（通信与信息系统专业论文）基于协议分析的入侵防御系统研究.pdf

硕十学位论文 摘要 由于现代计算机网络逐步向复杂化和高速化发展，网络安全也日趋严重，传 统单一功能的网络安全技术已不能满足要求，安全技术的融合、协同、集中管理 是网络安全一个重要的发展方向。 入侵防御己成为网络安全研究的热点，目前有“入侵防御系统( i n t r u s i o n p r e v e n t i o ns y s t e m ，i p s ) 和“入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 与防 火墙联动两个发展方向。两者各有特点，将两者各取所长，融合应用是应对越 来越复杂的网络攻击的一个发展方向。 协议分析、深度包检测与网络流量分析这三种网络检测技术，在检测入侵上 有各自的优势。协议分析技术能够准确地发现入侵行为，且检测效率高；深度包 检测能够深入检测数据包应用层的有效载荷，从而发现非法内容( 病毒及其他恶 意程序) ，这是提高网络深层防御能力的重要手段；网络流量分析技术对提高网 络的管理与监控有十分重要的意义，也有助于及时发现网络的异常活动。将三者 相结合，应用于网络防御系统的不同组件中，将会进一步提高入侵防御系统的防 御与监控能力。 本文综合了i d s 与i p s 的特点，将协议分析、网络流量分析与深度包检测技术 相结合，提出一个新的网络防御系统一“基于协议分析的网络分布式入侵防御系 统( n e t w o r kd i s t r i b u t e di n t r u s i o np r e v e n t i o ns y s t e mb a s e o nt h ep r o t o c o l a n a l y s i s ，n d i p s ) ，同时给出了系统的基本实现，并利用现有仿真条件及网络基 础对部分检测防御技术进行了必要的评测与验证。该系统提高了网络对入侵的实 时阻止能力，提高了网络整体的安全性。 关键词：网络协议；协议分析；t c p i p ；深度包检测；入侵检测系统；入侵防 御系统；流量监控。 基于协议分析的入侵防御系统研究 a b s t r a c t t h ec o m p u t e r - n e t w o r kb e c o m e sm o r ea n dm o r ec o m p l e xa n dh i g hs p e e d t h e m e t h o d so fi n t r u s i o na l s ob e c o m em o r ea n dm o r ec o m p l e xa n do c c u l t ，i np r a c t i c a l w o r kt h es i n g l et r a d i t i o n a ls e c u r i t yt e c h n o l o g yc a nn o ts a t i s f yt h en e e do ft h e n e t w o r ks e c u r i t y h y b r i do fs e v e r a lk i n d so fe f f e c t i v es e c u r i t yt e c h n o l o g i e si st h e d e v e l o p m e n td i r e c t i o no ft h en e t w o r ks e c u r i t y n o wt h ei n t r u s i o np r e v e n t i o ns y s t e mh a sb e c o m eaf o c u ss p o ti nt h en e ts e c u r i t y i th a st w od i r e c t i o n so n ei si n t r u s i o np r e v e n t i o ns y s t e m ，t h eo t h e ri si n t r u s i o n d e t e c t i o ns y s t e mw o r k i n gw i t hf i r e w a l l i nt h ep r a c t i c e ，w h i c hi st h eb e t t e ro n ei s n o tt h ei m p o r t a n ts p o t t h em a i ns p o ti sh o wt os y n t h e s i st h ei d sa n di p st o g e t h e r a n da p p l i e di nt h en e t w o r ks e c u r i t y t h ep r o t o c o la n a l y s i s ，d e e pp a c k e td e t e c t i o na n dc u r r e