（计算机应用技术专业论文）开放式通用网络安全防护联动模型的研究.pdf

插图清单 图2 1c e r t 每年处理的安全事件的统计 图2 1 入侵检测系统的c i d f 模型 图2 2 恶意程序的分类 图3 10 p s e c 模型的基本构架 图3 2t o p s e c 安全体系示意图 图3 3t o p s e c 协议的应用 图3 4o p e n i d s 原理图 图4 1i a e p 的建立过程 图4 2 “i d s ”对等体阳“f i r e w a l l ”刘等体传送数据 图4 3 “i d s ”对等体向“f i r e w a l l ”对等体发送联动消息 图4 4i a m e f 及各主要部分之间的关系 图4 5o c i m 模型示意图 图5 1 实验系统示意图 图5 2 l a e p f i r e w a l l 监听界面 图5 3 i a e p f i r e w a l l 收到联动消息的界面 图5 4i a e p f i r e w a l l 解析i a m e fx m l 消息界面 图5 5i a e p l d s 配置i a m e f 消息界面 图j 6i a e p l d s 收到联动反馈信息表示联动成功的界面 0m他如甜丝”如如弧郇傩船加加 表格清单 表2 1 典型病毒和利用的漏洞 表3 1 防火墙两种实现方式技术指标的比较 表4 1e x t r a d a t a 的类型定义表 表4 2a d d r e s s t y p e 的类型定义表 9 1 2 4 1 4 7 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果也不包含为获得 金肥工业太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名 利彳 签字日期：2 一哆年多月奠目 学位论文版权使用授权书 本学位论文作者完全了解 盒肥工业太坐有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交沦文的复印件和磁盘，允许论文被查 阅和借阅。本人授权 盒目e 工业太堂可以将学位论文的全部或部分内容编入有 关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 蓁兰兰三三薹莒雪曩f 分) ) 彳 学位论文作者毕业后去向 工作单位 通讯地址 导师签名 签字日始 电话 邮编 开放式通用网络安全防护联动模型的研究 摘要 随着i n t e r n e t 的飞速发展，网络安全的地位日益突出。网络安全防护形式已 经从传统的单纯静态防护，过渡到静态和动态相结合、防护和检测相结合的立 体安全防护体系。 联动( i n t c r a c t i o n ) 是一种新型的网络防护策略。安全防护体系必然是动态 的，再个系统成员之问应该能够进行关联和互动，建立一种有机的联系。联动 安全防护体系成为网络安全领域中一个新的研究方向。 联动模型是联动安全防护体系的基石。本文首先对比了当前一些主要的联 动模型和协议，分析了它们的优点和缺点，并抽象出联动的双方：s m ( s e c u r i t y m a n a g e r ) 和s d ( s e c u r i t yd e t e c t o r ) 。在此基础上，提出了一种开放式通用安全 防护联动模型o c i m 模型( o p e n a n dc o m m o ni n t e r a c t i o nm o d e l ) ，其中包括 联动交换协议i a e p ( i n t e r a c t i o ne x c h a n g ep r o t o c 0 1 ) 和联动消息数据交换格式 i a m e f ( i n t e r a c t i o nm e s s a g ee x c h a n g ef o r m a t ) 。i a e p 定义了一种可靠的、安 全的和可扩充的联动交换协议。i a m e f 定义了一种通用的、开放的、可伸缩的 聪动消息数据交换格式。论文对所提出的o c i m 模型进行了实验，对实验的结 果作出了分析和评估。最后提出了完善和改进的研究方向。 关键词：联动o c l m i a e pi a m e fb e e p r e s e a r c ho no p e na n dc o m m o ni n t e r a c t i o nm o d e lo f n e t w o r ks e c u r i t yd e f e n s es y s t e m a b s t r a c t a l o n gw i t ht h er a p i dd e v e l o p m e n to f i n t e r n e t ，t h ep o s i t i o no f n e t w o r ks e c u r i t yi s i n c r e a s i n g l yo u t s t a n d i n g t h ef o r mo fn e t w o r ks e c u r i t yd e f e n