（通信与信息系统专业论文）入侵检测和分布式防火墙策略配置研究.pdf

中文摘要 摘要 互联网已经毫无争议地成为当今信息社会的基础设施。电子商务、电子政务、 信息交流、视频会议等网络应用已经深入到社会生活中的各个行业，但安全风险 日益突出。来自于内部职员或外部黑客发动的攻击事件层出不穷，给企业和社会 造成极大损失。为了应对频繁出现的分布式、多目标的组合式网络攻击和黑客行 为，防火墙技术和入侵检测技术成为了网络安全领域研究的热点。 入侵检测技术能够在网络系统中发现并报告入侵等各种违反安全策略的行 为。分布式防火墙技术打破了传统防火墙手工制定策略的模式以及防外不防内的 弊端，采用安全策略中心集中制定安全策略，进行分布式防御，但也存在着策略 控制中心负载过重的问题。智能节点重叠网构建于现有网络层之上，形成3 + 层， 可以在保持原有网络不变的基础上，实现网络承载与控制的分离，为网络注入智 能化的认知及管理能力。在演进型智能节点重叠网架构下引入入侵检测和分布式 防火墙技术，演进型智能节点上采样流量数据的入侵检测告警，生成相应的分布 式防火墙策略，统一分发给防火墙进行分布式防御。在充分利演进型用智能节点 的网络认知能力进行入侵检测的同时，减轻了分布式防火墙策略控制中心的负载， 扩大分布式防火墙的适用范围，提高网络的安全性。 本文的主要工作是在演进型智能节点重叠网架构下进行分布式防火墙策略的 配置，同时将改进后的等距映射及参数优化的相关向量机应用到入侵检测系统中。 论文在探讨基于模式识别框架的入侵检测技术的基础上，系统研究了特征降维和 分类检测方面的相关理论及其在入侵检测中的应用技术。 本文取得的主要研究成果包括三个方面：一、设计了基于智能节点重叠网架构 下分布式网络安全的基本框架，分为入侵检测告警模块和分布式防火墙策略配置 模块两部分。通过演进型智能节点上采集数据的入侵检测告警，生成相应的防火 墙策略并对相应的分布式防火墙进行策略配置。二、在现有的基于地标等距映射 的支持向量机入侵检测模型进行了改进，对等距映射算法进行了核f i s h e r 线性判 别优化的同时，用深度优先搜索优化参数后相关向量机代替原有的支持向量机。 实验结果表明，该模型在保证一定检测率的情况下，误报率低于基于地标等距映 射的支持向量机入侵检测模型和传统的主成分分析支持向量机入侵检测模型。三、 在远程计算机上通过s s h 调用防火墙的类，进行了分布式防火墙智能i p 限速和黑 名单添加的策略配置，并获得了较为理想的实验效果。 关键词：演进型智能节点重叠网；等距映射；相关向量机；深度优先搜索；分布 重庆大学硕士学位论文 式防火墙策略配置 l i 英文摘要 a b s t r a c t i n t e m e th a su n d o u b t e d l yb e c o m eb a s i ci n f r a s t r u c t u r eo fm o d e ms o c i e t y n e t w o r k a p p l i c a t i o n s s u c ha se - c o m m e r c e ，e g o v e r n m e n t ，i n f o r m a t i o ne x c h a n g e ，v i d e o c o n f e r e n c eh a v eb e e nw i d e l ya p p l i e dt oe v e r yc o m e ro fs o c i a ll i f e ，i nt h em e a nt i m e b r o u g h ti nv a r i o u ss e c u r i t yr i s k s a t t a c k sf r o mi n t e r n a ls t a f f sa n de x t e r n a lh a c k e r sb r i n g i ng r e a tl o s st oe n t e r p r i s e sa n ds o c i e t y t od e a lw i t ht h ef r e q u e n te m e r g e n c eo ft h e d i s t r i b u t e d ，m u l t i - o b j e c t i v em o d u l a rn e t w o r ka t t a c k sa n dh a c k i n g ，i n t r u s i o nd e t e c t i o n t e c h n o l o g y , e s p e c i a l l yf i r e w a l la n di n t r u s i o nd e t e c t i o nt e c h n o l o g i e s ，h a v eb e c o m et h e p r o m i s i n gh o tt o p i c so fp r e s e n ts t u d y i n t r u s i o nd e t e c t i o nt e c h n o l o g yi sa b l et ol o c a t e ，m o n i t o r , a n dr e