（通信与信息系统专业论文）内部网络服务审计系统的分析与设计.pdf

重庆人学硕士学位论文中文摘要 摘要 当前网络正以惊人的速度向世界各个角落蔓延，人们的工作、学习、生活越来 越依赖于网络。各企业、公司、学校也纷纷建立起属于自己的局域网。在网络方 便大家的生活，提高人们生活质量的同时，病毒、非法访问、垃圾邮件、网络阻 塞却给人们带来了巨大的损失，网络隐患暗藏杀机。许多公司、企事业单位内部 员工私自开设网络游戏或文件传输服务器，架设网站更是加剧了这种情形。这些 网络非允许开设的服务不仅会带来潜在的诸如泄密、病毒传播等安全隐患，而且 会占用大量的带宽，严重影响网络正常业务的运行。内部网络服务审计系统课题 正是为解决上述问题提出的。 内部网络服务审计系统把服务审计提升到一个战略的地位，同时把网络带宽滥 用纳入研究的范围，是一个新的课题。该课题不同于传统安全审计系统被动防御 方式，系统按照用户配置信息，积极查找并定位内部网络非法服务，解除内网安 全隐患和网络畅通障碍，同时提供告警和日志信息，属于安全审计系统中主动防 御方式的范畴。内部网络服务审计和漏洞扫描同属于主动防御的范畴，但后者偏 重漏洞扫描，前者偏重服务审计。内部网络服务审计系统借鉴了漏洞扫描系统中 漏洞特征查找方法和漏洞库存储结构特征，以及网络技术中已经比较成熟的多线 程并发技术，端口扫描技术和网络嗅探技术；在功能模块和结构设计时，参考了 安全审计系统的设计；在用户操作界面上，充分吸收了诺顿反病毒软件客户端以 及其他扫描器配置简易方便的优点。 内部网络服务审计系统的设计采用面向对象设计技术，先分析了用户需求，提 出系统模型，然后设计了系统整体框架并设计了主要功能模块。在系统的分析设 计中，对一些关键技术和方法进行了论证。在系统初步完成后，进行了功能和性 能测试，测试结果表明内部网络服务审计系统基本满足用户需求，能有效地监控 内部网络服务运行情况，发现和定位非法丌设的网络服务，减少了内网安全隐患， 保证有限带宽合理利用，有效地净化了内部网络环境。 关键词：网络服务，安全审计，特征码，安全隐患 重庆大学硕+ 学位论文 英文摘要 a b s t r a c t l i lm o d e ml i f e ，n e t 、v o r ko v e r w h e l m st h ew o r l d w i d e 嬲f 打弱i tc a j l m o r ep e o p l e c 柚n o tw o r kw i t h o u tn e t ，a l s ol i v ea i l ds t u d y a st h eo r g a n i z a t i o no fe n t e 印n s ea n dt h e o 衔c eo fsc ：h o o lb u i l dm e i ro 、) l ，ni n n e rn e 俩o r ko n ea r e ra n o m e rt ol i v ea n dw o r k e m c i e n t l y a l lk i n d so fp r o b l e mc o m ea l o n gw i mi t ，s u c ha u sv i m s ，i l l e g a la c c e s sa i l d r u b b i s hm a i le t c t h es i t u a t i o ne v e nm a k ew o r s ew h e ni 皿e re m p l o y e ee s t a b l i s hg 锄e a n d 行1 et r a n s f 打s e a n ds o m eb u i l dp r i v a t ew e bs i t e 7 1 1 l e s ei l l e g a l i n 仃a n e ts e r v i c e s n o to n l yb d n ga b o u ts e c u r i t ym r e a d ，f o re x 锄p l e ，s e c r e tb e t r a y e d ，v i m ss p r e a de t c ，b u t a l s od i s t u r bn o n n a ln e 似o r ks e i c ef o re n 铲o s s i n gt h eb a l l d w i d t h i n t r a n e ts e i c ea u d i t s y s t e mi sd e s i 盟e dt or e s 0 1 v et h i sp r o b l 锄 i n t r a n e ts e i c ea u d i ts y s t e n li san e wt h e s i sw 1 1 i c hu p g r a d e ss 仃a t e 西c a l l ys e r v i c e a u d i tt oah i 曲e rp o s i t i o na n dp u t st h ea b u s eo fb a n d w i d mi m or e s e r c h t h i sm e s i s b e l o n g st ot h