（机械设计及理论专业论文）基于主机内核的混合型入侵防御系统的研究.pdf

i 摘摘 要要 “防火墙+入侵检测系统”是目前网络信息安全技术的重要解决方案。防火墙 仅仅能够作为网络边界的屏障，而不能代替整个安全系统的作用；基于入侵特征库 的入侵检测系统，仅仅能够被动地检测已知的安全入侵方式，而对未知的入侵方式 则无能为力。后来出现的入侵检测系统与防火墙联动的安全系统，也存在没有统一 的标准接口和维护难度大的缺点，同时其被动性和滞后性仍然没有得到解决。一种 主动的、积极的入侵防御系统已成为近几年信息安全领域研究的热点。入侵防御系 统分为基于主机和基于网络两种，它们都有各自的优势，能发现对方无法检测到的 一些入侵行为。如果将两者集成到一起，组成混合型入侵防御系统，将提供一个更 为全面的、主动的安全措施。 本文详细分析了防火墙和入侵检测系统的优缺点，提出了工作在个人主机操作 系统内核上的混合型入侵防御系统的思想，研究了系统的体系结构，以及数据包捕 获技术、协议分析技术、进程保护技术和文件保护技术等关键技术，而且设计了一 个主要从网络、主机的重要进程和重要文件的三个重点层次实施全面保护的混合型 入侵防御系统，并对系统做了相关的实验。 由于本文研究的系统拥有网络监控和主机监控两种功能，所以系统同时拥有防 御来自外部网络、内部网络和针对本机键盘的攻击的能力。此外，系统还具有主动 防御和实时阻断的特点。 本文研究的系统部署在目标主机上，通过内核模式驱动程序，工作在操作系统 核心态，并在系统中引入了强身份访问控制技术，对关键资源进行主动防御，可以 更好地保障用户个人的信息安全。系统也可以部署到网络服务器和数据库服务器 上，保证应用服务的资源安全。本文的研究成果，对网络信息安全具有一定的理论 及实用价值。 关键词：关键词：信息安全 混合型入侵防御系统 内核模式驱动程序 ii abstract “firewall and ids (intrusion detection system)” is one of important solutions to network security currently. the firewall that only provides the security of the network boundary cant replace the function of the whole security system; ids based on the signs of attacks can only find very specific and acute signs of attacks, but to unknown intrusion its ability is a dint. to security system linked intrusion detection system with firewall that appeared later, there isnt a standard interface and become more difficult to maintain them. at the same time their passivity and lagging are not solved yet. more and more people begin to study a new active system- ips (intrusion prevention system) in recent years. ips is divided into the host-based ips and net-based ips. one of them has some advantages that the other hasnt. one can find some intrusion behaviors that the other cant. the hybrid system who integrates them together will provide a more secure network. this paper has analyzed the advantage and disadvantage of the firewall and intrusion detection system in detail. then it presents a hybrid ips based on the kernel of host operation system. it has studied the architecture and some key technique such as blocking network packet, protocol decoding, process protecting and file protecting. this paper has designed a hybrid ips that will protect host from three major aspects: network, important process and important file resource. at last some relevant