（计算机软件与理论专业论文）基于java的分布式入侵检测系统的研究与实现.pdf

南京邮电大学坝上研究生学位论文 摘要 随着网络技术的发展，拥有了非常自由开放的网络空间的，网络的开放性互 联机制提供了广泛的可访问性，但是同时也带来了安全的隐患，c l i e n t s e r v e r 模 式提供了明确的攻击目标，开放的网络协议和操作系统为入侵提供了线索，用户 的匿名性为攻击提供了机会。因此网络安全技术是非常重要的技术，对于国家的 信息安全，经济政治发展都有举足轻重的作用。 入侵行为主要是指所有试图对系统资源进行非授权使用，可以造成系统数据 的丢失和破坏、系统拒绝服务等危害。入侵检测技术是一种对系统的运行状态进 行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、 完整性和可用性的技术。入侵检测技术是防火墙技术的有益补充，两者组合起来 相得益彰，可以发挥更大的作用。 本论文对于网络安全技术、防火墙技术、入侵检测技术和e j b j 2 e e 技术进 行了较为深入的研究。本论文还研究了一个开源的、基于网络入侵检测技术： n o f t 技术，剖析了其架构和核心流程、数据结构，研究了c d f ( c o m m o n fn lf l 。s i o nd e t e c t i o nf r a m e w o r k ) 的公共入侵检测框架。最后在前面做的所有 研究工作的基础上和己开发出的分布式防火墙。! 基础上，试图通过软件复用技 术和f u b j 2 e e 分布式技术，提出了一种和分布式防火墙互动的，能够进行入侵 检测，并根据检测结果修改防火墙策略从而切断非法连接、中断攻击的分布式入 侵检测系统的设计和实现。 夫键字：分布式、入侵检测系统、防火墙、e l b ；、j a v a 、j b o s s 南京邮电太学硕士研究生学位论文 a b s t r a c t a sn e t w o r kt e c h n o l o g i e sd e v e l o p ，w i t ht h ef r e e ra n dm o r eo p e nn e t w o r ks p a c e t h eo p e na n dc o n n e c t i xi t yo fn e t w o r kb r i n g sw i d ea c c e s s e st o g e t h e rw i t hs e c u r i t h a z a r d s c l i e n t s e r v e rm o d e l s u p p l i e se x p l i c i ta t t a c k i n gt a r g e t ，o p e n n e t w o r k p r o t o c o l sa n do p e r a t i n gs y s t e ms u p p l yh i n t sf o ri n t r u s i o n s ，a n da n o n y m o u s n e s so f u s e r ss u p p l i e so p p o r t u n i t yf o ra t t a c k s t h e r e f o r e ，n e t w o r ks e c u r i t yt e c h n o l o g yi sv e r i m p o r t a n t ，a n dp l a y sag r e a tr o l ei nac o u n t r y si n f o r m a t i o ns e c u r i t y , e c o n o m i ca n d p o l i t i c a ld e v e l o p m e n t i n t r u s i o nb e h a v i o r sr e f e rt ot h o s ew h oa r et e m p t i n gt ou s er e s o u r c e sw i t h o u t a u t h o r i z a t i o n a n dc a nr e s u l ti nt h el o s so rd e s t r u c t i o no fs y s t e md a t a ，o rd e n i a lo f s y s t e ms e r v i c e sa n ds oo n i n t r u s i o nd e t e c t i o nt e c h n o l o g yi so n et om o n i t o rs y s t e m r u n n i n gs t a t e ，t of i n de v e r yk i n d so fa t t a c k i n ga t t e m p t so ra t t a c k i n gb e h a v i o r so r a t t a c k i n gr e s u l t s ，a n dt oe n s u r et h ec o n f i d e n t i a l i t ya n di n t e g r i t ya n du s a b i l i t yo f s y s t e mr e s o u r c e s i n t r u s i o nd e t e c t i o nt e c h n o l o g yi sah e l p f u lc o m p