（信号与信息处理专业论文）内部网络服务审计系统的分析与实现.pdf

里鏖堂皇盔堂堡主丝苎一塑墨一 摘要 当前 网络正以惊人的速度向世界各个角落蔓延 人们的工作 学习 生活越来越 依赖于它 各企业 公司 学校也纷纷建立起属于自己的局域网 在网络方便大家的生 活 提高人们生活质量的同时 病毒 非法访问 垃圾邮件 网络阻塞却给人们带来了 巨大的损失 网络隐患暗藏杀机 许多公司 企事业单位内部员工私自开设网络游戏或 文件传输服务器 架设网站更是加剧了这种情形 这些未经允许开设的网络服务不仅会 带来内部网络潜在诸如泄密 病毒传播等安全隐患 而且会占用大量的带宽 严重影响 网络正常业务的运行 内部网络服务审计系统课题正是为解决上述问题提出的 内部网络服务审计系统把服务审计提升到一个战略的地位 同时把网络带宽滥用纳 入研究的范围 是一个新的课题 该课题不同于传统安全审计系统被动防御方式 系统 按照用户配置策略 积极查找并定位多种违规开设的内部网络服务 解除内网安全隐患 和网络畅通障碍 同时提供告警和日志信息 内部网络服务审计和漏洞扫描同属于主动 防御的范畴 但后者偏重漏洞扫描 前者偏重服务审计 内部网络服务审计系统借鉴了 漏洞扫描系统中漏洞特征查找方法和漏洞库存储结构特征 以及网络技术中已经比较成 熟的多线程并发技术 端口扫描技术和网络嗅探技术 在功能模块和结构设计时 参考 了安全审计系统的设计 在用户操作界面上 充分吸收了诺顿反病毒软件客户端以及其 他扫描器配置简易方便的优点 内部网络服务审计系统的实现采用面向对象设计技术 先分析了用户需求 提出系 统模型 然后设计了系统整体框架并实现了主要功能模块 在系统的分析设计中 对一 些关键技术和方法进行了论证 在系统初步完成后 进行了功能和性能测试 测试结果 表明内部网络服务审计系统基本满足用户需求 能有效地监控内部网络服务运行情况 发现和定位违规开设的网络服务 减少了内网安全隐患 保证有限带宽合理利用 有效 的净化了内部网络环境 关键字 网络服务 安全审计 特征码 安全隐惠 重庆邮电大学硕士论文 a b s t ra c t h lm o d e ml i f e n e t w o r ko v e r w h e l m st h ew o r l d w i d ea sf a ra si tc a l l m o r ea n dm o r e p e o p l ec a l ln o tw o r kw i t h o u ti t a l s ol i v ea n ds t u d y a st h eo r g a n i z a t i o no fe n t e r p r i s ea n dt h e o 硒c eo fs c h o o lb u i l dt h e i ro w ni n n e rn e t w o r ko n ea f t e ra n o t h e rt ol i v ea n dw o r ke f f i c i e n t l y a l lk i n d so f p r o b l e mc o m ea l o n gw i t hi t s u c h 驰v i r u s i l l e g a la c c e s sa n dr u b b i s hm a i le t c t h e s i t u a t i o ne v e nm a k ew o r s ew h e ni n n e re m p l o y e ee s t a b l i s hg a m ea n df i l et r a n s f e rs e r v e r a n d s o m eb u i l dp r i v a t ew e bs i t e t h e s ei l l e g a li n 缸a n e ts e r v i c e sn o to n l yb r i n ga b o u ts e c u r i t y t h r e a d f o re x a m p l e s e c r e tb e t r a y e d v i r u ss p r e a de t c b u ta l s od i s t u r bn o r m a ln e t w o r ks c t v i e e f o re n g r o s s i n gt h eb a n d w i d t h i n t r a n e ts e r v i c ea u d i ts y s t e mi sd e s i g n e dt or e s o l v et h i s p r o b l e m i u t r a n e ts e r v i c ea u d i ts y s t e mi san e wt h e s i sw h i c hu p g r a d e ss t r a t e g i c a l l ys e r v i c ea u d i tt o ah i g h e rp o s i t i o na n dp u t st h ea b u s eo fb a n d w i d t hi n t or e s e r c h 砸st h e s i sb e l o n