s eh a sa l r e a d yc h a n g e d f r o mt r a d i t i o n a ls i n g l es t a t i cp r o t e c t i o nt os t a t i ca n dd y n a m i cc o m b i n e d ，p r o t e c t i o n a n dd e t e c t i o nc o m b i n e dt r i d i m e n s i o n a ls e c u r i t yd e f e n s es y s t e m i n t e r a c t i o ni san e w f a s h i o n e dn e t w o r kd e f e n s es t r m e g y s e c u r i t yd e f e n s e s y s t e mm u s tb ed y n a m i c ，a n de a c hm e m b e rs h o u l di n t e r a c tw i t ha n o t h e r ，s e t t i n gu p a no r g a n i cr e l a t i o n i n t e r a c t i v es e c u r i t yd e f e n s es y s t e mh a sb e c o m ean e wr e s e a r c h d i r e c t i o n i n t e r a c t i o nm o d e li sf o o t s t o n eo fi n t e r a c t i v es e c u r i t yd e f e n s es y s t e m i nt h i s t h e s i s ，w ef i r s tc o m p a r es o m ec u r r e n tm a i ni n t e r a c t i o nm o d e l sa n dp r o t o c o l s ，a n a l y z e t h e i ra d v a n t a g e sa n dd i s a d v a n t a g e s ，a n da b s t r a c tb o t hs i d e so fi n t e r a c t i o n ：s m ( s e c u r i t ym a n a g e oa n ds d ( s e c u r i t yd e t e c t o r ) b a s e do nt h e m ，a no p e na n d c o m m o ns e c u r i t yd e f e n s ei n t e r a c t i o nm o d e l - o c i m ( o p e na n dc o m m o ni n t e r a c t i o n m o d e l ) m o d e li sp u tf o r e r a r d ，w h i c hi n c l u d e si a e p ( i n t e r a c t i o ne x c h a n g ep r o t o c 0 1 ) a n di a m e f ( i n t e r a c t i o nm e s s a g ee x c h a n g ef o r m a t ) i a e pd e f i n e sar e l i a b l e ，s a f e a n de x t e n s i b l ei n t e r a c t i o ne x c h a n g ep r o t o c 0 1 i a m e fd e f i n e sa no p e n ，c o m m o na n d e x t e n s i b l ei n t e r a c t i o nm e s s a g ee x c h a n g ef o r m a t a l s o ，w ec a r r yo u te x p e r i m e n t so n o c i mm o d e l ，a n da n a l y z ea n de v a l u a t er e s u l to ft h ee x p e r i m e n t s t nt h ee n d ，t h e r e s e a r c hd i r e c t i o n so fi m p r o v i n ga n de x t e n d i n gi nt h ef - d t u r ea r ep r e s e n t e d k e yw o r d s ：i n t e r a c t i o n o c l mi a e pi a m e f b e e p 引言 随着网络入侵事件的加剧，网络管理员的网络安全意识越来越强。各个机 构对网络安全方面的投入都达到了前所未有的水平。据市场研究公司i d c 公布 的一项研究报告显示，预计到2 0 0 6 年i t 安全市场的收入将会增长到4 5 0 亿美 元，年增长率高达2 0 以上。 