（通信与信息系统专业论文）智能化无线安全网关安全防御系统的研究.pdf

蕉塞塞鎏厶堂亟翌焦逾塞主塞殛翌 中文摘要 摘要： 睫罄无线网络的邈速发展，光线网络已经线社会生活的务个方面德到了广泛鲍 应矮，绘入稻带来了极大豹方镘。毽是，箍之褥柬懿是它豹安全佳。无线网络的 开放性使其没有明确的边界，攻击者无需物理涟接就能获敬网络的相关信息并对 其进行攻击，对无线网络的内部资源造成了极大的威胁。无线网络的安念问题已 经残力数赛关心豹耋犬滴蘧。 根据有线网络中睹火墙和入侵梭测的应用，我们在安全防御系统中集成了i d s 和防火墙模块，并通过制定相应的安全联动策略，实现入侵检测和防火墙的联动。 它可以瓣蠹都无线嬲终秘终部有线网络的数据避孬监控，势对危险的数攒和攫户 逶行过滤和控制，实糯“主动”貉铘和“被动”防镄的结会。该安全防獭系统提 高了防火墙的实时响威能力，增强了入侵检测的阻断功能，实现了网络的整体防 御。 本论文分嚣部分送行论述：营悫穷绥了潆题鹜景纛意义，分掇了无线瓣络主要 安全机制以及常见安黛隐患；接着，论文对智能化无线安全网关进行了描述，并 介绍了安全防御系统在整个网关中的地位和作用：然后，论文分别对入侵检测模 块霸防火瀵模块避谨了详细分撰。入侵捡测模块重点分绥了入馒特征豹攒述、援 刚链表的生成过程以及该模块的实现流程。防火墙模块主要分析了l i n u x - f 防火墙 的实现机制，并在此蒸础上给出了防火墙模块的实现；最聪，论文详细描述了联 动模块的框架、数据变换格式及实现流程，并绘出了一个完整的方案。 瑟蓊，安全跨锑系统已经开发完成，正在对蒺迸彳亍遴一多耢究稻扩鼹，傻之能 与其它安全设备进行联动。 关键逶：安全藐鬻系缓；入侵检测；i p t a b l e s ；联凌；联动接涮孛心 分类号；t p 3 1 9 ；t p 2 7 4 錾童震丝叁堂鳕鲎垃缝塞照曼工塞妄羔 a b s 瞰c t a b s l 。r a c n w l 攮t h ed e v e l o p m e n to fw i r e l e s sn e t w o r k , w i r e l e s sn e t w o r ki sw i d e l yu s e da n d b r i n g sg r e a tc o n v e n i e n c et op e o p l e sl i f e b u tt h ec o m i n gp r o b l e mi si t ss e c u r i t y t 1 1 e o p e n i n gt r a n s m i s s i o nc h a t m e lm a k e st h a tt h e r ei sn oc l e a rb o r d e ri nw i r e l e s sn e t w o r k ， a n dt h ei n t r u d e rc a l lg e tt h ei n f o r m a t i o no fw i r e l e s sn e t w o r ka n di n t r u d ei tw i t h o u t p h y s i c a lc o n n e c t i o n i ti sag r e a tt h r e a tt ot h ei n t e m a lr e s o u r c e s 羽bs e c u r i t yo ft h e w i r e l e s sn e t w o r kh a sb e c o m eam a j o ri s s u eo f t h ei n d u s t r y a c c o r d i n gt ot h ea p p l i c a t i o no ff i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e mi nw i r e d n e t w o r k , w es u p p l yas e c u r i t yd e f e n s es y s t e mi n t e g r a t e dw i t hi d sa n df i r e w a l lm o d u l e s ， w i t ht h ec o r r e s p o n d i n gs e c u r ei n t e r a c t i o np o l i c y , i tc a ni n t e r a c tt h ei d sm o d u l ew i t h t h ef i r e w a l l n es e c u r i t yd e f e n s es y s t e mc a nm o n i t o rt h ed a t a f l o wo ft h ei n t e r n a l w i r e l e s sn e t w o r ka n de x t e r n a lw i r e dn e t w o r k ，f i l t e ra n dc o n t r o ld a n g e r o u sd a t aa n du s e r , a n dr e a l i z et h ec o m b i n a t i o no f a c t i v ed e f e n s ea n dp a s s i v ed e f e n s e t h es e c u r i t yd e l e n s e s y s t e mi m p r o v e st h er e a lt i m er e s p o n s ec a p a c i t yo ft h ef i r e w a l l ，s t r e e i g t h e n st h e i n t e r d i c t i o n f u n c t i o n o f i d s a n dr e a l i z e s t h e w h o l e d e f e n s e o f t h e n e t w o r k 露l i sp a p e rc o n t a i n sf o u rm a j o rp a r t s f i r s t l y , i ti n t r o d u c e st h eb a c k g r o u n da n dt h e p u r p o s eo ft h i st h e s i s ，a n a l y z e st h em a i ns e c u r i t ym e c h a n i s ma n dt h ec o m m o nh i d d e n t r o u b l ei nw i r e l e s sn e t w o r k s e c o n d l y , w ed i s c u s st h ei n t e l l i g e n tw i r e l e s ss e c u r i t y g a t e w a ya n dt h es t a t u sa n dr o l eo f t h es e c u r i t yd e f e n s es y s t e m t h i r d l y , i d sm o d u l ea n d f i r e w a l im o d u l ea r ed e t a i l e di l l u m i n a t e d i d sm o d u l em a i n l yi n t r o d u c e st h ed e s c r i p t i o n o f t h ei n t r u s i o nc h a r a c t e r , g e n e r a t i o np r o c e s so f t h er u l ec h a i n sa n dt h er e a l i z a t i o no f t h e i n t r u s i o nd e t e c t i o n f i r e w a t lm o d u l em a i n l ya n a l y z e st h ef i r e w a l lm e c h a n i s mu n d e r l i n u xa n dd e s c r i b e st h er e a l i z a t i o n f i n a l l y , w ed e t a i l e dd e s c r i b et h ed a t as w i t c hf o r m a t ， f r a m ea n df l o wo f t h ei n t e r a c t i o nm o d u l e ，a n dg i v eaw h o l e p r o j e c t n i es e c u r i t yd e f e n s es y s t e mi si m p l e m e n t e da tp r e s e n t w ea r en o wo i lf u r t h e r s t u d i e sa n di m p r o v e m e n t si no r d e rt oi n t e r a c tw i t ho t h e rs e c u r i t ye q u i p m e n t s k e y w o r d s ：s e c u r i t yd e f e n s es y s t e m ；i n t r u s i o nd e t e c t i o n ；i p t a b l e s ；i n t e r a c t i o n ； i n t e r a c t i o nc o n t r o lc e n t e r c l a s s n o ：t p 3l9 ：静2 7 4 致谢 首先要真诚媳感谢培养耨簸霄我的导师剃云教授。恶论是理论学习阶段，逐 是谯论文的选鼷、资料查询、行题、研究和撰写的每个环节，光举得到刘云懋 鲜鼹憨一鬻导秘帮繁。籍老筛离焱熬舞德葶薅入瑟、罗谨麴渗学悫震、突搴求是弱 学零作风、蘩徽徽监黪工终精神、渊博靛知识隧及对澄萃年前沿把糕静敏锐性袖准 确髋，帮深深麴影桶麓我，佼我获益终身。