em 锄eo fa c t i v ed e f e n s e i i lt h i st h e s i s ，u s e rc o n f i g u r t e sp a r 锄e t o r1 e i r s t l y ， t h e i lt h es y s t e r i la c t i v e l yf i n d sa i l dl o c a t e sm e i 1 1 e g a ls e i c e s ，t 1 1 ea l a mi n f o m a t i o na n d a u d i ti n f o m a t i o nw i l lb ep r o v i d e di nl o g s t l l i ss u b j e c ti st h es 锄em e n l eo fa c t i v e d e f e n s ea s 1 n e r a b i l i t i e ss c a r m e r ，b u tf o 姗e rp u t s 锄p h a s i z eo ns e r v i c ea u d i t ，t h el a t t e r l a y si m p o r t a n c eo n l n e r a b i l i t i e ss c a n t h o u 曲t h e ya r ed i f f e r e n t ，i n t r a n e ts e i c ea u d i t s y s t e mm a l ( e s 向l lu s eo fm em e m o di ns i 朗一c o d ee x p l o r a t i o n 锄dt h es t n i c t u 】r es t y l eo f s i g n - c o d ew a r e h o u s e t h ef o m e ra l s oa b s o r b so m e rn e t w o r kt e c l u l o l o g yw 1 1 i c hi s h i 曲l yr e s e a r c h e db e f o r e ， l i k em u l t i t i l r e a dt e c l l l l 0 1 0 9 y ， p o r ts c a nt e c h n o l o g ya n d d e t e c t i v et e c h u l o l o g y t h ef u n c t i o n a lm o d u l ea n ds y s t e m 丘锄eo fs e c u i i i t ya u d i ts ) r s t e m i sa l s oa sr e 衙e n c ew h e l ld e s i 印e d t l l es i m p l ea n dc o n v e i l i e n tc o n f i g u r a t i o no f s y i l l a n t e ca n t i v i l l l sc l i e n ta i l do t h e rn e ts c a n n e ri sa 1 1 0 m e rp o i n tw h i c hi su s e df o r r e f e r e n c ei nt l l eu s e ri n t e r l a c ed e s i g n i i l t r a n e ts e r v i c ea u d i ts y s t e n la d o p t st h et e c l u l o l o g yo fo b je c t - o r i e n t e dd e s i g n f i r s t l yi ta n a l y s e sm en e e do fu s t h e nb u i l d st h em o d e l 锄ds t n l c t u r e ，a j l dp u t si ti n t o r e a l i z a t i o n a r e rj f i n i s h e st h ej o b ，t e s ti sc a r r i e do u t t e s tr e s u l ti n d i c a t e st h i ss y s t e mc a l l w o r l ( 订g h t l yt os u p e r v i s ei n t r a n e ts e r v i c e ，i n c l u d e 丘n d i n ga n dl o c a t i n gi l l e g a lo n e f o r m a n yv u l n e r a b i l i t i e sb e i n gh i d d e i li nt h ei l l e g a l i n t r a n e ts e r v i c e ，i i l 仃a n e ts e i c ea u d i t s y s t 锄c a i ld i m i n i s h 衄e a tc o m i