（控制理论与控制工程专业论文）网络安全防御系统的研究与设计.pdf

摘要 计算机网络的飞速发展以及在各个领域的广泛应用，给人们的工作、学习、 生活带来了极大的便利。与此同时，一些不法分子也不断地利用网络中的一些 安全漏洞进行种种的破坏活动，这就使得网络的安全性问题越来越为人们所关 注。 防火墙和入侵检测系统是传统的维护网络安全的重要手段。它们将其发现 的入侵行为拒绝在受保护网络之外，从而保证了系统的安全。将防火墙和入侵 检测系统两者结合起来，就可以构成一个比较完善的防御系统。但是如果要考 虑收集入侵者的详尽入侵信息，那么我们就需要使用一种全新的手段来实现。 蜜罐是网络安全的一个全新领域。它通过构造一个有着明显安全漏洞的系 统来引诱入侵者对其进行攻击，并在攻击的过程中对入侵者的入侵动机、入侵 手段、使用工具等信息进行详细地记录。根据收集到的入侵者信息，我们就可 以分析得到入侵者所使用的最新技术、发现系统中的安全漏洞，从而对系统中 存在的问题及时予以解决。 对于一个单独的蜜罐来说，如果没有入侵者对其进行攻击，那么它就不可 能获得入侵者的相关信息。为了克服蜜罐的这个弱点，我们又设计了以网络地 址转换为核心技术的网络分流装置。网络分流装置可以依据其中的分流规则对 经过它的数据包进行分流，而分流规则可以由入侵检测系统来动态配置。这样 一旦入侵检测系统检测到入侵行为的发生，就可以通过重新配置网络分流装置 中的分流规则，将入侵行为导入到蜜罐中对其进行监测，以获取更多的入侵者 信息。 将网络分流装置、蜜罐、防火墙和入侵检测系统结合在一起，既保持了传 统网络安全产品的特点，又对其信息收集能力不强的弱点进行了改善，从而提 高了整个系统的安全性。 关键词：入侵检测系统网络安全蜜罐网络地址转换 a b s t r a c t c o m p u t e rn e t w o r k i n g i so n eo ft h ef a s t e s tg r o w i n g t e c h n o l o g i e si no u r c u l t u r e t o d a y , a n di t m a k e sh u m a nl i f em o r ec o n v e n i e n tt h a nb e f o r e w 1 l i l et h e r ea r es t i l l s o m eh a c k e r sd o i n gk i n d so fd e s t r u c t sb yu s i n gt h e s e c u r i t yh o l e s ，s on e t w o r k s e c u r i t yi st h em o s ti m p o r t a n ti s s u et h a tw e n o w p a y m o r ea t t e n t i o nt o f i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e ma r et h ei m p o r t a n tt r a d i t i o n a lm e t h o d s t o p r o t e c tn e t w o r kf r o mb e i n gi n t r u d e d 1 1 1 eg o a lo ft h e s em e t h o d si s t ok e e p i n t r u s i o no u to ft h en e t w o r kt h a tw ew a n tt op r o t e c t w ec a nb u i l dar e l a t i v e l y p e r f e c td e f e n s es y s t e mb yu s i n gf i r e w a l la n di d s h o w e v e r , a sf o rh o w t oi d e n t i f y t h eh a c k e ra n dh o wt oc o l l e c ta n d a n a l y z ea t t a c k e r si n f o r m a t i o n ，ac o m p l e t e l yn e w t e c h n i q u em u s t b ed e v e l o p e d h o n e y p o ti san e wc o n c e p ti nt h ef i e l do fn e t w o r ks e c u r i t y i ta l l u r e sa t t a c k e r b ys o m eo b v i o u ss e c u r i t yh o l e s ，a tt h es a m et i m e ，m o n i t o r st h eh a c k e r sb e h a v i o r a n dr e c o r d sa l lt h ei n f o r m a t i o nf o rf u r t h e ra n a l y s i s a c c o r d i n gt h el o gd a t a ，w ec a n l o o ku pt h el a t e s ti