（计算机应用技术专业论文）校园网环境下的入侵防御系统研究.pdf

摘要 摘要 随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面网络病 毒泛滥、遭受攻击的速度同益加快，另一方面网络受到攻击做出响应的时间却 越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术显得力不从心，被 动防御技术对新的攻击方法往往不能正确识别，从而陷入被动的地位。入侵防 御系统( i p s ，i n t r u s i o np r e v e n t i o ns y s t e m ) 是近两年新兴起的一种网络安全 技术。i p s 比防火墙和入侵检测系统( i d s ，i n t r u s i o no e t e c t i o ns y s t e m ) 具有 更高的主动性，具备一定程度的智能性，能够保护计算机网络系统免受未知类 型的攻击。 本课题首先对目前高校网络安全现状做了深入调查，接着对防火墙技术和 入侵检测技术进行了系统研究，并且分析了两种技术的缺点及入侵检测系统与 防火墙联动来防御网络攻击在性能和可靠性方面的不足，深入分析了目前入侵 防御系统工作原理、分类及关键问题和发展趋势。本文设计了一个基于校园网 的入侵防御系统体系，给出了系统的整体架构与主要功能结构。 最后，对本文所做的工作进行了总结，并指出了需要进一步研究和完善的 方面。 关键词：网络安全；防火墙；入侵检测：入侵防御 a b s t r a c t a b s t r a c t w i t ht h ei n c r e a s i n gi n v a s i o na f f a i r sa n dt h ei m p r o v e da t t a c kl e v e l s ，o nt h eo n e h a n d ，n e t w o r ki n f e c t i o n ，v i r u sa n di n t r u s i o na t t a c k sa c c e l e r a t e ，o nt h eo t h e rh a n dt h e r e s p o n s et on e t w o r ka t t a c k sa r ei n c r e a s i n g l yl a g g i n gb e h i n dt h et i m e t or e s o l v et h i s c o n t r a d i c t i o n ，t h et r a d i t i o n a lf i r e w a l lo ri n v a s i o nd e t e c t i o nt e c h n o l o g yc a n tm e e to u r r e q u i r e m e n t f o rt h en e wa t t a c km e t h o d so f t e nc a i ln o tb ec o r r e c t l yi d e n t i f i e db y t h e s ep a s s i v ed e f e n s et e c h n o l o g i e s ，a n dt h u sl a p s ei n t oap a s s i v ep o s i t i o n 。t of i n da s o l u t i o nt ot h es h o r t c o m i n go ft h ef i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，a n e wt e c h n o l o g yc o m e si n t ob e i n g i ti si n t r u s i o np r e v e n t i o ns y s t e m ( i p s ) i p si sa n e wn e t w o r ks a f e t yt e c h n o l o g yd e v e l o p e di nr e c e n ty e a r s ，i ti sm o r e i n t e l l i g e n ta n d a c t i v et h a nf i r e w a l la n di d s ， a n dc a np r o t e c tc o m p u t e ra n dn e t w o r kf r o mu n k n o w n a t t a c k 。 