（通信与信息系统专业论文）网络入侵防御系统——cookie用户分类及新用户到达率控制.pdf

摘要 网络入侵防御系统 - - c o o k i e 用户分类及新用户到达率控制 专业：通信与信息系统 硕士生：刘英桥 指导老师：余顺争教授 摘要 近年来，i n t e m e t 的发展和宽带技术的广泛应用，带来经济和社会效益的同时， 也给网络安全也带来了极大的挑战。特别是以d d o s t l 】为首的各种恶意攻击，成为各 中大型网站的恶梦。 在大流量的掩盖下，d d o s 攻击往往变得难以检测。现有的大多数的入侵检测系 统，往往采用粗粒度的判决方法，一旦判决失误，就可能影响正常流量的访问，使攻 击流量对系统和服务器造成很大的伤害。如何在大流量的网络环境下保证网站安全， 抵御d d o s 攻击，是当前亟待解决的问题。 本系统鉴于粗粒度判决方法的缺陷，采用了按用户数据流的正常程度来分配网络 带宽的设计思想。系统首先利用c o o k i e 的信息对用户数据流进行区分，根据每个用 户所带的c o o k i ei d ，对用户进行标志。在用户区分基础上，利甩隐半马尔科夫模型 2 1 对具体的用户行为进行分析，计算其正常程度值，并根据正常程度值为用户分配相应 的带宽，使正常程度高的用户得到较高的带宽。这样，能较好地抑制恶意攻击流对服 务器的影响，同时能较高程度地确保正常用户得到服务。 本文实现了用户区分部分的设计和实现。用户区分部分是整个系统的入口模块， 包括c o o k i e 用户区分模块和新用户到达率控制模块，分别对旧用户和新用户的数据包 进行处理。在本文的最后对系统进行了w o r k b e n c h 仿真和实际环境测试，验证了在大 流量下系统的基本功能和性能。 关键词：用户区分，d d o s ，网络安全，c o o k i e ，网络处理器 中山大学硕士学位论文 an e t w o r ki n t r u s i o np r e v e n t i o ns y s t e m - - c o o k i e b a s e du s e rc l a s s i f i c a t i o na n dn e wu s e r sa r r i v a lc o n t r o l m a j o r ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m n a m e ： y i n g q i a ol i u s u p e r v i s o r ：p r o f e s s o rs h u n z h e n gy u a b s t r a c t r e c e n t l y , t h ed e v e l o p m e n to fi n t e r n e ta n di n c r e m e n t so fn e t w o r kb a n d w i d t hh a s b r o u g h tg r e a tp r o f i t st ot h es o c i e t ya n de c o n o m y , b u th a sa l s ob r o u g h ti m m e n s et h r e a tt o t h ei n t e r n e ts e c u r i t y t h ed d o s 1 | a t t a c k s e s p e c i a l l y , h a v eb e c o m et h en i g h t m a r eo fl a r g e w e b s i t e s b e c a u s et h ed a t af l o wo fl a r g ew e b s i t e si su s u a l l yk e p ti nh i 曲l e v e l ，t h ed d o sa t t a c k s b e c o m ed i f f i c u l tt ob ed e t e c t e d m o s tt r a d i t i o n a ls c h e m e sf o c u so nd e t e c t i n ga t t a c kt r a f f i c a n dt h e ns i m p l yd r o pt h es u s p i c i o u sp a c k e t s ，w h i c hm i g h tb es e n tb yl e g a lu s e r s t h e r e f o r e ， t h ep r o b l e mw es h o u l dr e s o l v ei m m e d i a t e l yi sh o wt od e f e n dd d o sa t t a c k sa n dg u a r a n t e e l e g a lu s e r s s e r v i c e su n d e rt h i sb a c k g r o u n d i no r d e rt or e s o l v et h ed e f e c to ft r a d i t i o