n t r u s i o nb e h a v i o r sa n ds e c u r i t yh o l e s ，s oa c c o r d i n g l yw ec a n b u i l dm o r e s e c u r i t y i n t ot h ew h o l e s y s t e m i no r d e rt om a k et h eh o n e y p o ts y s t e mt oc o l l e c ta t t a c k e r si n f o r m a t i o n ，n a t r o u t e ri si n t r o d u c e d t h ek e r n e lo fn a tr o u t e ri sn e t w o r ka d d r e s st r a n s l a t i o n t e c h n i q u et h a t d i s t r i b u t e sp a c k e t si n t od i f f e r e n tp l a c e s o n c et h ei n t r u s i o n sa r e d e t e c t e d ，t h ei n t r u d i n gp a c k e t sc a nb ed i s t r i b u t e di n t oh o n e y p o ts y s t e mb y t h en a t r o u t e r c o m b i n i n gn a tr o u t e r , h o n e y p o t , f i r e w a l la n di d st o g e t h e r , t h en e t w o r k s e c u r i t yc a r lb ei m p r o v e dg r e a t l y i nt h i sw a y , n o to n l yw ep r o t e c tt h en e t w o r k f r o m b e i n gi n t r u d e d 嬲t h et r a d i t i o n a lm e t h o d s d o b u ta l s ow ec a nm o n i t o ro u rn e t w o r k s y s t e mr u n n i n g ，c o l l e c tt h eh a c k e r si n f o r m a t i o na n da n a l y z eh a c k e r sb e h a v i o r s ， t h e r e f o r eb u i l d i n gm o r e s e c u r i t yi n t oi t k e y w o r d s ：i d sn e t w o r ks e c u r i t y h o n e y p o t n a t i i 1 1 引言 第一章绪论 自从2 0 世纪9 0 年代以来，网络进入了飞速发展的时期。目前，英特网已 遍及世界18 0 多个国家，容纳了6 0 多万个网络，接入了2 0 0 0 万多台主机，为 1 8 亿多的用户提供了多样化的网络与信息服务。其所涉及到的服务项目也已 经涵盖了电子商务、电子政务、电子税务、电子银行、电子海关、电子证券、 网络书店、劂上拍卖、网络购物、网络防伪等诸多方面。网络信息系统在政治、 军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用，社会对网 络信息系统的依赖也曰益增强，网络与人们的日常生活也变的密不可分。 但是，随着网络日益广泛的使用，通过网络犯罪而对各个方面所造成的危 害也r 益严重，网络安全已经成为当今最为关心和棘手的问题。从大的方面来 说，网络安全问题已经威胁到国家的政治、经济、军事、文化、意识形态等诸 多领域。因此，很早就有人提出了“信息战”的概念，并将信息武器列为继原 子武器、生物武器、化学武器之后的第四大武器：从小的方面来说，信息安全 问题也是人们能否保护自己隐私的关键。近十几年以来，网络上的各种安全性 问题越来越多，也越来越严重。对5 0 个国家的抽样调查结果显示：2 0 0 0 年有 7 3 的单位受到各种各样形式的入侵，而在1 9 9 6 年，这个数字还是4 2 。据 估计，目前世界上已有两千万人具有进行攻击的能力，而黑客攻击的例子也比 比皆是： 1 9 9 4 年术，俄罗斯黑客从圣彼得堡的一家小软件公司的联网计算机上， 向美国c i t y b a n k 银行发动了一连串攻击。通过电子转帐的方式，从 c i t y b a n k 银行在纽约的计算机主机里窃取了1 1 0 0 万美元。 1 9 9 6 年1 2 月2 9 日，黑客侵入美国空军的全球网网址并将其主页肆意改 动，迫使美国固防部一度关闭了其它8 0 多个军方网址。 1 9 9 8 年6 - j1 6f | ，黑客入侵了上海某信息网的8 台服务器，破译了网络 大部分：f ：作人员的口令和5 0 0 多个合法用户的帐号和密码，其中包括两台服务 器上超级用户的帐号和密码。 而2 0 0 1 年中美“撞机事件”后，中美双方在网络上所展开的“红黑大战” 更是提高了全社会的网络安全意识，使大家对网络安全的严峻形势有了一个更 为清醒的认识。 