n tc a p a c i t ym o n i t o r i n ga r e t h en e wt e c h n o l o g i e s i ft h et h r e et e c h n o l o g i e sc a nb ea p p l i e di nt h es e c u r i t y c o m p o n e n t ，t h ea b i l i t yo ft h ei p sc a nb ei m p r o v e d t h ep r o t o c o la n a l y s i sc a nd e t e c t t h ei n t r u d e a c t i o nw i t ht h eh i g he f f i c i e n c y t h ed e e pp a c k e td e t e c t i o nh a st h e a d v a n t a g et od e t e c tt h ed e e pl o a di nt h ed a t ep a c k e ta n dt h ec u r r e n tc a p a c i t y m o n i t o r i n gi sv e r yu s e f u li nm o n i t o r i n gt h en e t w o r kt h ef i n dt h ee x c e p t i o n a la c t i o n t h ea p p l i c a t i o no ft h e s et h r e et e c h n o l o g i e sc a ni m p r o v et h ea b i l i t yo ft h ei p s t h ep a p e rr e s e a r c h e st h ec h a r a c t e r so ft h ei p sa n di d s ，a p p l i e st h et h r e en e w t e c h n o l o g i e si n t ot h ei p s ，a n dg i v e san e wf r a m e w o r ki p s - n e t w o r kd i s t r i b u t e d i n t r u s i o np r e v e n t i o ns y s t e mb a s eo nt h ep r o t o c o la n a l y s i s ，n d i p s ”，i ta l s og i v e st h e d e s i g n a n d i m p l e m e n t a t i o n o ft h en d i p ss y s t e m ，f i n a l l yt e s ts o m ed e t e c t t e c h n o l o g i e sw i t ht h es i m u l a t i o ns o f t w a r ea n dt h en e t w o r k t h ep r e v e n t i o na n d r e a l t i m er e s p o n s ea b i l i t yt ot h ei n t r u s i o no ft h en e wi p ss y s t e mh a s b e e ni m p r o v e d a n dw i t hi t sa p p l i c a t i o nt h ee n t i r es e c u r i t yo ft h en e t w o r kc a nb ei m p r o v e d k e yw o r d s ：n e t w o r kp r o t o c o l ；p r o t o c o la n a l y s i s ；t c p i p ；d e e pp a c k e t d e t e c t i o n ；i n t r u s i o np r e v e n t i o ns y s t e m ( i d s ) ；i n t r u s i o np r e v e n t i o ns y s t e m ( i p s ) ；c u r r e n tc a p a c i t ym o n i t o r i i 硕上学位论文 插图( 表) 索引 图1 1 动态安全模型2 图2 1i d s 基本原理图6 图2 2i p s 的结构示意图8 图2 3i d s 与i p s 的对比9 图3 1b p f 机制1 l 图3 2n e t f i l t e r i p t a b l e s 和l i b i p q 库函数工作机制1 3 图3 3 传统数据采集与零拷贝对比14 图3 4 协议树1 6 图3 5 攻击状态转移1 7 图3 6 状态转移图1 