网络安全与防护技术的研究及应用——模式匹配算法和入.pdf

西北工业大学硕士学位论文网络安全与防护技术的研究及应用模式匹配算法和入侵检测系统的研究与应用姓名：张云鹏申请学位级别：硕士专业：计算机软件与理论指导教师：胡飞20050901西北工业大学硕十论文摘要本文首先分析了随着网络技术的飞速发展，计算机网络所面临的严峻网络安全形势。然后对几种主流网络安全技术进行了分析，指出了这些技术中存在的不足，重点介绍了目前一些入侵检测的方法。并分析了在新的网络环境中，传统入侵检测方法所面临的困难。论文的主要工作如下：提出一种基于网络平台的快速多模式匹配算法一w，实验结果证明，M C W 算法和其它两算法相比有较高的效率，并且其内存访问次数也少于其它算法。针对现行入侵检测系统的诸多弊端，提出并实现了基于分布式的网络入侵检测系统-H K N I D S，它在检测方法上以滥用检测为主，异常检测为辅。实验证明该入侵检测在漏警率、误警率和实时性等方面，对比其它系统有了较大提高。以H KN I D S 系统为应用基础，为S C M I S 构建了网络安全防护体系的总体策略和框架，给出了防火墙、入侵检测和防病毒等技术在防护体系中的整体解决方案，并进行了设计与实现。最后，分析并评估了文章研究内容的实际效果，提出下一步将研究的内容。关键词：网络安全入侵检测防火墙防病毒技术防护技术西北工业大学硕士论文A b st r a c tW i lt h er a p i d l y g r o w i n go fn e t w o r k i n g t h eh a r s hs i t u a t i o no nn e t w o r k i n gs e c u r i t yh a sb e e na n a l y z e di nt h et h e s i s T h e ns o m em a i n l ys e c u r i t yt e c h n o l o g yw e r ed i s c u s s e di nd e t a i l，S o m es h o r t-c o m i n g so ft h et e c h n 0 1 0 9 Yw e r ea l s ob e e np o i mo u t 1 1 1 们t h ed i f f e r e n c e sb e t w e e nt h et r a d i t i o n a lw a y so fd e t e c t i o na n dt h eW a yi nan e wn e t w o r k i n ge n v i r o n m e n th a v eb e e ns t u d i e d，T h em a i nw o r k so f t h et h e s i sa r ef o l l o w s：。T h ep a p e rp r e s e n t saf a s ts t r i n g m a t c h i n ga l g o r i t h m M C Wo v e rt h en e t w o r kp l a t f o n n t h ee x p e r i m e n t sd e m o n s t r a t e dt h a tt h en u m b e ro fm e m o r ya c c e s s e so fM C Ww e r el e s s 恤a l lt h eO t h e rt w oa l g o r i t h m s a n dt h ea l g o r i t h mi Sm o r ee f f i c i e n t 二T h ea u t h o rh a se s t a b l i s h e da n da c c o m p l i s h e dt h ed i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m H KN I D S，a n di tc o m b i n e st h ek n o w l e d g e b a s e dI D Sa n da n o m a l y-b a s e dI D Si n t oas y s t e m T h eH KN I D Sh a si r e p r o v e dp e r f o r m a n c es i g n i f i c a n t l yi nm a