g st ot h e t h e m eo fa c t i v ed e f e n s e i nt h i st h e s i s u s e rc o n f i g u r t e sp a r a m e t o rf i r s t l y t h e nt h es y s t e m a c t i v e l yf i n d sa n dl o c a t e sm a n yi l l e g a ls e r v i c e s t h ea l a r mi n f o r m a t i o na n da u d i ti n f o r m a t i o n s h a l lb ep r o v i d e di nl o g s t h i ss u b j e c ti st h es a m et h e m eo fa c t i v ed e f e n s e 蠲v u i n e r a b i l i t i e s s c a n n e r b u tf o r m e rp u t se m p h a s i z eo ns e r v i c ea u d i t t h el a t t e r l a y si m p o r t a n c e o n v u l n e r a b i l i f i e ss c a n t h o u g ht h e ya r ed i f f e r e n t i n t r a n e ts e r v i c ea u d i ts y s t e mm a k e sf u l lu s eo f t h em e t h o di ns i g n c o d ee x p l o r a t i o na n dt h es l r u c t l l r es t y l eo fs i g n c o d ew a r e h o u s e t h e f o r m e ra l s oa b s o r b so t h e rn e t w o r kt e c h n o l o g yw h i c hi s h i g h l yr e s e a r c h e db e f o r e l i k e m u l t i t h r e a dt e c h n o l o g y p o r ts c a nt e c h n o l o g ya n dd e t e c t i v et e c h n o l o g y t h ef u n c t i o n a l m o d u l ea n ds y s t e mf r a m eo fs e c u r i t ya u d i ts y s t e mi sa l s o 瑟r e f e r e n c ew h e nd e s i g n e d t h e s i m p l ea n dc o n v e n i e n tc o n f i g u r a t i o no fs y m a u t e ca n t i v i r u sc l i e n ta n do t h e rn e ts c a n n e ri s a n o t h e rp o i n tw h i c hi su s e df o rr e f e r e n c ei nt h eu s e ri n t e r f a c ed e s i g n 1 n t r a n e ts e r v i c ea u d i ts y s t e ma d o p t st h et e c h n o l o g yo fo b j e c t o r i e n t e dd e s i g n f i r s t l yi t a n a l y s e st h en e e do fu s e r t h e nb u i l d st h em o d e la n ds t r u c t u r e a n dp u t si ti n t or e a l i z a t i o n a f t e rf i n i s h e st h ej o b t e s ti sc a r r i e do u t t e s tr e s u l ti n d i c a t e st h i ss y s t e mc a l lw o r k r i g h t l yt o s u p e r v i s ei n t r a n e ts e r v i c e i n c l u d ef i n d i n ga n dl o c a t i n gi l l e g a lo n e f o rm a n yv u h e m b i l i t i e s b e i n gh i d d e ni nt h ei l l e g a li n t r a n e ts e r v i c e i n t r a n e ts e r v i c ea u d i ts y s t e mc a nd i m i n j s ht h r e a t c o m i n gf r o mt