（计算机应用技术专业论文）安全统一分析平台的研究与设计.pdf

摘要 摘要 随着计算机网络技术的飞速发展，网络安全问题日益受到人们的重视，相关 的网络安全技术的研究也越趋深入。传统的网络安全产品已不能满足现代p 2 d r 动态系统安全模型的要求。人们迫切要求安全统一管理，构建一个具有性能良好 和功能齐备的计算机网络安全系统。 本文着眼于安全统一管理这个网络安全的关键问题，提出了构建安全统一分 析平台的思想。安全统一分析平台的目标是使用单一的控制台完成网络安全的风 险监控、事件关联、审计等工作，用户可以完全控制整个网络的安全情况。紧紧 围绕安全统一分析平台的思想，本文介绍了事件关联分析、风险评估、代理等相 关技术，并提出了整个平台的技术实现方法，最后进行了主要部分的原型实现。 具体的说，本文解决的问题包括：构建了安全统一分析平台的架构；完成了 数据库的设计，策略管理，风险管理，事件管理等主要模块：实现分布式检测代 理和插件机制；设计了事件关联分析器，阐述了它的各个组成单元，给出了各个 数据库的表结构和相应算法。其中，针对i d s 的可能漏报，对关联分析算法进行 了改进，实现高层次的关联；提出了实时安全风险评估算法，实现了对网络关键 资产的风险评估。 水文提：i5 的安全统一分析平台对网络安全管理技术的发展有熏要意义。 关键词：网络安全事件关联风险评估 兰要望生盔堂堡主：! i 三垡堕茎 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r ka p p l i c a t i o n ，n e t w o r ks e c u r i t y d r a w so u rc o n c e r nm o r et h a ne v e r t h et r a d i t i o n a ln e t w o r ks e c u r i t yp r o d u c t sc a nn o t f u l f i l lt h e r e q u i r e m e n to fm o d e r np 2 d rd y n a m i cs y s t e ms e c u r i t ym o d e l p e o p l e r e q u i r ei n t e g r a t e ds e c u r i t ym a n a g e m e n tt o c o n s t r u c tam u l t i - d i m e n s i o n a ln e t w o r k s e c u r i t ys y s t e mw i t hg o o dp e r f o r m a n c e 、 t h i st h e s i sf o c u s e so ni n t e g r a t e ds e c u r i t ym a n a g e m e n t ，w h i c hi s ak e yp r o b l e m i nn e t w o r ks e c u r i t y i t p u t sf o r w a r dan e wi d e ao fb u i l d i n gs e c u r i t yu n i f ya n a l y z e p l a t f o r m ，w h i c ha i m st oi n t e g r a t en e t w o r km o n i t o r i n g ，s e c u r i t y , c o r r e l a t i o na n da u d i t o i lo n es i n g l ep l a t f o r m t h eu s e rc a nf u l l yc o n t r o ls e c u r i t ya s p e c to f e v e r yn e t w o r k b a s e do nt h i si d e a ，t h i st h e s i si n t r o d u c e st h et e c h n o l o g yo fe v e n tc o r r e l a t i o n ，r i s k a s s e s s m e n ta n d a g e n t ，p r o v i d e s t e c h n i c a ld e t a i l si n b u i l d i n g t h ew h o l e p l a t f o r m s t r u c t u r ea n dg i v e sp r o t o t y p ei m p l e m e n t a t i o ni nt h ee n d t h es c h e m eo fb u i l d i n g s e c u r i t yu n i r ya n a l y z ep l a t f o r m i nt h i st h e s i sc a l l p r o m o t et h ed e v e l o p m e n t o fn e t w o r ks e c u r i t ym a n a g e m e n t