（计算机应用技术专业论文）新一代基于主机的防火墙研究与设计.pdf

武汉科技大学硕士学位论文第1 页 摘要 本论文所涉及的课题是基于w i n d o w s 操作系统的个人电脑开发一款新一代基于主机 的防火墙软件，为p c 提供网络安全保护。 首先，本文陈述了网络安全和基于主机的防火墙相关的技术基础，深入讨论和分析了 w i n d o w s 网络协议架构，研究了典型的若干种w i n d o w s 系统网络数据包拦截技术，分析 了各自的优缺点，并系统阐述了基于主机的入侵检测系统结构。 然后，叙述了基于主机的防火墙的系统总体设计方案。确定采取s p i 结合n d i s 的方 式来进行网络数据包拦截，将系统分为三个模块：s p i 拦截、n d i s 拦截、用户界面，并 定义了控管规则文件，日志文件和入侵规则特征库文件构，列出了其数据结构。 最后详细阐述核心模块的设计实现及测试结果。针对该防火墙的缺点，提出了一些有 前景的解决方案。 目前市场上流行的防火墙往往比较强调安全性，而网络包的处理速度和系统资源占用 上有着缺陷。在一般的情况下，系统响应时间某种程度上说也很重要。本系统具有一定的 可扩展性，速度也有些改进。 关键字：基于主机的防火墙；包过滤；n d i s ；s p i ；入侵检测 a b s t r a c t t h i st h e s i sm o s t l vc o n c e r nd e s i g na n di m p l e m e n ta k i n do fn e wm o d e mh o s t - b a s e df i r e w a l lf o r p cb a s e do nw i n d o w so p e r a t i o ns y s t e mw h i c hp r o v i d e sh o s tn e t w o r ks e c u r i t y f i r s t l v t h i st h s i si n t r o d u c e st e c h n o l o g yr e l a t i n gt ot h en e t w o r ks e c u r i t ya n d h o s t - b a s e df i r e w a l l ， d i s c u s sa n da n a l y s i st h en e t w o r kp r o t o c o la r c h i t e c t u r eo fw i n d o w sd e e p l y , r e s e a r c hm a n yk i n d s o fn e t w o r kp a c k e ti n t e r c e p t i n gt e c h n o l o g y , a n a l y s i st h e i rm e r i ta n ds h o r t c o m i n g ，a n dg i v e sa t h o r o u g h l yo v e r v i e wo ft h ea r c h i t e c t u r eo fh o s t - b a s e di n t r u s i o nd e t e c t i o n t h e nw ee x p a t i a t e st h es y s t e md e s i g np r o j e c to fp e r s o n a lf i r e w a l l d e c i d et h a tu s i n gs p ip l u s n d i si m p l e m e n tn e t w o r kp a c k e ti n t e r c e p t ；d i v i d et h i ss y s t e mt ot h r e em o d u l e s ：s p if i l t e r , n d i sf l i t e r - u s e ri n t e r f a c e ；a n dd e f i n et h es t r u c t u r eo ft h ec o n t r o lr u l ef i l e ，l o gf i l e ，a n di n t r u s i o n r u l ef i l e t h e i rm a i nd a t as t r u c t u r ei sd e c l a r e da l s o f i n a l l v w ed e t a i lh o wt od e s i g nt h ec o r em o d u l ea n dd i s c u s st h et e s t i n g r e s u l to ft h i ss o f t w a r e a i m i n g a tt h es h o r t a g e ，w eg i v et h er e a s o n sa n db r i n gf o r w a r ds o m ev a l i dr e s o l u t i o n t h ef i r e w a l l ss p r e a d i n