1 - 2 常见的网络攻击类型 目前，随着大量智能攻击软件的出现，使得黑客攻击一个系统所要花费的 时阳j 越来越短，需要知道的理论知识也越来越少，同时攻击的手段也更加多样 化。目前，我们经常可以见到的攻击手段主要有以下几种： 电子欺骗攻击( s p o o f i n g ) 电子欺骗是攻击者通过伪造网络数据包的方式来实现的。该数据包的源地 址被设定为目标主机的可信地址，从而得到主机的认证，以访问目标主机上的 各种资源。 t c p ，p 协议本身存在一些不安全的隐患，可能受到的攻击包括：i p 欺骗、 d n s 欺骗、w e b 欺骗、序列号欺骗、路由欺骗和授权欺骗等。假设欲攻击目标 是连在n t e m e t 上，因为电子欺骗攻击是针对t c p i p 本身的缺陷，所以不论目 标主机运行何种操作系统，都可能被攻击。实际上，电子欺骗通常作为一种手 段，用于获得目标主机的信任关系，对目标主机进行攻击。 嗅觉器攻击( s n i f f e r ) s n i f f e r 攻击是通过把以太网卡设置为p r o m i s c u o u s 模式( 混杂模式) 来捕 获网络上传送的数据包从而收集敏感数据的。一旦网卡被设置为这种模式，它 就可以接收传输在同一个网段上的每一个数据包。这些数据可能是用户的帐号 和密码或一些机密数据等。嗅觉器是一种网络管理工具，能够分析网络协议以 及定位网络的故障，但是一旦一些不法的入侵者使用了这个工具，那么他就可 能对正常用户数据的安全造成很大威胁。s n i f f e r 在形式上可固化为硬件网络产 品，或直接作为软件来使用。s n i f f e r 不会在网络上主动发送数据包，所以不易 被发现。 端口扫描与漏洞扫描 端口是一组号码，占1 6 个二进制位，其范围为0 6 5 5 3 5 。服务器在预设 的端口等待客户端的连接。对入侵者来讲，每个端口就是一个入侵通道。对目 标计算机进行端口扫描能得到许多有用的信息，从而发现系统的安全漏洞。扫 描的方式可以是手动扫描，也可以用端口扫描软件自动进行。在手动进行扫描 时，需要熟悉各种网络命令，并对命令执行后的输出进行分析。用扫描软件进 行扫描时，扫描软件一般都有端口分析的能力。 拒绝服务攻击( d e n i a lo f s e r v i c e ) 两北丁业大学坝卜学位论义 第一荦绪论 拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资 源给其他用户可用的一种攻击t 方式。拒绝服务的攻击降低了资源的可用性，这 些资源可以是磁盘空间、c p u 使用的时间、打印机、调制解调器等。攻击的结 果是使系统减低或者失去服务的能力。 随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增 加，千兆级别网络的出现，这使得d o s 攻击的困难程度加大了。分布式拒绝服 务攻击( d d o s ) 便是在这种情况下，在传统的d o s 攻击基础之上产生的一类 攻击方式。在这种方式下，攻击者通过控制多台傀儡主机同时对目标主机进行 拒绝服务攻击，使目标主机的系统资源大量消耗，从而使目标主机出现一科，拒 绝服务的状态。 缓冲区溢出攻击( b u f i e r0 v e r f l o w ) 缓冲区溢出是目前最普遍的攻击手段，黑客利用某些程序的缺陷设计溢出 束非法获得某些权限。溢出攻击通常可以分为远程溢出和本地溢出，其中尤其 以远程溢出的威胁最大。 简单的说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实 际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈数据。如果用一个 实际存在的指令地址来覆盖函数的返回地址，c p u 就会转而执行我们所要的指 令。利用远程溢出，黑客可以在没有任何系统帐号的情况下获得系统的最高控 制权。 1 3 网络安全的概念 要想保障网络的安全性，我们首先要明确一点：什么是网络安全，或者说， 什么样的网络才是安全的。目前我们一般认为网络安全应该包括五个基本要 素：机密性、完整性、可用性、可控性与可审查性。 机密性 确保信息不暴露给未经授权的实体或进程。正如我们在前面攻击方法中所 提到的，只要用户使用明文来在网络上传输数据，那么这些数据就有被监听的 可能。如果这些数据对用户来说比较重要或比较敏感，那么一旦黑客窃取到这 些数据，对用户来说所造成的危害很有可能是非常巨大的。 因此，在网络的安全性方面，机密性被做为第一条提出。目前，在我们所 使用的保障网络中传输数据的机密性的方法中，加密传输是非常重要的一种手 段。 砥北工业大学硕1 学位论义 笫一章绪论 完整性 只有得到允许的人爿+ 能修改数据，并且能够判断出数据是否已经被修改。 与实际生活中的过程相似，一旦信息的发布者将信息发布出去，他就不想在不 知情的情况下，信息被其他人修改。也就是说信息的接收者如何来保证他所接 受到的信息就是发送者所发出的原始信息，没有经过第三者的肆意改动。这也 就是数据完整性概念的提出。 与实际中的签名相似，在网络中传输数据时，可以使用数字签名的方法来 保证数据的完整性。