l e m e n tt of i r e w a l l t e c h n o l o g y , a n dw h e nt h e y r ec o m b i n e d ，t h e yc a np l a yam o r ei m p o r t a n tr o l e t h i sp a p e rm a k e sad e e pr e s e a r c ho nt h e s et e c h n o l o g i e s ，s u c ha sn e t w o r k s e c u r i t y ，f i r e w a l l s ，i n t r u s i o nd e t e c t i o na n de j b j 2 e e t h i sp a p e ra l s om a k e sa r e s e a r c ho fs n o r t ，o n eo p e n s o u r c ea n dn e t w o r k - b a s e di n t r u s i o nd e t e c t i o nt e c h n o l o g m a k i n gad e e pa n a l y s i so fi t sf r a m e w o r k i t sc o r ef l o w , a n di t sc o r ed a t as t r u c t u r e s t h i s p a p e ra l s o r e s e a r c h e so nc i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) f i n a l l yb a s e do na l lt h e s er e s e a r c h e sa n db a s e do na l r e a d yd e v e l o p e dd i s t r i b u t e d f i r e w a l l ：b t h em e a n so l s o f t w a r er e u s ea n dd i s t r i b u t e dt e c h n o l o g ye j b j 2 e e t h i sp a p e rp r o p o s e sad e s i g na n dir n p l c m c n t a t i o no fo n ed i s t r i b u t e di n t r u s i o nd e t e c t i o n s ) s t e m 、 h i c hc a ni n t e r a c tw i t hd i s t r i b u t e df i r e a 1 1 d e t e c ti n t r u s i o n s a n dm o d i 6 f i r e v , a l lp o l i c i e st oc u to f fu n l a w f u lc o n n e c t i o n sa n ds t o pi n t r u s i o n s k e y w o r d s ：d i s t r i b u t e d ，i n t r u s i o nd e t e c t i o ns y s t e m ，f i r e w a l l ，e j b ，j a v a ，j b o s s 南京邮电学院学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。、 研究生签名：一 日期； 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名；导师签名： 南京邮电大学舒! 十研究生学位论文 绪论 绪论 计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统 被破坏而造成的经济损失达数千亿美元以上。政府、银行、大企业等机构都有自 己的内网资源。从这些组织的网络办公环境可以看出，行政结构是金字塔型，但 是局域网的网络管理却是平面型的，从网络安全的角度看，当公司的内部系统被 入侵、破坏与泄密是一个严重的问题，以及由此引出的更多有关网络安全的问题 都应该引起我们的重视。据统计，全球8 0 以上的入侵来自于内部。 当商户、银行以及其他商业与金融机构在电子商务热潮中纷纷进入i n t e r n e t ， 以政府上网为标志的数字政府使国家机关与i n t e r n e t 互联。通过i n t e r n e t 实现包 括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不 断扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金融、媒 体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重 要组成部分，同时也是国家网络经济发展的关键。 据统计，信息窃贼在过去几年中以2 5 0 速度增长，9 9 的大公司都发生过 大的入侵事件。世界著名的商业网站，如y a h o o 、b u y 、e b a y 、a m a z o n 、c n n 都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安全的r s a 网站 也受到黑客的攻击。 