网络安全技术前沿研究与实现

第一章网络安全的概述1.1网络安全的定义网络安全就是网络信息安全，就是确保网络信息在传递过程中的安全性和完整性。具体来讲，网络安全在互联网交流中的数据信息安全，硬件、软件安全，各种原因（偶然或恶意）破坏、更改和泄露[2]。1.2网络安全的必要性在这个信息全球化的时代，无论是对用户个人还是对国家来说，网络的安全都是非常重要的。对用户个人来说，网络信息是否安全关系着用户的人身、财产安全，对国家来说，网络安全更是关系着国家安全、财产安全和社会公共安全。网络信息安全已经成为全球各个国家非常重视的重视问题，确保网络信息的安全可以有力推动互联网中电子商、政务的发展。当然这种发展需要先进的信息安全技术支持。此外，网络信息的安全问题还涉及到黒客技术、防火墙技术、入侵检测技术、数字签名技术等。1.3网络安全面临的威胁1.3.1黑客的攻击黑客特指某些对计算机知识十分了解并具备高超的计算机技术的用户，他们利用自己的技术对一些网站或其他计算机用户进行秘密攻击。目前在世界范围内存在着众多的黑客网站，这些网站会分享攻击其他计算机的方法和软件，甚至还会分享一些系统漏洞。越来越多的人掌握了一些黑客技术，造成系统和网站时常被黑客攻击。正是因为目前的手段无法对黑客的网络攻击行为作出有效的反击和跟踪，使得黑客的行为十分隐蔽而且破坏力强，严重威胁着网络安全。1.3.2 网络自身和管理的欠缺 互联网的其中两大特征就是共享性和开放性，也正是因为因特网的这两个特征造成了网络信息的不安全性。这是因为互联网是以TCP/IP协议为生存基础的，而因特网在一开始设计出来的时候并没有考虑到安全问题，最主要考虑的是即使出现故障，信息的传输也能保障流畅性，这就缺乏了相应的安全机制。因此在安全防范、方便性以及对后期服务质量方面都不能适应用户的需求。现在很多的用户、企业和机构对于网络安全都疏于管理，也没有严格的管理制度。想要加强信息网络的安全，其中一个重要的手段就是政府和企业必须要加强对网络系统管理的严格性。据美国ITAA调查发现，目前在美国有四分之三的企业都有过网上信息失窃的情况，超过四分之三的企业对黑客的攻击无法抵挡，当有黑客来攻击的时候，甚至有超过百分之九十的企业是处于完全没有防备的状态中[9]。1.3.3恶意网站设置的陷阱在网上有各种各样的网站，有的网站专门攻击其他计算机用户，他们会设计出各式各样的软件来窃取用户信息，例如木马病毒。有的病毒会隐藏在用户下载的信息中，只要登录或者点击或者下载，用户的信息就会被黑客掌控和盗取，给用户造成信息泄露和钱财损失。因此在使用互联网时，要注意保护自身信息安全，不随意接受陌生链接，造成额外损失。1.3.4软件的漏洞或“后门” 随着计算机网络的发展，计算机的软基系统也在不断的更新换代、规模也越来越大，但系统中安全漏洞也越来越多，如常用的Windows系统也存在安全漏洞，各种浏览器、服务器、常用软件等同样存在这种情况。在国内几乎所有的黑客都会利用计算机软件的系统漏洞，有的企业因此遭受了重大的损失，因此软件的程序员的把关十分重要，程序员的一个小疏忽或者是设计中忽略的一些小问题，就有可能给黑客留下攻击的漏洞，这也是严重威胁网络安全的一个因素。1.3.5 企业网络内部攻击对于外部的恶意攻击，我们还可以采取一些措施例如使用防火墙，来尽量避免计算机中病毒，但是如果是计算机网络的内部用户故意进行一些恶意行为如错误操作、资源滥用等，这样即使外部防护工作做的再好，也无法抵挡住的攻击。网络环境并不是一成不变的，而是十分复杂的，信息系统处于这样的环境随时都会受到威胁。随着信息全球化的发展，中国与世界其他国家的联系也日益紧密，但是同时必须要加强安全监管。中国现在也高度重视网络安全，希望在不久的将来，我国的信息安全工程能取得突破性的进展[11]。