（计算机软件与理论专业论文）针对ipv6网络下入侵检测系统的分析和研究.pdf

山东大学硕士学位论文 摘要 因特网已经应用到社会生活的方方面面，人们对网络安全的要求也逐渐提 高。随着攻击者对网络系统了解的日趋深入，攻击工具与手法的日趋复杂多样， 传统的通过简单配置防火墙等的被动防范方法已经显得力不从心。入侵检测技术 作为一种主动安全防护技术，及时地检测各种恶意入侵攻击并在网络系统受到危 害时进行响应，它是传统安全技术如防火墙的合理补充，是一种新兴的网络安全 技术，也是当前计算机网络安全理论研究的一个热点。 目前国内外对于i p v 6 入侵检测系统的研究仍处于起步阶段，还没有成熟的 支持脚6 网络的入侵检测系统，所以对于肌6 网络的入侵检测系统的研究和实 现具有重要的理论意义和应用价值。 本文首先深入分析和研究了下一代互联网i p v 6 协议及可能产生的安全问 题，入侵检测技术原理及相关技术，在肌6 环境下的新的问题和特征，研究了 入侵检测系统在i p v 6 下的改进，设计了一种新的基于协议分析的网络入侵检测 系统框架；其次，根据i p v 4 和i p v 6 两种协议的不同，在分析i p v 6 的包头结构、 扩展头、地址和安全机制的基础上，研究并提出了i p v 6 环境下的协议解码和协 议分析的过程；最后；本文在研究s n o r t 系统的基础上，给出了i p v 6 环境下基于 协议分析的网络入侵检测系统的设计方案和实现方法，设计并实现了包捕获模 块，协议解码模块，i p v 6 下的扫描检测和输出模块。和传统的模式匹配算法相 比，该系统的主要优点在于：它能为i p v 4 i p v 6 网络的检测引擎同时提供输入， 而且提高了检测的有效性和检测效率。 关键词：入侵检测系统( i d s ) ；网络安全；i p v 6 ；协议分析：扫描检测 5 山东大学硕士学位论文 i a b s t r a c t m o r ea n dm o l ed e m a n d so nn e t w o r ks e c u r i t ya 他b e i n gd e v e l o p e da l o n gt h ew i d e a p p l i c a t i o no fi n t e r n e ti ne v e r ya s p e c to fs o c i a ll i f e w i t ht h eu n d e r s t a n d i n go f a t t a c k e r st on e t w o r ks y s t e mm o r et h o m u g h ，t h et o o l sa n dt h em e a n so fa t t a c k i n gm o r e c o m p l e x , t h et r a d i t i o n a lm e t h o d sl i k ef i r e w a l lo fp a s s i v e l yk e e p i n ga w a yf r o m i n t r u s i o nh a v em a n yd i s a d v a n t a g e s a sak i n do fa c t i v ed e f e n s et e c h n o l o g y , i n t r u s i o n d e t e c t i o nt e c h n o l o g yd e t e c t ss o r t so fm a l i c i o u s 角t t a c k si nt i m ea n dr e s p o n d sw h e nt h e n e ts y s t e mi se n d a n g e r e d ri sar e a s o n a b l es u p p l e m e n tt ot r a d i t i o n a ls e c u r i t y t e c h n o l o g ys u c ha sf i r e w a l l a san e wn e t w o r ks e c u r i t yt e c h n o l o g y , i n t r u s i o n d e t e c t i o nt e c h n o l o g yh a sb , o m et h em a j o rc o n c a no fn e t w o r ks e c u r i t yr e s e a r c h i n g f i e l dn o w a d a y s c u r r e n t l y , t h e n ：i sn oi d ss y s t e mt h a ts u p p o r t s1 p v 6 t h e r e f o r e ，i ti sf u l l o f a c a d e m i cv a l u ea n ds c i e n t i f i cr e s e a r c hs i g n i f i c a n c ei fw eu s ci p v 6p r o t o c o li ni d s a n di m p l e m e n tt h ef u n c t i o no f w e b - b a s e dr e m o t em a n a g e m e n t t h et h e s i