（计算机应用技术专业论文）ipv6入侵检测系统的实现及性能优化.pdf

北京邮电人学硕l 研究生论文 摘要 p v 6 入侵检测系统的实现及性能优化 摘要 在过去的几年里，因特网技术在全球范围内飞速发展。但由于互 联网发展的历史原因，t c 聊p 协议及h t r p 、f 曙等基于t c m p 协 议的各种应用层协议，在协议设计之初均未考虑安全传输问题，这便 造成了网络安全问题的隐患。 网络入侵检测系统能通过检测网络流量中的数据包内容，寻找可 能的攻击行为。目前网络中的攻击行为越来越普遍，这使我们更加需 要通过使用网络入侵检测系统来增强我们的抵御能力。目前针对网络 入侵检测系统的研究已成为网络安全方面研究的一个热点。 随着i p v 6 协议不断发展，特别是i p v 4 向i p 、r 6 过渡的过程给入侵 检测领域的研究带来了新的课题。早期的i p v 4 入侵检测系统己经不 能有效地防止这一类的入侵。目前对i p v 6 入侵检测系统研究尚是一 个空白。因此，研究i p v 6 入侵检测系统是十分必要的，具有十分重 要的理论意义与实际应用价值。 本文的主要研究内容是i p v 钔p v 6 双栈入侵检测系统的实现及性 能优化。并提出了i p v 4 i p v 6 网络环境入侵检测系统搭建的解决方案， 从而使骨干高速i p 、，4 i p v 6 网络能够得到较充分的安全保证。本课题 实现并优化后的i p v 4 i p v 6 双栈入侵检测系统经测试证明，达到预期 技术指标，具备在千兆i p v 4 i p v 6 网络环境高性能实时网络检测的能 力。 论文在前两章首先介绍了性能优化技术和i p v 6 入侵检测系统优化 的必要性以及网络安全体系和各种网络安全基本概念，以及i p v 6 网 络面临的安全问题。第三章中讨论了i p v 6 入侵检测系统的实现。接 下来的第四章和第五章是论文的重点，它着重讨论了课题研究过程中 需要解决的难点以及解决的方法，主要包括软件性能优化技术、高速 网络环境下快速数据包捕获技术、模式匹配算法优化和i p v 6 入侵检 测系统性能整体调优技术。第六章介绍了测试环境的搭建，第七章则 是测试结果分析。最后总结了i p v 6 入侵检测系统实现及性能优化的 技术特点，并对i p v 6 入侵检测系统进一步研究提出了展望。 北京邮电大学硕士研究生论文 摘鐾 关键字：i p v 6 网络安全；入侵检测；数据捕获；包分析；软件性能 优化；多模式匹配； ! ! 室些皇查兰竺! ：竺壅兰堡苎! ! 曼 t h e i m p l e m e n t a t i o na n dp e r f o r m a n c eo p t i m i z a t i o n o fi p v 6 i n t n l s i o n d e t e c t i o ns y s t e m a b s t r a c t 0 v e rt h ep a s ts e v e r a ly e a r s ，t h et e ( m n o l o g yo fi n t e m e ti sd e v e l o p e d a tf u l ls p e e dw o r l d w i d e l y b u tf o r t h et c m pa n dh t r pf r pe t c a p p l i c a t i o np r o t o c 0 1 sw a sc r e a t e d i nat i m ea n dp l a c ew h e f es e e u r i t y w a s n tav e r ys t r o n gc o n c e r n ，t h i sm a k et h et c p i pn e t w o r kl a c ke v e nt h e m o s tb a s i cm e c h a n i s m sf o rs e c u r i t v t h ei n t r u s i o nd e t e c t i o ns v s t e mi n s p e c t st h ec o n t e n t so fn e t w o r k t r a f f i ct ol o o kf o ra n dd e n e c td o s s i b l ea t t a c k s a sn e t w o r ka t t a c k sh a v e i n c r e a s e di n 叫m b e ra n d s e v e r j t yo v e rt h ep a s tf e wy e a r s ，i n t n l s i o n d e t e c t i o ns v s t e m sh a v eb e c o m ean e c e s s a r va d d i t i o nt ot h es e c u f i t v i n 盘a s t n l c t u r e w i t ht h ei p v 6d e v e l o p m e n t ，e s p e c i a n yd u r i n gt h ec o u r s eo ft r a n s i t i o n