i nt h i st h e s i s ，w ef i r s td oa t h o r o u g hi n v e s t i g a t i o nu p o nt h ec u r r e n ts t a t u so ft h e c a m p u sn e t w o r ks e c u r i t y , t h e nr e s e a r c ht h et e c h n o l o g yo ft h ef i r e w a l la n di d s ， d i s c o v e rt h es h o r t c o m i n go ft h e ma n da n a l y s e st h ew e a k n e s sf r o mp e r f o r m a n c ea n d d e p e n d a b i l i t yo fm e t h o dt h a tu s e st h e i n t e r a c t i o nm o d e lt od e f e n da g a i n s tt h e n e t w o r ka t t a c k ，w h i c hc o m b i n e st h ei d sa n df i r e w a l lf o rd e f e n d i n g i s s u e s a n a l y z e t h eo p e r a t i o np r i n c i p l e , c l a s s i f i c a t i o n , k e yq u e s t i o n sa n dt r e n do fi p s i nt h i st h e s i s ， w ed e v i s e da l li p sf o rt h ec o l l e g en e t w o r ka n ds c h e m e so u tt h es t r u c t u r ea n d f u n c t i o no ft h ei p s f i n a l l y , as u m m a r yi sg i v e na n dt h ef u t u r er e s e a r c hd i r e c t i o n sa r ea l s op o i n t e d o u t k e y w o r d s ：n e t w o r ks e c u r i t y ；f i r e w a l l ；i n t r u s i o nd e t e c t i o n ；i n t r u s i o np r e v e n t i o n i i 学位论文独创性声明 学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得直昌太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名( 手写) ；牟劾甥签字只期： 年r 歹月3 勿日 学位论文版权使用授权书 本学位论文作者完全了解直昌太堂有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权直昌太堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编本学位论文。同时授 权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名( 手写) ： 签字同期：沙矽年，? 月扣日 导师签名( 手写) ： 签字嗍吖引硼细 第1 章引言 1 1校园网络安全现状 第1 章引言 进入2 l 世纪以来，网络进入飞速发展的时代，在社会生活的各个方面都得 到了广泛的应用，使得人们的工作、生活、学习以及思维方式在一定程度上有 很大的变化。与此同时，互联网络的开放性、资源的共享性，使网络入侵和攻 击成为可能，并且这些安全事件的发生呈日益上升的趋势，给国家和人们的生 生活带来了极大的损害。校园网作为校园教学、科研交流的平台，也遭受了 前所未有的安全威胁，其主要体现在以下几个方面： ( 1 ) 操作系统的漏洞，应用程序中的b u g ，t c p i p 通信协议族本身在安 全设计方面存在缺陷等等，这些不足给黑客的某些攻击手段提供了极大的方便， 例如常见的缓冲区溢出攻击、特洛伊木马等。拒绝服务( d d o s ) 攻击目前越来越 普遍，不少开始针对高校的网站和服务器，同时，分布式的拒绝服务攻击( d d o s ) 会使攻击主体转移，责任追查困难。 ( 2 ) 病毒和蠕虫，在高速大容量的局域网络中，各种病毒和蠕虫，不论新 旧都很容易通过不小心的用户或有漏洞的系统迅速传播扩散。其中特别是新发 的网络蠕虫，常常可以在爆发初期的几个小时内就闪电般席卷全校甚至全球， 造成网络阻塞甚至瘫痪。 ( 3 ) 网络资源滥用，在校园网中总会出现滥用带宽等资源以致影响其它用 户甚至整个网络正常使用的行为，如各种扫描、广播、访问量过大的视频下载 服务，非法t c p 、u d p 、i p 连接等，使得正常的教学、工作受到很大的影响。 近年来随着新的技术不断出现并且被大规模应用，网络攻击的手段已呈现 出分布式，各种系统的安全漏洞也暴露出来，攻击者利用这些漏洞发动攻击， 并发展出多种攻击方法，许多新的攻击方法不仅仅利用基本网络协议，还会嵌 入在上层应用协议中攻击数据，从而逃避防火墙的拦截。另外，病毒、蠕虫、 木马等种种威胁构成的混合型威胁，导致来自网络内部的攻击数量大大增加， 更加提高了网络安全防御的难度。可预见未来的攻击势必将更快、更难检测、 规模更大，损坏也将更严重。 第1 章引言 1 2 研究动机及目的 目前学校的网络系统安全主要由防火墙和入侵检测两大支柱技术来保障， 这两大技术对网络系统的安全都曾经起到重大的作用，为维护网络系统的安全 做出过巨大的贡献。