n a ls c h e m e s ，an e t w o r kp r o c e s s o rb a s e d i n t r u s i o np r e v e n t i o ns y s t e mi si m p l e m e n t e di nt h i sp a p e r a n di nt h i ss y s t e m , u s e r sw i l lb e c l a s s i f i e da c c o r d i n gt ot h e i rc o o k i ei d s ，w h i c ha r ed e s i g n e dt ob et h ei d e n t i t i e so fu s e r s m l a t sm o r e ，u s e r s n o r m a l i t y 、析1 lb ee s t i m a t e db a s e do nt h eh i d d e ns e m i m a r k o vm o d e l l 川， a n dt h e nb a n d w i d t hw i l lb ea l l o c a t e da c c o r d i n gt ot h e i rn o r m a l i t y i nt h i sw a y , w ec a n p r o t e c tt h ew e b s i t es e r v e r sf r o mt h ed d o sa t t a c k sa n dp r o v i d el e g a lu s e r ss e r v i c e s t 1 1 i st h e s i sm a i n l yf o c u s e so nt h ed e s i g na n di m p l e m e n t a t i o no fu s e rc l a s s i f i c a t i o np a r t o ft h es y s t e m u s e rc l a s s i f i c a t i o ni st h ee n t r a n c ep a r to ft h ew h o l es y s t e m ，i n c l u d i n gc o o k i e c l a s s i f i c a t i o nm o d u l ea n dn e wu s e r sa r r i v a lc o n t r o lm o d u l e t h e ya r ed e s i g n e dt od e a lw i t h o l du s e r s a n dn e wu s e r s p a c k e t ss e p a r a t e l y f r o mt h es i m u l a t i o na n dt h et e s tu n d e r r e a l i s t i cc i r c u m s t a n c e ，t h ef u n c t i o n sa l ev a l i d a t e da n dt h ep e r f o r m a n c ei ss a t i s f i e du n d e r v a r i o u sk i n d so fb i gd a t af l o wc o n d i t i o n s k e yw o r d s ：u s e rd i f f e r e n t i a t i o n ，d d o s ，n e t w o r ks e c u r i t y ，c o o k i e ，n e t w o r kp r o c e s s o r 本人郑重声明： 原创性声明 所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取 得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和 集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由 本人承担。 学位做储虢叫脚 日期：力吁年，月g e l 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸 质版，有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图 书馆、院系资料室被查阅，有权将学位论文的内容编入有关数据库进行检 索，可以采用复印、缩印或其他方法保存学位论文。 学位论文作者签名： 烈惭 导师签名： 日期：砌年r 月猡日 日期： 多1 _ 7 日 ，qo ，一n旷n、可，c忻丫月 、 上 第l 章概述 1 1研究背景 第1 章概述 2 1 世纪以来，i n t e m e t 的发展让人瞠目结舌。以中国为例，根据c n n i c 发布的第 2 1 次中国互联网络发展状况统计报告，截至2 0 0 7 年1 2 月，网民数已增至2 1 亿人，年 增长率达到5 3 3 ，在过去一年中平均每天增加网民2 0 万人【3 1 。