f r o mi p v 4t oi p v 6 ，t h e r ea r em a n yn e wp r o b l e m st ob ef a c e da n dn e e dt o b es o l v e dw h e nd o i n gr e s e a r c ho ni p v 6i n t n l s i o nd e t e c t i o n t h ee a r l v d e v e l o p p e di p v 4i n t m s i o nd e t e c t i o ns y s t e m sc a n n o tp r e v e n tt h i st y p eo f a t t a c k se f e c t i v e l v n o wb vf a rt h er c s e a r c ho fi p v 6i n t m s i o nd e l e c t i o n s v s t e mi ss t i l lab l a n k t h e r e f o r e ，t h es t u d vo ni p v 6i n t m s i o nd e t e c t i o n s y s t e m sh a sh i g ht h e o r e t i ci m p o r t a n c ea n dp r a c t i c a lv a l u e t h er e s e a r c he m p h a s e so ft h i st h e s i si sf o c u s e do nh o wt oi m p l e m e n t i f i 、，4 i p v 6d u a ls t a c ki n t m s i o nd e t e c t i o ns y s t e ma n dt h ew a yt oo p t i m i z e t h ep e r f o r m a n c eo fi t w 色a l s op r o p s e das o l u t i o no fh o wt ob u i l du p i p v 4 i p v 6d u a ls t a c ki n t m s i o nd e t e c t i o ns y s t e mt op r o t e c tt h eh i g hs p e e d i p v 4 i p v 6n e t w o r k o u re x p e r i m e n t a lr e s u l t si n d i c a t et h a tt h ei p v 4 i p v 6 d u a ls t a c ki n t m s i o nd e t e c t i o ns v s t e mw ei m p l e m e n t e da n do p t i m i z e d r e a c ht h eg i g a b i ti d st e s tc r i t e “a 。t h ei m p i e m e n t e di p v 4 【p v 6d u a ls t a c k i n t r t l s i o nd e t e c t i o ns y s t e mh a v et h e c a p a b i l i t y f o rr e a l t i m ei n t m s i o n d e t e c t i o no ng i g a b i tn e t w o r k s t h e p a p e ri so r g a n i z e da sf 0 1 l o w s ：a tt h ef i r s tt w oc h a p t e r s ，t h et h e s i s 4 北京邮 也人学倾一l 研究生论文 摘璺 i n t r o d u c e st h er e s e a r c hb a c k g r o u n d ，i h en e c e s s n yt h a tt oo p t i m i z et h e i p v 4 i p v 6d u a ls t a c ki n t l l j s i o nd e c e c t i o ns v s t e m ， t h ep e r f o m l a n c e o p t i m i z a t i o nt e c h n o l o g ya n dt h er e s e a r c hc o n t e n t ，t h en e t w o r ks e c u r i t y b a s ec o n c 印t ，t h ep r o b l e m si h a ti p v 6n e t w o r k sf a c e i nc h a r p t e r t h r e e ，t h e i m p i e m e n to fl p v 6i n t 兀1 s i o nd e c t i o ns y s t e mw a sp r o p o s e d c h a r t e rf o u r a n dt h ec h a r t e rf i v