（计算机应用技术专业论文）防火墙与入侵检测系统联动架构的研究.pdf

摘要 随着网络技术的不断发展，各种网络应用技术层出不穷。网络在给人们带 来极大方便的同时，也为网络黑客们提供了诸多的机会，各种网络攻击事件不 断发生。网络安全问题得到了人们越来越多的重视。 防火墙作为抵抗黑客入侵最直接有效的手段之一，成为了目前网络系统实 现本地网络访问控制策略，保护网络安全的一种最为流行的防护工具。但是， 防火墙只能对经过它的数据包根据管理员预先制定的安全规则进行检查过滤。 对于安全规则的漏洞以及不经过防火墙的数据包，它本身是无能为力的。此外， 由于防火墙的这种被动防御机制，使得它在抵御网络攻击行为方面存在诸多缺 陷。 入侵检测技术是近2 0 多年来迅速发展起来的一门新型安全技术。它通过从 计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现 网络中存在的违反安全策略的行为和遭受攻击的现象，被誉为是“继防火墙之 后的第二道安全阀门 。但因为入侵检测系统对其所检测到的网络攻击行为所能 采取的响应措施极为有限；另外目前的入侵检测产品在误报率和漏报率方面的 指标不尽如人意，使得它也未能很好的抵御黑客的入侵。 本文首先从防火墙和入侵检测技术入手，分别讨论了它们各自的技术特征 及其优缺点。然后以p p d r 网络安全模型作为基础，建立联动防御体系框架， 实现了防火墙与入侵检测系统之间的联动，构建了“动一“静 结合的网络安全 防御体系。在模块间的信息交互方面，通过在防火墙和入侵检测系统之上附加 联动代理模块来实现防火墙、入侵检测系统与联动框架之间的交互，在最大程 度的保证防火墙和入侵检测系统的结构和功能完整性的同时也增强了联动防御 系统框架对各种防火墙、入侵检测产品的兼容性。针对入侵检测系统的误报和 重复报警方面的缺陷，本文提出以时间、连接和攻击类型为基础的三维告警分 类模型，对入侵检测系统上报的告警进行聚类分析，以达到降低误报和重复告 警以及分类响应的目的。 最后，本文对全篇工作进行了总结，根据目前联动防御系统存在的缺陷及 系统的发展前景，对今后的研究工作提出了展望。 关键字：防火墙，入侵检测，联动 a b s t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to ft h en e t w o r ks y s t e m ，av a r i o u so fn e t w o r k a p p l i c a t i o nh a v ee m e r g e d i n t e r a c tb r i n g sag r e a to fc o n v e n i e n c et op e o p l e ，a n d a tt h e s a m et i m e ，h a c k e r sg e tm o r e a n dm o r eo p p o n u n i t y a sar e s u l t , n e t w o r ka t t a c k so c c u r c o n t i n u a l l y n o w a d a y s ，i n t e r a c ts e c u r i t yh a sg o t t e nm o r ea n dm o r ea t t e n t i o nf r o m u s e r s a sas p e c i a le q u i p m e n tw h i c hs t r e n g t h e n sa c c e s sc o n t r o l ，f i r e w a l lp r e v e n tt h e u n l a w f u le n t r yo fe x t e r n a lu s e r s ，p r o t e c t st h ei n t e r n a ln e t w o r ke n v i r o n m e n t ，a n dt h u s b e c o m et h em a i n s t r e a mo fs e c u r i t yp r o d u c t s h o w e v e r , t h ef i r e w a l l 啪o n l yc h e c k t h ep a c k e t sp a s s i n gb y , w i t ht h er u l e se s t a b l i s h e db ya d m i n i s t r a t o r s a sf o rt h e m i s t a k e si nt h er u l e sa n da t t a c k sw h i c hd i dn o tg ot h r o u g ht h ef i r e w a l l ，f i r e w a us h o w s i t sp o w e r l e s s n e s s a sw ec a ns e ci t , t h ef i r e w a uh a sm a n yd e f e c t si nd e f e n d i n g n e t w o r