随着d w d m 4 j 技术的 广泛应用，网络带宽飞速发展，充分地刺激了各种各样的网络技术的进步，让i n t e m e t 向更广和更深的方向延伸，直接导致了各网站用户访问量的迅速攀升。迅速攀升的用 户访问和越来越高的网络带宽带来社会和经济效益的同时，也给网络安全带来了极大 的挑战。各种有意无意的网络攻击层出不穷，各种木马、蠕虫、脚本漏洞等给互联网 带来了严重的威胁。 特别是大型网站，在这种宽带技术大背景下，除了要满足庞大的用户需求外，还 要提防一切安全漏洞，特别是隐藏在路由器和代理背后的恶意攻击者。而其中以 d d o s i l j ( d i s l r i b u t e dd e n i a lo f s e r v i c e 分布拒绝服务) 为代表的恶意攻击自二十一世纪 开始成为各网站的噩梦。2 0 0 2 年，互联网的核心，位于美国、瑞典、英国、日本的1 3 台肩负互联网数据传输重任的根服务器遭到来历不明的网络攻击，其中有9 台根服务 器因遭受攻击而陷入瘫痪，造成服务中断1 小时。2 0 0 7 年2 月，这1 3 台互联网根服务器 再次受到了黑客猛烈的攻击，持续了1 2 个小时之久，其中至少有三台曾被暂时控制。 这一事件再次提醒人们：d o s 和d d o s 仍然是网络的一种严重威胁。 d d o s 最恐怖的地方在于它不需要攻击者具备很好的技术能力，任何人只要有攻 击程序，一小时之内就可以使受保护的网络和设备失效，轻易达到目的。图1 1 显示 的是1 9 9 0 2 0 0 4 年间网络攻击的复杂性与攻击者的技术水平的一个比较，从中我们定 性地看出攻击者不断尝试开发工具来帮助攻击，这样一来低水平的攻击者一样可以利 用d d o s 工具开展高复杂度、强破坏性的攻击。可以很明显地预见，因为这个特点， 互联网上的d d o s 攻击将越来越泛滥【5 】。 更可怕的事情是，d d o s 攻击简单易行使不法份子利用d d o s 攻击从中谋利。高 中山大学硕士学位论文 利益的驱使已经使d d o s 攻击演变成非常完善的产业链，出售d d o s 攻击已经成为互 联网上的一种半公开商业行为，这种地下链条所带来的非法收入可能高达几十亿人民 币【6 o 嘲蝴f 筝獬霸：尊蕴棼。荨2 蟹赣婀轳餮毒翱嘲峨耀孽糍蒲 臻鬟蟹蕊潆犍 拗l a m e rknomled9枣泓 图1 - 11 9 9 0 2 0 0 4 网络攻击复杂性与攻击者技术水平的比较5 】 1 2 入侵检测防御系统国内外研究现状 现有的入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 中，对d d o s 入侵的解 决方案往往将重点放在对d d o s 攻击流的检测和追踪上，而在检测和追踪模块之后的 控制模块功能一般都很简单。在这些系统中，往往只粗略地区分出正常流量和异常流 量，而对异常流量的处理也非常简单一丢弃。这种对付入侵的思路一般都采用入侵检 测系统和防火墙组成的安全架构，虽然它一方面避免了防火墙固有的监控和后门缺 陷，另一方面避免了入侵检测系统处理的高延后性【7 】；但对检测到的异常流量的处理 仍是丢弃策略，无法应对如今不断增加的网络攻击。 像以上这种粗粒度区分方式，要求判决门限非常精准，否则，就会出现大量误报 而影响正常用户，使正常用户的流量不能得到任何保证，这样攻击流量就可能造成很 大危害。另外，i d s 难以突破百兆瓶颈以适用于千兆网络，缺乏有效的攻击阻断功能 co；辱u茹确一赢盘o协)u霉# 璺萝 一 第1 章概述 以及误报率过高，使入侵检测和防火墙组成的安全架构不足以有效地抵御大规模的 d d o s 攻击【8 】o 于是就诞生了入侵防御系统( i p s ) 。目前，入侵防御系统仍在发展之中，并没有 明确的定义。从技术沿革上来说，入侵防御系统技术吸取、融合了防火墙和入侵检测 技术的各自优势，为网络提供深层次的、有效的安全防护。本论文就是力图在这样的 发展背景当中，为入侵防御系统的实现提供有效的途径。 1 3 项目实现平台一网络处理器 随着网络规模的迅速增长和网络性能的快速提高，宽带网络越来越普及，网络用 户数据量不断增长，新业务不断涌现，对数据处理能力提出越来越高的要求，通用c p u 和a s i c ( a p p l i c a t i o ns p e c i f i ci n t e g r a t e dc i r c u i t ) 已经远远无法满足发展的需要。网络 处理器( n p ，n e t w o r kp r o c e s s o r ) 是新一代用来执行数据处理和转发的高速可编程处 理器。与传统的处理器不同，它的设计采用了全新的理念，使其既有a s i c 的高速处理 能力，又有完全的可编程特性。网络处理器通过灵活的软件体系提供硬件级的处理性 能，具有如下特点：网络分组并行处理能力；高速分组实时处理速度；一定数目的网 络专用协处理器；高度的可编程可扩展性；快速投向市场能力。在网络安全的研究和 应用方面，网络处理器具有无可替代的优势例。 1 4 论文主要工作 本论文主要描述c o o k i e 用户区分模块、新用户到达率控制模块以及整个系统的功 能验证和性能测试。