experiments upon this system were made. because this system has both network monitoring and host monitoring, the system can provide proper countermeasures to the attacks from extranet to intranet and from the keyboard of the host computer. the system also can execute defensive actions without human intervention and can block the packet in real time. this system works on the kernel of the goal host computer using the kernel mode driver. it has active protection capability for information security of personal user by using access control technology to key resource based on strong authentication. the system can also protect application system and database system while it works on the network server and database server. the research results of this paper have certain theory and practical value to the information security of the network. keywords: network security hybrid intrusion prevention system kernel-mode driver 1 1 绪论 绪论 随着信息技术的发展，网络应用日益普及，以致我们的工作和生活越来越离 不开网络。一方面，资料查询、资源共享、协同计算、网上办公、网上购物、电 子商务、电子邮件、虚拟社区等网络服务，让人们体验到了信息技术带来的便利 和效率；但是另一方面，网络信息安全事件也不断发生，使得无论是政府、企业， 还是普通用户，都将信息安全作为关注的焦点。来自cbi的2004全球信息安全 调研报告指出：“从国际范围来看，2004年病毒和恶意的代码对企业工作流程 的破坏要比2003年严重得多。”1网络安全问题已成为信息时代人类共同面临的 挑战。 威胁当前网络安全的主要形式有三种， 即以拒绝访问dos或ddos （distributed denial of service attacks）为主要目的的网络攻击，以利用系统漏洞和协议漏洞的 缓冲区溢出攻击为主要代表的蠕虫（worm）病毒传播垃圾电子邮件，以及以垃圾 电子邮件（spam）为代表的内容控制。22004年度全国信息网络安全状况调查 分析报告提供的数据指出：“从发生安全事件的类型分析，遭受计算机病毒、 蠕虫和木马程序破坏的情况最为突出，占安全事件总数的79%；其次是垃圾邮件占 36%；拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的 43%。”3 国际标准化组织(iso)对信息安全的定义为： “为数据处理系统建立和采用的技 术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破 坏、更改和泄露。”4 在网络上如何保证合法用户对资源的合法访问（可用性）， 防止非法用户对内部网络系统的访问和防止合法用户对资源的越权访问（可控性） 是网络安全的主要任务之一。 目前国内外信息安全的基本技术有防火墙技术、入侵检测技术、加密技术、鉴 别技术、数字签名技术、病毒防治技术、虚拟专用网络 vpn 技术、访问控制技术、 内容过滤技术等等。这些技术能分别满足信息安全需求的某个方面。对于目标信息 系统来说，其安全方案的实施可能依赖于上述技术中的几种进行综合应用。通过入 侵检测系统 ids （intrusion detection system ） 联动基于边界网关防火墙来实施安全 防护是目前内部网络（intranet）安全重要的解决方案。5 2 1.1 国内外信息安全技术概述国内外信息安全技术概述 1.1.1 防火墙防火墙 “防火墙是一种连接内部私有网络和公众网的网关，提供对进入内部网络连接 的访问控制能力。”6它能根据预先定义的安全策略，允许合法连接进入内部网， 阻止非法连接。它控制对被保护网络的非法访问，是设置在被保护内网和外部网络 之间的一道屏障（如图1-1所示），用来检查网络入口点通讯，并根据设定的安全规 则，对通过防火墙的数据流进行监测、限制和修改。 防火墙防火墙 服务器服务器 服务器服务器 dmzdmz 内部网内部网 internetinternet 图 1-1 防火墙示意图 防火墙的基本功能包括访问控制、数据过滤、身份验证、告警、日志和审计。 