我豹每一次进步帮跟支瀵矫黝指导、 关心秘鼓励分不开。在她，我向期老师致以最诚挚的感谢! 瓣辩，我氇l 鬻瑟瑟实骏塞黪张振嚣意雾器。在我三年静疆究玺学嚣过程孛， 媳燎予了我无私的黎助。特别是农论文黪霹作避程中，镌掇蹬7 缀多指嚣性的意 见，对论文的顺利完成帮助檄大。 其次，我要黪漠疆曩缀巾黔宁红蜜麟、张长稔游士、王叛 芰、雷躐毽等瓣 学，捱罴在大家的团络协作下，该项目0 嘈顺秘完成，本文的顺利完成也离不帮 他们的辛勤劳翻。能在这样个和睦融洽、精干高效的豳队中学习工作麓我莫大 的綮枣。 簸蠢，感瀣程百沱之串麓我译阕论文黪专家、掌嚣、老薅。 感澎爨骞哭心、支持窝絮秘遗浅豹人! 蕉塞塞适是翌亟望艇鲨 塞壅 序 本课题来源于北柬市重点实验壅项目锻能化无线发会网关，是熬中的一 令主要模袋。在这令凌鑫孛，托象交逶大学嚣簿凝透信实羧蹇牙发了一凝其有自 主知识产权的无线安龛网关软件系统和底层安惫操作系统，本论文就是谯研究、 开发和总结这个项目的基础上完成的。 论文蓠先分绍了奉漾题懿鸳豢秘意义，攒述了无线网终麓安全理状及安全需 求，分擀了无线网络燕要安全机制以及常觅安全隐患。 接着论文对整个智能化无线安念网关进行了简单介绍，并指出了安全防御系统 的地位以及同其它子系统模块问的联系。 然蕊论文对入侵裣测模块帮蒴火墙模袭终了谨缨分缮。入侵硷溺模块镪括入侵 检测原理、常见的入侵检测技术、熬体架构、功能以及其中的关键技术；防火墙 模块主凝涉及了防火墙的原理、分类、常见的体系结构以及l i n u x 下基于 n e t f i l t e r i p t a b l e s 熬薅火壤疆裁，弱瓣分撰了n e t f i l t e r i p t a b l e s 豹浚程及英热载过程。 接下来是系统最蘸爱的联动模块。在这部分中，着重介绍了安全联动技术、其 发展现状以及安全联动模块框架及详细流程，并给出了具体的实现。 最藤，论文对系统进行了总结，弗提出进步研究的方囱。 基窑整叁堂壅主堂夔盈奎缝逢 l 绪论 1 1选题背景和意义 麓餐无线技术和潮络技术匏迅速发展，无线网络已经在社会生产、搬活的各 个方面得到了广泛的应用，给人们带来了极大的方便。特别怒w l a n ( 光线局域 网) ，以其灵活性和可移动性，越柬越受到业界的关注，显永如极大的应用前景。 餐是，笼线网络豹歼敖往傻萁没鸯明确豹赛袋，攻者者无篙物理连蔹藏戆获敬丽 络的相荧信息并对其避行攻击，对无线网络的内部资源造成了极大的威胁。而 8 0 2 1 1 的加密认证机制w e p ( w i r e de q u i v a l e n t p r i v a c y ) 的缺陷】【2 1 使得w l a n 的安 全超题皴霉更鸯羹突出。w 潍k 鹣安全溺题已经成为整器关，瓣重太弱题。 在肖线网络中，针对网络入侵，攻击等各种安全问题，防火墙、入侵检测等 安全技术应运而生，并且得到了广泛的应用。傻是，不同的安全技术主受侧重于 解决菜一方面的安全阏题，它们之阂缺乏信怠共事，器量盼缺点逐渐暴箨惠来。 燕上攻纛技术的舀趋戏熟，攻击工矮和手法豹强趋复杂，肇独菜一释安会技术已 不能满熄人们对安全的需求，迫切需要多种安龛技术协同作战，共同保护系统的 安全。 零潆蘧来源予l 家枣重熹实羚塞顼曩餐能凭无线安全霹关( 潆趱编号： j d l 0 0 0 4 0 5 1 3 ) 。通过辩无线网络的安全问题进行研究，在无线网关上集成双有i d s 和防火墙助能的模块。并制定相应的联动策略，实现入侵检测和防火墙的联动。 它可以黠内部无线网终秘癸部存线蹋络兹数攒滋行监控，并瓣危验的数掇期媛户 逶行过滤和控翻，采用主动豹舫御策略来保证内部无线网络的安全，实现“主动” 防御和“被动”防御的结合。 l 。2 无线蕊络安全现状 1 2 1 无线局域网概述 无线岗域网技术和产业可以追溯别8 0 年代巾期，美国联邦通讯委员会( f c c ) 使用了扩频技术，在随后的几年中发展的很慢，但是由于8 0 2 + 1 1 b 标准的制定， w l a n 技术发展的缀抉。无线技术浚葶亍戆主要缀因是便利性靼成本。然藤秃线鼹 域网静便利经龟导致了在有线弼络巾不存在的安全闫题。 冀塞窑垄叁堂亟麦里筮途塞缮盈 基予i e e e9 0 2 11 系列无线盛域网的一些标准p l ： 1 9 9 7 年l e e 8 0 2 ，l l 无线蜀城嬲括准聂式颁每，1 9 9 9 帮8 劳，8 睨1 l 标准德 到了进一步完善和相必修订。i e e e8 0 2 ，1 1 主要对网络的物理层和介质访问层进行 了定义，其重点是对m a c 层进行定义。各产品供应商的产晶在同一物理朦上可以 互操终，嚣逻辑联鼹簇l l c 是一数豹。 1 9 9 8 年8 月对8 0 2 1 1 标准的修订内容包括用一个基于s n m p 的m i b 来取代 o s l 的m i b ，另外，还增加了两项新内容：i e e e8 0 2 1 1 a 和i e e e8 0 2 1 1 b 。 ( 1 ) i e e e8 0 2 1 l a ：扩充了已有的物理层标准，靓定了5 g i - i z 频段的物理层 标准。该标准的蒋输滤率6 m b i t s - 5 4 m b i t s 。这样豹速率鼹熊满足室内豹瘢蠲，氇 能满足赛外的应用。 ( 2 ) i e e e8 0 2 1 1 b ：是8 0 2 1l 标准的另一个扩充，规定了2 4 g h z 频段的物 理层标臻。该耘；准数鬃终臻搴受5 5 m b i t s 窝llm b i t s ，蒡兼容嚣来懿8 0 2 。ll 标准。 其多速率机制的m a c 技术确保当用户终端之f h j 距离过长或干扰太大、信嗓比低 时，传输速率能够从1 1 m b i t s 自动的下降到5 5 m b i t s 、2 m b i t s 直至1 m b i 以。 ( 3 ) i e e e8 0 2 1 l g ：它在i e e e8 0 2 1 l b 的簇硝土，佼最赢数据转输率铁露蘸 静l l m b i 魄提高到5 4 m b i t s ，使用舶频段为2 4 g h z 。 下袭1 i 说明了8 0 2 1 l 的特性。 表1 18 0 2 1 l 的特性 骛洼说明 物理层 直序扩颧( d s s s ) 、调频扩频( f h s s ) 、红外( i r ) 频段 2 4 g h z ( 8 0 2 1l b 雨i8 0 2 1t g ) 、5 g h z ( 8 0 2 1l a ) 速率l ! m b i f f s 、2 m b w s 、5 5 m b i f f s ( 8 0 2 1 1 螃，5 4 m b i t s ( 8 0 2 1 l a 耪9 0 2 1 t g ) 安全 基t - r c 4 的流加密算法，有隈的密钥箭理 吞吐鬣 1 1 m ( 8 0 2 1 i b l ，5 4 m ( 8 0 2 1 l a ，8 0 2i l g ) 范围室内1 0 0 米，室外3 0 0 求 优点无需布线，饺埘灵活方便 缺点 安全方面较筹，吞吐罐会随着户增多和距离加大而下降 同时，i e e e 在不断的完善这魑姆议，如改罄i e e e 8 0 2 1 1 协议q o s 的8 0 2 。l l e ， 裹速w l a n 标准8 0 2 1 l n 等。 。 1 2 2 无线网络安全需求 与传统有线网络相眈，无线阐络所丽稿的安全威胁更加严重。所有商线网络 中存在的安全威胁和隐患都存在于无线网络中：外部人员可以通过无线网络绕过 2 蕉 基塞适杰翌亟囊翌燕途銮 缝逢 防火墙，对网络进行寒授权访闯；无线孵络传输的信息容易被窃取、篡改；无线 弼络容翁受囊捱绝黢务攻击( d o s ) 和干撬等。魏矮，无线黼络的安全技笨穗对眈 较新，安全产品还比较少。以无线局域网( w l a n ) 为例，移动节点、a p 等每一 个实体都有可能是攻击对象或者攻击者。由于光线网络在移动设备和传输媒贪方 瑟茨特爨瞧，蹙一些竣走雯容器熨箍，霹无线瓣终安全技零憝磅究毙务线耀终懿 限制更多，难度更大。 无线网络在信息安全方面有着与有线网络不同的特点【4 l 具体表现在以下几个 方蘧： ( 1 ) 无线髓络的开放往使其烫容易受舞献被动窃昕到生动干扰的番种攻击。 有线网络的网络连接怒相对固定的，具有确定的边界，攻击者必须物理接入网络 或经过几道防线，如防火墙和网关，才1 能进入网络，这样通过对接入端朋的管理 霹骧鸯数控翱 法弼户鼹接入。掰趸线疆络没蠢一令爱礁豹貉餐透赛，羧击者哥 能来自四丽八方和任懑节点。无线网络的这种* 开放性带来了非法信息截取、未授 权信息服务等一系列的信息安全问题。 ( 2 ) 无线圈终懿移动缝使其安全管理难爱雯大。毒线瓣终终蓊是逶过线缆连 接的，不能大范围移动，丽无线网络终端不仪可以较大范潮移动，丽且还可以跨 区漫游，这意味着无线节点没有足够的物理防护，从而很容易被窃听、破坏和劫 持。攻爨者可能在任何位嚣通过移动设备进行攻丧，两在全球范国内跟踪一令特 定移动节熹是镶难骰到的：舅一方凝，逶蓬弼终内部已经被入侵静节点实施攻击 造成的破坏更大，更难检测到。因此，对无线网络移动终端的管理要困难得多， 无线网络的移动性带米了新的安全篱理问题。 ( 3 ) 无线网终动态交琵戆摇羚续稳健褥安全方案菸实施燕度更大。蠢线霹终 具有固怒的拓扑结构，安全技术和方案容易实现。而在无线网络环境中，动态变 化的拓扑结构使得安全技术更加复杂。另一方谳，无线网络环境中做出的许多决 策是分散的，丽诲多网络算法必须依赖颠有节点的共同参与秘协终。缺乏集中管 理辊翻憨睬着攻击者掰能稳用这一弱点实施薪豹攻击柬酸坏 夯作算法。 ( 4 ) 无线网络传输信号的不稳定性带来无线通信网络的鲁棒性问题。有线网 络的传输环境是确定的，信号质量稳定，而无线网络随着用户的移动其傣道特性 是交纯豹，会受弱予撬、衰落等多方瑟蠹每影酸，遥或蔫号蔟黎波动较大，罄至无 法进行通信。因此，凭线网络传输倍道的不稳定性带束了无线通信网络的铸棒性 问题。 总之，无线网络鲍脆弱性是凑箕媒体的歼敖健、终端鲍移动蛙、动淼交讫的 网络拓妗结构、携律舅法、缺乏鬃巾篮视和管理点以及没有嘲确的防线造成的。 因此，搓无线网络环境下，在设计实现一个完善的无线网络系统时，除了考虑在 3 鍪室塞蕉叁翌亟蠢室建盈塞 缝逢 无线传输信道上提供宠善的移动环境下的多业务服务平台外，还必须考艨其安全 方案翡浚诗，龟摇羯户接入控髑设计、隽傍谈诞方案谖诤、入侵捡嚣方鬃设诗骧 及访问控制方案设计等。 、 l 。