7 图3 7 流过滤器19 图3 8i d x p 通信建立过程2l 图4 1i d s 检测节点框图2 4 图4 2i p s 检测节点框图2 5 图4 3 数据过滤工作流程图2 6 图4 4 审计与管理控制组件2 6 表4 1 通信效率与安全要求对照表2 8 图4 5n d i p s 网络部署图2 9 图4 6 系统组件协同工作关系3 0 图4 7n d i p s 系统层次结构3 0 图5 1l i b p c a p 库数据捕获程序流程3 4 图5 2l i b i p q 采集程序流程图3 5 图5 3 协议分析流程3 6 图5 4n d i p s 检测规则格式4 2 图5 5 网络流量分析流程4 2 图5 6a r p 病毒流量特性4 3 图5 7 深度包检测模型。4 4 图5 8 匹配算法流程图4 8 图5 9 系统测试配置4 8 图5 1o 服务器响应延时4 9 图5 1 1 服务器c p u 负载4 9 图5 1 2 节点流量列表5 0 基于协议分析的入侵防御系统研究 图5 13 流量分布图5 0 图5 14 数据包解码5l i v 兰州理工大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：日期：汐夕年_ 窘日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即： 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许 论文被查阅和借阅。本人授权兰州理工大学可以将本学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存和汇编本学位论文。同时授权中国科学技术信息研究所将本学位论文 收录到中国学位论文全文数据库，并通过网络向社会公众提供信息服务。 作者签名： 导师签名： 喜枷 亨卜咐 日期： 日期： d7 年 钾年 i 厂月 6 月 y 日 莎日 硕上学位论文 第1 章绪论 1 1 课题的研究背景 2 0 世纪9 0 年代以来，随着计算机网络的不断发展与普及。经济、文化、军 事和社会生活正常运行都强烈依赖网络。但在网络规模的扩大与业务的不断复杂 化的同时，也带来各种风险，如：网络入侵、蓄意破坏与计算机病毒传播等。可 以说目前网络信息的安全已成为关注的焦点。 网络安全目的是保护网络硬件、软件及其系统中的数据。网络安全是一门涉 及计算机科学、网络技术、通信技术、密码技术、信息安全技术等多学科的综合 性科学。 网络安全具有以下四个特征： 1 、保密性：信息不泄露给未经授权的用户的特性。 2 、完整性：数据不会受到未经授权的修改特性。 3 、可用性：即合法授权用户在需要时可存取所需的信息。 4 、可控性：对信息的传播及信息内容具有控制能力。 5 、有效性：网络系统中的资源的持续有效。 试图破坏网络信息系统的以上各特性的任何网络行为都称为网络入侵。目前 网络入侵的手段多种多样。例如： 1 、信息收集：通过收集对方信息，寻找目标网络是否有安全漏洞，从而采 取相应的攻击方法。 2 、拒绝服务攻击：这是以攻击目标网络，使之丧失可用性为目标的攻击方 法，这是一种很常用且很难防范的攻击手段。具体方法包括i c m p 广播报文攻击、 碎片攻击等。 针对日益严重的网络安全问题和越来越突出的安全需求，“动态安全模型 ( p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 、r e s p o n s e ( 响应) ，p 2 d r 模型) ，应运而生如图1 1 所示。 p 2 d r 模型包含4 个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 、r e s p o n s e ( 响应) ，四个部分相互联系，形成一个整体。 幽l1 动态安全模g p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护工 具( p r o t e c l i o n ，如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工 具( d e t e c t i o n ，如漏洞评估、入侵检测等系统1 了解和评估系统的安全状态，通过 适当的响应( r e s p o n s e ) 将系统调整到“最安全”和“m 险晶低”的状态。防护、检测 和响应组成了一个完整的、动态的安全循环“1 。从这样的模型要求可以得出，对 于网络安全不仪要有监测，町且要有防护，在网络中构建一个融合了检测与防护 的防御体系。 1 2 国内外研究现状 传统的信包安令技术集中在系统自身的加吲和防护卜，存在许多方面的问 题： 片先，单纯的防圭l i ；】技术在不了解所在州络具体的安全现状，且住没有真正抓 t 安仝的关键坏仃的情况下容易导致盲目建设，造成小必要的浪费。 其次，防火墙的防范有明显的局限性。 