（计算机应用技术专业论文）面向intranet的网络安全审计系统的设计与实现.pdf

表肃大学硕士掌位论文 摘要 随着i n t e m e t 的普及和网络技术的发展，网络安全问题日益复杂和严重，单 靠某一种安全设备已经无法保障网络的安全。现实中防火墙和入侵检测等常用安 全技术的不足，显示了研究网络安全审计技术的必要性。作为一种辅助性的安全 机制，网络安全审计是一个完整的安全保障体系的必要环节，它支持对网络事件 的事后查证和分析，以保证网络的安全。虽然是一种被动反应模式的安全机制， 但它对网络行为追查起到十分重要的作用，能够对网络违规形成威慑，是防护网 络安全的重要手段之一，可以极大增强网络安全防范能力，提高网络的管理水平。 论文对网络安全审计技术的研究现状及相关理论进行了分析，讨论了网络安 全审计与几种常用安全技术之间在功能上的互补性，对网络安全审计系统的功能 模型和性能特点进行了定义和总结，对系统的体系结构进行了分析对比，提出并 设计实现了一种面向i n t r a n e t 环境的网络安全审计系统。该系统通过采集网络中 传输的原始数据包作为审计数据源，基于网络协议分层原理对数据包进行结构分 析，提取相应信息加以记录存储，形成安全可靠的审计数据，从网络的各个协议 层次支持对网络状态及网络行为的分析和检测，提供了有效的网络监控、管理手 段，能够完成多层次的网络安全审计功能。最后，实现了系统与主动式安全防范 系统的集成并在实验室环境下对系统功能进行了测试。 论文提出的网络安全审计系统能够在i n t r a n e t 环境下完成对网络原始数据的 采集和分析，并提取出有效信息形成各个协议层次的审计日志，旁路运行的实现 方式避免了系统对网络性能的影响，同时也提高了系统本身的可靠性和安全性。 对于提高整个网络的安全防范性能具有积极意义。 关键词：安全审计数据采集信息提取审计数据协议层次 农龠大学硪士掌位论文 a b s t r a c t w i t l lt h ep o p u l a r t yo fi n t e m e ta n dt h ed e v e l o p m e n to fn e t w o r kt e c h n i q u e s t h e s e c u r i t yp r o b l e m so fn e t w o r kb e c o m ei n c r e a s i n g l yc o m p l e xa n ds e r i o u s i ti sa l r e a d y i m p o s s i b l et oa s s u r et h es e c u r i t yo fn e t w o r ku s i n go n l yas i n g l es e c u r i t ym e c h a n i s m ， m o r e o v e r , m a n yc o m m o nt e c h n i q u e s , s u c h 嬲f i r e w a l la n di n t r u s i o nd e t e c t i o n a l l h a v el i m i t a t i o n s oi ti sn e c e s s a r yt or e s e a r c ho nn s a ( n e t w o r k - b a s e ds e c u r i t ya u d i t ) a sac o m p l e m e n t ，n s ai sa ni m p o r t a n tp a r to fac o m p l e t es e c u r i t yf r a m e w o r k i t e u s u r e st h es e c u r i t yo fn e t w o r kb yp o s tc h e c k i n ga n da n a l y s i s t h o u g hi tl o o k sl i k e p a s s i v e , i ti sag r e a th e l pt ot r a c en e t w o r kb e h a v i o ra n dd e t e rs o m e o n ef r o md o i n gb a d t h i n g s t h e r e f o r e ，t h i sd i s s e r t a t i o na n a l y s e sc u r r e n tr e s e a r c hw o r ka n dr e l a t i n gt h e o r i e s o fn s a a n dc o m p a r e sn s aw i t ho t h e rt e c h n i q u e st op r o t e c tn e t w o r k a n dt h e n , t h