（电路与系统专业论文）主动防御系统的研究和设计.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名： 垒宝 日期：鱼塑：生：望 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：盟导师签名：期：曲多：二留 山东大学硕士学位论文 摘要 w i n d o w s 操作系统，最初设计时并没有太多考虑到相关的安全性问题。重在考 虑强大的功能与友好的用户界面。随着技术的深入和互联网的发展，病毒、木马 对w i n d o w s 系统造成的危害不断扩大，w i n d o w s 安全性问题源源不断地暴露出来， v i s t a 也不例外。病毒、木马的成倍增长令人惊讶! 瑞星、金山等公司的年度报告 显示：2 0 0 7 年这一年出现的病毒数量是有史以来所有病毒数量的总和。如此迫切 的形势，要求我们必须采取果断措施，保护主机的安全。主机的安全性主要体现 在主机的防御系统方面，而最重要的技术就是系统行为监控技术。 本文主要研究主机安全中的漏洞扫描技术，恶意软件查杀技术，系统行为监 控技术和硬件加密技术。在讨论主机安全领域的相关技术时，着重讲述原理结构 和技术实现上的一些问题。 本文结合实际工程项目实践，对上面的研究成果进行了设计和实现，主要包 括总体模块框架、各分模块细节、各接口交互情况以及各数据组织形式等等。 最后，对系统行为监控的新技术与研究方向进行了阐述，同时提出了针对 v i s t a 新的安全性问题研究，以及主机安全中系统行为监控新的实现方法等。提出 了“基于加权统计特征的行为监控技术新思路。 关键词：主机安全系统行为漏洞扫描恶意软件扫描硬件加密卡 山东大学硕士学位论文 a b s t r a c t t h ew i n d o w so so n l yc o n s i d e r e dp o w e r f u lf u n c t i o na n df r i e n d l yu s e ri n t e r f a c e ，b u t n o tt h o u g h to v e rt h e i rs e c u r i t y , a tt h ee a r l yd e s i g n w i t ht h ei n t e r n e tq u i c kg r o w t h , t h e v i r u sa n dt r o j a nh o r s ec a u s e sm o r ea n dm o r eh e a v yl o s so rd a m a g e o nt h eo n eh a n d , a st h et e c h n i q u ed e v e l o p m e n t ，m o r ea n dm o r ew i n d o w sv u l n e r a b i l i t yw a sf o u n dw i t h t i m e ，a n dt h ev i s t ah a sn oe x c e p t i o n o nt h eo t h e rh a n d ，r i s i n g , k i n g s o f la n do t h e r c o m p a n ya n n u a lr e p o r ts h o w s ：t h en u m b e ro fv i r u si ny e a r2 0 0 7i se q u a lt ot h et o t a l n u m b e ri nh i s t o r y a st h i su r g ys i t u a t i o n , w eh a v et ot a k es t e p st op r o t e c tt h eh o s t t h es e c u r i t yo fh o s tm a i n l yc o m e st h r o u g hi t si n t r u s i o np r e v e n t i o ns y s t e m ， v u l n e r a b i l i t ys c a n n i n g ，m a l i c i o u ss o r w a r es c a n n i n ga n dk i l l i n g ，d a t ae n c r y p t i o n s y s t e m i tm a i n l yd i s c u s s e st h ep r i n c i p l e so fe a c hm o d u l ea n dh o w i tc o m et u r e c o m b i n e dw i t hp r a c t i c e ，t h i sp a p e rg i v e st h ed e s i g na n di m p l e m e n t , w h i c h i n c l u d e so v e r a l lf r a m e w o r k , t h ed e t a i l so fs u b s y s t e m ，t h ei n t e r f a c ea n dc o m m u n i c a t i o n a n