黑客技术不再是种高深莫测的技术，并逐渐被越来越多的人掌握。目前， 雌界上有2 0 多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击 的方法和各种攻击软件的使用，这样系统和站点遭受攻击的可能性就变大了。加 1 ：现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具 f r 隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。 对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施 的安全已经成为刻不容缓的重要课题。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发 现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安 全策略行为的技术。违反安全策略的行为有入侵和滥用，其中入侵是非法用户的 南京邮电大学硕士研究生学位论文 绪论 违规行为，滥用是用户的违规行为。 入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击， 并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造 成的损失。而在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识， 添加入知识库内，以增强系统的防范能力。 入侵检测和防火墙是不同的两个概念，是互补的概念，两者可以互相结合， 互相补充，产生巨大的威力。 8 0 6 教研室已经开发出的分布式防火墙，是一个利用w i n s o c k 2s p i 过滤和 核心层过滤( 采用n d i sh o o k ) 双层过滤方法截获网络封包，并利用控管规则对过 往封包进行合法性检测和过滤的防火墙。在本论文中，通过利用s n o r t 这个基于 网络的轻量级的入侵检测系统，以及已经开发出的分布式防火墙，利用软件复 用技术和分布式技术把s n o r t 集成到我们的可以与分布式防火墙互动的分布式入 侵检测系统里面。具体如何集成，不妨带着两个问题阅读下去。 1 s n o r t 放在防火墙的前面还是后面? 通过综合考虑，放在后面比较好，这 样大大增加了入侵检测系统的效率，减小了对于被防火墙过滤掉的无用数据流的 监测，还可以检测到常见的内部攻击。如果条件许可，可以在防火墙的前、后都 放置入侵检测系统，前面的入侵检测系统可以检测到更多的入侵攻击，通过对于 这些攻击的分析，然后采取措施可以增强预防和对付入侵的能力。 2 如何设计实现分布式入侵检测系统，复用原来已有的成果，集成到一个新 的系统中? 关于这个问题在概要设计和详细设计阶段将会有细致研究和分析。 本论文按照以下方式组织，第一章介绍了我国网络安全的现状、网络信息安 全技术的重要性和必要性，介绍和分析了网络安全的概念和网络安全的目标、信 息保障体系的概念，以及信息安全产品的分类等等。 第章分析了防火墙技术的概念，它的设汁目标，以及涉及到的控制服务， 介绍了防火墙的三种类型。然后分别分析了集中式防火墙和分靠式防火墙、以及 集中式防火墙的缺陷和分布式防火墙对于集中式防火墙的优势，最后从产品角度 描述了分布式防火墙所包含的产品。 第三章分析了入侵的概念、入侵和攻击的原理及方法分类，以及相应的解决 方法和预防措施。随后描述和分析了c i d f 系统模型、入侵检测产品的分类、检 南京邮电大学彤! 七研究生学位论文 绪论 测方法的分类、入侵检测的过程。本章对于入侵检测的原理、方法和目前业界的 最新动态，做了详细的分析，为后面设计和开发分布式入侵检测系统做准备。 第四章分析了s n o r t 入侵检测系统体系结构、s n o r t 工作原理和工作方法、如 何编写s n o r t 规则、剖析了s n o r t 代码包括主要流程和关键数据结构，为设计分 布式入侵检测系统打基础。 第五章介绍了如何设计、实现一个能够和分布式防火墙互动的、基于网络的 分布式入侵检测系统，提出了一种设计目标，完成了概要设计和详细设计，在概 要设计和详细设计之后还分析和介绍了在分布式入侵检测系统中需要运用的核 心技术包括j a v a 技术、e j b 技术、j b o s s 技术，介绍了实现分布式的关键代码， 介绍了s n o r t 系统运行情况纪录，以便于读者更好的理解。 第六章对于本篇论文进行了总结，对入侵检测系统的发展进行了展望和分 析，提出了本论文所研究的分布式入侵检测系统需要进一步研究和发展的一些方 向。 南京邮电大学硕l 研究生学位论文第一章网络安伞的现状和发艉的技术 第一章网络安全的现状和发展的技术 我国的网络安全现状是硬件设备上严重依赖国外，网络安全管理存在漏洞， 网络安全问题还没有引起人们的广泛重视，安全技术有待研究，美国和西方国家 对我国进行破坏、渗透和污染，启动了一些网络安全研究项目，建立一批国家网 络安全基础设施。 随着信息网络的飞速发展，信息网络的安全防护技术已逐渐成为一个新兴的 重要技术领域，并且受到政府、军队和全社会的高度重视。随着我国政府、金融 等重要领域逐步进入信息网络，国家的信息网络已成为继领土、领海、领空之后 的又一个安全防卫领域，逐渐成为国家安全的最高价值目标之一。可以说信息网 络的安全与国家安全密切相关。 1 1 网络安全的概念 网络安全是在通信安全、计算机安全和密码技术的基础上建立的一种技术体 系，其目的是保证网络传输系统、网络应用系统以及网络系统内传输和存储数据 的保密性、完整性和可用性。 