（计算机软件与理论专业论文）基于snort的网络入侵防御系统的研究与设计.pdf

武汉科技大学 研究生学位论文创新性声明 本人郑重声明：所呈交的学位论文是本人在导师指导下，独立进行研 究所取得的成果。除了文中已经注明引用的内容或属合作研究共同完成的 工作外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名：翊笙日期： 五垒f q ：缒 研究生学位论文版权使用授权声明 本论文的研究成果归武汉科技大学所有，其研究内容不得以其它单位 的名义发表。本人完全了解武汉科技大学有关保留、使用学位论文的规定， 同意学校保留并向有关部门( 按照武汉科技大学关于研究生学位论文收录 工作的规定执行) 送交论文的复印件和电子版本，允许论文被查阅和借阅， 同意学校将本论文的全部或部分内容编入学校认可的国家相关数据库进行 检索和对外服务。 论文作者签名：翊垡 指导教师签名：逮室缉 日 期： | ， “ k - 籼 ， “ ， 武汉科技大学硕士学位论文第1 页 摘要 随着网络的广泛应用和发展，网络的安全问题已经受到人们的关注，网络环境日益复 杂，新的攻击方法层出不穷，单一的安全技术已无法保证网络信息的安全。入侵防御系统 i p s ( i n t r u s i o np r e v e n t i o ns y s t e m ) 是一种主动的、积极的入侵防范和嵌入式阻挡系统。入 侵防御技术是网络安全领域为弥补防火墙和入侵检测系统的不足而新兴的一种信息安全 技术，具有重要的学术和应用价值，近年来已经成为网络信息安全技术的研究热点之一。 首先，本论文对网络入侵防御系统的一些基本知识作了简单的介绍，研究和分析了网 络安全解决方案的一些相关技术，如防火墙、漏洞扫描、入侵检测、密罐等。 其次，提出了一种解决当前高速网络环境下i p s 的应用瓶颈问题的高速数据采集与分 布式处理相结合的方法，并针对目前网络攻击中危害最严重的d d o s 攻击进行了研究，对 d d o s 算法加以改进与优化，减少了系统因i p 地址欺骗产生的漏报，提高了防御d d o s 攻 击的效率。 在研究和分析了各种安全技术之后，针对当前安全解决方案的不足，提出了一种将防 火墙、漏洞扫描技术、蜜罐技术、i p s 技术综合应用的网络入侵防御的综合解决方案。该 方案在l i n u x 平台上使用普通p c 硬件条件结合免费、开源的s n o r t 检测系统、防火墙技术、 n e t f i l t e r i p t a b l e s 框架、漏洞扫描技术与蜜罐技术构建一个高效、低误报、低漏报、低成本 的基于s n o r t 的网络入侵防御系统。接着按照该方案，对n i p s 中各模块进行了比较详细的 设计与实现，并进行了简单的测试和结果分析。最后，对本文所做的工作进行了总结，并 提出进一步工作的方向。 关键词：入侵检测网络入侵防御系统d o s d d o ss n o r t 蜜罐 、 第1 i 页武汉科技大学 硕士学位论文 a b s t r a c t w i t ht h ew i d ea p p l i c a t i o na n dd e v e l o p m e n to fn e t w o r k m en e t w o r ks e c u r i t yp r o b l e mh a s a l r e a d yr e c e i v e dp e o p l e s a t t e n t i o n t h en e t w o r ke n v i r o n m e n tb e c o m e sm o r ea n dm o r e c o m p l i c a t e da n dn e w a t t a c km e t h o d sa r i s ei n c r e a s i n g l y , t h e r e f o r eas i n g l es e c u r i t yt e c h n o l o g yc a n n ol o n g e rg u a r a n t e et h es e c u r i t yo fn e t w o r ki n f o r m a t i o n i n t r u s i o np r e v e n t i o ns y s t e m ( i p s ) i sa k i n do fa c t i v e p o s i t i v ei n t r u s i o nd e f e n s es y s t e ma n de m b e d d e db l o c k i n gs y s t e m i n t r u s i o n p r e v e n t i o nt