p o r tb e h a v i o r v i o l a t i n gs e c u r i t yp o l i c yi nt h en e t w o r k d i s t r i b u t e df i r e w a l lt e c h n o l o g yh a sb e e n a p p l i e dt or e p l a c e t h et r a d i t i o n a lf i r e w a l l ，w h i c hf e a t u r e sm a n u a ls t r a t e g yc o n f i g u r a t i o n a n di n a b i l i t yo fd e t e c t i n gi n t r u s i o nf r o mi n s i d e u n l i k et r a d i t i o n a lf i r e w a l l ，d i s t r i b u t e d f i r e w a l lu t i l i z eas e c u r i t yc e n t e rt og e n e r a t es e c u r i t ys t r a t e g i e s ，a n dd i s t r i b u t et h e s e s t r a t e g i e st oe a c hn o d e h o w e v e r ，t h i sc e n t r a lc o n t r o lt e c h n o l o g yh a st h ed r a w b a c ko f o v e r l o a d i n g t os o l v et h i si s s u e ，t h ee v o l v e di n t e l l i g e n tn o d eo v e r l a yn e t w o r kb a s e d o nd i s t r i b u t e df i r e w a l li n t r u s i o nd e t e c t i o nt e c h n o l o g yh a sb e e nb u i l ta b o v et h ee x i s t i n g n e t w o r kl a y e rt of o r mam u l t i l a y e rn e t w o r k ，w h i c hs e p a r a t e sn e t w o r kb e a r e ra n d m a n a g e m e n tw i t h o u tc h a n g i n ge x i s t i n gn e t w o r ks t r u c t u r e 1 1 1 ei n t r u s i o nd e t e c t i o n s y s t e mo nt h ee v o l v e di n t e l l i g e n tn o d ei sa b l et od e t e c tt h ei n t r u s i o nf r o ms a m p l e d 打獭cd a t a t h e nt h ee v o l v e di n t e l l i g e n tn o d eg e n e r a t e sc o r r e s p o n d i n gd i s t r i b u t e d f i r e w a l ls t r a t e g i e s ，a n du n i f i e dd i s t r i b u t e st h e s es t a t e g i e st oe a c hf i r e w a l lf o rd i s t r i b u t e d d e f e n d i n g t a k i n gt h ef u l la d v a n t a g eo ft h ee v o l v e di n t e l l i g e n tn o d e sc o g n i t i v ea b i l i t y o fi n t r u s i o nd e t e c t i o n ，t h es c o p eo fd e t e c t i o nr a n g ei se x p a n d e d ，w h i l et h el o a do ft h e c o n t r o lc e n t e ri sr e d u c e d t h em a i nw o r ko ft h i sp a p e ra r e1 ) p o l i c yc o n f i g u r a t i o nf o rd i s t r i b u t e df i r e w a l l b a s e do ne v o l v e di n t e l l i g e n tn o d eo v e r l a yn e t w o r ks t r u c t u r e ，a n d2 ) a p p l i c a t i o no