目突破7 0 0 0 后，2 0 0 9 年新增漏 洞数目1 _ 6 6 0 1 个”i ，且漏洞数目以每年新增6 0 0 0 7 0 0 0 个左右的速度增长，自2 0 0 0 年以 束发布的漏洞数目如图1 所示。 v u l n e r a b i l 哪d i s c l o s u r e s 2 0 0 0 2 0 0 9 2 a2 0 0 5 图12 0 0 0 - 2 0 0 9 年已发布漏洞统计图 如上所述，主机漏洞数目的不断增加，使得社区网络环境中节点本身的主机安全性 大打折扣，如此之多的漏洞数目，加上节点用户的风险行为，社区网络中的接入节点主 机很容易成为病毒、蠕虫、间谍软件和其他形式的恶意软件的利用工具，一旦爆发安拿 问题，社区网络的整个运行将会面临严峻考验，很可能网络中的不确定安全因素的强破 坏力，对企事业单位造成严重的经济和财产损失，更甚者危害社会经济生活，因此，针 对社区网络环境来说，从根源入手，从接入节点入手，对网络环境做到可控性、可管理 性，才能保证其安全性，才能构建起一个高教的安全体系。 2 国内外研究现状 多数情况下社区网络多采用在要接入节点和社区嘲络内部核心服务器之间通过v p n 设备在i n t e r n e t 连接中建立v p n 隧道，保证社区网络环境访问的安全性。但服务器端怎 舯 一薹| 啪 栅帅。 西北大学硕士学位论文 么样对接入节点主机进行安全加固或者说如何保证接入节点主机的可信接入，进而构建 一个完整的网络接入控制方案，即社区网络可信接入方案，成为目前研究可信接入的主 要研究方向。 目前出现的几种安全接入控制技术，主要思路是从终端着手，通过管理员指定的安 全策略，对接入私有网络的主机进行安全性检测，自动拒绝不安全的主机接入保护网络， 直到这些主机符合网络内的安全策略为止。目前具有代表性的接入控制技术包括：c i s c o 的网络接入控$ i n a c 3 1 ( n e t w o r ka c c e s sc o n t r 0 1 ) 技术，微软的网络访问保护技术n a p 4 】( n e t w o r ka c c e s sp r o t e c t i o n ) 以及t c g 组织的可信网络连接t n c 5 1 ( t r u s t e dn e t w o r kc o n n e c t ) 技术等。 1 2 1cis c o 的n a c 技术 网络接入控制n a c ( n e t w o r ka c c e s sc o n t r 0 1 ) ，是c i s c o 公司的用于保证终端节点网 络元素的可信接入的产品。n a c 技术的安全策略要求终端节点网络元素在接入网络前就 需遵循本地组织定义的安全规则，对不符合安全策略的接入节点元素执行禁止接入或限 制允许访问的资源，同时设置用户可补救的隔离区机制，确保访客和访客流量与内部网 络流量隔开，并检查接入的计算机是否带有可能影响网络可用性和安全性的威胁。n a c 采用由接入设备完成的分布式控制、由用于生成安全策略的策略服务器和用户生成反病 毒策略的反病毒策略服务器组成的集中安全策略管理的架构模式，由接入设备完成分布 式控制管理。n a c 在客户端和策略服务器中安装客户端反病毒软件、信任代理、安全代 理软件等网络安全软件，完成n a c 针对计算机日常操作行为的监控、异常活动和非法操 作的报警等相关网络安全应用功能。 n a c 系统由可信代理、网络访问设备、安全访问控制服务器构成。n a c 将可信代理 安装于每个节点主机，负责与安全访问控制服务器( a c s ) 进行通信，同时可信代理负 责收集主机多个安全组件的安全状态信息，发送给网络访问设备( 路由器、交换机、无 线接入点和安全设备) ，在收到主机提供的由策略服务器a c s 下发的安全凭证后，策略 服务器做出接入决定，进而转发给安全访问控制服务器a c s 。