e c h n o l o g yi san e wk i n do fi n f o r m a t i o ns e c u r i t yt e c h n o l o g yt om a k eu pf o rt l l e d e ：f i c i e n c i e so ft h ef i r e w a l la n dt h ei n t r u s i o nd e t e c t i o ns y s t e mi nt h en e t w o r ks e c u r i t yf e l d f o ri t s i m p o r t a n ta c a d e m i ca n da p p l i c a t i o nv a l u e ，i th a sb e c o m eap o p u l a rr e s e a r c ht o p i co fn e t w o r k i n f o r m a t i o ns e c u r i t yt e c h n o l o g yi nr e c e n ty e a r s f i r s t l y ，t h i sp a p e rb r i e f l y i n t r o d u c e ss o m eb a s i ck n o w l e d g eo ft h en e t w o r ki n t r u s i o n p r e v e n t i o ns y s t e m ，r e s e a r c h e sa n da n a l y s i s e ss o m er e l a t e dt e c h n o l o g i e so ft h en e t w o r ks e c u r i t y s o l u t i o ns c h e m e ，s u c ha sf i r e w a l l ，v u l n e r a b i l i t ys c a n n i n g ，i n t r u s i o nd e t e c t i o n ，h o n e y p o te t c s e c o n d l y , w ep u tf o r w a r dam e t h o du s i n gh i g h s p e e dd a t aa c q u i s i t i o nc o m b i n ew i t h d i s t r i b u t e dp r o c e s s i n gt os o l v et h ea p p l i c a t i o nb o t t l e n e c kp r o b l e mo fi p si nt h eh i g h - s p e e d n e t w o r ke n v i r o n m e n t ，a n dt h e nr e s e a c ht h em o s ts e r i o u sd a m a g ed d o sa t t a c ko ft h ec u r r e n t n e t w o r ka t t a c k sa n dg i v ea ni m p r o v e da n do p t i m i z e dd d o sa l g o r i t h m ，w h i c hr e d u c e st h e r e p o r t i n go m i s s i o no fs y s t e mf o rt h ei pa d d r e s sd e c e p t i o na n di m p r o v e st h ee f f i c i e n c yo f d e f e n s e a g a i n s td d o s a t t a c k a f t e rr e s e a r c h i n ga n da n a l y s i s i n gt h ev a r i o u ss e c u r i t yt e c h n o l o g i e s ，w ep u tf o r w a r da n c o m p o s i t i v es o l u t i o ns c h e m eo ft h e n e t w o r ki n t r u s i o np r e v e n t i o nt h r o u g hc o m p o s i t i v e l y a p p l y i n gt h ef i r e w a l l ，v u l n e r a b i l i t ys c a n n i n gt e c h n o l o g y ，h o n e y p o tt e c h n o l o g ya n di p st e c h n o l o g y a i m i n ga tt h ec u r r e n ts e c u r i t ys o l u t i o ns c h e m e si n s u f f i c i e n c y t h i ss c h e m eu s e st h eo r d i n a r yp c h a r d w a r ec o n d i t i o no nt h el i n u xp l a t f o r ma n d c o m b i n e sw i t ht h ef r e e ，o p e n - s o u r c e s n o r t d e t e c t i o n s y s t e m ，f i r e w a l lt e c h n o l o g y , t h en e t f i l t e r i p t a b l e s f r a m e ，t h ev u l n e r a b i l i t ys c a n n i n g t e c h n o l o g ya n dh o n e y p o tt e c h n o l o g yt oc o n s t r u c tah i 【g he f f i c i e n c y , l o wm i s s t a t e m e n t ，l o w o m i s s i o n ，l o wc o s tn e t w o r ki n t r u s i o np r e v e n t i o ns y s t e mb a s e do ns n o r t t h e na c c o r d i n gt ot h e s c h e m e ，w ed e s i g na n di m p l e m e n te a c hm o d u l eo ft h en i p sc o m p a r a t i v ed e t a i l e d l y , a n dm a k ea s i m p l et e s ta n da n a l y s i so ft h er e s u l t s f i n a l l y , t h i s p u t sf o r w a r dt h ef u r t h e rd i r e c t i o no fw o r k p a p e rs u m m a r i z e sa l lt h ew o r k i th a sd o n e ，a n d k e y - w o r d s ：i n t r u s i o nd e t e c t i o n ；n e t w o r ki n t r u s i o np r e v e n t i o ns y s t e m ；d o s d d o s ；s n o r t ；h o n e y p o t j ， q 武汉科技大学硕士学位论文第1 i i 页 目录 摘要善i a b s t r a c t i i 第一章绪论1 1 1 研究背景介绍l 1 2 国内外研究现状2 1 3 课题研究的意义3 1 4 论文的主要内容及目标3 第二章入侵防御系统介绍4 2 1i p s 的基本概念及特点4 2 2i p s 的产生4 2 3i p s 的基本工作原理：6 2 4i p s 的分类7 2 5i p s 存在的问题8 2 6i p s 的发展趋势8 第三章网络安全相关技术9 3 1 防火墙技术9 3 1 1 防火墙的分类9 3 1 2 防火墙的发展9 3 2 漏洞扫描技术l o 3 2 1 分类l o 3 2 2 发展趋势1 1 3 3 入侵检测技术1 1 3 。3 。1c i d f 介绍1 2 3 3 2 入侵检测分类1 2 3 3 3 入侵检测方法1 3 3 3 4i d s 所面临的主要问题及其发展方向1 3 3 4 蜜罐技术1 3 3 4 1 蜜罐概念与特点1 3 3 4 2 蜜罐的部署及功能1 4 第四章关键问题的分析与解决方案1 5 4 1 高速网络瓶颈问题1 5 4 2d d o s 攻击的研究15 4 2 1d o s 与d d o s 的概念15 4 2 2d o s d d o s 攻击方法及原理1 6 第1 v 页武汉科技大学硕士学位论文 4 2 3d d o s 常用检测算法18 4 2 4d d o s 算法的改进与优化2 0 第五章基于s n o a 的n i p s 设计与实现2 2 5 1n i p s 设计原则2 2 5 2n i p s 系统结构设计2 2 5 3n i p s 模块的设计与实现2 4 5 3 1 相关技术研究2 4 5 3 2 数据包捕获模块2 9 5 3 3 入侵检测模块3 l 5 - 3 4 响应模块3 5 5 3 5 同志审计管理模块3 7 5 3 6 管理控制模块3 8 5 3 7 协作防御通讯模块3 9 5 4n i p s 测试及结果4 l 5 4 1 测试环境及测试内容4 l 5 4 2 测试结果及分析4 2 第六章总结与展望4 3 参考文献4 4 附录攻读硕士学位期间发表的学术论文目录4 6 墅定访 4 7 武汉科技大学硕士学位论文第1 页 第一章绪论 目前网络安全领域正面临着严重的问题。