h ei n n e rn e t w o r k a l s oi tc a np r e v e n tt h el i m i t e db a n d w i d t hb e i n gu s e db yg a m e p l a y e r s t h e r e f o r e t h i st o o lc a nk e e pt h en e t w o r kw o r k i n gi nn o r m a l 重庆邮电大学硕士论文 k e y w o r d n e t w o r ks e r v i c e s e c u r i t ya u d i t s i g nc o d e s e c u r i t yv u l n e r a b i l i t i e s m 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果 据我所知 除了文中特别加以标注和致谢的地 方外 论文中不包含其他入已经发表或撰写过的研究成果 也不包含 为获得重废蛏电太堂或其他教育机构的学位或证书而使用过的材 料 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示谢意 学位论文作者签名 次赢 签字日期 唧年钼尹日 学位论文版权使用授权书 本学位论文作者完全了解 重庆邮电太堂有关保留 使用学 位论文的规定 有权保留并向国家有关部门或机构送交论文的复印件 和磁盘 允许论文被查阅和借阅 本人授权重庆邮电太堂可以 将学位论文的全部或部分内容编入有关数据库进行检索 可以采用影 印 缩印或扫描等复制手段保存 汇编学位论文 保密的学位论文在解密后适用本授权书 学位论文作者签名 致感 导师签名 啊j 白 签字日期 劾7 年f 月f 日签字日期 叩年l f 月争日 重庆邮电大学硬士论文第一章引言 1 1 内网的安全威胁 第一章引言 伴随着计算机和网络技术飞速发展 人们的工作效率和生活质量都有显著的提高 各企事业单位 政府部门 学校都纷纷建立自己的网络 网络方便了大家工作 学习 生活 但同时病毒 非法访问 拒绝服务攻击 垃圾邮件等却给社会带来了巨大的经济 损失 据v n u n e t 报道 由市场机构i n f o n e t i c s 提供的一份最新市场调查报告显示 仅黑 客攻击平均每年为美国大型机构带来的经济损失高达3 0 0 0 万美元 约占其总营业收入 的2 2 f 2 0 0 2 至2 0 0 6 年c s i f b l 年度安全调查报告 2 j 3 l 4 l 5 l 6 l 都详细说明了来自内网的安全 威胁极大 中国软件信息安全实验室技术总监黄敏在 内网安全的发展趋势 7 l 一文中 写到 c s f f b i 在1 9 9 9 至2 0 0 3 连续五年的 计算机犯罪与安全调查报告 中指出 在 各种信息安全威胁所造成的损失中 企业和政府机构重要信息被窃所造成的损失排在第 一位 超过病毒感染和黑客攻击所造成的损失 且最主要的信息安全事件为内部人员和 内外勾结所为 同期 中国国家信息安全测评认证中心的调查结果也表明 信息安全问 题主要来自泄密和内部人员犯罪 而不是病毒和外来黑客引起 图1 1 美国2 0 0 6 各种攻击类型造成的经济损失 2 重庆邮电大学硕士论文 第一章引言 图1 2 美国2 0 0 6 各种安全技术采用率 在2 0 0 4 年 通过网络快速自动传播的蠕虫病毒颠覆了内网安全的格局 美国 c s f f b i 在新的 2 0 0 4 年计算机犯罪与安全调查报告 1 4 中指出 2 0 0 4 年病毒攻击所造 成的经济损失首次超过信息被窃所造成的损失 跃居第一 并且在这份报告中的数据还 显示 病毒攻击造成的巨大损失是在9 9 的企业已经部署了反病毒产品的情况下发生的 这种情况同样出现在2 0 0 6 年 计算机犯罪与安全调查报告 中1 3 1 如图1 1 图1 2 c n c e r t c c 在2 0 0 4 年全国网络安全状况调查报告 7 中显示了相似的现象 一面是 病毒 蠕虫或特洛伊木马 的泛滥成灾 一面是反病毒软件的普遍采用 采用率7 3 4 仅次于防火墙 排第二 另外 在2 0 0 6 年的f b i 和c s i 网络安全专项调查1 6 中 7 2 调查者承认自己曾经历 过至少一次来自内网的安全事故 图i 3 显示了由于内部安全威胁造成的安全损失程度 3 9 调查者认为由于内部网络安全威胁造成的经济损失占他们机构虚拟财产损失的份 额超过2 1 1 9 的调查者认为这种损失份额超过6 1 有的甚至离达8 0 另外 有 5 9 的调查者经历过至少l o 次w e b 网站安全事故 尽管有3 6 的调查者并不能明确白 重庆邮电大学硕士论文第一章引言 己是否经历过此类事故 但w e b 网站安全事故仍然像瘟疫一样困扰着他们 由于2 0 0 6 年的安全调查方式与往年不同 往年调查的内容既包括安全事故的缘由 又有安全事故 发生的频率 调查者和被调查者接触非常直接 而2 0 0 6 年的调查仅仅是让调查者对这 些网络事件做一个估计 调查报告中还说明 由于许多调查者不愿意家丑外扬 因此实 际内部网络威胁造成的损失比例可能比这个数据要大 为什么一方面是防病毒软件的普遍采用 另一方面是病毒攻击所造成的经济损失最 