f i m p r o v e di s o m e t r i cm a p p i n ga n do p t i m i z e dr e l e v a n tv e c t o rm a c h i n ef o ri n t r u s i o n d e t e c t i o ns y s t e m b a s e do ni n t r u s i o nd e t e c t i o nt e c h n o l o g yo ft h ep a r e mr e c o g n i t i o n f r a m e w o r k ，t h i sp a p e rd i s c u s s e sd i m e n s i o nr e d u c t i o no fs y s t e mf e a t u r e sa n d c l a s s i f i c a t i o nd e t e c t i o nf o r t h ed i s t r i b u t e df i r e w a l lb a s e di n t r u s i o nd e t e c t i o nt e c h n o l o g y , m e a n w h i l ec o n d u c tv a r i o u se x p e r i m e n t st oe v a l u a t et h ep e r f o r m a n c e i i i 重庆大学硕士学位论文 t h em a i na c h i e v e m e n ti n c l u d e st h r e ea s p e c t s ：1 、d e s i g n e dt h eb a s i cf r a m e w o r ko f d i s t r i b u t e dn e t w o r ks e c u r i t ys y s t e mb a s e do ne i n o na r c h i t e c t u r e t h ef r a m e w o r ki s d i v i d e di n t oi n t r u s i o nd e t e c t i o nm o d u l ea n df i r e w a l ls t r a t e g yc o n f i g u r a t i o nm o d u l e m l e nt h ei n t r u s i o nd e t e c t i o ns y s t e mo nt h ee i nd e t e c t st h ea t t a c kf r o ms a m p l e dt r a f f i c d a t a , t h ee i ng e n e r a t e s ，d i s t r i b u t e ，a n dc o n f i g u r ec o r r e s p o n d i n gf i r e w a l lp o l i c yt oe a c h f i r e w a l l 2 ) i no r d e rt oi m p r o v ep r e s e n ti s o m a p s v mi n t r u s i o nd e t e c t i o nm o d e ， k f l d i s o m a pa n dp a r a m e t e ro p t i m i z e dr v ma r ea p p l i e dt oi n t r u s i o nd e t e c t i o n m o d e l 1 1 1 ee x p e r i m e n t a lr e s u l t ss h o wt h a tt h em o d e lh a sl o w e rf a l s ea l a r mr a t et h a n l i s o m a p - s v mm o d ea n dt r a d i t i o n a lp c a s v mm o d ew h i l em a i n t a i nt h es a m e d e t e c t i o nr a t e 3 ) p o l i c yc o n f i g u r a t i o nt h r o u g hs s hf r o mt h er e m o t ec o m p u t e rr e a l i z e s f a s ti ps p e e dl i m i t a t i o na n db l a c k l i s tm o d i f i c a t i o n k e y w o r d s ：e v o l v e di n t e l l i g e n tn o d eo v e r l a yn e t w o r k ，i s o m a p ,r v m ，d e e p r e s e a r c hf i r s t ，d i s t r i b u t e df i r e w a l ls t r a t e g yc o n f i g u r a t i o n i v 1 绪论 1 绪论 1 1 研究背景及意义 随着计算机和通信技术的迅猛发展，计算机网络技术得到广泛应用，人们无 论是在生活上还是工作上都越来越离不开计算机网络。