ka t t a c k sb e c a u s eo fi t sp a s s i v ed e f e n d i n gm e c h a n i s m i n t r u s i o nd e t e c t i o nt e c h n o l o g yi san e ws e c u r i t yt e c h n o l o g yw h i c hh a sr a p i d l y d e v e l o p e di nt h ep a s t2 0y e a r s i n t r u s i o nd e t e c t i o nc h e c k sw h e t h e rt h e r e i sa n y b r e a c ho fn e t w o r ks e c u r i t ys t r a t e g ya n dt h ep h e n o m e n o no fa t t a c k s ，b yc o l l e c t i n ga n d a n a l y z i n gi n f o r m a t i o nc o m i n gf r o mt h ec o m p u t e rn e t w o r ka n ds o m ek e yp o i n t si n c o m p u t e rs y s t e m a sar e s u l t ，i d si sc o n s i d e r e da s “t h es e c o n ds e c u r i t yb a r r i e ra f t e r t h ef i r e w a l l ”h o w e v e r , i d sm o n i t o r st h en e t w o r kb e h a v i o rp a s s i v e l y , e v e ni fh a d d i s c o v e r e dt h ei n v a s i o n , i t s e l fa l s ol a c k st h ee f f e c t i v ea c t i v ed e f e n s em e a s u r e i n a d d i t i o n ，t h ee x i s t i n gi n t r u s i o nd e t e c t i o nt e c h n o l o g yi na s p e c t so ft h er a t eo ff a l s e a l a r m , r a t eo fm i s s i n gr e p o r ta n de x a m i n a t i o na c c u r a c yc a n n o te n t i r e l ya sd e s i r e d t h e r e f o r e ，i d si sn o ta b l et od ow e l li nn e t w o r kp r o t e c t i o n t h i st h e s i ss t a r t sw i t hf i r e w a l la n di d sf i r s t l y , d i s c u s s i n gt h ea d v a n t a g ea n dt h e d i s a d v a n t a g eo fe a c ht e c h n o l o g y a n dt h e n , ac o o p e r a t i o n d e f e n s es y s t e mi s e s t a b l i s h e do nt h eb a s i so ft h ep p d rn e t w o r ks e c u r i t ym o d e l ，w h i c hr e a l i z i n gt h e c o o p e r a t i o nb e t w e e nt h ef i r e w a l la n dt h ei d s ，m a k i n gan e t w o r ks e c u r i t yd e f e n s e f r a m e w o r kc o n t a i n i n gb o t h“s t a t i c a n d“d y n a m i c ” f e a t u r ee s t a b l i s h e d t h i s f r a m e w o r ki m p l e m e n t st h ei n f o r m a t i o ne x c h a n g i n gb ya d d i n ga na g e n tm o d u l eo n t o c u r r e n tf l r e w a l la n di d sp r o d u c t s ，w h i c hg u a r a n t e e st h ef u n c t i o na n ds t r u c t u r e i n t e g r i t yo ft h eo r i g i n