然而，当前的网络安全解决方案绝大多数是一种孤立的解决方案。解决网 络安全的主要方法是在相关网络中配置防火墙、入侵检测系统( i d s ) 、防病毒 系统、加密系统、用户认证系统、网络与信息审计系统、灾难恢复系统等。这 些安全模块在不同层面上保护了网络的安全。但是，各种系统的设置、搡作和 运行仍然是各行其是，它们之间相互不能进行通信，不能实现相应的关联和互 动，因此，这样的安全仍然是被动的。 真正的网络安全应该是一个综合的、动态的安全体系。它不但应是多种安 全技术的有机集成和多种安全产品之间的动态联动，同时也是安全产品提供商 和服务提供商之间的有机集成。相关安全产品的简单集成和叠加是远远不够的。 联动技术体现了分布式技术发展的潮流，也体现了系统组成的模块化思想。 安全防护体系由各个模块组成，可以较好地形成资源整合组成网络安全体系， 避免了木桶效应的产生。同时它可以在最大程度上保障用户利益，根据用户 需要建设安全的网络系统。当网络改造时，可以通过模块的增减完成安全功能 的升级，避免了一体化结构可能造成的功能浪费。 从技术角度看，联动技术帮助安全体系有效组合并提升性能，防火墙与认 证系统联动，将认证任务与防火墙剥离，可以采用专有设备完成身份认证工作， 提高了认证的可靠性与安全性，也减轻了防火墙的负担。入侵检测系统与防火 墙联动，使防护体系由静态到动态，由平面到立体，提升了防火墙的机动性和 实时反应能力，也增强了入侵检测系统的阻断功能。入侵检测系统与加密系统、 防毒系统联动，对于减少i d s 误报率、克服i d s 不能识别密文的缺陷和扩展i d s 的检测功能大有裨益。 可以说，未来的安全防护体系必然是分布的、联动的和全方位的。 本论文的主要内容如下： 第一章：网络安全问题和现状 第二章：网络安全防护技术 第三章：当前主要联动模型和协议 第四章：开放式通用联动模型( o c i m ) 的建立 第五章：开放式通用联动模型( o c l m ) 的实践及评估 第六章：总结 第一章网络安全问题和现状 1 1 网络安全问题 计算机网络的快速发展给人类的工作和生活都带来了巨大影响，人类己经开 始离不开网络。但是，网络安全技术的相对滞后使得网络安全事件逐年增加， 影响范围逐渐扩大，由此带来的经济损失也是惊人的。 根据c s i ( c o m p u t e rs e c u r i t yi n s t i t u t e ) 平1 f b i 的调查，在2 0 0 1 年有9 1 的 受访机构发生过安全事件，其中6 4 因为安全事件遭受经济损失，总的损失金 额达到$ 3 7 7 ，8 2 8 ，7 0 0 ，与2 0 0 0 年的损失金额$ 2 6 5 ，5 8 9 ，9 4 0 相比有了明显的增加。 下图是计算机紧急响应小组( c e r t ) 从1 9 8 8 年到2 0 0 1 年，每年处理的安全 事件的统计： 图llc e r t 每年处理的安全事件的统计 从图表中可以看到从1 9 9 9 年到2 0 0 1 年，每年的攻击事件数目都比上一年 翻一番，曲线越来越陡。可见，我们面临的网络安全问题越来越严峻。 我们从下面的数据中能直观地看出攻击是多么的频繁： 2 0 0 1 年攻击事件总共有5 2 ，6 5 8 起，与2 0 0 0 年相比，呈现倍数增加1 2 1 。 2 0 0 1 年3 月，f b i 指出，由于俄罗斯与乌克兰等东欧国家黑客的攻击行 动，4 0 个美国商业网站遭攻击，超过1 0 0 万个信用卡号码遭盗窃p l ： 2 0 0 2 年3 月4 日，一位1 3 岁的美国小孩w i c k e d 使用超过2 0 0 0 台受他 控制的p c 机对盟盟盥鱼：q 丛发动五天的d d o s 攻击，共发送将近 2 0 亿个恶意数据包，致使网站长时间瘫痪【4 j 。 2 0 0 2 年9 月，一家洛杉矶的互联网公司透露，该公司交易系统1 2 日处 理了1 4 万笔假冒的信用卡业务。o n l i n e d a t a 公司也通知，1 2 日还有大 约2 5 家公司遇到了类似问题。此前， s p i t f i r en o v e l t i e s 公司信用卡交 易提供商批准了大约6 2 ，0 0 0 笔明显错误的收费1 5 j 。 美国当地时间2 0 0 2 年1 0 月2 1 日，全世界1 3 台路由d n s 服务器 ( r o u t es e r v e r ) 同时受到了d d o s ( 分布式拒绝服务) 攻击1 6 j 。 2 0 0 3 年1 月2 4 日，俄罗斯t e l e s y s t e m s 手机公司承认，该公司受到了黑 客的攻击，致使包含有5 0 0 万名用户个人信息的数据库被人盗走，这些 信息包括用户的信用卡号码、家庭地址以及社会安全号码等1 7 j 。 美伊战争以来，3 月2 0 日到2 1 日，反战黑客已攻击1 0 0 0 多个网站【b j 。 ，l ：面的数据只是在i n t c m e t 上简单搜索一下所得到的数据，却足以看出网络 攻击和网络入侵是多么严重。 网络攻击无所不在，网络安全也无所不在。 1 2 网络安全现状 为了加固网络，防范各种入侵，减少因网络安全事件而带来的经济损失，人 们研究和应用了各种安全机制、策略和工具。