si so r g a n i z e da sf o l l o w s f i r s t l y , t h ep a p e ra n a l y s i sa n dr e s e a r c ht h en e x t g e n e r a t i o ni n t e r n e tp r o t o c o li p v 6a n dp o t e n t i a ls e c u r i t yi s s u e s , t h ep r i n c i p l eo f i n t r u s i o nd e t e c t i o nt e c h n o l o g ya n dr e l a t e dt e c h n o l o g y i nt h ei p v 6e n v i r o n m e n ta n d c h a r a c t e r i s t i c so fn e wi s s u e st os t u d yt h ei n t r u s i o nd e t e c t i o ns y s t e mi nt h e i m p m v e m e n to fi p v 6 ，a n dan e wn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mf r a m e w o r ki s d e s i g n e db a s e d o np r o t o c o la n a l y s i st e c h n o l o g y s e c o n d l y , a c c o r d i n gt ot h ed i f f e r e n c e s b e t 、嗍i p v 4a n di p v 6 p r o t o c o l s , t h ep r o c e s so f p r o t o c o ld e m o d u l a t i o na n da n a l y s i si s r e s e a r c h e da n dp u tf o r w a r db a s e do nt h ea n a l y z i n go fi p v 6p a c k e th e a d e rs t r u c t u 化, a d d r e s s , s p r e a d1 w u t e ra n ds a f e t ym e c h a n i s m i nt h ee n d , b a s e do nt h er e s e a r c ho f t h e s n o r ts y s t e m ，ad e 吐a i l e dd e s i g n i n gs c h e m ea n di m p l e m e n t a t i o nm e t h o do ft h en e t w o r k i n t r u s i o nd e t e c t i o ns y s t e mb a s e do np r o t o c o la n a l y s i si nt h ee n v i r o n m e n to fi p v 6 n e t w o r k sa 砖p r e s e n t e d t h em o d u l e so fp a c k e tc a p t u r i n g , p r o t o c o ld e c o d i n g , s c a n d e t e c t i n ga n do u t p u ta 糟p r o g r a m m e da n di m p l e m e n t e d c o m p a r e dt ot h et r a d i t i o n a l m o d em a t c h i n ga r i t h m e t i c ，t h ev i r t u e so ft h i ss y s t e m 羽旧：s u p p l y i n gd a t at od e t e c t i o n e n g i n ef o ri p v 4 i p v 6n e t w o r k s , i m p r o v i n gt h ed e t e c t i o nv a l i d i t ya n de f f i c i e n c y k e yw o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m0 d s ) ；i n t r u s i o nd e t e c t i o n ；i p v 6 ；p r o t o c o l a n a l y s i s ；s c a nd e t e c t i o n 6 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名： 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件 和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其他复制手段保存论文和汇编本学位论文。j ( 保密论文在解密后应遵守此规定) 论文作者签名：轴币签名：蜷期： 、渺 山东大学硕士学位论文 1 1 研究背景 第一章绪论 以i n t e m e t 为基础全球互联网络己经对人们的生活及社会产生重大影响。