a lp r o d u c t sa n de n h a n c e sc o m p a t i b i l i t yo fd e f e n s es y s t e m o n r e s o l v i n gt h ep r o b l e mo ff a l s ea l a r ma n dd u p l i c a t ea l a r mc a u s e db yi d s ，t h i st h e s i s p r o p o s eat h r e e d i m e n s i o n a lm o d e lb a s e do n “t i m e ”，“c o n n e c t i o n a n d “a t t a c kt y p e t oc l a s s i f yt h ea l e r tr e p o r t e db yi d s ，m a k i n gi tw o r k st or e d u c eb o t hf a l s ea l a r mr a t e a n dd u p l i c a t ea l a r mr a t e ，a n dg e n e r a t i n gc l a s s i f i e dr e s p o n s e a tt h ee n do ft h et h e s i s ，t h ea u t h o rs u m m a r i z e da l lt h ew o r k , a n dm a d ea p l a nf o r t h ef u t u r er e s e a r c hw o r kb a s e do nt h ed e f e c ta n dp r o s p e c to ft h ec o o p e r a t i o nd e f e n s e s y s t e m k e y w o r d s ：f i r e w a l l ，i d s ，c o o p e r a t i o n m 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及 取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得 武汉理工大学或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 学位论文使用授权书 扣| o j s1 专。 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权武汉理工大学可以将本学位论文的 全部内容编入有关数据库进行检索，可以采用影印、缩印或其他复制 手段保存或汇编本学位论文。同时授权经武汉理工大学认可的国家有 关机构或论文数据库使用或收录本学位论文，并向社会公众提供信息 服务。 。 ( 保密的论文在解密后应遵守此规定) 碱蚍雠) 谭鲈翩瀣釉嘶p 缈n r 武汉理工大学硕士论文 1 1 课题研究背景 第1 章引言 网络技术不断迅速的发展，使得人们的日常工作、学习和生活与网络紧密 的联系在了一起。3 g 时代的到来，更使得人们轻松享受移动通信的便利与乐趣。 有人曾断言，在未来5 年内，国内的网络带宽将迅速增长5 0 倍。很显然，在这 样一个信息互联的时代，人们的工作生活再也离不开网络。但凡事都具有两面 性，如此发达的网络也给网络黑客们提供了大量的机会。根据美国计算机紧急 事件响应小组协调中心c e r t c c ( c o m p u t e re m e r g e n c yr e s p o n s et e a m c o o r d i n a t i o nc e n t e n 的最新历史统计数据显示【1 j ( 如图1 - 1 ) ，从1 9 9 5 年开始，入 侵实例的数目从起初的1 7 1 例持续攀升到2 0 0 8 年第三季度的6 0 5 8 例。人们在 享受方便快捷的网络生活的同时，网络病毒也在不断的滋生，网络入侵事件频 频发生。个人、企业乃至国家的机密信息受到了巨大的威胁。因此，网络安全 问题被提到了一个很高的高度，倍受人们所重视。 j 够罗m 二。曹，干。”哨4t 啪：a tv u l n e r a b h i t l e s ，c a t a l o g e j d 啪p 。m ? ? 廿。p 让”j ”秽f r o m d i r e c tr e p o r t s 錾，。 一， 一，。 ， 。， 图卜1 美国计算机紧急事件响应小组年度报告 o 7 5 3 o l 3 3；=：巧刊组堋坞熊巧 徊叮皓娩m妮町孵酏=黧淼=慧嚣竺 武汉理丁大学硕士论文 1 1 1 常见的网络攻击方式 网络安全从本质上讲，是指网络上的信息安全，即信息的真实性、可控性、 完整性和可用性不被受到损坏、篡改和泄漏【2 1 。而网络攻击，则是对某个网络的 安全性造成威胁的行为，包括窃取信息、破坏完整性、未授权使用和拒绝服务 掣2 l 。从网络攻击手段来看，网络攻击方式主要可分为以下几种方式： ( 1 ) 身份攻击 传统的网络安全性检查多半都是通过用户名d 令机制，合法用户通过输入 正确的用户名、密码来验证其合法身份。