传统上，采用静态安全防御策略 来进行防御，主要采用防火墙、加密、身份认证、访问控制、操作系统加固等。 随着攻击技术的日趋成熟，攻击工具与手法的日趋复杂多样，同时各种系统、 软件存在安全漏洞，单纯的被动的静态安全防御技术已经无法满足需要。主动 的动态网络防护技术逐步占据重要位置。入侵检测技术、防病毒系统、安全评 估审计系统和漏洞扫描系统就是适应这种需要的种技术。它们主动去发现可 能的入侵活动，并进行报警。 动态防御策略虽然有传统的静态防御策略没有的优点，但是，它也有着自己 同有的缺点。一般动态防御系统有很强的检测报警能力，这是它的优点，然而 它很少能够自动正确的进行响应，而是仅仅给出报警。单纯的动态防御策略同 样不是万能的，它必须同静态的防御策略相结合。 然而，当前的网络安全解决方案大多数是一种孤立的方案。各种安全实体各 自为政，防火墙只是不会“检测”和“报警”的防火墙，入侵检测系统只是不 会“主动阻断”的入侵检测。这样，一1 方面，大量的安全预算投入，只是将一 个一个安全模块简单的堆砌起来，并没有使安全性能显著加强。另一个方面， 得到的只是一个效率低下孤立的系统，造成资源的大量浪费。于是，入们认识 到真正的网络安全应该是一个综合的、动态的、关联互动的安全体系。联动的 安全体系能够取长补短，相互补充，相互协调和相互配合，搭建出一个更高效 更坚固的屏障。 第二章网络安全防护技术 2 1 防火墙 防火墙是防止从网络外部访问内部网络的所有设备，它充当网络访问的唯 一的入口点，而且判断是否接受某个连接请求。防火墙是一种将内部网和外部 网分开的隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，只 有来自授权主机的连接请求才会被处理。 211 防火墙技术 防火墙产品的开发中，广泛应用网络拓扑技术、计算机操作系统技术、路 由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的技术。纵观 防火墙产品近年来的发展，可将其分为四个阶段：l i o j 1 第一阶段：基于路由器的防火墙 基于路由器的防火墙利用路由器本身对分组的解析，以访问控制表方式 实现对分组的过滤。过滤判决的依据可以是：地址、端口号、i p 字段及其他 网络特征。它只有分组过滤的功能，且防火墙与路由器是一体的。 2 第二阶段：用户化的防火墙工具套 用户化的防火墙工具套将过滤功能从路由器中独立出来，并加上审计和 告警功能。它还针对用户需求，提供模块化的软件包。与第一代防火墙相 比，安全性提高了，价格降低。 3 第三阶段：建立在通用操作系统上的防火墙 建立在通用操作系统上的防火墙自身包括分组过滤或借用路由器的分 组过滤功能。它们装有专用的代理系统，监控所有协议的数据和指令，用户 可以配置内核参数。建立在通用操作系统上的防火墙安全性和速度大为提 高。 4 第四阶段：具有安全操作系统的防火墙 具有安全操作系统的防火墙具有安全内核，且对安全内核实现加固处 理。具有安全操作系统的防火墙具有加密鉴别功能，透明性好，易于使用n 2 1 2 防火墙技术发展趋势 未来的防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的 安全和用户数据的安全。此外，网络的防火墙产品还将w e b 页面超高速缓存、 v p n 和带宽管理等前沿技术与防火墙自身功能结合起来。 1 与其它网络安全产品的协同互动 防火墙只是一个基础的网络安全设备，它需要与入侵检测系统和防病毒系 统等安全产品协同配合，才能从根本上保证系统的安全。所以未来的防火墙能 够与其他安全产品协同工作，越来越多的防火墙产品将通过不同的接口与入侵 检测系统和防病毒系统联动。 2 分布式防火墙1 1 1 i 从狭义来讲，分布式防火墙产品是指那些驻留在网络主机中，如服务器或 桌面机，并对主机系统自身提供安全防护的软件产品；从广义来讲，分布式防 火墙是一种新的防火墙体系结构。它们包含如下产品：网络防火墙、主机防火 墙和中心管理部分。分布式防火墙的优点是： ( 1 ) 增加了针对主机的入侵监测和防护功能： ( 2 ) 加证了对来自内部攻击的防范： ( 3 ) 可以实施全方位的安全策略； ( 4 ) 提供了多层次立体的防范体系。 3 流过滤”刮 “流过滤”是在“状态包过滤”基础上的发展。“状态包过滤”是c h e c kp o i n l 最先使用的一种防火墙核心架构。“状态包过滤”是检测一个个资料包，而“流 过滤”则是把一个个资料包重新整合成数据流，然后再进行过滤检测。“状态包 过滤”在资料包通过防火墙时，仅仅判断单个碎片能否通过检测，而这样做的 安全性是比较差的。防火墙用户如果要检测这个邮件的内容如附件、关键词等 部分有无问题，单纯通过碎片是很难分析出米的。如果采用“流过滤”，防火墙 用户不仅可以检测出这个邮件有无问题，而且还髭在阻止该邮件通过的同时4 i 让发送者知道。 4 高速 末来的防火墙将能有效地消除制约传统防火墙的性能瓶颈。现在大多数的 防火墙产品都支持n a t 和v p n 功能。但是启用n a t 后势必会对防火墙系统的 性能有所影响。同时，网络带宽和流量越来越大，防火墙必须是真正的线速运 行，否则将成为网络通信的瓶颈。