（计算机科学与技术专业论文）千兆网络入侵防御系统内容处理技术研究.pdf

千兆网络入侵防御系统内容处理技术研究 摘要 随着计算机及网络的飞速发展，网络技术的应用日益普及，网 络的开放性、共享性不断扩大，网络安全问题也逐渐突出。入侵防 御技术是近几年发展起来的一种网络安全技术，并迅速成为国内外 计算机专家和网络公司关注和研究的焦点，已经成为网络安全防护 的重要组成部分。入侵防御作为一种积极主动的安全防护技术，它 直接在线运行在网络中，能对网络数据包进行分析和检测，从而发 现各种可疑的攻击行为，并进行实时的响应。 内容处理是千兆网络入侵防御系统的核心模块，要求能够高速 有效地处理千兆线速的网络数据流，并且保证处理的实时性、准确 性和可靠性。本文重点研究了这方面的内容，并且结合千兆网络入 侵防御系统项目的研发，对内容处理模块进行了详细的阐述。本文 的主要工作和创新点如下： 1 ) 深入分析了内容处理的特点以及内容处理中的关键技术，提 出了内容处理模块的设计方案，该方案采用了s e a w a y 公司 的s w 5 0 0 0 网络内容处理器芯片，它能提供快速的数据包过 滤、分类，并且提供了基于硬件的内容检查、修改和复制， 从而有效地提高了内容处理的性能； 2 ) 设计并实现了内容处理模块的硬件平台，详细描述了内容处 理模块的总体结构、原理框图和工作流程，给出了各功能模 块和时钟模块的实现过程，并说明了模块之间的接口。 3 ) 在千兆网络入侵防御系统的内容处理技术上，协议解析技术 和模式匹配技术是两大核心技术。本文对协议解析技术进行 了详细的分析和研究，给出了协议解析的工作原理和流程， 设计并实现了几种常用协议的解析程序；同时，本文也对模 式匹配技术进行了研究，对几个经典算法( 如b f 、k m p 、 b m 、a c 、w m ) 进行了深入分析和部分测试，并提出了一 种适合本系统的优化模式匹配算法，使系统性能得到了较大 的提高。 4 ) 搭建了测试环境，编写t n 试程序，对本文讨论的千兆网络 入侵防御系统的内容处理模块进行了功能测试和性能测试， 并进行了性能评价。 测试结果表明系统达到了预期的目标，从而说明了本设计方案 和实现方法的先进性和实用性。 关键词：网络安全，入侵防御，内容处理，协议解析，模式匹配 r e s e a r c ho ft h ec o n t e n tp r o c e s s i n g i ng i g a b i tn e t w o r ki n t r u s i o n p r e v e n t i o ns y s t e m a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ec o m p u t e ra n dn e t w o r k ，t h ea p p l i c a t i o no f n e t w o r kt e c h n o l o g yi si n c r e a s i n g l yp o p u l a r i z i n g ；a n dt h en e t w o r ko p e n i n ga n dt h e n e t w o r ks h a r i n ga r e c o n t i n u i n g l ye x p a n d i n g ，s ot h en e t w o r ks e c u r i t yi sb e c o m i n g m o r ea n dm o r ei m p e n d i n ga n dc h a l l e n g i n g a so n eo ft h en e t w o r ks e c u r i t y t e c h n o l o g i e s ，t h ei n t r u s i o np r e v e n t i o nt e c h n o l o g yi sd e v e l o p e di nr e c e n ty e a r s ，b u ti t i sg e t t i n gm o r ea n dm o r ea t t e n t i o n s ，a n di ti sb e c o m i n gt h ef o c u so ft h ed o m e s t i ca n d f o r e i g nc o m p u t e re x p e r t sa n dt h en e t w o r kc o m p a n i e s t h ei n t r u s i o np r e v e n t i o n s y s t e mi sa na c t i v es e c u r i t yp r e v e n t i o nt e c h n o l o g y i ti sr u n n i n gi n - l i n ei nt h en e t w o r k ， d e t e c t i n gt h en e t w o r kp a c k e t s ，m o n i t o r i n gv a r i o u ss u s p i c i o u sa t t a c kb e h a v i o r s ，f i n d i n g o