（通信与信息系统专业论文）基于主机的主动入侵防御系统的研究与实现.pdf

摘要 本课题是郑州市科技局科技攻关计划项目“网络主动入侵防御系统”的子课题。主要 针对目前安全防御产品的缺陷，研究并设计了一个更加有效、更加完善的基于主机的入侵 防御系统，它有机结合多种安全技术，以主机朋务器上的关键资源为中心实施纵深防御。 本文首先分析当前主机安全形势，介绍了该课题的国内外研究现状，阐述了基于主机 的入侵防御系统的设计思想，确定了系统的设计目标，并对系统采用的关键技术进行了阐 述。 由于发生在主机或服务器上的所有活动都要使用操作系统，也就是说，即使攻击者绕 过了其它某一种或几种安全防御系统，他们最终都必须使用操作系统。入侵防御系统作为 最后一道系统防线，从系统层和网络层两个层面上进行防御，采用的关键技术就是核心态 系统调用截获和网络层截获。通过网络截获器和系统调用截获器，对各种各样的协议攻击、 操作系统攻击和应用程序攻击进行防范。利用用户定制的系统访问控制策略，从访问者身 份、访问时间、访问地点、访问使用进程和进程的授权权限等方面对系统活动和用户行为 进行了细粒度的访问控制。实现了对操作系统的重要文件和注册表项的增强保护；通过进 程隐藏和进程终止保护技术对系统中运行的重要进程进行防护；通过内核模块隐藏和内核 模块加载卸载技术实现对企图加载的内核级r o o t k i t s 和后门的阻止；通过授权的应用程序 运行控制，不但可以保护恶意应用程序对正常应用程序的修改，还可以阻止未知的或者未 授权的应用程序的运行。通过这些防护功能，对操作系统的安全性进行扩展。 最后总结了所做的工作，并指出了下一步的工作方向。 关键词：入侵防御系统；系统调用截获；访问控制；关键文件和注册表保护；进程隐藏和 终止保护：模块加载和卸载保护；应用程序运行控制 第1 页 a b s t r a c t t h ep r o j e c ti sab r a n c ho f n e t w o r ka c t i v ei n t r u s i o np r e v e n t i o ns y s t e m f u n d e db yt h e s c i e n c ea n dt e c h n o l o g yd e p a r t m e n to fz h e n g z h o u a i m i n ga tt h ef l a w so fp r e s e n ts e c u r i t y p r o d u c t ，t h et h e s i ss t u d i e sa n dd e s i g n sam o r ee f f i c i e n ta n dp e r f e c th o s t - b a s e di n t r u s i o n p r e v e n t i o ns y s t e m o r g a n i c a l l ya m a l g a m a t i n gm u l t i p l es e c u r i t yt e c h n i q u e s ，i tp u t sd e e pd e f e n s e i np r a c t i c ec e n t e r e do nt h ek e yr e s o u r c e si nt h eh o s t s e r v e r s f i r s t l y ，t h et h e s i sa n a l y z e st h es e c u r i t yp o s i t i o no f t h eh o s ts y s t e mc u r r e n t l y ，i n t r o d u c e st h e r e s e a r c hs i t u a t i o na n de x i s t i n gq u e s t i o n si nt h er i d & e x p a t i a t e so nt h es y s t e m sd e s i g nt h o u g h t ， e s t a b l i s h e si t sd e s i g ng o a l s ，i n t r o d u c e sk e yt e c h n o l o g yp r i n c i p l et h a ti su s e di nt h es y s t e m d e s i g n a l la c t i v i t i e so nah o s to r , r v e rm u s tu s eo p e r a t i o ns y s t e m ，e v e ni fa t t a c k e r so ft h ef u t u r e d i s c o v e rw a y st oc i r c u m v e n to t h e rd e f e n s e s ，t h e ym u s ts t i l lu s et