n a c 系统结构如图2 所示。 3 第章绪论 可信代理网络访问设备安全访问控制m 务镕 扩翥_ 飞) 图2c i s c o 网络接入控制结构图 a c s 依据安全策略搜集的主机安全状态信息，做出允许接入、拒绝接入、隔离或限制接 入等访问控制策略。在n a c 中，节点设备接入过程如图3 所示。【6 1 燃； p o l i c y s e w ；e 。r o 剿互i 音謦污螽。2 i 露i 焉鼎 ：、紫。j 图3c i s c o 节点设备接八过程图示 接入步骤为： ( 1 ) 节点主机使用e a p ( u d p 或8 0 21 x ) 方式向接入设各发送状态信息 ( 2 ) 接入设备使用r a d i u s 向策略服务器a c s 转发状态信息； ( 3 ) a c s g 务器将认证信息发送给p o l i c yv e n d o rs e r v e r ； ( 4 ) v e n d o rs e r v e r s 给出适应或不适应的响应信息； ( 5 ) 策略服务器向接入设备发送接入权限井分配v l a n ； ( 6 ) 接入设备接收接入权限，执行策略： ( 7 ) 通知客户端。 西北大学硕士学位论文 1 2 2 微软的网络访问保护技术n a p 网络访问保护( n a p ) 技术，是微软应用于w i n d o w sv i s t a 和w i n d o w ss e r v e r2 0 0 8 中的一项新技术，一套新的操作系统组件，为接入节点的安全提供一个健康校验体系， 对不符合健康策略需求的接入节点限制其网络访问权限。 利用n a p 技术，使得各种网络的终端节点计算机在连接到网络时可以提前被检查其 运行状况，n a p 检测正在尝试接入网络或尝试在网络上通信的网络节点的状态，并隔离 该网络节点直到其安全状况满足网络安全策略的要求得以满足，因此，n a p 技术为有接 入需求的网络节点元素的可信接入提供了保证。n a p 技术方案为接入节点的安全性判断 设计了一套完整的校验方法，对不符合网络安全策略的节点主机限制其对于网络的访问 权限。n a p 技术方案为待接入的网络元素在进入网络时提供终端节点主机安全策略，通 过一定的接入策略检查节点主机的安全状况，使得服务网络在n a p 接入控制策略的支持 下，最大程度的减少因为接入节点的不安全因素引起的网络安全危害，起到了网络访问 的保护作用。针对网络的访问安全，n a p 技术提供策略验证、网络限制、补救和持续的 符合性的功能，其中的自动补救，为待接入的网络节点主机提供快速的安全资源更新， 弥补其安全状态，满足接入节点安全策略，进而维护整个网络的完整性和在安全策略指 导下的节点接入的可控性。 n a p 技术方案的重要组成部分包括：健康策略验证( h e a l t hp o l i c yv a l i d a t i o n ，h p v ) 、 健康策略一致( h e a l t hp o l i c yc o m p l i a n c e ，h p c ) 和限制访问( 1 i m i t e da c c e s s ，l a ) 。 当有带接入节点时，计算机的安全状态即健康状态将根据管理员定义的健康策略即 安全评估策略来判定，对于定义的不同健康策略，网络管理将采用不同的接入控制策略， 在监视环境下，侧重点在于对节点主机网络行为的记录和监控，所有满足监视环境下网 络接入策略的节点主机，经被允许访问网络：但在安全级别更高的网络环境中，与管理 员预先定义的安全健康策略不一致的节点主机，其访问网络资源的行为将被限制，而不 同于符合访问安全策略的主机对网络的不受限访问的网络行为。 在h p c 中，n a p 技术方案提供对接入节点主机的安全接入策略的自动及时的更新， 保证各网络元素的健康策略的一致性。