u tt h ei n t r u s i o n s ，a n dm a k i n gr e a l t i m er e s p o n s e sa n da c t i o n s t h ec o n t e n tp r o c e s s i n gi so n eo fc o r em o d u l e so ft h eg i g a b i tn e t w o r ki n t r u s i o n p r e v e n t i o ns y s t e m i ti sn e e d e dt op r o c e s st h eg i g a b i tn e t w o r kt r a f f i ca tl i n er a t e ，a n di t m u s tg u a r a n t e et h ep r o c e s s i n gi nr e a lt i m ea n de f f i c i e n t l y i nt h i st h e s i s ，t h eg i g a b i t n e t w o r ki n t r u s i o np r e v e n t i o ns y s t e mi si n t r o d u c e da n dt h ec o n t e n tp r o c e s s i n gm o d u l e i sf o c u s e da n dd e s c r i b e di nd e t a i l t h em a i nj o b sa n dc o n t r i b u t i o n so ft h i st h e s i s i n c l u d e ： 1 ) t h ef e a t u r e sa n dk e yt e c h n o l o g i e so ft h ec o n t e n tp r o c e s s i n ga r ea n a l y z e d t h o r o u g h l ya n dt h et o t a ls o l u t i o ni sp r o p o s e d i nt h es o l u t i o n ，t h es w 5 0 0 0 n e t w o r kc o n t e n tp r o c e s s o ro fs e a w a yc o r p o r a t i o ni su s e d ，w h i c hc a nf a s t a n dt i m e l yf i l t e ra n dc l a s s i f yt h ep a c k e t s ，p r o v i d et h ec o n t e n tc h e c k ，m a k e m o d i f i c a t i o na n dd u p l i c a t i o no ft h ec o n t e n ta tt h eh a r d w a r el e v e l ，t h e nc a n e n h a n c et h ep e r f o r m a n c eo ft h ec o n t e n tp r o c e s s i n ge f f i c i e n t l y 2 、t h eh a r d w a r ep l a t f o r mo ft h ec o n t e n tp r o c e s s i n gm o d u l e i sd e s i g n e da n d i m p l e m e n t e d i nt h et h e s i s ，t h et o t a lf r a m e w o r k ，t h ef u n c t i o n a ld i a 铲a m a n d t h ew o r kf l o wo fc o n t e n tp r o c e s s i n g a r ei n t r o d u c e d i nd e t a i l ，t h e i m p l e m e n t a t i 。no ft h ef u n c t i o n a lm o d u l e s a n dc l o c km o d u l e sa r eg i v e n ，a i l d t h ei n t e r f a c e sb e t w e e nt h em o d u l e sa r ea d d r e s s e d 3 ) t h ep r o t o c o la n a l y s i sa n dt h ep a t t e r nm a t c h i n g a r et w ok e yt e c h n o l 0 9 1 e s1 n t h ec o n t e n tp r o c e s s i n gt e c h n o l o g i e s o ft h e g i g a b i t n e t w o r ki n t r u s l o n p r e v e n t i o ns y s t e m i nt h i st h e s i s ，t h ep r o t o c o l a n a l y s i st e c h n o l 0 9 1 e sa r e a n a l y z e da n ds t u d i e d ，t h e nt h e i rw o r k f l o wa r ep r o v i d e di nd e t a i l ，t h ed e s l g n s a n di m p l e m e n t a t i o n so f s e v e r a lc o m m o np r o t o c o l s a r ea l s o 9 1 v e n i n a d d i t i o n 。