ei st h ek e y s t o n eo ft h i st h e s i s ，w h i c hh a sd i s c u s s e dt h e k e yd i f f i c u i tp o i n t st h a tt h i ss u b f e c tn e e d st os o j v e ，a n dt h em e t h o d sc h a t c a ns 0 1 v em ep r o b l e m s c h a p t e rs i xh a si n t r o d u c e dh 1 wt ob u i l du pt h e t e s te n v i r o n m e n t c h a p t e rs e v e ni st h et e s tr e p o n a 上l a s t ，t h ec h a p t e r e i g h ti st h es u m m a r ya n dt h ep r o p o s i t i o n b rt h ei p v 6i n t r u s i o nd e t e c t i o n s y s t e mf h t u r ed e v e l o p m e n i k e yw 0 r d s ：l p v 6n e t w o r ks e c u r i t y ；i n t m s i o nd e t e c t i o n ；d a t ac a p t u r e ； p a c k e ta n a l y s i s ；s o f 时a r eo p t i m i z a t i o n ；m u l t i p l e - p a t t e mm a t c h i n g ； 5 北京j 电入学硕 。研究生论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其它人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：互坳晦 日期 2 护p 占t ；考驴 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：至! 量! 鳢日期：2 垒堡! 耋圣翌 导师签名：缱如盐垡 日期： 2 芝型：i ：i 芝 北京邮电人学硕i 研究生论文 前占 1 1 课题背景 第一章前言 由于互联网发展的历史原因，t c p l p 协议及h 1 _ r p 、f r p 等基于1 p i p 协议的各种应用层协议，在协议设计之初均未考虑安全传输问题。这便造成了网 络的安全隐患。随着互联网的发展，国际标准组织虽陆续推出了s s l 、 i t r p l 1 等具有安全传输能力的应用层协议，但作为应用层承载协议的t c p i p 协议仍存 在着固有的安全缺陷，造成至今未能有彻底的、低成本的、不需硬件支持的互联 网安全传输解决方案。 目前，随着网络上的攻击事件日益增多，网络安全问题的受重视程度也日渐 提高。特别是现在网络在人们日常生活上所扮演的角色越来越重要，在这样的情 况下，我们需要通过种种措施提高网络环境的安全系数。通常来讲，一般用户采 用防火墙作为安全的第一道防线，而防火墙仅能屏蔽从外部发起的攻击，不能够 阻止从局域网内部发起的攻击行为，并且随着攻击者攻击水平的提高，攻击手段 的日趋多样，目前已有多种可以绕过防火墙进行攻击的方法。所以网络的安全防 护必须采用一种纵深的，灵活多样的手段。在这种情况下，入侵检测系统也就成 为了网络安全产品中新的热点技术。 目前i p v 6 作为下一代互联网协议逐步发展起来。随着i p v 6 技术的发展和 i p v 6 网络的部署，我们不得不面对一个近似全新的研究领域。比如i p v 6 的引入 将会带来哪些新的安全隐患和威胁，以及相应的我们应该采取什么样的应对措 施；l 、r 6 和i p v 4 中的攻击种类和方法以及检测方法有什么异同：过渡过程中或 者过渡技术中又有哪些安全隐患等等。 由于以上原因，便有了在i p v 钔p v 6 混合网络环境中实施具备i p v 4 i p v 6 网 络检测功能的入侵检测系统的需求。而目前市面上所见的入侵检测系统基本上都 是基于、，4 的。为了保证i p v 4 i p 、，6 混合网络环境下的网络安全，北京邮电大学 信息网络中心决定进行“i p v 4 i p v 6 入侵检测系统”的相关研究。本课题研究的 能够在千兆l p v 4 i p v 6 网络环境进行实时网络检测的i p v 4 i p v 6 双栈入侵检测系 统，将填补i p v 4 i p v 6 混合网络环境安全这一领域的国内空白。 1 2 研究内容 本课题的主要研究内容就是论述i p v 4 l p v 6 双栈入侵检测系统的实现并对实 北京邮电 学硕士研究生论文 日i 现的i p v 钔p v 6 双栈入侵检测系统进行性能优化。我们研究的目标是实现优化的 具有在干兆网络环境进行网络检测，具有实时数据包处理能力的i p v 4 i p v 6 双栈 入侵检测系统。其中涉及到的关键的技术包括性能优化技术、高速网络环境下快 速数据包捕获技术、i p v 钔p v 6 入侵检测系统性能调优技术。