针对不同的网络访问权限级别，即节点主机的健 康策略是否一致，将影响到节点主机对网络资源的具有差异性的访问权限。 在限制访问中，网络管理员对于接入节点的接入限制策略是通过判断节点健康策略 是否一致来实现的，自身健康状况与接入控制策略定义接入健康状况不一致的节点主 机，其访问范围由管理员根据接入策略划定，可采用显示访问的时间或某些资源来控制 5 第一章绪论 网络的访问限制。不准入的节点主机在自身健康状况达到接入策略所要求的健康标准 后，方可准入网络，访问网络资源。 n a p 同样具有可扩展性，它提供对接入节点主机的检测和健康修复的a p i 接口和组 件，能便捷的集成于策略服务器中，同样，n a p 的验证网络访问策略和强制执行功能同 样可与其他软件或程序集成，自行创见解决方案以验证接入网络的节点主机的可信度， 提供健康性资源更新暨安全性资源更新，通过判定待接入节点主机的健康状况，提供不 同权限级别的网络接入或针对网络资源的访问范围，起到保护网络的作用。 n a p 的平台的组件，包括n a p 客户端，n a p 服务器，带有身份验证和支持系统策略 配置、n a p 客户端运行状况验证协调的队s 服务器，策略服务器，运行状况评估服务器 等。 1 2 3 可信网络连接技术t n c 可信网络连接技术t n c ( t r u s t e dn e t w o r kc o n n e c t i o n ) 是由可信计算组织t c g ( t r u s t e dc o m p u t i n gg r o u p ) 【7 】于2 0 0 5 年3 月发布的可信网络连接规范。t n c 技术是建立在 基于接入节点主机的可信计算技术之上的，目的是使用可信主机提供的终端信息，对接 入节点主机进行完整性检验，形成节点安全状态的评估，利用t n c 的选线控制策略估算 接入网络的节点适应度，并结合已存在的网络访问控制策略女h 8 0 2 1 x 、i k e 、r a d i u s 协议 等，从而实现网络访问控制，即实现接入节点的可信接入。 t n c 组成结构包括a c c e s sr e q u e s t o r ( a r ) ，p o l i c ye n f o r c e m e n tp o i n t ( p e p ) ，p o l i c yd e c i s i o np o i n t ( p d p ) ，m e t a d a t aa c c e s sp o i n t ( m a p ) ，以及m a p 客户端。a r 发送 接入网络请求，p d p 将a r 发送来的认证信息( 例如用户身份信息，密码等) 和接入节点 自身安全状况信息与受访问保护的网络资源的准入控制策略相比对，进而决定是否接受 节点连接请求。如果当前p e p 可用，那么p d p 将其针对接入节点主机做出的是否准入的 信息发送给p e p 。同时，m a p 客户端并不直接参与到准入控制的判断中来，而是通过p d p 和p e p 的监视和强制执行的网络安全策略的协同工作，由m a p 给出允许访问的网络共 享资源。t n c 结构图如图4 所示瞄】。 6 西北大学硕士学位论文 完整性 检查层 完整性 评估层 网络 接入层 峭p c 请求者v 州 边缘交换机m 服务器元数据 i 陷内部防火墙 客户端 客户防火墙 v p n 网关 图4t n c 结构不葸图 图4 通过对t n c 工作范围内的各种接口的定义和设计，使得有关完整性验证和网络安 全等方面的诸多功能得以实现。t n c 的结构同时也可与其他网络准入控制方案的相关组 件兼容。同时，对于一个单独的网络元素来说，在t n c 结构中，可能起到多种作用。例 如，一个通过配置8 0 2 1 x g l 协议请求接入的交换机或者无线设备的接入点，需经由p e p 和p d p 的协作，得以被授予依据节点安全状况的准入控制策略。