s e v e r a lp a t t e r nm a t c h i n ga l g o r i t h m s ，s u c ha sb f ，k m p ，b m ，a c ， w m a r ea n a l y z e da n dt e s t e d ，a n d ，o n eo p t i m i z e dp a t t e r nm a t c h i n ga l g o r i t h m i sa d d r e s s e d ，w h i c hg r e a t l yi m p r o v e st h ep e r f o r m a n c e o ft h es y s t e m 4 、t h et e s te n v i r o n m e n ti sb u i l ta n dt h et e s t s o f t w a r ei sa l s op r o g r a m m e d ，t h e p e r f o 珊a n c eo ft h ec o n t e n tp r o c e s s i n gm o d u l eo fg i g a b i tn e t w o r k i n t r u s i o n p r e v e n t i o ns y s t e m i st e s t e da n de v a l u a t e d 。 t h et e s tr e s u l t ss h o wt h a tt h es y s t e mc a na c h i e v et h ea n t i c i p a t e dg o a l s ，t h u st h e i n n o v a t i o na n dt h ep r a c t i c a l i t yo ft h ed e s i g na n dt h ei m p l e m e n t a t i o no ft h es y s t e m 盯e p r o v e d k e yw o r d s ：n e t w o r ks e c u r i t y ， p r o t o c o la n a l y s i s ，p a t t e r nm a t c h i n g i n t r u s i o np r e v e n t i o n ，c o n t e n tp r o c e s s i n g ， 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名：量塑造 本人承担- - - b 刃7 n 关责任。 日期： 撕么中多 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅 和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印 或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密 论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：多舷眵日期：_ _ 乡。审多 导师签名： 丑盎! 兹日期：垄翌垒：! ： 北京邮电大学硕士学位论文第一章 1 1 研究背景及意义 第一章绪论帚一早焉了匕 现在，在全球范围内，互联网正成为各个国家在信息时代的基础设施，其重 要性在政治、经济、军事、社会和文化领域不断得到体现，而且随着人民物质和 文化生活水平的不断提高，越来越深入到千家万户的生活当中。据中国互联网信 息中, 心2 0 0 6 年1 月公布的中国互联网络发展状况统计报告显示，目前，我国的上 网用户总数已经达9 0 a l ，l o o 万人，上网计算机总数为4 9 5 0 万台【1 1 。互连网的飞速 发展，给我们在信息利用和资源共享方面带来了极大的便利。 随着网络开放性、共享性和互连程度的不断扩大，网络的重要性和对社会的 影响也越来越大。但随着网络上各种新业务的兴起，比如，电子商务、电子现金、 数字货币、网络银行等，以及各种专用网的建设，比如金融网等，使得网络与信 息系统的安全与保密问题越来越重要。各种黑客对网络的有意、无意攻击导致系 统被破坏以致瘫痪、绝密信息被窃取、重要数据被纂改，这些都直接威胁着社会 的安全。 因此，在互联网不断发展壮大的同时，网络安全的问题也越来越突出了。美 国每年平均发生了数十万起重大的网络入侵和恶意攻击事件，其中约十分之一的 攻击成功地侵入了系统( 美联邦调查局统计) ，因此每年造成平均上百亿元的经 济损失【2 1 。