数字签名除了提供数据完整性保护以外，还具有难以伪造、 信息的发放者无法否认等其它属性，这些属性在网络信息的传递中也是非常重 要的。 可用性 保证得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源 而阻碍授权者的工作。无论一个系统多么庞大，它的可用资源总是有限的。既 然如此。那么恶意的破坏者就可以通过种种非法的手段来请求大量的系统资 源，从而使得系统将大量的系统资源都分配给这些恶意的请求，反而对正常的 用户请求不能够及时做出响应。 如果一个系统中数据的可用性得不到保障，那么即使数据是完整无缺的， 也对使用者来说毫无意义。目前我们所见到的大量拒绝服务攻击都属于这种类 型，而对这类攻击，尤其是分布式拒绝服务攻击的防治方法还不是很多，也不 是很有效。 可控性 可以控制授权范围内的信息流向及行为方式。提高网络可控性的直接有效 的方法就是对网络进行分段处理，也就是对一个比较大的网络进行逻辑上的小 型化处理，即将网络划分为若干段( s e g m e n t ) ，将容易发生数据风暴的网段隔 离丌，以杜绝对其它网段的影响。 可审查性 能够对出现的网络安全问题提供调查的依据和手段。一旦出现网络攻击行 为或网络受到其它一些安全威胁时，系统要能够对所发生的入侵行为进行记 录，以使得在事故发生之后也可以向网络管理员提供黑客攻击行为的追踪线索 及破案依据。 4 1 4 传统的网络安全防御手段 为了防止各种入侵手段，提高系统的安全程度，人们采取了多种入侵防护 手段，目前经常使用到的有以下j l i q ： 防火墙 防火墙是一种允许接入外部网络，但同时又能够识别和抵抗非授权访问的 网络安全技术。防火墙扮演的是网络中的“交通警察”角色，它指挥网上信息 合理有序地安全流动，同时也处理网上的各类“交通事故”。防火墙可以分为 外部防火墙和内部防火墙。前者在内部网络和外部网络之间建立起一个保护 层，从而防止“黑客”的侵略，其方法是监听和限制所有进入的通信，挡住外 来非法信息并控制敏感信息被泄漏；后者将内部网络分隔为多个局域网，从而 限制外部攻击可能造成的损失。 i n e r n e t 防火墙是这样的系统( 或一组系统) ，它能增强机构内部网络的安 全性。防火墙系统决定了哪些内部服务可以被外界访问；外部的哪些人可以访 问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙 有效，所有来自和去往i n t e m e t 的信息都必须经过防火墙，接受防火墙的检查。 防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于被渗透。 但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能够提供任何的保护 了。 应给予特别注意的是，i n t e m e t 防火墙不仅仅是路由器、堡垒主机、或任 何提供网络安全的设备的简单组合，它是安全策略的一个部分。安全策略建立 了全方位的防御体系来保护机构的信息资源。这种安全策略包括在出版的安全 指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地 和远地用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施以及雇员培训 等。所有有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设 立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。 入侵检测 入侵检测是主机网络安全的一个重要组成部分。它可以实现复杂的信息系 统安全管理，从目标信息系统和网络资源中采集信息，分析来自网络外部的和 内部的入侵信号，实时地对攻击做出反应。 入侵检测系统通常分为基于主机和基于网络两类。基于主机的入侵检测系 统的主要特征是使用主机传感器监控系统的信息。这种技术可以用于分布式、 2 2 韭；j ；些兰堡! ：兰竺生兰箜= 耋缝氅 加密、交换的环境中监控，把特定的问题、特定的用户联系起来，但加大了系 统的负担：基于网络的入侵检测系统主要是网络监控传感器监控包监听器收集 的信息，它不能审查加密数据流的内容，对高速网络不是特别有效。 访问控制 访问控制主要有两种类型：网络访问控制和系统访问控制。网络访问控制 限制外部对主机网络服务的访问和系统内部用户对外部资源的访问，通常由防 火墙来实现。系统访问控制为不同用户赋予不同的主机资源访问权限，操作系 统提供一定的功能实现系统访问控制，如u n i x 的文件系统。通常情况下这两 种相互独立，因此无法将两者各自的特性结合起来进行控制。例如在利用防火 墙实现网络访问控制时无法加入用户属性，而在利用u n i x 文件系统功能进行 文件访问控制时无法加入网络属性。 加密传输 加密就是为了安全的目的对信息进行编码和解码。数据加密的基本过程就 是将可读信息( 明文) 译成密文( 或密码) 的代码形式。加密的逆过程即为解 密。加密传输技术是一种十分有效的网络安全技术，它能够防止重要的信息在 网络上被拦截和l 窃取。 i p s e c ( i p 安全体系结构) 技术在i p 层实现加密和认证，实现了数据传输 过程中的完整性和机密性，可为p 及其上层协议( t c p 和u d p 等) 提供安全 保护。 