防火墙技术经历了以下几个方面的变迁：（1） 包过滤防火墙 （packet filter firewalls） ； （2）应用代理防火墙(application proxy firewalls)；（3）状态检测防火墙(stateful inspection firewalls)；（4）自适应代理防火墙（adaptive proxy firewalls）。6 通常，人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰，但 随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用过程中暴露出以下的 不足和弱点：（1）传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者 找到防火墙中可能敞开的后门；（2）防火墙完全不能防止来自网络内部的袭击。 调查发现，将近65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底 3 的员工来说，防火墙形同虚设；（3）由于防火墙性能上的限制，通常它不具备实 时监控入侵的能力；（4）防火墙对于病毒的侵袭也是束手无策。7 总的来说，防火墙系统不能利用网络状态和网络信息自动调整安全规则，需要 人工来调整和维护，因而是一个静态系统。不是所有的威胁都来自防火墙外，所以 防火墙不能防御来自网络内部的袭击。防火墙的安全规则是粗粒度的（针对ip或端 口），协议细节无法做到完全解析，因此无法区分识别善意和恶意的行为。 正因为如此， 那些认为在intranet入口处设置防火墙系统就足以保护企业网络安 全的想法是不切实际的。也正是这些因素，引起了人们对入侵检测技术的研究及开 发。入侵检测系统可以弥补防火墙的不足，为网络提供实时监控，并且在发现入侵 的初期采取相应的防护手段。ids作为必要附加手段，已经为大多数组织机构的安 全构架所接受。 1.1.2 入侵检测系统入侵检测系统 idsg（intrusion detection sub-group，是一个由美国总统特许的保护国家关键 基础设施的小组）在1997年对入侵和入侵检测给出了如下定义。 入侵（ intrusion ）：“对信息系统的非授权访问及（或）未经许可在信息系统 中进行操作。”例如：2004年9月网络上出现了利用windows系统处理jpeg图片的 漏洞的“图片骇客”，当用户在网页或聊天时浏览有病毒的图片时，如果用户机器 没有打相应补丁， 就会产生缓冲区溢出。 如果溢出失败， 则会导致资源管理器崩溃； 如果溢出成功，则尝试从指定的ftp服务器上下载远程控制木马文件，并自动运行 这些木马，以达到远程监控被感染的机器目的。 入侵检测（intrusion detection ）：“对（网络）系统的运行状态进行监视，对 企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。” 进行入侵检测的软件与硬件的组合就是入侵检测系统ids。它通过对计算机网 络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中 是否有违反安全策略的行为和被攻击的迹象。入侵检测系统被认为是防火墙之后的 第二道安全闸门（防线）。 具体来说，入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够 及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违 反安全策略行为的技术。违反安全策略的行为主要是：入侵非法用户的违规行 4 为；滥用合法用户的越权行为。8 入侵检测系统是基于p2dr安全模型的。网络安全是一个动态的、复杂的过程， 相应的安全工程也应该是动态的、自适应的。p2dr模型（如图1-2）是一个动态安 全模型。ids产品检测（detection）到黑客攻击后，将报警信息发送到网络管理员， 网络管理员进行响应（response），调整防火墙规则（policy）阻断（protection） 攻击者，然后对系统进行安全加固。 图1-2 p2dr模型示意图 入侵检测系统工作时一般分为3个步骤，依次为信息收集、数据分析或检测、响 应（被动响应和主动响应）。9 入侵检测系统按信息来源分为基于网络的入侵检测 系统（ids based on network）和基于主机的入侵检测系统（ids based on host）。10 （1）基于网络的入侵检测系统（nids）放置在比较重要的网段内，不停地监 视网段中的各种数据包，对每一个数据包或可疑的数据包进行特征分析。如果数据 包与攻击特征库规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目 前， 大部分入侵检测产品是基于网络的。 基于网络的入侵检测系统模型如图1-3所示。 图1-3 基于网络的入侵检测系统模型 管理/配置 网络安全数据库 库 入侵分析引擎 嗅探器 嗅探器 分析结果 5 （2）基于主机的入侵检测系统（hids）通常是安装在被重点检测的主机之上， 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其主 体活动十分可疑(如匹配攻击特征或违反统计规律)，入侵检测系统就会采取相应措 施。