大 人们称这一奇怪现象为 反病毒怪圈 反病毒怪圈 立即引起了大家的高度重视 并进行了深入细致的分析 分析认为造成这一奇怪现象的外因固然是蠕虫病毒利用系统 漏洞通过网络自动传播导致其传播能力大大增强 传播速度大大提高 从内因分析 主 要直接原因是企业的安全意图 安全策略没有得到彻底落实和执行 另一方面 传统安 全服务本身具有一定的局限性l 引 图1 3 内网安全威胁造成损失比例 4 重庆邮电大学硕士论文 第一章引言 1 2 传统安全服务的局限性 面向技术的安全服务常常忽略了 人 这个组织中最活跃的因素 在信息安全中 人是最活跃的因素 人的行为是信息安全保障最主要的方面 人 特别是内部员工 既可以对信息系统构成最大的潜在威胁 也可以构成最可靠 的安全防线 统计结果表明 在所有的信息安全事故中 只有2 0 3 0 是由于黑客 入侵或其他外部原因造成的 7 0 8 0 是由于内部员工的疏忽或有意泄密造成的 以往的各种安全服务存在的最大缺陷是忽略了对人的因素考虑 把重点放在技术与 产品的选择与实施上 无法涉及 对人的管理 这个层面 结果往往是投资巨大的 r r 安全系统 由于存在人的薄弱环节 而无法真正地保障企业的信息安全 人不应 该是网络种最薄弱的环节 而应该是最坚固的后盾1 9 1 传统的安全服务没有考虑如何使1 1 r 与业务融合 并进行有效的成本控制一一安 全要强调 效能与效率 安全服务人员在设计与实施安全方案时 往往追求的是用最新的技术 最好的 设备 尽量做到安全的 零风险 此时的安全更多的是考虑技术的先进性和信息的 机密性 完整性和可用性 而且传统的安全把绝大部分精力放在网络边界安全上 对于业务应用系统中的安全控制考虑很少 但当今企业越来越强调l t 要与业务融 合 要求r r 从业务需求出发 重点体现对企业重要业务价值的保护 提高信息安全 的 效能 另一方面企业希望在考虑企业整体的风险容纳量及单个风险容纳度的前 提下 进行风险评估并引入恰当的控制措施 使组织的风险降到可以接受的水平就 可以了 用经济有效的方式保证组织业务的连续性和商业价值最大化 不应把部署 所有可用的安全产品与技术 追求信息安全的零风险为目标 这样会导致安全成本 太高 安全也就失去其意义 现有的安全服务忽略了建立有效的安全管理体系一安全要强调 持续的过程控 制 信息安全不是一个孤立静止的概念 信息安全是一个多层面 多因素的 综合 的 动态的过程 一方面 如果单位凭着一时的需要 通过想当然地制定一些控制 措施和引入某些安全服务与产品 都难免存在挂一漏万 顾此失彼的问题 使得信 息安全这只 木桶 出现若干 短木块 从而无法提高安全水平 因此信息安全并 不是实施几次高质量的安全服务就能解决 而需要在组织中建立完整的体系来保证 安全是一个持续控制过程 1 3 选题背景与主要工作 重庆邮电大学硕士论文 第一章引言 重庆市公安内网中存在少部分人员滥用网络资源 使用b t 等p 2 p 工具下载 私自 开设网络游戏或聊天服务器 私自架设b b s 站等违规行为 占据了有限的带宽资源 严重影响了正常公安业务工作的开展 带来潜在的诸如泄密 病毒传播等安全隐患 而 信息中心现有的监控手段不能及时发现 导致被公安部多次通报 为了扭转此不利局面 变被动为主动 按照局处领导有关要求 信息中心经过调研 初步确定开发公安内部计 算机专用网络服务审计系统 网络应用服务审计系统是实习公司和重庆市公安局合作产品研究项目 项目合同编 号 2 0 0 6 1 2 该项目目前已经通过验收 本课题为公司产品研究项目网络应用服务审 计系统的主要部分 该课题将从整体到各个细节对系统进行详细的论证和设计 研制和 开发一个 内部计算机网络服务审计系统 的软件工具 利用该软件工具可以对内部网 络所有在线主机所提供的网络服务进行实时监测 发现并定位未经许可开设的非法网络 服务主机 以方便网络安全管理 净化内部网络空间 保障和提高业务系统的正常运行 效率 本文的主要研究内容如下 1 广泛了解网络安全审计系统的结构 审计方法 技术 审计流程以及审计系统 的重大作用 2 对内部网络安全网络服务监控和检测涉及的关键技术进行了深入的研究 3 研制和开发一个 内部计算机网络服务审计系统 的软件工具 详细介绍了系 统的总体设计 并对系统的功能模块 系统机制 各模块之间的关系j 行了详细的设计 4 对系统的功能和性能进行了测试 分析测试结果 1 4 可行性分析 通过双方调研 目前国内外尚无公开报道或宣传过与该系统功能完全相同的产品 只有部分功能类似的产品 如 漏洞扫描系统 但其只针对系统漏洞进行扫描 缺乏 对网络服务的合法性进行审计 不能满足需求 i 网络安全漏洞扫描系统 网络漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序 根据检测对象 的不同可分为网络扫描 操作系统扫描 w w w 服务扫描 数据库扫描以及无线网络扫 描 l 与防火墙技术被动防御相比 漏洞扫描技术属于主动防御 它区别于防火墙和 i d s j 从另一个角度解决了网络安全上的根本问题 本课题与此系统相比 有部分相似功能 如部分常见网络服务识别 而且设计的许 多技术和漏洞扫描系统技术相似 如安全扫描技术 特征库扩展 多线程并发技术 特 6 重庆邮电大学硕士论文 第一章引言 征码技术 但本课题的偏重不同 