网络攻击者使用猜测、窃取、刺探和 仿冒等手段，通过欺骗系统，冒充合法用户进入到系统中，实施攻击行为。这 是网络中最常见，也是最简单的攻击手段。 ( 2 ) 系统漏洞攻击 庞大的计算机网络系统通常是由各种不同类型的计算机系统通过各种纷繁 复杂的协议，经过繁琐的配置所连接组成的。其软硬件配置及协议方面必然或 多或少存在各种缺陷。而网络攻击者则通过各种手段寻找这些漏洞进行攻击， 比如缓冲区溢出漏洞攻击就是一个很典型的例子。 ( 3 ) 特殊代码攻击 现代网络攻击手段越来越趋于自动化，网络攻击者通常使用一些恶意软件 或代码对目标进行攻击。用户无意间下载了包含恶意程序或代码的文件，病毒 在特定的情况下自动运行，以此来达到攻击者的攻击目的。 ( 4 ) 链路攻击 从网络结构来看，我们的网络传输是由一段一段的数据链路所组成，各链 路通过一些传输媒介相连接通信，网络攻击者通过在媒介上进行窃听等手段， 窃取、阻断链路中的信息。 ( 5 ) 拒绝服务( d e n i a lo f s e r v i c e ，d o s ) 攻击 拒绝服务( d e n i a lo fs e r v i c e ，d o s ) 攻击，是指攻击者利用诸如发送大量的数 据包等手段消耗攻击目标，也就是服务提供者的大量共享资源，使得被攻击系 统最终没有足够的剩余资源来为其他合法用户提供正常的服务，从而造成其他 的合法服务请求被拒绝的一种攻击方式。d o s 攻击是一种典型的对系统可用性进 行破坏的攻击方式，使用这种方式，可以严重降低甚至破坏用户的i n t e m e t 连接， 或者最糟糕的情况就是让被攻击者的系统同时崩溃。 目前还没有一种能够完全地址拒绝服务攻击的方法。因为任何能够引起系 2 武汉理工大学硕士论文 统响应、任何能导致系统为其分配资源( 包括对攻击的日志记录) 、任何能促使 远程站点停止与合法用户通信的事件，都可以被应用到拒绝服务( d o s ) 攻击中。 常见的攻击方式有t c ps y n 洪水攻击、p i n go fd e a t h 、u d p 洪水攻击以及碎片 炸弹等。 1 1 2 防火墙与入侵检测 对于日益增加的网络病毒和网络入侵事件，目前主要的网络安全防御手段 大致包括防火墙( f i r e w a l l ) 和入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m i d s ) 两种。从网络布局来看，防火墙被放置于内外网络的出入口处，对内外网络交 换的数据包做严格把关，阻止外部网络的病毒和非法访问的进入；而另一方面， 入侵检测系统则放置在内部网络中，时刻监视内部网络中的网络状况，发现网 络中存在的非法操作或入侵行为并及时发出响应，已达到保护内网安全的目的。 一个比较形象的比喻，如果内部网络是我们生活的居民小区，那么防火墙则是 小区门口的门卫，而入侵检测系统则是小区内的巡逻警察。 当然，拥有了防火墙和入侵检测系统并不意味着完全的保护。安全是一个 过程，而并不仅仅是一个个设备的摆放或堆砌。随着各种计算机和网络技术的 发展，网络黑客技术也有了长足的进步，在强大的网络病毒和网络入侵的攻势 下，传统的防火墙和入侵检测技术逐渐暴露出他们的不足。 防火墙作为内部网络和外部网络通信的第一道关口，它的安全规则需要预 先设置，属于静态防御，对于设置上的漏洞，防火墙无法做出回应。另外，对 于未知的网络攻击方式，防火墙缺乏灵活性，一旦被攻破就很难做出响应，从 而导致防火墙失效。入侵检测系统实时监测网络状况，及时发现网络中存在的 问题，属于主动防御，在一定程度上弥补了防火墙遗留下来的缺陷。但是目前 的入侵检测系统绝大多数只是监听网络的行为，在响应措施上，除了上报给管 理员，其本身还缺乏行之有效的主动防御手段。 通过上述对防火墙和入侵检测系统的讨论，我们可以了解到，防火墙和d s 都存在各自的优势和不足。因此，将防火墙与入侵检测系统联合起来，使之产 生联动，相互补充，是实现网络安全行之有效的办法。目前，防火墙和入侵检 测系统之前的联动已受到越来越多业内人士的关注，成为网络安全产品发展的 趋势。本文在此背景下，对防火墙和入侵检测技术展开讨论，并提出联动框架， 以达到两者之间联动的目的。 3 武汉理工大学硕士论文 1 2 本文主要研究内容与组织结构 本文首先阐述了防火墙与入侵检测系统的相关工作原理，在分析了防火墙 与入侵检测系统各自优缺点的基础上对二者的联动技术展开讨论，并提出了一 种联动模型，其中重点讨论了联动模型框架、工作原理以及相关模块的设计。 全文总共分为七章，文章组织结构安排如下： 第1 章引言，详细介绍了本课题产生的相关背景以及研究的内容和目标。 第2 章防火墙技术简介，讨论了防火墙的基础知识、相关原理和主要技术 左盘 专宇。 第3 章入侵检测技术简介，讨论了入侵检测的基础知识、相关原理和主要 技术等。 第4 章联动技术介绍，介绍了p p d r 安全模型，讨论了防火墙与入侵检测 系统联动方式的分类及各自的优缺点。 第5 章，联动防御系统总体设计，讨论了联动防御系统的总体框架、工作 流程及主要功能等内容。 第6 章联动防御系统模块设计，阐述了联动系统中防火墙、入侵检测系统 以及联动系统的具体模块设计。 