基于主机的入侵检测系统模型如图1-4所示。 图1-4 基于主机的入侵检测系统结构示意图 根据数据分析方法（也就是检测方法）的不同，也可以将入侵检测系统分为如 下两类。10 其一，异常检测模型（anomaly detection model）。这种模型的特点是首先总 结正常操作应该具有的特征，例如特定用户的操作习惯于某些操作的频率等，在得 出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上 的操作模式，立即报警。因为这种系统需要具有一定的人工智能，所以对它的研究 工作进展不是很好。 其二，误用检测模型（misuse detection model）。这种模型的特点是收集非正 常操作也就是入侵行为的特征，建立相关的特征库；在后续的检测过程中，将收集 到的数据与特征库中的特征代码进行比较， 得出是否是入侵的结论。 当前流行的ids 系统基本上采用了这种模型。 异常检测可以检测未知的攻击，但容易产生高误报率；误用检测有较高的准确 率，但只能检测规则定义的已知攻击。 目标系统 审计记录数据库 审计记录收集方法 审计记录预处理 异常检测 误用检测 安全管理员接口 审计记录数据 归档/查询 审计记录 6 ids作为防火墙的合理补充，能弥补其它安全产品或措施的缺陷，能帮助发现 和处理攻击的企图以及确定系统存在的问题，为系统恢复和修正提供参考以及攻击 行为的证据。 同时ids也面临着一些主要问题： 1）较高的漏报率和误报率； 2）ids系统的管理和维护比较难，它需要安全管理员有足够的时间、精力及丰 富的知识，很难在短时间内从大量预警记录中找出有用信息； 3）ids系统是以被动的方式工作，只能检测攻击，而不能及时地阻止攻击； 4）自身抗攻击的能力很差。7 1.1.3 入侵检测系统和防火墙联动入侵检测系统和防火墙联动 入侵检测系统虽然提供了响应机制，但是由于入侵检测系统设计之初就把重点 放在“检测”上，所以它的保护效果比较差。大多数情况下，它是事后的需要人工 干预的。 比如，主动响应的网络入侵检测系统只针对tcp流和udp连接进行阻断，对于 基于其他协议的攻击，例如基于icmp 、igmp的攻击包，这种方式就束手无策了。 在实际应用中，其阻断tcp流和udp连接的方法也并不可靠。下面作一个简单的分 析。系统是通过假冒通信一方或双方的ip地址发送伪造的tcp reset数据包的方法 来阻止攻击发生的。 网络入侵检测系统发出有效的reset数据包的前提是知道连接会 话当前的序列号和确认号，否则这个reset数据包将会被忽略掉。而在实际情况下， 入侵检测系统很难保证自己发出的reset数据包可以及时到达目标，往往是reset数 据包到达的时候，当前的序列号和确认号已经变化很大了，这时，该reset包只有被 丢弃或忽略。大部分网络入侵检测系统为了能够匹配通信一方的序列号，会同时发 送很多连续的reset数据包，期望有一个能够匹配。这样，虽然在一定程度上提高了 阻断连接的成功率，但另一方面又会导致网络的拥塞。再来看入侵检测系统阻断 udp连接的方法。由于udp是一种无连接的协议，所以，要阻断udp连接，就是破 坏掉基于udp的通讯。网络入侵检测系统通过假冒通信方发送icmp端口不可达或 icmp主机不可达的数据包来破坏udp通信，但是当协议栈收到icmp不可达的信息 后，将其交给应用程序处理时，应用程序却不予理会，所以入侵检测系统阻断udp 连接的机制更不可靠。11 7 从上面的分析中可以看出，这种响应方式的可靠性比较差，实际应用中很难得 到满意的效果。当前，最常见的入侵防御方法是通过网络入侵检测系统与防火墙的 联动来实现的。 这种方法试图将两种产品的优势集中起来。 nids与防火墙联动的简 化应用模型如图1-5所示。 图1-5 网络入侵检测系统和防火墙联动简化模型 当入侵检测系统发现攻击企图后，它会通知防火墙将攻击来源的ip地址或端口 禁止掉。最初联动的概念是防火墙厂商checkpoint提出来的，checkpoint提出了 opsec开放接口，并与其它厂商密切合作，实现了checkpoint防火墙和身份认证、 内容安全、 入侵检测等产品的互动。 现在市场上的主流网络入侵检测产品， 例如nfr nid、secoshield等，几乎都可以和checkpoint防火墙进行互动。国内天融信公 司也有互动接口协议topsec。 联动模型的不足之处在于：首先，使用两个产品防御攻击会使系统很复杂，任 何一个产品发生故障都会导致安全防范体系的崩溃，而且两个产品的维护成本也比 较高，特别是ids系统的管理和维护比较难，它需要安全管理员有足够的时间、精 力及丰富的知识，很难在短时间内从大量预警记录中找出有用信息。其次，防火墙 和入侵检测产品的互动并没有一个被广泛认可的通用标准。大多数安全厂商往往各 行其是，入侵检测产品厂商只与自己感兴趣的防火墙进行互动，而防火墙厂商提出 的开放接口却各不相同。如果没有一个通用的标准可以让所有的入侵检测产品和所 有的防火墙进行互动，那么用户在采购安全产品的时候，就不得不考虑不同产品的 交互性问题。12 信息安全产品的发展趋势是不断地走向融合，走向集中管理。人们自然想到要 把这两种安全技术的优点完全融合到一起，这时一种既能够实时检测入侵又可以在 灾害发生之前正确阻止攻击的技术入侵防御技术，就成了信息安全技术领域研 究的新热点。 