n yf u n c t i o n s B a s e do nH K N I D Ss y s t e m，t h et h e s i sp u t su pw i t hc o m p l e t e dp o l i c i e sa n ds e c u r i t ys t r u c t u r et ot h es e c u r i t yd e f e n s es y s t e mf o rS C M I S A t 廿1 es a m et i m e，w eh a v ed e s i g n e dt h ec o m p l e t es o l u t i o nf o rt h en e t w o r k i n gs e c u r i t yo nd e a l i n gw i t hf i r ew a l l i n t r u s i o nd e t e c t i o na n da n t i v i r u st e c h n o l o g i e s A tl a s t t h ea u t h o rh a v ee v a l u a t e da n da n a l y z e dt h ee f f e e to ft h er e s e a r c hr e s u l t，a n ds o m ei m p r o v e m e n ta d v i s e sw e r ep r o m p t e d，K e y w o r d s：N e t w o r kS e e u r i t y，I n t r u s i o nD e t e c t i o n，F i r e w a l I，A n t i-v i r u s2西北工业大学碗1 论文1 1 研究背景和意义第一章绪论随着I n t e r n e t 的迅速发展，网络安全性已成为迫切需要解决的问题。目前的I n t e r n e t已发展成为全球最人的互连网络，连接着全球近2 0 0 个国家的数千万台计算机，而I n t e r n e t的无主管性、跨国界性、不设防性、缺少法律约束性等特点，在为各国带来发展机遇的间时，也带来了巨大的风险。随着汁算机网络的发展越来越深人，计算机系统的安全性就臼益突出和复杂。一方面计算机网络分布范围广，具有开放的体系，提高了资源的共享性；但另一方面也带来了网络的脆弱性和复杂性，容易受到入侵者的攻击，这就给网络的安全防护提出了更高的要求。在所有威胁网络安全的行为中，黑客攻击最具破坏性。黑客攻击已有十几年的历史黑客技术逐渐被越来越多的人掌握和发展。目前，世界上有2 0 多万个黑客网站，这些站点都介绍一些攻击方法攻击软件和系统漏洞，因而使系统受攻击的可能性日益增大。黑客攻击比病毒破坏更具目的性，因而也更具危害性。据统计，全球平均每2 0 秒就有个网站遭到黑客攻击。尤其是现在还缺乏针对网绍犯罪卓有成效的反击和追踪手段，使得黑客攻击成为喇络安全的主要威胁。我国的嘲络安拿技术虽然相对滞后，但黑客攻击技术却已经和国际“接轨”。一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料，利用计算机网络进行的吾类违法彳I 为在中国每年以约3 0 的速度递增。黑客的攻击方法已超过计算机病毒的种类，总数达数千种。公安部官员估计，目前已发现的黑客攻击案件约占总数的1 5，多数事件由丁没有造成严重魅害或商家不愿透露而未骣光。有媒介报道，中国9 5的与I n t e r n e t 相连的网络管理中心都遭到过境内外翼客的攻击或侵八，其中银行、金融和证券机构是黑客攻卉的重点。在中国，钊对银行、证券等金融领域的黑客犯罪案件。涉案金额已高达数亿元针对其他行业的黑客犯罪案件也时有发生。为了震慑和打击这种犯罪行为，必须要在攻击行为发生时采取相应的防护措施。同时，针对现阶段黑客攻击软 I 层出不穷，方法不断更新的特点，就需要我啊1 开发主动型、智能型的入侵检测系统，并把这样的系统和传统的网络防护工具结合起来。网络安全方面的研究事关国咒经济的正常运转和国家安全，处于信息科学和技术的研究前沿，不仅属丁具有理论和麻用价值，还具有巨大的社会和经济意义a1 2 国内外发展和研究现状网络安全技术发展至今已有儿十年的历史，其中人约经过了三个阶段。先是最初的识别验证技术和访问控制策略。然后是防火墙技术，它主要是通过编写各种规j l l j，可阻过滤掉一些违反规则的数据包从而增强站点的安全性能。