go nt h em a r k e tc u r r e n t l yu s u a l l ye m p h a s i ss a f e t yr e l a t i v e l y , b u tt h e y h a v es o m el i m i t a t i o n si n t h es p e e do fn e t w o r kp a c k e t sp r o c e s s i n ga n ds y s t e mr e s o u r c e s o c c u p a t i o n t og r e a t l yp a r t so fp e r s o n a lc o m p u t e rc u s t o m s ，t h es y s t e mr e s p o n d i n g t l m ei sm o r e i m p o r t a n tt h a nt h es a f e t yt oac e r t a i nd e g r e e t h i ss y s t e mh a sg o o de x p a n s i b i l i t ya n dr e l a t i v e l y h i g hs p e e d k e y w o r d s ：h o s t b a s e df i r e w a l l ；p a c k e tf i l t e r ；n d i s ；s p i ；i n t r u s i o nd e t e c t i o n 武汉科技大学硕士学位论文第1 页 1 1 防火墙出现背景 第一章引言 i n t e r n e t 的大量应用一方面给整个社会带来巨大的推动与冲击，另一方面也给人们带 来了许多的挑战。i n t e r n e t 的信息安全是一个综合的系统工程，是目前急需解决的问题。 事实上，资源共享和信息安全历来是一对矛盾。随着i n t e m e t 的高速发展，计算机网络的 资源共享进一步加强，信息安全的问题日益突出。在人们对网络的优越性还没有完全接受 的时候，黑客攻击开始肆虐全球的各大网站【l j 。一般来说，计算机网络系统的安全威胁主 要来自黑客攻击和计算机病毒两个方面。 解决网络安全问题有多种手段，比如选择安全的系统，加强安全管理、使用防火墙【2 】 等。其中使用防火墙是安全问题的一个很好的解决方案。防火墙是内部网和外部网之间的 安全方法策略。防火墙能为网络安全做很多工作1 3 j ： 首先，防火墙作为网络安全决策的焦点，所有进出网络的数据包都必须经过防火墙这 个唯一的阻塞点。 其次，防火墙可以有效地记录网络活动。因为所有的传输信息都要经过防火墙，所以 防火墙可以记录关于系统和网络活动的多种信息。 最后，防火墙可以用来掩盖内部网络的拓扑结构。防火墙能将内部网分为多个小网段。 在互联网进入我国之后，网络安全问题得到越来越显著的重视，但实际上我国目前的 网络安全现状却是令人担忧的。包括政府，银行，证券及i s p i c p 等在内的许多企业方面 存在的一些问题，比较突出地反映在网络安全产品使用比较单一，入侵检测系统、身份认 证技术、加密技术等的普及程度还很低【4 j 。 目前市场上流行的防火墙，有的安全性不够，有的费用太高，加上我们防范意识比较 薄弱，从而使得黑客有了充分的发挥空间，造成大量的损失。 1 2 国内外基于主机的防火墙的发展 防火墙作为最早出现的网络安全产品和使用量最大的网络安全产品，日益受到用户和 研发机构的青睐。从应用的角度来看，防火墙基本上可以分为两种：企业级防火墙和基于 主机的防火墙。由于w i n d o w s 操作系统是使用最为广泛的p c 操作系统，因此在w i n d o w s 操作系统上开发的基于主机的防火墙数不胜数。国外比较著名的有a t g u a r d ，b l a c k l c ep c p r o t e c t i o n ，z o n e a l a r m ，t i n yp e r s o n a lf i r e w a l l ，n o r t o np e r s o n a lf i r e w a l l 以及s y g a t ep e r s o n a l f i r e w a l l 等，而国内用的比较多的有天网防火墙、瑞星个人防火墙、金山毒霸个人防火墙 等产品【5 1 。 所有这些基于w i n d o w s 操作系统的基于主机的防火墙，其区别在于w i n d o w s 下网络 数据包的拦截技术。按所采用的拦截技术，基于主机的防火墙分为：基于s p i ( s e r v i c e 第2 页武汉科技大学硕士学位论文 p r o v i d e ri n t e r f a c e ) 的个人防火墙、基于t d i ( t r a n s p o r td r i v e r si n t e r f a c e ) 的个人防火墙、基 于n d i s 钩子驱动的个人防火墙、基于n d i s 中间层驱动程序的个人防火墙i 酬。大部分基 于主机的防火墙采用两两结合技术，例如，著名的费尔个人防火墙就是采用基于s p i 和 n d i s 钩子驱动相结合的技术。 