同时提出了i p v 4 1 p v 6 网络环境入侵检测系统搭建的解决方案，这一方案的实施可以使骨干高速 i p v 4 i p v 6 网络的安全得到保证。 1 2 1 性能优化技术 我们所关注的优化技术包括硬件、环境和软件优化技术。 硬件优化技术 我这里所提到的硬件优化技术并不是泛泛而谈的，是为我们所要实现的 i p v 4 i p v 6 双栈入侵检测系统服务的。 对于入侵检测系统，最好的硬件是那种从不发生丢包的硬件。显然，偶尔的 丢包是会发生的。所谓的优化的硬件环境，就是能够将丢包的可能减少到最小。 针对这一要求我们所需要的硬件优化技术的目标便是： 尽量减少丢包。 节约开支，不要为了一些免费的东西花多余的钱。 保证安装的系统能够完成预计要完成的任务。 基于这一目标，我们挑选硬件时要考虑以下四个因素： 处理器的速度和架构。 内存。 磁盘容量。 网络接口。 - 环境优化技术 我们所做的环境优化同样是针对入侵监测系统的。对于入侵监测系统什么样 的操作系统才能称为是最“优”的操作系统昵? 我们这里的最优标准是“选择最 熟悉的并且能够最容易的集成到现有环境的管理过程中的平台。”下面是各种操 作系统针对入侵监测系统的优缺点对比表： w j n d o w su n j x & l i n u x 优点缺点优点缺点 易于安装和配置过度消耗c p u晶，艘嗣c p u 平台原始的安装和配 置 北京邮 乜大学硕士研究生论义前 基于w 玳d o w s不是入侵监测系容易获得大量不陡峭的学习曲线 的系统管理统的原始丌发平同种类的附加工 具 微软的安全母性， 能使用自动过滤 如e f s器，例如配置 i p l a b l e 的p e r l 脚 太 表1 1 各种操作系统针对入侵监测系统的优缺点对比 软件优化技术 软件优化是一个迭代过程，首先进行软件剖分( p r o f i l i n 曲，然后分析，接着再 进行具体的优化实现，重复这个过程直到软件性能满足要求。 “盲目的”优化很少能够产生好的效果。应用程序的性能取决于程序的瓶 颈。程序员如果将大量时间花费在非瓶颈代码的优化上是得不偿失的。通过使用 剖分工具我们可以分析程序的热点代码，我们通过优化热点代码便可以提升软件 的性能。优化的方法主要有处理器相关的优化技术和处理器无关的优化技术。 具体在做优化时需要遵循几个规则： 规则一：在进行代码优化前，先要有一个同一代码的可靠的、非优化的版本。 规则二：应利用算法优化措施，而不是通过提升系统特性来获取最大程度的 性能提升。 规则三：不要将代码优化和汇编语言实现混为一谈。 我们在优化入侵检测系统时使用了h l t e l 公司针对h t e l 平台所推出的可视化 性能分析器i l l t e lv r u n e 和专用优化编译器i c c 。 1 2 2 高速网络环境下快速包捕获技术 网络数据捕获模块是入侵检测系统的基本组成部分，为整个系统提供数据来 源。因此，在设计和实现整个系统时，必须保证网络数据捕获模块快速、稳定和 可靠的工作。 目前用于高速网络上的数据包捕获技术主要有集中式包捕获技术和包分流 技术，前者技术比较成熟，后者是刚发展起来的一种新的包捕获和处理方式，还 不是很成熟。集中式包捕获技术是利用一台网络设备集中在网络上捕获数据包， 然后在台服务器上一起处理，这种方式的缺点是往往受到服务器处理能力的限 制；分流式捕获是采用了捕获设备和处理设备分开的方法，利用一台设备集中在 北京邮电火学碗】羽f 究生论文 月u 青 网络上捕获数据包，但不是马上处理，而是通过分流设备将数据包流量分流，然 后分别传送到几台服务器上进行处理，这样就回避了服务器处理能力的限制，使 包捕获和包处理各司其职，从而整体性能达到最优。 虽然分流式处理方式从理论上说能处理更大的网络流量，但是它也有它的适 用范围，并且现在也不是很成熟，主要有以下缺点： 1 分流算法不是很成熟，有时导致效率很低； 2 设备投资很大，需要多台机器配合； 3 一般适用于1 g b p s 以上的流量的网络数据捕获； 4 在数据处理服务器端也需要额外的数据收集； 基于我们目前所具备的试验条件，我们选择了集中式包捕获的方式。对于百 兆网络环境，传统的二层捕获技术便能够进行高效的网络流量捕获。但是在千兆 网络环境就必须通过一些高速网络环境下的快速包捕获技术如n a p i ，零拷贝等 技术才能做到高效的网络流量捕获。但实现千兆环境下的的快速包捕获，必须要 具备一定的硬件条件，下面我们介绍一下相关的知识。 对于千兆网络，我们需要针对现有的硬件环境看其是否可以在干兆网络环境 下工作。下面为p c i 总线，网卡性能的一个对比图 8 u s m 8 y t e ，$ e c p c l3 2 3 33 2 p c i6 4 3 32 6 4 p c i6 4 6 6s 2 8 p c l x 6 6 5 2 8 p c l x 1 0 0 8 0 0 p e l x 1 3 3 1 0 6 4 n e t w o r ki i n k m b y t 刮s e c g i 9 8 b i t 1 2 5 1 0g i g a b i t1 2 5 0 图卜1p c i 总线，网卡性能对比图 通过图卜1 ，我们可以看出在p c i 总线( 通常在台式机中使用) 中，单个未 共享p c i 总线连接的带宽是1g b p s ( 3 2b i t sx3 3m h z ) 。