特别是2 0 世纪9 0 年代以 后，因特网得到长足的发展，电子商务、电子政务如火如荼的发展起来。计算机 网络已经渗透到人们的生活、工作当中，同时也渗透到社会的各方面，成为各个 行业的基础性设施。网络在为人们提供便利、带来效益的同时，也使人们面临着 信息安全方面的巨大挑战。信息和网络安全问题已经上升为一个事关国家政治稳 定、社会安定和经济有序运行的全局性问题。从c e r t 每年的安全事件报告可以 看出，安全事件呈指数增长，威胁也越来越严重。据统计，目前在i n t e r n e t 上有超 过1 3 的防火墙曾被突破。另外，攻击技术也由简单攻击发展为复杂攻击，如组合 式攻击、自动脚本攻击和协同攻击。同时网络带宽的不断增加，新的网上应用业 务的不断推出，都对网络安全系统和相关技术提出了新的挑战。 网络安全【l 】是- - f q 涉及计算机科学、网络技术、通信技术、密码技术、信息安 全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上讲，凡是 涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论 都是网络安全的研究领域。常见的网络安全防火措施包括数据加密技术、身份鉴 别与访问控制技术、防火墙技术、反病毒技术、入侵检测技术、风险评估技术等。 伴随着每个用户在网络中的每个网络行为都有网络流量产生，人们通过允许、 拒绝或重定向经过防火墙的网络流量，来保护内部网络资源免遭非法入侵，达到 维护网络安全的目的【2 】；入侵检测技术【3 】【4 】通过监视分析用户及受保护系统的活动， 检测系统配置正确性和安全漏洞，通过对异常行为模式的统计分析，及时发现非 授权的或恶意的系统及网络行为，为防范入侵行为提供有效手段。因此入侵检测 技术和防火墙技术的研究具有重要的社会意义以及广阔的应用前景。 1 2 入侵检测和防火墙策略配置研究现状 1 2 1 入侵检测技术的发展 入侵检测技术发展至今主要经历了如下三个阶段【5 】【6 】： 第一阶段：以d e n n i n g 模型为代表的i d s 早期技术。该模型假设入侵行为 明显区别于正常活动，入侵者使用系统的模式不同于正常用户的使用模式，通过 监控系统的跟踪记录可识别入侵者异常使用系统的模式，从而检测出入侵者违反 系统安全性的情况。该模型缺乏有力证据，有些想当然。 重庆大学硕士学位论文 第二阶段：统计学理论和专家系统相结合。如w i s d o m 和s e n s e 使用非参量 的统计技术从历史审计数据中产生规则。但其缺点在于训练数据的困难、高误报 率和规则库对存储能力的过高要求。 第三阶段：基于网络的n i d s ，这也是目前的主流技术。n i d s 系统由安全 控制中心和多个探测器组成。安全控制中心完成整个分布式安全监测预警系统的 管理与配置。探测器负责检测其所在网段上的数据流，进行实时自动攻击识别和 响应。n i d s 采用透明的工作方式，不影响网络传输效率；采用集中管理的分布工 作方式，能够远程监控并进行运行状态实时监控；拥有良好的应用扩充能力；以 安全策略模板、安全事件、安全事件响应方式支持安全策略定义；探测器支持多 接口并且有隐蔽自身的自我保护功能。 1 2 2 入侵检测技术的研究现状 人们对入侵检测技术的研究始于2 0 世纪8 0 年代初，有j a m e sa n d e r s o n 所提 交的计算机安全威胁的监控与监测报告被认为是第一篇提出入侵检测概念的 文章【7 j 。a n d e r s o n 将入侵定义为对信息非授权的访问、操作和导致系统不稳定不可 靠的行为。d e n n i n g 在1 9 8 7 年提出的入侵检测抽象模型首次将入侵检测的概念作 为一种全新的与传统加密认证和访问控制完全不同的计算机安全防御措施提出， 该文被认为是针对入侵检测研究的推动性工作。 国际i d s 研发方面呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向 取得了长足进展。如哥伦比亚大学开发的实用智能代理和机器学习技术的j a m 8 】 u cs a n t ab a r b a r a 开发的n e t s t a t 9 1 ，北卡罗来纳州立大学开发的j i - n a o 1 0 1 ，新墨西哥 大学开发的基于免疫学的分布式i d s 1 1 】等。目前s r i c s l 、普渡大学、加州大学戴 维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、西墨西哥大学等研究机构 在i d s 及其相关领域中的研究代表了当今的最高水平。 目前国内的入侵检测研究领域也是风生水起。北京邮电大学交换技术与通信 网国家重点实验室提出一种自适应的入侵检测系统框架【1 2 】。中国科学院研究生院 信息安全国家重点实验室提出了基于模式挖掘的用户行为异常检测的用户行为异 常检测的方法利用数据挖掘中的关联分析和序列模式挖掘技术对用户行为进行模 式挖掘的方法【l3 1 。