虚拟专用网( v p n ) 技术能够在公共网络中为两台通信的计算机建立一个 逻辑上的安全通道( t u n n e l ) ，通过数据的加密和认证使得数据包即使被截获也 不容易破译，提供了很好的安全性。 现有的这些入侵防御手段中，都有一个共同的特点就是采用拒绝型防御策 略，即根据特定的需要指定一系列的访问策略，不符合指定的安全策略就拒绝 访问。比如进入防火墙的数据不符合防火墙的规则，则不让通过：没有密钥就 无法通过f 常渠道得到解密的数据等等。这些防护手段相当于在需要保护的系 统外部建立了一道保护屏障，一旦所使用的防御手段有效，就把黑客成功地阻 止在被保护系统之外，从而使系统的安全性得到了充分的保证。 但是这些防御手段都有一个同样的缺陷：发现和预防能力不够。因为这些 防御手段都是通过把入侵者阻挡在被保护系统之外来完成系统防护的，也就是 说，入侵者在刚刚侵入到系统或者还没有侵入系统的时候就已经被发现并被禁 止做进一步的入侵行为，所以也就不可能知道入侵者的确切的入侵目的，以及 入侵者想要进行的进一步入侵行为。此外，很多情况下，我们想要收集入侵者 两北t 业人学颀i ：学位论文 第一章绪论 的详细入侵踪迹和入侵手段，以作为对系统安全性分析的重要数据，或者在以 后法律程序上作为入侵行为的重要证据。而使用原始的防御措施就不能够达到 这个目的，因此我们需要有一种新的技术来弥补现有防御手段的不足。 1 5 本论文所做的主要工作 有鉴于传统防御手段中所存在着不能够对入侵者的入侵行为进行详细跟 踪、记录这一不足之处，我们需要有一种既能够保证重要信息不被窃取、系统 不被破坏，又能够对黑客的入侵行为做进一步监视、记录的手段。我们此次论 文的目的，也就是设计一个具有这种特性的网络安全系统。 陷阱系统是本次论文工作的一个重点。它是应用陷阱技术实现的一种设置 好的网络或主机，隐藏在防火墙后面，通过模拟一些常见的系统漏洞，制造一 个容易被入侵的网络环境，诱导入侵者对系统发生攻击。在攻击的过程中对此 环境中的进出数据进行捕获与控制，并对被捕获数据进行分析，从而理解和研 究入侵者们所使用的工具、入侵的方法以及入侵的动机，由此获取此次入侵的 第一一手入侵数据。这样做，一方面可以转移攻击目标，保护目标机：另一方面 可以进行系统评估、优化入侵检测系统、防火墙系统，为指定强有力的安全决 策提供依据。 蜜罐( h o n e y p o t ) 就是一种特殊的陷阱系统，是用于入侵检测的最新方法。 蜜罐的思想是建立一个陷阱系统，这个系统有着一个真实的或者建立在别的系 统上的操作系统，它看上去有许多漏洞，可以很轻易的获取其资源。蜜罐应该 以一种与真实系统相似的方式建立，应当有许多假的文件、文件夹和其它信息， 以便使得这个系统与真实系统看起来非常相似。通过使用合法的文件使蜜罐看 起来象一个合法的主机，这样就会让黑客相信他们在获取一些重要的信息。黑 客在“h o n e y p o t ”中待的时间越长，他们所使用的技术就会暴露的越多，而这 些信息可以被用来评估他们的技术水平了解他们使用的攻击工具。理想的蜜 罐提供一个入侵者可以被捕获的环境，或者提供一些可以被入侵的弱点，这些 弱点都是以真实的系统为背景建立的。建立诱捕系统的目的不是为了抓住入侵 辑，而是要监视和学习它们的行为，找出它们是如何探测和入侵系统的，以及 如何才能在真实的系统中阻止类似入侵行为的发生。通过学习他们使用的工具 和思路，我们可以更好的来建立我们的安全系统模型。 网络分流装置( n a t r o u t e r ) 是本次论文工作的另一个重点。单独的一陷 阱系统所能够起到的作用是有限的。我们知道，一个陷阱系统能够监测并记录 晒北f 业人学坝。j 二学位论文第一章绪论 入侵者的前提条件是要让入侵者自己主动地来对陷阱系统进行攻击。一旦没有 入侵者来对陷阱系统进行访问，那么整个陷阱系统就形同虚设，没有丝毫利用 价值。通常情况下，蜜罐都是作为网络中的一个节点来存在的，这样就使得它 被发现并被攻击的可能性变的非常小。因此，我们想到，如果能够主动把由i d s 所检测出来的入侵行为导入到陷阱系统中去，那么既可以达到阻止入侵者侵入 内部系统、窃取机密信息的目的，同时还可以对入侵者的进一步入侵行为通过 陷阱系统详细记录下来，以便于以后对其行为进行进一步的分析。也就是说通 过某种方式，把i d s 和陷阱系统两者紧密的结合起来，使他们之间可以进行优 势互补，进一步提高网络的安全性。 n a tr o u t e r 就是用来实现以上构想的。n a tr o u t e r 的核心是以网络地址 转换( n a t ) 的方式来实现的。与普通的n a t 方式所不同之处在于它可以通过 接收入侵检测系统的控制信号，来动态设定本地分流规则，从而将正常的链接 行为导向内部网，而将异常的行为导入到陷阱系统中接受监测。本文从理论的 角度给出了n a tr o u t e r 实现的框架结构和具体模块的功能以及实现方式。 1 6 本论文的内容安排 第一章分析了网络安全的现状，简单讨论了常用的入侵方法与防御措施， 说明了采用蜜罐和网络分流装置的必要性： 第二章提出此次设计的总体框架，并对其中的各个部件逐一进行介绍： 第三章对蜜罐的特性进行分析，并给出蜜罐的具体设计方案： 第四章中从讨论网络分流装置的原理开始，介绍了实现网络分流装置时所 选用的方法n a t 和工具i p t a b l e s ，之后按照模块提出了分流装置的设计方案： 第五章对在设计中所存在的问题予以总结，并提出一些解决问题的设想及 思路。 