即使没有其它p c i 设备 共享总线，带宽也不足以为台式机提供最佳的千兆以太网性能( 数据和传输开 销) 。p c i x 通常应用在服务器中。每个p c i x 插槽( 没有总线共享) 的带宽是 4 北京邮电人学硕 j 研究生论文 前哥 8g b p s 。所以使用p c i x 的服务器可以很好的在千兆环境下工作的。 但万兆呢，很显然p c i x 是无法在万兆环境下工作的，p c ie x p r e s s 总线技 术的出现解决了这2 难题。使用p c ie x p f e s s 的服务器能够在万兆环境下工作。 p c ie x p r e s s 带宽示意图如图卜2 所示。 x 1 “ x 8 x 帖 束罐磷魏瓣建霉毒诒l l 言露避毒； 端i 嚣霸逮革 t 向艰向簟向藏离 2g b 4 g b p s 2 5 轴 5 ( ；b p s 8g b 。s1 6 g b 雌1 0 汹) s2 。g b 瞄 16 秘 ：诒g 眸e2 d ( ；b p s4 0 g b 3 2 黼6 4 g t 4 0 g b p s潍 图卜2p c ie x p r e s s 通道带宽 由于，本文的研究目的是能够在千兆i p v 4 i p v 6 网络环境进行实时网络检测。 另外，我们也没有万兆环境的实验床，所以并未对万兆环境下入侵检测系统的性 能做进一步研究。这方面的研究可以作为本课题的一个延续。 1 2 3i p v 6 入侵检测系统性能调优技术 针对口v 6 入侵检测系统，我所采用的优化技术主要有： 1 高速网络环境下快速数据包捕获 应用n a p i 、m m a p 等快速捕包技术，使入侵检测系统可以在千兆网络环境， 丢包率很小的情况下进行实时数据包捕获。 2 入侵检测系统软件及系统配置优化 通过使用剖分工具i i l t e lv t u n e 对程序进行剖分，我们可以从总体上考察入侵 检测系统运行时的性能。剖分结果通常都能够大致符合8 0 2 0 规律，即2 0 的程 序代码占用了处理器8 0 的执行时间，而剩下8 0 的程序代码只占用2 0 的执 行时间。利用这一特性，我只需要优化我们所关心的“热点”代码。入侵检测系 统中性能瓶颈是它的模式匹配算法，我们通过使用专门为入侵检测系统开发的模 式匹配算法“p i r a l l i l a ”，提升了模式匹配模块的性能。在此之后，我们对l p v 6 入 侵检测系统的整体进行了调优。 1 3 国内外相关研究现状 目前国内外对i p v 4 的入侵检测系统已经进行了很多研究，取得了许多成果 北京邮电犬学硕卜研究生论文 刖i 并在商业产品上经过了实践检验。而在i p v 6 方面却几乎没有相关的研究，对f i p v 6 的一些新特性以及由此带来的网络安全方面的问题目前没有成熟的研究成 果。所以一旦要大规模部署基于i p 、r 6 的骨干网络，如何在高速的i p v 6 网络上进 行动态的安全性检查和入侵检测将是一个很重要的问题。 从发展趋势来看，入侵检测技术正向高速、支持i p v 6 的方向发展。本课题 所研究的目的便是实现并优化i p v 钔p v 6 网络入侵检测系统，并使其能够在千兆 i p v 4 i p v 6 网络环境进行实时网络入侵检测，以便应用在未来的i p v 6 骨干网中。 1 4 论文的主要内容和结构安排 本论文主要论述i p v 4 i p v 6 双栈入侵检测系统实现及性能优化。具体的结构 主要为四部分。第一部分为论文的前两章，介绍了性能优化技术和i p v 4 i p v 6 入 侵检测系统优化的必要性，网络安全体系和各种网络安全基本概念，以及i p v 6 网络面l 临的安全问题。第二部分包括第三、四、五章，是本论文的主体。第三章 中讨论了i p v 6 入侵检测系统的实现，接下来的第四章和第五章着重讨论了课题 研究过程中需要解决的难点以及解决的方法，主要包括软件性能优化技术和 i p v 4 i p v 6 入侵检测系统性能调优技术。第六章和第七章为第三部分，第六章介 绍了测试环境的搭建，第七章则是测试结果分析。最后在第八章总结了i p v 6 入 侵检测系统实现及性能优化技术特点，并对婵v 6 入侵检测系统进一步研究提出 了展望。 北京邮电大学硕 一研究生论义 网络安全砹l p v 6 入侵检测 第二章网络安全及i p v 6 入侵检测 2 1 网络安全概述 2 1 1 网络安全的基本需求 随着科学技术的飞速发展，计算机技术和网络技术深入到社会的各个领域， 而网络也正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一 方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁； 另一方面，网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换 言之，i n t e m e t 网的安全，包括其上的信息数据安全和网络设备服务的运行安全， 日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。因此如何及 时发现入侵行为，并对此能够及时做出反应，成为了人们所关注的焦点。 