（计算机软件与理论专业论文）nfih网络入侵防护体系设计与实现.pdf

东北大学硕士学位论文摘要 n f i h 网络入侵防护体系设计与实现 摘要 随着互联网的快速发展，越来越多的应用通过网络来实现，同时网络安全也 面l 临着巨大的挑战。高速的网络为攻击者提供了方便，攻击模式和方法越来越复 杂，攻击者的技术水平也在不断提高，攻击的规模只益扩大，越来越多的网络面 临被攻击的威胁。如何保护可信赖网络不受入侵成为目前迫切需要解决的问题。 传统的网络安全防护体系显得力不从心，所以本文引入了一个全新的入侵防护体 系结构，这就是n f i h 入侵防护体系。 本论文设计的n f i h 网络入侵防护体系是一个以防火墙为第一道安全屏障、 以网络分流器为交通枢纽、以蜜罐子系统为入侵取证分析系统、以入侵检测子系 统为核心的网络入侵防护体系。将网络分流器、蜜罐、防火墙和入侵检测系统结 合在一起，既保持了传统网络安全产品的特点，又对其信息收集能力不强的弱点 进行了改善，从而提高了整个系统的安全性。防火墙和入侵检测系统是保护网络 安全的重要技术手段。防火墙可以通过连接控制把入侵行为拒绝于可信赖网络之 外，入侵检测可以对有入侵特征的行为进行报警。为了进一步收集入侵者更多的 信息，本防护体系引进了蜜罐系统。由于蜜罐收集信息缺乏主动性，所以本防护 体系又设计和实现了以网络地址转换为核心技术的网络分流器。网络分流器可以 依据其中的分流规则对经过它的数据包进行分流，而分流规则可以由入侵检测子 系统动态配置。这样一旦入侵检测子系统检测到入侵行为，就可以通过重新配置 网络分流器中的分流规则，将入侵行为导入到蜜罐子系统中对其进行监测，以获 取更多的入侵者信息。 关键词：网络安全：防火墙：入侵检测；蜜罐；网络分流器 一l i 东北大学硕士学位论文a b s t r a c t d e s i g na n di m p l e m e n t a t i o no fn f i hn e t w o r ki n t r u s i o n p r o t e c t i o ns y s t e m a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t ，m o r ea n dm o r ea p p l i c a t i o n sa r er e a l i z e d t h r o u g ht h en e t w o r k a tt h es a m et i m e ，t h es e c u r i t yo ft h en e t w o r ka l s of a c e st h e e n o r m o u sc h a l l e n g e t h ef a s tn e t w o r kh a sf a c i l i t a t e df o ri n t r u d e r s t h ei n t r u d e r s e n g i n e e r i n gs k i l li si m p r o v i n gc o n s t a n t l yt o o h o wt op r o t e c tt h eb e l i e v e dn e t w o r k s f r o mi n t r u s i o ni sa nu r g e n tp r o b l e mt ob es o l v e da tp r e s e n t t h et r a d i t i o n a ls a f e s t r a t e g yn o wm a n i f e s tt h e i rl i m i t a t i o n s ，s oan e ws y s t e mn a m e dn f i hi n t r u s i o n p r e v e n t i o ns y s t e mh a sb e e nc o m eu pi nt h i sp a p e r t h ep a p e rd e s c r i b e ss u c han e t w o r ki n t r u s i o np r o t e c t i o ns y s t e m ：i tu s e sf i r e w a l l a st h ef i r s ts e c u r i t yb a r r i e r , n a tr o u t e ra st h ec e n t e ro fc o m m u n i c a t i o n ，h o n e y p o ta s i n f o r m a t i o n - c o l l e c t i o na n d i n f o r m a t i o n a n a l y s i ss y s t e m ，i d s a st h ek e r n e l c o m b i n i n gn a tr o u t e r ，h o n e y p o t ，i d sa n df i r e w a l l ，t h en e t w o r ks e c u r i t yc a nb e i m p r o v e dg r e a t l y i nt h i