一方面是当今社会对网络的依赖性日益增 强，而另一方面网络入侵和攻击事件发生的次数也在急剧增长。这两个方面互相影响，前 者使得网络的结构、协议及应用变得日渐复杂，同时也造成了社会对网络安全问题的可容 忍度越来越低。在一些行业看来，网络出现故障已经不再是一个小小的事故，而是成为了 一场重大的灾难。为了保障网络的安全，各种网络入侵检测和防御技术应运而生。 1 1 研究背景介绍 随着网络与信息技术的发展，尤其是互联网的普及与应用，网络正逐步改变着人类的 生活和工作方式。越来越多的政府机关、企业组织建立了依赖于网络的业务信息系统，比 如电子商务、电子政务、网上银行、网络办公等，对社会各行各业产生了巨大而深远的影 响。这些都充分利用了互联网开放性和共享性的优势，但从安全角度看，过分自由的网络 用户和网络应用给互联网带来严重的安全隐患。 近年来国内外已经发生了大量网络安全事件：据有关部门发布的数据显示，0 7 年我国 网络安全事件发生量的增长幅度较大，网络仿冒、网站篡改、网页恶意代码、木马主机等 均以近两倍的速度增长，并相继出现了“熊猫烧香”、“灰鸽子 、a r p 病毒等恶意病毒； 同时国外有近亿用户的v i s a 和m a s t e l c a r d 信用卡信息被黑客窃取，一些国际知名网站也 成为黑客攻击的标靶，各种各样的黑客攻击层出不穷。由此可见，网络安全问题已不容忽 视，成为了一个亟待解决的问题。 目前，已经出现多种网络安全产品，如：公钥基础设施i l j 、鉴别与认证【2 j 、防火墙1 3 。、 入侵检测系统 4 1 、虚拟专用网v p n 5 1 等产品。其中，防火墙和入侵检测系统的应用最为广 泛，但它们都存在严重的不足。例如，防火墙不能防御i p 地址欺骗攻击，很多攻击都可以 绕过防火墙，只能提供粗粒度的防御；i d s 是并联在网络上，时效性较差，无法在入侵危 害产生之前进行有效地阻止。 入侵防御系统( i n t r u s i o np r e v e n t i o ns y s t e m ，i p s ) ，是一种主动的、积极的入侵防范和 嵌入式阻挡系统，在它检测到攻击企图后，会自动地将攻击包丢弃或采取措施将攻击源阻 断。简单地理解，可认为目前i p s 就是防火墙加上入侵检测系统。i p s 作为一门新兴的网 络安全产品，涉及到多种网络安全技术的思想和理论及各种产品间的协作，如防火墙、操 作系统身份认证、加密、漏洞扫描、入侵检测、蜜罐等。i p s 通常采用多种防御机制，能 够精确、实时的阻断深层入侵行为，在研究意义上，入侵防御技术具有着重要的学术和应 用价值，因而成为近年来信息安全技术的研究热点之一。 第2 页武汉科技大学硕士学位论文 1 2 国内外研究现状 入侵防御系统( i p s ) 的概念是由n e t w o r ki c e 公司于2 0 0 0 年首次提出，并在同年9 月 1 8 日推出了产品b l a c k i c eg u a r d 。g a r t n e r 对于i p s 的详细解释：“i p s 必须结合多个 算法阻塞恶意行为，可以基于特征阻塞已知攻击，同时还可以利用防病毒和i d s 使用的那 些方法一致支持策略、行为和基于异常的检测算法。这些算法必须在应用层操作，作为对 网络层防火墙处理的补充。它也必须具备区别攻击事件和正常事件的智能。 i p s 在2 0 0 2 - - 2 0 0 3 年这段时期得到了快速发展。在国外市场，众多款式的安全产品具 有i p s 的功能，根据其定位不同，主要可分为三大集团【6 。第一集团是入侵检测保护厂商。 他们对入侵检n 保护技术有深入研究，比较典型的厂商和产品代表有m c a f e e 公司的 i n t r u s h i e l d 系列、i s s 公司的p r o v e n t i a 系列产品等。第二集团是集成网关厂商。他们基于 防火墙的网关访问控制能力，在网关中加入多种功能模块，其中很重要就是i p s 功能。代 表产品有n e t s c r e e n 公司的i d p 产品、安氏公司的l i n k t r u s t b o r d e r p r o t e c t o r 产品、启明星 辰与港湾网络合作开发的天清汉马防火墙、s o n i c w a l l 公司的i p s 产品等。