（计算机应用技术专业论文）广域网安全预警系统研究与实现.pdf

昆明理工大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下( 或 我个人) 进行研究工作所取得的成果。除文中已经注明引用的内 容外，本论文不舍任何其他个人或集体已经发表或撰写过的研究成 果。对本文的研究做出重要贡献的个人和集体，均已在论文中作了明 确的说明并表示了谢意。本声明的法律结果由本人承担。 学位论文作者签名：啄j 弘 日 期：2 魄5 年4 月7 r 日 关于论文使用授权的说明 本人完全了解昆明理工大学有关保留、使用学位论文的规定，即： 学校有权保留、送交论文的复印件，允许论文被查阅，学校可以公布 论文的全部或部分内容，可以采用影印或其他复制手段保存论文。 ( 保密论文在解密后应遵守) 导师签名：呈堡：论文作者签名导师签名：兰兰至：论文作者签名 日 注：此页放在封面后，目录前。 曝如 昆塑理工大学硕士毕业论文广域网安全预警系统研究与实现 摘要 近年来，互联网在国际上得到了长足的发展，但是网络本身的安全性问题逐 渐成为网络应用中的重要的问题。网络安全的一个主要威胁就是通过网络对信息 系统的入侵。网络入侵是指试图破坏信息系统的完整性、机密性或可信性的任何 网络活动的集合。目前的网络安全主要依赖防火墙的保护，但是，黑客可以攻破 或绕过防火墙进行攻击，同时它对网络内部用户的误操作也无能为力。网络上不 断的攻击给受保护的数据带来很大的威胁。很多这方面的工具通过检测系统和网 络的弱点以及配置中的问题来收集相关的信息。从技术发展来看，需要采用多方 位，多式样的手段来保证网络安全。在当前的广域网安全技术中，广域网安全预 警技术无疑是最热门的技术之一。安全预警系统能检测出针对某一系统的入侵或 入侵企图，并实时做出反应。 论文提出了广域网安全预警系统的实现研究。详细介绍了一种广域网安全预 警系统的技术实现。广域网安全预警系统主要由事件采集模块、事件分析模块、 安全预警模型和事件响应模块组成。对于事件采集模块，比较传统的数据采集， 采用了更加高效的n e t f l o w 技术。并且对采集的原始数据进行合理的过滤组合， 将更为有用的数据存入数据库。设计广域网入侵检测引擎的实现采用分层式数据 分析，将统计分析方法和数据挖掘技术相结合，第一层，采用传统的统计分析的 方法，将数据进行初次粗粒度的分析，并将分析的数据结果存储，进入二次基于 数据挖掘的分析，在二层分析中，建立数据仓库，创建维度表，进行联机分析处 理。并将分析结果发送到安全预警模型模块的设计，通过发送来的分析结果，设 定j 下常的阀值，建立一个基于异常的检测模型。对于检测模型检测网络中的告警 事件，进入下一级联动反应，事件响应及控制模块，在响应单元中，对于告警事 件，采取有效的措施( 丢弃数据包、报警、记录) 。该系统整体实现了对网络数 据的收集、清洗、转换、存储、多维数据集的建立和分析工作，并生成规则，建 立模型以及响应的各项功能。 关键词：安全预警系统n e t f l o w 数据挖掘异常检测模型联机分析处理 昆明理工大学硕士毕业论文 广域网安全预警系统研究与实现 a b s t r a c t i nr e c e n ty e a r s ，i n t e r n e th a sg o tc o n s i d e r a b l ed e v e l o p m e n ti nt h ew o r l d ，b u tt h e s e c u r i t yq u e s t i o no ft h en e t w o r ki t s e l fs e e m se v e nm o r ei m p o r t a n t t h en e t w o r k s e c u r i t yi s t h r e a t e n e dm a i n l yt o p a s st h ei n t r u s i o no ft h ei n f o r m a t i o ns y s t e mo f n e t w o r k s e to fa n yn e t w o r ka c t i v i t yo fi n t e g r a l i t y ，c o n f i d e n t i a l i t yo rt h ec r e d i b i l i t y t h a ta t t e m p t st od e s t r o yt h ei n f o r m a t i o ns y s t e mt h a tt h en e t w o r ki n t r u d e st om e a n t h e p r e s e n tn e t w o r ks e c u r i t yr e l i e so nt h ep r o t e c t i o no ft h ef i r ew a l lm a i n l y ，h o w e v e r ， h a c k e r sc a nb r e a kt h r o u g ho rm o v er o u n dt h ef i r ew a l lt oa t t a c k ，a tt h es a m et i m ei ti s p o w e r l e s st o oi no p e r a t i o nt ou s e r s