第二章影响网络安全的因素2.1网络安全的类型2.1.1系统安全系统安全具体是指当系统损坏或崩溃时，系统存储、处理和传输信息依然能够正常，不会受到破坏和损失，确保系统能够正常运行。运行系统安全就是保证信息处理和传输系统的安全，系统不会因为电磁泄翻等原因而造成信息泄露时他人受到干扰或干扰他人[2]。2.1.2网络的安全保障网络信息安全，最常见就是对用户输入密令、控制用户权限及数据权限、对数据加密等方法。2.1.3信息传播及内容安全网络信息传播及内容安全就是细致过滤网络中的非法和有害信息，保障合法、有益的信息内容的传递的保密性、安全性、完整性[2]。2.1.4信息内容安全保护信息内容安全的最终结果就是为了保护用户的隐私问题。它最主要的目的是在于确保信息的保密性、真实性和完整性。防止用户的信息被窃取、冒充，避免用户被骗，保障用户的合法权益。2.2影响网络安全的因素2.2.1网络结构因素网络的基本拓扑结构的形式一般有环型、总线型和星型三种。如果单位想要建立自己的内部网络要想了解清楚周围的网络环境，因为各部门很可能一早就建造好了拓扑结构完全不同的局域网。内部网络在建造的过程中为了能够实现不同拓扑结构之间的网络信息的通信，网络的开放性通常会比较高，一些安全机制就会被牺牲掉。2.2.2网络协议因素一方面网络公司为扩大市场占有率，增强网络协议的兼容性，这样使越来越多的商家能够将协议互联和兼容，带来利益的同时也存在很大的安全隐患。如果其中的一种协议存在传输的过程中存在危险程序，那么这个危险很快就会传播到整个网络当中。另一方面，用户为节省开支，在建造内部网络时，会将原有的网络基础设施留存，这样也是一种安全隐患。2.2.3地域因素由于目前的大部分内部网络的内联网不只有局域网，也有广域网，网络环境、地理位置十分复杂，跨度又大，通信路线的质量无法得到有效的保障，对黑客来说是一个可以攻击的机会，因此信息在传输的过程中存在安全隐患，容易损坏和丢失[7]。2.2.4用户因素通常一个企业建造自己内部网络的目的是为了宣传、加强企业与外界的信息交流，掌握市场动向和用户需求。在网络建好之后，网络的访问量会大大增加，用户的范围变得更为广泛，用户量的增加给网络的安全也带来的威胁，不仅自己内部的员工会浏览，想要了解企业的客户也会浏览，一些心怀不轨的人也会浏览。2.2.5主机因素企业在建立内部网络的时候由于之前已经建立起了拓扑结构不同的局域网，新的网络会造成原有的局域网、互联网增加了主机的种类。这些主机的操作系统都不相同，如果其中一个网络出现了安全问题，就可能会影响到整个网络。2.2.6单位安全政策据调查，有80%的网络安全问题是因网络内部原因引起的，因此企业重视内部网络安全问题，制定出相关的制度来完善网络安全管理。2.2.7人员因素人员因素是网络安全问题其中一个不可避免、不可控制的因素。因此可以对用户进行基本的网络安全知识教育和培训，提高全员的网络安全意识。在网络操作人员的选择上也要选择素质较高的人员。2.2.8其他包括不可抗拒的自然因素如雷电、洪水、地震等，网络设备、硬盘或其他设施的自然损坏和老化，设备故障等。像这种非人为的最自然损坏通常只会造成信息完整性的破坏，一般不会出现信息的泄露。第三章网络安全的技术支持对用户来说，在使用网络的时候，安全是他们最为关心的和重视的问题，安全是网络得以长久发展下去的基础。随着网络技术的发展，网络安全技术进一步发展，为网络安全提供有力技术保障。3.1防火墙技术防火墙技术具体来说就是一种置于不同网络安全域之间的高级访问控制设备，通过相关安全策略来控制（允许、监视、记录）进出网络的访问行为[4]。3.13.3.3未来发展趋势未来的数据库加密技术主要会解决数据库的兼容问题，更好地发挥数据库加密技术的功能。