h eo p e r a t i o ns y s t e m h o s t i n t r u s i o np r e v e n t i o ns y s t e mi st h el a s tl i n eo fd e f e n s ef r o mn e t w o r kl e v e la n do p e r a t i o ns y s t e m l e v e la g a i n s ts y s t e mc o m p r o m i s e b yu s i n gn e t w o r ki n t e r c e p t o ra n ds y s t e mc a l li n t e r c e p t o r , i t r e s i s t sa l lk i n d so fp r o t o c o la t t a c k s ，o p e r a t i o ns y s t e ma t t a c k sa n da p p l i c a t i o na t t a c k s h o s t i n t r u s i o np r e v e n t i o ns y s t e mu s e st h i sp r o t e c t i o nt e c h n o l o g y ，w h i c hr u n sa tt h eo p e r a t i o ns y s t e m l e v e l ，f o r m sas t r o n ga n dp r o v e nl a s tl i n ed e f e n s ea g a i n s ts y s t e mc o m p r o m i s e i tn s e sa c c e s s c o n t r o lp o l i c i e so f u s e rd e f i n i t i o n , e x a m i n e ss y s t e ma c t i v i t i e sa n du s e rb e h a v i o ra c c o r d i n gt ot h e f a c t o r so fw h o 、w h a tt i m e 、w h e r e 、w h a tp r o c e s sa n dw h a tr i g h t se t c ，a n dp r o v i d e sf i n e r g r a n u l a r i t ya c c e s sc o n t r o lt h a nt h eo p e r a t i o ns y s t e m b yl o c k i n gd o w nt h eo p e r a t i o ns y s t e m c r i t i c a l f i l e sa n dk e yr e g i s t r i e s ，i ta c h i e v e sf i l ea n dr e g i s t r yp r o t e c t i o n ；u s i n gp r o c e s sh i d ea n d p r o c e s st e r m i n a t i o np r o t e c t i o nf o rc r i t i c a lp r o c e s sr u n n i n go nt h eo p e r a t i o ns y s t e m ，i ti m p l e m e n t s p r o c e s sa t t a c kp r o t e c t i o n ；u s i n gk e r n e lm o d u l eh i d et e c h n o l o g y ，i ti m p l e m e n t si m p o r t a n tk e r n e l m o d u l ep r o t e c t i o n ；b yp r o v i d i n gk e r n e lm o d u l el o a da n du n l o a dp r o t e c t i o n , i tc a nb l o c k m a l i c i o u sa n du n a u t h o r i z e dd r i v e rw h i c hi sl o a d e da n du n l o a d e d ；i tc a na l s ob l o c kr o o t k i t sa n d b a c k d o o ri nt h ek e r n e lt or u no nt h eo p e r a t i o ns y s t e m ；b yc o n t r o l l i n ga p p l i c a t i o ne x e c u t i o n , i t c a nb l o c kn n k n o w no ru n