网络安全目标涉及两个方面，它们是网络数据传递的安全性和网络系统本身 的安全性。而“安全性”可以进一步分解成保密性、完整性和可用性。 保密性有两层涵义，一是网络系统内传递数据的保密性，例如数据不会被中 途截获并窃取；二是指网络系统结构以及配置的保密性，例如防止通过嗅探传递 的分组得到网络结构信息。 j 芒整性有两层涵义，一一是网络系统内传递数据的完整性，例如数据传递途中 f ：会被篡改，二是指网络系统结构以及配置的完整性，例如不会被篡改配置。 町用性有两层涵义，一是网络系统内传递数据的可用性：二是指网络系统本 身的可用性。 网络安全技术所覆盖的范围很广，包括身份验证、访问控制、安全数据传递、 应用安全控制、网络攻击检测和网络安全管理。 w i l l i a ms t a l l i n g s 归纳出了四种破坏网络安全的形式1 3 i ：中断、截获、篡改和 南京邮【乜大学硕j j 研究生学位论文第一章网络安全的现状和发展的拙术 捏造。这四种形式可以构成较为完整的网络安全风险模型。 1 2 信息保障体系 安全专家提出了信息保障体系的新概念，即：为了保障网络安全，应重视提 高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有 别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生 命周期的主动防御。美国在信息保障方面的一些举措，如：成立关键信息保障办 公室、国家基础设施保护委员会和开展对信息战的研究等等，表明美国正在寻求 一种信息系统防御和保护的新概念，这应该引起我们的高度重视。 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面，构 成了一个完整的体系，使网络安全建筑在一个更加坚实的基础之上。 保护( p r o t e c t ) 是传统安全概念的继承，包括信息加密技术、访问控制技 术等等。 检测( d e t e c t ) 是从监视、分析、审计信息网络活动的角度，发现对于信息 网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支 持，使安全防护从单纯的被动防护演进到积极的主动防御。 o 响应( r e s p o n s e ) 是在遭遇攻击和紧急事件时及时采取措施，包括调整系统 的安全措施、跟踪攻击源和保护性关闭服务和主机等。 恢复( r e c o v e r ) 是评估系统受到的危害与损失，恢复系统功能和数据，启 动备份系统等。 1 3 信息安全产品分类 f 齐息安令产t 所依赖的安全技术主要包括密码技术、身份认证、访问控制、 虚拟用| 叫f v p n ) 、公共密钥基础设施( p k i ) ，以及从h ( ) 年丌始出现、最近 l f i 在崛起、迅速发展的入侵检测技术等。 信息安全产品分为四个层次，它们分别是基础安全设备、终端安全设备、网 络安全设备、系统安全设备。 基础安全设备包括密码芯片、加密卡、身份识别卡等。终端安全设备从电信 网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。 南京邮电人学硕十研究生学位论文 第一章刚络安生的现状和发腱的技术 网络安全设备从数据网和网络层考虑，可以分为i p 协议密码机、安全路由 器、线路密码机、防火墙等。下面我们主要介绍防火墙。防火墙是一种有效的网 络安全机制，它通常安装在被保护的内部网和外部网的连接点上，是在内部网与 外部网之间实施安全防范的一个系统。从内部网和外部网之间产生的任何活动都 必须经过防火墙。这样防火墙就可以确定这种活动( 如e m a i l ，f t p ，t e l n e t h t t p 等) 是否是符合站点的安全规则，决定哪些内部服务允许外部访问，哪些外部服务可 以访问内部。防火墙不但可以实现基于网络访问的安全控制，还可对网络上流动 的信息内容本身进行安全处理，对通过网络的数据进行分析，处理，限制，从而 有效的保护网络内部的数据。防火墙技术可以归纳为包过滤型和应用代理型。 防火墙作为一种早期的网络安全产品，已被业内普遍接受。几乎任何一个大 中型网络在建网时都会主动考虑采用防火墙来保护网内安全。国内自主产权防火 墙已初具产业规模。 系统安全设备大致分为安全服务器、安全加密套件、金融加密机卡、安全 中间件、公开密钥基础设旋( p k i ) 系统、授权证书( c a ) 系统等。 1 。4 本章总结 本章主要介绍了我国网络安全的现状、网络信息安全技术的重要性和必要 性，介绍和分析了网络安全的概念和网络安全的目标、信息保障体系的概念，以 及信息安全产品的分类等等。 南京邮电大学颤l 研究生学位论文 第一章火上幽救术 第二章防火墙技术 2 1 防火墙技术的概念 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安 全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 i n t e r n e t 网络为最多。防火墙1 4 l 是指设置在不同网络( 如可信任的企业内部网和 不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络 安全域之间信息的唯一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实 现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监 控了内部网和i n t e r n e t 之间的任何活动，保证了内部网络的安全。