第7 章总结与展望，总结全文，提出下一步的工作目标以及展望。 4 武汉理工大学硕士论文 2 1 防火墙概述 第2 章防火墙 防火墙一词最早应用于建筑中，其原意是指建筑物用来防止火灾从其一侧 蔓延到另外一侧所设计的防御设施【3 1 。从理论上讲，计算机网络技术中的防火墙 也正是为类似的目的而设置的。防火墙由一组执行网络安全策略的软件和硬件 设备所构成，它被设置于内部网络和外部网络的连接处，将内部网络和外部网 络相隔离开，构成一道安全屏障，从而阻止外部网络的安全威胁向内网传播蔓 延。 图2 - 1 防火墙过滤通信数据包 从网络部署的角度来看，防火墙处于安全的内部网络和相对不太安全的外 部网络之间，在这样的内外网络的交界处建立一个检测点以隔离内网网络的直 接联系，所有内部网络和外部网络之间通信的网络数据包都要从这个监测点经 过。在这样的情况下，防火墙根据本地网络安全策略对所有进出内网的网络通 信数据包进行检查，只有那些符合本地网络安全策略的网络数据包才允许通过 防火墙进入内网，那些不符合本地安全策略的数据包则是采用直接丢弃等手段 来阻止其进入内网。这样，一些非法访问或入侵攻击的数据包就被挡在防火墙 之外，从而实现了保护内网安全的目的，如图2 1 所示。 5 武汉理工大学硕士论文 2 2 防火墙主要功能 作为内部网络和外部网络之间的隔离层，防火墙检测、过滤所有流经内外 网的网络通信。为了能够达到隔离威胁，保护内网安全的目的，一般来说，防 火墙需要具备以下几个主要的功能： 1 ) 执行本地网络安全策略，提供访问控制功能：该功能是防火墙的最为重 要的也是最为基本的功能。防火墙根据预先制定的本地网络安全策略( 通常具 体体现为访问控制表) ，检查进出内部网络的数据包，允许或是禁止特定的网络 通信通过防火墙，已达到阻止入侵、保护内网安全的目的。与此同时，通过访 问控制，防火墙也隐藏了诸如内部网络拓扑结构等内网私密信息，加强了隐私， 防止一些服务的内部细节暴露在相对不大安全的外部公共网络之中。 2 ) 防火墙自身的安全性：防火墙作为本地安全策略的集中表现，其自身的 安全问题至关重要。如何保证防火墙自身不被入侵攻击，是防火墙设计者们应 该关注的首要问题。可以设想一下，防火墙一旦被攻陷，攻击者可以通过诸如 修改访问控制表等各种方式本地网络安全策略进行肆意的破坏，内网各网络设 备完全暴露在攻击者的面前。如此一来，内部网络将没有任何安全可言。 3 ) 对网络中的各种行为提供日志和统计功能：全面的记录下整个网络的访 问状况，包括各主机在什么时间做了什么样的操作等，以便为管理员了解和分 析当前网络状况提供大量充实的基础数据，便于网络安全策略的扩充和修正。 4 ) 防火墙的效率和可用性：防火墙作为内外网络之前的隔离层，对所有经 过这里的网络通信数据包进行检查、过滤，势必影响内外网络之间的网络通信 速度。因此，防火墙的工作效率将直接影响到网络的通信带宽。随着高速网络 的不断发展与应用，防火墙的效率问题更加值得关注。理论上来讲，对于内外 网的连接通信，防火墙应该是透明的。如果因为防火墙的效率和可用性问题， 导致了网络中断，内外网络之前失去连接，那么防火墙也就失去了其存在的意 义。 5 ) 集中的网络安全和管理，为内网提供统一的安全防护和管理功能：可以 做这样一个假设，如果一个内部网络没有防火墙的存在，那么内网中的所有主 机、服务器和各种网络设备都直接暴露在外部网络中，为了实现网络安全，各 个主机、服务器以及其他各种网络设备需要各自制定和实现自己的网络安全策 略。这样一来，内部网络中有多少网络设备，就需要制定和实现多少网络安全 策略和网络管理。这无疑给系统增加了成倍的工作量和系统复杂度，而且不方 6 武汉理工大学硕士论文 便管理。防火墙作为内外网络联系的唯一出入口，内部网络中的所有网络设备 的安全策略集中体现于防火墙之上，实现集中管理，大大降低了系统复杂度， 同时也从一定程度上提高了网络的安全水平，并且便于策略的修改、扩充或是 其他各种管理。 除了上述功能以外，防火墙还应根据i n t e r n e t 的网络特性提供诸如流量控制、 n a t ( n e t w o r k a d d r e s st r a n s l a t i o n ，网络地址转换) 等各项网络服务，为内部网 络体系建设提供支撑。 2 4 防火墙分类 根据所应用的技术和安全方面的侧重点不同，防火墙被分为很多种类。从 防火墙所应用的技术来看，防火墙可分为包过滤型防火墙、状态检测防火墙和 应用程序代理防火墙这样三类【4 】。 2 4 1 包过滤型防火墙 包过滤型防火墙又称为筛选路由器( s c r e e nr o u t e r ) ，是最早一代的防火墙【5 】。 它使用包过滤技术，对通过防火墙的数据包一一检查，根据事先建立的安全访 问控制策略，对数据包进行筛选，允许或是禁止其通过。 一般情况下，包过滤型防火墙具有两块或两块以上的网卡或是网络适配器 接口。也就是说防火墙所连接的内外网络实际上从物理上是断开的。防火墙检 查所有传入的数据包，查看数据包中的源口地址、目的口地址、端口号等，以 之跟访问控制表中的规则相比较，来决定允许还是禁止其通过。例如，假定某 网络中禁止t e l n e t 连接，而防火墙收到的从外网传来的数据包的目的端口号为 2 3 ，则该包被丢弃。