dt l l ed a t as t r u c t a tl a s t ，g i v ea no u t l i n eo ft h en e wt e c h n i q u ea n dr e s e a r c hf o c u sp o i n to nt h eh o s t b e h a v i o rm o n i t o r , s u g g e s tt h en e ws e c u r i t yr e s e a r c hw i t hw i n d o w sv i s t aa n dt h en e w r e p l a c i v es y s t e mb e h a v i o rm o n i t o rm e t h o di ni t , p o s et h en e wm e t h o d h o s tb e h a v i o r m o n i t o rb a s e do ns t a t i s t i c a lw e i g h ts u m ” k e yw o r d s ：h o s ts e c u r i t y , s y s t e mb e h a v i o u r s ，m o n i t o r , p r o c e s s ，f i l e ，r e g i s t r y 2 山东大学硕士学位论文 1 前言 目前的互联网非常脆弱，各种基础网络应用、电脑系统漏洞、w e b 程序的漏 洞层出不穷，这些都为黑客病毒制造者提供了入侵和偷窃的机会。对于普通网民 来说，上网应用一般包括浏览网页( 搜索) 、网上银行、网络游戏、i m 软件、下 载软件、邮件等，都存在着或多或少的安全漏洞。除了其本机自身安全被威胁之 外，同时也成为病毒入侵电脑系统的黑色通道。 更为严重的是，出于商业利益趋使，当前的病毒产业链越来越完善。从病毒 程序开发、传播病毒到销售病毒，形成了分工明确的整条操作流程，这条黑色产 业链每年的整体利润预计高达数亿元。黑客和电脑病毒窃取的个人资料从q q 密 码、网游密码到银行账号、信用卡帐号等等，包罗万象，任何可以直接或间接转 换成金钱的东西，都成为黑客窃取的对象。 通过分工明确的产业化操作，中国大陆地区每天有数百甚至上千种病毒被制 造出来，其中大部分是木马和后门病毒，占到全球该类病毒的三分之一左右。 2 0 0 7 年上半年瑞星公司共截获新病毒1 3 3 7 1 7 个，其中木马病毒8 3 11 9 个，后 门病毒3 1 2 0 4 个，两者之和超过1 l 万，相当于去年同期截获的新病毒总和【1 1 。这 两类病毒都以侵入用户电脑，窃取个人资料、银行账号等信息为目的，带有直接 的经济利益特征。从统计数据看来，今年上半年的病毒数量比去年同期增加1 1 9 。 图1 1 是2 0 0 4 2 0 0 7 年上半年同期新增病毒数量对比图。( 注：图形按章节编号 并与文字呼应，以下同) 山东大学硕士学位论文 2 0 0 4 - 2 0 0 7 年上半年同期新增病毒数量对比图 0 伽珥上丰年枷s 上年年柏上学年姗上平年 图1 - 1 新增病毒对比图 随着互联网各种应用的不断发展，大量的基础网络应用成为黑客病毒制造者的 攻击目标。目前主流的基础网络应用包括：电子邮件、网页浏览、网上银行和证 券、网游、下载( 迅雷肥t 电驴) 等等，都存在各种安全隐患。一方面，这些网络 应用自身的安全成为严重问题，特别是各大厂商都趋于将自己的产品发展成为社 区、支付交易平台，因此其账号、密码成为电脑病毒的直接窃取目标；另一方面， 这些基础网络应用也成为病毒传输、黑客攻击的主要渠道。图1 2 是互联网安全威 胁示意图。 互联网用户安全威胁分析示意图 4 图1 2 互联网安全威胁示意图 山东大学硕士学位论文 由于互联网上的病毒地下交易市场初步形成，获取利益的渠道更为广泛，病毒 模块、僵尸网络、被攻陷的服务器管理权等等都被用来出售，很多国内黑客开始 利用拍卖网站、聊天室、地下社区等渠道，寻找买主和合作伙伴，取得现金收入， 吸引人才、技术和资金开始进入这个黑色行业。图1 3 是黑客病毒产业链。 黑客病毒产业链示意图 图1 3 黑客，病毒产业链 山东大学硕士学位论文 2 序论 三年前主动攻击杀毒软件的病毒还很少见，而目前电脑病毒针对杀毒软件做 攻防已成为普遍现象。以新毒王“帕虫”、老毒王“熊猫烧香”为代表的大量病毒都加 载了攻击杀毒软件的模块。它们通过修改杀毒软件设置、损伤杀毒软件的配置文 件甚至直接关闭杀毒软件，造成电脑的防御系统崩溃。 目前，加壳、免杀等技术已经被开始被病毒编写者大量采用。“加壳”就像给病 毒文件穿了“马甲”，对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽而放过病 毒。而“免杀”是指通过特殊技术处理，修改病毒文件，使已知病毒逃过杀毒软件的 查杀。 与此同时，一些自动加壳、免杀机也已出现，甚至开始实现商业化。比如黑 客、病毒制作者使用较多的“免疫0 0 7 就是一种商业化的自动加壳机。该软件作者 会每天对软件进行更新，升级频率甚至超过杀毒软件。以使被其加壳的病毒、木 马能够躲过最新版杀毒软件的查杀。该软件作者通过销售这种工具获利。 目前，网络安全市场最理想的安全方案是联合部署防火墙( f w ) 和入侵检测 系统( i d s ) ，同时部署反病毒系统。 