e f u n c t i o n a lm o d e lo f n s ai sp r o p o s e d t h ea r c h i t e e t u r ea n dc h a r a e t e r i s t i c so f n s aa r e a n a l y s e d b a s e do nt h e s et h e o r i e s d e s i g na n di m p l e m e n t a t i o no fa ni n t r a n e t - o r i e n t e d n e t w o r ks e c u r i t ya u d i ts y s t e mi sp r o p o s e di nt h i sp a p e r i tc o l l e c t st h ep a c k e t s t r a n s m i t t i n gi nn e t w o r ka n da n a l y s e st h e s ep a c k e t sa c c o r d i n gt op r o t o c o ll a y e r s ， e x t r a c t st h er e l e v a n ti n f o r m m i o nt os t o r ei nt h ed a t a b a s e t h e nt h er e l i a b l ea u d i td a t a a r eg o t w i t ht h e s ed a t a , i ti sp o s s i b l et op e r f o r ma n a l y s i sa n dd e t e c t i o no fn e t w o r k b e h a v i o r sa n dn e t w o r ks t a t u sf r o md i f f e r e n tn e t w o r kp r o t o c o l s s ot h es y s t e mc a n p r o v i d ee f f e c t i v en e t w o r km o n i t o r i n ga n da d m i n i s t r a t i o n , p e r f o r ms e c u r i t ya u d i tf r o m m u l t in e t w o r kl a y e r s a n dt h ef u n e t i o n so ft h es y s t e ma r et e s t e di nt h ee x p e r i m e n t a l e n v i r o n m e n t t h es y s t e mp r o p o s e di nt h i sp a p e rc a l lc o l l e c ta n da n a l y z et h el a wn e t w o r k p a c k e t s ，e x t r a e te f f e c t i v ei n f o r m a t i o nt og e ta u d i td a t a f o rr u n n i n gt h es y s t e mh a sn o i n f l u e n c e st on e t w o r kc a p a b i l i t y , i ti sg o o dt ot h es e c u r i t ya n dr e l i a b i l i t y 1 1 1 es y s t e m p l a y sap o s i t i v er o l ei ni m p r o v i n gt h en e t w o r ks e c u r i t y k e yw o r d s ：s e c u r i t ya u d i t i n g ，d a t ac o l l e c t i o n , i n f o r m a t i o nr e t r i e v a l ，a u d i td a t a ， p r o t o c o ll a y e r s i i 索谢太二誊硕士掌位论文 图1 1 图1 2 图2 】 图2 2 图2 3 图3 1 图3 2 图3 - 3 图3 4 图3 5 图3 - 6 图3 - 7 图3 - 8 图3 - 9 图3 1 0 图4 1 图4 - 2 图4 - 3 图4 4 图4 5 图4 - 6 图4 7 图4 8 图4 - 9 图5 一l 图5 - 2 图5 3 图5 4 图5 5 图5 - 6 图5 7 图5 8 图5 - 9 图5 1 0 图5 1 l 图5 1 2 图5 1 3 图5 1 4 图5 1 5 图5 1 6 图5 1 7 图表目录 c e r t 安全隐患统计 主动式安全防范系统框架 p p d r 安全模型 网络安全设备逻辑关系。 