据统计数字显示，去年我国约有5 9 5 的上网用户被入侵，有3 4 3 的 用户认为影响互联网网上交易的问题是网络安全问题。 由以上的数字可以看出，网络完全问题已经成为影响网络继续发展的一个重 要问题，也是困扰所有网络专家、信息专家和计算机安全专家们的重要问题。因 此，如何有效地阻止网络病毒以及其它的攻击入侵行为，已经成为摆在用户和计 算机安全专家面前的一个难题。 针对网络上的各种攻击行为，网络安全系统采用了多种技术，建立起各种防 御机制。例如，采用防火墙系统、身份验证机制将非法入侵者拒之门外，但即使 存在这些高性能的安全设施，依然抵挡不住黑客对网络和系统的非法攻击。据国 家计算机网络应急技术处理协调中心( c n c e r t ，c c ) 统计，2 0 0 5 年上半年，我 国共发生网络安全事件6 5 6 7 9 件，平均每月均在1 万件以上【3 1 。 第1 页 北京邮电大学硕二b 学位论文第一章 由此可见，在当今的网络时代里，网络安全已经成为信息系统安全中的一个 重要组成部分，网络安全正日益成为国内外网络计算机专家研究的焦点，研究一 个高性能的安全防御系统对解决目前的网络安全问题有着重大的意义。 1 2 国内外研究现状 随着网络安全问题的日益突现，国内外计算机安全专家和网络安全公司不断 研究新的技术和研制新的设备，来阻止各种网络入侵行为。 防火墙是最早发展起来的一种重要的网络安全技术，其特征是通过在网络边 界上建立相应的网络通信监控系统，达到保障网络安全的目的。防火墙型安全保 障技术假设被保护网络具有明确定义的边界和服务，并且网络安全的威胁仅来自 外部网络，进而通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部网 络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护【4 1 。 但是，对于网络安全来说，单纯的防火墙技术已经暴露出了一些明显的不足 和弱点，防火墙是种静态的防御系统，它不会根据网络的变化来修改相应的防 火墙规则，无法抵御数据驱动式攻击，无法抵御协议漏洞发起的攻击，也无法防 止来自网络内部的攻击。近几年的统计表明，大约有7 5 8 0 的蓄意攻击行为是 由网络内部工作人员发起的，防火墙也不能提供实时入侵检测能力。 入侵检测技术i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 与入侵防御技术i p s ( i n t r u s i o n p r e v e n t i o ns y s t e m ) 【5 】是近几年被提出的，并很快成为了计算机网络安全技术的 ， 一大热潮，它们被形象地称为继防火墙之后的网络第二道安全闸门。i d s 与i p s 都属于网络入侵检测技术，虽然它们在技术应用上有着相同点，但它们的防御手 段却有着非常大的区别，它们都是目前网络安全技术中不可缺少的部分。 入侵防御系统相对于入侵检测系统来说，是一种更先进的安全防御措施，它 是主动式的防御，能在攻击行为发生之前有效地进行拦截，从而保护网络中的主 机系统【6 1 。 目前国外从事入侵检测和入侵防御研究的机构主要有：s r i c s l 实验室l7 j ： n i d e s 就是该实验室的经典之作，n i d e s 是下一代入侵检测专家系统，l p n e x t g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m 的缩写，它是一个综合而又全面的入侵检测 系统；哥伦比亚大学【8 】：提出了一种基于数据挖掘的实时入侵检测模型d w a m g ( d a t aw a r e h o u s i n g a d a p t i v em o d e lg e n e r a t i o n ) ；加州大学戴维斯分校1 9 j ：主要 进行实时入侵检测的状态转换分析，该工程提供了支持开发和控制传感器的平 第2 页 北京邮电大学硕士学位论文第一章 台，可以创建一系列运行在不同环境中的传感器；d a r t m o u t h 安全技术研究学院 1 1 0 j ：该学院项目之一是承担s h a d o w 系统的维护与革新，s h a d o w 是一个用于海军 水面作战中心的入侵检测系统，可以进行异常入侵检测。同时，国内的科研机构 也做了不少的研究：武汉大学软件工程国家重点实验室【l l j 提出了基于分布式数据 挖掘的入侵检测系统框架；清华大学信息技术研究院网络安全实验室【l 引，主要研 究网络信息分类与过滤，特征匹配算法的研究等；中科院高能物理研究所网络安 全研究组【1 3 】，主要研究网络安全防护及黑客入侵防御技术等，并承担了高速网络 监控系统等多个项目。 n e t w o r ki c e 公司在2 0 0 0 年9 月1 8 日推出了业界第一款i p s 产品：b l a c k l c e g u a r d ，它第一次把基于旁路检测的i d s 技术用于在线模式，直接分析网络流量， 并把恶意包丢弃。从2 0 世纪9 0 年代到现在，入侵防御系统的研发呈现百家争鸣的 局面，并在智能化和分布式两方向取得了长足的进展。