在提高防火墙性能方面，状态检测型防火墙 比包过滤型防火墙更具优势。可以肯定，基于状态检测的防火墙将具有更大的 发展空间。n p ( n e t w o r kp r o c e s s o r ) 技术的出现，也将使防火墙速度得到提升。 2 2 入侵检测系统 入侵检测系统( i d s ) 用来识别针对计算机系统和网络系统，或者更广意义 上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击和试探，以及 内部合法用户的超越使用权限的非法行动。入侵检测系统对探测到的攻击给出 报警，以便攻击能够被及时发现并得到正确的处理。 2 2 1i d s 检测技术 i i ) s 的核心是检测方法，i d s 的检测方法的优劣直接决定i d s 的性能。一般 i d s 使用的检测方法有“： 】统计方法：统计方法是产，品化的入侵检测系统中常用的方法，它通常用于 异常检测。 2 预测模式生成：与纯粹的统计方法相比，它增加了对事件顺序与相互关系 的分析，从而能检测出统计方法所不能检测的异常事件。 3 专家系统：用专家系统对入侵进行检测，经常是针对有特征的入侵行为。 所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的 完各性又取决于审计记录的完备性与实时性。 4 基于模型的入侵检测方法：根据模型所代表的攻击意图的行为特征，可以 实时地检测出恶意的攻击企图。 5 状态转移分析：在状态转移分析中，入侵被表示成为目标系统的状态转换 图。当分析审计事件时，若根据对应的条件布尔表达式，系统从安全状态转 移到不安全的状态，则该事件标记为入侵事件。 6 模式匹配：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审 计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配 的已知入侵模式。 7 软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。近年来 已有关于运用神经网络进行入侵检测的报道。 2 2 2i d s 模型 每种入侵检测系统在细节实现上有很大的差别，但是它们在总体结构上大 都是按照一种通用模型来设计的。这就是c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 模型“5 。它将一个i d s 定义为一系列的组件。这些组件是：事件 发生器( e - b o x e s ) ，数据分析引擎( a - b o x e s ) ， 存储机制( d - b o x e s ) ， 和对抗 措施( c - b o x e s ) 。如图： 图2i 入侵检测系统的c i d f 模型 2 2 3id s 技术发展趋势 1 与其它网络安全产品的协同互动 i d s 与其他网络安全技术帽结台，产生互动，以便正确高效地处理入侵。如 结合防火墙、v p n 、防毒系统、p k 、c a 等新的网络安全技术，提供完整的网络 安全保障。 2 大规模分布式的检测技术 传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当 前网络状态的信息，然后将这些信息传送到中央控制台进行处理分析。与集中 式不同，分布式i d s 强调通过全体智能代理的协同工作来分析入侵策略。 3 智能化的入侵检测算法 在入侵检测技术的发展过程中，新算法的出现可以有效提高检测的效率， 减少 d s 的误报率。机器学习算法为当前检测算法的改进注入新的活力。典型 的机器学习算法有计算机免疫技术、神经网络技术和遗传算法。 4 宽带高速实时的检测技术 大量高速网络技术如a t m 、千兆以太网等近年里相继出现，在此背景下的各 种宽带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实 面临的问题。目前的千兆1 d s 产品其性能指标与实际要求相差很远，实时性更 是难以达到期望值。 j 入侵检测的数据融合技术 目前的入侵检测系统存在很多的缺陷，如虚警率高和数据处理效率低下。为 了解决上面问题，数据融合技术应运而生。它能够把从各个异质分布式传感器 处得到的各种数据和信息综合成为一个统一的处理过程，来评估整个网络的安 全性能。i d s 的数据融合推理类型包括入侵存在性、入侵级别、入侵者身份、 入侵者行为、形式评估、威胁分析等，推理层次由低到高。 6 。i d s 的标准化研究 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高 级研究计划署( d r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制订了一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规 范i d s 的标准。包括： c i d t ? c o m m o ni n t r u s i o f td e t e c t i o nf r a m e w o r k ，通用入侵检测模 型 c i s l c 。