安全技术的时间和空间关联度 网络数据封装示意图。 以太网数据帧封装格式 a r p r a r p 数据封装结构 i p 报文首部结构 i c m p 报文格式 8 1 7 1 7 u d p 首部结构 t c p 首部结构 兀甲通信示意图 电子邮件传送示意图 p o p 3 协议状态转换 系统功能模型 n s a 在不同网络环境的应用 d l p i 架构 b p f 架构一 各层信息提取流程 系统结构图 1 8 1 9 1 9 2 0 2 5 ：1 6 3 0 3 l 3 2 对等协议间逻辑通信示意图3 6 数据预处理功能模型3 7 查询过程示意图 两种局域网数据采集口接入模式 数据采集流程。 函数调用关系。 流量统计程序流程。 i p 流量统计流程图 信息存储流程 数据库管理模块操作流程 4 5 4 8 s p c 管理配置功能结构。 数据库浏览流程 系统实现环境一 b s 方式查询i c m p 审计信息 5 6 5 7 ! ；8 c s 方式查询i c m p 审计信息 b s 方式查询f tp 登陆过程 b s 方式查询几p 退出过程 c s 方式查询兀p 协议通信信息一 5 9 5 9 h t t p 协议行为b s 方式审计测试6 2 h t t p 协议行为c s 方式审计测试6 2 v 东南犬掌硪女学位论文 表2 1 表3 1 表3 2 表3 3 表3 4 表4 1 表4 2 表4 3 表4 a 表4 5 表4 6 表4 7 表4 。8 表4 9 表格目录 几种安全技术的比较 常用f r p 命令2 0 f t p 应答 s m t p 命令 p o p 3 命令一 数据表a r p d a t a 结构 数据表i c m p d a t a 结构 数据表u d p d a t a 结构 数据表t c p d a t a 结构一 数据表f i p d a t a 结构 2 l ，5 3 5 4 5 4 数据表h t t p d a t a 结构5 4 存储s m t p 和p o p 3 协议信息的数据表结构 数据表f l o w j n f o 结构 5 5 5 5 数据表h o u r f l o w i n f o 和t o d a y _ f l o w _ i n f o 结构5 5 系南大掌磷士掌位论：k b p f c e r t d l p i h s a i d s m a c m i m e m t a m t u n p n s a s p a n s p c u i u 缩略词列表 b e r k e l e yp a c k e tf i l t e r c o m p u t e re m e r g e n c yr e s p o n s et e a m d a t al i n kp r o v i d e ri n t e r f a c e h o s t - b a s e ds e c u r i t ya u d i t i n t r u s i o nd e t e c t i o ns y s t e m m e d i aa c c e s sc o n t r o l m u l t i p u r p o s ei n t e r n e tm a i le x t e n s i o n m e s s a g et r a n s f e ra g e n t m a x i m u mt r a n s p o r tu n i t n e t w o r kp r o c e s s o r n e t w o r k b a s e ds e c u r i t ya u d i t s w i t c hp o r ta n a l y z e r s e c u r i t yp o l i c yc e n t e r u n i f o r mr e s o u r c el o c a t o r 伯克力数据包过滤器 计算机紧急响应小组 数据链路提供者接口 基于主机的安全审计 入侵检测系统 媒体访问控制 多用途i n t e m e t 邮件扩充 消息传输代理 最大传输单元 网络处理器 基于网络的安全审计 交换端口分析器 安全策略中心 统一资源定位符 东南大掌磷士掌位沧又 东南大学学位论文独创性声明 本入声明所呈交的学位论文是我个入在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名： 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 一虢毕翩阚期： 索南大：垂硕士二冀位论文 1 1 研究背景 第1 章引言 网络技术的飞速发展，已将人们带入了网络时代，当前互联网应用不断进入 社会各个领域和生活各个方面，网络规模正急剧扩大。