漏洞扫描系统偏重于漏洞查找 本课题偏重常见服务 审计 针对非法内网服务 把服务识别这个概念提高到一个战略的地位上 是一个新的 课题 2 s u p c r s c a n x s c a n x s c a n 由国内著名的民间入侵者组织 安全焦点 h t t p w w w x f o c u s n e t 完成的一 款扫描器l 它能够对一个口地址段或单机进行安全漏洞检测 支持插件技术 并把 扫描报告和安全焦点网站相连接 对扫描到的每个漏洞进行 风险等级 评估 并提供 漏洞描述 漏洞溢出程序 方便网管测试 修补漏洞 与漏洞扫描系统有些相似 s u p c r s c a n 是一个快速端口扫描工具 支持不定限口地址扫描 t c p s y n 端口扫描 方法 快速主机解析等功能i 但未能定位到服务 没有审计功能 1 5 论文组织结构 通过上述可行性分析 此课题研究具有重要的应用价值 论文将详细阐述该课题的 研究的关键技术和研究方法 论文以网络内部服务审计为研究对象 采用面向对象技术 按照系统分析 设计 实现 测试 应用的步骤组织全文 组织结构如下 第一章 引言 介绍了网络内部安全隐患和传统网络安全服务的缺点 以及论 文选题背景 主要工作和论文结构 第二章 内部网络服务审计系统概述 简单介绍了内部网络服务审计系统涉及 相关知识 内部网络服务和安全隐患 安全审计的系统结构和系统功能 结合上 述介绍概述了内部网络系统 对课题的创新性和用户需求进行了分析 第三章 内部网络服务审计系统总体设计 运用软件工程的方法 从整体到模 块 设计了系统的总体结构和核心模块 然后按系统实时性 有效性 一致性 和安全性的顺序设计了系统机制和系统自身安全 第四章 内部网络服务审计系统关键模块实现 按照系统运行流程详细设计系 统中的关键模块 特征库 系统参数配置模块 数据采集模块 数据分析模块 审计结果处理模块 第五章 内部网络服务审计系统测试及应用 在公司内部网络和市局内部局域 网的环境下 进行功能和性能测试 并分析测试结果 最后介绍了系统实际应 用情况 第六章 结束语 本章对全文的工作进行了总结 筒单说明了系统的优点 明 确了工作的不足以及以后需要进一步完成的工作 7 重庆邮电大学硕士论文 第二章内部网络服务审计系统概述 第二章内部网络服务审计系统概述 2 1 相关内部网络服务概述 实质上 内部网络服务审计系统的研究是对内部网络服务工作原理的研究 了解相 关内部网络服务是课题研究的前提 服务器 一般而言 是一个计算机程序 它向同一台计算机或其他计算机中的程序 提供服务 客户端是计算机中的某个应用程序 可以充当客户 请求其他程序为它提供 服务 网络服务是在网络的环境下 服务器等待和履行来自客户端的请求 1 4 1 在计算机网络中 服务定义为某一层向它的上一层提供的一组原语 定义了该层打 算代表其用户执行那些操作 与之密切相关的协议定义了一组规则 这些规则用来规定 同一层上的对等实体之间所交换的消息或者分组的格式和含义 b l 所以网络服务定义了 服务器提供的服务 同时网络协议定义了服务器和客户端提供服务的具体实现 两者是 完成服务器和客户端工作必不可少的两部分 以下介绍几种涉及课题的主要网络服务 2 1 1w e b 服务 最早由t i mb e m 盯s l e e 于1 9 8 9 年提议的w o r l d 晰d cw e b 简称w e b t 6 1 是通过互联 网来实现信息访问的一种信息世界 超文本传输协议是一种作为w e b 基础应运而生的 请求 响应 协议 它是一种无 状态协议 可跨越不同的请求 响应对操作 不对其请求状态进行维护 目前h t t p 使 用的标准是h t t p 1 i r f c2 6 1 6 但从网络捕获的数据包分析来看 网络上许多w e b 服务器仍然使用h m 1 o r f c1 9 4 5 h t t p 请求用于通知 r r r p 服务器 针对由r e q u e s t u r i 在请求行所指定的u p 1 所 标识的资源 应采取什么操作 最通用的请求方法是g e t 方法 如图2 1 使用s n i f f e r s n i f f e r p r o4 7 5 3 0 一款网络捕包工具 捕获到的h 1 曙请求消 息 消息格式如下 重庆邮电大学硕士论文 第二章内部网络服务审计系统概述 图2 1s n i f f e r 捕获的h 1 1 甲请求消息 请求行 请求行包括一个请求方法 要请求的u r i 以及客户机的协议版本 包中采 用的是 g e t 方法 u r i 为 它只是一个相对目录 即w e b 服务器的工作根目录 h r r p 协议的版本号为1 1 a c c e p t 通知服务器客户端要接收的对象类型 a c c q a t l a n g u a g e 客户端使用的语言 a c c e p t e n c o d i n g 浏览器可以接收的编码方式 g z i p 是一种压缩编码格式 可以提 高网络的传输速度 u s e r a g e n t 使用的用户代理 包含与浏览器名称或机器所用操作系统等有关信息 h o s t 对应网址的u r l 名称和端口号 此处用主机i p 地址表示 端口号使用的是默 认端口 c o n n e c t i o n 是否在客户端和服务器间保持连接处于活动状态 