文献 1 4 】提出了一种基于机器学 - - 3 的主要用于u n i x 平台上以 s h e l l 命令为审计数据的用户行为异常检测方法。文献 1 5 提出了一种基于改进的生 长型分级自组织映射神经网络的入侵检测方法，能够处理还有数值类型成员和字 符型成员的混合输入模式向量，提高了入侵检测的效率。文献 1 6 提出了基于因子 分析法特征提取的s v m 分类模型，获得了良好的降维效果和入侵检测实时性。 1 2 3 防火墙策略配置研究现状 目前对防火墙策略配置的的研究主要集中在策略配置错误的分析和检测方 2 1 绪论 面。 文献 1 7 1 首先定义了规则交迭的概念，然后采用了增加解决集的办法来修正此 问题。文献【1 8 1 采用了专家系统来检测防火墙规则冲突，其优点在于不需要复杂的 数据结构。文献 1 9 提出了一种基于统计分析和规则冲突检测的防火墙优化方法， 从防火墙规则的匹配概率入手，结合规则间的冲突检测，实现防火墙规则的精简 和线型匹配优化。文献 2 0 】基于惰性展开的t r i e 数据结构，利用l e t i l e 结构存 储规则表，提出了一种防火墙策略的冲突检测与消除算法。文献 2 1 】提出了一种针 对规则集不一致性的测试数据报选取算法，以两条规则为基本单位，计算其不一 致性区域。 1 3 项目来源及简单介绍 本论文项目来源于国家科技重大专项三“新型宽带移动i p 网络架构、关键技术 及试验验证”项目，重庆大学负责子项“分布式网络安全及路由抗毁技术”。项目编 号：2 0 1 0 z x 0 3 0 0 4 0 0 2 。 本课题采用演进型智能节点重叠网( e v a l u a t ei n t e l l i g e n c e n o d e o v e r l a y n e t w o r k ，e l n o n ) 架构，如图1 1 所示，对网络进行分布式管理，实现对分布式防火 墙中心策略服务器的剥离，极大程度的减少了单个中心策略服务器的压力，同时， 由于智能节点( e v a l u a t ei n t e l l i g e n c en o d e ，e r n ) 间信息交互，使得安全策略在全网范 围内得到统一，从而增强了网络的安全性。同时，根据流量监测模块的探测功能， 对网络故障及攻击做出快速反应，通过绕路、多路径、多路由策略配置或者攻击 拦截等措施，克服数据单链路传输产生故障带来的影响，实现路由的抗毁，保证 网络数据的安全性。 重庆大学硕士学位论文 e n d u s e r 图1 1 演进型智能节点重叠网架构图 f i g u r e 1 1t h ea r c h i t e c t u r eo fe l n o n 1 4 分布式网络安全系统框架 自治域内部的网络简单结构图1 2 所示： 图1 2 自治域内部简单网络结构图 f i g u r e1 2t h es i m p l en e t w o r ks t r u c t u r ei na u t o n o m o u ss y s t e m 4 务器 1 绪论 演进型智能节点内部的分布式网络安全系统框架主要由两个模块构成( 如图 1 3 所示) ：入侵检测分类模块，分布式防火墙策略配置模块。其中入侵检测分类模 块通过对网络流量数据进行信息提取进行入侵检测判断并对e i n 提出告警；e i n 则 根据告警情况进行分析，对分布式防火墙进行策略配置，从而生成防火墙新的规 则。 网络流量获取 l l 一 ： ： ： 入 ： ： ： ： 侵 ：数特征提取 ： ： 分 特征匹配 检据 ： 。类 测处 一 7 器 分 ： 理 特征降维i ! ! 特征分类 类 i | = ： 一 ：。：。- 入侵告警 l 土。 ， ； ； ； ； 告警分析 i ； 策略配置 ： i ：，j 图1 3 分布式网络安全系统框架 f i g u r e 1 3t h ea r c h i t e c t u r eo fd i s t r i b u t e dn e t w o r ks e c u r i t ys y s t e m 1 5 本文主要研究工作和内容安排 1 5 1 本文主要研究工作 本文在分布式网络安全系统框架的基础上，针对网络流量高维非线性以及传 统支持向量机( s u p p o r tv e c t o rm a c h i n e ，s v m ) 必须满足m e r c e r 定理的缺点，结合核 f i s h e r 线性划分的等距映射、深度优先搜索算法和相关向量机( r e l e v a n tv e c t o r m a c h i n e ，r v m ) 对现有的地标节点等距映射支持向量机( l a n d m a r ki s o m e t r i c m a p p i n gs u p p o r tv e c t o rm a c h i n e ，l i s o m a p s v m ) f 1 侵检测模型进行了改进，实 验表明在保证一定检测率的情况下，误报率明显低于l i s o m a p s v m 和传统的 p c a - s v m 。同时，针对分布式防火墙策略配置技术进行了实验验证。 