sw a y , n o to n l yw ep r o t e c tt h en e t w o r kf r o mb e i n gi n t r u d e da s t r a d i t i o n a lm o d ed o ，b u ta l s oc a nm o n i t o rn e t w o r ks y s t e mr u n n i n g ，c o l l e c th a c k e r s m o r ei n f o r m a t i o n f i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e ma r et h ei m p o r t a n tm e t h o d s t op r o t e c tn e t w o r kf r o mb e i n gi n t r u d e d f i r e w a l lc a nk e e pi n t r u s i o no u to ft h e n e t w o r kt h a tw ew a n tt op r o t e c tt h r o u g hc o n n e c t i o nc o n t r 0 1 i d sc a na l e r tt ot h e s e i n t r u s i o n s t oc o l l e c tm o r ei n f o r m a t i o na b o u th a c k e r s h o n e y p o ti si n t r o d u c e di n t ot h e p r o t e c t i o ns y s t e m b e c a u s et h eh o n e y p o tl a c k sf o ra c t i v a t i o nw h i l ec o l l e c t i n g i n f o r m a t i o n ，n a tr o u t e ri si n t r o d u c e di n t ot h ep r o t e c t i o ns y s t e m a n dt h ek e r n e l t e c h n o l o g yo fn a t r o u t e ri sn e t w o r ka d d r e s st r a n s l a t i o n i td i s t r i b u t e sp a c k e t si n t o d i f f e r e n tp l a c e sb yi t s r u l e s t h u s ，o n c et h ei n t r u s i o nd e t e c t i o ns y s t e md e t e c t s i n t r u s i o n ，i ti n s e r t sar u l ei n t od i s t r i b u t i o n sr u l e s ，l o c a t e st h ei n t r u d i n gp a c k e t si n t o h o n e y p o ts y s t e m ，a n dt h e nc o l l e c t sm o r ei n f o r m a t i o na b o u th a c k e r s k e yw o r d s ：n e t w o r ks e c u r i t y ；f i r e w a l l ；i d s ；h o n e y p o t ；n a tr o u t e r l l i 独创声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研究成果除加 以标注和致谢的地方外，不包含其他人已经发表或撰写过的研究成果，也不包括本人为 获得其他学位而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示诚挚的谢意。 学位论文作者签名；王屯i j i j 寻 签字日期：私一7 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的规定：即 学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人同意东北大学可以将学位论文的全部或部分内容编入有关数据库进行检索、交 流。 ( 如作者和导师同意网上交流，请在下方签名：否则视为不同意) 学位论文作者签名哆瑚 导师签名： 锄套z 签字r 期：7 ，7 ，。签字。日期：夕呷，1 y 东北大学硕士学位论文 第一章网络安全的现状 第一章网络安全的现状 1 1 网络安全形势日趋严峻 随着网络技术和信息技术的飞速发展以及人们文化水平提高和消费结构的多 样化，网络在中国发展的十几年左右的时间里，我国网民的数量急剧增加，截止 2 0 0 6 年6 月底，我国的网民数量已经达1 2 3 亿人，上网计算机达到5 0 0 0 万台左 右，网络国际出1 2 1 带宽增长飞速，总数达到2 1 4 力| m 1 1 1 。 