酊两种策略都是十分有效的安全措掉一些违反规则的数据包从而增强站点的安全性能。前两种策略都是十分有效的安全措西北工业大学硕十论文1 1 研究背景和意义第一章绪论随着I n t e r n e t 的迅速发展，网络安全性已成为迫切需要解决的问蹶。目前的I n t e r n e t已发展成为全球最人的互连网络，连接着全球近2 0 0 个国家的数千万台计算机，而I n t e r n e t的无主管性、跨国界性、不设防性、缺少法律约束性等特点，在为各国带来发展机遇的同时，也带米了巨大的风险。随着计算机网络的发展越来越深入，计算机系统的安全性就日益突出和复杂。一方面计算机网络分布范围广，具有开放的体系，提高了资源的共享性；但另一方面也带来了网络的脆弱性和复杂性，容易受到入侵者的攻击，这就给网络的安全防护提出了更高的要求。在所有威胁网络安全的行为中，黑客攻击晟具破坏性。黑客攻击已有十几年的历史，黑客技术逐渐被越来越多的人掌握和发展。目前，世界上有2 0 多万个黑客网站，这些站点都介绍一些攻击方法、攻击软件和系统漏洞，冈而使系统受攻击的可能性日益增大。黑客攻击比病毒破坏更具目的性，因而也更具危害性。据统计，全球平均每2 0 秒就有一个网站遭到黑客攻击。尤其是现在还缺乏针对网络犯罪卓有成效的反击和追踪手段，使得黑客攻击成为网络交全的主要威胁。我国的网络安全技术虽然相对滞后，但黑客攻击技术却已经和国际“接轨”。一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料利用计算机网络进行的各类违法行为在中国每年以约3 0 的速度递增。黑客的攻击方法已超过计算机病毒的种类，总数达数千种。公安部官员估计，目前已发现的黑客攻击案什约占总数的1 5，多数事件由丁没有造成严重危害或商家不愿透露而本曝光。有媒介报道。中国9 5的与I n t e r n e t 相连的网络管理中心都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。在中国。针对银行、证券等金融领域的掣客犯罪案什，涉寰金额已高达数亿元，针对其他行业的黑客犯罪案件也时有发生。为了震慑和打击这种犯罪行为，必须要在攻击行为发生时采取相应的防护措施。同时，针对现阶段黑客攻击软件层出不穷，方法不断更新的特点，就需要我”J 开发主动犁、智能型的入侵检测系统，并把这样的系统和传统的网络防护1 一具结合起米。网络安全方面的研究事戈国民经济的正常运转和国家安全，处于信息科学和技术的研究前沿，不仅属于具有理论和应用价值，还具有巨大的社会和经济意义。1 2 国内外发展和研究现状网络安全技术发展至今已有几十年的历史，其中人约经过了三个阶段。先是最初的识别验证技术和访问控制策略。然后是唠火墙技术，它主要是通过编写各种规J I l l l，可以过滤掉一些违反规则的数据包，从而增强站点的安全性能。前两种策略都是十分有效的安全措6两北工业大学硕士论文施，至今仍在广泛使用，但网络黑客一旦通过某些手段绕过它们的警戒线，系统对黑客的破坏活动就变得视若无睹。为了能实时地监控网络用户的行为，入侵检测技术近年来迅速发展起来。从近年的计算机安全技术论坛(F I R S T 年会)可以看到入侵检测技术已经成为网络安全领域的热点研究问题。在入侵检测技术发展的初期，检测方法比较简单，而且设计、使用的大多是基于主机的入侵检测系统m 3。随着网络应用的迅速普及和入侵检测方法、技术的进一步发展，使得当前入侵检测系统的应用方向转向网络，尤其是面向广域网。对人型网络进行保护。对广域网范围(I n t e r n e t)的入侵活动(如蠕虫、分布式协作攻击)进行检测和必要的入侵反应机制(如自动响应、对入侵者进行跟踪并发现其源头)，是当前网络入侵检测系统研究的重点。目前国际上入侵检测的研究主要集牛在美国，而且有许多研究得到政府和军方的支持”，由此可见美国政府对这方面研究的重视程度。美国进行入侵检测研究的主要机构有：加利福尼弧大学D a v iS(U C D a v i s)分校安全实验室、斯坦福国际研究所(S R I)计算机科学实验室、P u r d u e 人学的C O A S T、新墨徊哥大学等。在民用方面有许多公司开发了多种入侵检测T 具，如：N F R 的网络b 行记录仪，I S S的R e a l s e c u r e，A x e n t 的N e t P r o w l e r l lC I S C O 的N e t R a n g e r 等。