在层次选取上会以DBMS为主，在加密算法上以离散对数问题难解性的EIGamal算法、运算速度相对较快的Rabin算法及椭圆曲线加密算法ECC为主，但首先要解决冗长的运算问题，进一步提高运算速度，同时也会应用一些符号、图形加密手段；在加密工具上，采用数据库与操作系统的分离，进一步依赖独立的硬件[10]。3.4虚拟专用网络技术（VPN技术） 3.4.1基本原理VPN的基本原理就是通过公共互联网路由的“虚拟”连接，把远程站点或用户连接起来的专用网络。VPN主要由公司总部的主LAN、远程分公司或分支机构的其他LAN及从网络外部连接进来的个人用户三部分组成。3.4.2最新的技术VPN技术就是为网络数据传输开辟的一个专用的安全加密通道，保证数据的安全性，目前的VPN技术是以隧道、加解密、密钥、使用者与设备身份认证四项技术为支撑、通过隧道技术和路由过滤技术来实现的专用网络。3.4.3在Windows中VPN应用的实例（1）内网主机IP为192.168.100.2/24，假拟有通过ISS发布的Web应用（服务端），外接网关为192.168.100.254/24，互联网用户如何安全访问该内部Web服务器。（2）操作步骤创建VPN服务器（路由与远程访问组件），设置拨入后分配的IP地址段（内网可用地址）；设置VPN拨入账户，设置为“允许拨入”；在客户端创建“网络连接（VPN链接）”，拨入到VPN服务器；获得虚拟内网地址，访问Web应用（可用IPCONFIG/ALL核查）。3.5数字签名技术 数字签名是一种对电子形式的信息进行签名的方式，是不对称加密算法的一种典型用法。这种方式通常是为了防止数据被恶意篡改、伪造，保护数据单元的完整性。在一定程度上数字签名可以代替亲笔签名，受法律认可。数字签名原本就是一个加密的过程，除了可以确保信息传输的完整性能高，还可以确认发送者的身份，避免在过程中发生纠纷。数字签名是对接受双方进行加密，来保证签名消息的安全性。目前数字签名技术已经在铁路、银行、商检、税务等领域开展广泛的部门业务，极大的提高了办事的效率和安全性，被越来越多的人们接受。随着科学技术的不断发展，相信数字签名技术会进一步应用于个人，即包含个人的身份信息的数字签名，集个人基本信息，财产、征信、旅游、消费、办公为一体的智能化数字签名。第四章IDS前沿技术及实现4.1IDS的前沿技术基于IPv6的入侵检测系统更侧重于行为检测；分布式入侵检测是按照入侵检测信息交换协议，发展IDS的自适应信息交换与防攻击技术；比较典型的是特洛伊木马检测技术，它守护进程存在状态和激活条件的审计；预警技术就是基于数据流的大规模异常入侵检测，确保网络安全。4.2IPv6的入侵检测系统的部分实现IPv6是在Snort的数据捕获基础上设计入侵检测系统，下面是实验验证其部分实现模块。4.2.1IPv6的入侵行为的检测系统的总体示意图如图4-1所示图4-1检测系统的总体示意图程序开始后，下图4-2是IDS的总体运行图。图4-2IDS的总体运行图使用命令检测IDS是否正常工作：C:\snort\bin>snort.c”C:\snort.conf”-1“C:\snort\log”-d-e-X如果snort安装成功，则会出现如图4-3所示的界面。图4-3Snort安装成功界面4.2.2实现数据包捕获步骤（1）获取设备列表WinPcap（开放源代码网络访问系统）使用函数pcap_findalldevs_ex()获取设备列表，并将返回的适配器的信息放入pcap_if数据结构的链表中。（2）打开网卡，将Flags设置成混杂模式在获得适配器的信息后，通过函数pcap_open()打开设备将主机的网卡设置成混杂模式。三个参数函数：Snaplen用于过滤数据包本身的一部分；Flags（通常数据器的模式分为混杂模式和只接受本机数据包的模式）；to_ms，即两个值（0，-1）[12]。