1 1 r t p 回应给出关于服务器或响应的附加信息 h 刑1 1 共有4 1 个响应码 由于兼 容的问题 h t t p 1 0 客户机和代理主机不能理解新类 h r r p 1 1 只是在h r r p 1 0 和 h t r p 0 9 的基础上 每个类添加了几个新的状态码 而没有添加新的状态类 服务器对 于某一个给定的状态 响应状态码通常也不一样 因为服务器当前的情况及针对的策略 可能不一样 但每种返回的响应代码都基本可以反映主机w e b 服务的存活状况 协议 h t t p i 1 主要状态码及其含义如表2 1 所示 9 重庆邮电大学硕士论文第二章内部网络服务审计系统概述 状态号消息意义 1 0 0 c o n t i n t l e客户端应该继续发送请求的提示 2 x y成功类响应 2 0 0o k 客户端请求已被成功处理 2 0 lc t e a t e d 客户端请求的新资源已被成功创建 3 x y 重定向类响应 3 0 lm o v e dp e r m a n e n t l y 客户端请求的新资源已被成功创建 3 0 2f o u n d 请求的资源现在别处 其位置可能改变 3 0 4n o tm o d i f i e d 客户端已经执行了有条件限制的g e t 方 法 4 x y 错误类响应 4 0 0b a dr e q u e s t 客户端发送的错误格式的请求 以至于服 务器不能理解 4 0 1u n a u t h o r i z e d 被请求的资源需要授权 4 0 4n o tf o u n d 服务器上没有被请求u r i 2 1 2f t p 月 务 表2 1 i t r p 1 1 状态代码及意义 f t p 服务是采用f t p 协议传输文件的服务 f t p 服务的突出优点是可在不同类型的 计算机之间传送文件 虽然 w e b 服务已经代替了该服务的大部分功能 但该服务除了 用于文件下载外 还可以用于文件上传 操作文件非常方便 这就是它至今未被w e b 服务取代的原因 j 8 f 限和其他客户一服务器应用程序的不同就是它在主机之间使用两条连接 一条连 接用于数据传送 而另一条则用于传送控制信息 命令和响应 把命令和数据分开使得 f t p 的工作效率更高 控制连接使用非常简单的通信规则 一次只传输一行命令或响应 内部网络服务审计系统关注的就是这条命令连接线路 创建控制连接是创建数据连接的先行条件 它一共需要两个步骤 l 服务器在熟知的端口2 1 发出被动打开 等待客户 2 如果是主动方式打开数据连接 客户打开自己的数据监听端口 然后使用 p o r t 一 命令将监听端口发送给服务器端 服务器端向短暂端口发出主动连接请求 如果是被动 方式打开数据连接 客户端将自己的被动打开工作方式传送给服务器端 服务器端打开 自己的监听端口 然后用 p o r t 命令把端口发送给客户端 由客户端主动发送连接 请求 常用命令如表2 2 重庆邮电大学硕士论文第二章内部网络服务审计系统概述 命令说明 a b o r 放弃先前的f t p 命令和数据传输 l i s t 列表显示文件或目录 p a s s 服务器上的口令 p o r t 客户端i p 地址和端口 q u i t从服务器注销 r e t rf i l e n a m e 检索 取 一个文件 s t o rf i l c n a m e 存储 放 一个文件 s y s t 服务器返回系统类型 1 1 p e 说明文件类型 a 表示a s c i i 码 i 表示图像 u s e rt t s c l t l a m e 服务器上用户名 表2 2 常用的f r p 命令 f t p 应答都是a s c i i 码类型的3 位数字 并跟有报文选项 应答3 位码中每一位数 字都有不同的含义 表2 3 给出了应答代码第1 位和第2 位的含义 应答 说明 l y z肯定预备应答 它仅仅是在发送另一个命令前期待另一个应答时 启动 2 y z肯定完成应答 一个新的命令可以发送 3 y z肯定中介应答 该命令已被接受 但另一个命令必须被发送 4 y z 暂态否定完成应答 请求的动作没有发生 但差错状态是暂时的 所以命令可以过后再发 5 y z永久否定完成应答 命令不被接受 并且不再重试 x o z 语法错误 x l z 信息 x 2 z 连接 应答指控制或数据连接 x 3 z 鉴别和记帐 应答用于注册或记帐命令 x s z 文件系统状态 表2 3f t p 应答码3 位数字中第1 位和第2 位的含义 含有第3 位常用的应答码 1 2 5 数据连接已经打开 传输开始 2 0 0 就绪命令 2 2 0 服务器为新用户准备就绪 3 3 1 用户名就绪 要求输入口令 4 2 5 不能打开数据连接 5 0 0 语法错误 未认可的命令 重庆邮电大学硕士论文 第二章内部网络服务审计系统概述 5 0 2 未实现的m o d e 方式命令 类型 2 1 3c s 网络游戏服务 c s 是在1 9 9 8 年后由一个名叫v a l u e 的游戏开发小组开发的 这款游戏因为其设计 极为出色的人物协调性很容易被初学者接受 但他们不容易完全控制游戏中各种人物 其娱乐性和挑战性使得这款游戏在当今网络游戏中占有重要的地位 目前c s 游戏服务 器遍布世界各地 