通常情况下，过滤规则可能是多条规则的复杂组合，例如 内部网络中只有某台服务器对外网提供h t t p 服务，那么，外网中只有目的p 和 端口号都匹配的数据包才能通过防火墙进入内网。 在访问控制表的最后，一般存在一条默认过滤规则，默认允许或者默认禁 止所有未能和前面的过滤规则相匹配的数据包。默认禁止，即所有未能和前面 的规则相匹配的数据包一律丢弃，这种做法为受保护网络带来了较大的安全性， 但与此同时，网络的易用性也受到了一定程度的损害：默认允许，即所有和前 面规则匹配不上的数据包一律允许通过，与默认禁止相反，默认允许规则带来 了更大的网络易用性，但同时也是以降低受保护网络的安全性作为代价的。默 7 武汉理工大学硕士论文 认禁止还是默认允许的设置原则在一定程度上体现了受保护网络在网络安全性 和易用性方面的需求，必须从中找到一个平衡点。通常情况下，为了换来更大 的安全性，大多数网络管理员愿意选择默认禁止所有未能匹配规则的数据包。 2 4 2 状态监测防火墙 由于传统包过滤技术的无记忆性，一般的包过滤防火墙通常只是将网络中 的数据包简单的看作单个独立的报文予以检测，并没有考虑到数据包与数据包 之间的联系，例如，同处于一个t c p 会话连接中的数据包在s y n 上的连续性。 在这种情况下，一些重要的信息就被防火墙所忽略掉了，这无论是从防火墙的 检测效率还是网络安全的角度来看，都不是一种好的做法。 状态检测防火墙是在包过滤型防火墙基础上的一种扩充，它既保证了传统 包过滤防火墙的优点，又在安全性和网络传输效率上得到了很大的提升。与传 统包过滤性防火墙只关注单个数据包的合法性相比，状态检测防火墙将属于同 一会话的数据包看做一个整体的数据流，并试图跟踪会话的状态，从数据包之 间的相互联系上去发现和抵御入侵攻击1 6 】。 为了实现状态跟踪，找到数据包之间的相互联系，这类防火墙将处于同一 会话中的数据包看做一个整体，以一个会话连接为单位进行检查控制。除了原 包过滤防火墙用于规则检测的访问控制表之外，状态检测防火墙新添加一个状 态表以记录下每个会话的当前状态。在整个会话过程中，状态表负责检测记录 下数据包的通信状态、应用状态和操作信息等有用信息。状态表和访问控制表 相互配合，使得防火墙不仅仅只是检查单个数据包的安全性，更多的也为整个 会话的安全性提供检查。另一方面，在确保安全性的情况下，通过状态表直接 放行会话中安全的数据包，这样也大大提高了防火墙的效率，节省网络带宽。 2 4 3 应用程序代理防火墙 应用程序代理防火墙也被称作应用级网关( a p p l i c a t i o n l e v e lg a t e w a y ， a l g ) 7 1 ，是另外一种形式的防火墙。与运行在网络层和传输层的包过滤型防火 墙不同，应用程序代理防火墙工作在网络层，通过对应用层数据的深入分析， 从中发现问题，找到并抵御入侵攻击。 应用程序代理防火墙通常被安装在客户机与真实的服务器之间，通过它来 断开内外网络之间的直接连接。外网的所有连接请求均被代理服务器所接收， 8 武汉理工大学硕士论文 在进行合法性验证之后，由代理服务器向内网真实服务器发送连接请求。通信 过程中，代理服务器同时维持外网客户端与代理服务器、代理服务器与内网真 实服务器两条连接，通过代理服务器在两条连接之间传递数据来完成内外网之 间的交互。而事实上，内网真实服务器的数据从未真正离开过内部网络，而外 网客户机的数据也从未真正进入过内部网络。代理服务器在中间起到了转发和 监控的作用。对于用户来说，代理服务器是透明的，用户根本感觉不到代理服 务器的存在，也无需了解它的数据交换过程。但是，应用程序代理防火墙的不 足之处在于，对于每一个特定的网络应用，代理防火墙上都必须要有特定的代 理服务程序与之相对应，如果某一项网络服务，防火墙中没有它的代理程序， 那么该项服务将不被支持。 2 6 防火墙的缺陷 防火墙的功能虽然很强大，但是它并不足以构成一个完整网络安全防御体 系，防火墙只能是作为网络安全机制中的一部分，仅能为整个网络安全防御体 系的一方面提供保证。另外，防火墙本身也存在诸多缺陷，为它的安全防护工 作造成了一些障碍。总的来讲，防火墙主要存在以下几方面的缺陷： ( 1 ) 作为一种静态防御手段，防火墙根据预先制定的访问控制规则检查过往 的网络通信数据包，对于存在于已授权访问中的攻击行为，防火墙无能为力。 ( 2 ) 防火墙安全防御行为的关键在于网络管理者预先设置的访问控制策略， 防火墙只是默默地按照访问控制规则一条一条的和来往的数据包进行比对，发 现不符合规则的数据包则禁止。但是如果访问控制策略本身就存在漏洞，防火 墙无法知道，也无法对其进行修正和扩充。 ( 3 ) 防火墙的防御行为是基于这样的一个假设来实现的，即内部网络中安全 性较高，而外部网络不太安全，防火墙防止外部网络的不安全因素进入内网， 以维持内网的高安全性。但是如果内部网络中本身就存在一定的不安全因素， 而攻击行为是从内网发起的。在这种情况下，防火墙无法阻止攻击在内网中的 传播，从而也失去了作用。 ( 4 ) 防火墙要求所有进出内外网的数据包都必须经过防火墙，这样防火墙才 能依据其过滤规则对数据包进行检测和过滤。