防火墙技术的局限4 比表现任： f 1 ) 防火墙难以防止来自内部网络的不安伞问题，即：防火墙可以阻挡来朗网 络外部的攻击，但它却根难防止来自m 络内部的攻击行为，对于刚络巾病毒的传 播也是无能为力； f 2 ) 防火墙难以实时管理和配胃，易造成安全漏洞； ( 3 ) 防火墙无法实现对数据包的深层过滤，由丁所处的位置，为了不使网络 通信出现帆颈问题，防火墙无法对数据包进行深层( 应用层) 的榆测过滤，。 第三，保证信息系统安全的手段是“存取控制”或“访问控制”，这是系统 安全策略的最重要的手段。但也不可能百分之百地保证任何一个系统中不存在安 全漏洞与特权滥用的问题。 目前，网络入侵与攻击技术变得r 趋复杂。使用单一的防火墙等安全技术已 不能保证网络的安全。现在广泛应用的入侵检测系统( i n t r u s i o nd e t e c t i v es y s t e m ， 硕t ：学位论文 i d s ) 是网络安全中的一个重要的组成部分，但是入侵检测系统是以被动检测方 式进行工作，不能对入侵与攻击做出及时的响应，起不到真正的防护作用。只有 入侵或攻击被实时阻止，才是对网络最有效的防护。 最早提出的防火墙与入侵检测系统的联动的效果不理想，因此就出现一种新 的解决方案，将两项技术融合在一起，构成具有实时响应能力的系统。 n e t w o r ki c e 公司在2 0 0 0 年首次提出入侵防御系统( i n t r u s i o np r e v e n t i o n s y s t e m ，i p s ) 的概念，并于同年推出了b l a c ki c eg u a r d ，这是一个串联部署的入 侵检测系统，可以直接分析网络数据并实时对异常数据进行丢弃处理。 i p s 是一种主动的、积极的网络安全系统，它嵌入式部署在网络的关键路径 上，检测通过它的网络数据。当检测到入侵企图时，它会主动地将攻击包丢弃并 采取措施阻断攻击源。i p s 系统的部署与防火墙相似，但能过滤防火墙不能过滤 的攻击，i p s 检测功能虽类似于i d s ，但必须要更加简洁与精准，可以说i p s 是 基于i d s ，在i d s 基础上发展起来的新型网络安全系统。 2 0 0 2 年i p s 的概念传入我国，但还没有正式的产品出现，只是在一些防火墙 产品中加入了类似的功能。一个观点是：在i d s 基础上发展起来的i p s 产品，还 没有完全解决i d s 存在的固有问题，也就无法应用。由此可见i p s 目前还不能 完全适应网络安全要求。 在目前的网络安全技术中，无论是i d s 还是i p s 都存在着许多问题，i d s 主 动响应能力不足，且存在误报与漏报问题。由于检测方式相类似，i p s 同样有误 报与漏报的问题，而且由于其部署方式的特点，如果对大量的数据不能准确及时 地处理，将会导致性能瓶颈与单点故障，甚至拒绝服务。 综合目前的网络安全的形势与不同类型网络对安全的要求，可以得出这样的 结论，依靠单一功能的防火墙、i d s 或i p s 都无法有效保证网络的安全。必须将 多种网络安全技术相结合，在网络中形成综合的入侵防御体系。 1 3 网络应用层防御要求 随着网络入侵技术不断提高，专门针对网络应用层的攻击不断增多。同时很 多在网络中传播的恶意程序也大多隐藏在数据包的深层，所以网络防御重点之一 应在应用层，这就要求网络安全系统必须具备对数据包的深度检测过滤能力。 应用层防御的技术问题主要包括：需要对有效载荷知道得更清楚，就是有 高速检查数据包深层载荷的能力；数据包重组功能。例如发生i p 碎片攻击， 那么单一数据包的内容检测根本无法发现攻击行为，应对这类攻击的一类有效方 法就必须具备数据包重组功能。 基于协汉分析的入侵防御系统研究 1 4 网络安全防御的新思路 目前网络安全的威胁主要是黑客入侵与病毒传播，为此，一方面要不断更新 检测的方法，具备一定的深度防御能力，即：对数据深层载荷的检测与过滤能力， 从而能及时发现数据深层的入侵与攻击行为；另一方面要在一定程度上加强网络 对入侵的反应能力，在入侵发生时，依靠联动机制，将入侵的危害限制在网络中 一个较小的范围内，这在一方面可以降低入侵的损失，同时也为安全机制的进一 步反应，阻止后续入侵的发生争取时间；再者，对于保障重要的网络与网络中重 要区域的安全，最重要的一点就是在及时发现自身漏洞的，同时要对关键网段与 关键服务器的通信协议类型进行必要的限制，从而降低被入侵的风险。 要做到以上几点，就要求网络防御系统不能仅仅依靠单一的检测技术与安全 组件。必须综合各种检测防护技术，并在网络中实行分区防御，即：根据具体情 况，将所防护的网络划分成不同的防御区域，根据各区域对安全的不同要求，合 理的部署各种安全组件，并在管理控制中心的统一协调联动工作，形成一个完善 的系统。 同时还要对网络内部的流量进行监控，及时发现异常流量。病毒在网络中的 传播、不正当的网络行为与网络攻击行为都有可能在网络中产生异常数据流量， 对网络中异常流量必要监控有助于及时发现异常凹1 ，从而在一定程度上避免入侵 与攻击所造成的损失。 