m m o ninl f u s i o hs p e c i f i c a t i o nl a n g u a g e ，通用入侵规范 语言 c v e ( 1 0 m m o nv u l n e r a b i l i t i e sa n de x p o s u r e s ，通用漏洞标准 l a p i n t r u s i o na i e r tp r o t o c o l ，通用报警协议，将被i d x p 取代 l o d e f 一i n c i d e n to b j e c td e s c r i p t i o na n de x c h a n g ef o r m a t ，事件 对象描述和转换格式标准 i d x p i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c o l ，入侵检测交换协 议 i d m e f i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，入侵检测 信息交换格式 7 i p s i ”3 i p s 是最近开始流行的一个概念，全称是i n t r u s i o np r e v e n t i o ns y s t e m ， 也称为i d p ( i n t r u s io nd e l e c t io n p r e v e n t i o n ) 。 这个概念，主要是美国 几家新兴的i d s 公司提出的，如i n t r u v e r t ，t i p p i n gp o i n t v s e c u r e t e c h n o l o g i e s ，l a n c o p e ，f o r e s c o u t ，t o p l a y e r 等。顾名思义，i p s 当然是具有 防御功能的i d s 。 在安全界很多人将1 p s 看成为下一代i d s 的发展方向。i p s 不但能检测入侵 的发生，而且通过与其他的产品联动，实时地中止入侵行为的发生和发展。 8 其他方向 i d s 研究领域非常活跃，目前国内外的一些主要的研究方向有a u t o m a t e d r e s p o n s e c t i v er e s p o n s e ( 响应技术) ，c o r r e l a t i o n ( 关联技术) ，c o o p e r a t i v e j n t r u s i o nd e t e c t i o n ( 协作技术) ，m o b i l eg g e n t ( 移动代理技术) ，d a t am i n i n g ( 数据挖掘技术) 等。 2 3 病毒防护系统 依照冯诺依曼在复杂自动机组织论中定义的概念。计算机病毒即 种“能够复制自身的自动机”。但是，现在病毒和传统的病毒有了很大的不同。 在i n t e r n e t 技术没有兴起的时候，传统的病毒的危害性只局限于单个主机或是局 域网络，其传染的方式也就是局限于媒介传染。| n t e r n e t 的兴起，它变成了孕育 病毒的一大温床。i n t e r n e t 的开放性为病毒的传播提供了前所未有的便利，而最 近出现的一些病毒，大多利用了网络和操作系统的一些漏洞，这些病毒让我们 改变了对病毒的看法：病毒已经成为网络安全的一大杀手! 实际上现在的病毒的已不仅仅局限于传统的病毒概念，任何恶意程序和 恶意代码我们都称之为病毒。 2 3 1 病毒和网络安全 英国一家著名的反电脑病毒公司最新发布的报告说，全世界目前有8 万利， 电脑病毒流行，2 0 0 2 年平均每月有6 0 0 至7 0 0 种新电脑病毒问世。从“红色代 码”到“硬盘杀手”再到“情书”、“怪物”、“巨无霸”、“蠕虫”、“爱虫” 一个个幽灵般的电脑病毒，让人们在享受网络带来的便捷服务的同时，又对网 络的安全产生深深的忧虑。 2 0 0 3 年1 月2 5 日上午，一种名叫“蠕虫”的计算机病毒使美国的互联网服 务中断，很快扩散到全球网络，并使亚洲和欧洲的计算机服务大受影响。蠕虫 病毒发作5 天后，全世界范围内因此造成的直接经济损失达到1 2 亿美元。但与 以前喧嚣一时的求职信、情书、红色代码等著名病毒造成的损失额相比“蠕虫” 二三i 排名? i4 二r ! 吵寸卞怕 “7 - + r p 可唧一m 而病毒传播速度之快， 更令人咋舌。2 0 0 1 年，大名鼎鼎的“n i m d a ”病毒从发现到遍及全球，整个过 程只用了1 个小时! 病毒在i n t e m e t 中不是在传播，而是在“飞”。 最新的病毒利用系统的漏洞以加强自己的传染性和破坏性。下面是几个典 型的例子 病毒名称对应漏洞 红色代码，红色代码二 缓冲区溢出漏洞、索引服务 蓝色代码 u n i c o d e 漏洞 尼姆达，求职信，中文求职信，“中国黑客”i f r a m e e x e c c o m m a n d 、u n i c o d e 漏洞 表21 典型病毒和利用的漏洞 2 32 恶意程序 恶意程序层出不穷，下图是对恶意程序的一个大概的分类1 ” 恶意程序 图2 2 恶意程序的分类 后门是进入程序的一个入口。