n g 丘o mt h ei i l i l e rn e 觚o r k ，a l s oi t c a np r e v e n tm e i i 重庆大学硕士学位论文 英文摘要 l i m i t e db a n d w i d t hb e i n gu s e db yg 锄ep l a y e r s t h e r e f o r e ，t h i st o o lc a i lk e 印t h e n 神w o r kw o r k i n gi nn o n n a l k e y w o r d ：n e m o r ks e r v i c e ，s e c u t ya u d i t ，s i g nc o d e ，s e c u r i t y l n e r a b i l i t i e s 学位论文独创性声明 本人声明所呈交的 配 士 学位 论 文 ! 壁l ：旦堡这丛i 葺刍：匠5 1 笠茎馑i 玺辽是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人己经发表或撰写过的研究成果。与我一同工作的同志对本研究 所做的任何贡献均己在论文中作了明确的说明并表示了谢意。 学位论文作者签名： 导师签名： 吲易 签字日期：? 。7 占j 签字日期： 抄c | f 学位论文使用授权书 本人完全了解重庆大学有关保留、使用学位论文的规定。本人完全同意中 国博士学位论文全文数据库、中国优秀硕士学位论文全文数据库出版章程( 噬 诛 下简称“章程，) ，愿意将本人的丕蠹士学位论文酩 固堡l 翌塞童事碴妒s 参妒犁列j 交中国学术期刊( 光盘版) 电子杂志社( c n ) 在中国博士学位论文全文数据 库、中国优秀硕士学位论文全文数据库以及重庆大学博硕学位论文全文数 据库中全文发表。中国博士学位论文全文数据库、中国优秀硕士学位论文 全文数据库可以以电子、网络及其他数字媒体形式公开出版，并同意编入c n l ( i 中国知识资源总库，在中国博硕士学位论文评价数据库中使用和在互联 网上传播，同意按“章程”规定享受相关权益和承担相应义务。本人授权重庆大学 可以采用影印、缩印或其他复制手段保存论文，可以公开论文的全部或部分内容。 作者签名： 型! 蔓 导师签名： 加7 年石月j 日 备注。审核通过的涉密论文不得签署“授权书 ，须填写以下内容： 该论文属于涉密论文，其密级是，涉密期限至年一月一日。 说明：本声明及授权书! 逝装订在提交的学位论文最后一页。 重庆人学硕士学位论文1 绪论 1 绪论 1 1 论文选题的背景 伴随着计算机和网络技术的飞速发展，人们的工作效率和生活质量都有显著 的提高。各企事业单位，政府部门，学校都纷纷建立自己的网络，网络方便了大 家工作，学习，生活，但同时病毒，非法访问，拒绝服务攻击，垃圾邮件等却给 社会带来了巨大的经济损失，据l l n e t 报道，由市场机构i n f o n e t i c s 提供的一份最 新市场调查报告显示，仅黑客攻击平均每年为美国大型机构带来的经济损失高达 3 0 0 0 万美元，约占其总营业收入的2 2 【l j 。 2 0 0 2 至2 0 0 6 年c s i f b l 年度安全调查报割2 】【3 】【4 】【5 】【6 1 都详细说明了来自内网的 安全威胁极大，中软信息安全实验室技术总监黄敏在“内网安全的发展趋势”【j 7 】一文 中写到，c s i f b i 在1 9 9 9 至2 0 0 3 连续五年的计算机犯罪与安全调查报告中指 出，在各种信息安全威胁所造成的损失中，企业和政府机构重要信息被窃所造成 的损失排在第一位，超过病毒感染和黑客攻击所造成的损失，且最主要的信息安全 事件为内部人员和内外勾结所为。中国国家信息安全测评认证中心的调查结果也 表明，信息安全问题主要来自泄密和内部人员犯罪及其他恶意不良操作，而不是 病毒和外来黑客引起。 重庆城市管理职业学院建有校园网，内网中存在少部分人员滥用网络资源，使 用b t 等p 2 p 工具下载、私自开设网络游戏或聊天服务器、私自架设b b s 站等违 规行为，占据了有限的带宽资源，严重影响了正常学校业务工作的开展，带来潜 在的诸如泄密、病毒传播等安全隐患。而信息中心现有的监控手段不能及时发现， 导致学校日常教学工作经常受到影响和干扰。为了扭转此不利局面，变被动为主 动，按照学院领导有关要求，经过调研，初步确定开发学校内部计算机网络服务 审计系统。 内部网络服务审计系统将从整体到各个细节对系统进行详细的论证和设计， 研制和开发一个“内部计算机网络服务审计系统”的软件工具，利用该软件工具可以 对内部网络所有在线主机所提供的网络服务进行实时监测，发现并定位未经许可 开设的非法网络服务主机，以方便网络安全管理，净化内部网络空间，保障和提 高学校的正常运行效率。 1 2 内部网络服务审计系统的现状 通过调研，目前国内外尚无公开报道或宣传过与内部网络服务审计系统功能完 全相同的产品。只有部分功能类似的产品，如“漏洞扫描系统”，但其只针对系统漏 重庆人学硕十学位论文1 绪论 洞进行扫描( 8 】【9 】，缺乏对网络服务的合法性进行审计，不能满足需求。 