防火墙主要用于防御，i d s 用于检测突破防火墙的入侵，而反病毒系统用于本 地查杀恶意程序与代码。 虽然这种比较理想的方案能够在很大程度上提高网络的安全性，但是这些产 品大多还是基于被动防御，其缺点也很突出： _ 防火墙只实现了粗粒度的访问控制，且对于内部的非法网络行为无能为 力。 _ i d s 只能检测已知的攻击，不能检测未知的“瞬时攻击”( z e r o d a y a t t a c k ) ，而且不能阻止任何的非法行为。 病毒防范系统一般是以对系统的危害已经发生为前提，基于主机的漏洞 扫描只是定期执行，以发现新出现的系统漏洞。病毒防范系统可以作为安全防护 的辅助手段，而无法进行实时的主机安全保护。操作系统本身固有的安全特性虽 6 山东大学硕士学位论文 然提供了一些安全措施，但是其功能非常有限。并且经常存在着各种漏洞，只有 经验丰富的系统管理员才能保证操作系统的安全 随着网络入侵手段和攻击方式的不断提高，这些被动式的防御手段在“兵来 将挡 ，“水来土掩的策略下是不可能得到有效防范的。因此，要维护网络和 系统的安全，必须采取“主动防御的策略，即不管攻击者采用什么样的攻击方 法，我们的防范方式总是能够主动识别攻击者的企图，对于不正常的访问予以拒 绝。 入侵防御系统( i n t r u s i o np r e v e n t i o ns y s t e m i p s ) 是一种全新的安全技术。它 采用主动的防御措施，不仅提供即时入侵监测，更重要的是提供即时入侵防御， 而且能够阻止攻击，以避免对系统造成任何伤害。可见，比起入侵检测系统( m s ) ， 入侵防御系统由于在主动防御方面的优势，正好弥补了目前计算机与网络安全的 自我保护功能。 i p s 不仅监视网络流量，而且通过中断确认的恶意通信，终止可疑的会话，或 者采取其它行动应对攻击和入侵，对网络通信实施积极干预。 i p s 的结构主要由检测和防御两大系统组成。检测和实时防御，是i p s 最重要 的性能特征。理想的i p s ，应具备从网络到主机的防御措施及预设定的应对措施。 i p s 类型可以分为网络型i p s ( n i p s ) 和主机型i p s ( h i p s ) 。 n i p s 直接从网络中采集原始的数据包，它的检测引擎称为网络引擎。n i p s 的网络引擎放置在需要保护的网段的临界区，可以保护整个网段。 h i p s 则从主机朋艮务器上采集数据，包括操作系统日志、系统进程、文件访问 和注册表访问等信息，它的检测引擎称为主机代理。h i p s 的主机代理安装在所保 护的主机服务器上，不同的操作系统平台需要不同的主机代理。 2 1 国内外研究现状概述 目前在安全系统中，入侵检测是一种常用的对安全事件进行检测和报警的技 术。但是，从与灭火消防的对比来看，入侵检测系统如同火灾预警装置。当火灾 发生时它会自动报警，但无法阻止火灾的蔓延，灭火必须要有人来操作进行。因 此，目前情况必然要求我们寻求一个智能的灭火装置。这个智能装置的作用就是 7 山东大学硕士学位论文 当它发生火灾后，会主动采取措施灭火，中间不需要施加人的干预。 g a r t n e r 早在2 0 0 3 年6 月发布的一个研究报告e n t e r p r i s es e c u r i t ym o v e s t o w a r di n s t r u s i o np r e v e n t i o n ) 中称，入侵检测系统已经“死 了。g a r t n e r 认为， 入侵检测系统不能给网络带来附加的安全，反而增加了管理员的困扰。建议用户 使用入侵防御系统来代替入侵检测系统。这是入侵检测系统的一个重要的技术发 展方向：即从检测转向防御，从检测未知到主动防御。2 0 0 3 年8 月，阻止入侵的 最佳时刻是在入侵发生前更是揭示了阻止入侵行为应该在其发生之前进行，也 就是“抢先式“入侵检测与防御的探讨。从此，主动防御的概念逐渐被大家接受 和熟悉。 信息安全防御体系迫切要求与积极实现其主动防御功能，这既是计算机与网 络安全发展的趋势，也是信息安全防御与系统保障的时代需要。 另外，一些文献【4 2 】与公司提出了联动防御的概念。就是充分利用现有的相对 独立的安全产品，将传统的防火墙、入侵检测系统和反病毒系统组合起来，为各 种安全产品搭建互联的平台。平台的各个系统利用各自优势来相互弥补，使得这 个平台更加坚固和完善。参考文献【叼中根据最新发展，给出了结合防火墙、入侵 检测系统的分布式的联动防御模型图，如图2 1 所示： ，澎 i n t e r n e t 堤 图2 1 联动防御框架图 总之，主动防御与联动防御是今后国内外安全系统发展的两个主要方向。 i臻爹弓i臻暑盈，吕j饧场强尸墨 目懈回臀圄m 山东大学硕士学位论文 同时，入侵防御系统在v i s t a 平台下，各种算法与设计方法都需要重新调整或 者采取全新的策略，这也是当前研究的重要方面。 2 1 1 国外现状 目前，越来越多的网络安全公司从被动的i d s 技术转移到采取主动防御的i p s 技术上来。市场上既有独立的i p s 设备，如i s s 的p r o v 铋t a 系列、m c a f e e 的 i n t r u s h i e l d 系列、j u n i p e r 的i d p 系列，也有安全厂商将入侵防御功能集成到安全 设备当中，如赛门铁克、w a t c h g u a r d 、s o n i c w a l l 等，都已将入侵防御作为一个功 能模块集成到自己的安全网关设备当中。 