网络安全的基本需求主要体现在以下几个方面【l 】： 1 数据的保密性 指数据不泄漏给非授权用户、实体或过程，或供其利用的特性。数据加密就 是用来实现这一目标的，数据经过加密变换后，将明文转换成密文，只有经过授 权的合法用户，使用自己的密钥，通过解密算法才能将密文还原成明文。 2 数据的完整性 是数据未经授权不能进行改变的特性，即只有得到允许的人才能修改数据， 并且能够判断出数据是否被篡改。同时还要保证数据不会因为存储和传输过程中 有意或无意的事件所改变。 3 数据的可用性 是可被授权实体访问并按需求使用的特性，即攻击者不能占用所有的资源而 阻碍授权者的工作。由于互联网络是开放的网络，需要时就可以得到所需要的数 据是网络设计和发展的基本目标，因此数据的可用性要求应用系统所提供的服务 应该能够避免遭受恶劣影响，甚至被完全破坏而不可使用的情形。例如，网络环 境下拒绝服务、破坏网络和有关系统的正常运行等都属于对数据可用性的攻击。 4 数据的可控性 是指可以控制授权范围内的信息流向及行为方式，如对数据的访问、传播及 内容具有控制能力。首先，系统需要能够控制谁能访问系统或网络上的数据，以 北京邮电人学坝卜研究生论文嘲络安全及i p v 6 入侵检测 及如何访问，即是否可以修改数据还是只能读取数据：其次，即使拥有合法的授 权，系统仍需要对网络上的用户进行验证，以确保他确实是他所声称的那个人， 通过握手协议和数据加密进行身份验证；最后，系统还要将用户的所有网络活动 记录在案，包括网络中机器的使用时间、敏感操作和违纪操作等，为系统进行事 故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供 详细可靠的依据或支持。 5 其他需求 不可抵赖和不可否认，用户不能抵赖自己曾做出的行为，也不能否认曾经接 到对方的信息。另外，保护硬件资源不被非法占有，软件资源免受病毒的侵害等。 2 1 2 网络安全的目的和安全机制 网络安全是指网络系统的部件、程序、数据的安全性，它通过网络信息的存 储、传输和使用过程体现。所谓的网络安全性就是保护网络程序、数据或者设备， 使其免受非授权使用或访问。网络安全包括物理安全和逻辑安全。对于物理安全， 需要加强计算机机房管理，如门卫、出入者身份检查、下班锁门以及各种硬件安 全手段等预防措施；而对于后者，则需要用口令字、文件许可和审计等方法来实 现。 1 网络安全的目的 确保网络系统的信息安全是网络安全的目标，对网络系统而言，信息安全主 要包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全就是指信 息在静态存放状态下的安全，一般通过设置访问权限、身份识别、局部隔离等措 施来保证。在网络系统中，无论是任何调用指令，还是任何信息反馈均是通过网 络传输实现的，所以网络信息传输上的安全就显得特别重要。信息的传输安全主 要是指信息在动态传输过程中的安全。为确保网络信息的传输安全，尤其需要防 止如下问题。 i 对网络上信息的监听： i i 对用户身份的仿冒； i i i 对网络上信息的篡改； 对发出的信息予以否认； v 对截获的密文信息进行重发。 北京邮电人学硕 研究生论文 嘲络安全及i p v 6 入侵榆测 2 网络安全基本要求与安全机制 网络安全设计首先需考虑网络的安全基本要求和网络的安全机制。 网络安全基本要求包括： i 解决网络的边界安全问题； i i 保证网络内部的安全； i i i 实现系统安全及数据安全； 建立全网通行的身份识别系统，并实现用户的统一管理； v 在用户和资源之间进行严格的访问控制； 实现信息传输时数据完整性和保密性； 建立一整套审计、记录的机制； 融合技术手段和行政手段，形成全局的安全管理。 网络安全机制包括访问控制机制、加密机制、认证交换机制、数字签名机制、 业务流分析机制、路由控制机制。 一般情况下，分布在网络层的安全机制，主要保护网络服务的可用性，解决 系统安全问题；分布在应用层的安全机制，主要保护合法用户对数据的合法存取， 解决数据安全问题。通过网络层和应用层，集成系统安全和数据安全，可构成立 体的网络安全防护体系。通常，网络层的安全措施包括防火墙和安全检测手段， 防火墙主要是限制访问，安全检测主要是预防黑客的攻击。应用层的安全措施包 括：建立全局的电子身份认证系统；实现全局资源的统一管理：为实现数据完整 性和数据保密性的信息传输加密；实现审讯记录和统计分析等。 2 2 网络安全的关键技术 近几年来，i n t e m e t 技术日趋成熟使得企业数据网络正迅速地从以封闭型的 专线、专网为特征的第二代技术转向以h l t e m e t 互联网技术为基础的第三代企业 信息网络。然而，作为全球使用范围最大的信息网，i i l t e m e t 自身协议的开放性 虽然极大地方便了各种计算机联网，拓宽了资源共享，却由于在早期网络协议设 计上对安全问题的忽视，以及在使用和管理上的问题，逐渐使i n t e m e t 自身的安 全受到严重威胁，安全事故屡有发生。在t c 肌p 协议普遍应用的今天，要彻底 改变这网络的现状是不可能的。我们只有用。一些其他的方法来弥补这些漏洞。 