c o o k i e 用户区分模块利用h t t p t l o 】协议中的c o o l d e 【1 1 】字段，通过对 c o o k i e 的相关内容进行匹配分类，将数据包进行区分处理。实现平台是开发板 e n p 2 6 1 1 ，该板内含网络处理器芯片i x p 2 4 0 0 0 ，具有并行处理等各种优势。 本论文的研究是国家自然科学基金“网络与信息安全”重大研究计划项目网络 时空行为与2 0 0 8 奥运会网络安全关键技术研究的子课题，我主要负责该系统的用 户区分部分，即，基于前期开发工作基础，对本系统中的c o o k i e 用户区分模块进行修 中山大学硕士学位论文 改，对原设计的h t t p 分离模块和c o o k i e 匹配模块进行整合，把c o o k i e 用户区分模块 分为接收模块、c o o k i e 验证模块和i d 映射模块，目标是解决系统在实际环境测试中出 现的问题。另外，由于原系统中没有对新用户数据包进行处理的模块，因此我独立设 计并实现了新用户到达率控制模块，用以解决新用户数据包访问的问题，以完善系统 的功能。论文后段通过i n t e l 软件开发平台w o r k b e n c h 的仿真，以及为系统所搭建的 实际环境的测试，验证了本系统在多种数据流量及大数据流量下的基本功能和性能。 1 5 论文结构 本文共分为八章。第1 章为概述部分，介绍了论文选题的研究背景和实现平台， 概述了论文的主要工作；第2 、第3 和第4 章分别介绍了d d o s 攻击与入侵防御系统、 网络处理器和h t t p 协议的基本原理和技术。第5 、6 、7 章是论文的重点，第5 章设 计和实现了入侵防御系统，第6 章利用w o r k b e n c h 进行仿真实验并分析实验结果；第 7 章搭建了实际测试环境，对系统的功能和性能进行测试，并分析测试结果。第8 章 对全文进行了总结，并对后续工作进行展望。 4 第2 章d d o s 攻击与入侵防御系统 第2 章d d o s 攻击与入侵防御系统 2 1 d d o s 攻击原理 d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ，分布式拒绝服务) 的前身是d o s ，d o s 攻击 广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言，d o s 攻 击是指通过攻击网络协议的缺陷或通过各种手段耗尽被攻击对象的资源，致使被攻击 计算机或网络无法提供正常的服务的攻击方式。 d d o s 是d o s 随着宽带技术的发展而发展起来的，指的是采用分布式、协作式的 大规模d o s 攻击方式，它通过控制网络上具有漏洞的若干主机同时发动攻击，消耗 网络带宽或系统资源，致使目标主机的服务请求极度拥塞无法提供正常的网络服务， 从而造成目标的系统瘫痪。d d o s 攻击与d o s 攻击不同的是它利用一批受控制的机器 向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。 2 1 1d d o s 的攻击过程 图2 1d d o s 攻击的三层结构 d d o s 攻击的实质是入侵者利用了互联网协议本身的弱点及互联网总体上的不安 中山大学硕士学位论文 全性，入侵并控制互联网上的大量主机作为主控端和代理端，来对目标系统发动攻击。 d d o s 采用一种三层客户机朋艮务器结构，如图2 1 所示【1 2 】。 整个过程如下：1 ) 探测扫描大量主机以寻找可入侵目标；2 ) 入侵有安全漏洞的 主机并获取控制权；3 ) 在每台入侵主机中安装攻击程序；4 ) 利用已入侵主机继续进 行扫描和入侵。入侵一台主机并安装攻击程序只需要数秒钟时间，可见其破坏性之强。 2 1 2d d o s 攻击主要攻击方式 目前d d o s 攻击主要分为带宽耗尽型和资源耗尽型两类。带宽耗尽型主要是指以 极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户 请求无法通过。资源耗尽型是攻击者利用服务器的处理能力的有限性，尽可能多的发 送数据报，接近服务器的处理极限，消耗目标服务器的关键资源，例如c p u 、内存等， 导致攻击目标无法提供正常服务。 ( 一) 带宽耗尽型有如下几种1 3 - 1 4 】： ( 1 ) a r p 泛洪攻击 a r p 用于将以太网中的i p 地址解析为m a c 地址，其缓存中存储着m a c 地址与i p 地址的映射表。a r p 泛洪攻击的原理是：利用在没有a r p 请求的情况下收到址冲应答， 目的设备仍会接收a r p 应答包中所提供的信息，并更新a r p 缓存的协议缺陷，使攻击 目标忙于处理含有错误目标地址信息的a r p 应答而无法响应外来请求，从而令目标主 机丧失网络通信能力，产生拒绝服务。比较典型的例子有a r p 重定向攻击。 ( 2 ) i c m p 泛洪攻击 i c m p 协议原用于错误处理和传递控制信息，它通过发送e c h or e q u e s t 信息包请求 主机响应，以判断与主机之间是否连接正常。