从本质上来说， 防火墙是一种访问控制技术。 防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙 的最主要功能就是屏蔽或者允许指定的数据通讯，而该功能的实现又主要是依靠 一套访问控制策略，由访问控制策略来决定通讯的合法性。目前主要的防火墙可 以分为三类，它们分别是包过滤防火墙、基于状态的包过滤防火墙和应用代理f 网 关) 防火墙。 2 2 防火墙的设计目标 防火墙的设计目标自二种，完整性、可控性和安全性。完整性是指网络系统 中的所有内部到外部，外部到内部的流量都必须通过防火墙。 可控性是指只有本地安全策略定义的“授权流量”被允许通过防火墙，通过 强制执行各类安全策略实施这种控制。 安全性是指防火墙本身具有抵御渗入和攻击的能力，其本身应该构成一个先 全可信的系统。 南京邮电大学硕七研究生学位论文第二二章防火端 土术 从控制技术来说，防火墙涉及四种控制技术，包括服务控制、方向控制、用 户控制和行为控制，这四种控制技术中主要注重服务控制。 ( 1 ) 服务控制是指控制“进网络”和“出网络”可以被访问的因特网服务类 型，例如基于i p 地址和t c p 端口号过滤分组，通过服务中介( 代理) 控制w e b f t p 等服务。 ( 2 ) 方向控制是指控制某些特定服务请求的发起方向，例如只能由网络内部 文件服务器向外部传递文件，不支持匿名用户访问f t p 服务器。 ( 3 ) 用户控制是指根据用户标识，控制用户可以访问的服务，这主要是用于 控制网络内部用户访问公共网资源，也可以用于外部授权用户访问内部网络资 源，例如大型网站的授权用户( 需要采用k e r b e r o s 这类授权机制) 。 ( 4 ) 行为控制是控制如何使用某些特定网络服务，例如可以过滤电子邮件， 剔除垃圾邮件，只允许外部访问本地网站的部分信息，等等。 2 3 防火墙的分类 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来 讲可分为三大类；分组过滤、应用代理和复合型。 分组过滤( p a c k e tf i l t e r i n g ) ：作用在网络层和传输层，它根据分组包头源地 址、目的地址、端口号和协议类型等标志确定是否允许数据包通过。只有满足过 滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢 弃。分组过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络 层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只有网络层 年l l 传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器c h 过 滤舰! l l | j 的数 是有限制的，n 随着规则数日的增加，性能会受到很大地影响； 】：缺少i 卜- 文关联信息，4 ：能有效地过滤如u d p 、r p c 一类的协议；另外，j ： 多数过滤器【 1 缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人 员索质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用 有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系 统。 应用代理( a p p l i c a t i o np r o x y ) ：也叫应用网关( a p p l i c a t i o ng a t e w a y ) 它作 南京邮电大学硕士研究生学位论文 第二章防火墙技术 用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专 门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由 专用工作站实现。 复合型防火墙：由于对更高安全性的要求，常把基于包过滤的方法与基于应 用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案， 屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构。 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与i n t e m e t 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤 规则的设置，使堡垒机成为i n t e m e t 上其它节点所能到达的唯一节点，这确保了 内部网络不受未授权外部用户的攻击。 屏蔽予网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个 分组过滤路由器放在这一子网的两端，使这一子网与i n t e m e t 及内部网络分离。 在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火 墙的安全基础。 