互 联网的出现，改变了人们以往很多的生活方式，人们通过网络利用电子商务软件 来办公，工作效率得到了极大的提高。网络给人们提供了无尽的资源和机会，它 已经深入到人们生活的每一个角落，网络正在逐步改变人们的工作方式和生活方 式，成为当今社会发展的一个主题。 随着网络的开放性、共享性和互联程度的扩大，特别是i n t e m e t 的出现，网 络的重要性和对社会的影响也越来越大。随着网络上电子商务、数字货币和网络 银行等业务的兴起以及各种专用网( 如金融网) 的建设，网络与信息系统的安全与 保密问题显得越来越重要。 随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增，无论 政府、商务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。特别是近 年来黑客站点剧增，黑客工具唾手可得，攻击手段繁杂多样，攻击水平日趋提高， 恶意攻击对网络造成的损失亦呈上升趋势，共享与安全的矛盾日益增加，网络安 全问题己成为国家网络经济发展的关键，是影响国家与国防安全的重要组成部 分，引起了人们广泛的关注和研究。目前网络安全面临的主要问题主要包括以下 几个方面： l 、黑客的攻击 随着i n t e m e t 的发展和黑客工具的普及，一般的计算机用户可以使用黑客工 具进行简单攻击，因此网络受到的黑客攻击也越来越多。黑客攻击的方法主要有： 网络监听、端口扫描、口令入侵、特洛伊木马、会话劫持、i p 欺骗和拒绝服务 攻击( d e n i a lo fs e r v i c e ，d o 等。 2 、管理的疏漏 对网络系统进行适当管理可以减少网络受到的攻击和损失。然而大部分的用 户对网络管理重视不够，没有针对可能的攻击进行防护，从而造成网络受到入侵。 7 山东大学硕士学位论文 3 、网络协议的缺陷 i n t e m e t 设计之初的主要目的是信息的传递和共享，对安全性的问题没有充 分考虑。目前广泛使用的i p v 4 协议缺乏相应的安全机制，面对日益多样的攻击 手段显得束手无策。 4 、软件的漏洞 现在的软件功能口益丰富，规模越来越大，随之出现的软件安全漏洞也难以 避免。各类操作系统、应用软件都存在种种安全漏洞，黑客和病毒可以利用这些 漏洞来完成攻击。 面对种种安全问题，攻击者知识的口趋成熟，攻击工具与手段的口趋复杂多 样，传统上的单防火墙策略已经无法满足对安全敏感部门的需要，对网络安全的 维护必须采用一种纵深的多样的手段。因此，对入侵攻击的检测与防范、保障计 算机系统、网络系统及整个信息基础设施的安全，己经成为刻不容缓的重要课题。 目前防范网络攻击最常用的方法是构建防火墙。防火墙是网络的控制设备，它可 以帮助保护机构的内部网络不受外界攻击。但防火墙还不会阻止攻击者使用一个 允许的连接进行攻击。不能保护机构不受内部用户的攻击。通过调查发现，5 0 的攻击都将来自于内部。对于企业内部心怀不满的员工来一说，防火墙形同虚设。 防火墙通常不能提供实时的入侵检测能力，而这点，对于现在层出不穷的攻击技 术来说是至关重要的。防火墙对于病毒也束手无策。随着技术的发展，网络日趋 复杂，由于传统防火墙所暴露出来的不足和弱点，引发了人们对入侵检测系统技 术的研究和开发。入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受 到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 作为i n t e m e t 核心与基石的i p 协议( 主要是i p v 4 ) y 时于互联网的发展与繁荣功 不可没，可以说是现行成功的基础。i p v 4 起源于1 9 6 9 年美国国防部为了应付战 争的通信需要而建立的a r p a n e t 实验网，1 9 7 3 年开发出基于t c p i p 协议的 i p v 4 原形，后经历三次大的修改和完善，于1 9 8 1 年9 月由i e t f 正式公布了i p v 4 标准规范r f c 7 9 1 文件。自那以后的2 0 多年的时间里，取得了预想不到的巨 大成功。正是因为i n t e m e t 的飞速发展导致i p v 4 的局限性口益突出，如地址空间 不足、网络安全性差、路由表的膨胀、配置复杂、对q o s 的支持不力以及移动 8 山东大学硕士学位论文 ! ! ! ! 目! ! ! 舅, , _ , , = m lm _ m l =m l | 目_ e ! 目自s ! ! ! ! ! ! ! ! ! ! ! ! 曼 性能差强人意等一系列弱点，其中最突出的问题是地址短缺，现有的i p v 4 地址 中除特殊用途的地址外，大部分已经被分配出去，有关专家估计，到2 0 1 0 年i p v 4 地址将全部用完。 i p v 4 的固有设计缺陷制约了互联网的进一步发展，寻找i p v 4 的替代协议， 同时借助新的i p 协议对旧版本的i p v 4 协议加以改进和提高就摆上了议事日程。 为此，在i e t f 的组织下，经过众多学者、研发人员、网络设备商等诸多方面的 探讨、研究、比较，从一开始提出的众多提案中经过反复比较，最终决定s i p p ( 1 2 8 位版本) 作为下一代网络协议的原形。