i c m p 泛洪攻击的原理是：攻击者向一 个子网的广播地址发送多个i c m pe c h o 的请求数据包，并将此请求数据包的源地址伪 装成攻击的目标主机地址；于是该子网上的所有主机均对此i c m pe c h o 请求包做出答 复，向被攻击目标主机发送数据包，导致网络阻塞。例子有p i n g 洪水攻击和s m u r f 攻击。 ( 3 ) u d p 泛洪攻击 u d p 属于无连接传输层协议，它为用户程序之间的信息传输提供简便的协议机 制，但不作错误更正和重发，也不防止包丢失或包重复。由于u d p 不会验证其发送的 6 第2 章d d o s 攻击与入侵防御系统 数据报是否被正确接收就会发送新的数据报，因此可以伪造大量的数据报用于攻击目 标主机。如u d pf l o o d ，u d pe c h o 等都是基于u d p 的泛洪攻击。 ( 4 ) t c ps y n 泛洪攻击 t c p 属于面向连接传输层协议，在数据传送前，它要求服务器与客户机必须经过 三次握手才能建立连接。t c ps y n 泛洪攻击的原理如下：攻击者向攻击目标发送大 量伪造源地址的s y n 请求包，但收到攻击目标发回的s y n a c k 包不予响应，就会 使攻击目标的服务器不得不保存越来越多这种半打开状态的连接，令a c k 信息包的 t c p i p 堆栈缓冲区用尽，无法向正常请求提供服务，达到拒绝服务的攻击目的。由于 伪造的源地址使它具有隐蔽性，因此服务器很难把它与正常的请求流量区分开来。典 型的例子为s y nf l o o d 攻击等。 ( 5 ) 应用层a p p d d o s 攻击【1 5 】 应用层a p p d d o s 攻击是一种全新的d d o s 攻击类型，与前面的泛洪攻击不同，应 用层d d o s 攻击合法地使用t c p i p 协议( p r o t o c o l - c o m p l i a n t ) 1 1 6 ，利用合法的应用层请 求即不利用系统漏洞( n o n i n t r u s i v e ) 来攻击服务器。 a p p - d d o s 攻击利用了高层协议( 例如h t t p ) ，由于高层协议的多样性与复杂性， n p p d d o s 攻击很难被检测到，而且高层协议通常具有较强的功能，因此a p p d d o s 攻 击所产生的破坏力远大于传统的网络层d d o s 攻击。a p p d d o s 攻击可分为两种攻击方 式：带宽耗尽型和资源耗尽型。 带宽耗尽型( 例如h 1 限f l o o d i n g ) 的请求内容既多是w e b 服务器上的正常页面、 重定向页面、头信息或某些错误文档、动态内容和数据库查询等，目标是通过大量合 法的h t t p 请求占用目标网络的带宽，使正常用户无法进行w e b 访问。资源耗尽型的请 求内容多为大文件( 例如图像、视频文件等) ，或促使服务器运行一些复杂的脚本程 序( 例如复杂的数据处理、密码计算与验证等) ，目标是利用少量的h t t p 请求促使服 务器返回使目标主机的资源( c p u 、存储器、s o c k e t 等) 耗尽。 ( 二) 资源耗尽型又有如下几种【1 3 1 4 】： ( 1 ) l a n d 攻击 l a n d 攻击是特殊的t c ps y n 泛洪攻击。l a n d 攻击的s y n 包源地址和目标地址 都被设置成某一个服务器地址，因此，当接收服务器接收到l a n d 攻击包时，又向它 自己的地址发送s y n a c k 消息，结果这个地址又发回a c k 消息并创建一个空连接， 7 中山大学硕士学位论文 循环反复，将产生无穷无尽这样的空连接， 结果是攻击目标的操作系统变得极其缓慢， ( 2 ) i p 层t e a r d r o p 攻击 而每一个这样的连接都将保留直到超时。 甚至最终将崩溃。 t c p i p 中的口数据包在网络传递时，数据包可以分成更小的片段，到达目的地后 再进行重组。t e a r d r o p 攻击利用在实现分段重组的进程中存在的漏洞，把存在偏移量 错误的碎片发到服务器，使之不能正确重组，从而导致服务器重启或崩溃。 ( 3 ) w i n n u k e 攻击 w i n n u k e 攻击的特征是攻击目标端口，被攻击的目标端口通常是1 3 9 、1 3 8 、1 3 7 、 1 1 3 、5 3 ，而且u r g 位设为1 ( 紧急模式) ；其中1 3 9 、1 3 7 、1 3 6 作为n e t b i o s ( n e t b i o s s e r v i c e sp r o t o c o l s ，网络基本输入输出系统协议) 的基本网络资源访问接口，广泛地 应用于文件共享、打印共享、进程间通信以及不同操作系统之间的数据交换中。 w i n n u k e 攻击就是利用w i n d o w s 操作系统的这个漏洞，向这些端口发送携带t c p 带外 ( o o b ，o u to f b a n d ) 数据报文，但这些攻击报文的指针字段与数据的实际位置不符， 即存在重合。这样w i n d o w s 操作系统在处理这些数据的时候，就会崩溃。 2 1 3d d o s 主要攻击工具 目前，d d o s 的攻击工具多种多样，有人专门研究了这些数目繁多的工具，并将 之按相似性分为1 2 种【17 1 。