随着产品的不断发展和市 场的认可，欧美的一些安全大公司通过收购小公司的方式来获得i p s 技术，并推 出自己的i p s 产品。比如i s s 公司收购n e t w o r ki c e 公司，发布了p r o v e n t i a l l 4 】； j u n i p e r 公司推出i d p 系列产品1 1 5 j ；m c a f e e 公司收购i n t r u v e r t 公司，推出 i n t r u s h i e l d l l 6 j 。思科、赛门铁克、t i p p i n g p o i n t 等公司也发布了i p s 产品。目前国 内业界由于对这类安全产品接触较少、认知不同，对于攻击误报、串接方式、运 行效率等问题还存在疑问，所以对i p s 产品的研究开发还不是很多，主要有启明 星辰公司的天清汉马i l7 j ；绿盟公司的冰之眼网络入侵保护系统( i c e y en i p s ) 【1 8 】；天融信公司的网络卫i n g i d s 等【1 9 】。 根据来自i n f o r n e t i c s 的数据，2 0 0 5 年第三季度，全球入侵检测和入侵防御系 统( i d s i p s ) 产品收入1 8 5 亿美元。i n f o r n e t i c s 预测，到2 0 0 7 年，全球i d s i p s 产 品收入达到9 3 2 亿美元，2 0 0 3 2 0 0 7 年复合增长率为2 1 。其中，在线式的i p s 产品将支撑市场，而基于网络的传统i d s 的销量将大幅下滑【2 0 1 。 但是，在入侵防御系统的技术发展上还是存在着一些缺陷，如：防御系统设 备的处理速度低，性能差，系统的漏报率和误报率高，容易出现单点故障等。虽 然目前的入侵防御系统尚存在以上的一些不足，但同其它的防御手段相比，i p s 系统仍有其很大的优势，它以更全面、更智能的检测与防御方法，使用户的网络 免受多种类型的网络入侵与攻击。而且随着国内外专家对其研究的不断深入，i p s 系统功能将不断完善，必将成为目前网络安全市场的主流产品。 第3 页 北京邮电大学硕士学位论文 第一章 1 3 主要研究内容 本文主要研究了千兆以太网络环境下入侵防御系统内容处理技术，通过硬件 和软件相结合的方式实现了对高速网络数据流的内容检测、过滤。本文主要研究 内容如下： 1 ) 简要介绍了千兆网络入侵防御系统的总体设计方案。 2 1 详细介绍了千兆网络入侵防御系统内容处理技术的硬件设计与实现，包 括各个模块的原理、功能、接口及具体的实现。 3 ) 分析了千兆网络入侵防御系统中内容处理的关键技术，对协议解析、规 则集设计和模式匹配算法等都进行了研究。 本文共分为七章，结构安排如下： 第一章主要介绍了本文的研究背景以及国内外研究现状。 第二章主要论述了网络安全的基本概念，并介绍了几种常用的网络安全防御 技术。 第三章主要介绍了千兆网络入侵防御系统的工作流程、总体设计方案和功能 模块等。 第四章主要对千兆网络入侵防御系统内容处理部分进行了研究，论述了其功 能框图、总体方案、原理框图和模块设计等。 第五章主要研究了千兆网络入侵防御系统内容处理的关键技术，研究并实现 了协议解析程序、规则集的设计、分析比较了几种经典的模式匹配算法并提出了 优化措施。 第六章主要介绍了千兆网络入侵防御系统测试环境的搭建、系统测试的方 法，并对测试结果进行了评价。 第七章对论文进行了总结，并对以后进一步的工作进行了论述。 第4 页 北京邮电大学硕：e 学位论文 第二章 2 1 网络安全 2 1 1 网络安全概述 第二章网络安全与防御 随着科学技术的发展，i n t e r n e t 也获得了迅速的发展，它已经深入到社会的各 个领域中，给整个社会的科学和技术、经济和文化带来了巨大的推动和冲击。然 而，人们在得益于信息技术所带来的新的巨大机遇的同时，也不得不面对信息安 全问题的严峻考验。由于t c p i p 网络起源于学术性研究网络，通常对外界是开放 的，所以本身的安全性非常脆弱，越来越多的事实证明i n t e m e t 是不安全的。 i n t e m e t 上的信息每时每刻都有受到潜在攻击的威胁。这些威胁包括：信息被非法 窃听、截取、篡改或毁坏。如何解决在开放网络环境下的安全问题已经成为迫切 需要解决的问题。 连接i n t e r n e t 的网络主要存在以下三方面的安全问题： 1 ) 安全风险：任何与网络互联的系统都将自己暴露于不安全的环境中，安 全风险是入侵者通过连接的广域网成功访问内部网络的可能性。这种可 能性包括：读：从内部网读取或拷贝有关信息；写：通过病毒、后门等 写入或损坏数据；拒绝服务：通过消耗内部网络带宽、主机c p u 或内存 来阻止正常使用。 2 1 安全威胁：外部入侵与内部攻击。安全威胁来自试图对内部网络进行非 授权访问，它依赖于访问动机或信任等因素。 3 1 安全脆弱性：网络和信息系统在结构、操作系统、协议和配置上的缺陷 使得网络和信息系统十分脆弱。 网络安全是在分布网络环境中，对信息载体( 处理载体、存储载体、传输载 体) 和信息的处理、传输、存储和访问提供安全保护，以防止数据、信息内容或 被拒绝服务或被非授权使用和篡改【2 1 1 。它不仅包括计算机上信息存放的安全性， 更要考虑信息传输的安全性。 维护信息载体的安全就是要抵抗对网络和系统的安全威胁，这些安全威胁包 括物理侵犯、系统漏洞、恶意软件和存储损坏等。