而这种i e l l f 正式推荐的协议蓝本也经过6 次大规模的修改、提高和完善，终于在1 9 9 5 年定稿，并由i a n a 正式发布，该 协议通常被称为m v 6 协议。 i p v 6 的引入解决了困扰互联网发展的地址危机，它采用1 2 8 位的地址空间， 可供使用的地址数量远远超过了i p v 4 ，解决了i m 下地址空间不足的问题。此 外，i p v 6 协议还提供了方便的网络配置、优良的可扩展性、良好的q o s 和移动 性支持。i p v 6 相比i p v 4 在安全性上有较大提高，i p v 6 巨大的地址空问使i p v 4 下传统的网络嗅探、自动扫描、蠕虫传播等在i p v 6 下较难实施，而且i p v 6 引入 了安全协议i p s e c ，使得网络层的安全性得到了加强。目前，i p v 6 的主要协议都 已经成熟并形成了r f c 文本，其作为i p v 4 的唯一取代者的地位已经得到了世界 的一致认可。 随着m v 6 的日渐发展和逐步部署，基于i p v 6 的网络将会迅速增加，采用新 型攻击方式和网络入侵的事件也将不断出现，研究并且设计i p v 6 网络中的入侵 检测系统不但能够进行i p v 6 网络攻击的防护，而且能够给今后进一步设计并且 实现针对下一代网络的各种复杂的入侵检测算法以及进行i p v 6 网络入侵特征研 究提供了良好的基础条件。随着i p v 6 网络研究与试验逐步的深入，i p v 6 协议分 析工作也越来越重要，虽然i p v 6 使用例如l p s e c 协议等保护数据包，并且大量 的攻击也许将不存在，但是上层协议如t c p , i c m p 等这样的协议攻击仍将存在， 因此i p v 6 网络入侵检测系统还对i p v 6 协议的研究有着一定的帮助。所以i p v 6 网络入侵检测系统不但具有现实的应用意义，也拥有今后进一步深入研究的理论 意义。 9 山东大学硕士学位论文 1 2 国内外研究现状和发展 近年来，互联网发展迅速，在新的i p v 6 上，我国已经建成了世界上最大的 物理网络c n g i ，并成功完成由被动向主动的转变。在速度方面，c n g i 主干速 度已经采用1 0 g 的通信线路链接主要城市。在安全方面，各种源地址认证、信 任模型，病毒蠕虫的研究都在积极的进行。国内许多高校已经初步建成i p v 6 实 验网络，为二代互联网准备。从而i p v 6 的安全研究成为必然。其中对于i p v 6 下入侵检测的研究成为一个热点。 这些年，入侵检测技术和产品有了很大的发展。在国外，典型的商用化i p v 4 入侵检测产品如c i s c o 公司的n e t r a n g e r , n e t w o r ka s s o c i a t e s 公司的c y b e r c o p ，i s s 公司的r e a l s e e u r e 、c o m p u t e ra s s o c i a t e s 公司的s e s s i o nw a l l - 3 et r u s ti n t r u s i o n d e t e c t i o n 等。 在国内，很多公司和机构也展开了入侵检测系统的研究，虽然距离国外先进 水平还有一定的差距，但取得的成就也不容忽视。具有代表性的国内入侵检测系 统有以下几个：网警( n e t s e n t r y ) ，“冰之眼一网络入侵检测系统，网络入侵检测 系统n e t e y ei d s ，u n i s i d s 入侵检测系统等等。 但是，攻击技术与攻击手法的不断发展，促使i d s 等网络安全产品不断更 新换代。入侵检测系统作为网络安全防护的重要手段，还存在很多问题，有待十 进一步深入研究和完善。目前的入侵检测产品大多存在这样一些问题： l 、误报和漏报的矛盾。 入侵检测系统对网络上所有的数据进行分析，如果攻击者对系统进行攻击尝 试，而系统相应服务开放，只是漏洞已经修补，那么这一次攻击是否需要报警， 这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的 报警事件会分散管理员的精力，反而无法对真正的攻击做出反映。和误报相对应 的是漏报，随着攻击的方法不断更新，入侵检测系统是否能报出网络中所有的攻 击也是一个问题。 2 、隐私和安全的矛盾。 入侵检测系统可以收到网路的所有数据，同时可以对其进行分析和记录，这 对网络安全极其重要，但难免对用户的隐私构成一定风险，这就要看具体的入侵 检测产品是否能提供相应功能以供管理员进行取舍 1 0 山东大学硕士学位论文 3 、被动分析与主动发现的矛盾。 入侵检测系统是采取被动监听的方式发现网络问题，无法主动发现网络中的 安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。 4 、海量信息与分析代价的矛盾。 随着网路数据流量的不断增长，入侵检测产品能否处理高效处理网路中的数 据也是衡量入侵检测产品的重要依据。 5 、功能性和可管理性的矛盾。 随着入侵检测产品功能的增加，可否在功能增加的同时，不增大管理的难度， 也是需要考虑的因素。 6 、单一的产品与复杂的网络应用的矛盾。 入侵检测产品最初的目的是为了检测网络的攻击，但仅仅检测网络中的攻击 远远无法满足目前复杂的网应用需求。通常，管理员难以分清网路问题：是由于 攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理，可否和目前 网络中的其他安全产品进行配合。 