d d o s 现在常见的攻击工具主要有t r i n o o 、t f n 及其改进版 t f n 2 k 和s t a c h e l d r a h t 等几种，采用的主要攻击方法是利用t c p i p 协议中的漏洞，如允 许碎片包、大数据包、i p 路由选择、半打开t c p 连接、数据包f l o o d 等，这些都会降低 系统性能，甚至使系统崩溃。 ( 1 ) t r i n o o i 具【1 8 】 利用t r i n o o i 具从执行端向受害者目标主机发送的攻击包都是u d p 报文，每个 含有4 个空字节，这些报文从一个端口发出来，随机地袭击目标主机上的不同端口， 目标主机对每一个报文回复一个i c m pp o r tu n r e a c h a b l e 的信息，大量的不同主机源源 不断的发来这些报文，目标主机将很快慢下来，直到剩余带宽变为零。 ( 2 ) t f n 2 k i 具1 9 1 t f n 2 k ( t 曲a 1f l o o dn e t w o r k2 0 0 0 ) 的攻击的主控端通过随机使用t c p ，u d p ， i c m p 数据包向代理端主机发送攻击指定的目标主机列表，代理端根据接收的命令向 第2 章d d o s 攻击与入侵防御系统 指定目标主机进行拒绝服务攻击。 t f n 2 k 主控端随机使用t c p ，u d p ，i c m p 数据包向代理端主机发送命令，对目标 主机采用的攻击方法包括t c p s y n ，u d p ，i c m p p i n g 或b r o a d c a s tp i n g ( s m r r f ) 数据包f l o o d 等。 ( 3 ) s t a c h e l d r a h t i 具【2 0 】 s t a c h e l d r a c h t 使用了与t f n 2 k 一样的拒绝服务攻击方法，比如p i n gf l o o d 、s y n f l o o d 、u d pf l o o d 和s m u r f 等。不同之处在于s t a c h e l d r a h t 没有包含绑定到某个t c p 端口的r o o ts h e l l 。 2 2 入侵防御系统介绍 网络技术的高速发展，带来了日益严重的网络安全问题，网络安全事件的发生频 率呈扩大趋势，特别是像d o s 、d d o s 、网络蠕虫等暴力攻击类型逐渐成为网络攻击 的主要手段。作为企业级安全保障体系的第一道防线，防火墙在低层的入侵防御技术 中已经得到了广泛应用。但防火墙等访问控制设备没有能做到完全的协议分析，对应 用层攻击等行为无法进行判断。因此，像防火墙这种传统安全技术已经不完全适应发 展的趋势。 随着技术的发展，引入了入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 技术， i d s 通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中 发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，实现对入侵行为的检 测。在网络关键路径中部署入侵检测系统，成为了主动型反攻击手段的典型代表，使 i d s 发展成为防火墙的有效补充而广泛应用。 但i d s 有其固有的缺陷。首先是缺乏有效的攻击阻断功能。传统的i d s 只能在旁 路上探测通过的数据包，被动地检测数据流量。当i d s 检测到数据包里的攻击代码时， 无法阻止攻击数据流量。其次是传统i d s 通常采用基于混杂模式的数据采集方式，因 此难以突破百兆瓶颈，不能适应千兆网络。还有一个问题是现在的i d s 误报率过高， 把一些正常的网络活动当成了入侵行为。可以说，i d s 固有的缺陷，直接导致了被动 的i d s 向主动的i p s ( i p s ，i n t r u s i o np r e v e n t i o ns y s t e m ，入侵防御系统) 的发展【2 1 1 。 i p s 目前还没有统一的定义，我们把它看作为任何能够检测到攻击行为( 包括已 9 中山大学硕士学位论文 知和未知的攻击) ，并能够有效地阻断攻击的硬件或软件系统。i p s 在线地检测网络和 主机，发现攻击后能够实施有效的阻断，防止攻击到达目标主机或网络【2 2 1 。从技术沿 革上来说，p s 有效地汲取、融合了防火墙和i d s 技术，为网络提供全方位的有效保 护。有人称i p s 可能成为下一代防火墙或者下一代i d s 。 六规模进行深层检；明 q 砂 峨藤夏卜通过与否 。厂又是- j 数据包| 叫壁鎏登皇卜l 篱 一! 叫蕉鎏步 一， 一 。j ? 。j j 一，| 。， 一j j j j 图2 - 2i p s 原理图【7 】 i p s 原理图如图2 2 所示。i p s 实时检测并实现攻击阻断的原理在于i p s 拥有数目 众多的过滤器，每种过滤器都设有相应的过滤规则。当新的攻击手段产生时，也可以 更新或添加新的过滤器。