以上数据充分表明，互联网经过了1 0 年的发展，不仅互联网本身拥有极大的 使用价值，而且还为其他传统行业的发展提供了新的工具和途径，些传统行业 得以创造出许多以前很难实现的服务和价值。例如网上炒股炒汇、网站短信服务、 q q 等即时通信工具都在中国蓬勃发展，并为相关企业带来了巨大的经济效益。 但是，在中国如此庞大的互联网用户和基础网络迅猛发展的同时，一个十分 严峻的问题摆在了国人的面前：这就是互联网的安全问题。网络病毒、蠕虫、黑 客，这些现象随着互联网诞生便出现，同时，随着互联网的发展，也不断出现新 的变化。如2 0 0 4 年3 - - 5 月间，互联网相继出现多种性质恶劣的病毒，m y d o o m 、 n e t s k y 、b a g e l 、冲击波( b l a s t e r ) 和震荡波( s a s s e r ) 等大量病毒和邮件蠕虫大 面积传播，造成网络堵塞，众多网站瘫痪。 t 不仅是在中国，全球互联网的安全问题同样十分严峻。2 0 0 4 年7 月，著名的 美国网站i n f o w o r l d ( h t t p ：w w w i n f o w o r l d c o r n ) 对全球2 0 0 4 年的企业信息安全 状况进行的调查表明，全球的i t 经理都在为网络安全防护系统的有效性感到担 忧。 以上种种现象表明，随着互联网技术的发展，安全问题不是减少而是增加了， 需要更多的人去重视它、关注它，包括我们身边的每一个人。 1 2 网络协议存在着缺陷 t c p i p 协议族最初是在美国防部的倡导下开发的，设计之初它的安全性并没 有得到足够的重视，从而为黑客提供了利用其缺陷进行入侵的可能。t c p i p 是 一组协议的集合，除了最常用的t c p 和i p 协议外，还包含许多其他的工具性协 议、管理协议及应用协议。下面对几个重要协议的缺陷做一下概括介绍： 东北大学硕士学位论文 第一章网络安全的现状 ( 1 ) t c p 协议 t c p 使用三次握手机制来建立一条连接，握手的第一个报文为s y n 包；第 二个报文为s y n + a c k 包，在应答第一个s y n 包的同时继续握手过程；第三个 报文仅仅是一个a c k 包作为应答。若a 为发起连接方，b 为响应方。则连接过 程如图1 1 所示： 图1 it c p 三次握手示图 f i g 1 1t h es k e t c hm a po f t c pt h r i c eh a n d s h a k e 在交换数据的过程中可能的威胁有； 攻击者监听b 方发出的s y n a c k 报文。 攻击者向b 方发送r s t 包，接着发送s y n 包，假冒a 方发起新的连接。 b 方响应新连接，并发送连接响应报文s y n a c k 。 攻击者再假冒a 方对b 方发送a c k 包。 这样攻击者便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则 后果更为严重【甜。 ( 2 ) i p 协议 i p 协议是t c p i p 中最重要的协议之一，提供无连接的数据包传输机制，其 主要功能有：寻址、路由选择、分段和重组。比如说，a 要给b 传送数据，那么 a 在其传输层把要传输的报文分成若干个数据报，经过每个网关时，路由器根据 其携带的报头信息进行路由选择，最后数据就从a 到达了b 。在这个传输过程中， 由于不同网络的最大传输单元( m t u ) 不同，从而导致了从a 到b 的数据包可 能要分成若干片断，以满足不同网络的m t u 的要求，每一片断都作为一个独立 的数据包被传输，其中只有第一个数据报含有t c p 层的端口信息。在采用包过滤 技术的防火墙中，根据数据包的端口号检查数据是否合法。这样后续数据包就可 一2 一 东北大学硕士学位论文 第一章网络安全的现状 以不经检查而直接通过。攻击者若发送一系列有意设置的数据包，以非法端口号 为数据的后续数据包覆盖f i 面的具有合法端口号的数据包，那么该防火墙上就形 同虚设，从而入侵者便达到了入侵目的。 ( 3 ) i c m p 协议 i c m p ，i n t e r n e t 网间控制协议。它通常被i p 层及其高层的协议( t c p 、u d p ) 所使用。当路由器收到份数据报，而由于某种原因该路由器不能转发该数据包， 那么它就发送一份“主机不可达”的i c m p 报文来告诉发送端。另外它还可以实 现重定向，当i p 报应该被发送到另一个路由器时，收到数据报的路由器就要发送 i c m p 差错报文重定向给发送端。i c m p 被认为是i p 协议不可缺少的组成部分， 是i p 协议正常工作的辅助协议。i c m p 协议存在的安全缺口有： 攻击者可利用i c m p 重定向报文破坏路由选择，并以此增强其窃听能力。 攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。 ( 4 ) 路由协议 i n t e r n e t 使用动态路由技术，通过路由器之间的相互通信传递路由信息，实现 路由表的自动更新。自治域内部采用的路由协议称为内部网关协议，常用的有路 由信息协议r i p ( r o u t i n gi n f o r m a t i o np r o t o c 0 1 ) 、开放式最短路径优先协议o s p f ( o p e ns h o r t e s t p a t h f i r s t ) 。