维护信息自身的安全就要抵抗 第5 页 北京邮电大学硕二b 学位论文第二章 对信息的安全威胁，这些安全威胁包括身份假冒、非法访问、信息泄漏、数据受 损和事后否认等。 总之，网络安全就是借助于一定的安全策略，使信息在网络环境中受到保护， 其主要目标是确保经过网络传输的信息到达目的计算机时没有任何改变或丢失， 以及只有授权者可以获取相应信息。因此必须确保所有组网部件能根据需求提供 必要的功能。 2 1 2 网络安全属性 网络安全具有以下四个基本属性： 1 ) 保密性( c o n f i d e n t i a l i t y ) ：是指只能让授权的用户访问该信息，不泄漏 给非授权的个人和实体，或供其利用的特性。 2 ) 完整性( i n t e g r i t y ) ：是指信息在存储或传输过程中保持不被修改、不 被破坏、不被插入、不延迟、不乱序和不丢失的特性。 3 ) 可确认性( a c c o u n t a b i l i t y ) ：是指防止信息的伪造，即一个实体对信息 资源的作用可以被唯一地跟踪和确认。 4 ) 可用性( a v a i l a b i l i t y ) ：是指信息可被合法用户访问并按要求顺利使用 的特性，即在需要时可以取用所需的信息。对可用性的攻击就是阻断信 息的可用性，各种拒绝服务攻击就是对系统可用性的挑战。 2 1 3 网络攻击类型 从安全属性来看，网络攻击主要有以下四种类型【2 2 】： 1 1 访问攻击：它是攻击者试图获得它没有被授权的信息。在信息存放的位 置上就存在这种类型的攻击，它也可能在信息传输过程中出现。这种类 型的攻击是对信息保密性的攻击。它主要通过监听、截听等手段来完成 对网络的攻击。 2 、) 修改攻击：它是攻击者试图修改没有修改权限的信息。只要存在信息， 就有可能出现这种攻击，它还可能攻击传输中的信息。这种类型的攻击 是对信息完整性的攻击。它主要通过更改、插入、删除信息等途径来完 成对网络的攻击。 第6 页 北京邮电大学硕二卜学位论文第二章 3 、) 拒绝服务攻击：也称为d o s ( d e n i a lo fs e r v i c e ) 攻击，它是通过网络， 使正在使用的计算机出现无响应、死机的一种攻击行为。这种攻击行为 通过发送一定数量一定序列的报文，使网络服务器中充斥了大量要求回 复的信息，从而消耗网络带宽或系统资源，导致网络或系统不胜负荷以 至于瘫痪、停止正常的网络服务。常见的d o s 攻击有s y n f l o o d 攻击、p i n g 攻击、u d p 攻击等。 4 ) 否认攻击：它是针对信息记录实施的攻击，它试图给出错误的信息或否 认曾经发生过真实的事件或事务。否认攻击包括两类：假冒和否认。假 冒是攻击者企图装扮或假冒别人和别的系统。这种攻击可能发生在个人 通信、事务处理或系统对系统的通信中。否认是简单地抵赖曾经登录和 处理的事件。 2 2 网络安全防御技术 传统的网络安全防御主要采用以下几种技术【2 3 】： 2 2 1数据加密技术 数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要 用于保证数据在存储和传输过程中的保密性。它通过变换或置换等各种方法将被 保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者 传输过程为非授权人员所获得，也可以保证这些信息不被认知，从而达到保护信 息的目的。该方法的保密性直接取决于所采用的加密算法和密钥长度。 随着计算机网络应用特别是电子商务应用的飞速发展，对数据完整性以及身 份鉴定技术提出了新的要求，数据签名就是为了适应这种需要在密码学中派生出 来的新技术和新应用。数据签名也是数据加密技术的一种类型，一般是签名者利 用秘密密钥( 私钥) 对需签名的数据进行加密，验证者利用签名者的公开密钥( 公 钥) 对签名数据做解密运算。如果能保证一个签名者的签名只能唯一地从他自己 产生，那么当收发双方发生争议的时候，仲裁机构就能够根据消息上的数字签名 来裁定这条消息是否确定是由发送方发出的。数据传输的完整性通常是通过数据 签名的方式来实现。 数据加密技术是- - ；f o e 最基本的安全机制，它能防止信息被非法读取。数据加 密技术是一种在网络环境中对抗被动攻击的行之有效的安全机制。数据加密是保 第7 页 北京邮电大学硕士学位论文第二章 护数据的最基本的方法。但是，这种方法只能防止第三者获取真实数据，仅解决 了安全问题的一个方面，而且，加密机制也并不是牢不可破的。 2 2 2 访问控制技术 访问控制是网络安全防范和保护的主要技术，它的主要任务是保证网络资源 不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。 访问控制涉及的技术比较广，包括网络访问控制、功能权限控制、目录级控制和 属性控制等多种手段。 访问控制按照事先确定的规则决定主体对客体的访问是否合法。当一个主体 试图非法使用一个未经授权使用的客体( 资源) 时，访问控制将拒绝这一企图， 并可报告这一事件给审计跟踪系统，审计跟踪系统会产生一个报警或形成部分追 踪审计。 