t o p l a y e r 公司推出的a t t a c km i t i g a t o ri p s 硬件产品可以阻击由防火墙漏掉的、 或i d s 只能检测而不能处理的网络攻击，从而减少因网络攻击而受到的损失，增 强网络的性能和可用性。 j u n i p e r 公司的入侵检测和防御产品i d p 把入侵检测和防御功能整合进一个设 备中并拥有优秀的防御管理能力。它的多元检测技术具有八种检测机制，在一个 单独的平台上提供了其他几个品牌产品分别具有的功能。而且，它是基于“内嵌一 进整个网络来运行设计的，可以提供更主动的方式来阻止入侵。 c h e c kp o i n t 公司在其防火墙产品f i r e w a l l i n g 中构造了s m a r t d e f e n s e 系统。 它使用了由c h e c kp o i n t 开发的可以在掌握通信状态的情况下检测出可疑数据包的 s t a t e f u l l n s p e c t i o n 引擎。s m a r t d e f e n s e 不仅能满足防火墙访问控制、认证等方面的 需求，还能够对各种己知未知的网络攻击进行主动检测，并做到积极防范。 m c a f e e 推出的网络入侵防护解决方案m c a f e ei n t r u s h i e l d 拥有强大的可编程 安全硬件，对已知未知攻击、d o s 攻击都可以进行防护，并且同时以线速支持成 千上万的特征，而不会丢失数据包；主机入侵防护解决方案m c a f e ee n t c r c e p t 提供 了更加有效的、可管理的防护性能，为企业提供了有效防护，可以有效阻挡像红 色代码、尼姆达和s l a m m e r 病毒这样的混合威胁。 c o m p u t e ra s s o c i a t e s 公司基于主机的入侵防御系统e t r u s ta c c e s sc o n t r o l 利用 禁止未授权访问的全面安全策略来保护关键业务数据和应用。这种强大的解决方 案简化了u n i x 或w i n d o w sn t 的安全管理与增强特性。其图形用户界面可集中控 9 山东大学硕士掌1 立论文 制安全策略以及用户、组和资源的管理，其内建的基本策略可以提供综合的保护。 卡巴斯基公司( k a s p c r s k y ) 的反病毒系统带有主动防御功能，采用了先进的 技术，可保护p c 远离病毒、木马、蠕虫、自j 谍软件、r o o t k i t 后门软件。 另外，网络安全霸主i s s 推出名为g u a r d 的i p s ：赛门铁克推出含i p s 、a v 、 v p n 和内容过滤的s g s ：思科公司推出的基于主机的安全代理软件c s a ；h a r r i s 公司推出名为s t a t n e u t r a l i z e r 的i p st i p p i n g p o i n t 公司推出u n i t y o n e 系列i p s , p l a t f o r ml o g i c 推出a p p f i r e s u i t e ：s a n as e c u r i t y 推出p r i m a r yr e s p o n s e ： c a p t u s a x t r o n i c s 、v s e c u r e 等公司也相继推出了i p s 。 值得突出的是，专注于主动防御产品的业界新秀公司s y s t e ms a f e t yl i m i t e d 的 s y s t e ms a f e t ym o n i t o r ( 简称s s m ) 产品已经做得相当成熟，无论在检测粒度的细 化，还是检测效率的优化方面都做到了领先地步。 2 1 2 国内现状 在国内，i p s 曾多次被相关媒体报道，安全厂商和安全人士对i p s 也十分关注， 一些防火墙厂商集成了防范部分攻击的功能，如天融信的防火墙4 0 0 0 u f 内置有 i p s 功能，联想网御系列防火墙可以检测出1 0 0 0 余种攻击行为。 绿盟科技的抗拒绝服务攻击产品“黑洞 采用高效防护算法和嵌入式体系结 构，能给用户提供一体化的抗拒绝服务攻击解决方案。黑洞使用自主研发的抗拒 绝服务攻击算法( “反向探测和“指纹识别算法) ，在d o s ( d e n i a l o f s e r v i c e ， 拒绝服务) 攻击下，连接维持率和新发起连接可用率可以达到9 0 ，比传统的 s y n c o o k i e s 和r a n d o md r o p 算法效率要高。作为专用的抗d o s 产品，黑洞采用了 多重体系结构，在技术架构中设计了4 个专用引擎，增加了防止连接耗尽( 用正 常流量堵塞带宽) ，以增强对典型“以小吃大 的资源比拼型攻击( 包括大规模的 多线程下载) 的防护能力。 启明星辰公司的安星个人主机防护系统是专门用于个人主机防范入侵或误操 作的安全保护系统，可对w i n d o w s 环境下的个人主机资源进行实时监测和有效防 护。