基于s p i 的基于主机的防火墙：使用这种技术的好处是可以获得调用w i n s o c k 的进程 详细信息，这就可以用来实现q o s ( q u a l i t yo fs e r v i c e ) 、数据流加密等目的。但是，这种 技术下进行的数据包拦截最致命的缺点就是只能在w i n s o c k 层次上进行，如果应用程序 直接通过t d i 调用t c p i p 来发送数据包，这种方法就无能为力了。 基于t d i 的个人防火墙：当应用程序要发送或接收网络数据包的时候，都是通过与协 议驱动所提供的接口来进行的。协议驱动提供了一套系统预定一系列标准接口来和应用程 序进行交互。只要开发一个过滤驱动来接获这些交互的接口，就可以实现数据包的拦截。 t d i 层的网络数据拦截还可以得到操作网络数据包的进程详细信息，但对i c m p 这样的底 层数据包，这种防火墙就无能为力了。 基于钩子驱动的基于主机的防火墙：这是目前大多数基于主机的防火墙所使用的方 法。实现h o o k 可以通过修改n d i s s y s 的e x p o r tt a b l e 或者向系统注册假协议。使用这 种技术，借口简单，编程方便l7 1 。 基于n d i s 中间层驱动程序的个人防火墙：中间层驱动程序介于协议层驱动和小端口 驱动之间，它能够截获所有的网络数据包，中间层驱动的概念是在w i n d o wn ts p 4 之后 才有的，因此对于w i n d o w s 9 x 来说无法直接利用中间层驱动的功能。目前基于主机的防 火墙的产品还很少用到这种技术，主要在于中间层驱动的开发、调试、安装过于复杂。但 不管怎样，这种防火墙应该是今后基于主机的防火墙技术的发展趋势所在。 1 3 研究基于主机的防火墙的意义 目前，大多数的网络个人用户采用微软的操作系统，微软的操作系统虽然易用，但不 够安全。因此我们除了要改变一些网络设置关掉的服务来减少漏洞以外，还应安装基于主 机的防火墙来保障自己的网络安全。基于主机的防火墙以软件形式安装在最终用户计算机 上，阻止由外到内和由内到外的威胁。基于主机的防火墙不仅可以监测和控制网络数据流， 而且可以监测和控制应用级数据流。 基于主机的防火墙通过监测应用程序向操作系统发出的通信请求，来进行应用控制。 它将每个应用程序与它发出的数据流建立关系。然后，根据最终用户定义的规则，允许或 拒绝数据流。这样可以防止未经许可的应用建立与本地网或i n t e r n e t 的输出连接。基于主 机的防火墙可以在问谍软件、特洛伊木马和病毒试图传播时捕获它们。 恶意软件设计者通过哄骗或劫持获得批准程序进行恶意通信，来避免被发现。基于主 机的防火墙通过应用程序认证来防止这些伎俩。基于主机的防火墙不仅根据文件名来检查 应用程序，同时还利用执行程序的函数、动念链接库和其他组件来检查应用程序。如果应 用程序引发报警，在未经用户批准时基于主机的防火墙不允许与外界联系。基于主机的防 武汉科技大学硕士学位论文第3 页 火墙还可以提供额外的保护：在启动过程中，基于主机的防火墙防止直接攻击；通过缺省 设置提供直接的保护；通过执行相应的安全政策，提供自动的网络监测；以及提供响应或 纠正安全事件的知识库。 总之，基于主机的防火墙提供了一条抵御人工和自动攻击的有效防线，研制有效的基 于主机的防火墙技术很重大的意义。 1 4 基于主机的防火墙的功能特点和研究目标 基于主机的防火墙在网络中的地位与作用十分重要，主要表现在以下几个方面： 1 ) 实时监测和保护 基于主机的防火墙对所有内部提出的服务请求进行过滤，发现非法授权服务请求后立 即拒绝，时刻注意保护用户信息系统的安全。 2 ) 基于规则的安全策略 基于主机的防火墙的保护规则包括主机和服务两部分，它允许接受特定主机的相应服 务，而其他主机的服务要求或特定主机的其他服务要求拒绝。用户可根据自身实际情况， 添加、删除、修改出入站的规则，从而保护主机的安全。 3 ) 完整的访问记录 基于主机的防火墙可显示2 4 小时内所有被拒绝的、允许的和当前的连接情况。用户 可以确定安全规则是否按设计要求工作，是否有入侵者试图在用户不知道的情况下连接用 户的系统。根据这些信息用户可以确定自己的安全规则是否合理有效，以便制定出更有效 的安全规则。 4 ) 可视化统计 提供大量的用户关心的网络情况统计资料，包括网络流量统计、最大数据会话、被拒 绝的入站地址、被拒绝的出站地址。最积极的入站服务( 按数量统计) 、最积极的出站服 务( 按数量量计) ，访问最多的入站地址、访问最多的出站地址等。 目前对基于主机的防火墙软件的作用众说纷纭，有的说它是网络安全的可靠卫士，有 的说它可以非常有效地杜绝信息泄露和被黑客攻击，也有的说所有基于主机的防火墙软件 在攻击者面前都只能提供“虚假的保护 。但是，我们必须意识到基于主机的防火墙本身 是一种软件，它的作用与编制软件的人对网络安全的认识程度有关，也与使用者对该软件 的了解和掌握情况有很大的关系。也就是说，如果编制软件的人本身并没有发现网络上有 什么安全漏洞，又怎么能去在软件设计时去考虑堵塞这些漏洞呢。 1 5 基于主机的防火墙的发展趋势 随着市场的不断需求，今后基于主机的防火墙发展趋势主要表现在以下几个方面： ( 1 ) 智能化的发展 基于主机的防火墙将从目前的静态防御策略向智能化方向发展。