k e y w o r d s ：n e t w o r ks e c u r i t y ；e v e n tc o r r e l a t i o n ；r i s ka s s e s s m e n t i i 华南理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特l l i i i 以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：了压i l l l ：1 胪侔b 月卜日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权华南理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 保密口，在年解密后适用本授权书。 本学位论文属于 不保密回。 ( 请在以上相应方框内打“4 ”) 黧：芬罐 导师签名：乃藕爱，光 日期：沙即年月，z - m 日期：加毕年衫月 第一章绪论 1 1 本课题的背景与意义 第一章绪论 现代计算机系统功能日渐复杂，网络功能日渐强大，正在对社会的各行各业 产生巨大深远的影响。随着人们对计算机网络依赖程度的日渐加深，计算机网络 安全问题日益突出，现今己成为一种全球性的严重的社会问题。 一份最新的互联网安全威胁报告【1 1 日前被赛门铁克公布出来。公布的报告显 示，2 0 0 3 年发现的漏洞总数为2 6 3 6 个，平均每天发现7 个。报告还显示出，网 络威胁发展正呈上升趋势，由于新发现的漏洞的严重性与危险度都比以前有所提 高，从漏洞被公布到漏洞被利用引发攻击的时间周期也被急剧缩短，因此，这使 得企业与安全厂商的防范和堵漏变得更网难。而金融服务、医疗、电力和能源系 统则成为是遭受严重攻击最多的行业。 中等严重程度漏洞数从2 0 0 2 年每月增长9 8 个提升到2 0 0 3 年每月增长1 1 5 个，2 0 0 3 年发现的新漏洞有7 0 都很容易被利用，而2 0 0 2 年发现的漏洞只有6 0 可以利用。 在2 0 0 2 年和2 0 0 3 年，大多数己有攻击程序发布的漏洞都被归类为高严重程 度的漏洞，这样的漏洞在2 0 0 2 年有1 7 5 个，而在2 0 0 3 年有2 3 1 个。在2 0 0 3 年需 要开发代码才能发动攻击的漏洞增加了5 。不需要专门工具就能利用的漏洞增 加了6 。 恶意代码中，2 0 0 3 年大多严重的威胁事件都是混合式威胁造成的，在8 月， 短短1 2 天之内新出现的3 种四级蠕虫一一b 1 a s t e r ，w e l c h i a 和s o b i g f 一一感染了 全球数百万计算机，据c o m p u t e re c o n o m i c s 预计，将在全球造成2 0 亿美元的损 失。 在2 0 0 3 年下半年，针对隐私与机密信息的恶意威胁增长的最快。在2 0 0 3 年 下半年的十大恶意代码感染提交中对隐私和机密信息的威胁数量要比上半年增长 5 1 9 。过去的恶意程序是随机偷取机密文件，以获得机密性信息，而现今的病毒 及混合式威胁亦同样的窃取密码、解密钥匙和记录按键输入，以获取机密信息。 我国的计算机安全形势同样不容乐观，成为继美国和韩国之后世界上黑客活 动最多的国家。2 0 0 3 年中国互联网发展状况统计报告显示，在过去一年内，有 5 9 4 的用户的计算机曾被入侵过。鉴于越来越严峻的形势，信息安全研究己成 为新的“8 6 3 ”计划中信息技术的四大研究内容之一。 华南理i 人学硕士学位论文 为了应付越来越复杂的网络安全形势，人们研究各种安全机制、策略和工具 来解决网络安全的问题。 ( 1 ) 传统上采用静态安全防御策略来进行防御，主要的手段有：防火墙、数 据加密、身份认证、访问控制、操作系统加固等。但是，随着攻击者知识的日趋 成熟，攻击工具与手法的日趋复杂多样，同时各种系统、软件存在的层出不穷的 漏洞，单纯的被动的静态安全防御策略已经无法满足现实需要。就如同虽然门上 装了锁，但你无法阻止别人破坏锁，或者绕过这个门闯进来。 ( 2 ) 随着安全技术的发展，采用动态安全防御的思想来进行安全防护，p 2 d r 网络安全模型是动态安全防御思想的一个典型代表。p 2 d r 模型的理想实现是在 整体的安全策略( p o l i c y ) 控制和指导下，综合运用防护工具( p r o t e c t i o n ，如防 火墙、身份认证、加密等手段) ，利用检测工具( d e t e c t i o n ，入侵检测系统和漏洞 扫描等) 了解系统的安全状态，并通过适当的响应( r e s p o n s e ，安全评估和策略 管理系统) 将系统调整到“最安全”和“风险最低”状态。防护、检测和晌麻组 成了一个完整的、动态安全循环。入侵检测系统是p 2 d r 模型的重要环节，因为， 成功的入侵检测是保证快速响应的关键，同时，安全检测是调整和实现安全策略 的有力工具。安全技术实现了将静态防护转化为动态防护。 f 3 1 动态安全防御系统在网络安全防护中的重要性已毋庸置疑，值是，目前 的动态安全防御系统存在一些致命的问题：误报率高居不下，事件的格式没有统 一，异构的安全产品之间不能很好的协同工作，没有一个统一的分析平台为网络 管理员提供足够的决策支持。 ( 4 ) 如何降低误报率，提高各个产品之间的协作效率以及为网络管理员提供 一个统一的分析管理平台对于动态安全防御系统的研究与发展具有重要意义。 本文将在对上述各种安全技术进行深入分析的基础上，提出安全统一分析平 台，此平台综合扫描器、防火墙、入侵检测、操作系统等所有有用的臼志，采用 信息融合技术、多级关联技术、安全风险分析与评估技术，将真正具有危害性的 入侵行为呈现在用户面前，为管理员的策略提供一个比较好的决策支持。 1 2 本课题的来源 本课题是中国电信广州研发中心立项项目，主要是为电信内部的网络管理员 提供一个网络安全管理的平台，减轻网络安全管理难度和复杂度。 目前电信行业网络通常属于超大规模的网络，包括多种设备和多种系统的互 联。专业细分可分为基础网、固定电话交换网、数字数据网、分组交换网、公众 计算机互联网、电信管理网、信令网等，同时还有许多增值业务网，提供多种业 务。电信行业面临的网络风险包括网络边界风险、拒绝服务风险、系统风险、应 2 第一章绪论 用系统风险等，覆盖面非常广泛。但目前电信行业内应用广泛的网络管理软件大 部分是为了运行维护而设计的，对网络安全的角度考虑不足，在统一的安全管理 方面都存在或多或少的缺陷。而且网管软件针对安全管理中最重要的部分一对组 织( 人) 的管理并不能有限的进行，所以广东电信需要制定统一的安全策略并选择 相应的安全管理平台，应用于网络全局的安全管理来满足其信息安全需求。 其主要的信息安全需求是： 统一安全管理的必要性 目前电信行业内应用广泛的网络管理软件大部分是为了运行维护而设计的， 对网络安全的角度考虑不足，在统一的安全管理方面都存在或多或少的缺陷。而 且网管软件针对安全管理中最重要的部分对组织( 人) 的管理并不能有效的进 行，所以有必要制定一套统一的安全策略并选择相应的安全管理平台，应用于网 络全局的安全管理。 应用业务的安全性 业务应用的安全涉及很多方面。应用系统是动态的、不断变化的，应用的安 全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必 须在安全策略上做一些调整，不断完善。 网络和数据的安全性 对于电信运营商来说，网络资源与客户资源是其最重要的两种资源。由于存 在各种各样的安全威胁，网络的可用性或者数据的可靠性都可能遭到破坏，有可 能造成部分数据丢失或者网络中断服务。而网络和数据的安全可靠是电信企业的 流程优化和管理提升的基础，因此，网络的可用性或者数据的可靠性也需要全面 安全解决方案的实施来进行保障。 1 3 论文的主要工作和内容安排 本文紧密围绕用户的信息安全需求，进行了本论文的研究和平台的开发。安 全统一分析平台的研究涉及到一系列的课题。本文对安全统一分析平台进行的讨 论并未完结，在本文最后还是为后续研究提出了待解决的问题和研究方向。 本文主要完成了以下工作： 对主流的安全技术进行分析，指出他们的优缺点： 构建了安全统一分析平台的层次型架构； 完成了数据库的设计，策略管理，风险管理，事件管理等主要模块； 实现分布式检测代理和插件机制； 华南理上人学硕士学位论文 设计了事件关联分析器，阐述了它的各个组成单元，给出了各个数据库的 表结构和相应算法。其中，针对i d s 的可能漏报，对关联分析算法进行 了改进，实现问接关联； 提出了实时安全风险评估算法，实现了对网络关键资产的风险评估，反映 整个网络的风险状况。 本文内容作如下安排： 第一章介绍了本课题的学术背景、研究意义以及研究目标。 第二章对现有的网络安全技术分析，主要是防火墙，入侵检测进行深入的分 析和研究，并指出它们的优缺点，从而提出构建安全统一分析平台的思想，是未 来一段时间内应当深入研究的课题。 第三章主要是对安全统一分析平台的体系架构和平台功能进行了探讨，并详 细阐明了本文所解决的问题。 第四章主要是按层次对安全统一分析平台实现和相关技术进行探讨。详细讨 论了分布式代理技术、插件机制、事件关联分析、风险安全评估、安全策略等关 键内容。 最后是对安全统一分析平台进行总结和展望。 4 第二章网络安全的现状及其发展方向 第二章网络安全的现状及其发展方向 2 1 计算机网络安全的概述 关于计算机安全问题的讨论与研究几乎伴随着计算机的出现与发展而从来没 有停止过。如今，备受关注的网络安全概念则是随着计算机网络应用的兴起而提 出来的。网络安全相关问题的研究也随着计算机网络应用的拓展与深入而不断面 临新的问题，得到不断的深化。 网络安全性可以从宏观上划分为四个不同相互交织的部分： 保密：指的是保护信息不被未授权者访问，这是人们谈到网络安全时最常 想到的内容。 鉴别：指的是在揭示敏感信息或进行事务处理之前先确认对方的身份。 不可否认性：主要与签名有关，即提供令对方不可抵赖的手段。 完整性控制：指的是确保网络上信息资源的完整、准确与有效，不因人为 或非人为的因素改变其原有的内容、形式与流向。 当然，网络安全还可以包括其它的内容，譬如可用性( 指网络能及时的提供 用户所需的服务，具有在某些异常情况下继续运行的能力) 等。以上也只是一种 划分方式。还有依据不同角度的其它划分方式，如把网络安全划分为可用性，保 密性和完整性【3 1 等。