局域网的玩法更是迎合了众多游戏迷的娱乐心里 1 9 1 2 0 1 c s 局域网游戏采用u d p 传送方式 玩家中需要有一台主机创建局域网服务器 提 供游戏服务 然后各个玩家连接到该服务器进行游戏 在游戏进行的同时 新玩家仍然 可以加入到已经开始的游戏中 2 2 内部网络服务安全缺陷 网络服务一般都采用c st 作模式 这种工作方式以及服务运行的环境和人为原因 使得内部网络服务具有一定的安全缺陷 内部网络服务安全缺陷涉及操作系统安全缺陷 网络协议安全缺陷 应用软件安全 缺陷以及用户使用造成安全缺陷 2 1 1 2 2 1 操作系统安全缺陷 操作系统是用户和硬件设备的中间层 实际上它也是一种软件 如果这些应用程序 有安全缺陷 那么就会使系统处于不安全的状态 目前人们使用的操作系统主要有两大类 u n i x l i n u x 系列和w m d o w s 系列 u n i x l i n u x 系列安全缺陷有 l 远程过程调用 在一台机器上执行另一台机器上的程序 而操作系统中许多程序 存在缓冲区溢出的缺陷 如r p c y p p a s s w d d r p c e s p d r p c c m s d 2 s e n d m a i l 缺陷 s e n d m a i l 是u n i x 和l i n u x 操作系统中用得最多的接收和发送电 子邮件的程序 攻击者可以发送一封特别的邮件消息给运行s e n d m a i l 的机器 要求受劫 的机器把它的口令文件发送给攻击者 这样口令就容易被破解 w i n d o w s 系列操作系统安全缺陷有u n i c o d e i s a p i 缓冲区溢出 没有安装s p 2 补 丁的i i s 服务器主机易受攻击 1 2 重庆邮电大学硕士论文 第二章内部网络服务审计系统概述 2 2 2 网络协议安全缺陷 t c p i p 是目前i n t e m e t 使用的协议 它之所以有今天广泛的使用 是因为它在设计 原则上体现出很多优点 如可扩展性和尽力而为等原则 这些给使用t c p i p 的用户提 供了非常方便的互连环境 但是 t c p i p 也存在着一系列的安全缺陷 这些缺陷有 1 t c p 序列号的可预测性 这种缺陷是网络安全领域最有名的缺陷之一 这种攻击的实质是在不能连接到目的 主机应答确认时 通过预测序列号来建立连接 这样 入侵者可以伪装成信任主机与目 的主机通话 2 路由协议缺陷 源路由选项的使用 当预先知道某一主机有一个信任主机时 就可利用源路由选项 伪装成受信任主机 从而攻击系统 伪造a r p 包 这种缺陷可让攻击者伪造以目的口地址和以太网地址的a r p 包 这 样造成口欺骗 口s p o o f r i p 的攻击就是利用路由信息协议将发往目的主机的数据包发往入侵者 网络监听 网络数据包都是明文传输 容易在网络中遭窃听 5 t c p u d p 应用层服务缺陷 f t p 的信息暴露 f r p 一般用户的口令与登陆口令相同 而且采用明文传输 这样 就增加了一个网点被攻击的危险 只要在局域网内或路由上进行监听 就可以获取大量 口令 这样一个网点很容易遭攻击 一些网点上的匿名f t p 提供了另一攻击途径 尤其是可以上传的f r p 服务 更为危 险 攻击者常常会放置便于入侵者攻击的特洛伊木马 入侵者可以放置一个已经改过的 带有恶意代码的软件 当另一个主机上的用户下载安装软件时 后门 可建立 允许 匿名登陆还有一个缺点 即可能暴露帐号和口令信息 2 2 3 应用软件实现缺陷 软件实现缺陷是由于程序员在编程的时候没有考虑周全造成的 主要有以下几类缺 陷 输入确认错误 在输入错误的程序中 当用户输入的字符串没有经过适当的检查 使得黑客可以通过输入一个特殊的字符串造成程序运行错误 这样的错误会造成程序运 行不正确 不稳定 异常终止等结果 但最危险的是入侵者利用这样的程序进行一些非 法操作 这样就造成缓冲区溢出漏洞 最常见的例子是s q l 缓冲区溢出 重庆邮电大学硕士论文第二章内部网络服务审计系统概述 特殊条件错误 程序在某些特殊条件或环境下出现问题 设计错误 程序实现和配置并不存在问题 而错误就在程序的设计方案上 t c p f l p 协议就存在这类缺陷 竞争条件错误 它是程序的安全检查模块在一些非常特殊的情况下出现错误而引起 的 一个常见形式就是程序在一个可读写的目录下建立一个文件 但之前没有检查该文 件是否存在 2 2 4 用户使用造成安全缺陷 系统和网络实际上都是用户或管理员来操作的 由于用户或管理员缺乏安全意识 在使用系统和网络的时候会无意中给攻击者提供入侵的机会 用户使用的缺陷主要体现 在以下几个方面 密码易于被破解 大多数系统把口令作为第一层和唯一的防线 易猜的口令或缺省 口令是一个严重问题 但更严重的问题是有的帐号更本就没有口令 密码容易被破解的 原因有缺省密码 密码与个人信息有关 密码为词典中的词语 过短密码 永久密码 软件使用的错误 该错误除了用户使用软件组件没打补丁 一些脚本范例存在漏洞 外 还有软件使用错误 主要体现在 大量打开端口 合法用户和攻击者都通过打开端口连接系统 端口打开越多 进入 系统的途径相对就多 危险缺省脚本 w e b 服务器支持c g i c o m m o ng a t e w a yi n t e r f a c e 程序 