a u t h o r i z e da p p l i c a t i o nr u n o nt h eo p e r a t i o ns y s t e m t h r o u g hv a r i o u s d e f e n d a b l ef u n c t i o n s ，h o s ti n t r u s i o np r e v e n t i o ns y s t e me x t e n d so p e r a t i o ns y s t e m s e c u r i t y p e r f o r m a n c e f i n a l l y ，t h et h e s i sc o n c l u d e st h ef i n i s h e dw o r ka n dt h ee x i s t i n gd r a w b a c k s ，a n dp u t sf o r w a r d 、i t hs o m es u g g e s t i o n st of u t u r ed e v e l o p m e n t k e yw o r d s ：i n t r u s i o np r e v e n t i o ns y s t e m ；s y s t e mc a l li n t e r c e p t i o n ；a c c e s sc o n t r o l = c r i t i c a if i l ea n dr e g i s t r yp r o t e c t i o n = p r o c e s sh i d ea n dt e r m i n a t ep r o t e c t i o n = m o d u l e l o a da n du n l o a dp r o t e c t i o n ；a p p l i c a t i o nr u nc o n t r o l 第1 i 页 信息工程大学硕士学位论文 表目录 表1h i p s 三层防护表6 表2h i p s 主要模块组成表3 4 表3 文件保护模块截获的系统服务表3 7 表4 注册表保护模块截获的系统服务表4 7 表5 自我保护模块截获的系统服务表4 8 第v 页 信息- 程大学硕士学位论文 图目录 图1c e r t c c 报告的网络安全事件示意图1 图2 攻击的复杂度和入侵的技术知识示意图2 图3n i p s 工作原理示意图1 4 图4n i p s 过滤器实现模型图1 4 图5h i p s 部署方式示意图1 5 图6 h i p s 工作原理示意图1 6 图7 自主访问控制结构和流程1 9 图8b l p 安全模型2 1 图9 基于角色的访问控制2 2 图1 0r b a c 9 6 模型2 3 图1 1 基于主机的入侵防御系统截获点示意图2 4 图1 2w i n d o w s 系统服务调用的层次化结构。2 4 图1 3w i n d o w s 系统服务调用的实现过程2 5 图1 4w i n s o c k 体系结构2 9 图1 5 核心态网络数据和包处理示意图3 1 图1 6 n d i s 拓扑结构3 2 图1 7 n d i s h o o k 安装前后的结构示意图3 2 图1 8 程序总体流程图3 6 图1 9h o o kz w c r e a t e f i l e 访问控制流程图4 l 图2 0h o o kz w s e t l n f o r m a t i o n f i l e 访问控制流程图4 4 图2 1h o o k 访问控制流程图。46zwquerydirectoryfile 图2 2 系统中活动进程在内存中的组织形式4 9 图2 3 进程隐藏实现流程图5 l 图2 4 进程终止保护实现流程图5 2 图2 5 系统中加载的内核模块在内存中的组织形式5 4 图2 6 驱动加载保护实现流程图5 5 图2 7 应用程序运行控制流程图5 7 第v i 页 学位论文原创性声明 所提交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所 知，除了文中标注和致谢的相关内容外，论文中不包含其他个人或集体已经公开的研究成 果。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文题目：基壬圭扭曲圭动厶侵随御丕统的班究生塞班 学位论文作者签名：金堡堑f 7 1 势t ：伽绰月形日 学位论文版权使用授权书 本人完全了解信息工程大学有关保留、使用学位论文的规定。本人授权信息工程大学 可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允许论文被查阅和借 阅；可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 涉密学位论文在解密后适用本授权书。) 学位论文题目：基王圭扭的主动厶侵随御丕统的班究星实丑 学位论文作者签名；查旦! 