根据中国互联网络信息中 心( c n n i c ) 第1 9 次中国互联网络发展状况统计调查的统计显示i j 】，截止2 0 0 6 年1 2 月，中国的网民总人数已达1 3 7 0 0 万人，与0 5 年同期相比增加了2 6 0 0 万 人，增长率为2 3 4 ；上网计算机总数为5 9 4 0 万台，与0 5 年同期相比增加了9 9 0 万台，增长率为2 0 o ；网站数为8 4 3 ，0 0 0 个，与0 5 年同期相比增加1 4 8 8 0 0 个， 增长率为2 1 4 ；国际出口带宽的总容量为2 5 6 ，6 9 6 m ，与0 5 年同期相比增加了 1 2 0 ，5 9 0 m ，增长率为8 8 6 。这些数字说明，中国的互联网络继续处于发展态势 之中。另一方面，互联网的大规模普及，使得人们的社会经济活动对网络的依赖 与日俱增，日益严重的网络安全问题逐渐成为人们关注的焦点，网络的安全性已 经成为信息化建设的一个核心问题。c e r t c c ( c o m p u t e re m e r g e n c yr e s p o n s e t e a mc o o r d i n a t i o nc e n t r e ，计算机紧急响应小组协调中心) 2 1 从2 0 0 0 年到2 0 0 6 年的安全隐患统计( 图1 1 ) 显示，随着网络的不断发展，网络中的安全隐患正 急剧增加，网络安全问题日益严峻。 图1 - 1c e r t 安全隐患统计 随着网络安全隐患和安全问题不断增加，网络安全的形势日益严峻，因此各 种网络安全技术也应运而生，目前针对网络安全所应用的防护技术有防火墙技 术、加密技术、数字签名以及入侵检测技术等等。然而，各种安全设备和技术的 出现，只能说是提供了一些安全防护的手段和机制，但并不能说有了它们就是完 蓐= 南大掌硪士掌位论文 全安全的。在计算机网络系统环境中，风险点和威胁点不是单一的，而存在多元 性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。网络安全出 现问题可能是其中一个方面出现了漏洞，也可麓是其中两个或是全部出现互相联 系的安全事故。这种安全的多元性使得仅仅采用安全产品来防范难以奏效。目前， 在网络结构、服务器、操作系统、防火墙、t c p i p 协议等方面存在许多的安全 漏洞i j j 。攻击者可以从不同的方面和角度，例如物理设施或协议、服务等对系统 进行试探，以绕过系统设置的某些安全措施，寻找到系统漏洞而攻入系统。因此， 不管应用如何，基本的安全原则是：攻击者的任务始终要比防御者的任务容易完 成一些【4 】。 实现网络系统安全的基本方法就是访问控制f 5 1 ，亦即按照一定的安全政策限 制访问者对于网络资源的访问，以保证系统中信息的完整性、保密性，防止信息 的未授权泄漏、失窃以及非法篡改等。目前常用的防火墙就是网络之间一种特殊 的访问控制设施，其主要理念就是在受保护网络和互联网之间建立过滤封锁机 制，通过实施访问控制达到安全防护的目的1 6 】。虽然防火墙技术是当今公认的发 展时间最长、最为成熟的一种网络安全技术，但是随着攻击者知识的日趋成熟， 攻击手段日益复杂，单纯依靠防火墙策略已经越来越难以适应网络安全发展的要 求。由于防火墙的访问控制系统属于静态防护体系，对于那些规则允许通过防火 墙的访问导致的攻击行为，以及能够绕过防火墙形成的攻击，防火墙是无能为力 的。同时，防火墙也无法防止感染了病毒的文件的传输及数据驱动式攻击，对于 恶意的内部人员攻击行为以及新的攻击方式，防火墙也由于本身的局限很难加以 防范。 入侵检测是目前应用较广的另外一种安全防护技术，主要是对网络系统的运 行状态进行监视，从中发现各种攻击企图、攻击行为或者攻击结果，以保证系统 资源的机密性、完整性和可用牲。相对于防火墙静态被动的防御模式，入侵检测 是一种较为积极的安全措施，能够从计算机系统和网络的若干关键点收集信息加 以分析，从而发现是否有违规行为和攻击迹象，从功能逻辑上看，入侵检测可以 看作防火墙的一种有力补充。一个完善的入侵检测系统必须具有经济性、时效性、 安全性及可扩展性等特点i s 】。然而，入侵检测系统本身的功能要求和特点又决定 了其具有一定的局限性；首先，入侵检测系统的时效性要求系统必须具有较高的 实时处理能力，检测效率和功能不可兼得，必须做出取舍，因而系统不能采取过 于复杂的分析算法，也不能进行长时间窗分析，需要牺牲一定的检测功能来换去 较高的处理效率；同时，入侵检测系统的高效率要求使得系统的功能集中在检测 入侵方面，对于其它可能影响到安全的因素并不太关心，很难做到全面的安全管 理，而且，违规事件的复查和取证功能不足；另外，随着黑客技术的发展，逃避 检测方法已越来越多，一些入侵检测系统本身的缺陷也成为攻击的目标，其本身 2 客南大掌碜士掌饿论文 的安全性受到挑战。 另外，防火墙和入侵检测主要是针对外部网络的安全威胁进行防范，通过监 视外部网络的信息数据，发现非法或可疑的数据并进行阻断或告警，从而实现对 内部网络的保护，本身缺乏对对内部网络安全问题的监测。