8 1.2 入侵防御系统概述入侵防御系统概述 国际著名it咨询评估机构gartner的分析家在2003年6月的一项报告中称，入侵 检测系统已经“死”了。gartner认为ids不能给网络带来附加的安全，反而会增加 管理员的困扰，建议用户使用入侵防御系统ips（intrusion prevention system）来代 替ids。 被动的“防护”仅仅是安全的一个方面，而且是相当薄弱的一环，行之有效的 安全策略还应该包括实时的检测和响应，它们是主动的和积极的。 入侵防御系统ips不但能检测入侵的发生，而且还能够通过一定形式的响应方 式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。 它是一种智能化的安全产品。 13ips是由最初研究ids的一班人马提出的，一经提出 便倍受重视。14 ips系统也依照p2dr安全模型进行设计，是一种智能的、灵活的入侵防范系统。 当精确地发现了黑客攻击后，它会主动采取多种措施阻止攻击的发生，完全不用网络 管理员的介入。我们可以看到，用多个产品实现p2dr，防护、检测、响应三个阶段都 是孤立的、片面的，需要网络管理员的介入来使三个阶段运行正常，而使用ips产品实 现p2dr，三个阶段则是统一的、全面的、流畅的，几乎不需要网络管理员的介入。 与ids系统相似，ips系统也可以分为两大类，即基于网络的入侵防御系统nips （intrusion prevention system based on network）和基于主机的入侵防御系统hips （intrusion prevention system based on host）。hips安装在受保护的系统上，与操 作系统紧密结合，监视系统的状态，防止非法的系统调用。nips很象nids和防火 墙的结合，它串联在网络入口，监控来自网络上的可能攻击。 与ids不同的是，ips是一种主动的、积极的入侵防范与阻止系统。如nips部署 在网络的进出口处，当它检测到攻击企图后，会自动将攻击包丢掉或采取措施将攻 击源阻断。 而nids是一种并联在网络上的设备， 它只能被动地检测网络遭到了何种 攻击，其阻断攻击能力非常有限，一般只能通过发送tcp reset包或联动防火墙来阻 止攻击。ips侧重访问控制，ids侧重网络监控；ips注重实施策略，ids注重安全审 查。ids的职责不是保护网络，而是告诉你网络的安全状况。然而，普通用户并不 想仅仅监控流量、检查数据，或者根据已检测到的攻击更改规则或策略，而是想阻 止攻击。nids和nips两者主要区别如图1-6所示。 9 图1-6 nids和nips区别图 对hips，它虽然和hids一样把系统日志、安全性日志、应用程序日志和重要 资源的变更情况作为信息收集的来源，但是hips会实时地中断违反安全策略的操 作，而不是象hids等攻击发生后才给报告。hids可以说是一个日志分析系统和入 侵发现报告系统，但不是一个很好的入侵防范系统。hips能预防对关键资源，如对 关键服务器、数据库的攻击。在实际应用中，hips更有价值。15 总的来说， ids只能检测攻击并报警， 是被动防御技术； 而ips不仅能检测攻击， 还能有选择地阻断攻击，是一种主动防御的技术。 人们通常所说的ips指的是nips，目前在市场上销售的也多是nips，且都是采 用网络处理器的硬件设备。如国外的top layer网络公司的attack mitigator ips 和 netscreen旗下的onesecure公司开发的ips，国内的方正信息安全公司的方正入侵防 御系统和杭州荣腾公司的ncips 3000、四川安盟科技公司的安盟入侵防御系统 “s-web2.0”和北京网航安全技术公司的网航入侵防御系统（inetsecure ips）等都 是部署在网络入口处的硬件产品。这些产品的工作原理如图1-7，它采用串联 （in-line）的工作模式，在网络中起一道关卡的作用，进出的数据流都要从这里经 过，检查之后决定是否发行。 图1-7 nips的原理图 10 nips的典型应用模型如图1-8。16 入侵防御系统入侵防御系统 黑客黑客 黑客黑客 mail servermail server http serverhttp server 数据中心 业务中心 数据中心 业务中心 图1-8 nips的应用模型 2003年信息安全业界不断传来并购消息。例如美国网络联盟公司（nai）收购 两家ips公司（entercept公司和intruvert networks公司）。entercept是基于主机的入 侵防护解决方案（hip）供应商，它提供的产品保护服务器、操作系统、数据库及 相关应用系统不受安全威胁的侵害。又如，思科收购okena。okena公司的主要产品 是主机入侵预防系统（hip）。从这几起收购事件可以看出ips将成为网络安全产品 新的主力军，也可看出hips的价值。17 基于网络和基于主机的ips都有各自的优势，能发现对方无法检测到的一些入 侵行为。nips监控来自网络上的危险，hips则保护目标机器上的关键资源，单纯使 用一类产品会造成主动防御体系不全面。如从某个重要服务器的键盘发出的攻击并 不经过网络，因此就无法通过基于网络的nips检测到，只能通过使用基于主机的 hips来检测。