第一篇：入侵檢測技術(shù)論文

目錄

第一章 緒論

1.1 入侵檢測技術(shù)的背景 1.2 程序設計的目的 第二章 入侵檢測系統(tǒng) 2.1 網(wǎng)絡入侵概述

2.2 網(wǎng)絡存在的安全隱患

2.3 網(wǎng)絡入侵與攻擊的常用手段 2.4 入侵檢測技術(shù)

2.4.1 誤用入侵檢測技術(shù) 2.4.2 異常入侵檢測技術(shù)

第三章 協(xié)議分析 3.1 協(xié)議分析簡介 3.2 協(xié)議分析的優(yōu)勢

第四章 PANIDS系統(tǒng)的設計及實現(xiàn) 4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設計

4.2 系統(tǒng)基本信息讀取模塊的設計及實現(xiàn) 4.3 網(wǎng)絡數(shù)據(jù)包捕獲模塊的設計及實現(xiàn) 4.4 基于協(xié)議分析的入侵檢測模塊的設計及實現(xiàn) 4.4.1 數(shù)據(jù)包的分解 4.4.2 入侵檢測的實現(xiàn) 4.5 實驗結(jié)果及結(jié)論

第五章 總結(jié)與參考文獻

摘要

網(wǎng)絡技術(shù)高速發(fā)展的今天，人們越來越依賴于網(wǎng)絡進行信息的處理。因此，網(wǎng)絡安全就顯得相當重要，隨之產(chǎn)生的各種網(wǎng)絡安全技術(shù)也得到了不斷地發(fā)展。防火墻、加密等技術(shù)，總的來說均屬于靜態(tài)的防御技術(shù)。如果單純依靠這些技術(shù)，仍然難以保證網(wǎng)絡的安全性。入侵檢測技術(shù)是一種主動的防御技術(shù)，它不僅能檢測未經(jīng)授權(quán)的對象入侵，而且也能監(jiān)視授權(quán)對象對系統(tǒng)資源的非法使用。傳統(tǒng)的入侵檢測系統(tǒng)一般都采用模式匹配技術(shù)，但由于技術(shù)本身的特點，使其具有計算量大、檢測效率低等缺點，而基于協(xié)議分析的檢測技術(shù)較好的解決了這些問題，其運用協(xié)議的規(guī)則性及整個會話過程的上下文相關(guān)性，不僅提高了入侵檢測系統(tǒng)的速度，而且減少了漏報和誤報率。本文提出了一種基于協(xié)議分析的網(wǎng)絡入侵檢測系統(tǒng)PANIDS的模型，在該模型中通過Winpcap捕獲數(shù)據(jù)包，并對數(shù)據(jù)包進行協(xié)議分析，判斷其是否符合某種入侵模式，從而達到入侵檢測的目的。

關(guān)鍵詞： 入侵檢測，協(xié)議分析，PANIDS

第一章 緒論

1.1 入侵檢測技術(shù)的背景

隨著計算機網(wǎng)絡的飛速發(fā)展，網(wǎng)絡通信已經(jīng)滲透到社會經(jīng)濟、文化和科學的各個領(lǐng)域；對人類社會的進步和發(fā)展起著舉足輕重的作用，它正影響和改變著人們工作、學習和生活的方式。另外，Internet的發(fā)展和應用水平也已經(jīng)成為衡量一個國家政治、經(jīng)濟、軍事、技術(shù)實力的標志；發(fā)展網(wǎng)絡技術(shù)是國民經(jīng)濟現(xiàn)代化建設不可缺少的必要條件。網(wǎng)絡使得信息的獲取、傳遞、存儲、處理和利用變得更加有效、迅速，網(wǎng)絡帶給人們的便利比比皆是。然而，網(wǎng)絡在給人們的學習、生活和工作帶來巨大便利的同時也帶來了各種安全問題。網(wǎng)絡黑客可以輕松的取走你的機密文件，竊取你的銀行存款，破壞你的企業(yè)帳目，公布你的隱私信函，篡改、干擾和毀壞你的數(shù)據(jù)庫，甚至直接破壞你的磁盤或計算機，使你的網(wǎng)絡癱瘓或者崩潰。因此，研究各種切實有效的安全技術(shù)來保障計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的安全，已經(jīng)成為刻不容緩的課題。伴隨著網(wǎng)絡的發(fā)展，各種網(wǎng)絡安全技術(shù)也隨之發(fā)展起來。常用的網(wǎng)絡安全技術(shù)有：數(shù)據(jù)加密、虛擬專用網(wǎng)絡（VPN，Virtual Private Network）、防火墻、殺毒軟件、數(shù)字簽名和身份認證等技術(shù)。這些傳統(tǒng)的網(wǎng)絡安全技術(shù)，對保護網(wǎng)絡的安全起到非常重要的作用，然而它們也存在不少缺陷。例如，防火墻技術(shù)雖然為網(wǎng)絡服務提供了較好的身份認證和訪問控制，但是它不能防止來自防火墻內(nèi)部的攻擊、不能防備最新出現(xiàn)的威脅、不能防止繞過防火墻的攻擊，入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過防火墻的訪問控制來進行非法攻擊。傳統(tǒng)的身份認證技術(shù)，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網(wǎng)絡窺探器以及電磁輻射等攻擊手段。虛擬專用網(wǎng)技術(shù)只能保證傳輸過程中的安全，并不能防御諸如拒絕服務攻擊、緩沖區(qū)溢出等常見的攻擊。另外，這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點是只能靜態(tài)和消極地防御入侵，而不能主動檢測和跟蹤入侵。而入侵檢測技術(shù)是一種動態(tài)安全技術(shù)，它主動地收集包括系統(tǒng)審計數(shù)據(jù)，網(wǎng)絡數(shù)據(jù)包以及用戶活動狀態(tài)等多方面的信息；然后進行安全性分析，從而及時發(fā)現(xiàn)各種入侵并產(chǎn)生響應。1.2 程序設計的目的