l 、网络安全漏洞扫描系统 网络漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序，根据检测 对象的不同可分为网络扫描、操作系统扫描、w w w 服务扫描、数据库扫描以及 无线网络扫描【1 0 】。与防火墙技术被动防御相比，漏洞扫描技术属于主动防御，它 区别于防火墙和i d s 【l l 】，从另一个角度解决了网络安全上的根本问题。 本课题与此系统相比，有部分相似功能，如部分常见网络服务识别，而且设计 的许多技术和漏洞扫描系统技术相似，如安全扫描技术，特征库扩展，多线程并 发技术，特征码技术，但本课题的偏重不同，漏洞扫描系统偏重于漏洞查找，本 课题偏重常见服务审计，针对非法内网服务，把服务识别这个概念提高到一个战 略的地位上，是一个新的课题。 2 、s u p e r s c a l l 、x s c a n x s c a i l 由国内著名的民间入侵者组织“安全焦点”( h 郇：、 n ，、 ，x f o c u s n e t ) 完成的 一款扫描器【1 2 】，它能够对一个i p 地址段或单机进行安全漏洞检测，支持插件技术， 并把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级”评估， 并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞。与漏洞扫描系统有 些相似。 s u p e r s c a i l 是一个快速端口扫描工具，支持不定限i p 地址扫描，t c ps y n 端 口扫描方法，快速主机解析等功能【1 3 】，但未能定位到服务，没有审计功能。 1 3 论文组织结构 通过上述分析，可知此课题研究具有重要的应用价值，论文将详细阐述该课题 的研究的关键技术和研究方法。 论文以内部网络服务审计为研究对象，采用面向对象技术，按照系统分析，设 计，实现，测试，应用的步骤组织全文，组织结构如下： 第一章：序论。介绍了网络内部安全隐患和传统网络安全服务的缺点，以 及论文选题背景，主要工作和论文结构。 第二章：内部网络服务审计系统概述。简单介绍了内部网络服务审计系统 涉及相关知识内部网络服务和安全隐患，安全审计的系统结构和系统功 能。结合上述介绍概述了内部网络系统，对用户需求进行了分析。 第三章：内部网络服务审计系统总体设计。运用软件工程的方法，从整体 到模块，设计了系统的总体结构和核心模块，然后按系统实时性、有效性、 一致性和安全性的顺序设计了系统机制和系统自身安全。 第四章：内部网络服务审计系统关键模块设计。按照系统运行流程详细设 2 重庆大学硕+ 学位论文l 绪论 计系统中的关键模块：特征库、系统参数配置模块、数据采集模块、数据 分析模块、审计结果处理模块。 第五章：内部网络服务审计系统测试及应用。在学校内部局域网的环境下， 进行功能和性能测试，并分析测试结果，最后介绍了系统实际应用情况。 第六章：总结与展望。本章对全文的工作进行了总结，简单说明了系统的 优点，明确了工作的不足以及以后需要进一步完成的工作。 重庆人学硕士学位论文2 内部网络服务审计系统概述 2 内部网络服务审计系统概述 2 1 相关内部网络服务概述 实质上，内部网络服务审计系统的研究是对内部网络服务工作原理的研究。了 解相关内部网络服务是课题研究的前提。 服务器，一般而言，是一个计算机程序，它向同一台计算机或其他计算机中的 程序提供服务。客户端是计算机中的某个应用程序，可以充当客户，请求其他程 序为它提供服务。网络服务是在网络的环境下，服务器等待和履行来自客户端的 请求【1 4 1 。 在计算机网络中，服务定义为某一层向它的上一层提供的一组原语，定义了该 层打算代表其用户执行那些操作，与之密切相关的协议定义了一组规则，这些规 则用来规定同一层上的对等实体之间所交换的消息或者分组的格式和含义【l5 1 。所 以网络服务定义了服务器提供的服务，同时网络协议定义了服务器和客户端提供 服务的具体实现，两者是完成服务器和客户端工作必不可少的两部分。以下介绍 几种涉及课题的主要网络服务。 2 1 1w e b 服务 最早由t i mb e n l e r s l e e 于1 9 8 9 年提议的w b 订dw i d ew 曲( 简称w e b ) 【1 6 】是通过 互联网来实现信息访问的一种信息世界。 超文本传输协议是一种作为w 曲基础应运而生的“请求响应”协议，它是一种 无状态协议，可跨越不同的请求响应对操作，不对其请求状态进行维护。目前 h t t p 使用的标准是h t t p 1 1 ( r f c2 6 1 6 ) ，但从网络捕获的数据包分析来看，网络 上许多w 曲服务器仍然使用h t t p 1 o ( i 江c1 9 4 5 ) 。 h t t p 请求用于通知h t t p 服务器，针对由r e q u e s t u r i ( 在请求行所指定的u r i ) 所标识的资源，应采取什么操作，最通用的请求方法是g e t 方法。 h t t p 回应给出关于服务器或响应的附加信息。h t t p 1 1 共有4 1 个响应码【l7 1 ， 由于兼容的问题，h t t p 1 0 客户机和代理主机不能理解新类。