但所有划分的方式核心内容都是一致的一一计算机网络安全 包括两方面的内容：一是物理网络系统的安全( 硬件的安全) ，二是网络中信息的 安全( 软件的安全) 。确保网络的信息安全是整个计算机网络安全问题的核心。 本文将把计算机网络的信息安全，即软件的安全( 而不是硬件的安全) 作为 研究范畴。这主要是因为网络硬件的安全目前有较完善的解决方案，而网络的信 息安全则由于存在网络边界、路径不可知等固有原因仍面临不断出现的新的威胁， 相关的研究也远未成熟。 2 2 网络安全的技术发展现状 随着因特网的迅猛发展与广泛应用，网络安全技术也得到了前所未有的发展 无论是学术届还是工业届都对之表现出了极大的热情，在许多方向上迸行了不懈 的研究与实践，取得了一定的成果。 这些研究方向大致可分为以下几个部分 4 】： 5 华南理工人学颂i ：学位论文 关于信息技术安全评价准则的研究：包括美国在2 0 世纪8 0 年代制订的“可 信任计算机系统安全评价准则”( t c s e c ) ，英、法、德、荷四国在t c s e c 基础上提出的“信息技术安全评价准则”( i t s e c ) ，以及近年美、加、 英、法、德、荷六国提出德“信息技术安全评价通用准则”( c cf o ri t s e c ) 等。其中，最新的准则c c 综合了国际上已有的评审准则和技术标准的精 华，给出了框架和原则要求，但仍缺少综合解决信息的多种安全属性的理 论模型依据。 关于信息保护技术的研究：主要集中在密码学方面的研究，其中1 9 7 6 年 美国学者提出的公开密钥体制克服了网络信息系统密钥管理的困难，并解 决了数字签名的问题。著名的r s a 公开密钥密码算法也日益得到了广泛 的应用。不过随着计算机运算速度的不断提高以及密码分析与攻击手段的 进步，包括美国1 9 7 7 年颁布的国家数据加密标准( d e s ) 在内的许多项 目与更强更快的公开密钥密码算法及基础设施等问题的研究正成为当前 探索的热点，这就涉及到量子密码、混沌理论、椭圆曲线公开密钥密码算 法等领域的研究。密码学技术在信息保护领域的应用，还可以延伸到身份 认证，访问控制等方面的。 关于安全传输协议的研究：直2 0 世纪8 0 年代初开始，兴起了关于安全传 输协议的形式化方法分析，主要包括基于状态机，模态逻辑和代数工具三 种分析方法，目前尚处于理论研究的发展阶段。 删络安全检测与监控技术的研究：这方面研究主要集中于肪火墙技术和入 侵检测技术。近年来因特网及企业网络中黑客入侵事件的不断增多，使 网络安全检测与监控问胚逐渐成为学者们研究的热点。防火墙技术着眼于 构建一个内部网络的安全世界，而入侵检测系统则着眼于预防与检测内部 网络中发生的可疑事件与入侵行为。在黑客入侵手段的研究分析、系统脆 弱性检测技术、报警技术以及智能化信息内容分析等研究成果的基础上， 市场上涌现了一批防火墙产品和入侵检测系统产品，如美国n a i 的自适 应代理防火墙，c a 的防火墙，c y b e r c o p 入侵检测系统，i s s 入侵检测系 统。 安全管理平台的研究：无论是防火墙还是入侵检测系统，都将面临一个安 全的统一管理问题。在目前大量异构的防火墙及入侵检测产品前面，没有 一个统一的分析平台，因而也就不能很好的监控网络中的非法操作，对此， 现在对于安全的统一管理也成了目前研究的一个热点问题。 本文主要是进行安全管理平台的研究，尤其是管理框架，并且提出了安全统 一分析平台的构建，讨论了它的若干关键问题及原型实现方法。 6 第二章网络安全的现状及其发展方向 本文把研究集中在安全管理的领域，除了防火墙，入侵检测系统相对比较成 熟外，单一的安全产品无法满足组织安全管理的需求。因此，下面先介绍防火墙 以及入侵检测技术及其缺陷，目的是强调进行安全统一管理的必要性和重要性， 然后进入安全统一管理的研究。 2 3 防火墙技术及其缺陷 2 3 1 防火墙的作用 传统上内部网络的安全防护措施主要依靠防火墙技术完成。防火墙( f i r e w a l l ) 是指一个由软件和和硬件设备组合而成，处于企业或网络群体计算机与外界通道 ( 因特网) 之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的 权限的工具。简而言之，防火墙就是被用来在一个不可信( d i s t r u s t e d ) 网络，如因 特网，与一个可信( t r u s t e d ) 网络，如团体专用网，之间提供一个安全的边界。 防火墙的实现利用了屏蔽路由器( s c r e e n i n g r o u t e r ) ，堡垒主机( b a s t i o n h o s t ) 或者两者兼而有之。屏蔽路由器基于数据包的属性，如源地址，目的地址，端口 号以及方向，来控制网络数据包的路由选择。堡垒主机是一台加固的计算机，其 操作系统锁定到最小服务。堡垒主机能运行代理服务器并对数据包进行过虑。 防护墙能改善安全性模型( 包括主体、对象和访问控制准则的定义) 中标识 与鉴别、访问控制两类问题所导致的缺点，通过其识别通信的能力保护网络信息 和资源免受外界的入侵。 2 3 2 常见的防火墙系统结构 目前常见的一种防火墙系统在结构上由两个包过滤路由器和一个堡垒主机构 成如图2 1 所示。 