2 4 集中式防火墙 传统边界防火墙建立在受限拓扑和受控人口点的概念之上，准确地说，它们 建立在这样的假定之上，每个入口点即防火墙内部的人是可信的，每个外部的人 至少是潜在的敌人【5 】。 防火墙是一种访问控制技术。将传统的信息访问控制方法应用于网络系统， 则可以分成基于主机的访问控制和基于网络的访问控制。基于主机的访阅控制是 计算机系统访问控制的延伸，对主机资源( 包括数据、外设) 访问控制。主要应用 于网络服务器系统对其资源的访问控制。采用的方法是在用户身份验证的基础 上，对该用户所属的进程可以访问的主机资源加以限定，这是应用层的访问控制 方法。 基于网络的访问控制，控制对网络系统的访问，包括对各个层次报文的过滤 和阻隔，采用的方法；根据报头的控制字段取值进行报文过滤和阻隔，例如根据 源i p 地址查封来自特定网络的分组，根据端口号过滤具体网络应用报文，根据 邮件标题，过滤已知的垃圾邮件：也可以根据已知的网络病毒的报文特征，过滤 南京邮电大学硕士研究生学位论文 第二章防火墙技术 网络病毒，例如蠕虫病毒和邮件病毒。 安全引用监控者( s e c u r i t yr e f e r e n c em o n i t o r ，s r m ) 是主体访问客体过程中 安全控制的抽象的概念模型，最初由p j a n d e r s o n 在1 9 7 2 年提出吼 s r m 功能示意图见图2 1 。s r m 本身是一个黑箱，它利用外部授权数据库， 控制主体对客体的访问。 图2 1s r m 功能示意图 增加了身份验证和安全审计的扩展引用监控者模型见图2 2 。 2 5 分布式防火墙 图2 2 扩展引用监控者模型 首先让我们看看分布式的概念。分布式系统1 7 】是指由自主计算机的集合，通 过网络和分御中间件连接起来，使得计算机之间可以协调活动，共享系统的资源， 以至于用户可以认为系统只是一个单独的集成的计算实体。分布式概念应用的非 常广，包括分布式计算、分布式存储、分布式保护、分布式数据处理和分布式通 信。基本上分为两个大类：分布式包括数据分布和操作分布。数据分布是指数据 可以分散在网络的不同主机上，操作分布是指把一个计算分散在不同主机上处 理。 根据s t e v e n 的说法p 】，分布式防火墙是由一个中心来制定策略，并将策略分 南京邮电大学硕士研究生学位论文第二章防火墙技术 发到主机上执行。它使用一种策略语言( 如k e y n o t e ) 来制定策略，并将它编译 成内部形式存于策略数据库中，系统管理软件将策略分发到被保护的主机上，而 主机根据这些安全策略和加密的证书来决定是接受或丢弃包，从而对主机实施保 护。 传统防火墙通常在网络边界站岗，又名边界防火墙。如果说它对来自外部网 的攻击算得上是个称职的卫士，那么对于8 0 的来自内部网的攻击它就显得心有 余而力不足。为此诞生了一种新兴的防火墙一分布式防火墙，它的专长在于堵住 内部网漏洞。 分布式防火墙与非分布式防火墙的界限有三点。第一点，安全策略由管理员 统一制定。第二点，策略必须被推到网络的边缘即主机上实施。最后一点，日志 必须统一搜集，集中管理。 一个典型的d f w 的体系结构如图2 t 3 所示。 图2 3 典型df w 的体系结构 在d f w 中主机与策略服务器间的通信可以采用强认证方法，将认证协议如 k e r b e r o s 、x 5 0 9 等运用到本系统。 国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外 部入侵事件，充其量占到所有安全事件的2 0 3 0 ，而7 0 一8 0 的安全事件来 自于内部。从不同渠道来的统计数据略有差别，但就国内的情况来说，内部人员 犯罪( 或于内部人员有关的犯罪) 一般占到了计算机犯罪总量的7 0 以上。只要 略微统计一下本年度媒体批露的几次计算机犯罪事件，就不难发现这个趋势。 边界防火墙有固有欠缺1 8 ，主要有八点： 1 结构上受限制 边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业 利用互联网构架自己的跨地区网络，例如家庭移动办公和服务器托管越来越普 南京邮电大学硕士研究生学位论文 第二章防火墙技术 遍，所以，内部企业网已经变成一个逻辑上的概念；另一方面，电子商务的应用 要求商务伙伴之间在一定权限下可以进入到彼此的内部网络，所以，企业网物理 边界日趋模糊，边界防火墙的应用受到了愈来愈多的结构性限制。 2 防外不防内，内部不够安全 边界防火墙设置安全策略的一个基本假设是：网络的一边即外部的所有人是 不可信任的，另一边即内部的所有人是可信任的。但在实际环境中，8 0 的攻击 和越权访问来自予内部，因此，边界防火墙在对付网络安全的主要威胁时束手无 策。 3 瓶颈问题，效率不高、故障点多 边界防火墙把检查机制集中在网络边界的单点，造成了网络访问的瓶颈问 题，这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而把 安全机制放在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理 能力，甚至采用防火墙群集技术来解决固有的结构性问题；另外，安全策略的复 杂性也使效率问题雪上加霜。对边界防火墙来说，针对不同的应用和多样的系统 要求，不得不经常在效率和冲突之间权衡利害取折衷方案，从而产生了许多策略 性的安全隐患；最后，边界防火墙本身也存在着单点故障危险，一旦出现问题或 被攻克，整个内部网络将会完全暴露在外部攻击者面前。 4 未授权访问问题。