整日期：加俾，月j - 6 b 作者指导教师签名：日期：“年彳月孑日 信息1 = 稃大学硕士学位论文 第一章绪论 本课题来源于郑州市科技局科技攻关计划项目网络主动入侵防御系统，编号是 h x 2 0 0 4 0 2 0 8 9 。本课题主要分为基于网络的入侵防御系统( n i p s ) 和基于主机的入侵防御系 统( h i p s ) 的研究与实现，而基于主机的入侵防御系统又分为三个组成部分，分别是分布式 主机安全代理( 入侵防御引擎) 、主机代理的控制台与中央管理控制台。而分布式主机安 全代理包括系统访问控制和网络访问控制，本人负责分布式主机安全代理系统访问控制核 心功能的实现。 1 1 研究背景 随着计算机网络技术的迅猛发展和i n t e m e t i n t r a n e t 用户数量的激增，网络已深入到社 会的各个领域，人类社会各种活动对信息网络的依赖程度已经越来越大。然而网络如同其 它技术一样，危险伴随着强大的功能一道而来。有关网络入侵、黑客攻击和计算机犯罪等 基于网络的安全事件时有报导，最近几年这类安全事件几乎成为最热门话题之一( 见下图 1 和图2 ) 。为了保障计算机系统、网络系统和信息的安全，涌现出许多安全技术和产品， 对各个环节提供安全保护。这些产品包括防火墙、安全路由器、身份认证系统、v p n 设 备、入侵检测系统、网络和系统安全性分析等等。但是对于网络的重要组成部分p c 桌面 系统的安全问题所投入的关注并不是很多1 1 】。 1 1 1 课题背景 1 9 1 9 9 11 9 9 2 1 9 9 3 1 9 9 41 9 9 5 1 9 9 6 1 9 9 7 1 9 9 8 1 9 9 92 0 0 02 0 0 1 2 0 0 22 0 0 3 2 0 0 42 0 0 5 图l ：c e r t c c 报告的网络安全事件示意图 许多企业网用户认为在网络系统中采用了防火墙一类的安全产品就能够保证整个 第1 页 裟l裟淼淼鬈翟。 信息t 稃大学硕十学位论文 攻；h 蔹魑 ：j t 式玖i j ，土j ； 。t990 。l 叠9 5 1 9 。g q 2 0 0 2 ， 2 0 0 5 。一 ； 睦谪。，。一铹澎艟每。 。7 ，。 ， 轴；二，南每。琳b 小g 啦l 赢菇 图2 ：攻击的复杂度和入侵的技术知识示意图 内部网络的安全，但事实上这些网关型的防火墙产品，主要解决企业内部网与i n t e m e t 互连 时的安全问题，它们防外不防内，无法真正实现对局域网内每一台主机的保护，这对于整 个网络的安全来说是远远不够的。f b i 的调查数据显示5 0 以上的入侵来自于内部，并不是 所有企业内部的人员都值得信任。而且如果有企业内部人员通过拨号连接接入i n t e r n e t ，就 绕过了企业防火墙，造成一个潜在后门攻击渠道。同时，如果某台桌面系统已被黑客入侵， 取得t l o g o n 信任状，则当企业员工利用此桌面系统在家中通过v p n 和企业内部网络远程 连接时，则正好成为黑客进入企业内部网的桥梁。考察目前所有网络系统的关键资源，可 以发现最关键的资源实际上就是驻留在主机和服务器上的数据。如果我们对这些数据进行 了强制性、全面性的防护，并且对其操作系统进行加固，对问题最多的超级用户的超级权 力进行适当的限制，就可以达到相当好的效果。这样，不管攻击者采用什么样的攻击方法， 我们的防范方式总是能够主动识别攻击者的企图，对于不合适的访问予以拒绝。例如，如 果一个入侵者利用一个新的漏洞获取了操作系统超级用户口令，那么下一步他可能希望用 这个账户和密码对服务器上的数据进行删除和篡改。这时，如果利用主动防御首先来限制 超级用户的权限，又通过访问地点、访问时间以及访问使用的进程等几方面的因素予以限 制，入侵者的攻击企图就很难得逞。同时，这样的防御系统会将访问企图记录下来，达到 对未知攻击的成功防范，为管理员处理新型的入侵方式争取宝贵的响应时间。 正是在这种背景下，基于主机的入侵防御系统被推到了前台。基于主机的入侵防御系 统是对建立纵深安全防御系统的增强，它本身并不能取代防火墙、杀毒软件以及基于网络 的入侵防御系统。h i p s 系统对其它层次的防御系统不能发现的、不能识别的或者不能够阻 止的攻击进行阻止。从而达到即使攻击者能够成功的破坏某个或几个保护机制，其它的保 护机制也能够提供附加的保护，实现保障整体安全的目的。 1 1 2 国内外研究现状 混合威胁不断发展，单一的防护措施已经无能为力，企业需要对网络进行深层的防护 第2 页 信恳1 = 稃大学硕七学位论文 来有效保证其网络安全。真正的深层防护体系不仅能够发现恶意代码，而且还能够主动地 阻止恶意代码的攻击。 1 1 2 1 国外现状 从n e t w o r k i c e 公司在2 0 0 0 年9 月1 8 日推出了业界第一款i p s 产品b l a c k i c e g u a r d 开始，i p s 在欧美这些发达国家取得了快速的发展，欧美一些安全大公司通过收购小公司 的方式来获得i p s 技术，推出自己的i p s 产品。