如果内部网络中存在后门，数据 包可以不经过防火墙而直接进入到内网，即使防火墙的安全策略再完善，过滤 功能再强大，也无法阻止黑客的入侵。而防火墙也只能是形同虚设。 9 武汉理工大学硕士论文 第3 章入侵检测 随着互联网技术的发展，传统防火墙技术的不足所引发的安全问题越来越 受到人们的重视。防火墙就像是一张过滤网，将网络数据流中的杂质和不安全 因素阻挡在防火墙之外。但不幸的是，总有一些不安全的数据包或是攻击能找 到“过滤网一上的漏洞，从“过滤网 中钻过去，或是直接绕开“过滤网”进 入内部网络中去。既然防火墙不能完全阻止入侵攻击对内部网络造成的危害， 那么如何在防火墙被穿透的情况下进行补救，降低甚至消灭入侵造成的危害， 这正是入侵检测技术所关注的问题。 3 1 入侵检测概述 入侵是指非法存取和修改信息，或是破坏系统的可靠性和可用性的故意行 为。而入侵检测，顾名思义，指的是检测和发现网络中的各种入侵破坏行为嘲。 与防火墙技术的被动防御有所不同，入侵检测技术积极主动的收集网络或主机 中反映当前网络或主机状况的相关信息并进行检测分析，及时发现并报告网络 中的入侵行为，属于主动防御的技术范畴。它是防火墙的有利补充，被誉为“继 防火墙之后的第二道安全关口 1 8 】。 1 9 8 0 年4 月，j a m e sea n d e r s o n 在一篇名为( c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威胁的监视与检测) 的报告第一次明 确提出了入侵检测的概念 9 1 。根据目前i c s a ( i n t e r n a t i o n a lc o m p u t e rs e c u r i t y a s s o c i a t i o n ) 国际计算机安全协会对入侵检测的定义，入侵检测( i n t r u s i o n d e t e c t i o n ) 是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进 行分析，检查网络中是否有违反安全策略的行为和遭受袭击的现象的一种安全 技术【1 0 l 。实现入侵检测功能的软硬件设备的组合被称为入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 1 1 j 。在一个相对宽松开放的网络环境中，入侵检测系统 时刻监视着当前的网络状况，通过收集网络中的网络数据包和网络主机中的系 统关键日志，并将其与i d s 中的特征描述库中的特征编码相比对，以发现网络 中的入侵和异常行为，如图3 1 所示。 作为一种积极主动的安全防御技术，入侵检测技术能够协助系统对付来自 1 0 武汉理工大学硕士论文 网络内部和外部的各种入侵攻击以及合法用户的误操作行为，尽可能的降低入 侵对网络带来的危害。同时，入侵检测系统也为网络管理员带来了巨大的帮助， 提高了网络管理员在网络安全方面的管理能力，大大降低了网络管理员的工作 量，为网络的安全性提供了保障。 3 2 入侵检测系统分类 图3 - 1 入侵检测数据流 入侵检测系统的分类标准有很多。从检测所需的数据来源来分，入侵检测系 统可以被分为基于网络、基于主机和分布式的入侵检测系统3 类【1 2 1 。从入侵检 测系统的工作特点可以看出，收集信息并进行分析是其首要任务。根据收集信 息的位置不同，入侵检测系统可分为基于网络和基于主机两种。基于网络的入 侵检测系统安装受保护网络的集线器或交换机上，通过抓包获取网络中到达本 网络的数据包来进行分析告警；而基于主机的入侵检测系统则是被安装于受保 护的主机上，通过收集主机的相关信息进行分析告警。以普通的视频监控系统 作为类比，基于网络的入侵检测系统就好比安装在走廊上的摄像头，而基于主 机的入侵检测系统则相当于安装于各个房间的摄像头。由于两者所处位置的不 同，收集到的信息也各不相同。二者之间可以相互补充。 3 2 1 基于网络的入侵检测系统( n i d s ) 基于网络的入侵检测系统，其主要目的是为了监视整个网络的运行状况。 这类入侵检测系统收集网络信息的方式与s n i f f e r 的工作原理完全相同。通过将 武汉理工大学硕士论文 自身计算机的网卡设置为混杂模式，计算机可以接收网络中所有“路过 本机 的数据包，而不论该数据包的最终接收地址是本机与否。 对于总线结构的共享式网络而言，入侵检测系统只需要将其网卡设置为混 杂模式便可实现对网络的监听。但是随着交换式网络的日益普及，入侵检测系 统要实现对整个网络的监听则不那么简单，必须通过在网络交换机上配置相应 的镜像端口才能获得其他端口的数据包。由于处于侧路旁听，基于网络的入侵 检测系统有一个很大的优点，就是在一般情况下，它并不会影响到服务器的正 常工作，而且还可以同时监视网络中多台服务器的数据流量等多方面情况，如 图3 2 所示。 图3 2 是网络保护的一个典型案例拓扑图。在该拓扑图中，所有的n i d s 均 被放置在网络中最关键的位置上，监视着关键部位的各网络设备的数据流量。 通常情况下，网络中每个子网的关键部位均被安置一个n i d s ，来为网络提供子 网级的深层次安全防护。 