但是，随着网络环境的变化和攻击手段的发展，这些防护 手段的局限性也暴露无遗。防火墙，基于第三层的路由访问控制，本身也容易 受到攻击，且对于内部网络出现的问题经常束手无策，据统计大于3 5 的网络 攻击是针对具有防火墙的系统，且有近7 0 的攻击是从内部进行的，防火墙的 安全策略是静态的，不能够适应实时变化的动态网络安全环境的需要等，i d s 入侵检测系统是保障网络正常运行的重要工具，具有识别入侵特征和安全审计 等功能，入侵检测系统可以检测出已知的和未知的入侵，是一种主动式安全检 测技术。人们一度曾经寄希望于入侵检测系统可以一劳永逸的解决网络入侵问 题，但事实结果却并不理想。i d s 只能检测到入侵，并不能对入侵采取任何的 防御措施，管理员必须时刻关注着i d s 的海量报警，往往入侵过程己经结束， 管理员才知道受到攻击。还有i d s 的误报漏报率较高，其缺点给网络管理员的 工作难度增加许多。相对于防火墙良好的实时性来说，i d s 的效率要低得多。 从以上的讨论可以看出，防火墙、入侵检测系统和防病毒软件目前还是存 在着很大的缺陷，不能对计算机和网络进行全面的保护，我们急需找到一种比 较全面的解决方案来解决目前的现状。面对这种需求，计算机和网络安全领域 的专家们又提出了入侵防御的概念。入侵防御系统( i p s ，i n t r u s i o np r e v e n t i o n s y s t e m ) 是集i d s 与防火墙与一体，其检测功能类似于i d s ，但i p s 检测到攻击 后会立即采取行动阻止攻击，可以说i p s 是基于i d s 并建立在i d s 发展基础上 的新生网络安全系统。 1 3 研究内容 本课题源于宜春学院校园网建设和网络安全维护工程，研究内容是基于校 园网的入侵防御系统的研究与设计。本文首先分析了当前校园网的网络安全形 势，研究了防火墙和入侵检测系统的两种安全技术，指出了两者在安全防护方 面的缺陷和两者联动的不足，进而引进一种新的网络安全技术一入侵防御系统。 论文就入侵防御系统的相关知识进行详细的分析研究，并设计了由i p s 、i d s 2 第1 章引言 及防火墙组成的安全防御系统模型，给出了系统工作流程与实现方法，最后对 论文进行了总结及对未来研究的一些展望。 1 4 论文结构 本文共分为七章： 第一章：引言。首先介绍了校园网络安全形势，研究的动机与目的，本课 题的研究内容，最后列出了论文的组织结构。 第二章：现有安全技术介绍。介绍了防火墙与入侵检测技术的基本知识， 对防火墙、入侵检测进行分类研究。分析了防火墙的体系结构和功能与入侵检 测的未来发展方向。 第三章：分析研究了防火墙技术和入侵检测技术在安全防御的不足及两者 之间联动的局限性。 第四章：入侵防御系统技术介绍。介绍了入侵防御系统的工作原理，分类 等。 第五章：介绍校园网的基本情况，网络结构图，并在校园网的基础上设计 了入侵防御系统，设计了系统模型，给出了匹配算法和通信方式以及工作流程。 第六章：总结与展望。对论文进行了总结，提出下一步研究的方向，并指 出了需要进一步研究和完善的方面。 3 第2 章舫火墒! i 入侵椅j 1 1 1 披术 21 防火墙技术 第2 章防火墙与入侵检测技术 211 防火墙概述 在网络巾，防火墙( f i r e w a n ) 足一种用柬加强网络之问访问挖制的特殊网 络互联设备，如图2 i 所示。防火墙被嵌入到i n t r a n e t 与i n t e m e t 之问，从而建 立受控制的连接并形成外部安全墙或说是边界。其目的在于防止内网收到来自 i n t e m e t 的攻击，并在安全性将受到影响的地方形成阻塞点。 工作站 削2l 防火墙布置幽 防火墙一方面对流经它的网络通信进行扫描，过滤掉一些可能攻击内部网 络的数据。另一方面防火墙迁可以关闭不使用的端口，能禁止特定端口的通信。 另外，它还可以禁止柬自特殊站点的访问，从而防止外柬入侵。 21 2 防火墙功能 防火墙主要有以下功能特点： ( 1 ) 构筑安全屏障，控制不安仝服务 肪火墙通过过滤存在小安全的网络服务米降低内部刚络遭受攻击的威胁 只有经过授权的怫议和服务爿能通过防火墙，使州络蚪境变得更安全。 ( 2 ) 强化网络安伞策略【3 i 、。j i 一 务 彩当墨棼 庶j - ，、 一 第2 章防火墙与入侵检测技术 通过以防火墙为中心的安全方案配置，能将相应的安全功能( 如口令、加密、 身份认证、审计等) 配置在防火墙上。这种方式与将网络安全问题分散到各个主 机上相比，防火墙的集中安全管理更经济。如一次性密码口令系统和其他身份 验证系统完全可以集中在防火墙上，而不必分散到各个主机。 ( 3 ) 网络日志记录和使用统计 如果所有的访问都经过防火墙，那么防火墙的过滤引擎就能记录下这些访 问行为，并做出相应的同志记录，同时也能为管理员提供网络使用情况的统计 数据。网管员通过这些日志记录对一些可能的攻击进行分析、报警、提供网络 被监测、试探或攻击的详细资料。 ( 4 ) 防止内部信息的外泄 通过防火墙对内部网络的划分，可实现重点网段的隔离，从而限制了局部 重点或敏感网络的安全问题对全局网络造成的影响。一个内部网络不引人注意 的细节可能包含了有关安全线索而引起夕 部攻击者的兴趣，甚至因此而暴露了 内部网络的某些安全漏洞，使用防火墙就可以隐蔽那些透漏内部细节，如 f i n g e r ，d n s 等服务。 ( 5 ) 其他功能【引 除了安全作用外，防火墙还是一些与完全无关的i n t e m e t 功能的方便平台。 如：网络地址转换器，它将本地映射成i n t e m e t 地址；网络管理功能，它用来审 计和记录i n t e m e t 的使用；i p s e c 平台，提供安全隧道来进行远程访问与管理。 防火墙可以是一台计算机系统，也可以是由两台或更多的系统协同工作起 到防火墙的作用。防火墙作为内部网络访问i n t e i l t e t 网以及i n t e r n e t 上的主机访 问内部网络主机的唯一出入口。 2 1 3 防火墙分类 防火墙技术从诞生的时候起到今天，随着人们对网络安全需求的日益迫切， 无论是在理论上还是实践上，都已经获得了较大的发展。从防火墙访问控制理 论和实践发展的轨迹来看，防火墙的访问控制技术模型共分为以下三种类型： ( 1 ) 包过滤防火墙 包过滤防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包 做允许或拒绝的决定，其主要原理是依据防火墙事先设定好的过滤规则，检查 5 第2 章防火墙与入侵检测技术 数据流中每个数据包头部分，根据数据包的源地址、目的地址，端口号及数据 包头中的各种标志位等信息来确定是否允许该数掘包通过，其核心是安全策略 即过滤规则的设计。这种防火墙可以与现有的路由器集成，也可以用独立的包 过滤软件实现。 包过滤的工作流程如图2 2 所示。 包过滤防火墙的最大的优点就是它对于用户来说是透明的，部署容易，与 应用层无关，不用改动客户机和主机上的应用程序。这种防火墙速度快而且易 于维护，通常作为第一道防线。包过滤路由器的弊端也是很明显的，配置繁琐 是包过滤防火墙的一个缺点。此外，它没有用户的使用记录，这样我们就不能 从访问记录中发现黑客的攻击记录，它可以阻止外部对私有网络的访问，却不 能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤， 即不能鉴别不同的用户和防止i p 地址盗用。 图2 2 包过滤防火墙 ( 2 ) 应用网关 应用网关有时也被称为代理服务器，如图2 3 ，它在应用级的通信中扮演着 一个消息传递者的角色。用户使用t e l n e t 和f t p 之类的t c p i p 应用程序时， 建立了一个到网关的连接，这个网关要求用户出示将要访问的异地计算机的正 确名称。如果用户给出了一个有效的用户i d 和验证信息，网关就建立一个异地 6 第2 章防火墙1 经捡删技术 计算机的应用级连接，并开始在两者之白j 传递包含着应用数据的t c p 数据段， 如果网关无法执行某个应用的代理码，服务就无法执行，也不能通过防火墙发 送，而且网关可以被设置成为只能支持网管员所愿意接受的某些应用程序，而 拒绝其他的所有服务。应用网关发生在应用层，它最太的优点是易于配置、能 生成各项记录、能灵活地控制进出的流量和内容、能为用户提供透明的加密机 制以及方便地与其他安全手段集成。应用网关也存在缺陷：每个应用都需要一 个不同的应用程序网关( 集成在代理服务器界面下) 、所有数据都由网关转发会 引起性能下降、客户和应用网关都需要额外的配置，同时，它将操作系统和应 用层的b u g 暴露出来。 图23 应用网关 ( 3 ) 状态检测防火墙 所谓状态检测技术就是在包过滤的同时。检查数据包之间的关联性，检查 数据包中动态变化的状态码。通过监测引擎肘网络通信的各层实施监测，抽取 状奋信息。并动态地保存起来作为执行安全策略的参考。当用户访问请求到达 网关的操作系统前，状盎监视器要抽取有关数据进行分析，结合网络配置和安 全规则执行允许、拒绝、身份认证、报警或数据加密等处理动作。 状态检测防火墙保留状态连接表并将进出网络的数据当成一个个的会话， 利用状奄表跟踪每一个会话状态，状态监测对每一个包的检查不仅根据规则表， 市考虑了数据包是否符合会话所处的状态，因此提供了完成的对传输层的控制 能力。状态检测型防火墙的另一个优点是对r p c 或u d p 等无连接的协议，检 测模块可以创建虚会话信息柬进行跟踪。这种防火墙无疑是非常坚丽的，但它 会降低网络的速度，且配置比较复杂。 射2 带舫火墒与八促检测技术 22 入侵检测系统( i d s ) 入侵检测技术( i n t r u s i o n d e t e c t i o n t e c h n i q u e s ) 是在八十年代提出米的。入侵 榆测技术提出后，得到了人们的重视，被认为是解决网络安全行之有效的方法。 入侵检测技术足对主机或网络系统的运行状态进行监视，发现各种攻击企图、 攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性的计算机 安仝技术。其主要部署如图2 4 所示 甩务器 蚓24i d $ i ：作剖 其盘换机l 配置的命为 m o l l l t o fs e s s i o nls o u f c ev l a nl 一3 0 0 一需婪监测的v l a n * m o n l t o rs e s s i o n1d e s t i n a t i o ni n t e r f a c eg i l 1 1 镜像的目的端口+ 2 21 入侵检测系统功能 入侵榆测系统的基本功能包括： ( i ) 监控、分析用户和系统的行为； ( 2 ) 榆青系统的配置和漏洞： ( 3 ) 鉴别对系统漏洞及后门的利用； ( 4 ) 对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。 ( 5 ) 对操作系统进 | j - 审计、跟踪管理、识别违反授权的片l 户活动。 i d s 被认为是防火墙之后的第二道安全闸门，是对计算机和网络资源的恶 意使用行为进行识别的系统。它的目的足监测和发现z 4 能存存的攻击行为，包 第2 章防火墙与入侵检测技术 括来自系统的入侵行为和来自内部的非授权行为，并采取相应的防护手段，从 而提供对内、外部攻击和误操作的实时保护。 2 2 2 入侵检测系统的结构 入侵检测系统一般是由事件发生器、事件分析器、响应单元与事件数据库 组成，如图2 5 所示。 图2 5 入侵检测系统的框架结构图 1 事件发生器 事件指的是入侵检测系统需要分析的数据，事件发生器产生的事件可能是 经过协议解析的数据包，或者是从日志文件中提取的相关部分。 2 事件分析器 事件分析器根据事件数据库的入侵特征描述，历史用户行为模型等，解析 事件发生器产生的事件，得到格式化的描述，判断什么是合法的，什么是非法 的。 3 响应单元 响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改 变文件属性或报警等响应。 4 事件数据库 事件数据库存放攻击类型数据或者检测规则，它可以是复杂的数据库，也 可以是简单的文本文件。事件数据库储存有入侵特征描述、用户历史行为等模 9 第2 章防火墙与入侵检测技术 型和专家经验。 2 2 3 入侵检测系统分类 2 2 3 1 根据系统所检测的对象分类 根据系统所检测的对象可分为基于主机( h o s t b a s e d ) 的入侵检测系统和基 于网络( n e t w o r k b a s e d ) 入侵检测系统 1 基于主机的入侵检测系统( h i d s ) h i d s 通常被安装在被重点检测的主机之上，主要任务是保护所在的计算机 系统，它一般是以系统只志、应用程序日志、安全记录等为数据源。通过监视 与分析主机中的上述文件来检测入侵，当有文件发生变化时，i d s 将新的记录 条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警 并向别的目标报告，以采取措施。h i d s 的主要目的是在事件发生后提供足够的 分析来阻止进一步的攻击。 基于主机的入侵检测系统包括【1 8 】： ( 1 ) 确定攻击是否成功。由于基于主机的i d s 使用含有己发生事件信息， 它们可以比基于网络的i d s 更加准确地判断攻击是否成功。在这方面，基于主 机的i d s 是基于网络的i d s 完美补充，网络入侵检测系统可以尽早提供预警， 主机入侵检测系统可以确定攻击成功与否。 ( 2 ) 监视主机上特定用户活动和系统运行情况。基于主机的i d s 可以监控 用户登录系统和退出系统情况，能够监控主机用户的行为，如执行命令、操作 文件，也可以监控进程的运行情况。 ( 3 ) 能够检测出基于网络的系统检测不出的攻击，基于主机的系统可以检 测到那些基于网络的系统察觉不到的攻击。例如，来自主要服务器键盘的攻击 不经过网络，所以可以躲开基于网络的入侵检测系统。 ( 4 ) 不要求额外的硬件设备，记录花费低廉。 基于主机的入侵检测系统存在的弱点。 ( 1 ) 主机入侵检测系统安装在我们需要保护的设备上这会降低应用系统的 效率。此外，它也会带来一些额外的安全问题，主机一旦安装了入侵检测系统 后，会导致将本不允许安全管理员有权力访问的服务器变成他可以访问的了。 ( 2 ) 主机入侵检测系统依赖于服务器固有的日志与监视能力。并且，h i d s 1 0 第2 章防火墙与入侵检测技术 必须配置在每一台需要保护的主机上，给被监视的主机带来了额外的负担。 ( 3 ) 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情 况。对入侵行为的分析的工作量将随着主机数目增加而增加。 2 基于网络的入侵检测系统( n i d s ) n i d s 放置在比较重要的网段内，其数据源是网络上规范的t c p i p 协议数 据包。即通过在共享网段上对通信数据的侦听采集数据，对每一个数据包进行 特征分析。如果数据包与系统内置的某些规则吻合，n i d s 的响应模块就提供多 种选项实现通知、报警并对攻击采取相应的反应。反应因系统而异，但通常都 包括通知管理员、中断网络连接证据收集等。与主机的入侵检测不同，它工作 在o s i r m 的网络层，更适用于检测系统应用层以下的低层攻击事件。 n i d s 具有以下的特性： ( 1 ) 可检测低层协议的攻击。n i d s 检查所有数据包的头部和有效负载的 内容，从而能很好地检测出利用低层网络协议进行的攻击。 ( 2 ) 攻击者不易转移证据。n i d s 使用正在发生的网络通信数据进行实时 攻击的检测，所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法， 而且还包括可识别黑客身份的信息，甚至可以检测未成功的攻击和不良意图。 ( 3 ) 不需要改变服务器等主机的配置。n i d s 不会在主机上安装额外的软 件，从而不会影响这些机器的c p u 、i o 与磁盘等资源的使用，不会影响系统 性能。 ( 4 ) 风险低。基于网络的入侵检测系统不同于路由器、防火墙等关键设备 的工作方式，不会成为网络系统中的关键路径。因此，基于网络入侵检测系统 发生故障不会影响正常业务的运行，部署一个基于网络的入侵检测系统的风险 比基于主机的入侵检测系统的风险少得多。 ( 5 ) 服务器平台独立。基于网络的入侵检测系统监视通信流量而不影响服 务器平台的变化和更新。 虽然基于网络的入侵检测系统具有许多优点，但是在实际应用中仍存在许 多不足，具体如下： ( 1 ) 只能检测与它直接连接网段的通信，不能检测在不同网段的网络包。 ( 2 ) 检测复杂的攻击较弱。基于网络的入侵检测系统为了性能目标通常采 用特征检测的方法，这就导致它只能检测出一些普通的攻击，而很难实现一些 复杂的需要大量计算与分析时问的攻击检测。 第2 章防火墙与入侵检测技术 ( 3 ) 基于网络的入侵检测系统可能会将大量的数据回传分析系统中。 ( 4 ) 基于网络的入侵检测系统处理加密的会话过程较困难，目前通过加密 通道的攻击尚不多，但随着i p v 6 的普及，这个问题会越来越突出。 2 2 3 2 按采用的分析方法分类 按采用的分析方法可分为异常检测和误用检测 1 异常检测( 灿1 0 m a l yd e t e c t i o n ) 假定所有的入侵行为与正常行为不同，建立j 下常活动的规则，当主体活动 违反其统计规律时，则将其视为可疑行为，该技术的关键是异常阀值和特征的 选择。异常检测的优点在于它不依赖对已知攻击的识别，只要i d s 能检查出攻 击者与正常的调用有较大的不同，就能检测出攻击。所以异常检测能更好地捕 获那些富经验的攻击者，因为攻击者不能预知哪些入侵行为可以不被发现。异 常入侵检测分析技术，在异常入侵检测中，最广泛使用的较为成熟的技术是统 计分析。另一种主要的异常检测技术是神经网络技术。此外，还有许多其他异 常检测方法出现在各种文献中，如基于模式预测的异常检测方法、基于数据挖 掘的异常检测方法以及基于计算机免疫学的检测技术等【7 】。 与特征检测一样，异常检测也有一些局限性。异常检测只能识别出那些与 正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环 境的适应性不强，且缺乏精确的判定准则，难以配置，异常检测经常会出现虚 报情况。 异常检测可分为以下几种： ( 1 ) 统计异常检测：统计异常检测方法根据异常检测器观察主体的活动， 产生刻画这些活动的行为轮廓。每一个轮廓保存记录主体当前行为，并定时地 将当前的轮廓与存储的轮廓合并。通过比较当前轮廓与存储的轮廓来判断异常 行为从而检测出网络入侵【2 9 1 。 ( 2 ) 基于模式预测异常检测：基于模式预测异常检测方法的假设条件是事 件序列不是随机的而是遵循可辨别的模式。根据观察到的用户行为，归纳产生 出一套规则来构成用户的轮廓框架。如果检测到的事件背离根据规则预测到的 事件，那么系统就能够检测出这种偏离，这就表明用户的操作是异常的。 ( 3 ) 基于特征选择异常检测：基于特征选择异常检测方法是通过从一组度 量中挑选能检测出入侵的度量构成了集来准确地预测或分类已检测到的入侵。 1 2 第2 章防火墙与入侵检测技术 ( 4 ) 基于神经网络异常检测：基于神经网络异常检测方法是训练神经网络 连续的信息单元。用户通过输入正常的数据和带有入侵特点的数据来训练神经 网络，经过历练的就可以主动地对入侵的行为进行判断。 2 误用检澳l j ( m i s u s ed e t e c t i o n ) 误用检测( m i s u s ed e t e c t i o n ) y 称之为特征检测，基于模式匹配原理。适用 r 了：检测已知使用模型的可靠检测，关键是模式匹配，模式匹配指的是将所 有入侵行为和手段及其变种表达为一种模式特征，建立一个入侵模式特征 j 4 二。当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行 为是入侵。采用模式匹配，误用检测能明显降低误报率，但却过度依事先 定义好的安全策略及攻击特征的细微变化，无法检测系统未知的攻击行为。 随黄网络带宽的增长，计算花费代价也越来越大，当带宽超出了i d s 的承受能 力时，i d s 就会漏包或者丢包。常用的误用检测主要有以下几种【5 】： ( 1 ) 状态建模：它将入侵行为表示成许多个不同的状态。如果在观察某个 可疑行为期问，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲 是时间序列模型，可以再细分为状态转换和p e t r i 网，前者将入侵行为的所有状 态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的p e t r i 网。 ( 2 ) 专家系统：通过将安全专家的知识表示成i f t h e n 规则形成的专家 知识库，然后运用推理算法进行入侵检测。一般情况下，专家系统的检测能力 强大，灵活性也很高，但计算成本较高，通常以降低执行速度为代价。 ( 3 ) 状态迁移分析：将攻击表示成一系列被监控的系统状态迁移。