i p s 能够深层检查从l a y e r 2 至l a y e r 7 的数据包内容，所有 经过i p s 的数据包都会根据包中的报头信息被分类，每种过滤器负责分析对应的数据 包，判定出数据包的流状态信息，恶意内容的数据包就会被丢弃。过滤器引擎利用了 大规模的并行处理硬件，如a s i c 、f p g a 或n p ( n e t w o r kp r o c e s s o r ) ，能同时执行数 千次的数据包过滤检查，确保数据包可以高效、准确地检测和防御已知、未知的d d o s 等攻击阴。 1 0 第3 章网络处理器技术 第3 章网络处理器技术 3 1 网络处理器的基本概念 网络处理器( n e t w o r kp r o c e s s o r ，n p ) ，根据国际网络处理器会议( n p c ，n e t w o r k p r o c e s s o r sc o n f e r e n c e ) 的定义：网络处理器是一种可编程器件，它特定的应用于通信 领域的各种任务，比如包处理、协议分析、路由查找、声音数据的汇聚、防火墙、 q o s 等。 与传统的处理器不一样，它采用了全新的理念，既有a s i c 的高速处理能力，又 有完全的可编程特性。功能上，网络处理器主要是完成数据的处理与转发任务。例如， 对数据分段或重组，对数据帧进行识别，实施流量控制，保证服务质量，进行报文过 滤等。应用范围上，网络处理器可以广泛地应用在i n t e r a c t 的核心网、边沿网和局域 网企业网中。 网络处理器的基本组成可以分成硬件和软件两方面来描述。 1 网络处理器的硬件结构 网络处理器的硬件结构采用了与传统处理器完全不同的策略，因而使网络处理器 兼备了g p p ( g e n e r a l p u r p o s ep r o c e s s o r ，通用处理器) 和a s i c ( a p p l i c a t i o ns p e c i f i c i n t e g r a t e dc i r c u i t ，专用集成电路) 的优点。 为了加深理解网络处理器的硬件结构，有必要了解网络处理器上运行的应用和它 们的特点。网络设备上的应用可以分为三类【2 3 】： ( 1 ) 数据面( d a t ap l a n ) 应用。该类应用的功能是从端口接收输入的数据包，并 对数据包进行处理，然后在相应的端口上转发出去。通常的应用包括路由数据包，数 据包分类，协议转换等。 ( 2 ) 控制面( c o n t r o lp l a n ) 应用。该类应用主要处理辅助数据面的各种控制数据 包。比如路由表更新，建立a t m 虚电路和i p s e c 的密钥交换等。 ( 3 ) 管理面( m a n a g ep l a n ) 应用。该类应用负责对网络管理数据包进行处理，比 如s n m p 进程。 中山大学硕士学位论文 针对以上三类不同的应用，网络处理器在硬件架构上提供了两个通道：快速通道 和慢速通道，以方便三种不同类型的数据包的处理。 图3 - 1网络处理器硬件结构【9 1 图3 1 为网络处理器的硬件结构示意图，网络处理器包括两大功能模块，即网络 处理单元和专用的智能协处理单元。智能协处理单元是网络处理器的核心，一般需要 嵌入式操作系统的支持，用于对网络处理器单元和其他硬件单元进行控制；网络处理 单元通常采用多线程结构，可以完成高速、大容量的智能数据处理功能，比如数据包 的收发、包头处理和路由查询等 9 1 。 2 网络处理器的软件组成 包括板级支持包( b s p ，b o a r ds u p p o r tp a c k e t ) 、嵌入式操作系统、路由协议软件 包和微代码等4 部分。前三者运行在智能协处理单元上，而b s p 记录着智能协处理 器单元需要管理的硬件信息以及他们的主要配置信息；嵌入式操作系统是路由协议或 其它应用程序运行的基础；智能协处理单元通过运行路由协议软件包可以生成并维护 路由表；微代码运行在网络处理单元上，用于对数据进行处理和转发 9 1 。 3 2i n t e li x a 概述 随着网络本身的发展和业务需求的增长，对新一代网络处理器提出了灵活性、高 性能、可扩展性、可移植性等更高的要求。i n t e l 公司推出了i n t e li x a ( i n t e li n t e m e t e x c h a n g ea r c h i t e c t u r e ，英特尔因特网体系架构) ，它包括两方面：在硬件平台方面， i n t e l 开发了i x p 2 x x x 第二代网络处理器( 包括i x p 2 4 0 0 、i x p 2 8 0 0 、i x p 2 8 5 0 等) ； 1 2 第3 章网络处理器技术 在软件平台方面，i n t e l 开发了所谓的i x as o f t w a r ep o r t a b i l i t yf r a m e w o r k ( i x a 软件 可移植性框架) 。 