总之，一个综合的网络防御系统，在安全组件部署上，要根据具体网络的情 况与特点，有针对性部署安全组件并建立联动关系，形成完整的防御体系。在检 测技术应用上，要应用检测精度更高且具备深度检测能力的技术，比如：协议分 析、深度包检测( 流过滤技术) 与流量分析技术等，提高系统的检测监控与防御 能力。 1 5 本课题所做的工作 1 、对i d s 与i p s 进行对比与分析，综合了协议分析、深度包检测与网络流量分析 等较新的检测监控技术，提出了网络分区防御的构想与基于协议分析的网络分布 式入侵防御系统( n d i p s ) 的模型，并据此对各种安全组件的部署方式进行重新 分析。 一 2 、对协议分析与深度包检测算法进行分析与改进，根据其不同的特点，应用于 防御系统的不同的组件中。 3 、将网络流量分析技术应用于网络监控中。以协议流量分析手段发现网络异常 行为，并通过流量分析技术对网络通信的协议类型进行必要的限制，以达到保障 网络安全的目的。 4 坝士掌位论文 本文的主要内容： l 、绪论：主要阐述网络防御的主要目的与各种安全技术的特点与存在的问题， 提出了网络分区防御的初步构想。 2 、入侵检测系统与入侵防御系统概述：主要介绍i d s 与i p s 的基本原理，对两 者特点进行对比，提出了两者相结合的基于协议分析的网络分布式入侵防御系统 ( n d i p s ) 。 3 、网络防御关键技术研究：主要对应用于网络防御的关键技术进行分析，包括 数据包捕获技术，入侵检测技术，协议分析技术，流量分析技术，深度包检测( 流 过滤) 技术。 4 、n d i p s 系统设计：主要设计了n d i p s 系统的主要功能模块，并根据网络分区 防御的思想提出了分布式防御系统的架构与组件部署方式。 5 、n d i p s 系统主要模块的基本实现：主要介绍各模块主要功能的实现，给出了 部分数据结构及检测算法代码及流程图，并利用仿真软件及软件工具对n d i p s 系统应用的部分技术进行仿真评测。 6 、总结与展望 5 幕于协议分析的入侵防御系统研究 第2 章入侵检测系统与入侵防御系统 2 1 入侵检测系统 2 1 1i d s 的定义 入侵检测系统( i d s ) 定义为：通过从计算机网络或计算机系统中的若干关键点 收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和 受到攻击的迹象的一种安全技术，入侵检测通常被认为是防火墙之后的第二道安 全闸门。 i d s 通过检测网络的状态和活动判断是否遭到入侵。在网络中防火墙就像一 道门，可以阻断一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能 阻止内部的破坏，所以i d s 是防火墙的合理补充h 5 1 ，i d s 的基本原理如图2 1 所示。 图2 1i d s 基本原理图 i d s 实现的主要功能有： ( 1 ) 监控、分析用户和系统的活动，提高了网络的安全性； ( 2 ) 监测网络的配置和漏洞； ( 3 ) 识别攻击及违反规则的异常行为并报警。 i d s 存在的问题： ( 1 ) 存在误报与漏报的问题； ( 2 ) 对攻击行为的实时响应性不足。 2 。1 2 入侵检测系统的分类 入侵检测系统有以下几种分类： 一、根据其采用的技术可以分为两类： 6 返 国 硕十学位论文 1 、基于模式匹配的检测：系统首先要定义违背安全策略的事件的特征，如 网络数据包的某些头信息。检测主要判别所搜集到的数据特征是否在所收集到的 入侵特征库中出现。此方法类似于杀毒软件。 2 、基于异常发现的检测：假设入侵者的行为与正常用户不同，先确定一组 系统“正常情况的阈值，如c p u 负载、内存利用率等( 阈值可以人为设定，也 可以通过观察系统正常运行，用统计的方法得出) ，当前用户的活动违反其统计 规律时，认为可能是“入侵行为7 8 1 。 二、根据系统的部署方式可以分为以下两种入侵检测系统： 1 、基于网络的入侵检测系统( n i d s ) 基于网络的入侵检测系统放置在重要的网段内，监视网段中的通信情况，发 现异常及时发出报警。 n i d s 具有以下特点： 可检测低层攻击。它可以检测所有数据包的头部信息等，从而能很好地 检测出利用低层协议进行的攻击行为。 部署灵活且视野良好，可以根据各网段的安全要求来确定检测节点位置， 由于不用在主机中安装相应用软件，从而不影响内部业务系统的性能。同时，其 旁路监控的位置，也使其对网络有全局性的监控能力。 对网络运行无影响。系统独立工作，不提供网络服务，也不会因网络故 障而停止工作。 n i d s 存在的问题： 难于应对拒绝服务攻击，因为n i d s 要进行大量的数据包检测处理工作， 若受到拒绝服务攻击即攻击者从不同位置发来大量数据包，而n i d s 不能及时处 理，造成漏报。 发现复杂攻击的能力较弱。