攻击模 式的状态对应于系统状态，并具有迁移到另外状念的条件断言，通过弧将连续 的状态连接起来表示状态改变所需要的事件。 ( 4 ) 条件概率：将网络入侵方式看作一个事件序列，然后通过所观测到的 各种网络事件的发生情况来推测入侵行为的发生。 2 2 4 入侵检测技术的发展方向 随着网络应用技术的发展，核心网络带宽容量的加大及用户对带宽要求迅 速增加，使高带宽、高流量的网络安全技术产品成为应用的焦点。如何在高带 宽、高流量网络下提高入侵检测速度，己经成为各i d s 生产商的当务之急。现 1 3 第2 章防火墙与入侵检测技术 如今几乎每天都有新攻击方法产生和新漏洞发布，如何减少i d s 漏报、误报， 这对模式特征库的及时更新升级提出较高地要求。单一的检测技术已经不能适 应当前的网络安全要求。未来的入侵检测技术大致朝以下几个方面发展。 1 ) 分布式入侵检测技术。传统的入侵检测技术只局限于单个网络或主机，不 同的入侵检测系统之间也不能协同工作，对于大规模的分布式攻击，这种 情况会造成大量信息处理的遗漏。分布式入侵检测主要指针对分布式网络 攻击的检测方法，不同的入侵检测系统可以相互协作，交换信息。其关键 技术为检测信息的协同处理与入侵攻击的全局信息的提取。 2 ) 智能检测。使用智能化的方法与手段来进行入侵检测。将现常用的神经网 络、遗传算法、计算机免疫原理等方法用于入侵检测系统中，使得系统具 有智能特性( 自学习、自适应等) ，能够自动识别用户行为和意图，以应对也 来越多样化和综合化的入侵。 3 ) 应用层检测。有很多数据只有在应用层才能真实表达其语意。而目前的入 侵检测系统仅能检测诸如f t p 、w e b 之类的通用协议，而不能处理如l o t u s n o t e s 、数据库系统等其他应用系统【3 。 4 ) 评价体系。对投入使用的众多入侵检测系统进行效果评估，目前还缺乏全 面的评价标准。需要建立评价体系来对此进行评估，同时也为进一步的研 发工作提供了方向。 5 ) 宽带高速网络的实时入侵检测技术。大量高速网络技术如a t m 、万兆以太 网等近年里相继出现在各种网络应用中，在此背景下的各种宽带接入手段 层出不穷。如何实现高速网络下的实时入侵检测己经成为现实面临的问题。 6 ) 与其他网络安全技术相结合。结合防火墙、病毒防护技术、p k i 、多重身份 认证技术、安全电子交易s e t 等新的网络安全与电子商务技术，提供完整 的网络安全保障。 1 4 第3 章防火墙与入侵检测系统的局限性 第3 章防火墙与入侵检测系统的局限性 3 1 防火墙的局限性 目前防火墙综合采用了多种计算机网络安全技术，它们分别在不同的层次 上不同程度的解决了不同方面的计算机网络安全问题，并且在网络安全防御方 面发挥了重要作用。防火墙是内部网和外部网之间的第一道闸门，在网关的位 置上过滤各种进出网络的数据，以保护内部主机。现有的各种类型的防火墙都 在不同程度上实现了抗击各种入侵行为、记录各种异常访问行为和过滤数据包 内容等功能。但是，目前仅使用防火墙保障网络安全是远远不够的。随着网络 技术的发展，网络结构r 趋复杂，传统防火墙在使用的过程中暴露出以下的不 足和弱点： ( 1 ) 传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防 火墙中可能敞开的后f - j ( 如端口) ，绕过了精心构造的防火墙系统，就为从后门 攻击创造了极大的可能。 ( 2 ) 防火墙对于内部网络出现的攻击经常束手无策，据统计大于3 5 的网 络攻击是针对具有防火墙的系统，且有近7 0 的攻击是从内部进行的。 ( 3 ) 防火墙缺乏对内部的安全管理机制，防外不防内。特别是内外勾结的 情况，例如采用一些技术蒙蔽防火墙，使未经授权的连接隐藏在允许的服务中。 ( 4 ) 防火墙是一种静态安全技术，需要人工来实施和维护，不能够主动跟 踪入侵者，且本身也容易受到攻击。 因此，认为在i n t e r n e t 入口处部署防火墙就足够安全的想法是不切实际的。 随着防火墙的发展，融合的安全技术越来越多，防火墙在向入侵防御系统方向 转化。 3 2 入侵检测系统( io s ) 局限性 i d s 入侵检测系统是一个旁路监听设备，部署在所关注的流量流经的链路 上，是保障网络正常运行的重要工具，具有识别入侵特征和安全审记等功能， 入侵检测系统可以检测出已知的和未知的入侵，是一种主动式安全检测技术。 1 5 第3 章防火墙与入侵检测系统的局限性 人们一度曾经寄希望于入侵检测系统可以一劳永逸的解决网络入侵问题，但事 实结果的确并不理想。i d s 所面临的问题主要有： ( 1 ) 较高的漏报率和误报率是现今实际操作中存在的主要问题。在很多实 际的运行环境中，日志过大，报警过多，重要的数据夹杂在过多的一般性数据 中，管理员往往淹没于成百上千的日志信息，疲于应付接踵而至的报警( 包括真 正的和错误的) ，很容易忽略真正的攻击，造成真实警报信号可能放任通过。还 有若对i d s 自身攻击成功，则直接导致其报警失灵，入侵者其后所作的行为将 不会被记录。 ( 2 ) i d s 系统的管理和维护复杂，它需要管理员有足够时间、精力及丰富 的知识分析大量数据，并保持传感器的更新和安全策略的有效。 ( 3 ) i d s 系统只能检测攻击，被动防御，不能阻止攻击，只能借助于别的 安全设备来阻止攻击。