这些一J：具的功能比较完善而且有较强的实用性，能对大量攻击和系统滥用特征进行识别，并采取及时的入侵反应措施，还能添加新的攻击特征。在国内，近几年计算机安全技术特别是网络安全技术己逐渐成为研究热点。但在入侵检测技术方面的研究还刚刚起步，处丁跟踪国外技术阶段”“1。特别是投入实际使用的入侵检测系统产品很少系统功能还比较简单。在商用领域，仅有北京冠群金辰软件有限公司的干将莫邪入侵检测系统(e T r u s tT MI n t r u s i o nD e t e c t i o n)：中科网威公司的入侵检测系统等少数儿家公司或研究机构的成型产品。由丁-网络安全与防护技术涉及许多敏感技术，国内外技术交流受到很多阻碍。所以，在网络安全与防护技术逐渐成为强化网络和打击网络犯罪的有效手段的重要时期，要想不落后于1 廿=界其他国家，必须加强在这方面的研究和实践。1 3 研究内容和重点针对目前的技术以及发展现状，本论文研究的主要技术包括：1 构建一个新的模式匹配算法，提高匹配效率并降低：作时内存访问次数。2 降低入侵检测系统的误报和漏报率，提高准确性。3 分布式入侵检测系统的研究和实现，加强入侵检测系统自身安全方面的设计，使其更具可用性。4 入侵检测、防火墙、防病毒等系统在网络防护体系中的部署，加强入侵检测系统和其它安全产晶的协同工作能力。7西北工业人学硕士论文1 4 本论文的内容和组织结构本文共分八章。第一章绪论。第二章从I n t e m e t 体系结构标准入手，对当前主流的网络安全技术做了介缁，并分析了它们的优缺点。在此基础上，通过网络安全理论模型一P 2 D R。重点论述入侵检测技术及其研究意义。最后分析了I D S 技术发展趋势，为论文后续内容进行了铺垫。第三章入侵检测系统的关键技术研究，重点提出了一种基于网络平台的快速多模式匹配算法-M C W，并对它和另外两种算法进行了仿真实验结果证明，M C W 算法比其它两算法效率更高，同时，在相同上作量的前提下，其内存访问次数也少1：其他算法。最后一节主要研究构建H K的儿个重要问题。_NIDS第四章对几种典型I D S 进行分析比较，指出了它们存在的不足。提出了新的H K N I D S入侵检测系统。并对H K _ N I D S 的系统结构和各个部件进行了描述。新型系统是基于网络的分布式I D S，在检测方法上以滥用检测为主、异常检测为辅，使其具有了多方面的优点。最后详细介绍了H K _ N I D S 入侵检测系统的设计与实现。第五章对H K-N I D S 系统进行一系列的性能测试与分析，从而证明了它在漏警率、误警率和实时性等方面有了较人提高。第六章以H K _ N I D S 为应用基础结合其它安全产品，为软什学院信息化管理系统制定安全策略，并设计实施了一个完整的系统安全架构，其中包括防火墙、两道H K-N I D S 探测器及病毒防护等。最后两节重点介绍H K-N I D S 在其中起到的重要作用和良好效果。第七章结束语总结全文，给出了主要成果，并提出今斤的研究方向西北丁业大学硕士论文第二章网络安全和入侵检测技术现状由第一章分析可知，足够强的安全措施是网络应用的必要保证。无论是在局域网还是在广域网中，无论是单位还是个人，网络的安全措施应能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。在本章中。作者首先介绍了当前普遍采用的网络安全与防护技术，然后分析了它竹J 的优缺点，最后主要研究入侵检测技术。2 1 网络安全技术现状2 1 1I N T E R N E T 体系结构标准一l S o7 4 9 8 21 6 4 1互联网的体系结构标准-I S O7 4 9 8 开放系统互联参考模型，成功地解决了网络互联问题。但是，资源共享性、系统的复杂性、众多的攻击点和不可知路径等引发了网络的安全问题。1 9 8 8 年，为实现在开放系统互联环境下信息的安全，I S O T C9 7 技术委员会制订了I S O7 4 9 8 2 国际标准“信息处理系统一开放系统互联一基本参考模型一安全体系结构”，它描述了安全服务及相关的安全机制，并提出了参考的模型，还定义了安全服务机制在参考模型中的位置。如图2 1 所示：至至茎塑亘i!卜卜用户可用的安全应用厂乏至应甬 斗安全应用可用的安全服务厂要至藤孬卜-安全服务由安全机制实现 二薹至匹塑二卜 安全应用所用的具体方法图2-1O S I 安全系统层次结构2 1 1 1 安全服务针对网络系统所面临的威胁，O S I 体系规定了5 种标准的安全服务：1 对等实体认证服务：用于识别和证实对方身份但不提供防止数据中途修改的功能。