比如i s s 公司收购n e t w o r ki c e 公司，发 布了p r o v e n t i a ：n e t s c r e e n 公司收购o n e s e c u r e 公司，推出n e t s c r e e n - i d p ；m c a f e e 公司收 购i n t r u v e r t 公司，推出i n t r u s h i e l d 。思科、赛门铁克、t i p p i n g p o i n t 等公司也发布了i p s 产 品。随着产品的不断发展和市场的认可，越来越多的产品具有了i p s 的功能，由于其定位 不同，逐渐形成三大集团。第一集团是入侵检测，保护厂商。他们对入侵检测保护技术有 深入研究，比较典型的厂商和产品代表有i s s 公司的p r o v e n t i a 系列、m c a f e e 公司的 i n t r u s h i e l d 系列产品。第二集团是集成网关厂商。他们基于防火墙的网关访问控制能力， 在网关中加入多种功能模块，其中很重要的一个就是i p s 功能。代表产品有n e t s c r e e n 公 司的i d p 产品、s o n i c w a l l 公司的i p s 产品和安氏公司的l i n k t r u s t b o r d e r p r o t e c t o r 产品 等。第三集团是负载均衡厂商。他们基于对t c p i p 协议的七层分析，在其负载均衡产品 中加入对某些攻击的防御模块，比如t o p l a y e r 公司的a t t a c km i t i g a t o ri p s 系列产品， r a d w a r e 公司的s y n a p p 产品。 1 1 2 2 国内现状 与国外i p s 市场的火热形成鲜明反差的是，国内的i p s 市场仍是一副不温不火的态势。 目前国内市场的i p s 产品几乎都是国外的产品或者是o e m 国外的产品，作为网络出口处 一个重要的安全产品，如果没有自主的核心技术，对于政府、金融和大型国有企业等涉及 国家敏感信息的行业是根本不能够接受并使用的。绿盟科技自成立以来一直潜心研究国内 外顶尖的安全技术，拥有众多安全专家的独立安全研究部门n sf o c u s 安全小组，一直都关 注着i p s 技术的发展。经过多年的技术积累和艰苦研发，绿盟科技在2 0 0 5 年9 月推出了冰 之眼网络入侵保护系统i c e y en i p s ，这是国内安全厂商推出的第一个拥有自主知识产权 的i p s 产品，打破了目前国内i p s 市场由国外产品垄断的局面。绿盟科技的冰之眼网络入 侵防御系统通过新型的入侵保护技术，能够有效地阻断攻击，保证合法流量的正常传输。 冠群金辰软件有限公司是一家专业的信息网络安全公司，有着长期的信息安全建设和管理 的实践经验，公司也从最早的防计算机病毒领域全面转型到提供整体的信息安全解决方 案。在这个转型过程中，其开发的信息安全产品也随着整体安全解决方案的需求不断充实， 到目前已经逐步形成三大系列七大产品。这其中就包括其提供的主机系列安全产品一龙渊 主机核心防护( e a c ) ，这是目前国内h i p s 产品的代表之作。其综合利用多种安全保护机制， 在应用程序和操作系统之间建立起一个安全的校验通道，确保对操作系统资源的合法访 问，除此之外的任何行为都将被拒绝并报警。 第3 页 信息工稃大学硕十学位论文 1 2 研究的主要内容 结合国内外的基于主机的入侵防御系统产品的功能和特点，规划了基于主机的主动入 侵防御系统体系结构，制定并完善了细粒度访问控制规则，对关键的系统调用进行了监视、 截获和访问控制，实现了核心态系统访问控制的主要功能。从访问发出的时间、访问地点、 访问者的身份和访问使用的进程等要素对驻留在主机，服务器上的关键资源进行了深层次 的安全防护。具体的说，本研究课题主要开展了以下几个方面的工作： 研究了国外和国内基于主机的入侵防御系统在功能实现上的优点和缺点，有针对 性的制定了细粒度的访问控制规则，确定了本系统要实现的具体功能。 深入研究了核心态系统调用截获技术，虽然该技术可以深入到操作系统内部，在 一个集中的位置彻底的实现对所有系统调用的拦截，控制能力很强。但由于操作系统设计 的底层不开放性以及内核许多机制的不公开性，使得许多功能的实现难度很大。 由于我们许多功能的实现是依靠截获系统服务实现的。所以必须针对某个操作的 系统调用过程进行跟踪，从而决定需要截获内核哪个系统服务才能实现相应的保护功能。 利用a p i s p y 3 2 和n t s p y 这两个系统调用监视工具对系统调用的具体过程进行了监视， a p i s p y 3 2 对用户态的a p i s 调用进行跟踪，切换到核心态的系统调用则用n t s p y 进行系 统服务跟踪。利用内核调试工具s o f t i e e 对一些调试语句的输出进行了监视和分析，从而为 对准确进行系统调用截获奠定了基础。 对系统的重要资源实现了细粒度的访问控制。