7 、大型网络的管理问题。 企业规模在不断扩大，对i d s 产品的部署从单点发展到跨区域全球部署， 这就将公司对产品管理的问题提上日程。 8 、缺少防御功能。 检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在 下一代i d s 产品中嵌入防御功能，才能变被动为主动。 9 、评价i d s 产品没有统一标准。 对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测 系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要 不断升级才能保证网络的安全性。 综上所述，入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、 外部攻击和误操作的实时保护。随着网络通信技术安全性要求的不断提升，电子 商务等网络应用服务追求的可靠安全性，入侵检测系统能够从网络安全的立体纵 深、多层次防御的角度出发提供安全服务，必将进一步受到人们的高度重视。因 此，对于针对i p v 6 网络下入侵检测系统的分析和研究十分迫切与必要。 山东大学硕士学位论文 i 1 3 本文的主要内容和章节的安排 本文的主要内容主要包括以下几个部分： l 、深入研究i p v 4 和i p v 6 网络标准协议，并且对比他们的异同点找出二者之 间的联系，介绍网络安全的基本概念，得出一些i p v 6 网络中存在的网络安全问 题以及i p v 6 网络对一些安全工具的影响； 2 、根据i p v 6 各种协议的结构特点，设计一种新的基于协议分析的网络入侵 检测系统的框架； 3 、深入研究了i p v 6 入侵检测系统关键技术，介绍了建立基于i p v 6 的入侵检 测系统需要解决的关键问题，从i p v 6 网络上收集的数据包，通过协议解码和协 议分析，发现不合理代码、恶意代码、不完整的数据包，从而发现入侵行为的特 征和规律； 4 、分析并研究网络入侵检测系统s n o r t 的工作机制，并在s n o r t 系统的基础 上，给出了在i p v 6 下详细的设计方案和实现方法。 本文第一章介绍了课题的研究背景和国内外的研究状况，通过分析网络攻击 和防护的现状，提出了研究网络入侵检测系统的必要性； 第二章介绍了网络安全的基本概念，并对现有的网络安全技术进行了简单分 析： 3 第三章，入侵检测技术及其相关研究。首先从介绍入侵检测的概念、入侵检 测的模型、分类等方面，讨论了入侵检测系统的基本原理与方法，接着分析了以 入侵检测相关技术以及在i p v 6 环境下的新的问题和特征，设计了一种新的基于 i p v 6 下网络入侵检测系统框架； 第四章分析i p v 6 协议的特点及其安全性能；深入分析了i p v 6 入侵检测系统 关键技术，介绍了建立基于i p v 6 的入侵检测系统需要解决的关键问题，包括l p v 6 协议分析，分片重纲； 第五章是给出了i p v 6 环境下基于协议分析的网络入侵检测系统的设计方案 和实现方法，设计并实现了包捕获模块，协议解码模块，i p v 6 下的扫描检测和 输出模块。 最后是结束语，提出了后续工作的展望和需要完成的工作。 1 2 山东大学硕士学位论文 第二章网络安全的基本概念 2 1 网络安全面临的威胁 计算机网络所面临的威胁包括对网络中信息的威胁和对网络中设备的威胁。 影响计算机网络的因素很多，有些因素可能是有意的，也有可能中无意的；可能 是人为的，也可能是非人为的；还可能是外来黑客对网络系统资源的非法使用等。 人为的恶意攻击，是计算机网络面临的最大威胁，敌对方的攻击和计算机犯 罪都属于这一类。恶意攻击分为以下两种：一种是主动攻击，它以各种方式有选 择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常使 用的情况下，进行截获、窃取、破译以获得重要机密信息。 网络软件的漏洞和“后门”：网络软件不可能是毫无缺陷和没有漏洞的。这些 缺陷和漏洞恰恰是黑客进行攻击的首选目标。软件的“后门”一般是软件开发人员 为了方便或者不为人知的目的而设置的，一般外界并不知晓，但是一旦“后门” 洞开，该软件的用户就十分危险，其后果不堪设想。 用密码编码学与网络安全的观点，我们把计算机网络面临的威胁归纳为以下 四种： 中断( i n t e r r u p t i o n ) 是以可用性作为攻击目标，它毁坏系统资源，使网络不可 用。 一 截获( i n t e r c e p t i o n ) 是以保密性作为攻击目标，非授权用户通过某种手段获得 对系统资源的访问。 修改( m o d i f i c a t i o n ) 是以完整性作为攻击目标，非授权用户不仅获得访问而且 对数据进行修改。 伪造( f a b r i c a t i o n ) 是以完整性作为攻击目标，非授权用户将伪造的数据插入到 正常传输的数据中。 2 2 网络安全隐患的来源 网络安全隐患主要来自于如下四个方面： 1 3 山东大学硕士学位论文 l 、网络的复杂性。网络是一个有众多环节构成的复杂系统。由于市场利润， 技术投入，产品成本，技术规范等等问题，不同供应商提供的环节在安全性上不 尽相同，使得整个系统的安全程度被限制在了安全等级最低的那个环节。 2 、网络的飞速发展。由于网络的发展，提供新网络服务，增加网络的开放 性和互联性等，必然将更多环节纳入系统中，新采用的环节又增加了系统的复杂 性，引发了网络的不安全性。 