而网络中实际的情况 是信息安全问题恰恰大多来自于内网隐患，网络内部的安全问题造成的风险往往 更大于网络外部的威胁。对此，一方面要加强对内部网络的安全管理，减少安全 隐患；另一方面就是要对发生的安全问题进行记录和取证，这就对安全审计技术 提出了需求。 通过以上分析可以看出，目前最常用的两种安全技术防火墙和入侵检测 在安全防范功能上都存在着各自的局限性。事实上，并不存在绝对安全的信息系 统，无论采取了什么防护手段，总是会存在产生安全问题的可能。如果防御者的 目标是挡住所有的攻击，那么防御者的任务就不可能完成1 4 】。文献【6 】中指出，网 络的安全脆弱性主要表现在安全的模糊性、网络的开放性、产品的垄断性、技术 的公开性以及人类的天性等几个方面，这些都是长期存在且将继续存在的问题。 m i l l e r 在他的一份研究报告中1 7 1 也指出，现有的以及可预见的未来的软件设计水 平无法消除安全漏洞的出现，现有的访问控制、加密技术和保护模型等安全技术 并不完善，本身存在着一定的问题。此时可行的方法之一就是建立安全审计机制， 通过加强对网络环境中各种目标系统的安全审计，结合多种安全防范手段，利用 多层次的主动防御技术来进一步提高网络系统的安全。 现实环境中，任何一个单一的安全手段的功能都是及其有限的。每一项技术 或手段都是针对某一方面的安全问题或威胁，追求完善的网络信息安全技术只是 一个美好的愿望罢了，没有什么网络安全系统能够保证1 0 0 的安全，安全总是 一个相对的概念，然而在另一方面，强调各种安全手段之间相互协作性的多层次 安全防护概念1 9 1 相比来说就更加可靠，已经逐渐成为当今网络安全的主流策略， 其主要思想就是将不同的安全技术结合在一起，创建一个比单一防护更加有效的 综合保护屏障。既然安全问题是不可避免的，就需要引入安全审计这种补助性质 的安全机制，部署安全审计系统，对网络安全相关事件进行如实记录，提供相应 的安全审计数据和信息，以便完善整个安全防范系统的功能，进一步改进网络的 安全防御性能，提高网络安全的整体级别。 论文中面向i n t r a n e t 的网络安全审计系统的研究是依托江苏省科技厅的科技 计划项目高技术研究( t 业部分) 课题“主动式安全防范系统的研究”f 编号 b g 2 0 0 4 0 3 6 ) 进行的。该系统以构筑在网络处理器上的防火墙为核心，集成了多 种网络安全技术如入侵检测、安全扫描及v p n 等，形成了一个集主动安全检测 和动态防御攻击为一体的分布式网络安全体系( 图1 2 ) 。系统已基本成形，目前 涵盖了n p 防火墙【2 0 】、扫描器1 2 1 1 、入侵检测系统、安全策略中心及v p n 等安全 东南大掌硕士掌位论文 设备。其中入侵检测系统为具有歧义流量矫正功能i 矧的网络入侵检测系统，支持 入侵检测系统协同信息交互支撑框梨冽，扫描器提供内部网络节点系统漏洞扫描 功能，安全策略中心负责访问控制策略的制定和管理，防火墙负责执行策略中 心的指令，提供高性能的访问控制服务，v p n 系绀2 5 1 集成在网络处理器上，为 外网主机提供了与内网主机进行通信的安全隧道。 i 图1 - 2主动式安全防范系统框架 由前述可知，各种安全技术和防范手段基本都是专门针对某一个方面威胁 的，它们之间需要相互协作，并通过一定的策略和方法将各自功能有机结合起来， 才能更好地实现安全防护。主动式安全防范系统的设计思想正是基于这个观点形 成的1 2 6 j 。网络安全审计系统作为一种辅助性质的网络安全机制，强调的是对网络 行为的事后审计，能够为网络安全管理提供可用可靠的审计信息，提高整个安全 防范系统的检测功能。论文研究的目的就是根据现有主动式安全防范系统的分布 式结构特点，在现有功能框架上增加一个独立的面向i n t r a n e t 的网络安全审计系 统，对系统进行功能上的补充和完善。 1 2 研究现状 作为一种安全保障机制，在最早的t c s e c 1 0 l 中就己对审计有了明确的要求。 从c 2 级开始，t c s e c 制定了详细的审计功能要求，并要求信息系统可以对审计 数据进行查询、监视，以发现对系统发起的攻击和系统的安全漏洞。安全审计是 保证信息系统安全的重要环节之一，国内外许多相关的安全测评标准为安全审计 系统的建设提供了参照，但是如何建设审计系统则需要在这些原则的指导下，具 体问题具体分析，根据系统状况、自身安全需求以及当前技术的支持程度来定制 审计系统。 传统基于主机的安全审计系统已经形成了较为完备的理论和实际的应用系 统，包括针对各种安全策略的具体审计策略，安全审计标准，安全审计等级的划 分，安全相关事件的确定等方面。