它既同时实现了应用层和网络层的安全结构，又定义了一个“非军事区” ( d m z ，d e m i l i t a r i z e dz o n e ) 网络。d m z 网络是一个小型的独立的介于内部网络 和因特网之间的网络，其中放置有堡垒主机、公共信息服务器、调制解调器组以 及其它的服务。一般配置成无论外部还是内部网络都只能访问d m z 网络上的部 分系统，而且禁止信息直接穿越d m z 区域。这种结构的突出优点是提供了外层 路由器、堡垒主机、内层路由器三层保护，对外保证内部网络是“不可见”的， 对内强迫内部用户只能通过堡垒主机上的代理服务访问因特网。 7 华南理_ i j 人学硕 ：学位论文 图2 1 屏蔽子网防火墙系统 2 , 3 3 防火墙的缺陷与失效情况 简单的说，有了防火墙还远不够。为了能使防火墙生效，进入可信网络的所 有网络传输都必须经过防火墙。但在现实环境中，由于许多人使用调制解调器的 安全网络连接到外部世界，不想要的传输也能进入。这仅仅是为什么防火墙独自 不足以满足用户安全需求的众多原因之一，根本的原因在于防火墙自身的缺陷。 防火墙不解释数据，不能保护由病毒或者其它数据驱动引起的破坏。防护墙 对缓冲溢出( b u f f e ro v e r f l o w ) 攻击形同虚设就是一个很好的例子。缓冲溢出攻 击足通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串的 长度是由于程序员接受用户输入或别的程序中的关键值时，忘记检查造成的。附 加的假的输入字符串常常是可执行的命令，通过可执行指令栈的特权程序造成极 大的破坏。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 同样是于缓冲区溢出问题有关，p i n g 攻击可以不重复多次而避过防火墙的检 测，而利用i p 协议中p i n g 的接受端的i p 协议栈对输入并不进行充分的范围检测 的特性，使i c m p 消息大于6 5 5 3 2 字节产生内存接收溢出，而在溢出部分放置恶 意攻击命令由目的的主机运行。就是说，如果攻击者在这种情况下能正确的进行 缓冲区编码，就能穿透防火墙欺骗接收计算机而执行任意命令。 指望内部网络上所有机器的系统软件都百分之百的正确配置是不可能的，出 8 第二章网络安全的现状及其发展方向 现受攻击的漏洞根本原因在于防火墙自身的局限性。网络服务种类繁多，即使是 应用级的防火墙也不可能为所有的服务提供代理及过滤，而且即使这样可以实现 也因性价比不合理而难以接受。况且有些服务本身就具有难以过滤的特性，如由 许多大于1 0 2 3 的不同端口提供的x 1 1 服务。这种防火墙无法对所有应用级服务 数据一一解释的状况，为把攻击代码隐藏在应用数据中的黑客提供了缺口。解决 这个问题就要采用入侵检测技术。而且进行监控是确信已详细制订了正确的安全 性策略并且该策略被正确执行的唯一方式，而安全性策略是防火墙乃至整个网络 安全体系成败的关键。 越来越多的研究与实践表明，只有采用入侵检测技术才能弥补防火墙技术的 缺陷，并在防火墙失效时为信息安全提供足够的保障。防火墙的种种缺点，包括 难于防范来自内部的攻击、难于为用户在防火墙内外提供一致的安全策略、难于 实现细粒度的访问控制等，都表现出了对入侵检测系统的需求。 2 4 入侵检测系统及其缺陷综述 2 4 1 入侵检测系统的概述 “入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括发起攻击的人取得超出合法 范罔的系统控制权，也包括收集漏洞信息，造成拒绝服务访问( d o s ，d e n i a lo f s e r v i c e ) 等对计算机造成危害的行为。入侵行为不仅可以来自外部，同时也可来自 内部用户的未授权活动。而“入侵检测”( i n t r u s i o n d e t e c t i o n ) 是对入侵行为的发 觉，它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现 网络或系统中是否有违反安全策略的行为和被攻击的迹象。从入侵策略的角度可 将入侵检测的内容分为：试图闯入、成功闯入、冒充其它用户、违反安全策略、 合法用户的泄露、独占资源以及恶意使用。入侵检测系统( i n t r u s i o n d e t e c t i o n s y s t e m ， 简称i d s ) 就是进行入侵检测的软件与硬件的组合。 入侵检测系统的主要功能如下【5 ： 监视并分析用户与的活动： 审计系统配置与漏洞： 评估关键系统资源与数据文件的完整性： 识别反映己知攻击的活动模式； 对异常活动进行统计分析； 操作系统日志管理，并识别违反安全策略的用户行为。 这几年，入侵检测系统的市场发展很快。目前在技术上占据领先地位的产品 9 华南理r 人学硕士学位论文 有i s s ( i n t e r n e ts e c u r i t ys y s t e m ) 公司的r e a l s e c u r e 2 1 ，c i s c o 公司的n e t r a n g e r ， e n t e r a s y s 公司的d r a g o n ，c a 公司的e t r u s t 等。