第三集团是负 载均衡厂商。他们基于对t c p i p 协议的七层分析，在其负载均衡产品中加入了某些攻击 防御模块，比如r a d w a r e 公司的s y n a p p 产品、t o p l a y e r 公司的a t t a c km i t i g a t o ri p s 系列 产品等。 与之相比，国内完全拥有自主知识产权的国产i p s 并没有如此迅猛的发展，在此方面 的研究也仅仅是刚起步，不过也有众多学者对入侵防御技术作了一些研究。主要的研究工 作有：王斌提出的“种基于人工免疫技术的入侵防御系统原型 l 引，张立秋、常会友 等提出的“基于检测和响应引擎的入侵防御系统 ，青华平、傅彦等提出的“基于模式匹 配和神经网络的分布式入侵防御系统”i s ，张孟洋提出的“密罐技术在入侵检测系统中的 应用 9 1 ，康晓宁、蒋东兴等提出的“分布式高速网络入侵防御系统 等。由于对这类 安全产品接触较少、认知不同，国内对于攻击误报、串接方式、运行效率等问题还存有疑 问，一直处于争论观察期。直到2 0 0 5 年9 月，才由绿盟科技推出了国内安全厂商的第一款 具有自主知识产权的i p s 产品1 1 1 j 冰之眼网络入侵保护系统i c e y en i p s ，一举打破了 目前国内i p s 市场由国外产品垄断的局面。随后启明星辰、h 3 c 等公司也相继推出了i p s 产品。随着2 0 0 6 年国外i p s 产品大量地进入中国市场，国内再一次掀起关于对于i p s 的研 究和讨论热潮。 纵观i p s 国内外的研究现状，可以看出，入侵防御系统是目前安全市场中显著增长的 领域，而且这个市场还没有出现增长减缓的迹象。因此，研究和实现入侵防御系统有很大 的应用价值，而且入侵防御系统对于当今网络安全防护十分重要，其研究前景将十分广阔。 武汉科技大学硕士学位论文第3 页 1 3 课题研究的意义 本课题的研究针对当前i p s 的不足之处进行深入研究，提出了一种将防火墙、漏洞扫 描技术、蜜罐技术、i p s 技术综合应用的网络入侵防御的综合解决方案，以提高防御的效 率。课题具有如下主要意义： 1 ) 将防火墙、漏洞扫描技术、蜜罐技术、i p s 产品综合应用在入侵防御系统中，有效 提高了防御系统处理的效率，具有较强的实用价值。 2 ) 对目前网络攻击危害最严重的d d o s 攻击进行了研究，并提出了一种改进算法，减 少了系统因i p 地址欺骗产生的漏报，提高了防御d d o s 攻击的效率。 3 ) 提出了一种解决当前高速网络环境下i p s 的应用瓶颈问题的高速数据采集与分布式 处理相结合的方法，对i p s 和防御技术的研究具有一定的参考价值。 4 ) 本文是针对当前所有防御系统存在的不足而提出的，具有一定的普适性。 1 4 论文的主要内容及目标 本课题的研究目标是：使用普通p c 硬件的条件下，在l i n u x 平台结合免费、开源的 s n o r t 检测系统、防火墙n e t f i l t e r i p t a b l e s 框架、漏洞扫描技术与蜜罐技术构建一个高效、 低误报、低漏报、低成本的基于s n o r t 的网络入侵防御系统。 本课题主要的研究内容如下： 1 ) 研究和分析了入侵防御系统和相关技术原理。包括i p s 的基本概念和特点、产生、 基本工作原理、分类及存在的问题和发展趋势。 2 ) 研究和分析了目前网络安全解决方案的一些相关技术，如防火墙技术、漏洞扫描技 术、入侵检测技术、密罐技术等。 3 ) 研究d o s d d o s 的概念、攻击方法及攻击原理，重点对d d o s 检测算法进行了研究 和优化，以解决因p 地址欺骗造成系统漏检问题，并提出了一种解决当前高速网络环境下 i p s 的应用瓶颈问题的高速数据采集与分布式处理相结合的方法。 4 ) 根据目前网络安全解决方案的不足，提出一种新的高效、低误报、低漏报、低成本 的网络入侵防御系统综合解决方案，即防火墙技术、漏洞扫描技术、入侵检测技术与蜜罐 技术相结合的方案。 5 ) 按照新的方案，对n i p s 进行了比较详细的设计与实现，最后对n i p s 原型进行了 简单的测试和结果分析。 6 ) 最后，对本文所做的工作进行总结，并提出进一步工作的方向。 第4 页武汉科技大学硕士学位论文 第二章入侵防御系统介绍 本章对入侵防御系统进行了比较全面的介绍。首先简单介绍了入侵防御系统的基本概 念及特点，然后分析了i p s 的产生和基本工作原理，并对i p s 进行了分类研究，最后简单 探讨了入侵防御系统的问题和发展趋势。 