第二章系统总体结构 2 1 网络安全模型 依据网络安全实施进程的不同阶段：事故发生前、事故发生中、事故发生 后，我们可以提出以下的可靠实用的网络安全模型： 网络安全= 事前检叠+ 事中防护、监测、控制+ 事后取证 2 1 1 事前阶段 图2 1 网络安全模溅 定义一以安全实施进程为坐标，指系统正常运行到安全事故发生前的这 个阶段。 任务一此阶段的主要任务是使用自动化的网络风险评估工具，对现行网 络进行预防性检查，及时发现问题，并予以解决。 2 1 2 事中阶段 定义一以安全实施进程为坐标，指系统安全事故已经发生到系统安全事故 的进程得到有效控制之前的这个阶段。 任务一此阶段的主要任务是，提高系统抗攻击能力，增加黑客攻击难度； 两北t 业人学坝j ：学位论文 第二章系统总体结构 加强监控、监测，尽早发现事故苗头、及时中止事故进程，最大限度地压 缩安全事故运行时问，将事故损失降到最少。 2 1 3 事后阶段 定义一以安全实施进程为坐标，指系统安全事故的进程得到有效控制之 后的这个阶段。 任务一此阶段的主要目标是研究事故起因、评估损失、责任追查。核心 在于电子数据取证。安全审计信息的采集应该是多层次、多方位、多手段 的，并且具有不可抵赖性。 2 2 传统网络安全结构 在以往的网络安全防护措施中，我们把大部分精力放在了如何阻止入侵者 进入被保护网络这一点上。与这种思想相对应，现有的网络安全产品中，绝大 多数是用来进行事中防护、检测、与控制的。比如防火墙、入侵检测系统、网 络隔离设备等等。这些网络安全产品的使用，使得整个网络在安全性方面有了 很大的提高。图2 2 所示的就是传统的网络安全结构。 幽2 2 传统网络安全结构 0 2 2 1 防火墙( f i r e w a l l ) 防火墙最早起源于火车。燃煤机车的动力室内有一只巨大的燃炉和一大堆 燃煤，火车机师给火车引擎添煤加火，这个过程产生的煤尘具有极高的可燃性， 煤尘与火偶尔相碰，就会引起发动机失火，殃及旅客车厢。于是就在火车动力 室后面修筑了一面铁墙，以阻止大火向客车车厢蔓延。 在数字化时代的今天，防火墙的作用就是用来保护公司的内部网兔受潜伏 在互联网上的黑客们的恶意攻击。它针对外部网络而保护内部网络中的资源， 在企业内部网和i n t e m e t 之间建立了一个中心扼制点，所有进出的信息都需要 接受检查。防火墙决定了哪些内部服务可以被外界访问，外界的哪些人可以访 问内部的哪些服务，以及哪些外部服务可以被内部人员访问。 在上面的结构中，外部防火墙抵挡来自外部网络的攻击并管理所有外部网 络对d m z 的访问，它是内部网络和d m z 的第一道安全防线。内部防火墙管 理d m z 对于内部网络的访问，它是内部网络的第二道安全防线，当外部防火 墙失效的时候，它还可以起到保护内部网络的功能。 防火墙可以是非常简单的过滤器，也可以是精心配置的网关，但它们的原 理一样，都是检测并过滤所有内部网和外部网之间的信息交换，保护内部网络 中敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志。新一代 的防火墙还可以阻止内部人员将敏感数据向外传输。 2 2 2 停火区( d m z ) 停火区简称d m z ，本意是指朝鲜和南韩之f h j 的无人区，是双方都不得进入 的地带。这里的d m z 指的是内部防火墙和外部防火墙之间的网段。d m z 最初被 定义为防火墙的外部接口和外部路由器的内部接口之问的网络段，后来d m z 的 定义进一步演化，是指那些为不信任系统提供公共服务的孤立网络段。现在人 们还经常用这个术语来指两个防火墙之间的网段，或是连接防火墙的“死端” 的网络。 d m z 的目的就是把敏感的内部网络和其它提供公共服务的网络分离开，为 网络层提供深度的防御。防火墙上的策略和访问控制系统定义限制了通过d m z 的全部通信数据。相反，在i n t e r n e t 和企业内部网之间的通信数据通常是不 受限制的。d m z 的主要作用是减少为不信任客户提供服务而引发的危险。d m z 西北t 业大学颂t 学位论立第二章系统总体结构 可以为你的主机环境提供网络级的保护，它还把公众主机设备和私有网络设施 分离丌来。例如，如果你公司有一个w e b 站点，任何人可以通过浏览器和它连 接。没有d m z 配置时，你的主机系统位于防火墙的外部( 暴露在i n t e r n e t 上) 或位于公司内部网中的网络段上。前种情况下，w e b 主机对所有攻击都是开 放的，没有任何防御措施；后种情况会导致其它的内部资源受到攻击。通过 d m z 可以在保护内部网络的同时时保护到i n t e r n e t 服务器。 2 2 3 入侵检测系统( i d s ) 内部网络是我们所要保护的主要对象，而对于传统的防火墙来说，它能防 止的只是从外部网进入的入侵行为。对于源于内部网自身的攻击行为来说，防 火墙就完全的失去了其作用。然而据有关数据统计，在目前的各种网络安全事 件中，有约7 0 的攻击是来自内部网的。可见，如何来防止内部网用户的攻击 已经成为一个越来越重要的问题。 入侵检测系统便是一种有效的解决方法，它是对防火墙的有益补充，被认 为是防火墙之后的第二道安全闸门。