h t t p 1 1 只是在 h t t p 1 o 和h t t p 0 9 的基础上，每个类添加了几个新的状态码，而没有添加新的 状态类。服务器对于某一个给定的状态，响应状态码通常也不一样，因为服务器 当前的情况及针对的策略可能不一样，但每种返回的响应代码都基本可以反映主 机w 曲服务的存活状况。协议h t t p 1 1 主要状态码及含义如表2 1 所示。 4 重庆大学硕士学位论文2 内部网络服务审计系统概述 表2 1h t t p 1 1 状态代码及意义 t a b l e2 1s t a t u sc o d ea n dm e a n i n go fh 1 v r p 1 1 2 1 2f t p 服务 f t p 服务是采用f t p 协议传输文件的服务。f t p 服务的突出优点是可在不同类 型的计算机之间传送文件。虽然，w 曲服务已经代替了该服务的大部分功能，但 该服务除了用于文件下载外，还可以用于文件上传，操作文件非常方便，这就是 它至今未被w 曲服务取代的原因引。 f t p 和其他客户一服务器应用程序的不同就是它在主机之间使用两条连接。一 条连接用于数据传送，而另一条则用于传送控制信息，命令和响应。把命令和数 据分开使得f t p 的工作效率更高。控制连接使用非常简单的通信规则，一次只传 输一行命令或响应，内部网络服务审计系统关注的就是这条命令连接线路。 创建控制连接是创建数据连接的先行条件，它一共需要两个步骤： 服务器在熟知的端口2 1 发出被动打开，等待客户。 如果是主动方式打开数据连接，客户打开自己的数据监听端口，然后使用 “p o i 盯”命令将监听端口发送给服务器端，服务器端向短暂端口发出主动连接请求。 如果是被动方式打开数据连接，客户端将自己的被动打开工作方式传送给服务器 端，服务器端打开自己的监听端口，然后用“p o r t ”命令把端口发送给客户端，由 客户端主动发送连接请求，常用命令如表2 2 。 重庆人学硕士学位论文2 内部网络服务审计系统概述 表2 2 常用的兀p 命令 1 r a b l e2 2c o m m o n l yu s e dc o m m a n d so ff t p 命令说明 f t p 应答都是a s c i i 码类型的3 位数字，并跟有报文选项。应答3 位码中每一 位数字都有不同的含义，表2 3 给出了应答代码第1 位和第2 位的含义。 表2 3f 1 阳应答码的含义 t a b l e2 3t l l em e a n i n go ff t pr e s p o n s ec o d e 应答 l y z 2 ) r z 3 y z 4 ) ，z 说明 5 y z x o z x l z x 2 z x 3 z x 5 z 肯定预备应答。它仅仅是在发送另一个命令前期待另一个应答时启动 肯定完成应答。一个新的命令可以发送 肯定中介应答。该命令已被接受，但另一个命令必须被发送 暂态否定完成应答。请求的动作没有发生，但差错状态是暂时的，所以命 令可以过后再发 永久否定完成庇答。命令不被接受，并且不再重试 语法错误 信息 连接。廊答指控制或数据连接 鉴别和记帐。应答用丁注册或记帐命令 文件系统状态 含有第3 位常用的应答码： 1 2 5 数据连接已经打开，传输开始。 2 0 0 就绪命令。 2 2 0 服务器为新用户准备就绪。 3 3 1 用户名就绪，要求输入口令。 4 2 5 不能打开数据连接。 5 0 0 语法错误( 未认可的命令) 。 6 重庆大学硕士学位论文2 内部网络服务审计系统概述 5 0 2 未实现的m o d e ( 方式命令) 类型。 2 1 3c s 网络游戏服务 c s 是在1 9 9 8 年后由一个名叫v a l u e 的游戏开发小组开发的，这款游戏因为其 设计极为出色的人物协调性很容易被初学者接受，但他们不容易完全控制游戏中 各种人物，其娱乐性和挑战性使得这款游戏在当今网络游戏中占有重要的地位。 目前c s 游戏服务器遍布世界各地，局域网的玩法更是迎合了众多游戏迷的娱乐心 柙【1 9 】【2 0 】 ，io c s 局域网游戏采用u d p 传送方式，玩家中需要有一台主机创建局域网服务器， 提供游戏服务，然后各个玩家连接到该服务器进行游戏，在游戏进行的同时，新 玩家仍然可以加入到已经开始的游戏中。 2 2 内部网络服务安全缺陷 网络服务一般都采用c s 工作模式，这种工作方式以及服务运行的环境和人为 原因，使得内部网络服务具有一定的安全缺陷。 内部网络服务安全缺陷涉及操作系统安全缺陷，网络协议安全缺陷，应用软件 安全缺陷以及用户使用造成安全缺附2 。 2 2 1 操作系统安全缺陷 操作系统是用户和硬件设备的中间层，实际上它也是一种软件，如果这些应用 程序有安全缺陷，那么就会使系统处于不安全的状态。 目前人们使用的操作系统主要有两大类：u n i x l i n u x 系列和、矾n d o w s 系列。 u n i x l i n u x 系列安全缺陷有： 远程过程调用( 在一台机器上执行另一台机器上的程序) ，而操作系统中许多 程序存在缓冲区溢出的缺陷，如印c y p p a s s w d d ，印c e s p d ，印c c m s d 。 s e n d m a i l 缺陷，s e n d m a i l 是u n i x 和l i n u x 操作系统中用得最多的接收和发 送电子邮件的程序。