2 访问控制服务：可以防止未经授权的用户菲法使用系统资源。3 数据保密服务；可以防I 信息泄漏。它可分为信息保密、选择字段保密、业务流保密。它的基础是数据加密机制的选择。4 数据完整性服务：防止非法篡改。它有五种形式：可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。5 禁止否认服务：针对对方抵赖的防范措施，用来证实发生过的操作。可分为对方发送抵赖、对递交的防御抵赖进行公证。9匠北工业大学硕士论文2 1 1 2 安全机制安全机制可以实现一种或多种安全服务，从而有效地对抗某种攻击，上述提到的安全服务可以借助以下安全机制：1 加密机制：借助各种加密算法对存放的数据和流通中的信息进行加密。加密算法技密钥类型有对称型和非对称型之分；按密钥体制有序列密码和分组密码之分。这些算法各有各的优缺点，可以根据加密层次和加密对象采用不同算法。2 数字签名机制：使用私有密钥进行数字签名，使用公有密钥对签名信息进行证实。3 访问控制机制：根据访问者的身份和有关信息，决定实体的访问权限。访问控制机制的实现常常基于一种或几种措施，如访问控制信息库，认证信息和安全标签等。4 数据完整性机制：判断信息在传输过程中是否被篡改过，与加密机制有关。5 路由控制机制：防止不利的信息通过路由。目前典型的应用为l P 层防火墙。2 1 1 3 安全管理安全管理是对安全服务和安全机制进行管理，把管理信息分配到有关的安全服务和安全机制中去并收集与它们的操作有关的信息。2 1 2 静态安全防护技术静态安全防护技术通过人工方法，采用外围设备对来自外部系统的攻击提供一定的防御能力。现令常用的是防火墒技术。2 1 2 1 防火墙防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措旌。从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为。它是通过在网络边界上建立起来的相应网络安全监测系统来隔离内部网络和外部网络，以确定哪些内部服务允许外部访问，从而阻挡外部网络的入侵。防火墙得益于I n t e r n e t 的发展，产品很快经历了基于路由器的防火墙、用户化的防火墙：具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段。防火墙主要应用了F 面的几种类型：2 防火墙的基本类型1 包过滤型防火墙(P a c k e tF 1 i t e rF i r e w a l l)基丁单个包实旋网络控制：根据所收到的数据包的源地址、目的地址、T C P U D P、源端口号、目的端口号、包出入接口、协议类犁和数据包中的各种标志位等参数，将其与用户预定的访问控制表进行比较，判断数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤。包过滤器一般安装在路由器上，当然P C 机上也可以安装包过滤软件。0西北工业大学硕上论文它工作在网络层(I P)，因此也称为网络防火墙。这种防火墙的优点是简单、方便，对网络性能影响不大，但它缺乏用户日志和审计信息，缺乏用户认证机制，不具备登录和报告性能，不能进行审核管理，且过滤规则的完备性难以得到检验，复杂过滤规则的管理也较困难，困此安全性较差。2 代理服务器型防火墙(P r o x yS e r v i c eF i r e w a i i)代理服务器型防火墙通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程，代理网络用户完成T c P I P 功能实际上是为特定网络麻用而连接两个网络的网关。对每种不同的应用层(如E-m a i l、F T P、T e i n e t、w 删等)都应用一个相应的代理。代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能：并实现对具体协议及应用的过滤，如阻塞J a v a 或J a v a S c r i p t。这种防火墙能完全控制网络信息的交换。控制会话过程，具有灵活性和安全性；但可能影响网络的性能，对用户不透明。并对每一种服务器都要设计一个代理模块，建立对戍的网芙层，实现起来比较复杂。3 电路层网关(C i r c u i tG a t e w a y)电路层网关在网络的传输层上实施访问策略，是在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开后门进行传输不像麻崩层防火墙那样能严密地控制麻用层的信息。