入侵检测系统能够帮助网络系统快速发现 入侵行为的发生，扩展了系统管理员的安全管理能力( 包括安全审计、监视、 进攻识别和响应) ，提高了信息安全基础结构的完整性。 在本质上，入侵检测系统是一个典型的“窥探设备”。由于入侵检测系统 不必为它所连接的链路转发业务流量，只需要在网络上被动的、无声息地收集 它所关心的报文即可，所以i d s 可以把大部分的系统资源用于对采集报文的分 析，这正是i d s 最眩目的亮点。对于收集到的报文，入侵检测系统提取相应的 流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比 较匹配。根据预先设定的阀值，匹配耦合度较高的报文流量将被认为是入侵， 对此，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。因此入 侵检测系统在不影n 向网络性能的情况下能对网络进行监听，从而提供对内部攻 击、外部攻击和误操作的实时保护。 2 3 新型网络安全结构 然而正如我们在上一节“网络的安全模型”中所提到的，网络的安全性不 仅仅体现在事前检验、事中防护上，事后取证也是非常重要的一个方面。 没有任何网络是绝对完全安全的。随着网络的飞速发展，一方面入侵事件 旧北i 业人学坝l 学位论文 第一二章系统总体结构 的数量越来越多，这样就很可能出现对己发生的入侵事件来不及做实时处理的 情况；另一方面入侵者所使用的手段越来越高明，他们所使用的新型入侵方法， 很可能躲避过现有的一些网络安全产品的监控，而直接对内部系统产生威胁： 此外，目前的网络安全产品也不是无懈可击的，他们都存在着这样或那样的缺 陷甚至安全隐患。 单独从防御机制上来说，可以说目前的网络安全产品所起的作用已经是比 较强大了。但是从发现和预防能力上来说，它们还远远不够。目前的防御方式 不能够确切知道或预测入侵者的攻击目标或手段，不能收集足够的攻击资料， 无法跟踪入侵者踪迹，无法获得入侵技术的发展情况。而这些方面对于维护网 络和信息安全是至关重要的，因此必须有一种新的手段来弥补现有防护措旌的 这磐缺点。 幽2 3 新掣网络安全结构 在图2 3 中所提出的新型网络安全结构中，与传统结构最大的区别就在于 加入了蜜网( h o n e y n e t ) ，将其做为- - 4 十新的安全措施。同时还加入了- - 4 十叫 做网络分流装置( n a tr o u t e r ) 的新设备。n a tr o u t e r 虽然不能直接增强网络 的安全性，但是它却是这个体系结构中非常核心的一个部分。通过n a tr o u t e r 我们就可以将1n t e r n e t 、i n t r a n e t 和t t o n e y n e t 三者相互有机的结合起来。这 西北工业大学颂二l 学位论文第二章系统总体结构 样在整个结构中，既有传统的安全防御措施，以继承传统网络安全产品防御性 能好、发现能力强的特点；又有由h o n e y n e t 构成的陷阱系统，以弥补传统网 络安全产品信息收集能力不强这一弱点，通过h o n e y n e t 所收集的信息可以获 得更多黑客入侵的详细资料。 2 3 1 蜜网( h o n e y n e t ) 蜜罐( h o n e y p o t ) 在说明什么是h o n e y n e t 之前，首先我们有必要来简要介绍一下什么是蜜 罐( h o n e y p o t ) 。 h o n e y p o t 是试图将攻击者从关键系统引诱开的一种诱骗系统。这样的系 统充满了看起来很有用的信息和比较明显的安全漏洞，但是这些信息实际上只 是吸引入侵者对其进行攻击的“陷阱”。当检i ! i i i i i 对h o n e y p o t 的访问时，很可 能就有攻击者正在企图对我们的蜜罐进行非法闯入。构建h o n e y p o t 的另一个 目的是诱惑攻击者在其上浪费时间，以延缓对真正目标的攻击。 国际上的一些安全组织首先开始研究h o n e y p o t 技术。在一般情况下， h o n e y p o t 模拟某些常见的系统漏洞，模拟其它操作系统的特征或者在某个系统 上做了一些设置，使其成为一台陷阱主机，来诱骗入侵者。 h o n e y p o t 的出现比较早，已有一些商业或者非商业的产品，比如f r e d c o h e n & a s s o c i a t e s 的d t k ( t h ed e c e p t i o nt o o l k i t ) ，n a i 公司的c y b e r c o p s t i n g ，r e s o u r c e 公司的m a n t r a p 等等。 蜜网( h o n e y n e t ) h o n e y n e t 是从蜜罐( h o n e y p o t ) 发展而来的一种新型的陷阱系统。h o n e y n e t 建立在一个真实的网络和主机环境上，也就是说所有系统都是标准的机器。在 这些系统之上运行的是真实完整的操作系统以及应用程序，没有刻意地模拟某 种漏洞或者故意地使系统不安全，这样可使建立的网络环境看上去更加真实可 信，以增强其诱骗的效果。在h o n e y n e t 中，网络和系统都隐藏在防火墙后面。 所有进出该网络的数掘和陷阱主机上的行为都受到监视、捕获以及控制。这些 被捕获的数据被用来研究和分析入侵者所使用的工具、方法以及动机。