又例如，一个策略服务 器向p e p 提供既准入控制策略，又提供节点m a p 信息，那么策略服务器就既是一个p d p 设备，又是一个m a p 设备了。 1 2 4 研究现状分析小结 从以上分析可以看出，在网络接入控制的设计方案中，各种方案的目标都是保证接 入节点主机的安全接入，通过制定可信接入安全策略，对接入节点的主机安全状况进行 校验评估，除验证用户名、密码、用户数字签名及用户证书等认证信息外，还通过接入 控制方案验证终端节点主机的状态是否符合已制定的接入控制策略的规则要求，并在各 自的设计方案中制定了诸如隔离策略，补救策略等相关规则，通过接入设备强制将接入 节点安全性在接入控制策略要求范围外的主机隔离在一个制定的访问区域内，待接入节 点主机通过安全接入控制策略验证后方被允许接入被保护的网络。此外，各种方案的体 系结构也存在相似之处，都由客户端、策略服务器、接入控制部件等组成。n a c 有网络 访问终端、网络访问设备、策略决策点等组成；n a p 由n a p 客户端、服务器端、接入组 件组成；t n c 由a r 、p e p 、p d p 、m a p 、m a p c 等组成。 但以上几种接入控制方案同样存在着诸多问题。n a c n a p 结构不能实现确保网络不 遭受接入客户计算机的恶意程序的危害的要求。n a c n a p 均依靠节点客户端代理提供 7 第一章绪论 信息，若节点客户端不可信，那n a c n a p 可信度将无从得知。t n c 技术方案，是建立 在以t p m 为起点开始的信任线，采用了远程证明机制来确保收集信息的可靠性和完整 性，避免了攻击者对信息的伪造和篡改。此外，n a c n a p 在设计过程中都采用了独立 的设备和协议，设计规范和技术细节并未采用国际通用标准和规范，在具体网络应用中， 不利于应用在多种网络环境，适用范围有限。 以上分析过程表明，在网络的接入控制方案的设计中，仍然存在着诸多问题，针对 接入节点的可信度判断策略的研究，依然是一个非常重要的课题。本文在网络环境的部 署上，使用接入节点的v p n 拨号和r a d i u s 服务器认证的方式，通过对接入节点的用户行 为的监控和分析以及利用o v a l ( o p e nv u l n e r a b i l i t ya n da s s e s s m e n tl a n g u a g e ) 技术对 节点主机进行漏洞扫描和安全评估，为节点的可信接入方案提供策略，并将接入控制评 估结果与用户认证( v p n ( v i r t u a lp r i v a t en e t w o r k ) 拨号和r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ) 认证) 联动，给出了一个社区网络节点接入控制系统的设 计与实现，并且应用于真实的网络环境中，表现出了稳定高效的优势。 1 3 本文结构 第一章分析了网络可信接入技术研究的发展与现状，对当下的著名的接入控制产品 进行了研究分析。根据当前网络准入控制方案的不足，提出了通过对接入节点用户行为 的安全性分析和利用o v a l 技术对节点主机进行漏洞扫描和安全评估来制定社区网络节 点的可信接入方案。 第二章对社区网络中的接入节点的用户行为分析技术进行研究。从用户对主机使用 的习惯，行为特点等着手，利用监控模块对用户主机所表现出的用户行为点进行采样， 对由用户行为原因带来的接入节点可信度降低等方面的内容进行研究。 第三章对漏洞和漏洞扫描技术进行分析研究。从漏洞的基本概念，分类，常见攻击 手段，漏洞危害和产生原因方面进行分析，对漏洞扫描技术和主机安全评估技术进行研 究。 第四章提出社区网络节点可信接入系统的系统设计方案。