这主要包括对系统重要文件和注册 表的各种访问进行了增强性保护。通过对操作系统上关键的文件进行防护，使得攻击者不 能安装r o o t k i t s 和对重要的系统文件种植木马程序。通过保护操作系统重要的配置文件， 使得攻击者不能轻易改变操作系统的安全配置。 对系统中一些关键的应用程序进程进行了加固。这主要体现在进程和驱动隐藏， 进程终止保护，驱动的加载和卸载保护以及应用程序的运行控制上。通过提供这些功能， 对系统中运行的重要的应用程序进程进行了有效的监视、控制和调整，对操作系统的安全 性进行了扩展。 1 3 论文的组织结构 第一章绪论部分主要描述了开展本课题研究的重要意义以及主机入侵防御系统在保 障网络整体安全中所发挥的重要作用。 第二章对主机入侵防御系统进行了阐述。首先介绍了主机入侵防御系统分层防御的设 计思想以及三层不同防护方式，接下来介绍了主机入侵防御系统的设计思想和目标，最后 对主机入侵防御系统进行了详细的表述。 第三章介绍了主机入侵防御系统的技术设计，通过设计系统调用截获器和网络截获 器，可以在操作系统的两个层面上对发生在主机上的一切活动进行监视、分析和控制，对 第4 页 信息丁稃大学硕士学位论文 系统调用截获和网络层截获的原理进行了深入细致的剖析。 第四章论述了主机入侵防御系统核心态主要功能的实现原理和详细的实现流程。这也 是主机入侵防御系统的主体实现部分，详细介绍了文件保护模块、注册表保护模块和自我 保护模块的具体实现细节。 最后对前期工作进行了总结，并对后续工作进行安排，最后对帮助过我的人致以谢意。 1 4 小结 本章主要介绍了目前主机安全现状，分析了在主机或服务器上构筑最后一道防线的重 要意义。研究了本课题的国p q # t - 发展现状，总结了本课题的主要研究内容和论文的组织结 构。 第5 页 笪星三翌奎堂堡兰竺丝奎 第二章主机入侵防御系统( p s ) 概述 主机入侵防御系统是一个驻留在诸如服务器、工作站或者笔记本电脑等单个系统上的 软件程序。为了提供对已知攻击和未知攻击的防御，h i p s 对应用程序和操作系统的行为以 及进出主机的网络流量进行检查。一旦检测到有攻击发生，h i p s 软件要么在网络层对攻击 予以阻止，要么通过发布命令给应用程序或者操作系统来阻止攻击者发起的攻击行为。 2 1 分层防御的设计思想与主机入侵防御保护方式介绍 2 1 1 p s 的分层防御思想 针对应用层的攻击，传统的杀毒和防火墙解决方案已经不足于保护终端系统，因为我 们不能随着新的漏洞的发布同步推出相应的补丁程序。造成的结果是，许多新的入侵防御 系统安全产品进入了市场，而且都宣称是基于主机的入侵防御系统。但是，这些产品执行 入侵检测和入侵阻止的技术和机制都大不相同，而且提供的部分防护功能与现存的杀毒和 个人防火墙提供的功能相重叠。 通过对进出主机服务器上的一段可执行代码考察知道，代码将存在如下三种可能的状 态： 可执行代码正在进入主机或者服务器系统 可执行代码已经驻留在主机或者服务器系统上 可执行代码正在主机或者服务器上运行 这三种状态反映了h i p s 对应的三层防护功能，分别是：网络层、应用层和行为层嘲。 目前许多进入市场的入侵防御系统技术供应商都使用了显著不同的保护方式。但是这 么多的系统保护方式都可以归纳为在这三个层次上进行。最优秀的h i p s 将运用这三层保 护方式中多种保护方案。 2 1 2 p s 的三个防护层次介绍 三个层次中每一层对应的保护方案如表1 所示： 表1 ：h 1 p s 三层防护表 h i p s 的行为层防护7 资源保护8 应用程序防御9 行为约束 h i p s 的应用层防护4 杀毒软件保护 5 系统加固6 应用程序检查 h i p s 的网络层防护1 网络层攻击2 个人防火墙3 网络层的漏洞检查 下面考虑可执行代码在每一个层次上表现出来的行为： 如果在对应的层次上的行为是不良行为，那么将阻止这种行为，否则允许这种行 为的发生。 如果在对应的层次上的行为是良性行为，那么允许这种行为的发生，否则阻止这 第6 页 信息丁程大学硕士学位论文 种行为的发生。 在对应的层次上的行为是未知的。 2 1 2 1h i p s 的网络层防护 为了达到在恶意代码进入主机之前进行检测、阻止和移除之目的，网络层的h i p s 防 护对进入主机的网络流量进行检查。正如上面表2 1 所示的那样，个人防火墙刚好位于第 二列中，通过配置良性的应用程序可以访问网络和设置防火墙规则允许它，从而提供了从 网络层对系统进行保护。网络层h i p s 的出现，提供了传统的个人防火墙所提供不了的系 统防护功能。网络层h i p s 中第一列中的保护方案通过流量的攻击签名的模式匹配来发现 恶意流量。这种保护方案执行模式检测从而过滤掉恶意的攻击流量，例如蠕虫、端口扫描 和操作系统指纹等。深度包检查产品通过连续检测多个包来对攻击行为进行检测，通过这 种方式，在将来，病毒将无处可藏。第三列中的网络层h i p s 保护方案通过对网络流量进 行检查试图发现未知的恶意代码，它不依赖于对已知的攻击签名进行检测。