入侵检测系统还不能在入侵行为发生之前，预先告警， 并且在入侵行为对系统造成危害之前，对其阻止。现有的i d s 通常是在入侵者 侵入系统后，或者是入侵者已经开始非法活动后，才告警，并且是在入侵行为 对系统已经造成损害时，才采取措施阻止该入侵行为。这种情况如果放在高保 密性的场合，其损失是无法估量的。 所以，入侵检测系统和防火墙一样，并不是完全的网络安全解决方案，要 保护网络免受外部的攻击威胁，也必须和其它的安全措施结合起来，这样它们 才能真正有效地发挥各自的作用。 3 3i d s 的主动阻断能力有限 随着用户安全意识的深入，网络入侵检测系统已经获得了很大的发展，在 网络安全体系中得到了越来越多的应用。入侵检测系统通过抓取网络上的所有 报文，分析处理后报告异常和重要的数据模式及行为模式，使管理员清楚的了 解网络上发生事件，并能够采取行动阻止可能的破坏。然而，它最大的问题就 是只能够检测攻击，而不能阻止攻击，也就是“只能发现问题，不能够解决问 题 。 针对此问题，入侵检测系统的开发人员做了大量的研究与实践，并在此基 础上，开发了具有主动响应的入侵检测系统，如t c pr e s e t 机制。 t c pr e s e t 机制指的是当入侵检测系统发现入侵后，同时向客户端和服务器 1 6 第3 章防火墙与入侵检测系统的局限性 端发送t c pr e s e t 包的机制。其阻断原理是，开发者是通过假冒通信一方或双 方的i p 地址发送伪造的t c pr e s e t 数据包的方法来阻止攻击发生的。我们都知 道，入侵检测系统发现有效的r e s e t 数据包的前提是知道连接会话当前的序列 号和确认号，否则这个r e s e t 数据包将会被忽略掉。而在实际情况下，这种机 制存在很多的问题【2 6 】，如： ( 1 ) i d s 检测收到的数据包判断是否有攻击是需要时问的，虽然这段时间 很短，但是造成攻击的数据包有可能已经到达了服务器并造成了损失。此时i d s 发送的t c pr e s e t 包也只有亡羊补牢了。 ( 2 ) t c pr e s e t 包只能针对基于有链接t c p 协议，对基于无链接u d p 协 议没有作用。 ( 3 ) 入侵检测系统很难保证自己发出的r e s e t 包可以即时到达，现实情况 是往往r e s e t 数据到达时，当前的序列号和确认号已经发生变化，这时该r e s e t 包只有被丢弃或忽略。 ( 4 ) 大部分网络入侵检测系统为了能够匹配通信一方的序列号，会同时发 送很多连续的r e s e t 数据包，期望有一个能够匹配。虽然这样在一定程度上提 高了阻断连接的成功率，但另一方面，又会导致网络的拥塞。 从上述效果来看，i d s 主动效应效果不明显，当前最常用的做法是i d s 发 现攻击企图时，立即通知防火墙启用策略将攻击源的i p 地址或端口禁止。 3 4l d s 与防火墙联动的局限性 i d s 与防火墙联动机制其实是一种反馈机制，当i d s 检测到有攻击时，就 会发送信号到防火墙。防火墙收到信号后，会根据信号的内容动态调整阻断策 略，阻断攻击。在这看来，这种机制貌似一个很理想的阻断方式。但实际上， 这种机制引起的负面影响要大于其带来的好处。 入侵检测系统( i d s ) 和防火墙系统设计的针对性不同。i d s 属于审计系统， 其系统架构是专门为审计系统的需要而设计的。当初在设计时，侧重点主要在 尽可能识别和检测到所有的攻击行为，而将检测结果的正确率放在次要位置考 虑，而且没有考虑后续过滤工作对检测环节的策略要求。防火墙则属于粗粒度 的访问控制系统，其设计目标是依靠规则提供o s i 网络模型3 4 层的基本安全 环境和高速转发能力，其系统内核的设计不具备完整的协议过滤功能，只是对 1 7 第3 章防火墙与入侵检测系统的局限性 规则无法对入侵检测系统发现的所有攻击行为提供保护【3 】。由于以上缺陷，i d s 与防火墙联动产生的结果就是：i d s 的误报率过高，使得防火墙不知对哪条报 警做出处理；防火墙按照i d s 产生的规则过滤时，经常将合法的网络访问错当 攻击行为进行过滤。另外，采用这种方式搭建的网络是非常复杂的，i d s 和防 火墙中任何一个发生故障都会导致整个安全防范体系崩溃，而且两个设备的维 护费用也比较高。此外， d s 和防火墙之间互动没有一个被广泛认可的通用标 准。不同厂家生产的i d s 和防火墙开放的接口是不一样的，这就在连接不同厂 家生产的设备时造成困难。这样，用户在采购网络安全产品的时候，不得不考 虑不同产品的交互性问题，从而限制了用户选择产品的范围。 1 8 第4 章入侵防御系统 第4 章入侵防御系统 n e t w o r ki c e 公司在2 0 0 0 年首次提出了i p s 这个概念，并于同年的9 月1 8 日推出了b l a c ki c eg u a r d ，这是一个串行部署的i d s ，直接分析网络数据并实 时对恶意数据进行丢弃处理。自2 0 0 2 年i p s 概念传入国内起，i p s 这个新型的 产品形态就不断地受到挑战，而且各大安全厂商、客户都没有表现出对i p s 的 兴趣，普遍的一个观点是：在i d s 基础上发展起来的i p s 产品，在没能解决i d s 误报、漏报问题的前提下，是无法得