我们国家的i d s 厂商也在近年获 得长足发展，比较出色的有：安氏中国、 分是基于各自的需求和设计独立开发的， 启明星辰、中联绿盟等公司。但是大部 缺乏相应的通用标准，不同系统之间缺 乏互操作性和互用性，大大阻碍了入侵检测系统的发展。为了解决不同i d s 之间 的互操作和共存问题，1 9 9 7 年3 月，美国国防部高级研究计划局( d a r p a ) 开始着 手c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，通用入侵检测框架) 标准的制定， 试图提供一个允许入侵检测、分析和响应系统和部件共享分布式协作攻击信息的 基础结构。加州大学d a v i s 分校的安全实验室完成了c i d f 标准，i e t f ( i n t e r n e t e n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程任务组) 成立了i d w g ( i n t r u s i o nd e t e c t i o n w o r k i n gg r o u p ，入侵检测任务组) 负责建立i d e f ( i n t r u s i o nd e t e c t i o ns y s t e m e x c h a n g ef o r m a t ，入侵检测数据交换格式) 标准，并提供支持该标准的工具，以便 更高效率的开发i d s 系统。目前已有的草案包括：t h ei n t r u s i o nd e t e c t i o ne x c h a n g e p r o t o c o lf i d x p ) 、i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a td a t am o d e l 和 e x t e n s i b l em a r k u pl a n g u a g e ( x m l ) d o c u m e n tt y p ed e f i n i t i o n 。 c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r kf c i d f ) 阐述了一个入侵检测系统的通 用模型，见图2 2 。 图2 2c i d f 入侵检测系统通用模型 c i d f 入侵检测系统通用模型的目的主要是： i d s 构件共享，即一个i d s 的构件可以被另一个i d s 构件所使用： 数据共享，即通过提供标准的数据格式，使得i d s 中的各类数据可以在 不同系统之间传递并共享： 完善互用性标准并建立一套开发接口和支持工具，以提供独立开发部分构 件的能力。 c i d f 按功能把一个入侵检测系统分为以下组件： 1 0 一三 孤粼州慧篡眠 -耋螂辩钟秘 口卜a n i 第二章网络安全的现状及其发展方向 事件产生器( e v e n tg e n e r a t o r s ) ：从整个计算环境中获得事件，并向系统的 其它部分提供此事件。 事件分析器( e v e n ta n a l y z e r s ) ：分析得到的数据，并产生分析结果。 响应单元( r e s p o n s eu n i t s ) ：对分析结果做出反应的功能单元，它可以做出 切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件数据库( e v e n td a t a b a s e s ) ：是存放各种中间和最终数据的地方的统称， 它可以是复杂的数据库，也可以是简单的文本文件。c i d f 将i d s 需要分 析的数据统称为事件，事件可以是网络中的数据包，也可以是从系统日志 等其它途径得到的信息。 在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据 流的形式。以上四类组件以g i d o s ( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t s ，通用 入侵检测对象) 的形式交换数据，而g i d o s 通过一种用c i s l ( c o m m o n i n t r u s i o n s p e c i f i c a t i o nl a n g u a g e ，通用入侵规范语言) 定义的标准通用格式来表示。 2 4 2 入侵检测分类 根据入侵检测所采用的分析方法，按照其检测原理可分为异常检测和误用检 测【6 1 。 异常检测( a n o m a l yd e t e c t i o n ) ：假定所有的入侵行为都与正常行为不同， 建立正常使用模式( n o r m a lu s a g ep r o f i l e ) 。当主体活动违反其统计规律 时，则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。其优 点是可以发现新型的入侵行为。缺点是容易产生误报。 洪用检钡i ( m i s u s ed e t e c t i o n ) ：假定所有入侵行为和手段( 及其变种1 都能够 表达为种模式或者特征，系统的目标就是检测主体活动是否符合这些模 式。