在这种保护方 案中，使用面向漏洞的行为过滤技术用于恶意流量检测和移除。例如，这种保护方式不是 使用攻击签名来寻找所有的s a s s e r 蠕虫，而是通过检查可以导致特定的缓冲区溢出的网络 流量技术来发现s a s s e r 蠕虫。通过这样一种单一的面向漏洞的特定的网络流量过滤技术可 以检测出所有的针对本地安全授权服务( l s a s s e ) 的己知和未知的攻击。面向漏洞的 行为过滤技术比基于已知攻击签名的攻击检测技术更复杂，也更耗费系统资源，它需要进 行深度包检查，同时需要熟悉系统中存在的漏洞。在一些情况下，通过反汇编和一些嵌入 代码的模拟来实现。在大多数情况下，当检测到恶意代码时，一些制造商只是简单的把这 些恶意包丢弃。但是，有些产品的制造商可以做到修改包的内容。 2 1 2 2h i p s 的应用层防护 为了在恶意代码执行之前检测、阻止和移除它，应用层的h i p s 防护方案会对主机上 的应用程序代码的特征进行检查。第一列中的应用层保护方案是传统的抗病毒解决方案， 这是一项成熟的技术，它利用签名来检测和移除已知的恶意代码。在应用程序执行的时候， 大多数抗病毒解决方案也执行实时的内存扫描，从而在应用程序运行的时候，提供基于应 用程序已知不良行为的内存保护，这与资源防护解决方案多少有点相同。操作系统加固解 决方案基于对已知行为良好的应用程序进行配置，所有其它未经过配置的应用程序就得不 到运行的机会，还有其它的保护解决方案也提供了对操作系统的加固。这种保护方案在针 对嵌入式系统，系统功能稳定的服务器以及很少变化的系统，在阻止用户下载未知的应用 程序方面表现尤为出色。第三列提供的保护方案代表了应用层h i p s 防御中最复杂的保护 方式。在这种保护方式中，如果应用程序被运行，必须对应用程序代码进行检查，查看系 统调用的类型，以及所使用的应用程序编程接口。从应用程序的这些前后活动的关系上理 解应用程序将要执行的动作，从而对潜伏的恶意代码进行阻止。可以通过监视应用程序执 行代码路径来达到这个目的，对应用程序执行代码路径的监视，可以通过模拟环境或者逆 第7 页 信息t 稃大学硕七学伊论文 向工程的方法来对代码进行监视，从而在应用程序在主机上被安装或者运行之| j i 发现其恶 意特征。 2 1 2 3h i p s 的行为层防护 为了实现对危害系统安全的可执行恶意代码进行检测、阻止和移除之目的，行为层的 h i p s 对可执行代码的一些特征进行检查。这一层是h i p s 防护提供的最后一道防线，因为 这时候恶意代码已经进入系统并且正在执行。在第一列中，我们已经讨论了杀毒产品将对 恶意执行的应用程序的已知签名进行扫描，而且，许多h i p s 供应商提供的产品可以对已 知攻击签名的恶意应用程序的行为进行阻止。因为多数病毒和蠕虫通过缓冲区溢出技术来 加载它们的恶意负载，这个层次的h i p s 可以检测到这些负载的加载行为，从而进行阻止， 结果导致了对潜伏进程拒绝服务。这种防护方式的h i p s 已经集成为操作系统的一部分。 在第二列中，应用程序加固保护技术提供了允许良性的应用程序去访问它需要访问的 系统资源，这些资源包括网络端口、a p i s 、磁盘区域、内存区域和注册表项。对于确认为 良性的，经过系统快照的应用程序，h i p s 供应商提供了这样的一个应用程序库以及其可以 使用的资源快照。应用程序加固h i p s 也应该为应用程序提供一种学习模式，结果可以为 应用程序创建另外的可以使用的资源快照。今天的一些新的操作系统供应商已经提供了这 种保护方式的h i p s ，并且提供了跨平台的一致性和易于管理性。如果操作系统本身没有提 供这种更细粒度的资源访问保护能力，那么应用程序加固h i p s 可以通过在应用程序和应 用程序企图访问的资源之间插入一段监视程序( 软件垫片) 来对应用程序访问的资源进行 实时的监控。然后把一些访问控制规则应用到良性应用程序使它们可以仅仅访问那些需要 的资源。 应用程序加固的缺点之一就是对于未知的，未经系统拍照的应用程序如何处理? 这种 保护方案中的第三列中提及的行为堵截机制，可以对那些潜伏的未知应用程序的恶意行为 进行堵截。采用的技术涉及从被动的防御到积极的行为堵截。被动的行为堵截保护机制采 用的是典型的“s a n d b o x i n g ”1 3 j ，这种机制可以有效的降低恶意应用程序的特权，从而把 它造成的危害限制到最小。现在，h i p s 供应商对未知代码的执行完全创造了一个虚拟的环 境，这样在行为监视和阻止方面可以采取更少的措施。这样一来，可以允许恶意代码的运 行，但是它不会对系统造成破坏是可能的。更积极的堵截解决办法是对允许运行的应用程 序应用访问控制规则，对于不允许运行的未知的代码使其运行在虚拟的环境中。其它的进 行积极行为堵截的h i p s 保护方案可能不依赖于虚拟环境，采取的办法是对要检测的应用 程序的行为进行审查和监视，对于被认定为是恶意的应用程序进行堵截或者牵制。还有一 些h i p s 供应商对应用程序进行长时问的监视，寻找其行为发生的变化，从其正常的访问 模式中( 例如内存访闯，系统访问等) 发现越轨行为。