许多服务器 都默认安装了简单的c g i 程序 此程序容易被利用 造成w e b 页面被修改 信用卡帐 号被窃取 软件运行权限选择不当 很多攻击者利用一个软件漏洞就是为了获取该软件的运行 权限 如果该软件的运行权限为超级用户 攻击者可以获得对系统的全面控制 2 3 安全审计概述 扫除内部网络服务安全缺陷造成的安全隐患需要一个完整的安全系统 以下三项技 术 2 2 1 缺一不可 1 社会的法律政策 z 技术方面的措施 如防火墙技术 信息加密 3 安全审计与管理措施 包括技术措施和社会措施 安全审计是发现和扫除网络服务安全缺陷的有效措施 对网络服务进行行为审计是 1 4 重庆邮电大学硕士论文 第二章内部网络服务审计系统概述 网络安全审计重要的一项 安全审计主要是监控来自网络内部和外部的用户活动 发现系统或用户行为中的入 侵或异常现象 检查系统中现有和潜在的威胁 对安全活动信息进行识别 记录 存储 和分析 如何在大量的审计数据中提取出具有共性的系统特征模式 并能够对程序或用 户行为做全面 准确的描述是实现安全审计的关键 2 3 1 安全审计系统组成 一个网络审计系统应包含以下两个部分 2 3 l 1 审计代理 采集器 安装在特定系统上 收集相关日志信息 并将收集的日志信息传寄给相关的系统 包括主机代理 w i n d o w s u n i x l i n u x 系列 网络数据采集器 数据库代理 2 审计管理系统 收集网络中各种设备 系统信息 并进行集中统一的管理 它的主要功能有保存 分析 统计日志信息 提供分析统计报表 实时监控网络中各种设备 系统的运行状态 提供告警等响应 包括审计管理控制系统和日志数据分析系统 2 3 2 安全审计系统功能 1 日志信息采集 收集相关的审计数据 主要包括 1 操作系统日志 包括u n i x l i n u x 系统日志 w i n d o w s 系统的系统日志 应用程 序日志 安全事件日志 2 安全部件审计日志 主要有防火墙的日志和入侵检测系统的日志 3 各种服务和应用系统日志 如 s 服务器 a p a c h e 服务器等w e b 日志 各种 e m a 服务器日志 f t p 服务器日志 d n s 服务器日志等 2 日志查询 系统可以支持以多种方式查询网络中的日志记录信息 1 基本查询 根据用户 源 目的口地址和端口 协议 事件类型 危险级别等 字段简单查询日志数据 2 相关查询 根据一条日志记录 查询和这条日志记录相关的其他日志记录 3 网络对话的恢复 系统可以还原t c p 协议族中的h t t p f t p t e l n e t s m t p 基本服务会话过程 并直观地显示给管理员 4 生成安全报告 重庆邮电大学硕士论文第二章内部网络服务审计系统概述 安全管理员可以根据其特殊的需要来组织和查看审计记录 提供可定制的过滤对话 框 简化和分析审计线索 5 实时报警 系统的实时报警功能可以实时显示应该受到注意的安全事件 使管理员可以尽快地 做出反应 从而使威胁整个网络的潜在破坏最小化 2 4 内部网络服务审计系统 内部网络服务审计系统就是从安全策略和安全技术上找出网络中这些安全隐患 内 部网络服务安全审计系统属于安全审计系统一类 具有安全审计系统组成部分和功能 但内部网络服务审计系统也有自己的不同审计理念和审计方法 2 4 1 课题创新分析 内部网络服务审计属于基于网络的安全审计 本课题不同于其他网络安全审计系统 和工具 从一个全新的角度去解决内部网络安全和网络畅通的问题 主要体现在理念上 的创新和方法上的创新 审计理念上 本课题不同于传统的审计对象 强调了对 人 的违规操作的管理 在追求安全效能的同时也达到安全效率的目的 具体表现在 以内网非法网络服务为审计对象 传统网络以网络日常行为审计对象 通过发现系 统或用户行为中异常现象来判断并解决安全问题 网络漏洞扫描系统的审计对象是系统 或服务中的漏洞 它从一个较细致的角度查漏补缺 本课题从重大安全隐患和内网畅通 障碍入手 着力查找网络中正在运行的网络服务 把违规的网络服务作为审计的重点 而不是这些服务的漏洞作为研究的对象 这样 可以从一个较为广泛的范围解决安全隐 患 对于那些违规的网络服务 网络漏洞扫描系统查找的漏洞可能不全面 即使发现了 漏洞打补丁也可能是 治标不治本 而传统安全审计通过网络异常行为发现隐患又比 较困难 事实上 这些网络服务无论是否存在漏洞都是不允许开设的 另外 有些网络 服务会产生大量的网络流量 即使在内部网络带宽足够大的情况下 这些服务也会影响 正常业务的运行 如常见的网络游戏c s 魔兽等 本课题把这些违规的网络服务也作 为审计对象 可以达到净化内部网络的目的 强调对人的管理 传统安全服务常常采用先进的技术 花费大量的财力选择和实施 先进的产品 忽视了 对人的管理 尤其忽视了对网络内部人员的管制 内部网络服 务审计系统正是考虑到人的误操作或是违规操作 根据国家的法律 法规 政策以及企 1 6 重庆邮电大学硕士论文 第二章内部网络服务审计系统概述 业部门的有关规定设置审计策略 规范内部人员的网络行为 充分考虑人的因素 从r r 与业务融合的角度 体现了效率与效能 传统安全服务把精力绝大部分放在网 络边界安全上 而对内部的业务管理很少顾及 最近出现的国家安全等级保护制度把不 同信息系统分成不同安全级别 然后严格按照