3 、软件质量问题。软件质量难以评估是软件的一个特性。现实中，即使是 正常运行了很长时间的软件，也会在特定的情况下出现漏洞，例如不断涌现的 o s 漏洞。现代网络己经是软件驱动的发展模式，对软件的更大依赖性加大了软 件质量对网络安全的负面影响。同时，市场的激烈竞争，促使商家需要更快地推 出产品，软件的快速开发也增大了遗留更多隐患的可能性。 4 、其它非技术因素。这包括技术员在网络配置管理上的疏忽或错误，网络 实际运行效益和安全投入成本间的平衡抉择，网络用户的安全管理缺陷等等。 由于存在众多的安全威胁和安全隐患，能否成功阻止网络黑客的入侵、保证 计算机和网络系统的安全和正常运行便成为网络管理员所面临的一个重要问题。 2 3 网络安全技术 网络安全技术种类繁多而且还相互交叉，虽然没有完整统一的理论基础，但 是为了不同的目的，在不同的场合下许多网络安全控制技术确实能够发挥出色的 功效。下面简要介绍一些常用的网络安全控制技术。 l 、身份验证技术：身份认证的目的是确定系统和网络的访问者是否是合法 用户。主要采用密码、代表用户身份的物品( 如磁卡、i c 卡等) 或反映用户生 理特征的标识( 如指纹、手掌图案、语音、视网膜扫描等) 鉴别访问者的身份。 2 、访问控制：访问控制的目的是防止合法用户越权访问系统和网络资源。 因此，系统要确定用户对哪些资源( 比如c p u 、内存、i 0 设备程序、文件等) 享有使用权以及可进行何种类型的访问操作( 比如读、写、运行等) 。为此，系 统要赋予用户不同的权限，比如普通用户或有特殊授权的计算机终端或工作站用 户、超级用户、系统管理员等，用户的权限等级是在注册时赋予的 3 、防火墙技术：防火墙是采用综合的网络技术设置在被保护网络和外部网络 1 4 山东大学硕士学位论文 之间的一道屏障，用以分隔被保护网络与外部网络系统防止发生不可预测的、潜 在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口，像在两个 网络之间设置了一道关卡，能根据企业的安全政策控制出入网络的信息流，防止 非法信息流入被保护的网络内，并且本身具有较强的抗攻击能力。它是提供信息 安全服务，实现网络和信息安全的基础设施。 4 、数据加密：数据加密就是按照确定的密码算法将敏感的明文数据变换成 难以识别的密文数据，通过使用不同的密钥，可用同一加密算法将同一明文加密 成不同的密文。当需要时，可使用密钥将密文数据还原成明文数据，称为解密。 这样就可以实现数据的保密性。数据加密被公认为是保护数据传输安全惟一实用 的方法和保护存储数据安全的有效方法，它是数据保护在技术上的最后防线。 5 、一次性口令：为了解决固定口令的诸多问题，安全专家提出了一次性口 令( o t p ：o n et u n ep a s s w o r d ) 的密码体制，以保护关键的计算资源。o t p 的主 要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相 同，以提高登录过程安全性。 6 、主机认证：主机认证是用i p 地址来标志允许或禁止一个客户端。一旦有 一个用户登录到x 服务器上，一个叫做x 主机的程序用来控制来自那个i p 的客 户允许连接。但是大多数主机支持多个一台客户机上用户，所以不可能控制在某 一台客户机，允许他上而别人不行。 7 、网际协议安全：i p s o c 作为安全网络的长期方向，是基于密码学的保护 服务和安全协议的套件。因为它不需要更改应用程序或协议，您可以很容易地给 现有网络部署i p s e 宅。i p s e 宅对使用l 2 t p 协议的v p n 连接提供机器级身份验 证和数据加密。在保护密码和数据的l 2 t p 连接建立之前，i p s e c 在计算机及其 远程隧道服务器之间进行协商。 8 、安全服务器网络：为适应越来越多的用户向i n t e m e t 上提供服务时对服 务器保护的需要，第四代防火墙采用分别保护的策略保护对外服务器。它利用一 张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分， 又与内部网关完全隔离这就是安全服务网络( s s n ) 技术，对s s n 上的主机 既可单独管理，也可设置成通过f t p 、t e l n e t 等方式从内部网上管理。s s n 的方 法提供的安全性要比传统的一隔离区( d m z ) 一方法好得多，因为s s n 与外部网 山东大学硕士学位论文 之间有防火墙保护，s s n 与内部网之间也有防火墙保护，一旦s s n 受破坏，内 部网络仍会处于防火墙的保护之下。 9 、网络安全漏洞扫描技术：漏洞检测和安全风险评估技术，因其可预知主 体受攻击的可能性和具体地指证将要发生的行为和产生的后果，而受到网络安全 业界的重视。这一技术的应用可帮助识别检测对名气的系统资源，分析这一资源 被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。网 络漏洞扫描技术，主要包括网络摸拟攻击、漏洞检测、报告服务进程、提取对象 信息以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的 安全事件，最大可能地消除安全隐患。 l o 、网络反病毒技术：计算机病毒从1 9 8 1 年首次被发现以来，在近2 0 年的 发展过程中，在数目和危害性上都有着飞速的发展。