未来智能化的基于主 第4 页武汉科技大学硕士学位论文 机的防火墙会具有更高的智能来分析网络数据，从而能迅速的对攻击产生响应，而不是仅 仅进行数据包的检查。 ( 2 ) 速度上的发展 随着网速的不但提高，基于主机的防火墙必须在运算速度上做相应的升级，这样才能 在市场上站稳。 ( 3 ) 功能上的发展 在安全方面，能防止各种类型的被动和主动攻击，使用户可以安全方便地访问信 息，而不会将本机的信息暴露在潜在非法入侵者前面。 在管理方面，将采用更加友好的图形化管理界面，并且具备强大的审计功能和自 动同志分析功能。 在性能方面，已经发展到入侵防御。 总的来说，未来的基于主机的防火墙将更加智能、速度更快、成本更低、功能更加完 善、管理更加人性化。 1 6 本文的组织结构 本文分为七章，各章的组织结构如下： 第一章：介绍了基于主机的防火墙的研究背景和意义，国内外的发展，一些功能特点 及其未来的发展趋势。 、 第二章：介绍了常见的网络安全问题及其解决的方案，并叙述了解决方案的一些基础 知识。 第三章：本文所研究的新一代防火墙的一些重要的基本知识。如：协议，w i n d o w s 系统架构，数据包的拦截，入侵检测系统的架构等。 第四章：详细阐述了该防火墙的总体设计。描述了系统的结构，工作流程，还有关于 重要的控管规则文件，同志文件，入侵检测特征库的数据结构设计。 第五章：阐述了该防火墙的总体设计。对该防火墙的三大模块( 应用层包过滤，核心 层包过滤，用户界面) 的程序设计进行了分析。 第六章：从管控中心和日志记录进行了系统测试。 第七章：在总结和展望中，本文主要介绍了在整个系统设计与实现中，本人所做的工 作、所取得的成果，并着重分析了本设计还有什么不足，以便后续完善阶段加以改进。 武汉科技大学硕士学位论文第5 页 2 1 网络安全的问题和目标 2 1 1 比较常见的网络安全问题 第二章网络安全 所谓网络安全，是指网络系统得硬件、软件及系统中的数据信息能够受到保护，不会 因为偶然或者恶意原因而遭破坏、更改、泄露，系统能够连续、可靠地运行，网络服务不 被中断。但在现实中，绝对的网络安全是没有的【剐。 由于网络安全问题是多种多样的，很多新的网络安全问题不断涌现，防不胜防。已知 的网络安全问题就包括多种，目前比较有影响的有以下几种： ( 1 ) 网络病毒感染。这可以说是最容易遇到的网络安全问题。网络病毒层出不穷， 其传播的方式也不断发展，既可以通过邮件传播，也可以通过网络即时通信息通传播，还 可以通过网页传播。而且，新的病毒还跟其他网络安全技术( 如木马、间谍软件) 相结合， 产生综合病毒，极难防范。因此，病毒经常给用户带来巨大的经济损失。 ( 2 ) 木马问题。这个网络安全问题变得越来越突出，很多木马程序在网络上可以轻 易得到，而且其使用方法极其简单，但其危害程度非常高。如果计算机被植入木马，就相 当于整个计算机被别人控制，任人为所欲为了。由于新的木马程序不断涌现，感染木马后 难以察觉，所以木马问题值得重视。 ( 3 ) 恶意扫描。对网络主机的扫描，使攻击者最先做的事情，它能够检查出主机存 在多少漏洞，以及漏洞的种类等很多有价值的信息，它是攻击者进行攻击的基础。本来网 络安全扫描技术是一个非常有效的网络防御技术，但如果被攻击者所使用，就变成了危害 网络安全的技术了。 ( 4 ) 网络监听。它可以监听整个网络的数据包，然后查看其数据内容。本来，网络 监听可以用于网络管理和网络流量检测，但是攻击者使用它就变成了窃取网络信息的行为 了。 ( 5 ) 垃圾邮件。这也是人们普遍遇到的网络安全的问题。由于邮件的使用非常广泛， 它已成为人们一种重要的通信方式。但是，与邮件相关的安全问题也非常多，其中最严重 的就是垃圾邮件，严重的影响了人们正常地使用电子邮件。 ( 6 ) 网络仿冒。它使用假的网络信息来代替真的网络信息，最明显的表现形式就是 使用假的网页来代替真的网页。例如，使用一个假的登录网页套取你的银行帐号和密码。 现在，这样的仿冒问题变得越来越多，有时分不清是真实假。 ( 7 ) 网页篡改。这是很多攻击者攻击服务器后的一种典型行为。网页被篡改了就证 明此服务器已经被攻击者控制了，攻击者可以修改网页，也可以进行很多其他的破环行为， 如删除服务器的重要数据。但给公众最大的影响还是网页被更改，用户不能正常访问服务， 第6 页武汉科技大学 硕士学位论文 这是很多服务器拥有者觉得难堪的事情。不仅影响了服务器的正常服务功能，也有损于形 象。 ( 8 ) 拒绝服务攻击。这也是现在遇到的比较常见的网络问题，它使得正常的网络服 务不能进行而导致损失。特别是在一些重要的网络服务上，此问题的危害性更突出。由于 网络协议本身固有的缺陷，使得解决拒绝服务攻击变得非常棘手1 8 j 。 现在，攻击者的水平在不断提高。他们的攻击经常是有组织和有目的的攻击，其破环 性不断增加；攻击者发现漏洞和找出漏洞的攻击方法越来越快，甚至赶在软件厂商发布漏 洞补丁的前面。 2 1 2 网络安全目标 网络安全问题在日常生活中得到越来越多的重视，人们不断研究并积极地解决这些问 题。很多网络安全技术相继问世，不断发展，其根本目的是确保网络的安全。网络安全的 目标包括以下内容【8 j ： ( 1 ) 保密性网络数据不被泄漏给非授权的用户、实体和过程，或供其利用的特 性。 ( 2 ) 完整性网络数据未经授权不能被改变的特性，即信息在存储或传输过程中 保持不被修改，不被破坏和丢失的特性。 ( 3 ) 可用性网络信息可被授权实体访问并按需求使用的特性，即：网络信息服 务在需要时，允许授权用户和实体使用，或者在网络部分受损或需要降级使用时，仍然能 够为授权用户提供有效服务的特性。 ( 4 ) 可控性对信息的传播及内容具有控制能力的特性。 ( 5 ) 可靠性网络信息系统能够在规定的条件下和规定的时间内完成规定的功能 的特性】 ( 6 ) 不可否认性在网络信息系统的信息交互过程中，确信参与者的真实同一性， 所有参与者都不可能否认曾经完成的操作。 要实现上述目标不是一件容易的事情，不可能只使用某一种网络安全技术就能够解 决。在现实的实践中，一般都需要结合多种网络安全技术来达到这个目的。即使这样，也 只是接近这个目标，而不能够完全满足，要实现这个目标，需要网络安全研究者不断努力。 2 2 防火墙技术 从防范入侵行为的角度来看，防火墙是维护网络安全最常用的技术。它使得内部网络 与i n t e r n e t 之间或者与其他外部网络之间进行相对的隔离、限制网络互访来保护内部网络。 这种安全技术可以只用路由器实现，复杂的也可以用一台主机或者一个子网络来实现。它 可以在i p 层设置屏障，也可以在应用层来阻止外部登录。但是无论如何配置，设置防火 墙的目的是为了在内部网与外部网之间设立一道安检。 武汉科技大学硕士学位论文第7 页 防火墙的主要技术类型包括网络级数据包过滤( n e t w o r k 1 e v e lp a c k e tf i l t e r ) 和应用 代理服务( a p p l i c a t i o n l e v e lp r o x ys e r v e r ) ，复合型等，归纳起来它们的作用有： _ 过滤掉不良网站信息和非法用户的访问请求。 一控制对特殊站点的访问。 一对网络存储和访问进行监控审计。 强化网络安全策略。 防止内部信息外泄。 虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，但也存在一定的 局限性： 不能完全防范外部可以的人为攻击。 不能防范内部用户攻击。 不能防止内部用户因误操作而造成口令泄密受到的攻击。 很难防止病毒或者受感染的文件的传输。 基于主机的防火墙是在企业防火墙的基础上发展起来的，因此也沿用了防火墙所采用 的基本技术1 9 1 。 1 基于应用网关 典型的基于主机的防火墙属于应用网关型，相当于一个简单的代理，它随时检测用户 的执行情况，可以对特定的应用阻塞或允许，这取决于用户的安全策路。比如，当用户执 行一个f i t 程序时，可以允许文件的上传，但其他的功能，诸如浏览和删除文件等，代 理就会阻塞这些服务。由于代理可以彻底检测包的内容，因此对于恶意的脚本，只要用户 的策略定义的合适，是可以防范的。 2 基于i p 地址和端口的安全检测 在基于主机的防火墙上容易实现，适合个人用户，它可以很轻易的实现基于i p 的限 制或通过对端口的限制来拒绝或者允许某些服务。比如阻塞所有的f t p 服务，而只允许 w e b 的浏览服务，这对个人用户来说，无疑增强了安全性，当然是安全性和服务限制之 间的取舍了，是需要用户来决策的。 3 端口“隐蔽” 这是基于主机的防火墙抗端口扫描及特洛伊木马攻击所采用的主要方法。严格意义上 来讲，它是违背标准的t c p i p 协议规则的，通常当端口收到连接请求时，它的反应是发 拒绝应答，表示端口关闭。发送请求方就知道他的请求已被接收，并且知道端口已关闭， 就不再继续发送连接请求。但同时这种端口的“拒绝”应答也会让发送方知道收方系统的 存在，这样无形中就会给那些试图侵入你的系统的黑客以可乘之机。而端口“隐蔽 用来 描述一个端口完全隐藏起来，而不发送任何拒绝应答给试图打开他们的请求方。由于不发 送应答，所以它是一个非标准的连接行为。在网络系统中，这种行为是必须通过防火墙系 统来强sj j 仓 j 建和执行的。 4 v p n ( v i r t u a lp r i v a t en e t ) 技术 第8 页武汉科技大学硕士学位论文 通过v p n 连入公司内部网的远程用户，如果他的计算机遭到入侵，则很有可能会暴 露公司内部网，使攻击者有机可乘。而通过将i p s e c 技术内置在基于主机的防火墙中，在 防火墙中建立一套v p n 机制，同时和企业级的防火墙相配合，可以大大提高v p n 的安全 性【9 1 。 2 3 入侵检测系统( i d s ) 入侵检测系统( i d s ) 是通过监控网络与系统的状态、行为及系统的使用情况来检测 系统用户的越权使用和系统外部的黑客入侵，并采取相应的响应措施来阻止入侵活动，是 一种动态的安全防护措施，是传统防火墙的必要补充。1 9 8 6 年d o r o t h ye d e n n i n g 提出并 建立了第一个实时入侵检测模型入侵检测专家系统【1 们。 2 3 1 入侵检测系统的基本原理 在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段，无须 转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来 的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流 量特征进行智能分析比较匹配。