4 混合型防火墙(H y b r i dF i r e w a l l)混合型防火墙把过滤和代理服务等功能结合起来，形成新的防火墙，所用主机称为堡垒主机，负责代理服务。2 1 2 2 防火墙的优缺点防火墙在网络系统上应用的如此广泛，正是得髓于其加强网络间的访问控制有效地保护了内部系统。其优点主要体现在下面儿个方面：1 防火墙允许定义一个中心“扼制点”来防止非法用户(如黑客、病毒等)进入内部系统：禁止存在安全脆弱性的服务进出网络；并抗击来自各种路线的攻击。防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部系统的所有主机上。2 保护网络中脆弱的服务。防火墙通过过滤存在安全缺陷的网络服务来降低内部系统遭受攻击的危险，因为只有经过选择的网络服务才能通过防火墙。3 在防火墙上可以很方便的监视网络的安全性，并产生警报。4 集中安全性。一个内部系统的所有或大部分需要改动的程序以及附加的安全程序都能集中在防火墙系统中，而不是分散到每一个土机上，这样防火墙的保护范围就相对集中，也降低了安全成本。5 防火墙可以作为部署N R I (N e t w o r kA d d r e s sT r a n s l a t o r，网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，同时也可以隐藏内部系统结构。6 增强保密性、强化私有权。对一些内部系缆而言，保密性很重要，因为某些看似不重要的信息往往会成为攻击者攻击的开始，如：攻击者常常利用f i n g e r 列出当前的使用者名单，以及一些用户信息：D N S 服务也能提供一些主机信息。这些信息可以为攻击者以后的入侵提供有力的支持。使用防火墙系统可阻塞f i n g e r 和D N S 服务从而使外部机器无法获得这些信息。虽然防火墙是系统安全体系中极为重要的环，但也不能因为有防火墙就可以高枕无忧。防火墙还有F 面一些缺点：西北T 业大学硕士论文1 限制有用的网络服务。防火墙为了提高被保护系统的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。2 无法防止内部用户的攻击。目前防火墙只提供对外部网络用户的防护，对于来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。3 防火墙不能完全防止传送已感染病毒的软件和文件。4 防火墙无法防范数据驱动型的攻击，数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到主机上，但一旦执行就开始攻击。5 防火墙不能防备新的网络安全问题。随着网络攻击手段的不断更新和一些新型网络应用的出现，不可能靠一次性的防火墙设置来解决永远的网络安全问题。从以上分析我们可以看到，静态安全防护技术犹如守株待兔，对于危害网络安全的行为只能被动防御所以，为了达到安全防护的目的，我们还必须研究动态安全防护技术。2 1 3 动态安全防护技术2 1 3 1 漏洞扫描在任何一个现有的平台上都有几百个公认的安全脆弱点，人I：测试单台主机的这些脆弱点要花几天甚至更长的时间。在这段时间里，必须不断进行获取、编译或返行代码的工作。这个过程往往需要重复儿百次，既慢义费力且容易出错。而漏洞扫描正是A 动检测远端或本地土机安全脆弱点的技术它可以在很短的时间内就解决这些问题。漏洞扫描技术源于“攻击者”在入侵网络系统时采用的工具，它抓住系统漏洞是系统被攻击的主要原因这一点，及时布找漏洞、拒绝攻击者的外部或内部攻击。配备安全扫描系统，通过范罔宽广的穿透测试检测潜在的网络漏洞，评估系统安全配置，以提前土动地控制安全危险。甲|期的扫描程序是专门为U n i x 系统编写的，随后情况就发生了变化。现在很多操作系统都支持T C P I P。因此，几乎每一种平台上都出现了扫描程序。它们是整个安全系统不可缺少的组成部分。2 1 3 2 安全内核安全内核是在操作系统层次上进行安全性增强技术的总称。通过对操作系统内核的裁减、加固和改造等，消除其中可能引起安全性问题的部分从而大大加强系统内核的安全性和抗攻击能力。2 1 3 3 防病毒技术病毒的分类当前，全球约有2 0 多万种病毒，按照基本类犁划分，可归结为以下5 种：1 引导型病毒，主要感染软盘、硬盘的引导扇区或主引导扇区。