关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来， 因此入侵模式表达的好坏直接影响入侵检测的能力。其优点是误报少。缺 点是只能发现攻击库中已知的攻击，且其复杂性将随着攻击数量的增加而 增加。 根据所检测的对象，入侵检测系统可分为基于主机的i d s 、基于网络的i d s 和基于路由器的i d s 。 基于主机的i d s ( h i d s ) ：通过监视和分析主机的审计记录检测入侵。优点 是可精确判断入侵事件，并及时进行反应。缺点是会占用宝贵的主机资源。 另外，能否及时采集、审计也是这种系统的弱点之一，因为入侵者会将主 机审计子系统作为攻击目标以避开i d s 。 华南理1 ：大。7 - 硕士学位论文 基于网络的i d s ( n i d s ) ：通过对共享网段上的通信数据进行监听，分析可 疑现象。这类系统不需要主机通过严格的审计，主机资源消耗少，可提供 对网络通用的保护而无需顾及异构主机的不同架构。但它只能监视经过本 网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能力也 较差。 基于路由器的入侵检测系统：通过对网关中相关信息的提取，提供对整个 信息基础设施的保护。确保大型网络计算机之间安全、可靠的连接。一般 安装在路由器上，但负载变化对网络性能的影响很大。 以上三种入侵检测系统都具有自己的优点和不足，可互相作为补充。一个完 备的入侵检测系统( i d s ) 一定是基于主机和基于网络两种方式兼备的分布式系统， 但现在还没有一种完美的i d s 系统模型可以照搬。事实上，现在的商用产品也很 少是基于一种入侵检测模型，使用一种技术实现的，一般都是理论模型与技术条 件的折衷方案。不同的体系结构、不同的技术途径实现的入侵检测系统都有不同 的优缺点，都只能最适用于某种特定的环境。 根据系统的工作方式可分为离线检测和在线检测。 离线检测：在事后分析审计事件，从中检查入侵活动，是一种非实时工作 的系统。 在线检测：实时联机的检测系统，它包含对实时网络数据包分析，对实时 主机审计分析。 另外t 根据系统的对抗措施还可分为主动系统和被动系统；根据系统检测频 率可分为实时连续入侵检测系统和周期性入侵检测系统。值得注意的是，以上这 几种方法并不相交，一个系统可以属于某几类。 当然，系统攻击和入侵检测是矛与盾的关系各种不同机制的入侵检测系统 之帕j 并没有绝对的优劣之分。在当前，由于对计算机系统各部分存在漏洞的情况、 攻击者的攻击行为、漏洞与攻击行为之间的关系都没有( 也不可能) 用数学语言明 确的描述，无法建立可靠的数学描述模型，因而无法通过数学和其它逻辑方法从 理沦上证明某一个入侵检测模型的有效性，而只能对于一个已经建立起来的原型 系统，进行攻防比较测试，通过实验的方法在实践中检验系统的有效性。 2 4 3 入侵检测系统的缺陷 现有的入侵检测系统，无论是基于主机的i d s 还是基于网络的i d s ，都存在 一些不可忽视的缺陷，直接对入侵检测系统的有效性与实用性构成了严重的影响。 1 2 第二章网络安全的现状及其发展方向 入侵检测系统的现有缺陷包括； 不能适应现代高速网络的要求：尤其是基于网络的i d s ，难以跟上网络速 度的发展，因为入侵检测系统截获每个网络数据包并分析、匹配其中是否 具有某种攻击的特征需要花费时间和系统资源。现有的入侵检测系统在 1 0 m 网络中检查所有数据包、匹配数十种攻击特征时可以很好的工作， 但对于目前目益增多的1 0 0 m 甚至是千兆网络则无能为力。这实质是网络 带宽发展的速度大大超过数据包模式匹配技术发展速度的必然反映。当 然，可以采取其它技术( 如异常检测技术) 来在一定程度上弥补这一缺陷， 但目前成功的产品不多。 检测分析方法单一：攻击方法越来越复杂，单一的基于模式匹配或统计的 分析方法已经难以发现某些攻击。同时，基于模式匹配和基于统计的分析 方法各有所长，目前只采用单一分析方法的入侵检测系统必须向多种分析 方法混用的方向发展，但这一点的实现，甚至包括简单的攻击特征库更新 的问题，都是传统的入侵检测系统体系结构难以支持的。 不同的入侵检测系统之间不能相互操作：在大型网络中，网络的不同部分 可能使用了不同的入侵检测系统，但目前不同厂商的入侵检测系统( 甚至 统一厂商的不同产品) 之间不能相互交换信息，使得整个安全体系存在无 法有效运作的情况，在发生入侵时难以找到攻击的源头，甚至为入侵者制 造了攻击的漏洞。 不能和其它网络安全产品互操作：入侵检测系统不是解决所有安全问题的 万能武器，一个安全的网络中应当根据安全策略使用多种不同层次的安全 产品。但目前入侵检测系统仍未能很好和其它安全产品( 如防火墙) 协作， 易造成安全漏洞及较高的误警率。 结构存在问题：目前很多入侵检测系统都是通过对原来的基于网络或基于 主机的入侵检测系统不断改进而得到的。在体系结构方面存在许多问题， 如不能满足分布、开放等应用需求。 未来入侵检测系统的发展，除了引入人工智能等领域的研究成果改进具体入 侵检测技术外，必须考虑和其它的安全产品的互操作。单一的入侵检测系统是无 法满足组织的安全需求。未来的入侵检测系统将会结合其它网络管理软件，形成 入侵检测、网络管理、网络监控三位一体的集成系统。 