根据预设的阀值，匹配符合度较高的保温流量将被认为是 进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击1 1 。 i d s 处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告 以及响应阶段等四个阶段。数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中 引擎提供的住居通信数据包和系统使用等情况。数据处理及过滤阶段是把采集到的数据转 换为可以识别是否发生入侵的阶段。分析及检测阶段通过分析上一阶段提供的数据来判断 是否发生入侵。这一阶段是整个入侵检测系统的核心阶段，根据系统是以检测异常使用为 目的还是以检测利用系统的脆弱点或应用程序的b u g 来进行入侵为目的，可以区分为异 常行为和错误使用检测。报告及响应阶段针对上一个阶段中进行的判断作出响应，如果被 判断为发生入侵，系统将对其采取相应的响应措施，或者通知管理人员发生入侵，以便于 采取措施。最近人们对入侵检测以及响应得要求日益增加，特别是对其跟踪功能的要求越 来越强烈。 2 3 2 公共入侵检测系统的框架( c i d f ) c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 是美国国防高级研究计划署( d a r p a ) 提出的，目标是为入侵检测研究项目提供和统一共享数据和资源，是入侵检测组建重用和 资源共享进行可能的合作，为入侵检测系统开发特定的协议和a p i 。 一、c i d f 的体系结构 c i d f 将入侵检测系统分为四个组件：事件产生器、事件分析器、响应单元和事件数 武汉科技大学硕士学位论文第9 页 据库。c i d f 的基本模型如图2 1 所示【1 2 】。 图2 1c i d f 基本模型 c i d f 模型将i d s 需要分析的数据统称为事件( e v e n t ) ，它可以是网络中传输的数据 包，也可以是主机的系统日志或其他途径得到的信息。 1 ) 事件产生器 事件产生器收集事件，并将这些事件转换成c i d f 的g i d o 格式传送给其他部件。例 如，事件产生器可以读取审计记录并将其转换为g i d o 格式的过滤器，也可以被动地舰艇 网络并根据网络数据流产生事件的另一个类型的过滤器，还可以在s q l 数据库中产生事 务描述事件的应用代码。 2 ) 事件分析器 事件分析器分析从其他组建收到g i d o ，产生分析结果并传给其他组件。分析器可以 是一个基于统计模型的工具，检查现在的时间是否满足先前所建立的正常事件模型，也可 以是一个特征检测工具，用于在当前事件序列中检查是否存在已知的滥用攻击特征。 3 ) 事件数据库 用来存储g i d o ，以备系统需要的时候使用。它可以是一个复杂的数据库，也可以是 一个简单的文本文件。 4 ) 响应单元 响应单元负责处理接收到的g i d o ，并据此采取相应的措施，如杀死相关进程、复位 网络会话连接、修改文件权限等。 二、通信机制 c i d f 将通信机制构造成一个三层模型：g i d o 层、消息层和协商传输层。各层之问 相互独立，层中不包含其他层的信息。 要实现通信，各组件必须正确理解相互之间所传递的各种数据的语义，g i d o 对如何 表示各种各样的事件语义做了定义。g i d o 的任务就是提高组建之间的互操作性。 消息层可以保证被加密盒认证的消息在防火墙或n a t 等设备的传输可靠性。消息层 只是负责将数据从发送方传递到接收方，不携带任何语义，同样g i d o 层也只考虑所传递 的信息的语义，不考虑这些消息怎么传递。 协商传输层的任务是规定g i d o 在各个组建之间的传输机制。第三层传输机制并不是 c i d f 的一部分，有十几个广泛使用的可选的传输机制。为了最小化下层通信设施和资源 消耗，默认的传输机制是基于u d p 的、可靠的c i d f 信体传输。 第1 0 页武汉科技大学 硕士学位论文 2 4 入侵防御系统 通常，一般采用防火墙作为第一道防线，入侵检测系统( i d s ) 作为第二道防线。但 是从近期网络安全时间对网络造成的巨大破坏可以感受到，目前单一的防火墙加入侵检测 系统策略，已无法满足对网络安全要求较高的部门之需。正是在此背景下，入侵防御系统 成为安全领域研究的热剧1 引。 2 4 1 入侵防御系统的工作原理 i p s 作为一种新型防御技术已经成为当前研究的热点。i p s 与传统的i d s 相比，在实 时发现、阻断攻击、防御未知攻击和防御主动性方面有着无可比拟的优势。 i p s 在物理上的结构实现以及设计思想都沿袭了i d s 的设计特点，但在数据的处理和 语法规则等方面均作了较大的改进，主要表现为添加策略更加方便，同时又能检测出新的 未知攻击。它首先由信息采集模块实施信息采集，包括数据包，系统审计数据、用户活动 状态及网络行为等，利用采集到的数据包、系统日志、程序中的不期望行为以及物理上的 入侵信息等作为参照，使用模式匹配，协议分析、统计分析和完整性分析等方法，由检测 引擎对采集到的信息进行分析，最后由响应模块对分析后的结果作出响应。 