2 可执行文件病毒，主要感染可执行文件，特洛伊木马就是这种类型的病毒。3 宏病毒利用宏语言编制的病毒，目前较为流行的蠕虫病毒就是常见的一类。1 2西北工业大学硕士论文4 混合型病毒，是以上几种病毒的混合，不仅传染可执行文件而且还传染硬盘引导慝，被这种病毒传染的系统用F o r m a t 命令格式化硬盘都不能消除病毒。5 I n t e r n e t 语言病毒，一些用J a v a、V B、A c t i v e x 等撰写的病毒，这些病毒可以通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降，造成死机。防病毒程序应具有的功能防病毒程序要有效地查杀病毒，必须具备的功能有：1 对请求运行的程序检查是否染有己知病毒，若有，则拒绝其运行请求或屏敝其传染和破坏功能后实现安全带毒运行。2 对直接修改M C B 方式驻留的程序进行监视，或予以登记，待后续处理。3 监视读写可执行文件的请求，闻为文件型病毒主要是依靠传染可执行文什。4 利用预先生成的文件校验码对被存取的文件进行检查发现异常时进一步作病毒检查并发出警报。：5 监视P c 机系统内一些特别中断向量的变化，予以登记或发出警报。这些中断有2、8、9、1 3、1 6、1 C、2 1、2 6、2 F 等。病毒利用这些中断进行跟踪、定时、传染、键盘控制以及信息显示等。早期的防病毒软件特别重视中断向量表的监视和管理，甚至专门保留备份用于进行比较和恢复。这在一定程度上发挥了重要作抖；|。但现在己出现很多新病毒不通过修改中断向量也能完成传染功能。因此新代防病毒软件应重视中断向量表的变化，但不应将其作为判断病毒的唯一条件和防护P c 机的唯一手段。6 硬盘内的主引导扇区是一般应用程序不必去存取的扇区，酴非耍进行分区划分。平时这个扇区内容不麻被改变，防病毒程序应对这个扇区提供保护。7。对重要的系统文什提供保护。对这类文件的非病毒变更一般只会发生在更新操作系统版本的时候，不会是经常发生的情况。8对重要系统磁盘提供全面的写禁止功能，通过划分合适的分区大小对某些分区提供保护。例如对C：盘设置写禁止功能后，可以保证病毒不会感染到e：盘从而使硬盘引导启动后的环境总是个无病毒的干净环境。根据不断总结出来的防病毒经验，在具体实现一个防病毒系统时，可以按照实际情况对上述功能进行取舍，并增加新的功能。2 1 4 传统网络安全技术的缺陷虽然传统的安全措施现在还发挥着重要作崩，但它们的一些缺陷是无法克服的。一方面，传统的安全措施无法实时报警，也没有自动的响麻功能：另一方面，传统的安全措施功能单一，没有形成一个信息共享的完整安全体系结构。另外，某些传统交全措施，其本身功能也不是完善的。比如防火墙系统就不能发现来自网络内部的攻击。更无法识别隐藏在正常数据包中的恶意代码。虽然日志审计信息虽然能够记录所有的用户活动，但如果黑客已经取得了超级用户权限，它完全可以修改日志文件，清除入侵的痕迹，从而使日忠审计彻底失去作用。2 1 5 可适应网络安全理论模型：P 2 D R传统的安全防护方法是对网络进行风险分析，制定相应的安全策略，采取一种或多种技术作为防护措施。这种安全方案要取得成功依赖丁系统止确的设置和完善的防御手段，并且在很大程度上针对固定的威胁和环境弱点。这种方式忽略了I n t e r n e t 安全的重要特征，即堕苎三、业查兰塑主堡塞I n t e r n e t 安全没有标准的过程和方法。因此，所有I n t e r n e t 安全的新趋势都是为了适应日益变化的I n t e r n e t 环境而产生的。近年来提出的可适应网络安全理论(或称动态信息安全理论)的主要模型是P 2 D R 模型，如图2-2 所示。P 2 D R 模型给网络安全管理提供了方法。所有的安全问题都可以在统一的镱略指导下，采取防护、检测、响应等不断循环的动态过程。图2 2P 2 D R 安全理论模型P 2 D R 模型是在整体安全策略的控制和指导下在综合运用防护工具(如防火墙、操作系统身份认证、加密笛手段)的同时，利用检测：具(如入侵检测等系统)了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。P 2 D R 模型包含4 个主要部分：P o l i c y(安全策略)、P r o t e c t i o n(防护)、D e t e c t i o n(检测)和R e s p o n s e(响应)。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。