外部网关协议主要用于多个自治域之间的路由选择， 常用的是边界网关协议b g p ( b o r d e rg a t e w a yp r o t o c 0 1 ) 。 路由协议存在的安全缺口有： 许多路由协议使用未加密的非一次性口令来证实数据中的路由信息，容易遭 到非法窃听。 攻击者通过伪造一个非法路由器或者其它手段发送伪造路由信息，扰乱合法 路由器的路由选择，从而使本应到达目标主机的数据包转发至入侵主机。 由于b g p 通过t c p 传送数据，目前对t c p 不断加剧的攻击也是影响b g p 安全的一个重要因素。 ( 5 ) 域名系统 为了解决i p 地址难于记忆的问题，t c p i p 设计了一种层次性命名协议，即 域名系统d n s ，其作用是自动将主机域名转换成对应的i p 地址。d n s 也存在着 一些安全缺口，主要有： 由于d n s 缺乏密码认证机制，攻击者可通过假冒其它系统或截取发往其它系 东北大学硕士学位论文 第一章网络安全的现状 统的邮件等手段，对用户造成危害。 且前许多防火墙产品基于未证实的i p 地址来做出有关网络外部存取的决策， 其中若被插入假d n s 信息，就会给攻击者造成便利。 针对d n s 的攻击和针对路由机制的攻击如果配合使用，将对网络造成灾难性 的后果。 1 3 黑客攻击技术日新月异 1 3 1 网络监听 它的设计初衷是为了协助管理员监控网络状态和数据流动、排除网络故障而 开发的。但同时也给以太网带来了极大的安全隐患，由于网络监听能够截获数据 流，致使许多的黑客入侵常常伴随着网络监听行为。一个网内两台正在通信的主 机，在正常情况下他们之间的通信只有对方能够接收。但是如果第三台主机将自 己的网络接口设置为监听( 混杂) 模式，那么它就可以将正在传播的信息截获， 从而实现网络监听。 1 3 2 网络扫描 与网络监听一样，网络扫描的初衷也是为了网络安全的需要而开发的技术。 只是黑客利用了其作为攻击工具。网络扫描可以分为端口扫描、漏洞扫描、操作 系统指纹识别扫描等f 3 】。 端口扫描，实际上就是向目标主机的t c p i p 服务端口发送探测数据包，并记 录响应信息。端口扫描的结果信息对般网络用户来说是毫无意义的，但对于熟 悉网络知识的黑客来说，却可以根据端口的回应信息来确认该端口是否开放从而 为更进一步的入侵行为做好准备。它是一种攻击者用来发现他们可以进入服务器 的很常用的侦察技术。 ，端口扫描的原理，就是扫描者向目标系统的不同端口发送特殊标志位的数据 包，并记录目标系统所做出的应答信息，通过对这些应答信息的分析得出关于目 标系统的相关信息。 漏洞扫描，这里说的漏洞是指基于网络的漏洞。它通常是根据端口扫描的结 果，利用特征匹配的原理，发送某一漏洞特征探测码的数据包，根据返回数据包 中是否含有该漏洞的响应特征来判断是否存在漏洞。 东北大学硕士学位论文 第一章网络安全的现状 操作系统指纹识别扫描，是指攻击者给目标主机发送特定的信息，根据目标 主机的响应信息，就可以知道目标主机的操作系统，因为不同的操作系统对某一 特定的信息的响应信息是不同的。知道了目标主机的操作系统，也就同时知道目 标主机的漏洞，从而为入侵铺平了道路。 1 1 3 3 i p 欺骗( i p s p o o f i n g ) i p 欺骗是在网络服务器不存在任何漏洞的情况下，通过利用t c p i p 协议本 身存在的一些缺陷进行攻击的方法，它的实质就是破坏两台正在通信主机之间的 信任关系【4 1 。 攻击过程： ( 1 ) 首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰： ( 2 ) 然后连接到目标机的某个端口来猜测i s n 基值和增加规律； ( 3 ) 接下来把源地址伪装成被信任主机，发送带有s y n 标志的数据段请求 连接； ( 4 ) 然后等待目标主机发送s y n + a c k 包给已经瘫痪的主机； ( 5 ) 最后再次伪装成被信任主机向目标机发送的a c k ，此时发送的数据段 带有预测的目标机的i s n + i ； ( 6 ) 连接建立，发送命令请求。 1 3 4 拒绝服务攻击d o s ( d e n i a lo f s e r v i c e ) d o s 攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包 括磁盘空间、内存、进程甚至网络带宽，从而阻止f 常用户的访问。 d o s 的攻击方式有很多种。最基本的d o s 攻击就是利用合理的服务请求来 占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括 网络带宽，文件系统空间容量、开放的进程或者向内的连接。这种攻击会导致资 源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么 快都无法避免这种攻击带来的后果。因为任何事都有一个极限，所以，总能找到 一个方法使请求的值大于该极限值，因此就会使所提供的服务资源匮乏，千万不 要自认为自己拥有了足够宽的带宽就会有一个高效率的网站，拒绝服务攻击会使 所有的资源变得非常渺小。 