2 1i p s 的基本概念及特点 入侵防御系统亦称为入侵防护系统( i n t r u s i o np r e v e n t i o ns y s t e m 1 引，i p s ) 是近年来网 络安全领域内新生的一种比较热门的技术。它是一种主动的、积极的入侵防范和嵌入式阻 挡系统，当它检测到攻击企图后，会自动地将攻击包丢弃或采取措施将攻击源阻断。 i p s 虽然是在防火墙和入侵检测技术基础上提出的，但又区别于二者它是一个能 够对入侵行为进行检测和响应的“主动防御 系统【1 3 l ，具有四个主要特点，如表2 1 所示。 表2 - 1i p s 的特点 特点 说明 i p s 具备一定内在的智能，能够全面深入分析、识别恶意行 完善的分析机制 为特性及入侵本质信息，及时为管理人员提供帮助。 i p s 依据状态信息来实现对网络环境的理解，分析引擎分析 状态信息的保持 信息时需要考虑当前的状态。 实时的主动响应i p s 能够实时、自动地阻止入侵行为发生。 i p s 的防御策略不仅包括部署方案、响应安全策略，还包括 全面的防御策略 系统的管理策略，具有一定的可管理性、可扩展性。 2 2i p s 的产生 ( 一) 防火墙与i d s 的局限性 防火墙与i d s 作为当前网络安全领域中占有重要地位的安全部件，受到了十分重视。 但随着网络攻击方法的复杂多样化，它们在使用中越来越多地暴露出自身的缺陷和不足。 防火墙的局限性【1 4 1 1 1 5 1 【1 6 l 目前的防火墙虽然技术先进、功能强大，但防火墙也只是作为整个安全体系中的一部 分，无法解决所有的网络安全问题，主要有几点原因：1 1 可以阻断攻击，但不能消灭攻击 源。2 ) 对应用层的攻击无能为力。3 ) 并发连接数的限制容易导致拥塞或者溢出。4 ) 一般对 内部主动发起连接的攻击无法阻止。5 1 本身也会出现问题和受到攻击。 i d s 的局限性1 1 7 j 1 1 8 j 虽然i d s 弥补了防火墙的缺点，能够深层次地检测和分析网络流量并发现网络中是否 武汉科技大学硕士学位论文第5 页 存在违反网络安全策略的行为，但是随着网络技术的不断发展，d s 也面临着几方面的挑 战：1 ) 具有较高的漏报率和误报率。2 ) m s 是以被动的方式工作的，只能检测攻击而不能 主动防御攻击。3 ) 对i d s 系统统的管理和维护比较困难。4 ) 自身的安全性问题。 ( 二) m s 产生的原因 i p s 产生的原因主要有两个：1 ) 串行部署的防火墙只能拦截对网络层和传输层的攻击 行为，对应用层的深层攻击行为却束手无策；2 ) 虽然旁路部署的d s 能发现穿透防火墙的 深层攻击行为，却无法对攻击进行实时阻断。 ( 三) i p s 与防火墙、i d s 的区别 在很多方面，m s 汲取了防火墙和d s 的技术精髓。但m s 并不能完全取代防火墙和i d s 的功能，它同防火墙、i d s 还存在许多区别。 1 ) w s 与防火墙的区别 从所处的位置来看，i p s 很像传统的防火墙技术。但是，传统防火墙只是在抵御基于 t c p 口协议的攻击方面比较出众，却不能抵御应用层的深层攻击：而w s 能够进行深层检 测，包括对应用层的攻击也能检测出来。如今防火墙大多具备网络地址转换m a t ) 和代理 服务等功能；而w s 不具备这些功能，其功能比较单一，被串联部署于防火墙后面，能够 对防火墙所不能阻断的攻击实施二次检测和阻断。 2 ) w s 和i d s 的区别1 1 9 j i p s 和i d s 的区别如图2 1 所示，主要有以下三个方面： ( 1 ) 部署方式不同。d s 是旁路式工作方式，其检测与关联的面较i p s 更广；而i p s 是 串接式工作方式，属于网关控制类产品。所以，i d s 重在通过检测网络攻击并报警来管理 网络，i p s 则重控制网络攻击。 ( 2 ) 设计要求不同。i d s 对数据转发的速度和事件响应能力要求较低；而i p s 因串联方 式部署在网络中，要求具有较强的数据转发和事件响应能力，否则就会造成网络瓶颈。 ( 3 ) 发展目标不同。i d s 目的在于监控网络并提供管理人员参考信息，让网络管理人员 更加直观地了解当前网络的入侵状况，以便对入侵采取最佳的阻断措施；而i p s 在提高性 能的同时更侧重于追求精确的识别和阻断攻击的能力。 图2 - 1i p s 与i d s 的区别 第6 页 一 壅圣翌垫垄兰堡主堂垡笙生 i 一 2 3i p s 的基本工作原理 i p s 是串联部署在网络中的，受保护网段与其它网络之间交互的数据流都必须通过i p s 设备。因此，它至少有两个网络端口，一个连接到内部网络，另一个连接到外部网络，通 过检测流经的网络流量，从而实现对网络系统的安全保护，其部署方式如图2 - 2 所示。 工作站 路由曩 舫火墙 i 陌 交换帆 毋。