2 0 0 2 年7 月美国安全杂志曾评测出一批比较优 4 东南大掌颁士掌位论文 秀的日志与安全审计工具i l l j ，如g f i 软件公司开发的l a n g u a r ds e c u r i t y e v e n t l o g m o n i t o r 可完成基于所有w i n d o w s 操作系统的日志事务的审计检测工具；n f r 安全 公司的s l r ( s e c u r el o gr e p o s i t o r y ) 和i s s 公司的s l m ( s e c u r el o gm a n a g e r ) 1 1 2 1 1 1 3 在 客户端放置代理收集各个主机的系统日志，可将w i n d o w s ，u n i x ，l i n u x 等多种 操作系统的日志文件传送到指定的日志存储器中进行统一存储和管理，并进行审 计分析。 基于网络的安全审计系统与传统基于主机的安全审计系统在应用环境、审计 内容等方面都有很大区别。传统的安全审计系统关心的是主机系统操作的有关信 息，主要针对系统中己登录用户的行为及系统中进程的行为进行记录和审计，没 有记录足够的进行网络安全审计所需要的信息，从网络协议的观点来看，传统安 全审计系统审计的数据信息均属于高层( 应用层) 信息。网络安全审计是根据一定 的安全策略，通过采集记录网络传输数据，分析网络数据信息和应用操作事件以 帮助发现网络安全问题和隐患，进一步改进网络系统性能和加强网络系统安全的 技术，其审计重点在于网络的各种数据和网络的访问行为。从国际上的研究现状 来看，网络安全审计的重要性已经受到越来越多的重视，在t c s e c l l o l 和c c 0 4 l 等主要的安全认证体系中，网络安全审计都是放在重要的位置，已经成为评价一 个网络体系是否安全的主要标准之一。相比于基于主机的安全审计系统而言，对 于网络安全审计系统的研究起步是比较晚的。在目前已有的系统中，s u n 公司早 期的b s m ( b a s i cs e c u r i t ym o d u l e ) 系纠”】本身虽然是一个传统的主机安全审计系 统，但是该系统记录了少量p 协议栈的相关信息，可以说是对网络安全审计方 面的一个探索；p u r d u e 大学的n a s h i s t l 6 1 是较为著名的一个针对网络数据信息进 行分析的安全审计系统，该系统强调对协议栈内各层数据报头进行全面审计，采 用了扩展的内核审计模式，提高了审计效率，但是，该系统是基于主机实现的， 本身的安全性和可扩展性不够理想；p u r d u e 大学的a a f i d 17 】和国内复旦大学的 s - a u d i t 入侵检测与安全审计系统【1 8 1 等为代表的一类网络安全审计系统，其特点 是在结构上采用分布式的a g e n t 技术及层次型的组织形式，提高了系统的灵活 性、可扩展性和可适应性，使系统能够更好地适应网络环境需求，然而系统是面 向整个网络进行系统的整体框架设计，再逐次往下层层部署，类似树形结构，容 易在根节点形成功能和安全瓶颈，同时，由于系统注重对整个网络的审计，主要 的功能是在根节点完成，各个子节点需要往上传送大量数据，造成网络流量的负 载增加，容易形成网络阻塞。另外，由于只是作为单独部署的网络安全机制进行 研究，当前各种网络安全审计系统的设计思路大都是以检测攻击为目的，过于注 重对网络入侵行为的分析和防御，因此系统在功能实现上表现出与入侵检测功能 的重复，造成资源的浪费。 论文主要是研究在i n t r a n e t 环境下如何设计和实现一个网络安全审计系统，所 客角太掌硪士学位论文 谓的i n t r a n e t 环境就是相对i n t e m e t 而言逻辑上独立封闭的内部网络，最初指的是 基于i n t e m e t 的t c p i p 协议进行构建，采用了一定的安全技术和措施防止外界入 侵，并能够实现与i n t e r n e t 互连的企业内部网1 1 9 1 。论文中将所有具有访问控制措施 并能提供与i n t e m e t 连接功能的局域网和内部网统一称为i n t r a n e t 。从定义不难发 现，在物理概念上i n t r a n e t 与i n t e m e t 其实是很难分割开的，可以说i n t e r a c t 就是由 许多i n t r a n e t 组成的。但在逻辑上两者有着明显的界限，i n t r a n e t 相对而言是一个 逻辑上功能封闭的网络，在它内部的主机只能通过某些固定的通路与外界相连。 论文就是着眼于在如上定义的i n t r a n e t 环境下设计一个网络安全审计系统，对内部 网络上传输的数据进行收集存储，支持审计人员进行各种信息分析，系统关注审 计动作的效果和准确性，而对系统的实时性不做更多的要求。 1 3 研究目标和研究内容 论文的研究目标是以“主动式安全防范系统的研究”项目为背景，设计和实现 一种面向i n t r a n e t 环境的网络安全审计系统，目的是基于主动式安全防范系统分 布式部署的体系结构，添加并集成一个新的相对独立的安全审计模块，通过采集 分析流经i n t r a n e t 网络的数据包，按协议层次提取相关信息形成网络安全审计日 志，以支持通过查询历史和当前的各种信息分析网络行为特点，提供网络性能和 安全相关信息，提高对网络的监控能力，完善整个防范系统的功能。