东北大学硕士学位论文 第一章网络安全的现状 1 3 5 缓冲区溢出攻击 缓冲区溢出是一种在各种操作系统、应用软件中广泛存在普遍且危险的漏洞， 利用缓冲区溢出攻击可以导致程序运行失败、系统崩溃等后果。更为严重的是， 可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。 它的原理是；当正常的使用者操作程序的时候，所进行的操作一般不会超出 程序的运行范围；而黑客却利用缓冲长度界限向程序中输入超出其常规长度的内 容，造成缓冲区的溢出从而破坏程序的堆栈，使程序运行出现特殊的问题转而执 行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查 用户输入的参数，属于程序开发过程考虑不周到的结果。 1 4 网络安全的要件 1 4 1 网络安全的概念 通俗地说，网络安全就是指部署在某一特定网络中的各种硬件、软件及其系 统中的数据受到保护，不会由于偶然或者恶意的原因而遭到破坏、更改和泄露。 也就是说，只有达到以上要求的网络彳。是安全的。当然我们以下提到的网络安全 的概念都是基于软件的，对硬件没有过多的考虑。 1 4 2 安全网络的构成要件 那么就目前而言，什么样的网络才是安全的? 或者说，具体要达到什么样的 要求的网络才是安全的呢? 一般认为，网络安全应该包括五个基本要件：机密性、 完整性、可用性、可控性和可审查性【朝。 1 4 2 。l 机密性 确保信息不暴露给未经授权的实体或进程。正如在前面攻击方法中所提到的， 只要用户使用明文来在网络上传输数据，那么这些数据就有被监听的可能。如果 这些数据对用户来说比较重要或比较敏感，那么一旦黑客窃取到这些数据，对用 户来说所造成的危害很有可能是非常巨大的。因此，在网络的安全性方面，机密 性被作为第一要件提出。目前，在所使用的保障网络中传输数据的机密性的方法 中，加密传输是非常重要的一种手段。 东北大学硕士学位论文第一章网络安全的现状 1 4 2 2 完整性 只有授权用户才能修改数据，并且能够判断出数据是否己经被修改。与实际 生活中的过程相似，一旦信息的发布者将信息发布出去，他就不想在不知情的情 况下，信息被其他人修改。也就是说信息的接收者如何来保证他所接受到的信息 就是发送者所发出的原始信息而没有经过第三者的肆意改动，这也就是数据完整 性概念的提出。与实际中的签名相似，在网络中传输数据时，可以使用数字签名 的方法来保证数据的完整性。数字签名除了提供数据完整性保护以外，还具有难 以伪造、信息的发放者无法否认等其它属性，这些属性在网络信息的传递中也是 非常重要的。 1 4 2 3 可用性 可用性就是指所收到的信息对于用户来说是有价值的，也就是说数据是真实 的、没有经过篡改的，而且是用户可以识别的信息。如果一个系统中数据的可用 性得不到保障，那么即使数据是完整无缺的，也对使用者来说毫无意义。 1 4 2 4 可控性 可控性就是指可以控制授权范围内的信息流向及行为方式。提高网络可控性 的直接有效的方法就是对网络进行分段处理，也就是对一个比较大的网络进行逻 辑上的小型化处理，即将网络划分为若干段( s e g m e n t ) ，将容易发生数据风暴的 网段隔离开，以杜绝对其它网段的影响。 1 4 2 5 可审查性 能够对出现的网络安全问题提供调查的依据和手段。一旦出现网络攻击行为 或网络受到其它一些安全威胁时，系统要能够对所发生的入侵行为进行记录，以 使得在事故发生之后也可以向网络管理员提供黑客攻击行为的追踪线索及破案依 据。 1 5 本章小结 本章通过对网络安全所面临的形势、几种存在缺陷的网络协议的分析，说明 了网络由于其大众化和自身协议的安全问题，指出了网络安全所面临的形势日趋 严峻；而后通过对几种常见黑客所使用的技术的阐述，明确了黑客对网络的入侵 是无处不在、无刻不停的，网络安全面临着黑客们的巨大的挑战；在本章的最后， 东北大学硕士学位论文 第一章网络安全的现状 提出了衡量网络安全的几项指标。 东北大学硕士学位论文第二章网络安全体系介绍 第二章网络安全体系介绍 2 1 网络安全所用到的技术 2 1 1 防火墙 防火墙( f i r e w a l l ) 就是这样一个或者组系统：在两个网络之间根据一定的 策略规范，对进出的数据流提供访问控制策略f 6 】。目的是：在内部网( 又称可信 赖网) 和外部网( 又称不可信赖网) 之间建立一个安全检查点，通过允许或拒绝 的策略控制经过防火墙的数据流，实现对进、出内部网络服务的审计和控制，从 而对可信赖的网络提供安全保护。 防火墙是以串连的方式连接在网络，对通过它的所有数据进行访问控制，它 在网络中的逻辑位置如图2 1 所示。 断必曩 图2 1 防火墙在网络中的逻辑位置 f i g 2 1t h ef i r e w a l l sl o g i c a lp o s i t i o ni nn e t w o r k 2 1 1 1 包过滤( p a c k e tf i l t e r ) 它是防火墙之所以能“防火”所采用的主要技术，它通过一定的规则设置对 通过它的网络数据流进行选择和控制操作。它是在网络层对数据包进行的检查， 主要是基于i p 数据包头中的源地址、目的地址的或者t c p u d p 源端口号、 t c p u d p 目的端口号以及数据包头中的各种标志位信息等。 