m i s t a k ew i t h i nt h en e t w o r k t h ec o n s t a n ta t t a c k b r i n g sv e r yg r e a tt h r e a tt op r o t e c t e dd a t ao nt h en e t w o r k al o to ft o o lo fi nt h i sr e s p e c t c o l l e c tr e l e v a n ti n f o r m a t i o nt h r o u g hd e t e c t i o ns y s t e ma n dw e a k n e s sa n dq u e s t i o no f d i s p o s i t i o no fn e t w o r k s on e t w o r ks e c u r i t yn e e d st oa d o p td i v e r s i f i e d l y ，t h em e a n so f m a n ys t y l e sc o m et og u a r a n t e e i nt h ep r e s e n tw a ns e c u r i t yp r a c t i c e ，t h es e c u r i t y p r e w a r n i n gr e s e a r c ho fw a n i su n d o u b t e d l yo n eo ft h eh o t t e s tt e c h n o l o g i e s s e c u r i t y p r e w a r n i n gs y s t e mc a nb em e a s u r e do u ta t t e m p t i n gt o t h ei n v a s i o no ri n v a s i o no fa c e r t a i ns y s t e m ，a n dr e a c ti nr e a lt i m e t h ep a p e rh a sp r o p o s e dt h er e a l i z a t i o nr e s e a r c ho fs e c u r i t yp r e w a r n i n gs y s t e mo f w a n t h et e c h n o l o g yo fak i n do fw a n s e c u r i t yp r e w a r n i n gs y s t e mi si n t r o d u c e di n d e t a i l w a ns e c u r i t yp r e w a r n i n gs y s t e mc o n s i s t so fi n c i d e n tp r o d u c em o d u l e ，i n c i d e n t a n a l y s i sm o d u l e ，s e c u r i t yp r e w a r n i n gm o d e la n di n c i d e n tr e s p o n dm o d u l e t h e i n c i d e n tp r o d u c em o d u l eh a sa d o p t e dm o r eh i g h e f f i c i e n tn e t f l o wt e c h n o l o g y a n d c a r r yo nt h er a t i o n a lf i l t r a t i o na s s o c i a t i o nt ot h ei n i t i a ld a t at h a ta r eg a t h e r e d ，m o r e u s e f u ld a t aw i l lb es t o r e di nt h ed a t a b a s e t h ed e s i g no fw a ni n t r u s i o nd e t e c t i o n e n g i n ei sr e a l i z e db ym e a n so fl a y e r so ft y p ed a t aa n a l y s i s ，s t a t i s t i c a lm e t h o da n dd a t a m i n i n gt e c h n o l o g yc o m b i n i n gt o g e t h e r ，f i r s t l y ，u s i n gt h et r a d i t i o n a ls t a t i s t i c a la n a l y s i s m e t h o d ，t h ei n i t i a ld a t ai sa n a l y s e dc u r s o r i l ya tf i r s tt i m e ，a n ds t o r et h ed a t ar e s u l ti n t o d a t a b a s e ，t h e n ，u s ed a t am i n i n gm e t h o d ，e s t a b l i s