（3）数据包捕获pcap_dispatch()或pcap_loop()是两个可以使用回调函数指向来捕获数据包的两个函数，在确认数据包被捕获后，WinPcap会调用此数据包首部的时间戳和数据包长度等数据信息作为函数输出。注意：这两个函数的区别在于读操作的返回时间的长短。（4）回调函数开始监听网络，捕获数据包注意：要核对过滤函数中函数pcap_compile()和函数pcap_setfilter()是否符合要求，如果符合，则数据包会马上复制给应用程序，如果不符合，则直接丢弃该数据包。（5）将在系统缓冲区满的符合要求的数据包，复制到用户的缓冲区。图4-4为捕获IPv6数据包的运行图。图4-4捕获IPv6数据包的运行图4.2.3协议分析技术的实现协议分析技术本身就是各层协议的报文封装的逆向顺序对捕获到的数据包进行逐层分析。也就是说在实现网络数据包抓捕模块后，会获得一个单个数据包的处理函数的指针值grinder，针对以太网的各个协议进行分析[12]。如表4-1所示，根据协议字段值判断出判断上层协议，并交由实现函数进行分析。一般来说，Packet数据结构是Snort中定义用来存放数据结构的地方。在对物理层——以太网帧、网络层——IPv4的数据报、IPv6的数据报文及ICMPv6协议报文、传输层——TCP报文和UDP报文进行分析之后，就可以将最终的分析结果填充到Packet数据结构中。图4-5为IPv6数据包的协议分析运行图。图4-5IPv6数据包的协议分析运行图4.2.4规则模块的实现如果想实现运行规则模块，就必须要具备用于检测攻击数据包的规则库（特征攻击库）。主要规则模块实现的步骤如下：（1）安装配置MYSQL数据库①安装Mysql到默认文件夹c:\mysql，并在命令行方式下进入c:\mysql\bin，即c:\mysql\bin\mysqld-nt-install；②在此基础上输入netstartmysql，启动mysql服务；③在mysql提示符后输入命令：mysql>createdatabasesnort与mysql>createdatabasesnort_archive，用create建立的系统运行所需的snort数据库和snort_archive数据库。④使用c:\snort\contrib目录下的create_mysql脚本文件，在snort数据库和snort_archive数据库中建立了数据表用于存放规则。（2）规则解析模块的实现启动规则解析模块，将检测系统的配置文件snort.conf中所有的规则记录加载到内存当中。此时，按照规则头中指定的规则行为：alert链表、pass链表、log链表。将ParseRulesFile()定义为该模块的入口函数。①规则解析模块执行的过程首先是打开规则文件；Thefp=fopen(file,“r”)；重复读取规则文件中的规则记录；while((fgets(buf，STD_BUF，thefp))!=NULL)；然后是解析规则记录；ParseRule(buf)；最后关闭规则文件；fclose(Thefp)；②定义模块公共数据结构和变量：③模块主要操作步骤的函数说明：VoidParseRulesFile(char*file)注意：输入函数file是指定的规则文件名称；在输出函数中每个链表AlertList、PassList、LogList都对应包含有alert行为、pass行为、log行为的规则记录；其操作结果就是加载规则到内存中，根据内容进行逆行匹配，具体来说就是把Packet结构体变量与链表中的规则记录相匹配，如果匹配成功，则表示有警告事件，反之匹配失败，则表示系统未被入侵。