它以系统默认策略和用户自定义策略为保护依据，从文件、注册表、网络通 信以及拨号网络四个方面进行安全控制。 1 0 山东大学硕士学位论文 但与国外轰轰烈烈的场面相比，国内的入侵防御技术发展比较缓慢，产品也 很少，在技术上还有很大的差距。 在基于主机的主动防御方面，最新版本的瑞星产品瑞星卡卡上网安全助手 v 3 0 ，江民k v 2 0 0 7 ，3 6 0 安全卫士( 最新版本) 、微点主动防御软件v 1 2 ，都以新 的“主动防御”与“未知病毒查杀 为主要宣传点与吸引点。经测试，确实在一 定程度上实现了基于主机的i p s 功能，但是在准确性与实时性方面，还有相当的 欠缺，需要进一步改进与完善。 2 2 课题背景与研究内容 本课题来源于日益严重的w i n d o w s 平台安全性问题带给用户的危害，研究采 用先进技术来保障用户的安全性。强调站在用户的角度，保护用户的利益。由于 主动防御的主机安全产品的优越功效，用户必将乐意主动配置。故而，可以带来 明显的效益。 在论文和项目的研究过程中，密切关注国内外产品与技术发展。根据w i n d o w s 平台安全威胁，以及目前的安全产品现状，从技术上深入研究w m d o w s 平台安全 防护技术的细节，形成一个系统的、有层次的主动防御技术方案。不仅对今后的 研究有借鉴意义，更重要的是可以指导w i n d o w s 平台安全技术的趋势、安全产品 的发展，必将产生很好的市场前景。 主要研究内容包括： ( 1 ) 主机防御系统产品的现状和发展方向。 ( 2 ) 和主机安全相关的防火墙、反病毒、入侵检测问题，特别是主机防御系统方 面的问题。 ( 3 ) 漏洞扫描模块的原理及其实现。 ( 4 ) 恶意软件模块的原理及其实现。 ( 5 ) 行为监控相关的技术，主要是a p i 调用，钩子，底层驱动，s s d t 表技术等。 在理论研究的基础上，结合项目情况，研究主机防御中的行为监控模块的设计与 实现。 ( 5 ) 硬件加密卡模块的设计 ( 6 ) 主机安全新的技术点，同时远瞻v i s t a 系统存在的安全性问题 山东大学硕士学位论文 3 主动防御系统基础 3 1 主机安全概述 主机安全就是指计算机本身的安全。计算机安全问题始于2 0 世纪6 0 年代末 期。当时，对计算机系统的脆弱性已有所认识，但是由于当时计算机的速度和性 能比较落后，使用范围也不广，使计算机安全的问题一直局限在很小的范围内。 8 0 年代后，随着性能的提高和应用范围的不断扩大，计算机已遍及世界各个 角落。计算机的安全问题也随之日益严重起来。 进入9 0 年代以来，随着计算机网络的不断发展，全球信息化己成为人类发展 的大趋势。i n t e r n e t 使计算机与世界的任何地方的主机得以互连。但是互网络 技术的发展也使计算机网络的安全问题同益复杂和突出。一方面提供了资源共享， 通过分散工作提高了效率，并且还具有扩充性；另一方面增加了网络安全的脆弱 性和复杂性，增加了遭受威胁和攻击的可能性。i n t e m e t 的安全己成为现今信息技 术的主要问题之一。 国际标准化组织( i s o ) 将“计算机安全”定义为：为数据处理系统建立和采取 的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而 遭到破坏、更改和泄露。 计算机安全包括物理安全和逻辑安全。物理安全是指系统设备及相关设施受 到物理保护，免于遭受破坏、损失等。逻辑安全包括信息的完整性、保密性和可 用性。 目前保证逻辑安全的主要内容除了加密以外，对于计算机来说主要是防火墙、 反病毒、入侵检测、入侵防御等等措施。 3 2 防火墙( 硎) 防火墙( f i r e w a l l ) 由软件或和硬件设备组合而成，它处于企业或网络群体计算 机与外界通道( i n t e m e t ) 之间，是能够达到限制外界用户对内部网络访问及管理内部 1 2 山东大学硕士学位论文 用户访问外界网络的一种权刚3 7 1 。 防火墙的主要作用是执行安全策略，提供访问控制，防止不希望的以及未授 权的通讯进出，达到强化内部网络安全和网络的保护等。 防火墙技术主要分为四类，包括：包过滤器、应用级网关、电路级网关、状 态包检查引擎。 目前一些防火墙通常综合采用以上多种技术。下面具体对最为常用的包过滤 和应用代理两类防火墙的特点进行分析。 ( 1 ) 包过滤型防火墙( p a c k e tf i t e r ) 包过滤型防火墙处于t c p i p 协议的口层，它是根据定义的过滤规则审查每 个数据包并判定数据包是否与过滤规则匹配，从而决定数据包的转发或丢弃。过 滤规则是按顺序进行检查的，直到有规则匹配为止。如果没有规则匹配，则按缺 省的规则执行。防火墙的缺省规则应该是禁止。过滤规则基于数据包的包头信息 进行制定。包头信息中包括源地址、m 目的地址、传输协议( t c p ，u d p ，i c m p 等等) 、t c p u d p 目标端口、i c m p 消息类型、t c p 包头中的a c k 位等，因此包 过滤型防火墙只能实现基于m 地址和端口号的过滤功能，它实际上是控制内部网 络上的主机直接访问外部网络，而外部网络上的主机对内部网络的访问则要受到 限制。但一些应用协议不适合于数据包过滤，且它工作在网络层，只能对口和t o p 的包头进行检查，不能彻底防止地址欺骗。 ( 2 ) 代理型防火墙( p o r x y ) 代理型防火墙工作在应用层，在应用层实现防火墙功能。每一种应用都需要 安装和配置不同的应用代理程序，比如访问w e b 站点的h t p ，用于文件传输的 f t p ，用于e m a i l 的5 解p p o p 3 等等。它主要使用代理技术来隔离内部网络和 外部网络之间的直接通信，达到隐藏内部网络的特性。代理型防火墙从一个接口 接收数据，按照预先定义的规则检查可信性，如果可信，就将数据传给另一个接 口。代理技术不允许内网和外网直接对话，真正使得内部系统和外部系统完全独 立。代理型防火墙除了能实现包过滤防火墙的功能外，代理能过滤数据内容，还 能实现基于用户的身份认证功能，以及应用协议内部的更详细的控制功能，通过 采取一定的措施，按照一定的规则，它可以借助代理实现整套的安全策略，可以 1 3 山东大学硕士学位论文 把一些过滤规则应用于代理，让它在高层实现过滤功能，因此它比包过滤防火墙 要安全。但它需要在客户端做一定的配置修改，因而失去了包过滤型防火墙的透 明性；要检查和扫描数据包的内容，按特定的应用协议( 如h t p ) 进行审查，并进行 代理( 转发请求或响应) ，故其速度较慢。 防火墙从发展起来的那一天起，就成为控制对网络系统访问的非常流行的方 法。事实上，在i n t o n e t 上的w e b 网站中，超过三分之一的w e b 网站都是由某 种形式的防火墙加以保护。任何关键性的服务器，都建议放在防火墙之后，任何 对关键服务器的访问都必须通过代理服务器；通常绝大部分企业都采用了企业级 的防火墙，绝大部分的个人电脑也都安装有个人防火墙。 防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符 合安全策略的数据包。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然 允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。或许当你明白 防火墙对d d o s 攻击无能为力的时候，就更能理解防火墙能不能做到什么。 防火墙在主机安全防护方面还存在着一定的不足：有些木马是由服务器端主 动向客户端发起连接的，并且还可以设定通信的端口为常用的8 0 ，2 l 等。这些木 马就可以穿过防火墙，使防火墙不易检测到。另一方面，攻击者可以通过对主机 的正常访问来攻击主机，如缓冲区溢出等攻击。这些攻击往往是建立在正常访问 主机的基础之上的。因此，防火墙对于这样的攻击也是无法检测的。根据c s i f b i 的安全报告显示9 0 的入侵行为可以绕过防火墙；而在网络安全事件中，8 6 的 用户是使用了防火墙的。 3 3 反病毒系统( a v ) 中华人民共和国信息系统安全保护条例中规定：“计算机病毒，是指编制 或者在计算机程序中插入的破坏计算机功能或者损坏数据，影响计算机使用，并 能自我复制的一组计算机指令或者程序代码。 目前来说，我们所说的病毒，广义上除了病毒( 传统病毒，蠕虫，宏病毒， 恶意脚本，破坏性程序等) 外，应该还包括木马程序，而且木马程序已成为互联 网与个人电脑新的安全危险。目前世界上有9 0 的计算机系统曾经被木马入侵过， 1 4 山东大学硕士学位论文 甚至遭受黑客的侵控。据2 0 0 7 年金山毒霸全球病毒疫情监测系统的数据，2 0 0 7 年， 金山毒霸共截获新增病毒样本总计2 4 0 1 5 6 种，主要类型所占的比例如图3 1 所示： 2 0 0 7 年上半年新截获的各类病毒比例 图孓12 0 0 7 上半年病毒比例 由图3 1 可以看出，木马病毒已经占据了6 成多，是以后反病毒系统目标的重 中之重。 另外，对于愈演愈烈的流氓软件，至今为止仍没有一个划分为病毒或者非病 毒的标准与界线，加上商业公司与杀毒软件厂商利益关系的错综复杂，暂时没有 归入病毒系统这个范畴。不过可以肯定，至少有- d , 部分流氓软件，具备中华 人民共和国信息系统安全保护条例中规定的病毒特征，严重影响了用户的正常 使用，存在自我传播等特征，可以归入病毒一类。 2 0 0 6 年中国反流氓软件联盟正式成立，使用法律手段对商业流氓软件进行了 控告；同时，由于奇虎3 6 0 安全卫士、瑞星卡卡等带有反流氓软件功能工具的推 出，减少了流氓软件的生存空间。 在推出流氓软件工具和社会舆论的打击下，以往制造流氓软件的商业公司逐 渐改变了策略。也有些公司出于商业考虑，开始完全退出流氓插件业务。以往被 网民所熟知的“十大流氓软件”，其公司领导人多数已经通过媒体向用户道歉。 从用户投诉来看，正规商业公司制造的流氓软件给用户带来的麻烦在逐步减 少，6 2 0 0 6 年度中国大陆地区电脑病毒疫情互联网安全报告提供的数据表明， 流氓软件求助已经从高峰时期的每月8 0 0 余例，降低到年底的2 0 0 余例。如图3 2 所示。 山东大学硕士学位论文 图孓22 0 0 6 年用户对“流氓软件”的咨询数量 目前反病毒领域对病毒的防范，仍主要依靠传统的特征码扫描技术。为了对 抗各种反病毒软件的检测，病毒设计者采用了加密、程序演化、重定位等各种变 形技术，使同一种病毒在传染过程中以千差万别的姿态出现，导致反病毒软件在 检测过程中漏查漏杀现象频繁出现。( 2 0 0 6 年中国互联网安全报告中指出：由 于制作工具的泛滥，病毒变种增多。