1 3 华南理大学硕士学位论文 2 5 安全管理现状 2 5 1 安全管理的概述 对于大中型组织的c s o ( c h i e f s e c u r i t yo f f i c e r ，首席安全官) 来说，他们发现： 公司的初步的信息安全建设引入了众多异构的安全技术，如防火墙、1 0 s 、 防病毒软件、v p n 、从a 等。这些异构的安全技术有不同的管理终端、不 同的日志格式、不同的对外接口，但同时又有功能上的重叠，也会导致安 全风险。 公司内几十、几百甚至上千台各种各样安全产品记录的海量事件信息。安 全管理者每天要看上百万条来自防火墙、ld s 和防毒产品的事件信息，手 工筛选这些信息是不现实的。 制定安全策略的管理人员无法拥有对安全态势的全局观。目前的安全措施 是初步的、局部的；没有有效的整体安全态势的表示方法；安全系统的总 体风险不得不遵循水桶原理；领导和高层管理人员制定和修改安全策略时 缺乏来源于实践的依据。 安全措施与实际业务价值的关系无法动态体现。资产的实际价值如何动态 的体现到安全措施中；风险评估的结果如何在安全系统中充分体现：在用 户的眼中“安全”不是目的，“业务应用”才是；如何实时的发掘潜藏的 威胁。 安全管理是指通过一个中央管理平台，收集整合来自各种各样安全产品的大 量数据，并且从海量数据中提取用户关心的数据。呈现给用户，帮助用户对这些数 据进行关联性分析和优先级分析。 从前，每个网络安全设备都有自己的事件信息终端，而且会产生各种各样的事 件信息，包括日志和告警等。现在安全管理整合了各种网络安全产品的事件信息， 给用户一个统一的安全信息终端，通过这个统一的终端，用户可以查看各种网络 安全设备的各种事件信息。事件信息整合主要包括两个方面：一是标准化，将各 厂家产品自定义的事件信息标准化成一些特定信息：二是聚合，将各个设备发送 的重复信息合成一条，这既包括一个设备来的重复信息，也包括跨设备的重复信 息。 同时，安全管理提供了关联分析工具，可以通过对各种信息的关联分析来准 确判断发生了什么事件。关联性分析有两种实现：基于规则的关联和基于统计的 关联。基于规则的关联是指预定义一些规则，满足这些规则定义的事件信息都出 现了，就认为某种攻击发生了：基于统计的关联是指，定义一些大的安全事件类别， 1 4 第二章网络安全的现状及其发展方向 将出现的事件先归类，然后再根据大类出现的事件的安全级别和数量来估计发生 的攻击。 2 5 2 安全管理的现状 b r i g h a my o u n g 大学的系统工程师k a r ij a c k s o n 最近正在利用c a 公司的 e t r u s ts e c u ri t yc o m m a n dc e n t e r 实现安全集中管理。目前他已经完成了对于 s y m a n t e c 公司的杀毒软件n o r t o n a n t i v ir g s 和c a 公司的e t r u s t 系列安全产品 事件的信息采集，并正在对c i s c o 的p i x 防火墙进行测试。“系统建成后，我们 就可以对2 0 多个部门的设备和大量| e b 服务器产生的事件信息有个全局的管理， 而且，各个部门的管理者能够只查看他们需要的信息。”k a r i 说。 由于安全管 理产品的优势，安全管理对于那些拥有由大量安全产品保护的多种网络的公司来 说是非常有吸引力的。 由于异种设备事件信息采集研究的时间较长，技术较为成熟，现在大多数厂 商都支持几种流行的信息格式，所以安全管理产品在采集事件信息这一方面实现 的较为不错。但对于安全事件信息关联和优先级划分，由于发展的时间较短，现 在还不是很成熟，这有两方面的情况：对于安全管理产品来说要给用户提供各种 视图和各种工具，定义关联性和优先级，目前安全管理产品提供的视图和工具还 不够丰富；对用户来说，要对各种网络安全设备的相互关系有深刻的理解和丰富 的安全知识，能利用各种视图和工具确定事件的关联关系，而且能洞察网络各部 分的熏要性级别，设定合理的安全优先级，目前有些用户对各种网络安全设备的 协同关系理解还不够深入。 2 5 3 安全管理的展望 安全方面的管理任务在网络管理的比重越来越大，而且人们希望能通过一个 统一的平台，对系统内的安全设备与系统的安全策略进行管理，实现全系统的安 全策略的统一配置、分发与管理；管理企业网络系统中所部署的安全设备与系统， 实现安全设备与系统的集中管理，起到安全网管的作用：集中管理安全事件和日 志，实时检测网络故障：集中管理安全事件的应急响应流程，监督管理应急响应 的有效性。 未来的安全管理应提供工具来挖掘数据的含义，管理与应用技术系统有关的 商业风险，能提供评价i t 系统服务水平的信息。 1 5 华南理【：人学硕士学位论文 2 6 本章小结 本章首先对网络安全的概念以及网络安全的技术发展进行了全面的介绍，并 通过分析传统的安全防护手段一一防火墙、入侵检测技术，来指出了单一安全技 术的缺陷。安全统一管理是今后安全方面的发展趋势。随之讨论了网络安全所面 临的主要问题。最后提出了本文的研究方向。 以下各章将从对安全管理的研究入手，提出并构建安全统一分析平台，并对 相关的技术与实现问题展开研究。 1 6 第三章安全统一分析平台的架构 第三章安全统