攻击者可以发送一封特别的邮件消息给运行s e i l d m a i l 的机器， 要求受劫的机器把它的口令文件发送给攻击者，这样口令就容易被破解。 w i n d o w s 系列操作系统安全缺陷有u n i c o d e ，i s a p i 缓冲区溢出，没有安装s p 2 补丁的i i s 服务器主机易受攻击。 2 2 2 网络协议安全缺陷 t c p i p 是目前i n t e m e t 使用的协议。它之所以有今天广泛的使用，是因为它在 设计原则上体现出很多优点，如可扩展性和尽力而为等原则。这些给使用t c p i p 的用户提供了非常方便的互连环境，但是，t c p i p 也存在着一系列的安全缺陷， 这些缺陷有： t c p 序列号的可预测性 7 重庆大学硕士学位论文2 内部网络服务审计系统概述 这种缺陷是网络安全领域最有名的缺陷之一，这种攻击的实质是在不能连接到 目的主机应答确认时，通过预测序列号来建立连接。这样，入侵者可以伪装成信 任主机与目的主机通话。 路由协议缺陷 源路由选项的使用，当预先知道某一主机有一个信任主机时，就可利用源路由 选项伪装成受信任主机，从而攻击系统。 伪造a l 冲包，这种缺陷可让攻击者伪造以目的i p 地址和以太网地址的a r p 包，这样造成i p 欺骗( i ps p o o f ) 。 r i p 的攻击就是利用路由信息协议将发往目的主机的数据包发往入侵者。 网络监听 网络数据包都是明文传输，容易在网络中遭窃听。 t c p 肘d p 应用层服务缺陷 f t p 的信息暴露，f t p 一般用户的口令与登陆口令相同，而且采用明文传输， 这样就增加了一个网点被攻击的危险。只要在局域网内或路由上进行监听，就可 以获取大量口令。这样一个网点很容易遭攻击。 一些网点上的匿名f t p 提供了另一攻击途径。尤其是可以上传的f t p 服务， 更为危险，攻击者常常会放置便于入侵者攻击的特洛伊木马。入侵者可以放置一 个已经改过的，带有恶意代码的软件，当另一个主机上的用户下载安装软件时，“后 门”可建立。允许匿名登陆还有一个缺点，即可能暴露帐号和口令信息。 2 2 3 应用软件实现缺陷 软件实现缺陷是由于程序员在编程的时候没有考虑周全造成的。主要有以下几 类缺陷： 输入确认错误，在输入错误的程序中，当用户输入的字符串没有经过适当的检 查，使得黑客可以通过输入一个特殊的字符串造成程序运行错误。这样的错误会 造成程序运行不正确，不稳定，异常终止等结果。但最危险的是入侵者利用这样 的程序进行一些非法操作，这样就造成缓冲区溢出漏洞。 特殊条件错误，程序在某些特殊条件或环境下出现问题。 设计错误，程序实现和配置并不存在问题，而错误就在程序的设计方案上， t c p i p 协议就存在这类缺陷。 竞争条件错误，它是程序的安全检查模块在一些非常特殊的情况下出现错误而 引起的。一个常见形式就是程序在一个可读写的目录下建立一个文件，但之前没 有检查该文件是否存在。 2 2 4 用户使用造成安全缺陷 系统和网络实际上都是用户或管理员来操作的。由于用户或管理员缺乏安全意 重庆人学硕十学位论文2 内部网络服务审计系统概述 识，在使用系统和网络的时候会无意中给攻击者提供入侵的机会。用户使用的缺 陷主要体现在以下几个方面。 密码易于被破解，大多数系统把口令作为第一层和唯一的防线。易猜的口令或 缺省口令是一个严重问题，但更严重的问题是有的帐号更本就没有口令。密码容 易被破解的原因有缺省密码，密码与个人信息有关，密码为词典中的词语，过短 密码，永久密码。 软件使用的错误，该错误除了用户使用软件组件没打补丁，一些脚本范例存在 漏洞外，还有软件使用错误，主要体现在： 大量打开端口，合法用户和攻击者都通过打开端口连接系统，端口打开越多， 进入系统的途径相对就多。 危险缺省脚本，w 曲服务器支持c g i ( c o m m o ng a t e w a yi n t e m c e ) 程序，许多服 务器都默认安装了简单的c g i 程序，此程序容易被利用，造成w 曲页面被修改， 信用卡帐号被窃取。 软件运行权限选择不当，很多攻击者利用一个软件漏洞就是为了获取该软件的 运行权限，如果该软件的运行权限为超级用户，攻击者可以获得对系统的全面控 制。 2 3 安全审计概述 扫除内部网络服务安全缺陷造成的安全隐患需要一个完整的安全系统，而且以 下三项技术缺一不可： 社会的法律政策。 技术方面的措施，如防火墙技术、信息加密。 安全审计与管理措施，包括技术措施和社会措施。 安全审计是发现和扫除网络服务安全缺陷的有效措施，对网络服务进行行为审 计是网络安全审计重要的一项。 安全审计主要是监控来自网络内部和外部的用户活动，发现系统或用户行为中 的入侵或异常现象，检查系统中现有和潜在的威胁，对安全活动信息进行识别、 记录、存储和分析。如何在大量的审计数据中提取出具有共性的系统特征模式， 并能够对程序或用户行为做全面、准确的描述是实现安全审计的关键。 2 3 1 安全审计系统组成 一个网络审计系统应包含以下两个部分吲： 审计采集器。 