多样化的联接方法诸如隧道、无线连接和拨号访问等 可使个人很容易建立一个绕过防火墙的连接，给网络留下一个后门，造成网络安 全隐患。 5 网络新业务受到限制。外联网、移动用户和通过网络在家办公 ( t e l e c o m m u t i n g ) 等新业务新需求的出现使得内网的概念难以维持。 6 端到端的加密对防火墙造成威胁。传统的网络协议没有使用加密，因而 防火墙能对数据流实施过滤。当加密技术和新一代网络协议被使用的时候，防火 墙因为没有密钥而不能理解流过的数据包的内容，从而不能实施检查。 7 安全模式单一。传统防火墙的安全策略是针对全网制定的，全网中的所 有主机遵从单一的安全模式，网络中的主机和服务器在安全性上不具针对性和个 性特点。 从狭义来讲，分布式防火墙产品是指那些驻留在网络主机中，如服务器或桌 南京邮电大学硕士研究生学位论文 第二章防火墙技术 面机，并对主机系统自身提供安全防护的软件产品；从广义来讲，分布式防火墙 是一种新的防火墙体系结构。它们应该包含如下产品： 1 网络防火墙 用于内部网与外部网之间( 即传统的边界防火墙) 和内部网子网之间的防护 产品，后者区别于前者的一个特征是需支持内部网可能有的i p 和非i p 协议。 2 主机防火墙 对于网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网 中，也可能在内部网外，如托管服务器或移动办公的便携机。 3 中心管理机制 边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说， 每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何 需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志 的汇总都是中心管理机制应具备的功能。中心管理是分布式防火墙系统的核心和 重要特征之一。关于分布式防火墙的原理和实现，请参考论文【“。 2 6 本章总结 本章首先描述和分析了防火墙技术的概念，它的设计目标，以及涉及到的控 制服务，介绍了防火墙的三种类型。然后分别分析了集中式防火墙和分布式防火 墙、以及集中式防火墙的缺陷和分布式防火墙对于集中式防火墙的优势，最后从 产品角度描述了分布式防火墙所包含的产品。 南京邮电大学硕士研究生学位论文第三章入侵监测系统 3 1 什么是入侵 第三章入侵检测系统 首先，必须了解什么是入侵和攻击，知己知彼，方能百战百胜，在面对黑客 攻击的时候，只有了解攻击的方法、原理、过程，才能抓住对方的弱点，才能取 得胜利，从而有效的防止入侵攻击行为的发生，因此对于入侵和攻击的了解还是 很必要的。 那么到底什么是入侵? “入侵行为”主要是指所有试图对系统资源进行非授 权使用，可以造成系统数据的丢失和破坏、系统拒绝服务等危害。黑客对网络的 攻击方式是多种多样的，一般来讲，攻击总是利用“软件实现的缺陷”，“系统配 置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。已经 发现的攻击方式超过2 0 0 0 种，其中对绝大部分黑客攻击手段已经有相应的解决 方法，这些攻击大概可以划分为以下六类： 1 拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象( 通常是 工作站或重要服务器) 的系统关键资源过载，从而使被攻击对象停止部分或全部 服务。拒绝服务攻击的过程是，首先攻击者向服务器发送众多的带有虚假地址的 请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一 直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待 一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这 种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。目前已知的拒绝服 务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一， 典型示例有s y nf l o o d 攻击、p i n gf l o o d 攻击、l a n d 攻击、w i n n u k e 攻击、t e a r d r o p 攻击等。第一种的原理是利用协议的漏洞，后面几种是利用软件实现的缺陷。通 常是软件开发过程中对某种特定类型的报文或请求没有处理，导致软件遇到这种 类型的报文运行出现异常，使软件崩溃甚至系统崩溃。 2 非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包 括为获得被保护访问权限所做的尝试。 南京邮电大学硕士研究生学位论文第三章入侵监劂系统 3 预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部 的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括s a t a n 扫描、 端口扫描和i p 半途扫描等。 4 可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网 络上不希望有的活动，如i pu n k n o w np r o t o c o l 和d u p l i c a t ei p a d d r e s s 事件等。 