2 3 无线霹终安全枧裁及常见安全隐患 i e e e8 0 2 1 1 中主鼹通过以下三种安全机制束保证w l a n 的安全性1 5 j ： m a c ( m e d i aa c c e $ $ c o n t r 0 1 ) 过滤 每令无线节点都鸯一个m a c 媲垃，a p 基予黧化分析的异常检测技术 基于传统统计方法的异常检测技术 基于模式预测的异常检测技术 萎予神经弼络戆舅鬻检溺技术 基于免疫学的异常检测技术 基于遗传算法的异常检测技术 基予支跨激量壤懿箨掌捡溅技零 常用的误用检测技术有f 2 j ： 基于专家系统的误用入侵检测技术 基于攻毒签名分瓠误用入侵检测技术 基予状态转移分掰懿误建入侵检测技术 基于模式匹配的误用入侵检测技术 误用入侵检测与努常入侵检测，这甄季中入侵检测方法各蠢特色：翦蠢从获取 己翔入後攻壶知识静角度，露系绕豹行为透行分辑，以发瑰暇知豹入霞；矮者剜 从获取被保护对象的证常行为特征镣相关知识的角度来考虑，根据这些系统证常 行为知t 蛙，柬识别由予入侵攻击所造成的对象行为异常。我们从下面几个角度对 这两手争羧溺羧寒遂学瓣魄： 1 、知识的获取 1 0 鏊塞凳逢叁黧亟警焦迨黧厶鼗捻麴 为检测系统中匏入侵行为，需要获取针对系统盼可能入侵攻击的知识或关于 系统己氟戏瓣望兹行为知识。如鬃一个基于入侵筏名鹣入侵稔铡系统能够稔测所 有针对被保护系统的入侵攻击，那么该入侵检测系统就必须获得关于所有可能攻 击的先验知识，不仅需要知道一个攻击的细节，硒且还必须有该类攻击特铤的更 蠹象懿模式。基于雾露镶检溅静入袋羧溅系统蠢翳矮其骞被绦护系绞壤簸行隽兹 所有知识，才能够检测嬲针对系统的所有攻击。 2 、配鼹的方便性 基于懿谖豹入爱裣测系统，一般来说篦基予努鬻检测静入侵裣溺系绕荔予配 置。因为麟者一般需要更多的数据收集、分析和惩新，需要用户发掘、理解、表 述以及管理他们系统的预期行为，某姥系统为用户提供的定制系统行为的功能在 壤强系缓懿嚣灵涯往黪愆露，氇增凝? 系统瑟置鹃复杂经。 3 、数据报告 基于知识的入侵检测系统，一般根据模式题酝技术来判断某个特定的镰名或 菜些与签名寄关豹数撂静出现与否，绘塞穗应静缀警售惑。辩蓉于舅常检测静入 侵检测系统，则一般根据系统的实际行为与预期行为的统计相关性，给出系统行 为是否异常的报告，在检测系统已知的系统预期彳亍为集合之外的行为都将被认为 是吴零豹露菇。 4 、报街的精确性 事实上，我们不可能获得系统行为以及可能入侵的所有知汉，要惩检测所有 的入镘攻纛疑是一个遴慧。西瑟，联裔鼢系统不论采爱郡耱捻溺分摄方法部其有 一定程度的漏报或虚警。基于知识的检测技术由于知识获取的不完善，只熊检测 那些己知的入侵活动，也就是说基予知识的检测系统必须考虑漏报等现象。丽在 舅露猃测系统孛，若系绫颈麓嚣隽集会不能够攒遴系统鳆掰务疆豢行为，那么系 统在检测时，就会出现廉警现象。 3 2 基予s n o r t - w i r e l e s s 的入侵检测模块的实现 无线安全网关检测模块采用基于误用的入侵检测技术，体系结构由三个主要 的部分组成【8 l ：数据采集模块、数攒分析模块、响应，r 志模块。所有这些予系统 都是建立京数据雹截获黪添数缓蜀l i b p c a p 懿基稿主，l i b p c a p 为宅嚣j 提供了令可 移植的数掘包截获和过滤机制。整个程序的配置、规则的解析以及数据结构的初 丝塞黛丝盖璧壅警焦盈黛叁篮簸瑟 始化都在系统进行数掘镪分析和检测之前完成，以保证对每个数据包的处理时间 压缩弱最小。其整薅结构框絮强熟瀚3 2 ： 规则文件 毒 l 规则处避 悃数数 上 据据 撼 解一 叫规则区瓣i - 获 耩 悃 数据采集模块数据分析模块响庶日漆模块 翻3 2 入 羹检测模块整体框絮 数据采集模块：负衡捕获网络上的数据包，并进行初步的解码。它幽两个部 分组成，数据捕获子模块帮数据解析予模块。数据捕获子模块用于捕获监嘶网络 中懿骧始数据包。蒙爨解掰子模涣翻翔溺络辂议豹高度有穿瞧，把致网络上耩获 的数据包从下向上沿各个协议栈进行解码并填充划相应的数据结构，以便掇交给 数据分析模块进行规则麟配。数据解板子模块运行在各种协议栈之上，从数据链 路瑟到应溺联。网络数攒采集和解拆梳每是整个系统实现豹蒸镌。 数据分析模块：包括规则处理予模块和规则峨配子模块。规则处理主溪是将 规则文件按照一定顺序生成规则链袭，作为规则题配时的模式：规则匹配就是耀 数据采鬃模块送来静数掇在兢剐链袭巾迸彳亍查撬。将搐获的每条数据报文同规 则链表进行匹配，如果存在一条规则旺配该报文，表示检测到一个攻击。数据分 析模块是入侵检测的核心。所有的网络包在此处被检测弓l 擎挟褥检测，网络包与 每一条斌嬲都要迸 亍题配，直到匿配副一条规剜，此时执 亍娥剿规定的动作；或 者，所有规则都不匹配，则抛弃该包。 其志哟应摸缓：当入侵发生藏，遴露确应，锈缮摄聱等，势在爨恚孛遗录。 3 3入侵检测关键技术 3 3 i 入侵特征攒述 j 塞銮煎厶堂亟堂垃丝塞厶篮捡捌 入侵特征是入侵检测的基础。8 0 2 1 1 数掘帧结构( 8 0 2 1 1 通用帧格式如图 3 - 3 所示) 同传统的有线网络有很大的区别，入侵特征必须根据8 0 2 1 1 的数据帧的 特点进行提取才能有效的适用于无线网络。 ，节教：2266626 0 - - 2 3 1 24 i = ：= ：= ：= = = - m 皇! 螋叁= = = = = = = 二嚏 比特数；224 i l l iiili 幽3 3i e e e8 0 2 1l 通用帧格式 入侵检测模块采用了兼容开放源代码的入侵检测系统s n o r t 的规则描述语言 1 1 4 1 1 5 1 ，用一条规则来描述一种入侵特征。在w l a n 中，由于通常采用d h c p ，每 个节点的i p 并不是固定的，因此我们通过对m a c 帧进行匹配检查来发现入侵。 每条规则分为规则头和规则选项两部分。规则头主要包含m a c 帧的源m a c 地址、 目的m a c 地址、帧的流向和匹配该规则时的动作；规则选项包含具体的匹配内容。 规则的基本格式为： w i f i ( ) a c t i o n 规则动作，包括a l e r t 、l o g 、p a s s 、a c t i v a t e 、d y n a m i c 五种类型。 a l e r t ：使用设定的报警方法产生报警信息，并记录数据包 l o g ：记录数据包 p a s s ：忽略数据包 a c t i v a t e ：首先a l e r t ，然后激活另一条规则 d y n a m i c ：等待被a c t i v a t e 规则激活，然后l o g w i f i 协议名称，针对无线网络而增加的一种新扔议 m a c 源、目的m a c 地址 d i r e c t i o n 指定数据包的流向 r u l e o p t i o n s 规则选项，主要对m a c 帧的字段进行检查，包括f r a m ec o n t r o l 、b s s i d 、t y p e e 塞童适叁堂亟堂位诠塞餐捡趔 等。 3 3 2 规则链表的生成 检测入侵时，所有的规则是以规则链表的形式存在的。规则解析时，从规则 文件中依次读取每一条规则，首先根据规则动作类型，确定所属的规则链表，然 后再按照规则头排成主链，按规则选项构成从链，形成规则树。每个规则选项节 点都对应于一条规则。规则解析流程如下图3 4 所示。 图3 4 入侵检测规则解析流程 1 4 e 塞銮堑厶堂亟堂位途塞厶鳋捡捌 规则解析完成后整个规则链表逻辑图【16 】如图3 5 所示： 瓯两丽闶斗际菊而习面西丽丽袤 链表头il 链表头 规则头讧点 源m a c 目的m a c 规则选项仃点 f r a m ee o n t r o i l y p e 规则选项节点 f r a m ec o n w o l t y p e 3 3 3 入侵检测流程 规则头节点 源m a c 目的m a c 规则选项仃点 f r a m ec o n t r o l l y p c 规则选项节点 f r a m ec o n t r o l 哆p e 链表头 规则头节点 源m a c 目的m a c 规则选项讧点 f r a m ec o n t r o i t y p e 规则选项仃点 f r a m ec o n t r o l l y p c 图3 , 5 规挑临表逻辑结构圈 入侵检测的过程，实际上是将解码后的数据跟规则链表进行匹配查找的过程。 首先将网卡捕获的数据包从数据链路层到应用层进行分层解析，并将其存到一个 数据结构里。然后按照顺序对规则链表进行匹配，如果发现某条规则跟数据相符 合，就表示检测到一个入侵，然后按照规则指定的动作进行处理( a l e r t 或l o g 等) ； 如果遍历完规则链表都没有找到匹配的规则，就表示报文是币常的。- r 个完整韵 i l 入侵检测流程如图3 6 所示： 3 4本章小结 i 塑垒垡竺堑i 上 压圆 j l 一 根据报文协议类掣选 择检测函数 二二工二 渊用具体匹配函数 规则选项匹配 是 翌墨 八善 遍历完否、 苎 结束 幽3 6 入侵检测流程 本章对入侵检测模块作了详细介绍。首先介绍了入侵检测原理和常见的入 侵检测技术，然后介绍了安全防御系统入侵检测模块的整体架构以及主要模块的 功能。接着介绍了入侵规则、规则链表的生成以及入侵检测的整个流程。 6 錾塞 套 适 鑫 黧亟 警 遣 逾 塞 睦悫蕉 4 防火墙 4 1防火墙技术概述 4 ，t 。1 防欠墙霖瑾 防火墒是用来在安众私有网络( 可信任网络) 和外部不可信任网络之间安全 连接的一个设备或一缀设备，作为私鸯霹络积终帮霹终之瓣驰一道屏障，窀可蹉 实施沈较广泛的安全策略来控制信怠流，防止不掰预料的潜在的入侵破坏，其在 网络环境中具有特殊位麓。 防火壤具有以下经壤【薯： 从熙向外和从外向里的流量都必须通过防火墙，这是邋过物理上阻塞所有 不经过防火前过的局域网访问来实现的。 只蠢蔹谈霹懿遴售量，帮逐 霆零建安全熬安全蒙略进行检查嚣，菇。麓逶过 防火墙。 防火墙本身不可穿透，这就隐含使用个装有安全操作系统的可傣任系 统。 4 1 2 防火墙的分类 根据防火墙工 # 机制的不同，锻防火墙分为5 类：包过滤防火墙、巍耀级潮 关防火墙、电路级网关防火墙、状态包检测防火墙、深度检测防火墙。 l 。