hd a t aw a r e h o u s e ，c r e a t e m u l t i d i m e n s i o n a ld a t at a b l e sa n do l a p a n ds e n da n a l y s i sr e s u l t st ot h ed e s i g no ft h e s e c u r i t yp r e w a r n i n gm o d e lm o d u l e ，t h r o u g ht h ea n a l y s i sr e s u l tt h a ti ss e n t ，e s t a b l i s h n o r m a lv a l u e s e tu pa i la n o m a l yd e t e c t i o nm o d e l m e a s u r et h ei n c i d e n to f r e p o r t i n ga n 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 e m e r g e n c ya n da s k i n gf o rh e l po ri n c r e a s e dv i g i l a n c ei nt h en e t w o r ki nm e a s u r i n g m o d e l s ，e n t e rt h en e x tg r a d et ol i n ka n dr e a c t ，t h ei n c i d e n tr e s p o n d sa n dc o n t r o l st h e m o d u l e ，i nt h er e s p o n d i n gu n i t ，t h ee f f e c t i v em e a s u r e ( a b a n d o nt h ed a t aa n dw r a pu p ， r e p o r t ，w r i t ed o w n ) h a sb e e nt a k e nt od e a lw i t ht h ei n t r u s i o ni n c i d e n t t h es y s t e mh a s r e a l i z e dd a t ac o l l e c t i o n ，w a s h i n g ，c h a n g e ，s t o r e ，s e t t i n g u pm u l t i d i m e n s i o n a ld a t a t a b l e s ，a n a l y s i s d a t a ，c r e a t i n gr u l e s ，b u i l d i n gt h em o d e la n dr e s p o r l d i n g k e yw o r d s ：s e c u r i t yp r e w a r n i n gs y s t e m n e t f l o wd a t am i n i n g a n o m a l yd e t e c t i o ns y s t e m o l a p ，3 昆明理工大学硕士毕业论文 广域网安全预警系统研究与实现 第一章绪论 i n t e r n e t 的蓬勃发展，为人类交换信息，促进科学、技术、文化、教育、生 活的发展提供了极大的便利，但所出现的安全问题也对国家、单位和个人的信息 系统带来了重大安全威胁。 1 1 广域网安全预警技术及其发展概况 1 1 。1 计算机网络发展趋势 进入2 1 世纪，随着计算机技术和通讯技术的迅猛发展，网络技术也迅速发展 起来。小到家庭网络，大到遍及全球的i n t e r n e t ，网络正发挥着越来越重要的作 用。 我国互联网用户的数目增加迅速，其发展速度令世人瞠目。据2 0 0 4 年7 月2 0 日中国互联网络信息中心( c n n i c ) 第1 4 次中国互联网络发展状况统计报告：截 止到2 0 0 4 年6 月3 0 日，我国上网用户总数为8 7 0 0 万，比去年同期增长2 7 9 ， 上网计算机达到3 6 3 0 万台。网络国际出口带宽增长飞速，总数达到5 3 9 g ，比去 年同期增长1 9 0 3 。c n 下注册的域名数、网站数量分别达到3 8 万和6 2 7 万。报 告中主要数据说明，前十年的发展取得丰硕成果，我国互联网事业正在持续快速 的发展，并在普及应用上进入崭新的多元化应用阶段! 互联网的影响正逐步渗透 到人们生产、生活、工作、学习的各个角落。 圈l 历? 史霹鼍土圈用户慧歉c 万人 图l - i1 9 9 7 年至今历次c n n i c 互联网调查的网民数 昆明理工大学硕士毕业论文 广域甩安全预警系统研究与实现 网络的发展令人欢欣鼓舞，与此同时 络技术的纷纷涌现和网络应用的迅速发展 i 网络的可扩展性 随着i n t e r n e t 规模的不断扩大，新网 对互联网技术不断提出更高的要求： 最初设计的t c p i p 网络技术由于不能适应i n t e r n e t 规模的不断扩大，网络 的可扩展性问题成为重要的技术挑战。例如，网络的地址空间不够大；骨干网的 速度需要提高；网络上大量零散信息，包括w w w 信息的自动检索技术等。