基于网络的nips通过检查所有的包首标（header）来进行检测，而基 于主机的hips并不查看包首标。许多基于ip的拒绝服务攻击和碎片攻击，只能通过 查看它们通过网络传输时的包首标才能识别。 信息安全是一个链，任何一个薄弱环节都可能破坏它。一个完整的安全防护体 系应该覆盖整个时空。所以，将hips和nips集成到一起，组成混合型入侵防御系统 （hybrid ips），将提供一个更为全面的安全措施。 因此，本文提出了建立在主机上的混合型入侵防御系统的思想。目前，在ids 和ips研究领域，对混合型入侵检测系统（hybrid ids）进行的研究比较多，但对工 作在个人主机上的混合型入侵防御系统进行的研究尚属空白。 11 1.3 基于主机内核的混合型入侵防御系统的意义基于主机内核的混合型入侵防御系统的意义 目前，单一功能的产品已不能满足客户安全的需求，安全产品的融合、协同与 集中管理是信息安全重要的发展方向。从防火墙技术到早期的主动响应入侵检测系 统，进而到入侵检测系统与防火墙联动，再到最近的入侵防御系统，是一个不断完 善的满足安全需求的过程。 12本文设计的基于主机的混合型入侵防御系统同时拥有 网络监控和主机监控两种功能，使得系统同时拥有防御来自外部网络、内部网络和 针对本机键盘的攻击的能力。 本文设计时始终把局域网内的主机作为实施安全策略保护的主要对象。这样做 主要是考虑到以下几个原因：1、分散安全风险。目前大多数企业采用的安全防范 系统属于在外围进行防范，即防火墙部署在网络入口处，ids部署在重要网段上。 这样的做法使得防范风险过于集中，而个人主机却没有得到充分的重视。一旦攻击 穿过防火墙和ids，有可能比没有这些安全措施造成的危害更大。2、目前安全问题 不仅威胁着大企业或大公司的服务器，而且严重威胁着普通用户的机器。越来越多 的计算机病毒和黑客绕过外围安全设备向主机发起攻击。一台新装好的主机联上 internet后很快就会受到攻击。特别是在“冲击波”爆发之后，个人用户的安全意识 大大增强了，个人主机也需要得到有力的保护，市场需求很大。3、防火墙和ids是 针对网络攻击设计的，而最近调查表明，将近60%的安全威胁都来自内部人员的非 法入侵或误操作。如针对服务器的键盘攻击，只有部署在该机系统上的防护措施才 能保护。4、当前，系统漏洞和协议漏洞不断被发现，特别windows系列操作系 统存在很多漏洞。 个人用户已疲于升级和打补丁。 但是只要漏洞存在， 威胁就存在。 然而，升级和打补丁相对于威胁始终处于滞后和被动状态。5、近年来，企业用户 对信息安全主动防御需求的呼声越来越高。越来越多的企业和用户不能忍受在遭到 攻击造成损失后才进行的事后补救，而希望能提早预防可能的攻击和损失，由此引 发了对主动防御技术的关注。考察目前所有网络系统的关键资源，可以发现，最关 键的资源实际上就是驻留在主机和服务器上的数据。17从一般意义上讲，离业务信 息/服务越近，对安全防护的要求越高，因此，基于主机/服务器（操作系统）的核 心防护系统对用户业务的安全至关重要。18 为此，本文为局域网内的主机提出了如下的安全模型，如图1-9所示。 12 internet 防火墙 目标主机 键盘 nipshipsnipships 重要进程保护 重要文件保护 重要进程保护 重要文件保护 局域网 攻击者攻击者 攻击者 图1-9 安全模型 这种模型提供的安全是当前流行的个人防火墙所不能提供的。二者的区别主要 有两点：首先，系统中的nips能对网络数据包提供细粒度（到tcp/ip协议的应用层 数据）的检测，而个人防火墙只能提供粗粒度规则（只到端口号）；其次，本系统 的hips能让用户根据自己的需求，对重要资源（进程和文件）设置保护，并通过实 施强身份访问控制策略，来防御本地键盘攻击。而个人防火墙不能抵御发生在保护 目标系统上的键盘攻击，只能防范来自网络上的攻击。 信息系统的安全性极大地依赖于操作系统的安全性。而无论是采用unix还是 windows操作系统，提供的安全性都是有限的，并且操作系统还存在着几个致命的 问题，如访问控制力度、超级用户的存在以及不断被发现的安全漏洞等。18所以本 文设计的系统中采用驱动程序，工作在操作系统内核，在不修改内核的情况下变成 操作系统有效的一部分，实现操作系统级别的安全。 总之，研究本课题的意义在于： 1）通过分析防火墙和入侵检测系统的优缺点，将入侵防御技术应用到局域网 的主机上，提出了基于主机内核的混合型入侵防御系统模型，并在该模型中引入了 强身份访问控制技术，实现主动防御，可更好地保障用户个人的信息安全。系统也 可以部署到网络服务器和数据库服务器上，保证应用服务的资源安全。因此，本文 的研究成果不仅具有理论价值，更具有实用价值。 2）对网络入侵防御系统和主机入侵防御系统在个人主机上集成进行了探讨， 13 使得二者优势互补，为目标主机提供了多层次、主动的安全机制。系统同时拥有网 络监控和主机监控两种功能，使得系统将同时拥有防御来自外部网络、内部网络和 针对本机键盘的攻击的能力，并能从网络、主机的重要进程和重要文件的三个重点 层次实施全面保护。 3）本文研究的系统克服了入侵检测系统的滞后性和被动性等缺点，实现了一 定程度的主动防御和智能防御。网络入侵防御系统以在线方式工作，能对可疑数据 包实时阻断，入侵检测中采用协议分析技术，检测效率高，准确性强。