2 2 3 防火墙技术 防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络之间设置障 碍，阻止对信息资源的非法访问，也可以使用防火墙阻止机密信息从公司的网络 上被非法输出。防火墙是一道门槛，它控制进、出两个方向的通信。通过限制与 网络或某一特定区域的通信，以达到防止非法用户侵犯i n t e r n e t 和公司网络的目 的。防火墙是一种被动的防御技术，由于它假设了网络的边界和服务，对内部的 非法访问难以有效地控制。因此，防火墙适合相对独立的、与外部网络互连途径 有限、网络服务种类相对集中的单一网络。 防火墙技术是内网最重要的安全技术之一，它主要功能就是控制对受保护网 络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能对外 屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内 对外的非法访问。但它也有其明显的局限性：防火墙难以防止网络内部的攻击； 防火墙不能防止数据驱动式攻击；防火墙不能防范不断更新的攻击方式，不能阻 止新的入侵行为。 2 2 4入侵检测技术 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进 行分析，从中发现网络或系统中是否有违反安全策略行为和遭到袭击迹象的一种 机制。它能对网络或主机系统进行监视，并根据监视结果进行不同的安全动作， 第8 页 北京邮电大学硕士学位论文第二章 最大限度地降低可能的入侵侵割2 4 1 。 目前，入侵检测技术有两类：异常检测技术和特征检测技术| 75 1 。异常检测技 术也称为基于行为的检测技术，它是指根据使用者的行为或资源的使用状况来判 断是否入侵，而不依赖于具体的行为是否出现来检测。这种检测技术的优点是可 以发现新的攻击行为，它较少地依赖于特定的主机操作系统。特征检测技术又称 为模式匹配检测技术，它是通过对一些具体行为的判断推理，从而检测出入侵。 这种检测技术的优点是检测准确度较高；技术相对成熟；便于进行系统防御。异 常检测试图发现一些未知的入侵行为，而特征检测则是标识一些已知的入侵行 为。 虽然入侵检测技术是企业安全防御系统中的重要组成部分，但它不是万能 的，它仍存在一些局限性，如：它只是被动地检测，不能对入侵行为进行实时地 响应；i d s 设备可能会在很短的时间内发出大量的报警信息，很难从中挑出有用 的信息；它无法弥补安全防御系统中的安全缺陷和漏洞；它无法单独防止攻击行 为的渗透，只能调整相关网络设备的参数或人为地进行处理。 2 3 入侵防御系统 2 3 1 入侵防御系统原理 随着网络入侵事件的不断增加和网络攻击行为的多样化发展，网络入侵行为 越来越严重地威胁着网络的安全，传统的防火墙技术和网络入侵检测系统己显得 力不从心，不能有效地阻止网络攻击行为。 入侵防御系统是近几年出现的一种网络安全防御技术，它是用来识别针对计 算机系统、网络系统或更广泛意义上的信息系统的非法攻击，包括检测外界非法 入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行为等。入 侵防御的软件与硬件的组合便是入侵防御系统。与其它安全产品不同的是，入侵 防御系统需要更多的智能，它能对网络数据包进行协议分析，解析出包头信息和 数据信息，并能实现i p 碎片重整、t c p 的流重组等功能，通过对数据包内容进行 检测过滤，从而发现网络攻击行为。入侵防御系统是对传统安全产品的合理补充j 它能帮助系统对付网络攻击，扩展系统管理员的安全管理能力( 包括安全审计、 监视、进攻识别和响应) ，提高了信息安全基础结构的完整性【7 6 | 。 入侵防御系统通常位于受保护的企业级网络f f l i n t e r n e t 之间，直接嵌入到网络 第9 页 北京邮电大学硕士学位论文第二章 流量中，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含 异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样，有 阿题的数据包，以及所有来自同一数据流的后续数据包，都能在i p s 设备中被清 除掉【2 7 】。通过这种方式，它能预先对入侵活动和攻击性网络流量进行拦截，避免 其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。 2 3 2 入侵防御系统特点 为了使入侵防御系统能有效、实时地阻止各种网络入侵行为，它必须具备以 下的特点： 1 ) 嵌入式运行：网络入侵防御系统必须串联运行在要保护的网络上，对网 络数据流进行实时的捕获和分析，找出其中的入侵行为，并进行有效的 拦截。 2 ) 高速处理能力：网络入侵防御系统必须具有高速的数据包处理能力，以 适应飞速发展的网络速度，并使其对整个网络性能的影响保持在最低水 平。 3 ) 协议分析能力：网络入侵防御系统必须能对网络协议进行分析，解析出 对应的协议头和数据信息，以便进行相应的检测。 4 ) 入侵规则库：网络入侵防御系统必须具有高质量、分类的入侵行为特征 库，以便对网络数据流进行检测过滤，该特征规则库应具有定时更新能 力和可扩展性，能加入新的攻击特征。 