由于其部署位置的要求，n i d s 要有较高的处 理速度，通常只能检测出一些普通的攻击，很难及时发现复杂攻击行为与隐藏于 数据包深层攻击行为与恶意程序。 2 、基于主机的入侵检测系统( h i d s ) 基于主机的入侵检测适用于较为简单的网络环境，主要监测针对所监测主机 的访问与主机系统运行的一些变化。 基于主机的入侵检测系统具有以下的优点： 性能价格比高。在主机数量较少的情况下，这种方法的性能价格比可能 更高。 视野集中，针对性强，检测更加细腻。基于主机的i d s ，监测特定的主机， 视野集中，可以很容易地监测一些特定活动，包括改变文件权限、试图访问特许 服务等。同时基于主机的i d s 监测能力一般不会因为网络流量的增加而降低。 7 幂于协议分析的入侵防御系统研多e 适用于加密环境。由于基于主机的系统安装在各种主机上，当主机的操 作系统发现即将到来的业务时，数据流己经被解密了阳j 玑儿1 。 2 2 入侵防御系统 2 2 1i p s 的定义 随着网络入侵事件的不断增加和黑客攻击水平的不断提高，传统的防火墙或 i d s 都显得力不从心，这就引出了一种全新的技术一入侵防御系统( i p s ) 。i p s 是一种主动积极的网络防护系统，当发现攻击企图后，会将攻击包丢掉或采取阻 断措施，实现对系统的实时防护n 2 1 钉。 2 2 2i p s 的原理和功能 i p s 的嵌入式部署方式，能够发现入侵行为并及时阻断，i p s 的结构示意图如 图2 2 所示 图2 2i p s 的结构不慈图 与i d s 分类相似，i p s 也可分为基于网络的i p s ( n e t w o r k b a s e di p s ，n i p s ) 和 基于主机的i p s ( h o s t b a s e di p s ，h i p s ) n 4 埔1 。 i p s 的主要特征与要求： 1 、嵌入式运行：只有以嵌入模式运行的i p s 设备才能够实现实时的检测， 及时阻断入侵行为与恶意数据包。 2 、深入分析和控制：i p s 要求具备检测o s i 模型4 到7 层内容的能力，并根 据特征等来确定哪些流量应该被拦截。 3 、高效的数据处理能力：i p s 必须具有高效的数据处理能力，只有这样才能 将其对网络性能的影响控制在尽可能低的水平。 4 、可靠性：i p s 设备一旦出现故障，就会关闭所在的网络路径，造成拒绝服 务。i p s 必须具备故障切换机制，而且部署i p s 设备一定要慎重，确保不会成为 网路中的故障点n6 ”1 。 同时也应该注意到，i p s 的部署特点也可能是它的弱点，所以必须根据实际 8 坝十字位论文 网络的特点来分析与考虑i p s 在网络中的部署方式。 2 3ip s 与id s 的比较 2 3 1 相同点 i p s 与i d s 两者的相同点在于都要使用数据包捕获技术与数据包检测技术。 在检测技术上都采用了误用检测、异常检测等。由于目前数据包检测技术本身具 有局限性，漏报和误报成为两者共同的技术障碍。 2 3 2 不同点 i p s 与i d s 相比最大的不同就是嵌入( i n l i n e ) 方式和数据隔离( i s o l a t i o n ) 。嵌 入方式使所有的网络流量都必须经过部署在该网段的i p s ，这样就不会发生 i d s ( 属于旁路监视) 的丢包现象，而且数据隔离可以实时的阻截恶意数据包。i d s 和i p s 对攻击的响应比较如图2 3 所示。在技术侧重点上，i p s 注重接入控制， 而i d s 则注重网络监控。 攻击者 攻击者 防火墙一1 照盛塑 2 3 3i p s 技术面临的问题 i p s 技术也对面临很多问题，其中主要有三点： 一、单点故障 因为以嵌入模式工作在网络中，如果设备出现问题，就会严重影响网络的正 常运行。如果i p s 出现故障而关闭就会切断所在网络的通路，这就是因为i p s 故 障造成的拒绝服务问题。 二、网络通信瓶颈和监控盲点 i p s 的工作方式类似过滤器，如果处理性能不高，它就是一个潜在的网络瓶 颈，在高速大规模网络中的影响更加明显。此外i p s 只能检测到经过它的数据流， 对于监控不到的内部机器之间的访问，就是监控盲点。 三、误报和漏报。 由于采用与i d s 相似的数据包检测技术，i p s 同样面临误报和漏报的风险。 9 基于协议分析的入侵防御系统研冗 当数据包到来时，i p s 需要立即做出准许或阻止数据包通过的判断，因此i p s 的 误报和漏报会导致比i d s 更为严重的后果，i p s 减少误报和漏报的需求要比i d s 更加迫切n8 垤2 们。 总之，i p s 与i d s 各有特点，所以在网络安全应用中没有必要评论哪一个更 有效，关键在综合两者的长处，应用更有效的检测与过滤方法，构建一个多层次 的网络防御系统，从而更好地维护网络安全。本文在综合了i d s 与i p s 的优点， 结合了协议分析、深度包检测与网络流量分析技术的基础上，提出了一种新型的 入侵防御系统基于协议分析的网络分布式入侵防御系统( n d i p s ) 。 