知道这个后门的人就可以通过它绕过访问的 一般安全过程，从而直接获得访问的权力。逻辑炸弹是可以触发的恶意代码。 特洛伊木马程序是在正常的代码里面包含一段恶意代码。蠕虫通过网络从一个 系统向另外一个系统传播。而细菌唯一的目的则是复制自己。 而当前的恶意程序则是上面一些技术的综合。例如，逻辑炸弹或特洛伊木 马可能是蠕虫或病毒的一部分。 2 3 3 病毒防护系统 防病毒系统已经作为网络安全的一个重要成员，被广泛地应用在网络安全 部署巾。防病毒方案应该是一个综合的企业反病毒安全与管理方案。防病毒系 统部署在网络中，可以在三个方面全面抵制病毒和恶意程序： 桌面。提供对所有桌面客户机的多平台保护： 服务器。保护所有文件，应用程序和群件服务器： 网关。在网关上锁住病毒和有敌意的j a v a 、a c t i v e x 程序。 网络防病毒系统实现的重点目标是： 因特网病毒防火墙。在网关处实时监控通过s m t p 、h t t p 和f t p 协议 传输的信息内容，检查其是否存在病毒或恶意程序，并根据管理员的设 定采取相关的处理方式，以保证通过网关出入企业的信息的安全性。 电子邮件安全管理。电子邮件安全管理软件可以过滤垃圾邮件，并可扫 描由内部使用者寄出的邮件内容。 文件系统的保护。恶意代码通过感染文件系统来达到传播或是隐藏自己 的目的。防病毒系统监视文件系统，对任何恶意的访问加以阻拦。 五 2 4p 2 d r 网络安全模型 从二十世纪九十年代开始，随着以i d s 、漏洞扫描和安全审计评估系统为代 表的动态检测技术和产品的发展，相应的动态安全模型也得到了发展。p 2 d r 模型是动态可适应安全模型的代表。 p 2 d r 是由p d r ( p r o t e c t i o n 、d e t e c t i o n 、r e s p o n s e ) 模型引伸出的概念模 型，增加了p o l i c y 功能，并突出了管理策略在信息安全工程中的主导地位。p 2 d r 模型包含四个主要部分：p o l i c y ( 安全镶略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检 测) 和r e s p o n s e ( 响应) 。防护、检测和响应组成了一个“完整的、动态的”的 安全循环，在安全策略的整体指导下保证信息系统的安全p ”。 p 2 d r 模型理论就可以用一些典型的数学公式来表达安全的要求p ”： 公式l ：p t d t + r t p t 代表防护时间，即系统在攻击下，能够维持安全的时间，或是入侵者 成功攻击安全目标所花费的时间。 d t 代表从入侵者发动入侵开始，到系统检测到入侵行为所花费的时间。 r t 代表从发现入侵行为丌始，到系统能够做出足够响应的时间。 只有防护时间大于检测时间加上响应时间，入侵才能够被检测并处理。 公式2 ：e t = d t 十r t 、如果p t = 0 e t 代表系统的暴露时间，或系统恢复正常时问。d t ，r t 和p t 同上。 公式的前提是假设防护时间为0 ，即系统已经遭到破坏。针对保护的安 全目标，如果e t 越小系统就越安全。 通过 二而两个公式的描述。描述了p 2 d r 理论的两个方面：“及时的检测和 响应就是安全”，“及时的检测和恢复就是安全”。 动态防火墙安全模型是典型的p 2 d r 安全方案模型，它是将传统的静态防火 墙和最新的入侵检测技术等检测技术结合起来，形成动态的防御体系。动态防 火墙安全模型解释如下： p 0 1 i c y 网络访问控制策略的制订。 p r o t e c t j o n 传统防火墙。可以定义防火墙允许流过的服务数据，定义 基本的访问控制限制。 d e t e c t i o n 实时入侵系统或是病毒检测系统，可以主动地发现那些穿 过防火墙的入侵行为。 r e s p o n s e 联动模块。根据发现的安全问题，在统一策略的指导下， 动态地调整防火墙。 第三章当前主要联动模型和协议 3 1 联动的定义、产生背景和国内外现状 3 1 1 什么是联动? 目前对“联动”还没有一个统一的定义。通常联动是指关联和互动，相互 作用和相互影响。联动是在一个系统的各个成员之间建立一种机制，通过这种 机制，它们之间可以自山的交换信息，相互作用和相互影响。 对应的，在网络安全防护系统中，联动就是在防火墙、入侵检测系统、防 病毒系统、v p n 、c a 、网络安全评估系统等安全成员之间建立一种相互作用和 相互影响的机制。 p 2 d r 网络安全模型是联动思想的基础。在p 2 d r 模型中，联动( r e s p o n s e ) 是静态防护( p r o t e c t i o n ) 和动态检测( d e t e c t i o n ) 之间的桥梁和纽带。 3 12 联动概念产生的背景 1 分布式和模块化的要求 分布比集约好。不论对于开发还是维护，分布式都有着无与伦比的优点。 分布式才是技术发展的要求。模块化是分布式的孪生兄弟。只有分布式才能体 现模块化，同样，模块化催生了分布式技术。 而模块化和分布式的必然结果就是联动。联动是纽带，将各个模块有机的 组成一个整体，形成一个步调一致，高度均衡和齐心协力的系统。 