并且 h o n e y n e t 工程的研究者还对陷阱技术的合法性进行了研究和探讨。该技术的用 途有：可以用来学习了解敌人( 入侵者) 的思路、工具、目的；为特定组织提 供关于他们自己的安全风险和脆弱性的一些经验：帮助一个组织发展它的事件 响应能力。因此，h o n e y n e t 展现的是一种研究和分析黑客的思想。 4 阳北t 业人学坝士学位论义第二荦系统总体结构 在我们提出的网络安全结构中，将h o n e y n e t 和正常的i n t r a n e t 通过n a t r o u t e r 联系在了一起，这样就使得监测行为更加隐秘，使攻击者更难把一个 h o n e y n e t 从一个正常的网络中分辨出来。 蜜罐( i o n e y p o t ) 和蜜网( h o n e y n e t ) 的区别 i t o n e y p o t 是个故意设计为有缺陷的系统或“伪”服务，通常是用来对 入侵者的行为进行报警或者诱骗。一般情况下，传统的h o n e y p o t 模拟其它操 作系统或者一些常见漏洞，而h o n e y n e t 则有所不同，它是一个用来对黑客的 入侵行为进行研究、学习的工具。 h o n e y n e t 是一个网络系统，而并非某台单一主机，这一网络系统是隐藏 在防火墙后面的，所有进出的数据都受到监视、捕获和控制。这些被捕获的数 据可以用来研究和分析入侵者们使用的工具、方法以及入侵动机。在h o n e y n e t 中，研究者可以使用各种不同的操作系统以及设备，如s o l a r i s ，l i n u x ，w i n d o w s n t ，c i s c os w i t c h 等等。这样建立的网络环境看上去会更加真实可信，同时还 在不同的系统平台上面运行着不同的服务，比如l i n u x 的d n ss e r v e r ，w i n d o w s n t 的w e b s e r v e r 或者一个s o l a r i s 的f t ps e r v e r 。研究者可以学习使用不同 的工具以及不同的策略一一由于某些入侵者的原始目标可能仅仅定位于几个 特定的系统漏洞，配置这种多样化的网络系统，就有可能揭示他们更多的一些 特性。 在h o n e y n e t 中的所有系统都是标准的主机，运行的都是真实完整的操作 系统以及应用程序就像能在网络上找到的系统一样，没有刻意地模拟某种 不安全环境或者故意地使系统存在明显的漏洞。在h o n e y n e t 的系统上存在的 安全风险，与网络上一些企业内部的网络存在的安全风险完全相同。 因为一个典型蜜罐系统是通过模仿一个操作系统来实现的，因此有经验的 攻击者知道如何识别哪些是正确的迹象，而哪些不是。对于h o n e y n e t 来说， 因为它使用的是标准的操作系统，所以如果设计得当，入侵者将很难发现 t t o n e y n e t 是一种陷阱，这样就可以使得对入侵者的入侵信息的收集工作更加顺 利地进行。 一方面，从蜜罐到蜜网，系统的复杂程度越来越高，因此所需要的技术含 量也就越来越大：另一方面，如果我们已经拥有一个比较成熟的蜜罐，那么想 要以蜜罐为基础构造一个蜜网系统也相对来说比较容易。因此，在我们此次的 设计过程中，把蜜罐做为了设计的重点。 2 3 。2 网络分流装置( n a tr o u t e r ) 对于一个单独的蜜罐来说，直接将其放置在网络之中，就可以引诱入侵者 对其进行攻击，从而对入侵资料进行收集。然而在这种情况下，蜜罐只能被动 地等待入侵者对其进行探测、攻击，因此只有那些以蜜罐为攻击目标的攻击信 息才能被记录下来，而那些对受保护网络的攻击却仍然只能按照传统的防御方 法将其拒绝在受保护网络之外。 为了能够对受保护网络进行的攻击进行更加详细的记录，我们引入了网络 分流装置n a t r o u t e r 。由图2 3 可以看出，n a t r o u t e r 既连接了外部网络，又 连接了内部网络和蜜网，是内、外网之间进行信息交换的一个交通枢纽。通过 在n a tr o u t e r 中配置分流规则，可以对经过其的所有数据进行分流。在系统运 行之前需要由管理员手动配置初始的分流规则在系统运行过程中，可以由管 理员对分流规则进行更新，也可以通过i d s 向n a tr o u t e r 发控制信号来完成 分流规则的动态配置。 在分流规则的实现方面，我们选用了网络地址转换( n a t ) 这一技术。在 传统的标准t c p i p 通信过程中，所有的路由器仅仅是充当一个中间人的角色， 也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改。更为确 切的说，除了将源m a c 地址换成自己的m a c 地址以外，路由器不会对转发 的数据包做任何修改。n a t ( n e t w o r k a d d r e s st r a n s l a t i o n 网络地址转换) 恰恰是 出于某种特殊需要而对数据包的源i p 地址、目的i p 地址、源端口、目的端1 2 1 等进行改写的操作。通过对上述字段的改写，我们就可以将指定的数据包转发 到我们的目的地。进行网络地址转换的工具有很多，我们选用的是基于l i n u x 2 4 内核的i p t a