1 5 2 论文章节安排 论文各章内容安排如下： 重庆大学硕士学位论文 第一章绪论。介绍入侵检测技术和防火墙策略配置技术研究背景、意义，发 展应用与研究现状、分布式网络安全系统框图以及本文的研究工作。 第二章进行入侵检测系统的和分布式防火墙策略配置的概要介绍，阐述其类 型，具体构成以及相关参数定义。 第三章引入基于模式识别框架的入侵检测系统特征，就特征选择方法和特征 分类方法的介绍。 第四章改进了l i s o m a p s v m 模型，阐述k f l d i s o m a p 改进算法，并对 相关向量机惩罚参数进行d f s 优化，并给出相应的实验结果比较。 第五章基于e i n o n 架构的分布式防火墙策略配置实现。 第六章简单总结本文工作，并对未来工作和研究方向进行了展望。 6 2 入侵检测和分布式防火墙 2 入侵检测和分布式防火墙 2 1 入侵检测技术 目前，在网络安全领域对入侵普遍使用的定义是：入侵是指威胁或危害网络 资源的完整性、机密性和可用性的行为集合。入侵检测技术就是在计算机网络系 统中发现并报告入侵等各种违反安全策略行为的技术。入侵检测实质是一个分类 问题，也就是针对各种主机日志、网络数据包等审计数据进行分类，以发现哪些 数据是正常的( 代表正常用户行为) ，哪些数据是异常的( 代表异常用户行为) 。 2 1 1 入侵检测系统 入侵检测系统【2 2 】【2 3 】【2 4 l ( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是一种计算机软件或 软、硬件系统组合。它通过对被保护网络、主机数据的采集和对采集到的数据进 行分类和分析，发现入侵行为。入侵检测系统有如下主要作用1 2 5 】： 审计系统的配置和存在的漏洞； 监测、分析用户和系统的活动； 评估系统关键资源和数据文件的完整性和一致性； 识别已知的攻击行为，统计分析异常行为； 发现正在进行的或已经实现的违反系统安全策略的活动； 对已经发现的攻击行为进行合适的响应； 典型的入侵检测部署方案如图2 1 所示： ； 嗽。窜妻 b 一加5 j 固 图2 1 典型的入侵检测部署方案 f i g u r e 2 1t h eg e n e r a ld e p l o y m e n ts c h e m eo fi n t r u s i o nd e t e c t i o n 7 重庆大学硕士学位论文 2 1 2 入侵检测系统的分类 根据检测对象划分 根据检测对象的不同，入侵检测可以分为两种，即基于主机的入侵检测和基 于网络的入侵检测。两种方法各具优势、互为补充。 1 ) 基于主机的入侵检测。基于主机的入侵检测历史比较悠久，最早被用于审 计用户的活动，如用户登录、命令操作、应用程序使用资源等。基于主机 的入侵检测系统运行于被监测的系统上，用以检测系统上正在运行的进程 是否合法，以保护主机不受网络入侵行为的危害，检测过程基本如图2 2 所示。 图2 2 基于主机的入侵检测模型 f i g u r e 2 2i n t r u s i o nd e t e c t i o nm o d e lb a s e do nh o s t 基于主机的入侵检测技术内容主要包括： a 主机监测。主要通过对文件系统、登记记录或其他主机文件中留下的痕迹的检 测来防范对主机的入侵企图和行为。 b 网络监测。通过对发送到主机的数据信息的分析，来确认潜在的主机入侵行为。 c 外来连接监测。通过对外来数据包在真正进入主机之前，对连接后试图进入主 机的数据包的监测，避免其进入系统后可能造成的危害。 d 注册行为监测。寻找系统的不寻常操作，对用户试图进行注册和注销进行监控， 并就这些活动中不正常的部分向系统管理员告警。 2 入侵检测和分布式防火墙 e 文件系统监测。由于入侵者攻陷了系统后一般就会更改系统文件或一些设置， 因此通过对系统文件和一些系统程序的监测，可以监测到文件系统异常状况以 便及时报告系统管理员。 根据操作监测，监测主机上的r o o t 权限用户的活动正常与否，以免r o o t 权限被 非法入侵者掌握。 基于主机入侵检测的优点在于能够较为准确地监测到发生在主机系统高层的 复杂攻击行为，因为有很多发生在应用程序级别的攻击行为是无法通过网络入侵 检测系统完成的。但基于主机的入侵检测技术要依靠特定的操作系统平台：由于 运行在保护主机上，因此会影响主机的运行性能，且无法对网络中大规模攻击行 为做出及时反应。 2 ) 基于网络的入侵检测。基于网络的入侵检测( n e t w o r ki n t r u s i o nd e t e c t i o n s y s t e m ，n i d s ) 又称为硬件检测。主要使用网络中的数据包作为数据源。 n i d s 一般部署在比较重要的网段内，通过对数据包的特征分析和模式匹 配，一旦检测到有网络攻击行为，检测系统就会自动做出相应措施，如发 出报警、切断网络连接、保存会话记录等。如图2 3 所示。 图2 3 基于网络的入侵检测模型 f i g u r e 2 3i n t r u s i o nd e t e c t i o nm o d e lb a s e do nn e t w o r k 基于网络的入侵检测技术的优点在于：提供实时性的网络行为监测，能够检 测那些来自网络的攻击；可同时保护多台网络主机；系统具有良好的隐蔽性；能 有效保护入侵证据，且不影响主机性能。 