安装在特定系统上，收集相关日志信息，并将收集的日志信息传寄给相关的系 统，包括主机代理( 、i n d o w s 、u n i x “n u x 系列) 、网络数据采集器、数据库代理【2 4 】； 9 重庆人学硕十学位论文2 内部网络服务审计系统概述 审计管理系统。 收集网络中各种设备、系统信息，并进行集中统一的管理。它的主要功能有保 存、分析、统计同志信息，提供分析统计报表，实时监控网络中各种设备、系统 的运行状态，提供告警等响应，包括审计管理控制系统和同志数据分析系统。 2 3 2 安全审计系统功能 日志信息采集 1 ) 收集相关的审计数据，主要包括： 操作系统日志，包括u n i 】【l i 肌x 系统同志，w i n d o w s 系统的系统同志、应用 程序日志、安全事件同志； 2 ) 安全部件审计同志，主要有防火墙的日志和入侵检测系统的r 志。 3 ) 各种服务和应用系统日志，如i i s 服务器、a p a c h e 服务器等w 曲日志， 各种e m a i l 服务器日志，f t p 服务器同志，d n s 服务器日志等。 日志查询 系统可以支持以多种方式查询网络中的日志记录信息。 1 1 基本查询。根据用户、源、目的i p 地址和端口、协议、事件类型、危险级 别等字段简单查询日志数据。 2 1 相关查询。根据一条同志记录，查询和这条日志记录相关的其他同志记录。 网络对话的恢复 系统可以还原t c p 协议族中的h t t p 、f t p 、t e l n e t 、s m t p 、基本服务会 话过程，并直观地显示给管理员。 生成安全报告 安全管理员可以根据其特殊的需要来组织和查看审计记录。提供可定制的过滤 对话框，简化和分析审计线索。 实时报警 系统的实时报警功能可以实时显示应该受到注意的安全事件，使管理员可以尽 快地做出反应，从而使威胁整个网络的潜在破坏最小化。 2 4 内部网络服务审计系统 2 4 1 内部网络服务审计系统概述 内部网络服务审计系统的目标是从安全策略和安全技术上找出网络中的安全 隐患。强调对“人”的违规操作的管理，以能够造成重大安全隐患和内网畅通障碍的 不良网络服务为审计对象，着力查找和辨别网络中j 下在运行的网络服务，把违规 的网络服务作为审计的重点，这样可以从一个较为广泛的范畴发现安全隐患，另 外，有些服务器提供的网络服务占用大量的网络流量，即使内网带宽足够大，传 l o 重庆大学硕士学位论文2 内部网络服务审计系统概述 输较快的情况下也经常影响正常业务的运作，如常见的网络游戏c s ，魔兽等，本 课题把这些违规的网络服务也作为审计对象可以净化内部网络。 内部网络服务审计系统，从宏观上可查找并定位非法服务，如果把这个非法服 务称作一个“点”，而这个非法服务所带来的安全隐患等其他负面影响称作一个 “面”，那么在解决网络安全隐患等问题上，此系统可以查到问题的源头，拔掉这些 源头就可以起到“以点盖面”的效果，并且此系统只是一套软件，可以安装在一台普 通的p c 机上，使用简单，对系统资源占用不大，可节约大量的物力和财力，提高 了安全的“效率”。 此系统依据初始设置的主机地址，定位至该主机，然后对主机的服务进行审计， 属于主动防御的范畴，由于可以将非法网络服务定位于主机，在处理审计的结果 时，可通过网络管理人员找到存在非法服务的主机，并强制要求卸载安装的服务。 确保能够可靠清除非法网络服务。 2 4 2 用户需求分析 用户需求分析是项目开发的第一步，图2 1 是采用u m “2 5 】技术作出的用例图。 图2 1 用户需求用例模型 f i g u r e2 1m o d e lo fu s e rn e e d s 用户角色 日志查看者：具有日志查看权限。 重庆大学硕士学位论文 2 内部网络服务审计系统概述 管理员：具有系统操作权限。 超级管理员：具有同志查看和系统操作权限。 功能需求 日志查看：可以以多种形式查看日志的详细信息和审计报告。 告警查看：以鲜明的方式告警，并能实时查看当前非法服务的简要信息。 参数设置：配置审计i p 地址、端口、服务参数信息。 审计：获取配置信息，提取特征码对内部网络服务进行审计。 审计功能需求可细分为端口扫描和信息分析，端口扫描之前依据设置还可以有 主机存活判断功能需求。 2 5 内部网络服务审计系统模型 依据用户需求分析，系统建模如图2 2 ，系统模型主要分参数配置，审计，日 志查看、告警查看四个独立模块。各个模块分别完成上节中各个需求。 图2 2 内部网络服务审计系统模型 f i g i l r e2 2m o d e lo fi n 仃a n e ts e 州c ea u d i ts y s t e l i l 1 2 重庆人学硕士学位论文3 内部网络服务审计系统总体设计 3 内部网络服务审计系统总体设计 3 1 设计目标和原则 全面有效监控网络服务运行状态 提供非法网络服务行为依据 提供一个方便操作，价格低廉，效果优秀的网络服务管理工具 3 2 系统总体结构 根据具体用户需求，按照以上设计目标和原则系统总体框架如图3 1 ，系统主 要组成部分包括：参数设置模块，信息采集模块，信息分析模块，实时告警模块， 审计结果处理模块，同志查看模块。 图3 1 系统总体方案 f i g u 【r e3 1t 1 1 eo v e r a l lp r o 野珊o f s y s t 锄 参数设置模块：分管理设置和参数设置。