2 4 2 入侵防御系统的关键技术 1 、主动防御技术 通过对主机或数据服务器进行全面的强制性防护，加固其操作系统，对用户权限作适 当的限制以达到保护主机和服务器上数据的效果，这种防范方式不仅可以识别已知的攻 击，拒绝恶意访问而且可以防范未知的攻击行为【1 4 】。 2 、防火墙和i p s 的联合使用技术 ( 1 ) 通过开发接口实现联合使用。即对防火墙或i p s 设定一个接口供对方访问，按 照一定的协议通信，传输报警信息等。此方式十分灵活，防火墙作为防御系统的第一层实 现访问控制，w s 可作为它的第二层实现入侵检测，丢弃恶意通信，确保该通信不能到达 目的地，并通知防火墙进行阻断，因为系统是连各子系统协调工作，故防火墙和i p s 联动 运行的安全性尤为重要。 ( 3 ) 综合检测技术。i p s 也存在误操作，会阻断合法的网络数据。对此，i p s 采用了 多种检测方法，如：误用检测和异常检测，增加状态信号、协议分析、后门和二进制码检 测、通信关联分析等，这样将使i p s 全方位识别网络环境，减少误报警，将防火墙日志、 i p s 数据及系统弱点评估数据收集起来，综合分析，判断将发生的网络事件，并作出适当 的响应。 ( 4 ) 高速的硬件系统。i p s 应该具有高效处理数据能力，方能实现大型网络流量的 深度数据包的检测和阻断，故i p s 必须依托于高速的硬件平台才能发挥i p s 的一 作效率。 武汉科技大学硕士学位论文第1 1 页 2 4 3 入侵防御系统( i p s ) 的缺陷 入侵防御系统i p s 作为目前网络安全有效的防范系统也有其缺陷。首先，从性能上讲， 入侵防御系统的系统性能与功能存在矛盾，即对数据的全面检验构成了对系统实时性的挑 战；其次，从技术上讲，入侵防御系统i p s 有许多难以逾越的障碍：一是对识别“大规模 的组合式、分布式的入侵攻击 目前还没有很好的解决方法和成熟的方案；二是网络入侵 防御系统通过匹配网络数据包发现攻击行为的假设攻击信息是明文传输的，因此，信息的 改变或重新编码有可能骗过入侵防御系统的检测，所以，依靠字符串匹配的方法对加密过 的数据包就显得无能为力了；三是对入侵防御系统的评价目前还没有统一的标准，或者说 由于标准的不统一使得入侵防御系统之间不易互联；四是入侵防御系统自身的问题。与其 它系统一样，入侵防御系统本身也可能存在安全漏洞，若对入侵防御系统攻击得逞，必然 导致响应机制失灵，入侵者在其后的行为将无法被记录和过滤【1 5 】。 2 5 容侵系统 2 5 1 容侵概念 容侵就是当一个网络系统遭受到入侵，而一般的安全防御技术都失效或者不能够完全 排除入侵所造成的影响时，为系统的最后一道防线，即使系统的某些组件遭受攻击者的破 坏，但整个系统仍能提供全部或者提供降级的服务。容侵是网络安全中的一种容错技术， 是针对网络服务提出的一种容忍机制。 容侵用硬件或者软件容错技术来屏蔽任何入侵或者攻击对系统功能的影响，保证系统 关键部件的安全性和业务的连续性，网络系统在受到攻击时，仍然能够为用户提供高质量 的应用服务。 容侵系统能够在面对攻击的情况下，仍然继续为预期的用户提供j 下常服务，系统将采 取些必要的技术措施来保证关键应用的功能连续性，这些措施包括从限制怀疑的代码和 数据到数据冗余和重新配置软硬件资源等【l 酬。 2 5 2 容侵的目标 容侵的服务对象通常是一些较大规模的的应用服务期( 或服务器组) 。大规模的应用 系统中往往存在设计缺陷或编程缺陷。人们曾经提出过一些方法来避免这些缺陷，但最终， 还有一些没能弥补的缺陷，或者弥补起来代价过大的缺陷，这就需要容侵系统来保护。也 就是说，容侵系统作为应用系统的最后一道安全防线，将力图使应用系统能提供所要求的 服务，必要的时候提供降级服务，并保护服务器上数据的机密性和完整性。 容侵系统的设计目标主要分为四个层次： 1 ) 保证服务器上数据的真实性、完整性。当网络应用服务器受到入侵时，容侵系统 第1 2 页武汉科技大学硕士学位论文 需要保护服务器上的应用数据和系统数据不被非法篡改，或者能够发现已经被篡改的部 分，必要时进行重构。 2 ) 保证服务器上数据的机密性。当被入侵者通过非法的途径掌握了对服务器数据的 访问权限时，容侵系统需要保证入侵者不能得到明文数据。 3 1 保证服务的可用性。当入侵者对应用系统部分服务器的攻击已经成功以后，容侵 系统需要是应用系统整体对外仍能提供服务或降级服务，并力图通过重构使系统回到正常 状态。 4 ) 保护系统的安全运行。在入侵者尚未攻击或正在实施攻击但未造成破坏时，容侵 系统需要预防、阻止进一步的攻击行为，报警，并能够自动重构系统中的相应缺陷。 以上四个层次是容侵系统的四个主要设计目标。这四个层次是逐层递进的，每一个都 比前一个对系统提供了更安全的保护。总的来说，容侵系统的目标是在系统受到攻击的情 况下，即使系统的某些部分已经受到破坏、或者被恶意攻击者控制时，系统仍能够触发一 些防止这些人入侵造成系统安全实效的机制，从而仍然能够对外继续提供正常的或者降级 的服务，保证基本功能的正常运行，同时保持了系统数据的机密性与完整性等安全属性。 武汉科技大学硕士学位论文第1 3 页 第三章新一代基于主机的防火墙的技术简介 3 1t c p i p 协议层次结构 t c p i p 也称“国际协议族”，即不仅指t c p f l p 协议本身，而且包括与其有关的协议。 