寸俯 服务叠 图2 - 2i p s 的部署方式 i p s 的工作原理【2 0 1 如图2 3 所示。 当数据包流经任何一个网卡接口时，i p s 会根据数据包的包头和流信息对包进行分类， 不同类别的数据包将被传递给检测引擎中不同的过滤器进行过滤。每个过滤器都是并行工 作的，它将每个数据包的特征与检测引擎中的规则逐条进行匹配。若数据包的特征与其中 的任何一条规则相匹配，那么该数据包将被标记为命中，说明有攻击发生，i p s 将发出报 警并丢弃该数据包或阻断会话，同时更新与该数据包相关的流状态信息，当该会话流的其 它数据包到达i p s 时，数据包也将被立即丢弃；若数据包未匹配检测引擎中的任何一条规 则，则该数据包会被视为正常，将顺利通过i p s 。 图2 3i p s 的工作原理 武汉科技大学硕士学位论文第7 页 2 4i p s 的分类 通过对i p s 发展现状及目前已有的i p s 相关研究成果的分析和总结，根据其工作平台 主要可分为三类1 2 1 j ：基于主机的入侵防御系统( h i p s ：h o s t b a s e d1 p s ) 和基于网络的入 侵防御系统( n i p s ：n e t w o r k - b a s e di p s ) 以及应用的入侵防御系统( a i p s ：a p p l i c a t i o ni p s ) 。 ( 一) 基于主机的入侵防御系统 h i p s 一般安装在需要保护的服务器、工作站和重要的主机上，为它们提供对发生行为 的具体控制。它通过安装软件代理程序来防止网络攻击侵入操作系统和应用程序。这些软 件代理程序处于操作系统内核与应用程序之间，既能以软件形式嵌入到应用程序对操作系 统的调用当中，也能以更改操作系统内核程序的方式，提供更为严谨的安全控制机制。 s t o r m w a t c h l 2 2 1 就是一个典型的h i p s ，工作在服务器或者工作站上，它具有四个针对 系统调用的拦截机：文件系统拦截机；网络拦截机；配置拦截机；执行空间( 运 行环境) 拦截机。通过调用系统的四个拦截机拦截对文件、网络、配置与运行环境的操作， 然后把它们与特定应用程序的访问控制规则和策略进行比较，对于正常的系统调用就传给 内核，恶意的系统调用就给予阻止。 ( 二) 基于网络的入侵防御系统 n i p s 可采用两种工作模式：一种是采取端口映像模式，将网络流量进行复制并接收外 部网络的数据流量；另一种是串联方式，采取在线模式嵌入到网络流量中，通过一个网络 端口接收外部网络的数据流量。 n i p s 的关键部位是检测引擎。检测引擎会根据报头信息如源目的i p 地址、网络流向、 端口号和协议类型等对所有流经n i p s 的数据包进行分类，然后将不同类型的数据包送到 相应的过滤器进行过滤，这些过滤器会对数据包的内容进一步深层检查。若攻击者是利用 从数据链路层到应用层的漏洞发起的攻击，那么n i p s 就能够检查出这些攻击并加以阻止。 a t t a c km i t i g a t o r l 2 3 j 就是一个n i p s 实现的典型例子。该系统是一个高可靠性、高性能、 基于a s i c 的转发设备。a t t a c km i t i g a t o r 由五个模块组成：安全核心引擎；抗d o s d d o s 引擎；抗蠕虫和8 0 端口攻击引擎；流量异常引擎；入侵响应引擎。通过这五大模 块，它可以对不断增长的网络攻击和入侵行为进行准确、可靠的检测，能够通过转发、限 制或丢弃等操作精确地控制数据流量。 ( 三) 应用入侵防御系统 a i p s 是h i p s 产品的一个特例，它是一种代替h i p s 的专门针对性能和应用级安全的 专用设备。它将主机入侵防御的功能延伸到驻留应用服务器之前并被部署在应用数据通路 中，目的是保证用户遵守已确定的安全策略，阻挡攻击进入应用环境，从而保护应用服务 器的安全。它可以防止包括c o o k i e 篡改、s q l 代码嵌入、缓冲区溢出、畸形数据包、数 据类型不匹配及已知漏洞等多种入侵。由于应用的大部分攻击必须经过服务器端口8 0 ( h t t p ) 或4 4 3 ( s s l ) ，a i p s 主要部署于诸如面向w e b 、依赖h t t p 或s s l 协议的应 第8 页武汉科技大学硕士学位论文 用系统中。目前，a i p s 才刚兴起，这些设备投入市场的时间也不长，但是这项新兴技术有 着美好的前景。 2 5i p s 存在的问题 i p s 作为一种新兴安全技术，结合了i d s 和防火墙的优势，它能够以更细粒度的方式 检查各个层面的网络数据流量，并主动响应和阻止攻击事件。但是，它同时也存在着许多 问题，这也正是未来i p s 领域需要研究的，主要有以下几点： 1 ) 单点失效问题i p s 是以串联方式工作在网络中的，就必然会出现单点失效问题的 可能性。