随着计算机技术的普及，病毒的制作也逐渐 呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特 定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低，很多具备一定 计算机知识的用户可以根据自己的需要对其自行组合。因此2 0 0 6 年病毒的变种迅 速增加，以典型的“灰鸽子”木马为例，高峰时期几乎每天增加1 0 余个不同变种， 迄今为止共出现了5 、6 万余种变种。而且这类木马往往通过自我升级功能频繁的 进行更新以对抗反病毒软件。 传统的a v 技术在走入2 0 0 0 年后，虽然也在不断发展，但已经趋于平缓。从 引擎技术上没有再催生当年类似虚拟机技术那样的变革，企业级反病毒的体系机 构也没有更多的突破。而同时病毒的侵害有增无减，每次大规模的蠕虫爆发都会 削弱广大用户对于反病毒体制的信心。 采用虚拟机技术、主动内核技术i 启发式查杀技术和行为查杀技术及其结合 的智能查杀技术是今后反病毒技术的发展方向。 1 6 山东大学硕士学位论文 3 4 入侵检测系统( io s ) 入侵检测( i n t r u s i o nd e t e c t i o n ) 是指监视或在可能的情况下，阻止入侵或试图控 制你的系统或网络资源的那种努力【2 3 】。它通过探测控制为技术本质，对计算机网 络或计算机系统中的若干关键点收集信息，并对其加以分析，从中发现网络或系 统中是否有违反安全策略的行为和被攻击的迹象。通常，入侵检测的核心融入了 人工智能和数据挖掘的相关技术，通过分析获得相关数据，最终得出结果提交给 系统管理者决策。一个合格的入侵检测系统能大大地简化系统管理员的工作。 入侵检测技术所采用的主要方法有：基于统计模型的入侵检测方法，基于人 工神经元网络的入侵检测方法【9 】等。入侵检测系统检测对计算机或网络未经授权的 使用或攻击，它可以检测到企图破坏计算机或网络的保密性、完整性和可用性的 行为。这种行为是来自因特网上的攻击者、滥用权限的内部授权用户以及企图获 得未授予权限的内部非授权用户。 作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了 系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息 安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不 影响网络性能的情况下能对网络进行监测，有效防止或减轻网络中的潜在威胁， 保证网络安全可靠的运行。 不断增大的网络流量和攻击知识的不断增加，以及攻击手法的越来越复杂， 要求安全策略要适应多样性环境。如果攻击特征库的更新不及时，直接影响采用 模式匹配分析方法的入侵检测系统的检测准确性，会出现误报率和漏报率居高不 下，日志过大，报错过多等问题。如果重要数据夹杂在过多的一般性数据中，管 理员往往淹没于成百上千的日志信息，疲于处理海量的报错( 包括真正的和错误 的) ，很容易忽略掉真正的攻击。还有若对i d s 自身攻击成功，则直接导致其报错 失灵，入侵者在其后所作的行为将无法被记录。 3 5 入侵防御系统( ip s ) 入侵防御系统是指能够保证计算机网络与计算机系统免受攻击、溢出、病毒等 1 7 山东大学硕士学位论文 破坏与攻击的计算机系统。而参考文献 5 】则定义入侵防护系统是结合入侵检测系 统，同时增加了智能防御功能。即：入侵防御系统又称为i d p ( i n t r u s i o nd e t e c t i o n & p r e v e n t i o n ，入侵检测和防御系统) ，是指不但能检测入侵的发生，而且能通过一 定的响应方式，实时地终止入侵行为的发生和发展，实时保护信息系统不受实质 性攻击的一种智能化安全产品。 入侵防御系统应该具备以下特征，以区分入侵检测系统： _ 具有智能分析网络通信与计算机功能的能力，以便检测出潜在的安全威胁。 基于智能分析，具备能够自动阻断或者阻止各种危险操作。 具备自动、快速、实时响应能力，以便在破坏未发生前主动识别、告警、中止。 入侵防御系统( i n t r u s i o np r e v e n t i o ns y s t e m i p s ) 是下一代主流安全系统。它不仅 可进行检测攻击行为，还能在攻击造成损坏前阻断它们，从而将入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m i d s ) 提升到一个新水平。 入侵防御系统可以分为基于网络的n i p s 和基于主机的h i p s 。 3 5 1 基于网络的入侵防御系统( n i p s ) n i p s 的设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成 损失，而不是简单地在恶意流量传送时或传送后才发出警报。图3 3 是基于网络 的入侵防御系统( n i p s ) 框图 图3 - 3n i p s 引擎 山东大学硕士学位论文 暑詈詈詈皇量詈詈曼詈詈詈詈詈詈!皇!詈!詈!暑!量!皇!皇!詈!