2 3 3 入侵防御系统与入侵检测系统 入侵检测系统是在入侵防御系统之前出现的一种网络防范技术，它通过对计 算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反 安全策略的行为和被攻击的迹象。 尽管在过去，i d s 是一种受到企业欢迎的解决方案，但它还是不能阻断当今 互联网中不断发展的攻击，i d s 系统只是一种检测机制，而不是预防手段。入侵 检测系统的一个主要问题是它不会主动在攻击发生前阻断它们，同时，许多入侵 检测系统是基于特征检测的，所以它们不能检测到新的攻击或老式攻击的变形， 而且i d s 不能解析加密数据流，也就不能对加密流量中的攻击进行检测。 第1 0 页 北京邮电大学硕士学位论文第二章 因为，绝大多数i d s 系统都是被动的，而不是主动性的，也就是说，在攻击 实际发生之前，它们往往无法预先发出警报。入侵防御系统则倾向于提供主动性 的防御，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免网络系统 造成任何损失。i p s 系统在网络中以在线( i n l i n e ) 形式安装在被保护网络的入口 上，它能够控制所有流经的网络数据；而i d s 系统以旁路形式安装在网络入口处。 从功能上讲，作为并联在网络上的i d s 设备，绝大多数都需要同防火墙配合 来阻止攻击，但由于标准不统一，i d s 与防火墙之间不易联动。而且i d s 只能产 生报警而不能有效地采取阻断措施的设计理念，也不能满足用户对网络安全日益 增长的需求。相反，i p s 本身就可以阻止入侵的流量，它的拦截行为与其分析行 为处在同一层次，通过多重检测机制，粒度更细的规则设定，能够更敏锐地捕捉 入侵的流量，并能将危害切断在发生之前。因此，从i d s 到i p s 将是未来发展的必 然趋势。 2 3 4入侵防御系统分类 根据入侵防御系统的检测对象和工作方式的不同，它主要分为以下两大类： 1 ) 基于主机的入侵防御系统( h i p s ) 它通过在主机、服务器上安装软件代理程序，防止网络攻击操作系统以及应 用程序，基于主机的入侵防御能够保护服务器的安全弱点不被不法分子所利用。 这类入侵防御系统直接与操作系统相关，它控制文件系统以及重要的系统文件， 确保操作系统不会被随意地更改。它能及时发现操作系统所受到的侵害，并且由 于它保存一定的检验信息和所有系统文件的变更记录，所以在一定程度上还可以 实现安全恢复机制。 由于h i p s i 作在受保护的主机n 务器上，它不但能够利用特征和行为规则 检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知的攻击，防止针对 w e b 页面、应用和资源的未授权的任何非法访问。h i p s 与具体的主机朋艮务器操 作系统平台紧密相关，不同的平台需要不同的软件代理程序。 基于主机的入侵防御系统具有明显的优点：检测准确度较高，适合于加密和 交换环境；能检测到没有明显行为特征的入侵；不需要额外的硬件，成本较低， 不会因网络流量而影响性能。 除了上述的优点外，基于主机的i p s 也存在一些不足：会占用主机的系统资 第1 1 页 北京邮电大学硕士学位论文第二章 源，增加系统的负荷；实时性较差；检测效果取决于日志系统；隐蔽性较差；而 且针对不同的操作系统必须开发出不同的应用程序；所需配置的i p s 的数量众多。 2 ) 基于网络的入侵防御系统( n i p s ) 它通常是作为一个独立的个体放置在被保护的网络上，它使用原始的网络分 组数据报作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分 析所有通过网络传输的数据。一旦检测到攻击，入侵防御系统响应模块通过通知、 报警以及终端连接等方式来对攻击做出反应。n i p s 通过检测流经的网络流量， 提供对网络系统的安全保护，它可以侦听某一个i p ，保护特定服务器的安全，也 可以侦听整个网段。 相对于基于主机的i p s ，它有着自身明显的优势：可以提供实时的网络行为 检测；可以同时保护多台网络主机；具有良好的隐蔽性；与操作系统无关；不影 响被保护的主机的性能。 当然，对于基于网络的i p s 来讲，同样有着一定的不足：检测性能受硬件条 件限制；检测精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差； 不能处理加密后的数据等。 2 3 5 入侵防御系统存在的问题 尽管入侵防御系统在技术上有- fj p 大的进步，但仍然面临着很多的挑战，目 前主要存在以下三方面的问题【2 8 】： 1 、) 性能瓶颈：由于入侵防御系统是以嵌入式的方式工作在网络中，需要对 网络流经的所有数据包信息进行检测、过滤等操作，所以很容易成为系 统的瓶颈。随着网络带宽的不断增加，对i p s 系统的要求也越来越高， 如果它的处理速度不能达到要求，不仅会增加滞后时间，而且会降低网 络的效率。i p s 必须与数千兆或者更大容量的网络流量保持同步，尤其 是当加载了数量庞大的检测特征库时，设计不够完善的i p s 嵌入设备将 无法支持这种实时的响应速度。很多的i p s 系统都通过使用自定义硬件 ( f p g a 、网络处理器或a s i c 芯片) 来提高i p s 的运行效率。 2 ) 单点故障：由于入侵防御系统是串连在网络系统中，所以很容