因此，计算机病毒问题越来 越受到计算机用户和计算机反病毒专家的重视，并且开发了许多防病毒的产品。 在计算机病毒检测防护消除方面，我国也形成了一支有特色有能力的产业群体， 为社会提供了国产的k i l l 9 8 、瑞星、k v 3 0 0 、v r v 、行天9 8 等一批病毒防护产 品。 l l 、安全审计：安全审计( s e c u r i t y a u d i t i n g ) 技术使用某种或几种安全检测 工具( 通常称为扫描器( s c a n n e r ) ，采取预先扫描漏洞的方法，检查系统的安全 漏洞，得到系统薄弱环节的检查报告，并采用相应的增强系统安全性的措施。安 全审计是业界流行的系统安全漏洞检测方法，目前基本上已经成为事实上的工业 标准。 研究表明，在今后的网络安全应用方案中，一种新的网络安全技术，以入侵 检测系统为中枢、控制和协调其它各策略产品、有针对性的发挥其各自最大的作 用，将成为必然的组建趋势，任何试图非授权或越权访问计算机系统资源，或破 坏资源的完整性、可信性的行为，无论成功与否，都认为是入侵。入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 就是为了保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权或异常现象的系统，是一种用于检 测计算机网络中违反安全策略行为的系统。 1 6 山东大学硕士学位论文 第三章i p v 6 下网络入侵检测系统框架设计 网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安 全的首要目标。典型的网络安全技术如防火墙、数据加密技术等都是从被动防御 的角度构造网络安全系统，近年来人们提出一种主动防御技术，即入侵检测。入 侵可以被定义成：任何试图非授权或越权访问计算机系统资源，或破坏资源的完 整性、可信性的行为。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发 现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安 全策略行为的技术。 3 1 入侵检测技术概述 3 1 1 入侵检测系统的定义和发展 入侵检测，就是对入侵行为的检测。它通过收集和分析计算机网络或计算机 系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被 攻击的迹象。入侵检测作为一种积极主动的安全防护技术，提供对内部攻击、外 部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检 测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系 统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为 的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，简称i d s ) 。 入侵检测概念的提出始于1 9 8 0 年4 月，在j a m e sp a n d e r s o n 一份题为计 算机安全威胁监控与监视的技术报告中第一次详细阐述了入侵检测的概念，提 出一种对计算机系统风险和威胁的分类方法，提出利用审计跟踪数据监视入侵活 动的思想。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r u c s l ( s r i 公司 计算机科学实验室) 的p e t e rn e u m a n n 研究了一个实时入侵检测系统模型，取名 为入侵检测专家系统( i d e s ，i n s t r u c t i o nd e t e c t i o ne x p e r ts y s t e m ) 。该模型 山东大学硕士学位论文 由六部分纲一成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它 独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系 统提供了一个通用的框架。 1 9 8 8 年，s r i c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并 开发出一个i d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计 异常模型的建立和基于规则的特征分析检侧。 1 9 8 8 年1 1 月，莫里斯蠕虫事件发生，这是第一个大范围的i n t e r n e t 攻击 和渗透事件。该事件发生后，网络安全才真正引起军方、学术界和企业的高度重 视，开展对分布式入侵检侧系统( d i d s ) 的研究。 1 9 9 0 年，加州大学戴维斯分校的l t h e b e r l e i n 等人开发出n s m ( n e t w o r k s e c u r i t ym o n i t o r ) 。该系统第一次直接把网络流作为审计数据来源，可以在无 须将审计数据转换成统一格式的情况下监控异种主机。自此，入侵检测系统的两 大阵营正式形成：基于网络的i d s 和基于主机的i d s 。