图3 - 2n i d s 网络 3 2 2 基于主机的入侵检测系统( h i d s ) 与n i d s 相对应，基于主机的入侵检测系统并不是以网络保护作为工作的重 1 2 武汉理工大学硕士论文 点，通常情况下，它只能保护自身所在的主机，通过收集主机系统日志等系统 相关信息来对主机当前状况进行监控和告警。由于不是所有的网卡都可以被设 置为混杂模式，而且对于低配置主机而言，在混杂模式下，主机由于要接收网 络中所有的数据包，c p u 占用率会相当之高，因此基于主机的入侵检测系统在 效率上更加优越一些。 h i d s 的另一大优点在于系统可以根据当前主机的具体情况制定符合主机安 全要求的检测规则。例如，当前主机上没有运行邮件服务，那么它的h i d s 上就 不需要装与邮件服务器相关的规则集。这样一来，检测规则集的规模大幅度降 低，检测效率也得到了很大程度的提高。如图3 3 所示，在网络部署中，h i d s 被安装在受保护主机或服务器上，根据各种网络设备的实际情况配置相应的规 则集。d n s 服务器主要配置防止d n s 攻击的规则集；而w e b 服务器上的入侵 检测系统则主要设置与w e b 服务相关的规则集。至于一般用户的主机，通常情 况下可配置通用的防入侵规则集。随着时间的推移，可能不断地有新的漏洞被 发现，各h i d s 规则集需要及时更新以防止新漏洞所造成的系统威胁。 通常情况下，基于主机的入侵检测系统作为独立的程序安装在被保护的主 机上，收集信息准确，但与此同时，h i d s 也需要耗费相当一部分主机资源。另 外，基于主机的入侵检测系统与操作系统相关，不同操作系统的h i d s 之间通用 性较差。 图3 3h i d s 网络 武汉理工大学硕士论文 3 2 3 分布式的入侵检测系统( d i d s ) 分布式入侵检测系统中，n i d s 或者h i d s 作为子系统被放置于网络中各个 需要监控的地方。各子系统及时的向中央管理平台报告当前检测到的状态，并 定时的将系统日志保存到中央数据库中。中央管理平台负责对个子系统上报的 事件进行审计，并及时向各n i d s 或h i d s 发布最新的规则集补丁，各i d s 根据 具体情况配置自身的规则集。 如图3 - 4 所示的d i d s 中包含了4 个基于网络的入侵检测系统，各n i d s 根 据自己所处子网的具体情况配置自身的规则集。如处于左上方的n i d s ，由于其 身处w e b 服务器和邮件服务器所在的子网中，它的规则集主要包含w e b 服务和 邮件服务相关的检测规则；而身处可信任网络中的两个n i d s ，则只需配置常用 的入侵检测规则既可。各i d s 子系统与中央管理平台之间的通信可通过专用网 络来进行，也可在现有的网络中通过v p n 、加密等方式来实现，以确保d i d s 中的数据传输安全。 在d i d s 中，检测子系统可使用n 1 d s 、h i d s ，当然也可以两种入侵检测系 统都使用。目前，将n i d s 和h i d s 相结合，是d i d s 的一种发展趋势。 图3 4d i d s 网络 1 4 武汉理工大学硕士论文 3 3 入侵检测技术分类 入侵检测系统的关键在于检测技术的应用，如何区别正常行为和异常行为， 如何判断发生了入侵，这就涉及到检测技术的问题。目前，入侵检测技术基本 上可以分为两大类：基于误用的入侵检测和基于异常的入侵检测【1 2 1 。 3 3 1 误用检测技术 误用检测技术也被称为基于特征的检测技术，是一种根据已知的攻击方式去 检测当前网络中是否存在攻击的方法。这是现在较为流行的入侵检测技术之一。 与目前广泛采用的反病毒软件的病毒查杀机制相类似，误用检测技术首先提取 各种已知的入侵攻击的行为特征，并建立入侵特征库，然后将当前的网络行为 与入侵特征库中的特征模式相比较。如果当前行为与特征库中某一特征相匹配， 则可断定该行为是入侵攻击，然后采取相应的处理措施，如图3 5 所示。例如， 如果检测的网络数据包中包含一段明文“g e t s c r i p t r o o t e x e 一，则表明该数据包 是尼姆达蠕虫攻击的数据包。i d s 通过将该数据包与特征库中的攻击特征相匹配 就很容易发现这一点。 图3 - 5 误用检测 误用检测技术的关键在于如何提取入侵攻击的行为特征并进行合理的编码。 以前老的误用检测方法只是简单的字符串匹配，智能化程度较低，有时攻击者 只需简单的修改数据包中的一个比特便可躲过i d s 的检测。随着模式匹配、协 武汉理工大学硕士论文 议分析、条件概率和专家系统等技术在i d s 上的应用，误用检测技术在检测正 确性上也得到了很大的提高。目前误用检测技术使用的主要检测方法包括条件 概率、专家系统、状态迁移分析以及键盘分析等【1 3 l 。 由于目前大部分恶意的网络数据包都能够被唯一的一种特征所鉴别，误用检 测技术具有较低的误报率。此外，基于模式匹配的机制使得误用检测技术实现 简单，而且具有高性能和高可靠性。但是另一方面，由于误用检测技术是根据 已知的攻击方式去发现入侵，对于新近出现的入侵攻击方式，如果i d s 管理员 未能及时的将新的攻击模式添加到入侵特征库中，由于没有可供匹配的特征模 式，i d s 将无法识别出这类攻击。因此，无用检测技术的漏报率较高。还有一个 问题就是，随着技术的发展，误用检测技术所能识别的攻击