北京邮电人学坝i 研究生论直：网络矗争发i p v 6 入侵检测 2 2 1 防火墙 防火墙是在最近的几年里发展起来的种重要的安全技术，其特征是通过在 网络边界上建立网络通信监控系统，达到保障网络安全的目的。防火墙型安全保 障技术是假设被保护网络具有明确定义的边界和服务，并且网络安全的威胁仅来 自外部网络，进而通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部 网络屏蔽被保护网络的信息、结构，实现对网络的安全保护。 防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全 的一种手段。它采用适当技术在被保护网络周边建立起屏障来分隔被保护网络与 外部网络。它所保护的对象应是网络中有明确闭合边界的一个子网。它的防范对 象是来自外部攻击。由此可见，防火墙技术最适合于在企业专网中使用，特别是 在企业专网与公用网络互连时使用。 2 2 2 入侵检测技术 近年来，人们发现只从防御的角度构造安全系统是不够的。因此，人们开始 寻求其他途径来补充保护网络的安全，从而出现了系统脆弱性评估及入侵检测的 研究项目。入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别 和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未 授权活动【3 】。 从2 0 世纪8 0 年代初开始，国外就有一些研究机构及学校着手系统脆弱性分 类的研究。这个研究一方面是因为h l t e m e t 的迅速发展，另一方面是因为入侵检 测技术的兴起。系统脆弱性的研究目前仍不很成熟，因为系统脆弱性的涵盖面很 广，而且还在不断地增加，对于脆弱性的分类也会因新的漏洞被发现而相应地发 展补充。另外，针对不同的目的也要求分类方法有所差别。而对于入侵检测的研 究来说，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大型 网络和分布式系统，基本上已发展成具有一定规模和相应理论的实用化技术。 从具体的检测方法上，可以将检测系统分为基于行为的和基于知识的两类。 基于行为的检测是指根据使用者的行为或资源使用状况的正常程度来判断是否 发生入侵，而不依赖于具体行为是否出现来检测。即建立被检测系统正常行为的 模式库，并通过与当前行为进行比较来寻找偏离模式库的异常行为。例如一般使 用计算机的用户都有定的键入速度，如果有一天他的键入速度突然变快，则被 认为是异常行为，有可能是某入侵者在使用其帐户。基于行为的检测也被称为异 常检测( a n o m a l yd e t e c t i o n ) 。基于知识的检测指运用已知攻击方法，根据已定 北京邮电人学硕【研究生论文 网络安令及i p v 6 入侵检测 义好的攻击模式，通过判断这些攻击模式是否出现来判断。因为很大一部分攻击 行为是利用了系统的脆弱性，通过分析攻击过程的特征、条件、排列以及事件间 关系，具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮 助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意 味着可能有入侵发生。基于知识的检测也被称为误用检测( m i s u s ed e t e c t i o n ) 【4 】。 根据检测系统所分析的原始数据不同，可将入侵检测分为来自系统日志( 基 于主机) 和网络数据包( 基于网络) 两种。操作系统的f | 志文件中包含了详细的 用户信息和系统调用数据，从中可分析系统是否被侵入以及侵入者留下的痕迹等 审计信息。随着i n t e m e t 的推广，网络数据包逐渐成为有效且直接的检测数据源， 因为数据包中同样也含有用户信息。入侵检测的早期研究主要集中在主机系统的 同志文件分析上。因为用户对象局限于本地用户，随着分布式大型网络的推广， 用户可随机地从不同客户机上登录，主机间也经常需要交换信息。尤其是i n t e m e t 的广泛应用，据统计入侵行为大多数发生在网络上。这样就使入侵检测的对象范 围也扩大至整个网络。 在现有的实用系统中，还可根据系统运行特性分为实时检测和周期性检测， 以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型。 2 3 网络安全技术最新进展 2 3 1 入侵检测系统与联动 目前的入侵检测系统( 1 d s ) 作为网络安全整体解决方案的一个重要部分， 需要与其他安全设备之间进行紧密的联系，共同解决网络安全问题。这就对i d s 提出了联动要求。 全交换的网络速度越来越快，网络数据包的采集存在较大困难。因此，在数 据采集上进行协同并充分利用各层次的数据，是提高入侵检测能力的首要条件。 另外，由于网络型i d s 的位置决定其本身的响应能力相当有限，应该与有充分 响应能力的网络设备集成在一起，构成响应和预警互补的综合安全系统。 与漏洞扫描系统的联动 漏洞扫描系统的特点是利用完黎的漏洞库，对网络中的各个主机进行扫描。 并对其网络功能、操作系统和运行的应用程序的漏洞综合报告、提出修补办法， 给出风险评估报告。 i d s 与扫描系统的联动可以利用扫描系统的扫描结果，对目前网络或系统和 北京邮电人学f 鲥b 研究生论立嗍络安争投i p v 6 入侵榆测 应用所存在的漏洞做到心中有数，然后利用扫描结果对预警策略进行修改，尽可 能减少误报。 