基于网络区间检测技术的缺点在于：网络入侵检测系统不能检测不同网段内 的数据包；网络入侵检测系统在检测过程中需要处理大量的数据包，对硬件资源 要求较高。此外，网络入侵检测系统对加密数据包和加密会话过程的检测与处理 比较困难。 9 重庆大学硕士学位论文 根据检测时问划分 根据入侵检测时间的不同，还可以分为实时入侵检测和事后入侵检测两种。 1 ) 实时入侵检测。实时入侵检测是根据审计数据库中提出的历史行为模型， 用模式匹配或异常检测等方式，对当前的网络行为进行匹配和判断，如果 发现有入侵行为就立即断开与入侵者的网络连接，并记录入侵行为，即时 通知系统管理员。 2 ) 事后入侵检测。事后入侵检测对入侵行为的匹配和判断方式与实时入侵检 测类似，不同的是事后入侵检测不对用户当前的网络行为进行实时的检 测，而是对一段时间内已经完成的网络行为历史记录进行审计，发现有入 侵行为后及时告警，因而其入侵防御能力没有实时入侵检测强。 根据检测技术和原理划分 根据入侵检测技术和原理的不同，可以将入侵检测分为异常检测和误用检测 两种。 1 ) 异常检测【2 6 1 1 2 7 1 。异常检测技术也称为基于行为的检测技术，是根据用户行 为和系统资源的使用状况判断是否存在网络入侵。主要通过采集和统计来 发现网络或系统中可能出现的异常行为。 异常检测的前提是，入侵活动是异常活动的子集。理想的情况是异常活动子 集与入侵活动集相等。这样，检测到的异常就等同于检测到入侵。异常入侵检测 需要通过统计等方法建立系统或网络正常行为模型，然后再用这个模型去判断当 前网络中的行为是否异常。通过这样一个模型可以减少误报的发生。 异常检测可以自动发现新的安全攻击知识，但在实现上有很大的难度，而且 通常不能得出准确的结论，只能指出有异常出现或者提示某种可能。如果网络行 为发生变化，还需要重新训练，建立新的模型才能进行异常检测。 常见的异常检测方法有： a 基于统计分析的异常检测法【2 引。该方法是最早使用的一种入侵检测分析法。该 方法的好处在于，系统可以“学习”喜好和使用习惯，并建立一定的匹配规则集。 检测系统通过对用户操作和系统中异常、可疑行为的统计，来检测那些入侵网 络系统的行为。 b 基于数据挖掘的异常检测方法【2 9 j 。该方法适用于大量数据的网络，但是实时性 较差。目前的方法有数据库知识发现( k n o w l e d g ed i s c o v e r yi nd a t a b a s e s ，k d d ) 等，优点是善于处理大量数据的能力与数据关联的分析能力。 c 基于贝叶斯推理的异常检测法【30 1 。该方法是根据异常行为判断系统被入侵的概 率。即根据被保护系统当前各种行为特征的测量值进行推理，判断是否有入侵 行为发生。最常用的一种方法是通过相关性分析，确定各个异常变量与入侵之 1 0 2 入侵检测和分布式防火墙 间的关系，如图2 4 所示。 图2 4 异常检测模型 f i g u r e 2 4a n o m a l y d e t e c t i o nm o d e l 2 ) 误用检测3 1 】【3 2 1 。误用检测指的是通过预先定义好的入侵模式以及观察到的 入侵发生情况进行模式匹配的方法来检测，因而误用检测技术也称为基于知 识的检测技术，或者特征检测。 基于误用检测的入侵检测技术通过收集入侵攻击和系统缺陷相关的知识来构 成入侵检测的知识库，然后利用这些知识库中的内容去匹配用户的具体操作，从 而检测出入侵行为。系统中任何不能确认是攻击的行为都可以被认为是系统的正 常行为。因此，基于入侵知识的入侵检测系统具有很好的检测精确度，理论上具 有非常低的误报率。但其检测完备性在依赖于对入侵攻击和系统缺陷的相关知识 的不断更新和补充，因而不能检测未知的入侵行为。 误用检测的关键在于如何表达入侵行为，即构建入侵攻击模式，把真正的入侵 与正常行为区分开来，以及检测过程中的推理模型。在实现上，基于误用检测的 入侵检测系统的区别体现在表示入侵模式的方式以及在系统的检测痕迹中检测入 侵模式的机制上。 常见的误用检测方法有表达式匹配、状态转移、专用语言分析、遗传算法和 p e t r i 网等。 2 1 3 入侵检测存在的问题 入侵检测系统作为2 0 多年来不断发展的重要网络安全工具，仍有需要完善的 地方。目前还存在着如下几个方面的问题： 检测率和误报率的问题。检测率( d e t e c t i o nr a t e ，d r ) 是指被监控系统受到 入侵攻击时，入侵检测系统更能够正确报警的概率。误报率( f a l s ea l a r mr a t e ，f r ) 就是入侵检测系统误将网络或主机上所发生的正常事件识别为入侵事件并产生报 警的概率。 重庆大学硕士学位论文 海量事件难以分析。入侵检测系统会在短时间内产生成千上万条报警信息， 数据量相当大，同时这些报警信息里面有掺杂着大量误报信息以及漏报导致的不 完整信息，使得网络安全管理人员很难对这些信息进行分析，进而进行正确的响 应决策。 难以同其他设备联动。当发生入侵时，目前绝大多数的入侵检测系统更只 限于发出报警信息，不能和其他安全系统如防火墙等进行联动，对报警的分析以 及对入侵的响应都由管理员手工完成。 