图3 2i n t e li x a 模型示意图 如图3 2 所示，i x a 有如下3 个重要组成部分【2 4 】： ( 1 ) m i e r o e n g i n e ( m e ，微引擎) ：微引擎是i x p 2 x x x 网络处理器的核心部件， 执行快速通道( f a s tp a t h ，也称d a t ap l a n ，数据面) 上的数据包处理任务； ( 2 ) x s e a l ec o r e ：x s c a l ec o r e 是i x p 2 x x x 网络处理器的高层控制、管理单元， 上面运行v x w o r k s ，e m b e d e dl i n u x 等实时操作系统( r t o s ) ，对整个i x p 2 x x x 系 统进行控制和管理； ( 3 ) i x ap o r t a b i l i t yf r a m e w o r k ( i x a 可移植性框架) ：i x ap o r t a b i l i t yf r a m e w o r k 为基于i x p 2 x x x 的软件开发提供应用编程接口( a p i ) 和硬件抽象层( h a l ，h a r d w a r e a b s t r a c t i o nl a y e r ) ，使得运行在x s c a l ec o r e 和m e 上的软件具有良好的可移植性和可 重用性。 3 2 1i n t e li x p 2 4 0 0 的硬件结构 2 5 - 2 6 】 1 3 中山大学硕士学位论文 s r a ms r a m d r a m m s fs h a c i 控制器o控制器0控制器1 多多乏多 fsp u s h sp u l l 、 f ，sp u s h sp u l l 、，dp u l l dp u s h 、 总线0 总线0 ，总线1总线1 ，总线总线 c h 鹪i 。 ( 命令总线 ) j f i f l | i m e li 匿k 围 萨呷弋7 x s c a l el | p c i j l 一 l l m e j i单元i i u m e 0 x 0 2r _ 吲0 x 0 3o x l 3 卜1o x l 2 m 匣c l u s t e r0 匝c l u s t e r1 图3 3i x p 2 4 0 0 内部硬件结构 本系统采用i x p 2 x x x 的其中一款网络处理器，i x p 2 4 0 0 。如图3 3 所示，i x p 2 4 0 0 主要由x s c a l e 核( c o r e ) ，微引擎m e ，s r a m 控制器，d r a m 控制器，介质和交换 结构接口m s f ，p c i 控制器，s h a c 单元，高速内部通道c h a s s i s 组成，下面简要述之： ( 1 ) i n t e lx s c a l ec o r e ： 时钟频率为6 0 0 m h z 的3 2 b i t 的嵌入式精简指令集处理器。负责网络处理器 中的c o n t r o lp l a n e 处理任务，执行系统芯片初始化配置、系统控制管理、运行路 由协议栈、更新路由表等操作，又称为数据包的s l o wp a t h ( 慢通道) 。 ( 2 ) m e m i c r o e n g i n e ，i x p 2 4 0 0 的核心部件，是i x p 2 4 0 0 取得线速处理性能的关键所 在，负责绝大部分的数据包处理任务。 ( 3 ) s r a m c o n t r o l l e r 即s 洲控制器，用于接口s 洲存储设备，它一般用于存储t a b l e 、b u f f e r d e s c r i p t o r 、f r e el i s tb u f f e r 等数据结构。 ( 4 ) d r a m c o n t r o l l e r 即d r a m 控制器，用于接口d r a m 存储设备，控制、管理i x p 2 4 0 0 中其他 功能单元对d r a m 存储设备的访问、操作。 1 4 第3 章网络处理器技术 ( 5 ) m s f 即m e d i aa n ds w i t c hf a b r i ci n t e r f a c e ，媒质和交换结构接口，是i x p 2 4 0 0 与外 部物理层设备、交换结构的接口单元。 ( 6 ) s h a c 单元 包括s c r a t c h p a dm e m o r y 、h a s hu n i t 、c a p 3 部分。 ( 7 ) c h a s s i s 即系统底盘，i x p 2 4 0 0 中各功能单元的内部高速通道，由多组单向高速数据 总线、命令总线，以及相应的总线仲裁单元组成。 3 2 1 2i n t e li x p 2 4 0 0 的软件开发 i n t e l 为基于第二代的网络处理器的网络系统产品开发提供了一个较为完善的软 件开发环境，称之为i x as d k ( i n t e m e te x c h a n g ea r c h i t e c t u r es o f t w a r ed e v e l o p m e n t 融) 。其中i x a 软件框架如图3 4 所示，在x s c n e 核和微引擎处理面都采用了分层的 体系结构，各层提供大量的可复用模块和函数接口。 鼍弦m + 叫j 啊“咿7 册“i 圹 一尊，“j 。j1 甲j t =：，? 7j j i7 ” j ”+ 叩 ! 一t j “”锈