与防病毒系统的联动 防病毒系统可以有针对性地对i d s 的病毒报警信息进行验证，对遭受病毒攻 击的主机系统进行适当的处理。 目前，由于网络病毒攻击在所有攻击中所占的比例不断增加i d s 与防病毒系 统的联动也变得越来越重要。但是当前具备这种功能的i d s 和防病毒系统并不 常见。 与防火墙的联动 i d s 可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析。 从而实现准确的报警，减少误报；另一方面，当i d s 发现攻击行为时，可以通 知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜 在的进一步攻击的可能性。 目前已有很多i d s 产品与流行的防火墙之间联动的例子，但是众多厂商之间 仍没有形成统一的联动协议。 与路由器、交换机的联动 交换设备对不同网段的数据并不共享，传统的采用一个数据采集引擎来监听 整个网络的办法不再可行。可解决的办法有： a ) 利用交换机的s p a n 口进行1 d s 监听。此方法无需改变1 d s 体系结构，但 在数据流量较大时可能丢包。 b ) i d s 跨接在关键路径上。此方法可捕获需要的所有数据，但是需要i d s 产 品支持，但有可能成为网络瓶颈。 c ) 采用分接器( | 1 1 a p ) ，将其接在所有要监测的线路上。此方法可以在不降低 网络性能的前提下收集所需的信息，但必须购买t a p 设备。 d ) 使用智能交换设备。例如，港湾网络智能交换机h e x h 锄m e r 5 0 1 0 可以 在运行的过程中，将各种数据流的信息上报给i d s 设备，i d s 根据上报信息和 数据流内容进行检测。当发现网络安全事件的时候进行有针对性的动作，并将这 些安全事件反应动作发送到交换机上，由交换机来实现精确端口的关闭和断开。 与“蜜罐”系统的联动 “蜜罐”系统是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满 北京邮电大学坝i 研究生论文 网络安伞及l p v 6 入侵检测 了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到 它们的。因此，当监测到对“蜜罐”的访问时，很可能就有攻击者闯入。“蜜罐” 的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击 者在系统七停留足够长的时间以供管理员进行响应。 利用“蜜罐”的这种能力，一方面可以为i d s 提供附加数据，另一方面，当 l d s 发现有攻击者时，可以把攻击者引入“蜜罐”，防止攻击者造成危害，并收 集攻击者的信息。 2 3 2 分布式入侵检测系统 我们可以通过入侵检测系统( i d s ) 所监视的活动、网络流量、事务或系统 对其分类【3 】。基于以上条件，i d s 可以区分为基于网络、基于主机和分布式三种。 检测网络传输来寻找攻击的特征的i d s 叫做网络i d s ( n i d s ) ；反之，通过 监视主机和文件系统的操作来寻找攻击特征，对单台主机进行保护的叫做主机 i d s ( h i d s ) 。实现远程控测器的功能，能将报警信息和日志发送到一个统一的 中央管理平台的i d s 群组叫做分布式i d s ( d i d s ) 。 目前网络入侵技术有了很大的变化。入侵技术的发展与演化主要体现在以下 几个方面： 入侵的综合化与复杂化。以往的入侵者往往只采取一种攻击手段。目前，由 于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施攻击时往往同时 采取多种入侵手段，以保证入侵的成功率，并可在攻击实施的初期掩盖入侵的真 实目的。 入侵主体对象的间接化，即实施入侵的主体的隐蔽化。通过某些技术，可掩 盖攻击主体的源地址及主机位置。 入侵的规模扩大。对于网络入侵，初期往往是针对某公司或某个网站，攻击 目的可能是某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏。由于 战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电 子战与信息战。 入侵技术的分布化。以往的入侵行为往往由单机执行，由于防范技术的发展 使得此类行为不能迅速奏效，因此诞生了分布式攻击。分布式攻击的一个例子是 分布式拒绝服务攻击( d d o s ) ，可以在很短的时间内造成被攻击主机的瘫痪， 而且在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段之一。 攻击对象的转移。以往攻击常以网络为侵犯的主体，但近期来的攻击行为却 北京岍电大学坝 1 研究生论义 网络安争及i p v 6 入侵榆测 发生了策略性的改变，由攻击网络改为攻击网络防护系统，目有愈演愈烈的趋势。 现已有专门针对入侵检测系统( i d s ) 作攻击的报道。 攻击技术的发展，尤其是分布式攻击的出现，是我们对分布式入侵检测系统 的需求更加强烈。 下面我们对分布式入侵检