④解析规则记录函数ParseRule()定义及实现voidPaseRule(cha*rule)：注意：输入参数rule为指向规则的指针；要根据规则链表头将输出参数current加载到AlertList、PassList、LogList这三个相应的链表中；（3）将编写的规则按照规律构建成规则树，并分类增添至规则列表中。总的检测过程实质就是按照规则树的顺序进行扫描，并查找是否有匹配报文的规则。如图4-6为规则匹配检测流程图。图4-6规则匹配检测流程图4.2.5规则正确性测试针对整个IPv6的入侵检测系统，本节对规则模块做出了的详细分析，列出了其实现步骤和部分运行图。下图也是对编写规则正确与否的的界面展示，图4-7则是读入规则文件实现规则树的流程图。图4-7规则树实现流程图图4-8/4-9分别是规则运行正确与错误的界面。图4-8规则正确性的界面图4-9规则运行错误界面4.3小结本章是对IPv6的入侵检测系统的部分实现的具体分析，在此基础上介绍了数据包捕获、规则模块、协议分析模块等实现过程，论证了IPv6的入侵检测系统的正确性与可操作性。总结与展望 5.1本文总结文章首先概述了网络安全的必要性及当前网络安全面临的威胁；其次详细分析了网络安全的类型及影响网络安全的因素。再次重点介绍当前保障网络安全的技术支持，包括普遍使用的防火墙技术、入侵检测技术、数据库加密技术等；最后对IPv6的入侵检测系统的部分实现的进行了具体分析。论文成果如下：介绍威胁网络安全的主客观因素，认识到网络安全问题不可避免，必须有足够的技术支持；当前普遍适用的保障网络安全的技术支持，特别是对IPv6入侵检测技术实现的具体分析，实现了对IPv6数据包的过滤和捕获，验证了IPv6快速捕获的可操作性，实现了对IPv6数据包的协议解析。根据入侵行为的级别进行警告、记录或忽略等报警行为。5.2未来展望5.2.1进一步加强病毒监控 病毒一般具有病毒危害大、传播快、感染多的特点。在理论上，超级蠕虫的病毒会在几分钟之内感染千万台计算机，造成电力、工厂、交通、医院的等应用系统的大规模瘫痪。各种防毒、杀毒软件可以及时处理网络安全隐患。针对病毒危害大、传播快、感染多的特点，及时做好软件升级，病毒查杀准备[3]。5.2.2建立安全可靠的虚拟专用网 虚拟专用网即VPN，这种技术主要通过三种方式对数据进行安全防护，一是加密，除了预期的接受者能够获得真实的数据之外，其他的数据都会被扰乱；二是鉴别，即发送者能够有效的识别连接是通过一种比较复杂的算法来实现对传输信息的加密，通过这种方式一些专用网络即使不在同一个地区，面对不太可靠的公共网络也能够实现通信安全[3]。5.2.3IDS向IMS过渡计算机网络技术不断发展的同时，黑客技术也在不断的发展，而入侵检测系统的弊端也开始呈现，例如不能有效实现定位和处理，防御系统被动、无法主动防御，对有害信息报送的准确率和正确率都不够高。IDS自身存在的各种问题，使得其必然要向更为先进的趋势预测和深入行为分析的方向发展，虽然有些人认为可以在IDS系统中加上主动响应的功能，一旦发现有异常行为就切断连接，实现主动防御的效果。但是这项技术显然还是滞后的，目前IMS入侵管理系统明显是未来发展的方向，这种技术不仅规模部署大、准确定位、实现预警入侵，还能有效将监管结合起来。在健康的网络环境中，IMS系统能够精确预警、检测各种非法入侵行为，形成预警与监测为一体的全面的监管体系，保障网络安全[5]。5.2.4UTM技术的发展目前网络防护技术不能精确筛查有害信息，迫切需要更可靠更有效的管理技术。UTM是一种统一的威胁管理技术，这种技术将防火墙、网关防病毒、虚拟专用网络、入侵检测系统等多种技术集于一体，除了最基本的控制访问、防止黑客入侵之外，最主要的是它能够实现七层的协议保护[8]。5.2.5小结总体来说，未来网络安全技术的未来发展主要体现在以下几个方面：网络安全技术由原来的静态转化为动态、被动转化为主动，会更加关注追踪