难以部署。一般来说，基于主机的入侵检测系统都安装在被保护的主机上， 这会加重保护主机的负担，造成系统性能下降；基于网络的入侵检测系统要从网 络中采集数据包进行检测分析。在交换环境下，n i d s 的部署位置既要保证到来自 内网的入侵活动，同时也能检测到来自外网的攻击是一件比较困难的事情。另外 如何在高带宽环境下保证不丢失数据包也是目前i d s 部署中所面临的问题。 本身存在安全隐患。入侵检测系统所运行的平台和系统都会存在安全漏洞。 即使没有漏洞，入侵检测系统的检测和报警机制也可能会被入侵者利用，这些都 是入侵检测系统的安全隐患。 2 2 分布式防火墙 2 2 1 防火墙及其作用 当构筑和使用木质结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固 的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙( f i r e w a l l ，f w ) 。 在计算机网络中，人们借助了这个概念，使用防火墙来实现不同网络之间( 或主机 与网络之间) 访问控制和安全边界的逻辑隔离。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器。具体来说， 防火墙是指设置在不同网络( 如可信任的内部网和不可信的公共网，如图2 5 所示) 或网络安全域之间( 如图2 6 所示) 或主机( p e r s o n a lc o m p u t e r , p c ) 与网络之间( 如图 2 7 ) 所示) 的一系列软硬件的组合，是不同网络、网络安全域或主机与网络之间信息 的唯一出入口，能根据安全策略控制( 允许、拒绝、监测) 出入网络或主机的信息流， 保证内网或主机的安全，且本身具有较强的抗攻击能力。它是提供信息安全服务， 实现网络和信息安全的基础设施。其主要作用如下： 1 2 2 入侵检测和分布式防火墙 防火墙 图2 5 内网与公共网之间的防火墙 f i g u r e 2 5f wb e t w e e ni n h o u s en e t w o r k a n dp u b l i cn e t w o r k 防火墙 图2 6 内部网络之间的防火墙 f i g u r e 2 6f w b e t w e e ni n h o u s en e t w o r k s 主机 图2 7 主机网络之间的防火墙 f i g u r e 2 7f wb e t w e e np ca n dn e t w o r k 实现了网络安全边界的划分与隔离 目前，众多类型的防火墙可以根据用户的安全需要，实现不同范围或粒度安 全区域的划分和隔离。所划分的安全区域可以是一个大型网络，也可以是一个小 型网络，甚至是为一台主机。一个防火墙( 作为阻塞点、控制点) 能极大的提高一个 网络内部的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选 择的应用协议才能通过防火墙，所以网络环境变得更安全。 可对网络存取和访问进行监控审计 防火墙所隔离的内外网之间的访问通信都要经过防火墙，防火墙可以记录下 这些访问，并可以根据管理员的安全需求做出日志记录，从而可以对这些访问控 制实时监控、审计。同时，也能提供网络使用情况的统计数据。当发生可疑动作 时，防火墙能进行适当的预警，并提供网络是否收到攻击的详细信息。 重庆大学硕士学位论文 可以防止内部信息的外泄 通过防火墙可实现内部网重点网段与外部的隔离，可以掩盖内部网络结构和 被保护主机的详细情况，防止外网用户对内网或主机的恶意侦测，从而限制了局 部重点或敏感网络安全问题对全局网络造成的影响。 除了安全作用，通过防火墙的地址转换n a t 功能，可以缓和现有i p 地址空间 不足的问题。有的防火墙还可以支持虚拟专用网( v i r t u a lp r i v a t en e t w o r k ，v p n ) 功 能，可将企事业单位在地域上分布在全世界各地的l a n 或专用子网有机地连成一 个整体，不仅省去了专用网络通信线路，而且为信息共享提供了技术保障。 2 2 2 防火墙的基本策略 防火墙在对网络安全的实现过程中有两种最基本的安全策略： 默认拒绝策略。即不被允许的就是禁止的。按照这个策略，防火墙首先 是禁止所有数据包通过，然后再根据配置要求来开放被明确允许的服务项。该策 略的优点是安全、高效；但其不足之处也是显而易见的，即在提高网络安全性的 同时也限制了用户通信的方便性，从而可能导致部分功能和服务受限。 默认接受策略。即不被禁止的就是允许的。按照这个策略，防火墙首先 对所有数据包都予以转发，然后再屏蔽有安全隐患的服务项。该策略的优点在于 为用户构建了一个灵活、方便的网络环境；其不足之处则在于对一些新的攻击， 事前不能预先防范，只能事后补救，尤其是在一些比较大型的网络环境中，该策 略不能有效防范各种复杂的网络攻击。 2 2 3 防火墙的分类 从技术原理、工作机制的角度来看，防火墙技术主要有包过滤( p a c k e tf i l t e r i n g ) 、 应用代理( a p p l i c a t i o np r o x y ) 、状态监