详细论述社区网络节点可 信接入系统的详细设计。论述系统各功能模块、算法描述等的设计。 第五章社区网络节点可信接入系统的实现。给出社区网络节点可信接入系统的具体 应用实现和使用状况描述，给出系统测试结果和分析。 8 西北大学硕士学位论文 第二章网络用户行为分析研究 社区网络接入节点用户行为分析，其实质进行的仍然是网络环境下网络元素的行为 分析，即网络用户的行为分析。目的在于通过一定的网络监控管理实施方案，通过对节 点主机的用户行为信息进行采样、收集和比对，给出社区网络用户行为分析，为社区网 络节点的可信接入策略的制定，提供依据和支持。 2 1 网络用户行为分析的基本概念 网络用户行为分析，是指用户在使用网络资源的过程中所表现出来的可分析的规律。 其实就是针对具体网络环境下的网络用户使用网络的行为，用户的使用行为的分析，这 些用户行为，也必然对网络的负载、流量、网络的安全要素等许多网络属性产生一定影 响。 网络行为分析的另一种定义为：行为主体为某种特定目标采用基于计算机系统的网 络作为手段和方法进行有意识的活动。 对于网络用户行为的分析，意义在于通过用户使用网络过程中的节点主机的各种监 控数据分析，即对节点主机的用户行为的数据的收集、采样和分析，为整个网络的监控、 管理、安全性保障提供重要依据。 2 2 网络用户行为的测量 2 2 1网络用户行为的测量的概念及研究方向 网络用户行为的测量，即是对用户的网络行为的某些采样点的特征量的统计或归纳， 对这些统计的采样点的特征量的特点或统计特征间的关联关系，按照一定的数据分析方 法，定性或定量的表示网络用户行为。通过对网络用户行为的测量，了解网络运行所提 供的网络服务的质量和用户对网络的使用情况，分析这些测量数据的内在联系和规律， 为网络环境的稳定、安全、高效提供有利保证。 针对网络用户行为的测量，目前国内外的研究侧重点在针对网络流量的测量上。测 量是分析和模拟的基础，得到了反应当前网络流量的数据集合后，才能分析其中的联系 和规律，这些反应网络流量的数据集合，也同样是网络用户行为分析的研究重点。对于 网络流量的测量，可从流量描述、网络监控、流量控制三个方面进行【1 0 】。 ( 1 ) 流量描述 9 第二章网络用户行为分析研究 流量描述需首先考虑如何获得流量数据，包括不同时间分布内的流量数据值，例如 每天、每周、每年等时间间隔内的流量的统计数据；同时，流量的测量对象，应按照网 络元素的不同类别进行分类描述，例如描述网络节点主机和网络内路由器的流量描述方 式的侧重点应有所不同。 国内外的许多文献研究给出了很多网络流量测量方法，如利用基于a g e n t l 拘分布式网 络测量与分析系统【1 1 1 来研究分析网络用户行为：设计开发网络行为仿真器【1 2 】，通过仿真 实验模拟出实际网络中的各种网络表现和行为，根据仿真实验结果进行分析研究，为网 络行为研究提供依据；还有通过运用数字信号处理中的奇异谱分析的测量方法分析网络 流量、网络行为的特征【1 3 】。 ( 2 ) 网络监控 网络监控是网络测量的又一重要组成部分，对安全级别要求较高的网络来说，网络 监控本身就是网络的可控性管理的重要组成部分。网络监控可以根据实际网络拓扑结构 的设计需要，按需部署监控区域，监控指定范围内的网络元素的运行状况，根据网络属 性的设定允许范围数值，找出被监控网络的错误或可能导致网络出错的网络设备或操 作，保证被监控网络的正常持续的运行。此外，在互联网日益发展的今天，网络应用和 网络行为也逐渐渗透到人们社会生活的各个领域，因此，提供多样的网络服务，必然要 更重视网络的服务质量。网络监控的意义，为保证网络q o s 【1 4 】( q u a l i t yo fs e r v i c e ) ，起 到了切实可行的作用。网络监控，可持续监视网络服务的连续性和服务质量，能够保证 不同服务等级的网络服务在网络监控的作用下得以有效实施。