p a c k e t f i l t e r 通常安装在路由器上，在进行路由选择的同时通过允许和限止策 略对数据包进行过滤( 通常是对从不可依赖网络进入可信赖网络的包进行过滤) 。 2 1 1 2 代理( p r o x ys e r v i c e ) 最初的代理服务器只是为了提高网络通信的速度。现在的代理服务器主要是 东北大学硕士学位论文第二章网络安全体系介绍 为了屏蔽内部网络上的主机。它的目的是让外部主机与内部主机永远不会直接相 连。代理与数据包过滤是通过完全不同的两种工作方式为网络安全提供保障的。 使用这种技术的防火墙，内部网与外部网不存在物理意义上直接相连，所以 外网与内网的通信都是通过代理服务器进行“中转”l 酗。并且在“中转”内部主 机发往外网的数据包时，把内网主机发来的数据包进行重组，并把报头源地址转 换成自己的i p 地址，从而使外网主机无从知道内网主机的i p ，达到了隐蔽内网 主机的目的，有效地保护了内网主机不受外网主机的入侵。 2 1 1 3 状态检测 采用状态检测技术的防火墙，是一种试图跟踪通过防火墙的网络连接和数据 包，并记录相关的信息作为之后规则匹配参考的防火墙【7 1 。 一般情况下，当一个数据包通过防火墙时，防火墙与自己的规则库进行匹配， 此时只检查这个包的自身信息，而不参考先前或之后的数据包的信息。允许和阻 止的决策，完全取决于包自身所携带的信息，比如源地址、目的地址、端口号等。 而状态检测防火墙跟踪的不仅仅是包中携带的信息，而且还要跟踪数据包的状态 并记录有用的信息，以帮助识别包。 2 1 2 入侵检测技术 入侵检测( i n t r u s i o nd e t e c t i o n ) 是继防火墙、信息加密等安全技术之后又出 现的一种新的计算机系统和网络系统的安全技术。它可以对主机或者网络中发生 的各类事件进行监测和分析，并对异常事件提供报警。入侵检测系统根据其所采 用的引擎的不同可以分为：特征检测和异常检测两种【8 1 。 入侵检测系统一般是以旁路的方式连接在网络，监视流经网络的数据信息。 它的逻辑位置如图2 2 所示。 2 1 2 1 特征检测 特征检测( s i g n a t u r e b a s e dd e t e c t i o n ) 又称误用检测( m i s u s ed e t e c t i o n ) ，它 的工作原理是：首先对系统不征常的行为进行建模，总结不正常行为应该具有的 特征( 用户轮廓) ，并建立自己的特征库。在实际检测过程中，把捕获到的数据与 自己的特征库进行匹配，如果特征一致，就认为是攻击行为，反之则放行。匹配 的规则是在特征库里预先定义好的。当系统行为与正常行为有重大偏离时即被认 为是入侵。 一1 0 一 东北大学硕士学位论文第二章网络安全体系介绍 它的不足之处在于，它只能检测到已经知道的攻击模式。当有一种新攻击手 段出现时，利用这种技术是检测不到的。 图2 2 入侵检测系统在网络中的逻辑位置 f i g 2 2t h ei d s sl o g i c a lp o s i t i o ni nn e t w o r k 2 1 2 2 异常检测 异常检测( a n o m a l yd e t e c t i o n ) ，也被称为基于行为的( b e h a v i o r - b a s e d ) 检 测，是一种问接的检测方法。其工作原理是：首先对系统的f 常行为进行建模， 收集系统正常的彳亍为特征，并建立相关的特征库。在收集到的事件数据后，采用 特定的方法，把事件活动与规则库进行对比，看陔事件是否偏离了正常的行为模 式。当与特征库中的行为模式一致时，就认为是正常的行为，反之则认为是攻击 行为，是入侵。 这种检测方法的不足之处在于，由于对正常行为模式的总结不可能完美，所 以它的误报率较高。 2 1 j 加密传输 加密就是为了安全的目的进行的编码和解码。数据加密的基本过程就是将明 文译成密文，也就是说将人们可以看得懂的信息利用特定的加密算法转变为人们 看不懂的信息。因为这样的信息在网络上进行传输的话，即使能截获它，也没有 多大的意义。而接收方收到加密信息后却可以通过解密算法再次复原信息。 常用的加密有两种方式：链路加密和端到端加密 9 1 。 链路加密的加密侧重点在通信链路上，是对保密信息通过各链路采用不同的 加密密钥提供安全保护。它是面向节点的。对链路层以上的各层都是透明的，它 东北大学硕士学位论文 第二章网络安全体系介绍 对高层的协议信息进行加密，因此，数据在传输过程中是传的密文，只有到了中 央节点解密后才能得到路由信息。 端到端加密，是指信息自发送端自动进行加密，并进入t c p i p 数据包回封， 然后作为不可识别的密文在网络中进行传输，当信息到达目的地后，将自动解密 并重组。这种加密手段是面向网络高层主体的，它不对下层协议进行加密，协议 信息以明文形式传输。 2 2 传统网络完全体系结构 先来看一下目前网络安全体系中各安全组件是如何配置的。图2 3 所示的就 是目前安全体系各安全组件在网络中的位置【1 0 】。 在传统的网络安全体系中，防火墙由于其特有的优势充当了第一道安全屏障， 并以串联的方式接入网络，所有进出网络的数据包均会在它的监视之下。