5 协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管 理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的 活动，如f t uu s e r 和p o r t m a p p e rp r o x y 等解码方式。 6 系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络， 通过r e a ls e c u r e 系统代理可以对它们进行监视。 下面将针对几种典型的入侵攻击进行分析，并给出相应的对策。 1 l a n d 攻击 攻击类型：l a n d 攻击是一种拒绝服务攻击。 攻击特征：用于l a n d 攻击的数据包中的源地址和目标地址是相同的，因为 当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地 址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而 有可能造成系统崩溃或死机等现象。 检测方法：判断网络数据包的源地址和目标地址是否相同。 反攻击方法：入侵检测系统检测到该种攻击，适当配置防火墙设备或过滤路 由器的过滤规则就可以防止这种攻击行为( 一般是丢弃该数据包) ，并对这种攻 击进行审计( 记录事件发生的时间，源主机和目标主机的m a c 地址和i p 地址) 。 2 t c ps y n 攻击 攻击类型：t c ps y n 攻击是一种拒绝服务攻击。 攻击特征：它是利用t c p 客户机与服务器之间三次握手过程的缺陷来进行 的。攻击者通过伪造源i p 地址向被攻击者发送大量的s y n 数据包，当被攻击主 机接收到大量的s y n 数据包时，需要使用大量的缓存来处理这些连接，并将s y n a c k 数据包发送回错误的i p 地址，并一直等待a c k 数据包的回应，最终导致 缓存用完，不能再处理其它合法的s y n 连接。即不能对外提供正常服务。 检测方法：检查单位时间内收到的s y n 连接否收超过系统设定的值。 南京邮电大学硕士研究生学位论文第三章入侵监测系统 反攻击方法：入侵检测系统检测到接收了大量的s y n 数据包时，通知防火 墙阻断连接请求或丢弃这些数据包，并进行系统审计。 3 w i n n u k e 攻击 攻击类型：w i n n u k c 攻击是一种拒绝服务攻击。 攻击特征：w i n n u k e 攻击又称带外传输攻击，它的特征是攻击目标端口，被 攻击的目标端口通常是1 3 9 、1 3 8 、1 3 7 、1 1 3 、5 3 ，而且u r g 位设为“1 ”，即紧 急模式。 检测方法：判断数据包目标端口是否为1 3 9 、1 3 8 、1 3 7 等，并判断u r g 位 是否为“1 ”。 反攻击方法：入侵检测系统检测到该种攻击，适当配置防火墙设各或过滤路 由器就可以防止这种攻击手段( 丢弃该数据包) ，并对这种攻击进行审计( 记录 事件发生的时间，源主机和目标主机的m a c 地址和i p 地址m a c ) 。 4 t c p u d p 端口扫描 攻击类型：t c p u d p 端口扫描是一种预探测攻击。 攻击特征：对被攻击主机的不同端口发送t c p 或u d p 连接请求，探测被攻 击对象运行的服务类型。 检测方法：统计外界对系统端口的连接请求，特别是对2 1 、2 3 、2 5 、5 3 、 8 0 、8 0 0 0 、8 0 8 0 等以外的非常用端口的连接请求。 反攻击方法：入侵检测系统检测到多个t c p u d p 数据包对异常端口的连接 请求时，通知防火墙阻断连接请求，并对攻击者的l p 地址和m a c 地址进行审 计。 对于某些较复杂的入侵攻击行为( 如分布式攻击、组合攻击) 不但需要采用 模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。 3 2c i d f 系统模型 随着技术的高速发展，入侵行为的规模越来越呈现扩大化的趋势。很多的攻 击能够在一个很大的广域网上、在很长的时间段里操纵发生，比如d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ，分布式拒绝服务) 。这样，入侵检测系统及其组 件共享这些攻击信息的能力就非常重要了。这样的共享能使得一些侦查到入侵迹 南京邮电大学硕士研究生学位论文 第三章入侵监测系统 象的系统警告别的系统可能的正在迫近的攻击。为了达到这样的目的，i d s ( i n t r u s i o n d e t e c t i o ns y s t e m ，入侵检测系统) 有必要用一种定义良好的接口共享 信息。 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化 工作，目前对i d s 进行标准化工作的有两个组织：1 e t f 的i n t r u s i o nd e t e c t i o n w o r k i n gg r o u p ( i d w g ) 和c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 。c i d f t w 早期由美国国防部高级研究计划局赞助研究，现在由c i d f 工作组负责，是一个 开放组织。c i d f 所做的工作主要包括四部分：i d s 的体系结构、通信机制、描 述语言和应用编程接口a p i 。c i d f 力图在某种程度上将入侵检测标准化，开发 一