主机入侵防 御系统能实时监控进程和文件操作，能实时阻断可疑行为，帮助用户把最关心、最 核心的资源保护起来。 4）构建了统一的安全管理平台，这样方便用户对安全策略的统一管理，统一 监控，对资源信息的安全管理更有针对性，提高了系统的整体安全性。 5）针对漏洞防不胜防的缺点，提出了对重要资源的访问实施强身份访问控制 策略。 1.4 本文的主要研究工作本文的主要研究工作 本文主要做了以下方面的工作： 1）详细分析了防火墙和入侵检测系统的优缺点，提出了工作在个人主机操作 系统内核上的混合型入侵防御系统的思想，并设计了系统的体系结构。 2）研究了数据包捕获技术、协议分析技术、进程保护技术和文件保护技术等 关键技术，设计了一个主要从网络、主机的重要进程和重要文件的三个重点层次实 施全面保护的混合型入侵防御系统。 3）研究了windows系统驱动程序技术，开发了系统所需的三个驱动程序； 研究了用户态应用程序和内核驱动程序的通讯技术，实现了应用程序的安全规则向 核心态的驱动程序的传递、以及核心态的驱动程序截获的消息向应用程序通知的双 向通讯。 4）研究了网络入侵检测系统和网络入侵防御系统实现原理的不同之处，借鉴 了个人防火墙技术和入侵检测中的协议分析技术，设计并实现了工作在个人主机上 的网络入侵防御系统。 5）研究了主机入侵检测系统和主机入侵防御系统实现原理的不同之处，摒弃 14 了主机入侵检测系统注重事后审计的特点，通过研究windows文件系统的技术和进 程处理技术，设计了主机入侵防御系统中的文件保护驱动程序和进程保护驱动程 序。 6）在本文实现的系统上对网络数据检测、进程保护和文件保护三个主要功能 进行了实验，实验结果达到了系统设计的目的。 15 2 基于主机内核的混合型入侵防御系统的体系结构研究基于主机内核的混合型入侵防御系统的体系结构研究 2.1 系统总体结构系统总体结构 本文设计的系统可部署在intranet上的受保护的主机上， 同时拥有网络监控和主 机监控两种功能，弥补了nips和hips各自的不足。如果某攻击包成功穿透系统的 nips， 那么hips的重要进程监控子程序会判断它是否访问受保护的进程 （如用户登 陆进程。这是大多数攻击者窃得某用户的用户名和口令后，最可能采取的下一步行 动）。如果攻击者利用系统漏洞（如缓冲区溢出攻击）成功进入目标主机并获得了 控制权， 这时hips的重要文件保护子程序会保护重要系统文件和机密文件不被非法 操作，这是安全防护的最后一道措施。在后两种情况下，hips实施强身份访问控制 策略。这样，系统分别从网络、主机和文件三个层次识别和阻止恶意用户的入侵， 为系统提供分层次的、全面的保护功能。 本文研究的系统由两大部分组成：一、监控网络数据的基于网络协议分析的 nips；二、监控重要进程和重要文件，并提供强身份访问控制的hips。无论是nips 还是hips，大体由数据采集模块，数据分析模块和响应模块三个部件组成。这两个 部分集成在一个系统中，以实现统一管理，统一监控，统一报告，协同处理的目的， 其框架如图2-1。系统在实现时分为前台、后台两个部分。后台（驱动程序）工作在 核心态，实现数据包阻塞功能，包过滤防火墙功能和入侵检测功能、文件监控、进 程监控等功能；前台（应用程序）工作在用户态，提供用户界面动态设置过滤规则 和攻击特征，实现与后台驱动程序通讯。 16 数据来源 数据采集 数据分析 事件响应 数据包阻塞 重要进程监控 重要文件监控 个人防火墙 入侵检测分析器 强身份认证 控制机制 攻击 特征库 网络安全 执行部件 安全 策略库 安全记录 报告 主机安全 执行部件 internet本机系统internet本机系统 nips hips nips hips 图2-1 混合入侵防御系统框架图 2.2 nips 的系统设计的系统设计 目前部署在网络出入口的nips技术比较成熟， 市场上已经有很多nips产品 （在 1.2节中介绍过），而当前对工作在个人主机操作系统内核的网络入侵防御系统研究 却很少。 本文设计的基于主机的网络入侵防御系统借鉴了个人防火墙技术和基于主机 的网络入侵检测系统的技术，利用了它们的一些成熟的技术。它可从功能上简单地 理解为个人防火墙加网络入侵检测系统nids。 和现在大多数防火墙 （能提供网络地 址转换、服务代理、流量统计等功能，甚至有的防火墙还能提供vpn功能）相比较， nips的个人防火墙功能比较单一，可以认为是一个粗粒度的数据包过滤器。它工作 在数据链路层之后网络层之前，可以行使第一层防御的功能，并通过入侵检测模块 实施第二层防御功能。nips中的入侵检测技术借鉴了经过10多年发展的nids所采 用的检测技术， 本系统中采用是的第三代nids的检测技术， 即协议分析融合模式匹 配的检测技术。 nips和nids目的的不同，决定了它们在数据源的收集方式上有很大的不同， 特别是在对网络数据包的采集方式上是完全不同的。 nids得到网络数据包的方式实 际上是实现了“拷贝”这个功能，即它得到的是数据包的一个“复本”，而“源本” 17 则按照原先的流程传送。从网卡拷贝到上层系统的拷贝过程也要大量占用cpu资 源，会造成ids整体性能的下降。因为ids的主要目的是检测，所以nids数据包捕 获可采用多种方法。