P 2 D R 模型对安全产品的要求如下：分而治之：在安全功能、服务的配置上，过去是先从整体定义入手，但是I n t e r n e t 是一个多元化的应用环境，而且处于不断的变动中。因此现实的解决办法是“分而治之”。各种应用，各个部门，先在统一的规范r，分层次分步骤实施。有机整合：各种信息安全设施日趋综合化集成化，如防火墙的连防，混合防火墙的出现，防火墙与入侵检测和安全代理的联H j 等等。智能化：能主动地找出系统的安全隐患，对风险做出半定量甚至定鼍的分析，提出堵塞漏洞的方案，自动地随着环境的变化，通过入侵模式识别，对系统安全做山校正。这样就由被动防守转向了主动防守。高速化：随着网络传输技术的b 速发展，宽带时代已经来临。面对千兆网的巨大数据流，一些安全系统，如入侵检测系统和网络管理系统等，如何完成数据采集过程是必须要解决地问题，而且H u b 等网络设备将逐渐被路由器、交换机等网络设备所取代，第三层交换技术逐渐普及，网络安全系统也要适应这转变。2 2 入侵检测的定义入侵检测(I n t r u s i o nD e t e c t i o n)就是对入侵行为的发觉。但由丁该项技术的发展还处于初期。很多学者给出其它定义，如：A n d e r s o n 在8 0 年代早期使用了“威胁”这一术语，其定义与入侵含义相同，将入侵企图或威胁定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用的行为”。H e a d y 给出另外的入侵定义，入侵是指有关试图破坏资源的完整性、机密性以及可用性的活动集合 2 0JS m a b a 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用六种类型”。4西北工业大学硕士论文2 3 研究入侵检测技术的重要意义根据前几节的内容，我们知道传统网络中会考虑防火墙、防病毒、漏洞扫描等防范措施，即P 2 D R 模型中的防护，但为什么这样的网络仍会受到恶意攻击呢?根据P 2 D R 模型，防护是一个必须的环节，防护中采用的技术也已经被广泛采用。但仅有基础防护的网络是不安全的，传统安全措施只能对网络系统中的某几个环节起保护作用，网络中有大每安全漏洞存在，攻击者很容易绕过安全防范入侵网络。所以，尽管安全防护投入很大，如果忽略网络系统中的安全隐患和随时可能发生的攻击，仍然达不到安全的目的，只有通过检测和响应这两个环节，才能主动提高网络的抗攻击能力。P 2 D R 安全的核心问题是检测，因为检测是静态防护转化为动态的关键；同时，检测还是动态响虑的依据；检测是落实强制执行安全策略的有万工具。所以，研究入侵检测技术是十分必要的。现在，许多公司都纷纷投入到入侵检测这一领域上来。I S S、N F R、C I S S O 等公司都推出了相应的产品，并取得了很好的效果。目前国内在这方面的开发还相对落后。但鉴丁网络安全产品的特殊性，完全依靠国外的先进产品和技术是行不通的，所以，开发我们有自主产权且技术先进的入侵检测系统具有重大意义。2 4 入侵检测系统基本原理和框架2 4 1 基本原理入侵检测是一种动态的网络安全技术，它利用各种不同类型的引擎，实时地或者定期地对网络中相关的数据源进行分析，依照引擎对特殊数据或者事件的认识将其中具有危险性的部分提取出来，并触发响应机制。2 4 2 公共入侵检测框架-C I D F公共入侵检测框架(T h eC o m m o nI n t r u s i o nD e t e c t i o nF r a m e w o r k-C I D F)早期由美国国防部高级研究计划局赞助研究，现在由C I D FL：作组负责，该组织是一个开放组织。C I D F 是一套规范，它定义了I D S 表达检测信息的标准语言以及I D S 组件之间的通信协议。符合C I D F 规范的I D S 可以共享检测信息、相互通信、协同T 作，还可以与其它系统配合实施统一的配置响应和恢复策略。C I D F 的主要作用在丁集成各种I D S 使之协同工作。实现各I D S 之间的组件重刚，所以C I D F 也是构建分布式I D S 的基础。C I D F 的规格文档由四部分组成，分别为：体系结构(T h eC o m m o nI n t r u s i o nD e t e c t i o nF r a m e w o r kA r c h i t e c t u r e)规范语言(AC o m m o nI n t r u s i o nS p e c