该系统应该 具备以下特点：平台独立，可移植性好，能够灵活配置；采用模块化编程实现， 易于维护和扩展；使用方便，对硬件依赖度低。 论文的主要研究内容如下： 1 研究安全审计相关理论，分析网络安全审计系统结构和功能特点； 2 在t c p i p 协议研究的基础上，分析网络各层数据包结构； 3 面向i n t r a n e t 环境的网络安全审计系统的设计和实现； 4 系统与主动式安全防范系统的集成及其功能测试。 1 4 论文组织结构 本章对目前两种常用安全技术的特点与局限性进行了分析，引出了网络安全 审计机制，简要描述了其作用，并对该领域的研究现状进行了简要论述，之后又 介绍了论文的项目背景，进而提出了论文的研究内容和目标。 第2 章对网络安全审计理论的相关概念进行了介绍，对比了主机安全审计与 网络安全审计的特点，深入分析了基于网络数据包的安全审计系统的功能要求和 性能特点，最后在功能实现上对几种安全技术进行了粗略的比较。 第3 章在给出网络中传输数据封装过程的基础上，逐层分析了链路层、网络 6 东南大掌嚣士掌位论文 层及运输层上各个网络协议数据的结构，并对f t p 、h r r p 、s m t p 及p o p 3 等 几个常用的应用协议进行了分析研究，在此基础上可以设计和实现对各个网络协 议信息的提取。 第4 章在前面理论研究的基础上给出了面向i n t r a n e t 环境的网络安全审计系 统的功能模型，并在对网络安全审计系统的体系结构进行分析的基础上，提出了 系统总体结构的设计方案，详细介绍了系统中数据采集、数据预处理、数据存储 以及数据查询等关键模块的设计思路。 第5 章详细介绍了编程实现系统各功能模块的关键工作，将系统与主动式安 全防范系统进行了集成，并给出了实验环境下系统实际运行时的功能测试情况。 第6 章回顾了已完成的各项内容，对论文的理论和实践工作进行了总结，并 对后续工作提出了建议和展望。 系南大掌硕士掌位论- 又 2 1 网络安全模型 第2 章网络安全审计 安全防范的基本原则中有两个重要的概念：安全域与端系统1 6 。安全域指的 是在安全关系上相互依赖的系统组成的一个或几个局部的网络，通常表现为一个 和管理域相重叠的网络；端系统则是指具有独立的软硬件系统，能够自主运行的 自治系统，通常指的就是单独的主机。在一个安全域内包含许多独立的端系统， 而在一个安全域内各个端系统的安全是紧密相关的，因此，在进行安全管理时必 须整体考虑整个安全域的安全，进行基于网络的安全防范，实现网络安全目标。 网络安全可以定义为网络系统中的软硬件和系统中的数据信息能够受到保护，不 会因为各种原因而遭到破坏、更改和泄漏；网络系统能够实现连续、可靠地运行， 提供的网络服务不被中断。网络安全在概念上应该包括端系统的安全和安全域的 安全，涉及到计算机安全、通信安全以及信息安全等各个领域，是一个系统的工 程。然而，现实中并不存在绝对的网络安全，总是会出现各种问题，因此必须合 理利用各种技术手段和防范措施来建立网络安全体系。图2 1 中给出了著名的网 络安全模型p p d r ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ) 1 9 2 7 1 ，该模型包括策略、 防护、检测和响应四个部分，是一个以策略为核心的动态模型，形象地描述了网 络安全防御的概念。 图2 - ip p d r 安全模型 所谓动态，指的是模型中的检测、响应和防护部分都是围绕着安全策略进行 东寓大学硕士掌位论文 循环往复的基于时间的防御流程：首先是防护，这是保护网络安全的基本手段， 但它是被动的，相对于攻击一般都是滞后的；这时就需要进行检测以弥补这个时 间差，其功能主要就是对于动态变化的网络状况和不断出现的各种新的漏洞与攻 击，采取有效的手段进行监控；响应则是对检测结果的及时反应。可以看出，检 测在这个模型中占据着极其重要的位置，对整个安全体系模型的动态完善提供了 功能支持。论文研究的网络安全审计就是模型中检测部分的一个具体体现。 2 2 安全审计及分类 安全审计( s e c u r i t ya u d i t ) 郾j 是记录用户的访问过程和各种行为并加以分析 形成审计信息的过程，是计算机安全管理的一个重要组成部分。作为安全系统中 一项必要的安全机制，安全审计与系统的其它安全机制可以相互协作、互为补充。 安全审计应该能够提供一组可进行分析的管理数据，以帮助发现在何处发生了违 反安全方案的事件。利用安全审计结果，可调整安全政策，堵住出现的漏洞。其 具体功能是执行对系统安全的审核、稽查、计算，在记录与系统安全有关活动的 基础上进行分析处理、评价审查，从而发现系统中的安全隐患；或追查造成安全 事故的原因和对安全事件负责的实体，为信息系统安全策略的调整和修改提供信 息和建议。 