其主要特点有： 实时检测各类异常，并及时响应。 在网络实行分区防御，对关键区域进行重点防护。 部署灵活可靠，对网络正常通信影响较小。 2 4 本章小结 对每一种网络安全技术都不能片面的分析与评定其优劣，对于一个一定规模 的网络，网络安全系统应该是多个安全组件互相配合，构建一个多层次的综合防 御系统。本章主要介绍了i d s 与i p s 的基本原理与通用模型，比较了两者的优 点与不足，在分析与比较的基础上，提出了一种把防火墙、i d s 与i p s 相结合的 分布式入侵防御系统( n d i p s ) 。 1 0 硕上学位论文 第3 章网络防御关键技术的分析与研究 网络防御系统需要综合多种技术，其中包括数据包捕获技术、入侵检测技术、 协议分析技术、异常流量检测技术、深度包检测技术( 流过滤技术) 、组件联动 技术。 3 1 数据包捕获技术 数据包捕获是发现入侵的基础，是数据包检测与过滤的数据来源。该模块侦 听与收集所监控网段上的数据包，然后将数据包传到检测模块进行分析。对于 i p s 节点的数据包捕获模块还要具备对数据包通过或丢弃的能力。因此，数据包 的捕获能力与捕获速度是保证网络防御系统运行效率的一个重要因素。 数据包捕获机制依赖于操作系统。l i n u x 系统提供了一种工作在数据链路层 的套接字。这种套接字可以直接通过网卡驱动程序读取数据。所以利用这一特点 可以直接获取数据链路层的原始数据包，但这种方法的问题是效率较低。另一种 方法就是b p f ( b s dp a c k e tf i l t e r ) ，是一种效率较高、广泛使用的数据包捕获方 法。n d i p s 系统的数据包捕获就是用这种方法实现的。 n d i p s 主要是以下方法：运用l i b c a p 函数库、l i b i p q 函数与零拷贝等方法。 3 1 1l i b e a p 函数库 n d i p s 系统的i d s 检测节点的数据包捕获技术可以使用l i b p c a p 库函数心妇 是一个与操作系统无关的包捕获机制的函数库，用于访问数据链路层，其捕获机 制就是b p f 机制如图3 1 所示 图3 1b p f 机制 当一个数据包到达网络接口设备时，链路层设备驱动通常把它传送给系统协 基于协议分析的入侵防御系统研冗 议栈进行处理。但是，当b p f 也在该网络接口上监听时，驱动将会首先调用b p f ， b p f 有两个主要部件：n e t w o r kt a p 和p a c k e tf i l t e r 。n e t w o r kt a p 从网络设备驱动 程序中搜集数据，拷贝并转发到监控检测程序。过滤器决定是否接受该数据包和 复制数据包的那些部分，只将用户需要的数据提交给下一进程。每个b p f 都有 一个缓存，如果过滤器判断接受某个包，b p f 就将它复制到相应的缓存中暂存起 来，等收集到足够的数据后再一起提交下一进程，从而提高了效率乜引。 l i b c a p 库函数主要包括： 函数名称：p c a p _ t * p c a po p e n _ l i v e ( c h a r 宰d e v i c e ，i n ts n a p l e n ，i n tp r o m i s c ，i n tt om s ， c h a r 木e b u o 函数功能：获得用于捕获网络数据包的数据包捕获描述字。 函数名称：p c a p _ t * p c a p o p e n _ o f f l i n e ( c h a r 幸f n a m e ，c h a r 幸e b u o 函数功能：打开以前保存捕获数据包的文件，用于读取。 函数名称：p c a p d u m p e r t 拳p c a p _ d u m p o p e n ( p c a p _ t 奉p ，c h a r f r a m e ) 函数功能：打开用于保存捕获数据包的文件，用于写入。 函数名称：i n tp c a p l o o k u p n e t ( c h a r * d e v i c e ，b p fui n t 3 2 幸n e t p ，b p f ui n t 3 2 搴m a s k p ， c h a r 幸e r r b u o 函数功能：获得指定网络设备的网络号和掩码。 函数名称：i n tp c a p d i s p a t c h ( p c a p _ t 宰p ，i n tc n t ，p c a p _ h a n d l e rc a l l b a c k ，u _ c h a r u s e r ) 函数功能：捕获并处理数据包。 函数名称：i n tp c a p c o m p i l e ( p c a p _ t 毒p ，s t r u c tb p f _ p r o g r a m 枣f p ，c h a r 宰s t r ，i n t o p t i m i z e ，b p fui n t 32n e t m a s k ) 函数功能：将s t r 参数指定的字符串编译到过滤程序中。 