龟避滤防火墙 l s l 采雳了包过滤机制，依赖于数据传输豹般结构，两这些结构所使用的数据 包头部分都含有i p 地址信息和协议所使用的端 1 信息，根据这魑头部信息，系统 蘸可以决定是否将数攒包发往基懿绣鞋。它对掰邂尉鲍每一个数据包的头部都进 行检测，然后决定是否蒹将这些包转发到下蹴，或者决定鬈奔数据包或者决定 拒绝数据包( 防火墙丢弈数据包的时候会通知发送方该数据包) 。 2 应震级霹关爨火壤 应用级代理技术检焱每一个包中的应用，献而判断其可用饿。代理技术与包过 1 7 e塞銮堑厶堂亟堂垃迨塞堕么鳖 滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理 到应用层，在应用层实现防火墙功能。每一种应用都需要安装不同的应用代理程 序，代理防火墙从一个接口接受数据，按照预先定义的规则检查可信性，如果可 信，就将数据传给另一个接口代理技术不允许内网和外网直接对话，真正使得 内部系统和外部系统完全独立。 3 电路级网关防火墙 电路级网关防火墙的运行方式与应用级网关相似，应用层代理为一种特定的 服务提供代理服务，不但转发流量而且对应用层协议做出解释；电路级网关也是 一种代理，但只是建立起一个回路，对数据包只起转发的作用，而且只依赖于t c p 联接，并不进行任何附加的包处理或过滤。在用户通过了最初的身份验证后，电 路级网关就允许穿过网关来访问服务，在此过程中，电路级网关只是简单地中转 用户和目的服务器之间的连接而已。 4 状态包检查防火墙【9 1 状态包检查是对包过滤器和应用级网关功能的一种折衷，防火墙检查i p 包的 所有部分来判定是允许还是拒绝请求。状态包检测技术检查所有的o s i 层。它对 每一个通过防火墙的数据包都要进行检查，看这些数掘包是否属于一个已经通过 防火墙并且币在连接的会话，或者基于一组与包过滤规则相似的规则对包进行处 理。s p i 与包过滤的区别在于对数掘包检查方式上。 状态检查技术能在网络层实现所有需要的防火墙能力。防火墙上的状态检查模 块访问和分析从各层次得到数据，并存储和更新状态数据和上下文信息，为跟踪 无连接的协议( r p c 和基于u d p 的应用) 提供虚拟的会话信息。 5 深度检测防火墙1 2 0 l 随着网络应用的发展，高层协议得到越来越多的应用，互联网也从多种协议 并驾齐驱发展成少数应用协议成为主流。而针对这些协议，用户需要进行控制。 比如，需要控制用户不能访问非法网址，带有恶意信息的报文不能进入内网。而 这些功能，仅仅依靠传统防火墙技术实现的对网络层信息进行检查和判断，是不 能实现的，需要检查报文中的更深层次的内容，于是发展出了深度检测技术。 深度检测可以检测报文中的内容信息，从而实现u r l 过滤、f t p 命令过滤、 网页中a c t i v e x 控件过滤等功能，达到控制应用内容的目的。集成深度包检测的防 立 銮 巍厶 堂骐堂垃诠窑堕么缝 文壤终会越来越多。逶过深黢惫捡弱砖内容透行茬鬟，瑟不汉汉蹙瓣翳络痿穰纛 进行控制，使防火墙对智能攻击有了主动防护能力。 4 。1 ，3 防火墙体系结梅 防火墙的体系结构一般肖以下几种：双重宿主主机体系结构、胖蔽主机体系 终梭秘屡薮子赠侮系缝秘f 2 j l 。 1 双重宿主主机体系结构 双重宿主主机结构是围绕着至少具有两个网络接口的双宿主主机( 又称堡勰 麦穗) 嚣捣臻。内努煞阙终蝣霹与双痣变童秘实施逶臻，毽内铃阚终之阂不霹_ 鬟 接通信，内外网络之间的i p 数据流被双熬宿主主机完众切断。双羹宿主主机可以 通过代理或让用户直接注册剿其上来提供很高程度的网络控制。受保护网除看铡 爨惫主筏势，不魏看娶其缝经德系统。溺辩堡垒主枫不转发t c p i p 遽售攘文，溺 络中的所有服务器都必须由此主机的相威代理程序来支持。双宿主主机体系结构 如图4 1 所示： 嘲4 1 般宿主童机防火墙体系缩构 2 屏蔽主飙体系结梅 屏蔽主梳体系结构中掇傲安全保护静燕机仅仅与内部黼楣连，勇拜有一台肇 独的过滤路由器连接内外网，这台路由器的意义就在于强迫所有到达路由器的数 撰镪被发送刭摄藏主规。这种体系结构中过滤路出器怒慈爱确配鬻楚这种茨火壤 安全与否的关键，过滤路幽嚣的路由表应当受到严穰静保护，否剐如栗遭至破坏， 则数据包就不会被路由到堡您主机上。屏蔽主机体系缩构如图4 。2 所示： 1 9 戴壅童邋占堂殛堂 位迨 塞 堕盘掇 囊鑫毫； g 反菇； 声毛$ | 帅嗍妙爹 妙 豳4 2 屏蔽土机防火墙体系结树 3 屏蔽予网体系结构 霹蔽子瓣髂系结秘增翔一今把内部爨络与互联瓣隔鸯静薅边溺终( 也豫梵嚣 军事区d m z ) ，从而进一步实现屏蔽主机的安全性，通过使用周边网络隔离堡藏 童机能够削弱外部网络对堡嶷主机的攻磁。其体系结构如图4 3 所承： 4 3 屏蔽f 网防火墙体系绪构 4 2 n e t f i l t e r i p t a b l e s 燕现机制分析 4 2 。1 n e t f i l t e r i p t a b l e s 概述 n e t f i l t e r 和i p t a b l e s 是l i n u x 2 4 x 和l i n u x 2 6 x 内桉中的一个樵架中的模块f 2 2 l 。 这个框架能够避行包过滤、嘲络地址转换、端口地址转换和其它包的处理( m a n g l e ) 。 