2 防火墙的两种实现方式f ”1 对于防火墙技术，现在有两种刁i 同的观点：“内部集成”和“外部联动”。 持“内部集成”观点者认为，防火墙处于网络安全体系中最关键的地位， 所以防火墙应该具有强大的功能。囊括访问控制、入侵检测、v p n 、防病毒、 内容过滤、负载均衡、审计等各种功能，最大程度地保证系统整体的安全性。 持“外部联动”观点者则认为：防火墙最初的设计思想以及在信息安全方 面的丰要作用，就是为不同网段之间提供逻辑隔离手段，隔离不同级别的信任 区域。因此防火墙应该专注于访问控制功能，其他功能应该通过外部联动实现。 下表是这两种实现方式主要技术指标的比较： i 性能投资安全性可扩展性易用性复杂性 j ， f 内部集成 低低低低局低 i 外部联动 高高高低高 表3 1 防火墙两种实现方式技术指标的比较 山上表可知，防火墙的功能，应该确保其访问控制能力正常有效地运转。 因此，对于那些对设备资源占用较大的其他功能，如入侵检测、v p n 、防病毒、 内容过滤、负载均衡、审计等都应该从防火墙中剥离出去，这些防护手段可以 与防火墙联动来达到目的。 3 集中优势功能，通过联动扩展其他功能 每种安全产品部有自己的优势和自己的特长，所以必须集中优势，先将特 长巩固。加入其它的功能，而对于主流功能必然会有损失。比如，对于防火墙， 应专注于自身性能的提升和运行的稳定性、可靠性的保证，也就是对吞吐量、 丢包率、背靠背、延迟、最大并发连接数、最大策略数、最大s e s s i o n 数、d e s 和3 d e s 下的性能表现加火研究力度，提高这些参数在防火墙系统中的表现能 力。同样，刘于入侵检测系统，提供系统的检测性能、检测速度，减少误报率 这才是最重要的。 当然产品的功能应该是可扩展的，而联动正好赋予产品这种扩展能力。这 样，在联动的基础上，既不会损失主流功能，同时扩展了其他功能。 防火墙与入侵检测系统联动，可以对网络进行动静结合的保护，对网络行 为进行细颗粒的检查，并对网络内外两个部分都进行可靠管理。 防火墙与防病毒产品联动，可以在网关处查杀病毒，将病毒的发作限制在 最小的可能。 防火墙与认证系统联动，可以在制定安全策略时使用强度更大、安全性更 高的认证体系。 防火墙与日志分析系统联动，可以解决防火墙对丁大量日志数据的存储管 理和数据分析上的不足。 入侵检测系统之间的联动以及与加密系统、防毒系统联动，对于减少i d s 误报率、克服i d s 不能识别密文的缺陷和扩展i d s 的检测功能大有裨盏。 4 消除“木桶原理”，构建最强的防御系统 一个网络中如果防病毒产品质量是1 0 分，防火墙产品质量是8 分，入侵监 测产品是9 分，内容过滤产品是5 分的话，那么最后网络安全综合评分还是5 分，因为不安全往往就出在最薄弱的环节。这就是所谓的“木桶原理”。 而通过联动策略在“强强组合，互补互益”的基础上，自由的选择各个 方面性能最好的产品，从而可以构建最强的防御系统。 3 1 3 国内外现状 由于防火墙在实际应用中存在着种种的局限性，所以首先在防火墙厂商中 间提出了联动的思想。即通过一种组合的方式，将不同的技术与防火墙技术进 行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏 的功能，适应网络安全整体化，立体化的要求。后来，联动的思想深得人一t d ， 在入侵检测系统厂商和防病毒厂商等中逐步出现了联动产品。 i e y f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) 是制定计算机程序在网上相互联系的 软件协议标准的国际工作组。i d w g ( i n t r u s i o nd e t e c t i o nw o r kg r o u p ) 是i e t f 下属的一个结构，负责制定入侵检测相关的标准。i d w g 提出的建议草案包括 三部分内容：入侵检测消息交换格式( i d m e f ) 、入侵检测交换协议( i d x p ) 以及隧道配置文件( t u n n e l p r o f i l e ) 。它们虽然还只是草案，但是随着它们越 来越完善，最终走向r f c 是必然的。 而对于联动标准的指定企业界更活跃，1 9 9 7 年，c h e c kp o i n t 公司提出建立 o p s e c 联动联盟，通过提供开放接口标准，与其他厂商进行紧密的合作，合作 范围包括防火墙与内容，w e b 资源，入侵检测，认证等多个层次的联动。 2 0 0 0 年，国内著名防火墙厂商天融信建立了t o p s e c 联盟，以天融信网络 卫士( n g f w ) 系列防火墙产品为核心，实现安全产品之间的互通与联动。 2 0 0 1 年，中科网威公司将自己的优势产品入侵检测提供开放接e l ，实 现与各类防火墙产品之问的联动。 2 0 0 1 年8 月安氏中国公司推出l i n k t r u s tc y b e r w a l l 防火墙，和i s s 公司的 入侵检测r e a l s e c u r e 技术与趋势科技公司的网关病毒产品i n t e r s c a n 实现联动。 2 0 0 2 年4 月，华强入侵检测系统提出与防火墙联动的接口h q l f iv 1 o 【3 “， 接l