若i p s 设备出现单点故障而关闭，就会对系统和网络的正常运行造成严重的影响， 也会使得企业和客户面对一个由i p s 造成的拒绝服务问题，所有用户都将无法j 下常访问受 保护的网络资源。 2 ) 性能瓶颈问题即使i p s 没有故障发生，同样，其串联工作方式决定了它依然会成 为一个潜在的性能瓶颈。i p s 设备必须与数千兆或更大容量的网络流量保持同步，特别是 在加载数量庞大的检测特征库后，i p s 嵌入设备因设计不够完善无法支持这种响应速度。 这样，若i p s 不具有高速的数据处理能力，那么不仅会增加滞后时间，而且会降低网络运 行的效率。 3 ) 误报和漏报问题假如入侵特征编写得不够完善，“误报 和“漏报”便有了可 乘之机，这导致的后果将是合法流量被意外拦截或应该被拦截的数据包却没有被拦截，这 样就会给内部网络安全造成严重威胁。因此，误报和漏报也是i p s 必须认真面对的问题。 4 ) 阻断攻击的管理问题主动阻断攻击是i p s 的重要技术优势，但若处理不好反而增 加管理负担。比如，i p s 在阻断时联动防火墙，可能会自主更改防火墙的访问控制策略， 而这种更改或许并不被允许或不能及时被发现而造成管理上的不便。另外，攻击流阻断的 恢复也需要人工解决，因错误报警而被阻断的合法流量也需要时间来及时发现和恢复。 2 6i p s 的发展趋势 针对以上i p s 所存在的问题，并结合目前安全技术的现状，可以预测将来i p s 的发展 趋势 2 4 1：1 ) 采用冗余的体系架构：2 ) 采用专门的硬件加速系统；3 ) 采用分布式体系 结构4 ) 综合采用多种检测技术；5 ) 由入侵防御到入侵管理；6 ) 全面综合的安全防御。 武汉科技大学硕士学位论文第9 页 3 1 防火墙技术 3 1 1 防火墙的分类 第三章网络安全相关技术 通常将防火墙1 2 5 j1 2 6 j 定义成一种技术，而不是一种产品。根据防火墙所采用的不同技 术，可分为四种基本类型：包过滤型、网络地址转换、代理型和状态检测型。具体如下： ( 1 ) 包过滤型( p a c k e tf i l t e r ) ：这种防火墙处于t c p i p 协议的m 层，采用一种分包传 输技术。它将每个数据包与已定义的过滤规则进行匹配，从而决定数据包是否转发或丢弃。 该技术的优点是简单实用，实现成本较低。 ( 2 ) 网络地址转换( n a t ) ：n a t 是将i p 地址转换成临时的、外部的、注册的i p 地址， 允许拥有私有口地址的内网访问i n t e r n e t 。这种防火墙根据预先已定义的映射规则来判断 访问是否安全。n a t 过程是透明的，用户不需要设置，只需进行常规操作即可。 ( 3 ) 代理型( p r o x y ) ：也被称为代理服务器，它弥补了包过滤技术对应用层协议理解的 不足。代理服务需要两个部件：代理服务器与代理客户。代理服务器对用户透明，它代表 客户与真正的服务器交谈，并将结果反馈给客户。其优点是安全性较高，对基于应用层的 入侵和病毒非常有效，缺点是对系统整体性能有较大影响，而且系统的配置管理复杂。 ( 4 ) 状态检测( s t a t e f u li n s p e c t i o n ) ：该技术是一种信息跟踪方式，一般工作在数据链 路层和网络层之间，可以监视所有进出的报文。作为应用代理的替代，它具有速度快、控 制简单的特点。但是，不能隐藏内部用户的i p 地址，使得黑客能以此作为攻击点。 由于包过滤、应用代理和状态检测各有千秋，目前，防火墙一般都同时支持包过滤、 代理、状态检测这三种技术。 3 1 2 防火墙的发展 在防火墙产品的研发中，网络拓扑技术、路由技术、加密技术、安全审计技术等先进 成熟的手段得到了广泛地应用。纵观防火墙产品近些年来的发展，可分为四个阶段。 、基于路由器的防火墙 由于大多数路由器自身包含了分组过滤功能，故可通过路由控制来实现网络访问控制 功能。其特点是：利用路由器自身的分组解析，以访问控制表方式实现对分组的过滤；过 滤判决可以m 地址、端口号、m 选项及其它网络特征作为依据；只具有分组过滤功能， 且防火墙和路由器为一体的，根据网络安全性要求不同而需采取不同的使用方法。 、用户化的防火墙工具套 作为第二代防火墙产品，它具有的特征是：过滤功能从路由器中独立出来并增加了审 计与告警功能；针对用户的需求，提供了模块化的软件包；软件能经网络传送，用户可自 己构造防火墙；同第一代防火墙作比，不仅价格降低了，而且安全性提高了。 第1 0 页武汉科技大学硕士学位论文 、建立在通用操作系统上的防火墙 这一代产品近年来在市场上受到广泛地应用，它的特点是：属于一种批量上市的专用 防火墙产品；配备专用代理系统，监控所有协议的数据与指令；借用或包含路由器的分组 过滤功能；保护用户的