一般情况下，它们需要花费一段时 间对应用程序的最基本的正常的行为模式进行学习。还有一些h i p s 供应商，他们提供的 基于行为堵截的保护方案是事先设定好一系列的正常的应用程序行为和恶意的应用程序 第8 页 信息工程大学硕十学位论文 行为，然后用这些设定好的行为来对执行中的应用程序的行为进行审查，从而进行判决， 对于有恶意企图的应用程序行为予以阻止，但这种保护方案不需要花费时间来学习应用程 序的行为。 2 2h i p s 系统设计思想与目标 2 2 1h i p s 系统的设计思想 尽管目前的安全解决方案对系统的防护存在一定的优势，但是黑客仍然可以绕过防火 墙对企业的服务器进行访问。一旦发生这种情况，黑客可以破坏重要的商务活动和获得对 企业机密数据的非法访问。为了达到这一目的，这些入侵者企图对操作系统和运行在操作 系统之上的应用程序的安全漏洞进行攻击。每天都在发现新的漏洞，黑客组织在发现漏洞 和对漏洞实施攻击方面都是最出色的。到目前为止，系统管理员一直依赖安全供应商提供 的补丁来堵塞这些安全漏洞，但是这些补丁的发布一般都不及时。给服务器下的所有设备 都打上补丁不但特别费时、费力而且有时候这些补丁还会带来一些破坏性。那就是修补了 一个安全漏洞，但是又引起了一个新的安全问题。 因此最有效的应付攻击的办法就是在操作系统的层面上对操作系统和应用程序进行 加固，对此进行的最好解释就是操作系统的基本结构设计。 许多现代的操作系统都有相似的结构。操作系统扮演着所有的服务请求都必须通过它 的类似于漏斗的角色。操作系统设计的一个最根本的原则就是对所有的系统资源进行隐 藏。访问这些系统资源的唯一方式是利用操作系统提供的预定义的系统服务例程，这些服 务例程又被称之为系统调用。任何企图直接访问系统资源的行为都会被操作系统阻止。这 些系统调用接口定义非常清晰，它只允许激活操作系统内核中相应的服务例程。 当我们试图在操作系统的层面上构建一个可以阻止攻击的安全防护系统时，操作系统 的这种设计理念的很多优点我们可以利用和借鉴。其中包括： 以操作系统为中心进行系统设计。因为操作系统扮演着漏斗的角色，所有的系统 请求使用系统调用的机制进行。因此，为了对系统活动进行监视，只需要密切注意着系统 调用的执行情况就行。因为黑客为了达到自己的攻击目的，它也必须使用相同的系统调用 接口。 实时检测成为可能。因为我们有可能在服务执行之前对服务请求进行截获，这样 就使得在危害发生之前让服务终止执行成为可行。 分层实施安全防护成为可能。即使黑客获得了特权，他们的活动仍然可以被监视 和控制。在黑客渗透到系统之后，防火墙和入侵检测系统对此都已经无能为力了，注意到 这一点尤其重要。相反，在操作系统层面上，我们可以对所有的服务请求进行监视，从而 可以进行多次干预。 可以进行精确检测。系统调用的接口都是已经定义好的，为了成功执行对一个服 第9 页 信息t 稃大学硕十学位论文 务请求的监视，用户必须事先提供定义好的清晰、准确的参数格式。结果当唤起一个系统 调用时，使得与系统服务原型相同的用户提供的函数去执行，从而可以提供精确的攻击企 图检测。 在操作系统层面上另外一种阻止攻击的防护思想是自我防护。在黑客获取了系统特权 后，操作系统将成为首要的攻击目标。实际上它将对机器进行控制，绕过许多的访问控制 和审查认证机制。因此，多数黑客专注于通过攻击操作系统本身来获取对系统的特权访问。 认识到在操作系统层面上阻止黑客攻击是很重要的，因为在这里可以采取多种方式来应对 应用程序安全。许多应用程序存在的漏洞可以让攻击者获取特权访问。但是，为了得到这 些权力，应用程序必须执行系统调用，通过截获系统调用使得解决这些问题变得简单有效。 2 2 2 p s 系统的设计目标 h i p s 取决于直接安装在被保护系统上的代理。为了监视并截获对内核的系统调用，从 而阻止攻击并对攻击进行记录，我们的h i p s 代理与操作系统内核紧密的捆绑在一起。既 然h i p s 代理对它所保护的系统的敏感的系统服务请求进行截获，那么它必须首先满足以 下三个必要的设计原则： h i p s 代理必须非常可靠，否则可能危及操作系统的安全。 h i p s 代理对系统性能的影响微乎其微，通常不能高于5 ，否则将严重影响系统 的整体性能。 h i p s 代理不能阻止合法或者有效流量。 任何不能满足以上这些最低要求的h i p s 系统不能安装在被保护的主机上，而不论它 对攻击的阻止是多么的有效。其次还有： 实用性原则 h i p s 防御系统的设计要充分考虑实际的需求，并提供方便的操作界面进行相关设置。 另外系统应在用户可接受的响应时间内，尽量具有较高的执行效率，在提高系统功能的同 时，保证性能不明显下降。 兼容性原则 h i p s 防御系统不能影响操作系统的正常运行，在原系统上开发的软件能在新系统上正 常运行。另外，应使h i p s 防御系统对操作系统的依赖性尽可能的小，使之能运行在不同 的w i n d o w s 版本上。 扩展性原则 h i p s 防御系统应该