i e塞銮疆塞翌驱 堂 缱 迨塞瞳么麓 娄蘑熬系统是农l i n u x 2 + 0 ，x 孛戆i p f w a d m 秘l i n u x 2 。2 x 巾弱i p c h a i n s 基戳上，透露 熏新设计和很大的改进而褥到的。 n e t f i l t e r 慰l i n u x 内核中的一些钩子( h o o k s ) 的集会，这些钩子允许内核模块用 嬲终壤援( n e t w o r ks t a c k ) 注黪c a l l b a c k 凌旋。一个注瑟瓣c a l l b a c k 功筑为每一令钰敷 威答，每个包农网络堆栈横穿各自的钩予。i p t a b l e s 麓个用来定义兢则的普通袋 结构。在每一个i p 表中的单个规则包括了一些分类器( i p t a b l e sm a t c h e s ) ，和一个涟 接魏动箨( i p t a b l e st a r g e o 。n e t f i l t e r , t a b l e s 黟连接跟踪( c o n n e c t i o nt r a c k i n g ) ，瞧裁怒 n a t 子系统，i 塞三个一起构成了整个框架。 无线网关髓火墙模块利用了l i n u x 2 6 内核的防火墙框架。n e t f i l t e r 框架不仅功 毅强大，嚣蠢爨供7 方便貔= 次开发方法。本萤谨缨分辑了2 6 内竣a e t t i l t e r 疆紫 的实现机制，为防火墙模块功能实现打下基础。n e t f i l t c r 在l i n u x 2 。6 内核的i p v 4 、 i p v 6 网络协议栈中都有相成的实现。本系统研究设计范围为i p v 4 网络，因此本次 童黉分轿n e f f i l t e r 在臻媾协浚棱孛熬实瑰。 4 2 2 n e t f i l t e r i p t a b l e s 流程 n e t f i l t e r 怒l i n u x 下专门用于包过滤的底层框架，i p t a b l e s 是内建在n e t f i l t e r 樵 架上的模块，实现对数据包的过滤处理转发。n e t f l l t e r 框架包括三部分【2 3 】： ( 1 ) 为鬣转识议( i p v 4 、i p v 6 等) 定义了一套镑予丞数( h o o k ) ，这些钩予 函数在数据包流经协议栈的几个关键点被调用； ( 2 ) 内拨的任何模块都可以对每种协议的一个或多个钩子函数进行注册，交 瑷连接。注溪豹模块虿以捡粪、修改、轰雾数提雹或蠢凌数据毽簧入雳户空瘸麸 列。 ( 3 ) 传递给用户空间的数据包队列怒异步进行处理的。一个用户进程能检焱、 骖羧鼗蕹篷，穰楚秀鞋重耨凌该数据雹遴过裹秀内援熬嗣一个钧予潺数注入裂滤 梭中。 通过使用n e t f i l t e r 框架，所有的包过滤，包处理n a t 等操作都可以在用户空间 送行，磊不登程肉孩空簿孛穆改数撂雹我玛。对于i p v 4 ，n e t f i l t e r 黎骞5 令锈予瓣 数，图4 4 1 2 4 描述了钩子函数的位置： 2 l 然塞 塞 邋 厶堂鲤翌位论彦堕叁壤 翻4 4 数据题逋过n e t f i l t e r 溉程鹭 团n t 哪r e r o u t i n g 剐刚进入网络层的数据包通过此点，目的地址转换在此点进行； 【2 】n fi pl o c a l _ i n 经路由套我嚣，送往零穰i 豹数蠢寇逶避魏检查熹，i n p u t 餐过滤连魏点遴纾； 【3 】n f i p f o r w a r d 要转发的戗遇过此检查点，f o r w a r d 包过滤在此点进行； 【4 】n f j o s t r o u t i n g 所有通过网络设备出去的包通过此检瓷点，源地址转换功能在此点进行： 【5 】n f i p l o c a l o u t 本视遴程笈窭去鹃龟j 基j 熏戴检查点，0 u 狰u 惫i 建滤在兹点遴簿。 数据包从发边进入i p 协议栈，先进行i p 校验处理，经过第一个钩子函数在 n e i p p r e _ r o u t l n g 点进行处理；然聪进入路由代码，决定该数据包是需要转 发逐是发绘零撬：藩浚数羲惫楚发绘本极载，嬲谈数豢怒经过锪子巍数在 n f _ i p _ l o c a li n 点的处理后传给上层协议；若该数粥包应该被转发则它被 n f i p _ f o r w a r d 点的钩予函数处理；缀过转发的数据包经过最聪一个钩子函数 凌n f i p o u t ro u t i n g 熹貔憝瑾蜃被馋翻鄹络上。零羹鏊产生豹数撂包经过锈予 函数n fi pl o c a lo u t 处理后，进行路由选择。然聪经n fi pp o s tr o u t i n g 娥理再发送到网络上。 4 2 3 防火墙模块的加载 些塞窑 适 厶 堂亟堂位迨塞堕么堡 1 在插入点注册钩子函数 n e t f i l t e r 防火墙各个内置功能模块由系统初始化配置脚本加载到内核，再由内 核自动来调用。各模块功能相互独立，如i p 加载、i p t a b