t c p 为传输控制协议，i p 为网际协议，是网络层最重要的。采用t c p i p 协议通过互联网 传送信息可减少网络中的传输阻塞，方便大批量的数据在网上传输，从而提高网络的传输 效率。t c p i p 通常被认为是一个四层协议系统如图3 1 所示【1 8 】。 应用层f t pt e l n e th t t ps m t ps n m pt f t pn t p 传输层 t c pu d p 网络层i p a r p r a r p i c m p 以 令 8 0 2 2 h d l c ，p p p ，f r a m 哐r e l a y 网络接口层 太 牌 环 网8 0 2 3 网e i a 门n a - 2 3 2 ，4 4 9 ，v 3 5 ，v 2 l 图3 1t c p i p 参考模型的层次结构 每一层负责不同的功能： 1 ) 链路层，有时也称作数据链路层或网络接口层，通常包括操作系统中的设备驱动 程序和计算机中对应的网络接口卡。它们一起处理与电缆( 或其他任何传输媒介) 的物理 接口细节。 2 ) 网络层，有时也称作互联网层，处理分组在网络中的活动，例如分组的选路。在 t c p i p 协议族中，网络层协议包括i p 协议( 网际协议) ，i c m p 协议( i n t e m e t 互联网控 制报文协议) ，以及i g m p 协议( i n t e m e t 组管理协议) 。 3 ) 运输层主要为两台主机上的应用程序提供端到端的通信。在t c p i p 协议族中，有 两个互不相同的传输协议：t c p ( 传输控制协议) 和u d p ( 用户数据报协议) 。 t c p 为两台主机提供可靠性的数据通信。它所做的工作包括把应用程序交给它的数据 分成合适的小块交给下面的网络层，确认到的分组，设置发送最后确认分组的超时时钟等。 由于运输层提供了高可靠的端到端的通信，因此应用层可以忽略所有这些细节。 而另一方面，u d p 则为应用层提供一种非常简单的服务。它只是把称作数据报的分 组从一台主机发送到另一台主机，但并不保证数据报能到达另一端。任何必须的可靠性必 须由应用层来提供。 4 ) 应用层负责处理戴顶的应用程序细节。例如t e l n e t 远程登录、f 1 甲文件传输协议、 s m t p 简单邮件传送协议等。 第1 4 页武汉科技大学硕士学位论文 3 2t c p i p 典型的协议解析 数据包截获是一个防火墙系统的核心功能，但一个完整的防火墙系统还应该在包截获 之后对协议数据进行分析。比如：我们截获到一个w i n s o c k 调用，接下来还要知道它是 h t t p 请求还是f r p 请求还是其他的应用层的协议包，同时根据需求得出一些信息方便用 户自定义过滤控管规则。下面对本人实现的基于主机的防火墙涉及到的几种协议解析展开 阐述。 3 2 1 核心层协议解析 数据报分为两个部分：首部和数据部分。首部包括与该层有关的协议信息，而数据部 分包括从上层传输下来的数据包。t c p i p 包的协议封装过程如图3 2 所示【1 9 j 。 用户数据 应用层首 部 用户数据 t c p u d p 首部 应用层数据 i p 首部传输层数据 l 以太网首 网络层数据 以太网尾 部部 图3 2 基于t c p i p 包协议封装 发送数据时，应用层将数据发给传输层，传输层保留应用层传送下来的数据再附加上 自己的包头继续向下发送，同样的道理，各层保留上层传送下来的数据部分及其包头再附 加上该层的包头继续向下传送，直到最底层。这整个流程就是数据打包的过程。接受数据 的过程则刚好与发送数据的过程相反。 t c p i p 协议族中子协议众多，这里介绍几种常见的协议规范。 1 以太网格式规范 我们首先来看对应于物理层的以太网帧格式。由于物理层不是真正意义上的层，只是 定义了物理网络协议与上层之间的接口信息，这些物理网络包括多种广域网以及各种局域 网，而其中的以太网是目前最常见的类型。图3 3 给出了以太网上传输的帧格式f 2 。 的同步码 目的地址源地址帧类型 帧数据 c r c i 叭位组ls 八位组i 6 八位组l2 铲l 4 s 叫、位组 4 八位组l 图3 3 以太网帧格式 在上述的帧格式中，前同步码主要是为了在两个主机的接口之间实现同步，以使接口 之间的数据传输不会因为硬件时钟上的不一致而出现不同的理解。但是，以太网的首部并 武汉科技大学硕士学位论文第1 5 页 不包含此前同步码，在进行协议分析时，也不需要对此进行分析，这主要是因为主机之间 已经判断是否为同步时，网络接口层就会将帧格式进行分解，从而得出其e t h e m e t 数据报 的内容。 在帧中，以太网的帧头格式包含6 个字节的目的地址、6 个字节的源地址以及2 个字 节的帧类型。其中的地址是指主机的m a c 地址( m e d i a a c c e s sc o n t r o l ，媒体访问控制) 。 它以机器可读的形式固定在主机接口硬件上【2 。当然，目的地址是指发送方主机的m a c 地址，而源地址则是指接收方的主机的m a c 地址。而其中的帧类型则是指明所采用的协 议。常见的协议类型如下： ( 1 ) i p 协议( i n t