管理设置主要是根据局域网内i p 的分布情况，设置部门与i p 地址对应信息以及白名单，白名单中的i p 地 址将不产生告警；参数设置是设置审计参数，包括i p 设置选项，端口设 置范围，告警服务设置选项以及审计设置选项。 信息采集模块：根据参数设置信息，扫描内部网络i p 地址和服务端口， 重庆人学硕士学位论文3 内部网络服务审计系统总体设计 收集回应信息。 信息分析模块：发送特征请求码，然后分析回应消息，比对特征回应码， 如果含有特征回应码，确定内部网络服务，如果属于非法服务则产生告警， 审计信息和告警信息都将保存到数据库，同时审计结果显示在系统主界面 上，如果回应信息不含有特征回应码，则进行下一个服务审计。 告警模块：收到告警消息，及时醒目显示告警提示，告警提示被发现后， 显示当前主要告警条目简要信息，如i p 地址，具体非法服务。 日志查看模块：同志分系统日志和审计日志，系统同志记录当前用户操作 信息，审计日志记录网络服务审计结果信息，包括扫描信息和报警信息， 同志查询功能包括刷新、翻页、删除、查找。查找可以设置查询选项查询 到当前日志表一条或多条信息，查询条件可以是一个或多个，查询条件选 项可以是“并”的关系也可以是“或”的关系。 安全报告：安全报告只有当用户需要生成内部网络审计报告时候产生，提 供包括主机、端口、服务等统计信息，同时提供具体主机审计的详细信息。 报告的生成的形式可以是网页格式( h t m l ) 或文本格式( t x t ) 。 系统模块之间的具体工作流程如下： 首先，调用参数设置模块，用户可以设置系统审计参数，包括i p 段，审计 端口，审计的服务，审计方式，除此之外，为提高扫描的速度，用户还可以设置 扫描线程数。 将上一步设置的参数保存在参数配置文件中。 读取参数文件中的参数以采集内部网络服务信息。 读取特征码，分析各种请求响应信息，得到审计日志。 处理审计结果，审计结果一方面以消息的形式传递到主界面显示模块，如 有告警信息，则产生告警；另一方面通过数据库接口存储到数据库中。 用户查看详细日志，依据需求生成当前审计报告。 3 3 系统设计性能要求及实现思路 为了能顺利完成任务，系统要求具有实时性、完整性、一致性。 实时性是指系统能够及时发现并定位当前网络内部存在的网络服务，审计 结果能实时提交给用户。 完整性是指在预设条件下能够审计内部网络所有的网络服务，不存在漏审。 一致性主要是指显示给用户的数据和审计的结果保持一致。 为达到以上要求，以下分小节分别介绍主要处理机制。 1 4 重庆大学硕士学位论文3 内部网络服务审计系统总体设计 3 3 1 多线程并发处理机制 多线程并发处理机制是为保证系统实时性、一致性而设计。 线程是w i n d o w s 为程序分配c p u 时间的基本实体。多线程可以有效避免应用 程序执行过程中的瓶颈效应。由于内部网络服务审计系统需要对一个内网中所设 置的多个主机进行审计，审计速度是系统性能的一个关键指标。如果只使用一个 线程，参数设置的审计主机比较多，审计量大，系统c p u 资源势必没有得到充足 的利用。如果将应用程序分配为多个线程，将有效地使用c p u 时间，提高审计速 度。同时，用户界面线程( u i ) 和多线程执行任务之间交互是本课题的一个技术难点。 u i 线程与其他线程之间的交互如图3 2 。 调用、控制 图3 2u i 与多线程任务之间的交互 f i g u r e3 2t h ei n t e m c t i o nb e t 、) i r e u i 锄dm u l t i t l l r e a d e dm i s s i o n 用于应用程序的后台线程并不直接与应用程序u i 交互，这一点相当关键。 如果后台线程试图修改应用程序的u i 中的控件，该控件就可能会处于一种未知 的状态。这可能会在应用程序中引起较大的问题，并难于诊断。例如，当另一个 线程正在给含有界面的主程序传送新数据时，它或许不能显示，或者，当数据集 正在刷新时，绑定到数据集的组件可能会显示冲突信息。为了避免这些问题，应 该不允许u i 线程以外的线程更改u i 控件或绑定到u i 的数据对象。因此始终 尽力维护u i 代码和后台处理代码之间的严格分离。将u i 线程与其他线程分离 是一个良好的做法，但是仍然需要在这些线程之间来回传递信息。多线程应用程 序具有下列功能： 从后台线程获得结果并更新u i 。 当后台线程执行它的处理时向u i 报告进度。 从u i 控制后台线程，例如让用户取消后台处理。 使用消息来通知主u i 线程进度或其他状态改变。例如，当任务变得可用时，可 重庆大学硕士学位论文 3 内部网络服务审计系统总体设计 以将其得到的结果以参数的形式，传递到主界面。相反，当任务变得不用( 例如， 因为它还在进行中，但需要将其停止) 时，可以将已启用标志设置为f a l s e ，这会 导致主u i 线程中的事件处理程序禁用u i 控件，而且可以停止任务线程。 3 3 2s o c k e t 连接超时处理机制 s o c k e t 连接超时处理机制主要是为达到系统实时性要求而设计的。 阻塞模式是指调用结果返回之前，当前线程会被挂起，函数只有在得到结果之 后才会返回。例如，