当一个 网络要对外提供服务时，它就需要有很多的服务器来实现这样的功能，而为了更 好地保护这些服务器，就把它们部署在一个非军事区( d m z ) 中，当然这样的部 署是出于安全的考虑。在防火墙与内网和非军事区之间配置i d s 系统，是为了在 有入侵行为发生时，可以及时地发出警报，不致使内网主机和非军事区的服务器 受到入侵者的入侵。 2 3 传统网络完全体系的不足 2 3 1 防火墙的不足 防火墙不能提供全面可靠的网络安全解决方案，是因为它存在以下的不足之 处： ( 1 ) 防火墙无法对负载进行检查 由于防火墙是基于i p 地址和端口号进行规则设定的，所以它对数据包内的负 载无法过滤。以致会遭到普通数据包中的恶意攻击代码，比如针对w e b 服务器 的“红色代码”蠕虫等： ( 2 ) 无法控制可信赖网络内部用户的攻击： 东北大学硕士学位论文 第二章网络安全体系介绍 图2 3 传统网络安全防护体系模型 f i g 2 3t h em o d e lo ft r a d i t i o n a ln e t w o r ks e c u r i t ys y s t e m 防火墙的安全控制作用，只能作用于穿过它的数据包，也就是说它只对跨越 网络边界的数据包进行过滤。对外它可以屏蔽内网的拓扑结构，限制外网用户对 内网上的某些重要站点或端口的连接，对内可以屏蔽外网的危险站点。不能发现 来自内部网络的攻击行为，也就是说它是“防内不防外”的设备。而网络攻击的 大部分是来自内部网络主机主动或者被动的攻击： ( 3 ) 防火墙不能解决自身的安全问题； ( 4 ) 防火墙是一种静态的网络安全技术，需要人工来不断地实施和维护其规 则库。 2 3 2 入侵检测的不足 现存的许多i d s 均采用集中统一收集和分析数据的体系结构，即数据由单一 的主机进行收集，并按照唯一的标准不同的方法进行分析。还有一些i d s 用多种 标准从被监视的多个分布式主机上收集分散的数据，但这些数据仍然要由一台完 全独立的主机来进行集中分析处理。这样的体系结构存在如下的问题： 效率低：流经网络的是海量数据，而各种数据最后都要由一台主机或处理器 东北大学硕士学位论文第二章网络安全体系介绍 进行分析和处理，所了决定了它的效率不会太高。 可移植性差：由于入侵检测的阀值、特征、模型都是基于统计而得出的结果， 它与系统的审计信息存在一个对应的关系： i f ( 某一特定的审计信息为某一特征或模型所具有的表现) t h e n ( 激活相应的规则或者模型) 由于同一入侵行为在不同的系统中可以有不同的表现或者说是具有不同的行 为特征，而入侵检测系统又存在这样的一种映射关系，致使不同的系统对同一入 侵行为得有不同的特征库来进行匹配。 误警率高：入侵检测系统对海量的网络数据流进行检测和分析，从而发现可 识别的入侵行为，面对复杂的网络环境，它的规则库和知识一个明显的缺陷就是： 知识和规则太少、精确程度不够。对新的入侵行为和变种的入侵行为没有抵抗能 力，从而使误报和漏报的情况时常发生。 缺乏主动性：现有的入侵检测技术均是对数据流进行被动地分析和检测。说 它是被动的，是由于它的工作方式是采取匹配的方式，对入侵行为进行检测；而 且它不会自动更新自己的知识库和规则库，而是要靠手工编程的方法对其进行更 新。 2 3 3 整体防护能力的不足 网络中的防火墙以串连的方式接入网络，为了不会成为网络传输的“瓶颈”， 它的过滤规则粒度是相当耜的，也就是说它的“防火”能力受到了很大限制，只 有那些基于i p 报头中的i p 源地址、目的地址和端口号的入侵基本能够阻止以外， 其他的入侵它是束手无策的，只能借助于下一层的入侵检测技术。 网络中的入侵检测系统以并连的方式接入网络，以旁路监听的方式进行工作。 它主要是检查在网络上所传输的数据包中所携带的应用层的信息，能够在不影响 网络性能的情况下对网络状况进行监测，从而实现日志记录、入侵报警等工作。 2 3 3 1 协同意识不强 在目前的网络安全体系结构中，除了防火墙和入侵检测系统自身的不足之 外，最大的缺陷就是不同技术的安全产品之间各自为战，没有一个协同意识。比 如入侵检测系统，它只是根据自己的规则库或特征库进行匹配，然后根据自己的 策略进行报警或者是通过。如果他们之间能有协同的话，入侵检测能把自己的检 东北大学硕士学位论文第二章网络安全体系介绍 测结果，或者说是把检测到的入侵信息及时地反馈给防火墙，更新防火墙的规则 库。这样一来，也减少了入侵检测系统的负载，同时也给提升了防火墙的“防火” 能力。此外，采用相同技术的安全产品之间也无协同可言，比如同是i d s 系统， 但由于商家的利益驱使，他们之间的规则库是不能够互相学习的；不同商家的防 火墙的规则库亦然。 2 3 3 2 取证困难 在目前的网络安全体系中，使用到的安全组件有i d s 、防火墙等。i d s 只能 对违背策略的事件进行报警，防火墙对数据连接进行控制。虽然他们都会把各种 违背策略的行为写进系统同志库，进行开志记录和备份，但是由于目前大多数的 入侵者在入侵系统后都会把自己留下的记录擦得干干净净，所以给取证工作带来 了很大的不可预测性。 2 3 3 3 主动性不强 不论是防火墙还是i d s ，都是被动地进行工作，为什么这样说呢? 