特别值 得注意的是，为了更快的进行信息传递，网络互联技术的进一步提高不容忽视。 2 网络的安全性 i n t e r n e t 技术的灵活性和开放性，使其在安全方面存在许多漏洞。网络的安 全性问题包括网络的系统安全和网络的信息安全两方面的内容，目前主要存在网 络和计算机系统的技术设计漏洞；网络和计算机系统口令的偷窃；协议出错；认 证出错：信息泄露；防火墙技术；信息传输加密算法和电子签名等等。对于网络 安全性的重视前所未有的高涨。 3 网络服务质量 基于分组交换技术的t c p i p 协议不能保证网络用户获得所需的网络服务质 量。这对于以前的i n t e r n e t 网络应用无关紧要，但是，对于许多新型的网络应用 却带来麻烦。因此网络的服务质量亟待迅速提高。 4 。国际化和本地化的网络环境 使用i n t e r n e t 网络的最大优点就是可以实现资源共享，网络国际化的特点是 非常明显的。但是，随着网络逐步深入人们的日常生活，保护本国的文化传统， 防止外国文化中不健康的内容的入侵，就成为重要的研究内容。另外，在计算机 网络上遵循一定的道德规范和法律，不仅是社会科学问题，也需要先进的技术保 障。 互联网技术不断提高，未来计算机网络的发展趋势将是通信技术与计算机技 术的进一步聚合，并且将改变各自原有的基本特征。未来的信息网络将各种功能 分成三个层次： 1 比特路，负责把二进制位流从一个位置传送到另一个位置的网络； 2 服务，提供一组通用或支撑特性，作为计算和通信基础设施的部分用于 构造其他所有的网络应用： 3 应用，提供给用户的一组有价值的功能，向电子邮件、电话、数据库访问 等。 昆明理工大学硕士毕业论文广域鼹安全预警系统研究与实现 1 1 2 面临的问题 计算机网络不断发展，对网络安全性的要求越来越高，网络安全成为不容忽 视的重要课题。然而，目前的安全状况却不容乐观。 首先，计算机和网络背后的基本技术中存在许多漏洞。当然，也存在许多非 直观的用户界面和频繁的计算机事故。除了这些容易观察到的问题以外，在基本 的操作系统、应用程序和协议的设计与实现中还存在一些基本的漏洞。通过暗中 利用这些漏洞，攻击者能盗走数据、控制系统或者进行报复性破坏。 在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规 模，已经到了惊人的地步。据有关方面统计，日煎美国每年由于网络安全闯题丽 遭受的经济损失超过1 7 0 亿美元。德国、英国也均在数十亿美元以上，法国为i 0 0 亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排 行榜上，计算机犯罪已名列榜首。2 0 0 3 年，c s i f b i 调查所接触的5 2 4 个组织中， 有5 6 遇到电脑安全事件，其中3 8 遇到1 5 起、1 6 以上遇到i l 起以上。因与 互联网连接而成为频繁攻击点的组织连续3 年不断增加；遭受拒绝服务攻击( d o s ) 则从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查显示，5 2 1 个接受调查的组织中9 6 有网站，其中3 0 提供电子商务服务，这些网站在2 0 0 5 年1 年中有2 0 发现未经 许可入侵或误用网站现象。更令人不安的是，有3 3 的组织说他们不知道自己的网 站是否受到损害。据统计，全球平均每2 0 s 就发生1 次网上入侵事件。黑客旦 找到系统的薄弱环节，所有用户均会遭殃。 不难发现，人们面临来自网络系统的安全威胁日益严重。安全问题已经成为 影响网络发展、特别是商业应用的主要问题，并直接威胁着国家和社会的安全。 目前，计算机网络系统面临的安全问题主要归纳为： 1 信息泄漏、信息污染、信息不易受控。倒如，资源未授权侵用、未授权信 息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。 2 在网络环境中，某些组织或个人出于某种特殊目的，进行信息泄密、信息 破坏、信息侵权和意识形态的信息渗透。甚至通过网络迸行政治颠覆等活动，使 国家利益、社会公共利益和各类主体的合法权益受到威胁。 3 网络应用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。 由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空， 从而使信息安全问题变得广泛而复杂。 4 随着社会重要基础设旌的高度信息化，社会的“命脉”和核心控制系统有 可能面i 临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系 昆明理工大学硕士毕业论文 广域嘲安全预警系统研究与实现 统和政府网站等。 网络处于不安全状况，究其原因，威胁网络安全的因素大致可以分为以下几 类： 1 因特网协议族本身具有的先天不足。这是网络不安全最基本的根源。一方 面因为它的开放性，另一方面指协议本身被利用的弱点。 2 系统漏洞广泛传播。据统计，大概平均每千行代码就有一个缺陷。恶性病 毒再次引发网络安全危机m y d o o m 、n e t s k y 和b a g l e 蠕虫病毒以及它们的各种变种 大规模轮番发作，给计算机用户和全社会带来了十分严重的经济损失，并在短时 间内引发了一轮又一轮的网络安全危机。