曼鼍曼鼍曼鼍詈鼍曼=一mm m , , m 皇暑鼍 n i p s 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收 来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过 另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来 自同一数据流的后续数据包，都能在n i p s 设备中被清除掉。n i p s 实现实时检查 和阻止入侵的原理在于n i p s 拥有数目众多的过滤器，能够防止各种攻击。当新的 攻击手段被发现之后，n i p s 就会创建一个新的过滤器。 n i p s 数据包处理引擎采用专业化定制的集成电路，可以深层检查数据包的内 容。如果有攻击者利用二层至七层的漏洞发起攻击，n i p s 能够从数据流中检查出 这些攻击并加以阻止。传统的防火墙只能对三层或四层进行检查，不能检测应用 层的内容。防火墙的包过滤技术不会针对每字节进行检查，因而也就无法发现攻 击活动。而n i p s 可以做到逐一字节地检查数据包，所有流经n i p s 的数据包都被 分类，分类的依据是数据包中的报头信息，如源m 地址和目的口地址、端口号和 应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进， 包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为，n i p s 需要不同的过滤器。每种过滤器都设有相应的过 滤规则。为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时， 过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上 下文分析，以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据 包过滤检查。并行过滤处理可以确保数据包能够不问断地快速通过系统，不会对 速度造成影响。这种硬件加速技术对于n i p s 具有重要意义，因为传统的软件解决 方案，必须串行进行过滤检查，因而会导致系统性能大打折扣。 n i p s 通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在 线连接方式，所以一旦辨识出入侵行为，n i p s 就可以去除整个网络会话，而不仅 仅是复位会话。同样由于实时在线，需要具备很高的性能，以免成为网络的瓶颈， 因此通常被设计成类似于交换机的网络设备提供线速吞吐速率以及多个网络端 口。 n i p s 必须基于特定的硬件平台才能实现千兆级网络流量的深度数据包检测和 1 9 山东大学硕士学位论文 阻断功能，这种特定的硬件平台通常可以分为三类： _ 网络处理器州p ) ( 网络芯片) 一专用的f p g a 编程芯片 专用a s i c 芯片 在技术上，n i p s 吸取了目前n i d s ( 基于网络的入侵检测系统) 所有的成熟 技术，包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术，具 有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征，还 要检查当前网络的会话状态，避免受到欺骗攻击。 协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序性， 并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析正在逐 渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理，以此分析这些协 议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准( 如 r f c ) ，还基于协议的具体实现。这是因为很多协议的实现偏离了协议标准。通过 协议分析，n i p s 能够针对插入与规避攻击进行检测，异常检测的误报率比较高， n i p s 不将其作为主要技术。 3 5 2 基于主机的入侵防御系统( h i p s ) h i p s 的设计宗旨是对即将产生破坏作用、危害计算机安全的操作、活动进行 警告，拦截，中止等，避免其对目标计算机产生恶意的攻击。 基于主机的入侵防御系统将主机的系统操作、调用、服务、日志等作为信息 来源，通过监视和分析受保护主机( 如关键服务器，数据库等) 的相关行为与安 全记录，来检测恶意攻击与入侵行为。 h i p s 通过在主机、服务器上安装软件代理程序，防止网络攻击入侵操作系统 以及应用程序，发现并智能阻止已经潜伏在计算机内的异常程序进行恶意操作与 攻击。基于主机的入侵防御能够保护服务器的安全弱点不被不法分子所利用，因 此它们在防范蠕虫、病毒、木马、恶意程序等方面的攻击中起到了很好的防御作 用。 基于主机的入侵防御技术，可以根据自定义的安全策略以及分析学习机制来 山东大学硕士学位论文 阻断对服务器、主机发起的恶意入侵。h i p s 可以发现与阻断缓冲区溢出、恶意进 程、文件破坏、d u 注入与远程线程、注册表可疑修改、改变登录口令、改写动态 链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水 平。 在技术上，h i p s