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f o r d 建议使用自治代理( a u t o n o m o u s a g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性。 1 9 9 6 年，提出g r i d s ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 系统， 该系统能有效地对大规模自动或协同攻击进行检测。 1 9 9 7 年c i s c o 要求w h e e lg r o u p 公司将入侵检测与他的路由器结合。同年， i s s 成功开发了r e a ls e c u r e ，他是在w i n d o w sn t 下运行的分布式网络入侵检测 系统，对入侵行为具有广泛的反应能力包括断开连接、发送s n m p 信息、e m i l 提醒、运行客户程序记录会话内容等，并能根据检测策略自动产生审计策略。 3 1 2 入侵检测系统的主要功能 监督并分析用户和系统的活动 检查系统配置和漏洞 检查关键系统和数据文件的完整性 识别代表己知攻击的活动模式 对反常行为模式的统计分析 对操作系统的校验管理，判断是否有破坏安全的用户活动。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统 1 8 山东大学硕士学位论文 ( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供指 南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地 获得网络安全求的改变而改变。而且，入侵检测的规模还应根据网络威胁、系统 构造和安全需要制定。入侵检测系统在发现入侵后，会及时做出响应，包括切断 网络连接、记录事件和报警等。 3 1 3 入侵检测系统的分类 目前的入侵检测系统主要有3 种分类方法： l 、按系统所检测的对象分为如下三种检测 1 ) 基于主机的入侵检测系统( r o d s ) 早期基于主机的入侵检测是通过监视与分析主机的审计记录来检测入侵。这 些系统的实现也不全在目标主机上，例如使用网络将主机的信息传送到中央分单 元。基于主机的入侵检测系统在发展过程中也融入了其它技术，如通过定期查对 关键系统文件和可执行文件以便发现意外的变化。另外还将基于网络的入侵检测 的方法融入到基于主机的检测环境中，如监听并记录特定端口的活动等。 2 ) 基于网络的入侵检测系统( h i d s ) 基于网络的入侵检测系统在共享网段上对通过网络的所有通信业务数据进 行侦听，采集原始网络包作为数据源并分析可疑现象。由于这类系统并不需要主 机提供严格的审计，因而对主机资源消耗少，并且由于网络协议是标准的，它可 以提供对网络通用的保护而无需顾及异构主机不同架构。 3 ) 分布式入侵检测系统 目前这种技术在i s s 的r e a i s e c u r e 等产品中已经有了应用。它检测的数据也 是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即 在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没 有用户操作界面黑匣子用来监测其所在网段上的数据流，它根据集中安全管理 中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中 心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的 界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。 2 、根据其采用的技术可以分为异常检测和特征检测： 1 ) 异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立 1 9 山东大学硕士学位论文 正常活动的“活动简档 ，当前主体的活动违反其统计规律时，认为可能是“入 侵静行为。通过检测系统的行为或使用情况的变化来完成。 异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出来的 入侵。异常入侵检测试图用定量的方式建立一个对应“正常的活动 的特征原型， 描述可以接受的行为特征，所有与所建立的特征原型中差别“很大 的所有行为 都标志为异常。 异常入侵检测的主要问题是选择一个区分异常事件的“阐值一，从这种意义 上说，异常入侵检测方法是一种基于统计的方法，是基于一套统计值为用户建立 正常的特征模型。 异常入侵检测的最大好处是可以检测到一些未知的攻击，即异常入侵检侧对 于入侵攻击方式的无关性。使用该方法检测入侵时，只需关心目标系统的标识性 参量是否发生“异常劳，并不需要知道各种具体攻击方法的特点。所以，这种基 于异常的入侵检测方法面向目标系统，而不是面向复杂多样的入侵攻击手段，不 必担心目标系统受到新的入侵攻击方式的侵扰。 2 ) 特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观 察对象与之进行比较，判别是否符合这些模式。 误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与 异常入侵检测不同，误用入侵检测能直接检测不利的