最新的m y d o o m 、s o b i g 和b a g e l 等病毒 的“功能”越来越强大，会给被感染的计算机留下后门，入侵者能够利用这些后 门方便的侵入系统。这些都是现在流行的恶性病毒给计算机网络所带来的威胁。 这种威胁正在e t 益严重，同时用户也在与病毒的对抗中不断增强着应对网络安全 威胁的能力。病毒的爆发还在继续，而且病毒变种的集中爆发还表明了计算机病 毒变种已成为今天病毒发展的一种趋向。 3 黑客的攻击活动。黑客攻击活动越来越频繁，从昔日的小规模向有组织的 方向发展。美国轰炸中国驻南联盟大使馆之后的中美黑客大战，就是国际间黑客 组织的表现。 4 攻击的工具随手可得。近年来网络攻击技术和攻击工具发展很快，攻击工 具的开发者正在利用更先进的技术武装攻击工具，攻击工具的特征比以前更难发 现，它们已经具备了反侦破、动态行为、攻击工具更加成熟等特点。同时，攻击 工具也越来越普遍地支持多操作系统平台运行；使得人们区别正常、合法的网络 传输流与攻击信息流变得越来越困难。 5 病毒的泛滥也是网络不安全的很重要的因素。病毒泛滥体现在以下几个方 面：首先，病毒生产技术水平不断进步。当前的病毒生产技术主要有：抗分析技 术；隐蔽性技术；多态性技术；插入性技术；超级病毒技术；破坏性感染技术： 病毒自动生产技术。其次，病毒的破坏力越来越大。 6 基础信息产业严重依靠国外。我国的信息化建设还处于基本依靠国外技术 设备的状况。当外国网络安全公司大举推销安全产品的时候，在缺乏知识和经验 的情况下，往往是淘汰的技术和不成熟的技术。在计算机软硬件生产领域，在关 键部位和环节上受制于人。计算机硬件许多核心部件尤其是c p u 基本上都是外国 厂商制造的；计算机软件很重要的部分一操作系统几乎被国外一统天下。 由此可见，计算机网络安全问题已不容忽视，解决安全问题的任务迫在眉睫、 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 刻不容缓1 1 ，1 3 广域网安全预警技术发展概况 针对日趋严重的网络安全问题，安全预警技术成为逐渐发展起来的非常有效的 防范入侵的重要手段方式，在国内外竞相展开研究。 国外较早的开展了早期广域网安全预警技术的研究，在一些重要的政治、军事 和经济网络上对非法入侵卖施监控。这些系统在保障信息网络安全，尽早发现入侵 攻击迹象，分析入侵攻击的技术手段方面发挥着重要的作用。美国国家安全局设有 国家计算机安全中心系统与网络攻击中心，负责网络信息战的战略情报预警、网络 攻防技术开发和网络信息战指导；国防信息系统局成立了网络战战术预警中心。自 1 9 9 7 年以来，美、英等国一直在进行网络安全预警技术的研究，1 9 9 8 年美国针对各 个信息基础设施提出了分三阶段、长达1 5 年的实现大型监控系统的计划。美国战略 司令部已经于1 9 9 9 年9 月进行了新一代的监控系统原型的“先期概念技术演示a c t d ”， 它能为美国国防部提供信息战的早期预警。英国k i n g sc o l l e g el o n d o n 学院战争研 究系的国际安全分析中心( i n t e r n a t i o n a lc e n t r ef o rs e c u r i t ya n a l y s i s i c s h ) 在信息战攻击威胁评测和监控方面进行了深入的研究，提出了智能化的决策支持系 统。 然而，我国到目前为止还没有比较完善的适用于大规模网络的安全预警系统。 公安网络安全部门对于广域网的安全预警体系的建设最早是重庆市公安局公共信 息网络安全监察处，它们2 0 0 3 年初建设、开通了全国第一个信息网络安全报警处 置中心。它具备了定的广域网监控功能，为广域网安全监控系统的研究和建设 积累了一定的经验。在此基础上，2 0 0 3 年6 月公安部组织部分城市开展了报警处 置系统包括广域网安全监控平台建设试点工作。目前，广州、成都、青岛等城市 的广域网监控系统初具规模取得了一定的成效。 因此，为了保障我国信息系统支持和适应信息安全监察的要求，开展网络监 控与预警系统的研究是十分必要的，它对于提高网络系统的应急响应能力，缓解 网络攻击所造成的危害，提高系统的反击能力等均具有十分重要的基础意义。在 现代信息战与维护国家信息安全中，它是有效抵御敌方的信息攻击，打击网络犯 罪，维护自身网络体系的正常运作，并进行追踪和反击所必不可少的。 昆明理工大学硕士毕业论文 广域同安全预警系统研究与实现 1 2 课题介绍 1 2 1 安全预警系统的技术特点 实践表明，传统的安全机制不能满足网络安全的需求，主要是因为这些安全 机制都属于静态的机制，缺少主动性。 安全预警技术作为出现的新型网络安全技术j 有效填补了动态解决安全问题 的不足。网络安全预警技术主要包括：网络入侵技术、检测模型、审计分析策略。 它之所以重要就是因为它可以弥补静态防御系统的不足，为网络安全提供有效的 入侵检测及采取相应的防护于段。如果说防火墙是大厦的防护门，电子锁，那么 安全预警系统就是大厦的视频监视、红外线监视系统。安全预瞀系统不同于入侵 检测系统，它离线地分析网络中的数据流，生成预警模型，实时在线的检查网络 中非授权的活动，例如黑客攻击，安全预警系统可以发警报，将活动的细节报告 给管理控制块，或者断开网络会话，在网络系统受到危害之前，使用户能够及时 做出反应。安全预警系统以自学习性、实时性、动态监测和主动防御为特点，有 效弥补了其他静态防御工具的不足。 