分析一下 他们的工作流程和处理入侵方式就不难发现： i d s 进行的各种处理，不论是报警、重置系统还是进行的各种处理，都是在 入侵发生之后进行的，也就是说它是在入侵发生之后进行的事后处理，它不会在 入侵发生之前检测到入侵行为并采取动作。 防火墙更是如此，它只是简单地根据自己的规则进行匹配，来决定是否允许 包通过它，而且它的规则库要管理员手工进行配霄，才会启用新的规则进行数据 控制。 从以上简单分析不难看出，入侵检测系统和防火墙都不会主动地去对入侵行 为进行处理，只是被动地等待入侵，而后才能做出处理。 所以说传统网络安全防护体系在进行安全防范时的主动性不强。 2 4 本章小结 在本章中，介绍了传统网络安全所使用到的几种技术，如防火墙、i d s 和d m z 区，并明确了他们各自在网络的部署位置，同时把防火墙和i d s 的特点和分类进 行了阐述。通过对传统网络整体防护体系的分析，在说明各安全组件优缺点的同 时，对整个网络防护体系的不足也做了详细的介绍。由此可以看出，现存网络安 全防护体系的运行机制已经不足以对日益猖獗的网络入侵提供可靠的防护，需要 一1 5 一 东北大学硕士学位论文 第二章网络安全体系介绍 有一种更加安全可靠的防护体系来承担网络安全的重任。 东北大学硕士学位论文 第三章n f i h 网络入侵防护体系关键技术 第三章n f i h 网络入侵防护体系关键技术 3 1 蜜罐技术 3 1 1 蜜罐的基本概念 3 1 1 1 蜜罐的定义 蜜罐( h o n e y p o t ) ，它是一个安全概念，它最初是由l s p i t m e r 提出来的，是 “一种安全资源，它的价值就在于被探测，被攻击或被攻陷”f 1 1 1 。h o n e y p o t 没有 被授权任何行为，它仅仅是一种资源，没有任何产品价值，这就意味着任何与 h o n e y p o t 交换信息的行为都是恶意行为或者是未授权的行为。 3 1 1 2 蜜罐的功能 蜜罐存在的目的就是容忍入侵者的入侵行为，并用来监视和记录那些对自己 进行探测、攻击和危害的主体的行为。它可以通过动态的防御策略来防御黑客的 攻击，它可以检测到黑客的攻击、可以迟滞黑客入侵甚至阻止黑客的攻击。尤其 对未知的入侵行为，更能收集到很多有价值的信息。 现在已经有的h o n e y p o t 产品，商业化的有f r e dc o h e n & a s s o c i a t e s 的d t k ( t h e d e c e p t i o nt o o l k i t ) 、n a i 公司的c y b e r c o p s t i n g 、r e s o u r c e 公司的m a n t r a p 等等， 还有开放源代码的有h o n e y d 等。 在h o n e y p o t 中主要采用了欺骗技术、数据控制技术和数据捕获等多种技术。 3 1 1 3 蜜罐的分类 根据蜜罐的交互性的高低可以把蜜罐分成低交互度蜜罐、中交互度蜜罐和高 交互度蜜罐。 ( 1 ) 低交互度蜜罐，就是说蜜罐与入侵者的交互信息是非常有限的。它的主 要价值在于检测，具体地说，就是对未授权扫描和连接的检测。因为它提供的功 能有限，因此大部分服务可以通过一个程序来进行模拟。因需将此程序安装在一 台主机上即可实现功能。 ( 2 ) 中交互度蜜罐，与低交互度蜜罐相比它的交互程度要高，提供的服务更 多，所以配置和安装起来更为复杂，但同时可以捕获入侵者更多的信息。 ( 3 ) 高交互度蜜罐，它是蜜罐技术发展的极至，它与低、中交互蜜罐的主要 一1 7 一 东北走学硕士学位论文第三章n f i h 网络入侵防护体系关键技术 区别在于它提供了一个可用的的支撑o s 。它的复杂程度大大提高，但同时它的 信息收集和分析能力也有了很大的提高。 3 1 2 欺骗技术 为了实现h o n e y p o t 的“诱捕”功能，需要采取各种欺骗手段，比如说在蜜罐 主机上模拟某一操作系统及其漏洞，在一台计算机上模拟一个网络、在系统中产 生仿真网络流量、装上虚假的文件系统等等。使入侵者看起来具有入侵价值。 为了达到以上的目的，使h o n e y p o t 主机更像一个真实的工作系统，诱使攻击 者上当。采用的主要方法有：l p 空间欺骗、网络流量仿真、系统动态配置、组织 信息欺骗和端口重定向五种方法【12 1 。 3 1 2 1 i p 空间欺骗 i p 空间欺骗技术利用计算机的多宿主能力，在一块网卡上分配多个i p 地址 或一段i p 地址，来增加黑客的搜索空间，显著增加他们的工作量，并且增大他们 掉进蜜罐的机率，从而起到诱骗效果。 利用计算机系统的多宿主能力( m u l t i h o m e dc a p a b i l i t y ) ，在只有一块以太网 卡的计算机上就能实现具有众多i p 地址的主机，而且每个i p 地址还可以具有它 们自己的m a c 地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费 极低。实际上，目前已有研究机构能将超过4 0 0 0 个i p 地址绑定在一台运行l i n a x 的p c 上。尽管看起来存在许许多多不同的欺骗主机，但实际上只有一台计算机。 3 1 2 - 2 网络流量仿真 产生仿真流量的目的足掩盖蜜罐没有网络流量的马脚，使攻击者不能通过流 量分析觉察到诱骗行为。在诱骗系统中