函数名称：i n tp c a p s e t f i l t e r ( p c a p _ t 幸p ，s t r u c tb p f _ p r o g r a m 枣f p ) 函数功能：指定一个过滤程序。 函数名称：u _ c h a r * p c a p n e x t ( p c a p 一事p ，s t r u c tp c a p _ p k t h d r 率h ) 函数功能：返回指向下一个数据包的uc h a r 指针。 函数名称：i n tp c a p d a t a l i n k ( p c a p _ t 木p ) 函数功能：返回数据链路层类型，例如d l te n l 0 m b 。 函数名称：i n tp c a p s n a p s h o t ( p c a p t 木p ) 函数功能：返回p c a po p e nl i v e 被调用后的s n a p s h o t 参数值。 函数名称：i n tp c a p _ i s s w a p p e d ( p c a p _ t 拿p ) 函数功能：返回当前系统主机字节与被打开文件的字节顺序是否不同。 函数名称：i n tp c a p s t a t s ( p c a p _ t 宰p ，s t r u c tp c a p s t a t 枣p s ) 函数功能：向p c a ps t a t 结构赋值。成功时返回0 。 函数名称：i n tp c a p f i l e n o ( p c a p _ t 枣p ) 1 2 硕上学位论文 函数功能：返回被打开文件的文件描述字号码。 3 1 2n e t f i i t e r i p t a b l e s 和l i b i p q 库函数 i p s 节点是过滤器的结构，其包捕获使用了n e t f i l t e r i p t a b l e s 架构和l i b i p q 库函 数，这是为了真正实现控制数据包的传送和丢弃过程。而使用l i b i p q 进行数据包 捕获，得到的包是实际上正在传送的数据包，因而可以控制该数据包的传送和丢 弃，实际上这也是i p s 能够对入侵采取实时响应的根本点。 通过i p t a b l e s 设置规则，实时的从n e t f i l t e r 钩子中截取网络数据包，通过 i p q u e u e 模块和n e t l i n k 接口，将数据包从内核空间读取到用户空间。使用l i b i p q 接口函数，通过n e t l i n k 接口，从内核空间中n e t f i l t e r 的q u e u e 数据队列中获取数 据，然后进行误用或异常检测，一旦发现了入侵或攻击则通过l i b i p q 库 i p qs e tv e r d i c t 函数通过n e t l i n k 接口与内核n e t f i l t e r 通讯，将恶意数据包丢弃3 2 钔。 整个工作机制如图3 2 所示。 图3 2n e t f i l t e “i p t a b l e s 和l i b i p q 厍函数工作机制 3 1 3 零拷贝技术 当前，对于数据捕获技术而言，数据的拷贝次数是影响性能的主要瓶颈，所 以要想提高数据捕获效率，获得高性能的数据捕获平台，最好的方法就是尽可能 减少数据拷贝的次数，缩短数据包的传输路径，实现对核心数据的直接访问，使 应用程序不受操作系统的干预，直接与网络接口进行交互。由此便很容易引出零 拷贝的思想。如图3 3 所示。 1 3 基于协议分析的入侵防御系统研究 图3 3 传统数据采集与零拷贝对比 所谓零拷贝是指在某节点的数据收发过程中减少数据拷贝的次数，发送时数 据包由应用程序的用户缓冲区直接经过网络接口到达外部网络。同理，接收时网 络接口直接将数据包送人用户缓冲区。零拷贝思想的关键就在于用户态应用程序 直接和网络接口进行交互，避免内存拷贝以及数据在内核态和用户态之间的切 换，为上层的应用和业务处理提供了更多的时间。因此也就间接地提高了系统的 整体性能乜钉，这一点对于n d i p s 系统的i p s 检测过滤节点十分重要。 3 2 入侵检测技术 3 2 1 基于模式匹配的检测技术 模式匹配其原理简单。就是将收集到的信息与己知的网络入侵和误用模式特 征库进行比较，从而发现违背安全策略的行为。这种方法针对性很强，该过程可 以很简单，如通过字符串匹配以寻找一个简单的条目或指令，也可以很复杂如利 用正规的数学表达式来表示安全状态的变化。但其缺点是只能适用于比较简单的 攻击方式，对变形攻击的识别能力十分有限，且没有命令解析能力，误报率高。 模式匹配算法采用了的字符串快速匹配算法b m 算法。b m 算法对模式串自 右至左扫描，当正文中出现模式中没有的字符时就可以将模式大幅度滑过正文。 先做假定：模式串记做p ；搜索文本记做t ；p 的长度记做l p ：t