因此，安全预警系统是网络安全技术中的重要组成部分从网络安全的发展 趋势来看，这种主动防卫的手段更有效的防御了互联网日趋严重的各种攻击和入 侵带来的安全问题。它和防火墙合理结合，相互补充，能够构架出更加可靠的安 全防护系统。 1 2 2 广域网安全预警系统的内容 广域网安全预警系统包含以下几个组成部分：事件采集模块、事件分析模块、 事件数据库、安全预警模型及响应单元。事件采集模块负责从整个广域网环境中 获得事件，并向系统的其他部分提供此事件。事件分析模块从其它组件接收数据， 进行分析，并产生新的数据传给其它组件。事件数据库用于存放各种中间数据和 最终数据。安全预警模型是通过接收分析模块传来的事件生成。个动态的预警模 型，用以在网络上进行实时地监测。响应单元处理事件预警模型模块传送来的异 常状态信息或其它信息，并据此采取相应的措施。 安全预警系统作为安全技术主要完成：把广域网的信息流作为原始数据采集 存入数据库，按不同的协议、流量进行必要的分类统计分析，找出基本的按时间 变化的规则，作为标准的规则集。在此规则集的基础上生成预警模型进行相应的 系统实时分析，找出可能的异常点。并形成逐月，逐日的工作报告，进行有效的 系统实时分析，找出可能的异常点。并形成逐月，逐日的丁作报告，进行有效的 网络监控。 1 1 昆明理工大学硕士毕业论文广域嘲安全预警系统研究与实现 1 2 3 广域网安全预警系统的研究意义 随着互联网的发展，信息安全问题逐渐显露出其重要性。信息安全从技术上 越来越往复杂度、综合性发展，信息安全的攻击却越来越向智能化、简单化、频 繁化发展，基于局域网的网络需要应急反应的信息安全事件越来越多，需要安全 策略也越来越复杂，需要的资源投入也相应加大，而单一网络、部门的信息安全 事件处理能力是有限的，随着发展，广域网预警系统逐渐成为信息安全应急反应 的重要模式和发展方向。但从某种意义来讲，基于广域网的安全预警在技术上和 设计上还有待研究、发展和完善。 从发展前景的角度看，基于广域网的安全预警系统比基于局域网的安全预警 系统存在很多优势： 1 资源优势。对于每一个基于局域网的安全预警系统，它是一个完整的、单 独的密闭系统。每一个局域网就拥有一个独立的安全预警系统，每个系统之间的 资源是不可共享的，这就必然会出现系统重复建设，资源浪费的现象，而互联网 自身发展极快网络资源本来就严重缺乏。广域网可以看成是由不同的网络互连而 成，总体规划，统一部署，减少重复模块，节省系统成本，实现资源共享，这正 是广域网安全监控系统的优势所在。 2 功能优势。目前大多局域网监控系统由其相对的局限性，很难实现对分布 式、协同式网络攻击等复杂攻击手段的准确监控，对未知入侵的预警能力普遍低 下。基于广域网的安全监控系统，对于分布式、协同型的网络入侵具有很强的预 警和抵抗能力。 3 反应优势。任何一个网络安全系统对安全事件的响应能力是系统极其重要 的指标。基于广域网的安全预警系统由于其自身特性，比局域网预警系统拥有更 快的发现和响应速度。从而最大限度的降低损失。 除此之外，广域网安全预警系统还涉及到当前信息安全产业多项高科技技术： c i s c o 的n c t f l o w 技术、数据传输技术、数据挖掘技术、在各类原始数据、事件数 据、处理结果数据等类型中需要解决的数据格式标准、网络监控的标准流程、事 件生成模式、事件的分析方式等，以及监控平台管理、与网络报警处置中一0 其它 系统信息交换和数据共享等，科研价值高，社会经济效益前景十分可观。 广域网安全预警系统所建立的新型监控平台对从网络前端接入、数据提取、 分类到监控平台的各个部分都要采用最新技术进行集成，实现从体系上、模式上、 技术上、服务上的全面创新。 1 体系创新：改造传统网络预警体系，建设一个崭新的、开放的、完善的有 昆明理工大学硕士毕业论文 广域网安全预警系统研究与实现 监控体系。该体系融合了广域网数据交换和监控，是一个集开放式、满足特定要 求网络安全服务、功能齐全、在一定地域内提供网络安全应急反应机制的网络预 警平台，在该平台上可以实现多种网络安全监察任务。 2 模式创新：在模式上，建成一个可全面处理一定地域范围网络安全事件具 有自我学习能力的新型网络监控模式。为公安机关网络安全监察部门提供一种可 靠的、完善的广域网监控业务新模式。 3 技术创新：在技术上，研发互动反应、模块化、可扩展、远程可管理的广 域网网络监控平台，通过控制模块开展远程管理，为公安机关提供可扩展的监控 服务，并研发与之相配套的服务系统。 4 服务创新：在功能上，实行对互联网监控管理，通过事件生成算法确保安 全事件信息准确、可靠报警，可以进行网络资源分析预测，能够充分满足广域网 监控的需求。 由上可见，在目前阶段，开展对广域网安全预警系统的研究是非常有价值和 意义的。 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 第二章广域网网络安全及其预警技术 2 1 网络安全 2 1 1 网络安全基本介绍 一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把 信息安全定义为“信息的完整性、可用性、机密性和可靠性”；控制安全则指身 份认证、不可抵赖性、授权和访问控制。 在网络安全的范畴内，网络并不是物理的网络，它包含以下三个基本要素： 夺数据；包括在网络上传输的数据与端系统中的数据。 夺关系：网络作为交流的重要手段，设计到通信各方信赖关系的建立与维护。 