第三，随着m p l s t l 5 】( m u l t i p r o t o c o ll a b e ls w i t c h ) 等协议在网络环境中的应用和不同i s p 提供的具有不同网络 服务功能的网络协议的部署使用，网络监控在监控检测流量策略的有效性上、监控不同 服务提供商间的流量等方面的起到了重要的作用。 ( 3 ) 流量控制 流量控制，顾名思义，是对网络监控得到的数据，按照一定的分析处理策略，对网 络流量进行一定程度上的管理和控制。流量控制可以对监控过程中的网络事件进行动态 调节，同时也可以根据实际的带宽需求的测量数据来合理分配网络资源的使用。 2 2 2 测量的分类 在针对网络用户行为分析的测量中，侧重点在于对网络流量的测量，针对网络流量 的测量，根据测量对象的不同，也有所划分，如：基于流的测量，基于网络接口、连接 1 0 西北大学硕士学位论文 和节点的测量，基于节点对的测量，基于路径的测量等测量途径。 ( 1 ) 基于流的测量 基于流的测量机制，是以流为测量元对网络流量进行测量。测量元流，是一组具有 开始和结束时间的、发送和接受点固定的数据包的集合，测量范围包括源口地址、目标 p 地址、端口号、协议类型、服务类型、流开始、终止时间戳、分组和字节技术等等。 此外，基于流的测量机制中的测量元流，是一个低粒度的测量载体，生存周期有限， 测量过程往往是采用采样的方法取代持续测量，这样，可减轻网络测量压力同时提高测 量效率。 ( 2 ) 基于网络接口、连接和节点的测量 利用简单网络管理协议( s n m p ，s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) ，采用被 动监听的方法，根据网络设备接口的s n m p m i b 库信息，可对网络元素进行被动式测量， 获取测量指定网络设备接口的包括发送接受分组的个数、字节数、丢失分组个数及错误 分组个数等数据信息。 此外，s n m p 协议同样也可应用于网络管理领域中来。s n m p 的网络管理模型包括管 理者、管理代理、管理信息库和网络管理协议等关键元素。其中管理者是网络管理员与 网络管理系统的接口。管理代理安装在被管理对象中，对来自管理者的信息请求和动作 请求进行应答，并向管理站报告一些重要的意外事件。管理信息库是管理对象的集合， 管理者通过读取管理信息库中的对象的值来进行网络管理。管理者和管理代理之间通过 s n m p 网络管理协议通信，这种基于s 旧的网络管理模式【16 1 ，也可理解为网络监控的 一种特殊实现形式。 ( 3 ) 基于节点对的测量 网络应用的实现，早期都是以节点对的形式出现的，身为数据包协议的d 协议的网 络测量，不同于节点对间的数据的测量，测量方法只能是被动获得大量的数据流的信息； 此外，在进行节点对间的流量测量跟踪时，也容易出现跟丢的情况。 ( 4 ) 基于路径的测量 基于路径的测量，选取的测量路径为一个i p ( i n t e m e tp r o t o c 0 1 ) 分组从源节点到目 标节点的一些链接的集合。这种测量方式通常针对m p l s 的相对固定的流量路由路径进 行测量。与流测量相比，基于路径的测量在粒度上更大，通常传送汇聚流量。因为是基 于路径的测量，节点间流量传输路径对测量的精确度和可行性提供了有力的保证。 第二章网络用户行为分析研究 2 2 3 测量的参数 网络测量的参数，可选取如流量大小、平均持续时间、可用带宽、吞吐率、延迟、 分组丢失率和资源利用率等方面进行测量。 对于社区网络环境来说，要做到网络环境的可控性、安全性、负载均衡性，同样需 要根据实际网络部署情况选取测量参数，根据监控数据，为基于社区网络研发的系统平 台提供数据支持，为整个网络的稳定运行提供管理上的依据。 2 3网络用户行为的测量与网络用户行为分析的关系