安全审计系统记录的安全事件一般包含行为主体、发生时间以及行为特征等 等信息。通过对记录的审计数据进行查询分析，可以知道谁在什么时问什么地方 做了那些事情，进行了什么操作，是否符合规定等等；也可以对审计对象特定时 期的行为合法性进行监控和审查，以确定或解除对象的行为责任，同时还可以实 现事后的调查取证功能。通过对审计数据的分析可以发现系统中的安全问题，辨 别系统事故责任者，跟踪某些用户和站点，为及时采取相应处理措施提供依据。 因为审计是记录系统中发生的事件并对其进行分析和处理的过程，所以它一般包 括以下功能：记录系统被访问的过程；监控系统保护机制的运行；发现试图绕过 保护机制的行为；及时发现用户身份的变化；监测绕过保护机制的行为并记录相 关过程，为灾难恢复提供信息等等。总的来说，安全审计的作用主要是通过对网 络内部的全面审计，提供完整记录，以帮助发现安全隐患，支持进行责任认定和 事后取证。 安全审计系统通常能把可疑数据、入侵信息、敏感信息等记录下来，以备 取证和跟踪之用。因此，数据是安全审计的基础，采用什么样的数据源，直接决 定了审计系统的性能和结构。现有的安全审计系统一般按照所采用的数据来源不 同可以分为基于主机的安全审计系统和基于网络的安全审计系统两类。 9 东南犬学毛嚣士二誊使论文 2 2 1 基于主机的安全审计 基于主机的安全审计h s a ( h o s t b a s e ds e c u r i t ya u d i t ) 2 9 1 面向的审计对象和 环境是计算机系统，也就是常说的传统的安全审计系统，其数据源主要是主机系 统资源的活动和使用信息，包括操作系统的内核日志、应用程序日志、重要文件 记录、用户活动状态与行为如使用打印机，m o d e m 、系统文件、注册表文件等形 成的日志文件，甚至网络设备( 如路由器和单机防火墙) 日志等等各种系统信息。 传统基于主机的安全审计系统在检测网络行为方面的能力非常有限，一般只能审 计出单机系统的状态和安全级别，检测出发生在该主机上的各种操作行为，而且 其本身的安全性不高，一旦对主机形成了事实上的攻击成功，就很难对攻击行为 进行事后的追查和取证。可以设想，当一个狡猾的入侵行为躲过了f i r e w a l l 和i d s 的拦截进入了目标主机，这么老练的攻击者肯定不会忘记篡改或删除该主机系统 日志中有关其登陆和操作的信息来掩盖自己的踪迹，这时，审计系统的数据源已 经不可靠，再利用其进行相关分析和审计显然将会得到错误的结果；同时，由于 基于主机的安全审计系统不可避免地要在主机的操作系统平台上运行，当该主机 被成功入侵后，其本身就面临崩溃的危险；另外，由于这种系统安全审计是基于 主机日志信息的，因而对每一种主机服务都需要开发不同的日志分析程序，这就 无形中增加了系统的复杂度，需要消耗主机更多的系统资源。 2 2 2 基于网络的安全审计 基于网络的安全审计n s a ( n e t w o r k b a s e ds e c u r i t ya u d i t ) 简称网络安全审 计，是近年来安全审计研究的热点，其审计对象主要包括对网络设备的审计和对 网络数据的审计两种类型1 3 0 1 。数据来源包括了网络数据包、入侵监测系统日志、 网络防火墙的日志以及其他网络工具所产生的记录和日志等。通过对各种网络数 据信息进行存储和分析，网络安全审计能够实现对网络上的各种行为的监测以及 对整个网络的安全状态和级别的评估。 无论是基于主机的安全审计还是对网络设备进行审计的网络安全审计，都是 对网络节点信息的审计。论文研究的面向i n t r a n e t 的网络安全审计系统则主要是 对在i n t r a n e t 上传输的节点之间的网络数据进行审计，目的是通过截获并分析网 络数据包，从网络的各个层次支持对网络行为本身以及由网络行为引起的网络异 常进行监测，提供有效的分析、管理手段。系统对网段上用户使用网络系统进行 活动的过程进行记录，以便了解网络用户的各种活动，提供事后分析的依据；进 行数据统计，对整个网络实行安全检测和监控，通常能够帮助检测出网段上发生 的一些异常和违规行为，进而支持对整个网络的安全状态和级别进行评审。相比 于利用其它数据源的安全审计系统而言，采用网络数据包作为数据源的网络安全 1 0 客肃大掌颁士掌垃论文 审计系统有着明显的优势： 当数据包在网络上传输时，通过网络嗅探等方法对其进行截获是很容易实现 的，而且网络嗅探器的运行都是采取旁路方式，不会影响到网络上运行的其 它系统的性能，相比于主机数据源的获取，这种信息获取的方法不占用主机 系统资源，只需付出很低的性能代价或者说不需付出性能代价； 遵循网络协议标准进行传输的网络数据包能够如实反映网络行为特征，是记 录和体现网络行为的原始数据，具有不可抵赖性； 网络安全审计系统在网络上对用户可以说是完全透明的，隐蔽性好，大大降 低了其被攻击者轻易发现而遭受攻击的可能性，系统本身的安全性得到了极 大提高； 旁路存储的网络