夺能力：包括网络系统的传输能力与端系统的处理能力，前者意味着网络连 接能力的充分运用，而后者则意味着数据处理能力和服务提供能力等a 网络安全的意义就在于为以上三个要素提供保护，保证这三者能够为所应为， 为并且只为合适的人服务。相应豹，网络安全就包含以下几个方面的基本要求： 夺机密性( c o n f i d e n t i a l i t y ) ：一方面要求要防止数据的泄漏，另一方面要 防止通信量的分析，一个攻击不能够在通信实施上观察到通信量的目的、频度或 其他特征。主要的手段是加密传输。 夺完整性( i n t e g r i t y ) ：防止信息在通信中被修改、删除、重排序、迟延及 伪装。 夺可靠性( r e l i a b i l i t y ) ：能够实现对信息资源的有效管理，如访问权限管 理、信息资源的使用管理等。主要的手段是访问控制。 夺可用性( a v a i l a b i l i t y ) ：信息资源不被非法使用，而要求合法用户能够 方便使用它。如拒绝服务，当真正的用户需要服务时，因为带宽、c p u 、内存、磁 盘空间等其他资源耗尽而无法得到服务，需要运用多种手段综合管理信息资源， 才能达到信息资源的可用性。 夺不可抵赖性( n o n r e p u d i a t i o n ) ：信息的发送者、接收者或使用者事后不 得抵赖、否认发送过或者接收过报文，能进行有效的验证。主要的技术手段是数 字签名。 可靠性是网络安全最基本的要求之一。网络不可靠，事故不断，网络安全就 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 无法有效保障。但是，当网络在正常条件下能可靠工作，而在特殊情况下，网络 不能为用户提供有效的信息和通信服务( 可用性) ；或敏感的机要信息在通信过程 中被泄漏( 机密性) ；或提供的信息内容在通信过程中被修改和破坏( 完整性) ；或 通信双方的任何一方否认抵赖曾发生通信联系，甚至否认抵赖通信内容( 不可抵 赖性) ，网络仍是不安全的。因此对于网络来说，上述五个属性都很重要。 为了达到对网络数据、关系和能力的这五点保护，在实践经验和一些理论研 究的基础上，提出了一些安全模型，其中比较具有代表性的就是p 2 d r 模型。 2 1 2p 2 d r ：动态安全模型 针对日益严重的网络安全问题和越来越突出的安全需求，“可适应网络安全 模型”和“动态安全模型”( p 2 d r ) 应运而生。p 2 d r 模型最早由i s s 公司提出， 它包含4 个主要部分：p o l i c y ( 安全策略) 、p r o t e c i t i o n ( 防护) 、d e t e c t i o n ( 检测) 、r e s p o n s e ( 响应) 。关系如图2 1 所示： 图2 1p 2 d r 模型示意图 p 2 d r 模型是在整体的安全策略的控制和指导下，在综合运用防护工具 ( p r o t e c t i o n ：防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工 具( d e t e c t i o n ：漏洞评估、入侵检测等系统) 了解和评估系统的安全状态，通过 适当的响应( r e s p o n s e ) 将系统调整到“最安全”和“风险最低”的状态。 一个良好的、完整的动态安全体系，不仅需要恰当的防护( 如：操作系统访 问控制、防火墙、加密等) ，而且需要动态的检测机制( 如：入侵检测、漏洞扫 描等) ，在发现问题时及时进行响应。入侵检测就是p 2 d r 模型中的检测，他的作 用在于承接防护和响应的过程，是p 2 d r 模型作为一个动态安全模型的关键所在。 安全预警作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误 操作的实时保护，是对防火墙等防护机制的有益补充。安全预警能在入侵攻击对 昆明理工大学硕士毕业论文 广域网安全预警系统研究与实现 系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入 侵攻击过程中，能减少入侵攻击所造成的损失：在被入侵攻击后，收集入侵攻击 的相关信息，作为防范系统的知识，添加到知识库中，增加系统的防范能力，避 免系统再次受到入侵。安全预瞀被认为是防火墙之后的第二道安全闸门，在不影 响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操 作的实时保护，大大提高网络的安全性。 2 。2 安全预警技术 2 2 1 安全预警技术的定义 所谓安全预警技术，就是对网络系统的运行状态进行监视，发现各种攻击企 图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性、可靠性、可用 性和不可抵赖性。 一个完善的安全预警系统必须具备下列特点： 夺经济性：为了保证系统安全策略的实施而引入的安全预警系统必须保证不 能妨碍系统的正常运行。 夺时效性：必须及时地发现各种入侵行为，理想情况是在事前发现攻击企图， 比较现实的情况则是在攻击行为发生的过程中检测到。 令安全性：安全预警系统自身必须安全。 夺可扩展性：有两方面的意义，首先是机制与数据的分离，在现有机制不变 的前提下能够对新的攻击进行检测例如使用特征码表示攻击特性；第二种是体 系结构的可扩充性。 