如在windows用户级基于spi（service provider interface）的数 据包拦截技术（使用ws2_32.dll），也可以利用winsock api（使用winsock.dll）进 行拦截等。网络数据包的拦截可分为用户级和内核级两类。前面所说两种是基于用 户级的，内核级有tdi（transport driver interface）过滤驱动程序、ndis(network driver interface specification)中间层过滤驱动程序、ndis过滤钩子驱动程序等，它 们都是利用网络驱动来实现的。在用户态下进行数据包拦截最致命的缺点就是只能 在winsock层次上进行，而对于网络协议栈中底层协议的数据包却无法进行处理。 nips要真正实现阻断网络攻击只能是在系统内核级捕获数据包。tdi过滤驱动 程序能对所有基于应用层的网络数据包进行拦截，而对一些利用底层协议的攻击 （如 syn flood，icmp攻击等），tdi就无能为力了。本文采用的ndis中间层 过滤网络驱动技术，能在链路层之后网络层之前获得数据包。 nips对数据包是“阻塞”，即数据包在底层暂停传输，接受检测，若是安全规 则中禁止通过的或与攻击特征匹配，会自动阻止该数据包的传送，同时还可以针对 高风险攻击自动修改过滤规则，实现动态数据包过滤器的功能，达到一定程度的智 能化防御。工作在网络入口处的nips要阻塞全部进入 intranet 的数据包，而本文设 计的工作在目标主机上的nips只需要阻塞属于自己的数据包，其系统结构如图2-2。 user mode kernel mode 网卡驱动 程序 中间驱 动程序 上层驱动 程序 其它协议处理 丢弃 http处理 ftp处理 丢弃 个人 防火墙 缓冲区 安全数据流 满足过 滤规则 匹配攻击特征 物理介质 入侵检测 各种网络 应用程序 包过滤规 则设置 攻击特征 设置 图2-2 网络入侵系统结构图 18 数据包首先经过个人防火墙过滤。这里防火墙的过滤规则由源ip地址、协议类 型、目的端口号组成。如果接收到的数据包匹配个人防火墙的过滤规则，则返回 ndis_not_accepted 将其丢弃；否则，将进一步送到入侵检测分析器处理。在 入侵检测分析器中采用了协议分析融合模式匹配的检测技术。目前，大多数nids 都采用了这种技术，这是一种基于误用的检测技术。它充分利用了网络协议的高度 规则性和数据包结构的层次化的特点，根据协议的不同（tcp/udp/icmp）及对应 协议端口的不同， 转向不同的应用层协议处理模块， 如http处理模块， ftp模块等， 在应用层协议模块中根据攻击特征进行模式匹配。这种方式比单独的特征模式匹配 计算量小，准确度高，减少了系统资源消耗。协议分析技术又分为简单协议分析技 术和状态协议分析技术。简单协议分析技术根据单个数据包进行检测；状态协议分 析技术则是根据多个数据包进行检测的，并将一个会话的所有流量作为一个整体来 考察，因为很多网络攻击的行为包含在多个请求中。 对nips必须解决好的两大难题是: 避免成为网络瓶颈和减少误报率。网络瓶颈 是由于nips要阻塞所有数据包而引起的， 如果处理速度不够快， 用户肯定不会满意。 因此，系统不能给正常的数据包传输带来太长的时延，最好是让用户几乎感觉不到 这个阻塞过程，但又不能丢下可疑的数据包不处理。同时，这里nips对准确性的要 求比ids更高，因为误报可能会阻断合法的网络事务处理，从而导致正常数据丢失 或业务丢失，产生用户不信任的情况。误报和漏报是人们对ids产品最为不满的两 个方面。本文设计的nips直接部属在目标主机上，只需要阻塞属于自己的数据包， 所以它对系统的资源占用远少于处于混杂状态的nids和网络入口处的nips，因为 它们要处理的是目标网络段上的所有数据包。另外本文采用了高效率的数据包阻塞 方案和协议分析融合模式匹配的检测技术，在这两方面都有所改进和提高。 2.3 hips 的系统设计的系统设计 hips与hids有很大的区别。hids是传统的主机保护措施。国内外基于主机的 入侵检测系统有很多种，但是其根本原理都是完全相同的，那就是通过分析操作系 统本身记录的日志文件， 结合入侵特征库判断是否有入侵发生。 hids可以说是一个 日志分析系统和入侵发现报告系统，但不是一个很好的入侵防范系统。就好比一个 家伙已经在你房间糟蹋了一通，这个检测系统才跑来说你的门是开的。 所以，在本文设计的hips中不再把分析和报告本机的系统日志、安全性日志和 19 应用程序日志变更情况作为安全数据分析的来源，而把受保护的进程和文件的实时 监控作为安全数据收集的来源，把重要进程和重要文件资源的访问控制作为重点， 因为根据对大量的攻击手段的统计来看，对用户活动来讲，不正常的或不期望的行 为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 例如，如果一个入侵者利用一个新的漏洞获取了操作系统超级用户的口令，那么， 下一步他希望采用这个账户和密码对服务器上的数据进行删除和篡改。这时，如果 系统采用主动防范的方式首先限制了超级用户的权限，而且又通过访问地点、访问 时间以及访问采用的应用程序等几方面的因素予以了限制，入侵者的攻击企图就很 难得逞。19 本系统设计了文件监控保护和进程监控保护两个功能模块，这样做是为了限制 包括超级用户在内的所有