2 2 2 安全预警系统的基本结构 通用的安全预警系统的体系机构如图2 2 所示： 数据 h k 卜 采集 原始 中间事件 安全结果 数据 数据 标准 分析 标准数据分析、 预警 监测 处理 模块库 数据， 模块 数据仓库 结果 模型 数据 模块 矿叫叫 y y 图2 2 通用安全预警系统结构图 数据采集模块的作用在于为系统提供数据，数据的来源可以是主机上目志信 息、变动信息，也可阻是网络上的数据信息，甚至是流量变化等，这些均可以作 为数据源。数据提取模块在获得数据之后，需要对数据进行简单的处理，如简单 的过滤、数据格式的标准化等，然后将经过处理的数据存入中间数据库。 1 6 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 事件分析模块的作用在于对数据进行深入地分析，把这些标准数据按不同的 协议进行必要的分类，建立数据仓库，并对数进行数据挖掘，找出基本的按时间 变化的规则，作为标准的规则集。提交给安全预警模型生成模块。 安全预警模型负责接收事件分析模块分析的结果，生成一个监测模型，用于 发现异常数据并根据分析的结果产生事件，并提变给结果处理模块。数据分析的 方式多种多样，可以简单到对某种行为的计数，也可以是一个复杂的专家系统， 是安全预警系统的核心。 结果处理模块的作用在于告警的信息处理及响应控制。 2 2 3 安全预警系统的分类 根据事件信息的来源，安全预警系统可以分为基于主机的安全预警系统、基 于网络的安全预警系统和混合型安全预警系统。 夺基于主机：系统获取数据的依据是系统运行所在的主机，保护目标也是系 统运行所在的主机。 夺基于网络：系统获取的数据来源是网络传输的数据包，保护的目标是网络 的运行。 夺混合型：既基于主机又基于网络，混合型一般是分布式的。 根据使用的检测手段，安全预警系统可以分为异常检测( a n o m a l yd e t e c t i o n ) 和误用检测( m i s u s ed e t e c t i o n ) 。 异常检测模型：在异常检测中，观察到的不是已知的入侵行为，而是所研究 的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在 建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然 后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。这种模型 的特点是首先总结正常操作应该具有的特征，例如特定用户的操作习惯与某些操 作的频率等；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏 离正常统计学意义上的操作模式，即进行报警。 误用检测模型：在误用检测中，入侵过程模型及它在被观察系统中留下的踪 迹是决策的基础。所以，可事先定义某些特征的行为是非法的，然后将观察对象 与之进行比较以做出判别。误用检测基于已知的系统缺陷和入侵模式，故又称特 征检测。这种模型的特点是收集非正常操作也就是入侵行为特征，建立相关的特 征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较， 得出是否是入侵的结论。 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 第三章广域网安全预警系统的研究与设计 3 ，1 广域网安全预警系统概述 广域网韵作用是将互不相连、分散于广泛地理范围的局域网连接起来，使其 能够相互通信并共享资源，广域网数据的特点是数据量大、数据特征复杂。因此 在实施广域网安全预警系统时，主要需实现以下两点： 一、广域网安全预警系统通过实时监控网络活动，监视分析用户和系统的行 为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异 常行为进行统计、跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为 等功能，使系统管理员可以较有效地监控、评估自己的系统。 二、通过审计记录下网络上所发生的行为，定期对各种行为进行查寻、统计 和分析等，发现潜在的危险；在发生安全事故后进行取证，查找安全漏洞，分析 事故原因。在审计的基础上，为监视的网络活动制定一系列规则并相应采取指定 的行为，实旌对网络活动的控制。 3 2 广域网安全预警系统功能 作为能够实现有效的广域网安全防护的安全预警系统，应当具有以下功能： 夺监视分析互联网用户和系统的活动，查找非法用户和合法用户对系统进行 的越权操作； 夺检测本地互联网各系统配置的正确性和安全漏洞，提示管理条例修补漏洞； 夺对本地互联网全面的网络安全控制，除了简单的访问控制外，还应有入侵 检测等功能； 夺强调审计，对所有的网络活动能够跟踪和对应用层协议( h t t p 、f t p 、s m t p 、 p o p 3 、t e l n e t 等) 会话过程进行实时与历史的重现； 夺增强日志、报警、报告、拦截功能。 3 3 系统的总体设计目标 在当前的技术能力下，利用安全平台，构建具有实时检测入侵功能与离线分 析统计功能的安全预警系统。系统主要实现：通过建立的安全预警模型检测网络 昆明理工大学硕士毕业论文广域网安全预警系统研究与实现 数据，实时监控网络入侵。同时，