在目前的計算機安全狀態(tài)下，基于防火墻、加密技術(shù)等的安全防護固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測技術(shù)。它已經(jīng)成為計算機安全策略中的核心技術(shù)之一。Intrusion Detection System（簡稱IDS）作為一種主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。從網(wǎng)絡安全立體縱深的多層次防御角度出發(fā)，入侵檢測理應受到高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)關(guān)鍵部門、關(guān)鍵業(yè)務越來越多，迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品；但目前我國的入侵檢測技術(shù)還不夠成熟，處于發(fā)展和跟蹤國外技術(shù)的階段，所以對入侵檢測系統(tǒng)的研究非常重要。傳統(tǒng)的入侵檢測系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配。從網(wǎng)絡數(shù)據(jù)包的包頭開始與攻擊特征字符串比較。若比較結(jié)果不同,則下移一個字節(jié)再進行；若比較結(jié)果相同,那么就檢測到一個可 能 的攻擊。這種逐字節(jié)匹配方法具有計算負載大及探測不夠靈活兩個最根本的缺陷。面對近幾年不斷出現(xiàn)的ATM、千兆以太網(wǎng)、G比特光纖網(wǎng)等高速網(wǎng)絡應用,實現(xiàn)實時入侵檢測成為一個現(xiàn)實的問題。適應高速網(wǎng)絡的環(huán)境，改進檢測算法以提高運行速度和效率是解決該問題的一個途徑。協(xié)議分析能夠智能地”理解”協(xié)議,利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在,從而大大減少了模式匹配所需的運算。所以說研究基于協(xié)議分析的入侵檢測技術(shù)具有很強的現(xiàn)實意義。

第二章 入侵檢測系統(tǒng)

2.1 網(wǎng)絡入侵概述

網(wǎng)絡在給人們帶來便利的同時也引入了很多安全問題。從防衛(wèi)者的角度來看，網(wǎng)絡安全的目標可以歸結(jié)為以下幾個方面 ：（1）網(wǎng)絡服務的可用性。在需要時，網(wǎng)絡信息服務能為授權(quán)用戶提供實時有效的服務。

（2）網(wǎng)絡信息的保密性。網(wǎng)絡服務要求能防止敏感信息泄漏，只有授權(quán)用戶才能獲取服務信息。

（3）網(wǎng)絡信息的完整性。網(wǎng)絡服務必須保證服務者提供的信息內(nèi)容不能被非授權(quán)篡改。完整性是對信息的準確性和可靠性的評價指標。

（4）網(wǎng)絡信息的不可抵賴性。用戶不能否認消息或文件的來源地，也不能否認接受了信息或文件。

（5）網(wǎng)絡運行的可控性。也就是網(wǎng)絡管理的可控性，包括網(wǎng)絡運行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網(wǎng)絡用戶的行為及信息的傳播范圍。

2.2 網(wǎng)絡存在的安全隱患

網(wǎng)絡入侵從根本上來說，主要是因為網(wǎng)絡存在很多安全隱患，這樣才使得攻擊者有機可乘。導致網(wǎng)絡不安全的主要因素可以歸結(jié)為下面幾點：

（1）軟件的Bug。眾所周知，各種操作系統(tǒng)、協(xié)議棧、服務器守護進程、各種應用程序等都存在不少漏洞。可以不夸張的說，幾乎每個互聯(lián)網(wǎng)上的軟件都或多或少的存在一些安全漏洞。這些漏洞中，最常見的有緩沖區(qū)溢出、競爭條件（多個程序同時訪問一段數(shù)據(jù)）等。

（2）系統(tǒng)配置不當。操作系統(tǒng)的默認配置往往照顧用戶的友好性，但是容易使用的同時也就意味著容易遭受攻擊。這類常見的漏洞有：系統(tǒng)管理員配置不恰當、系統(tǒng)本身存在后門等。

（3）脆弱性口令。大部分人為了輸入口令的時候方便簡單，多數(shù)都使用自己或家人的名字、生日、門牌號、電話號碼等作為口令。攻擊者可以通過猜測口令或拿到口令文件后，利用字典攻擊等手段來輕易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是竊聽。在廣播式的局域網(wǎng)上，將網(wǎng)卡配置成”混雜”模式，就可以竊聽到該局域網(wǎng)的所有數(shù)據(jù)包。如果在服務器上安裝竊聽軟件就可以拿到遠程用戶的帳號和口令。

（5）設計的缺陷。最典型的就是TCP/IP協(xié)議，在協(xié)議設計時并沒有考慮到安全因素。雖然現(xiàn)在已經(jīng)充分意識到了這一點，但是由于TCP/IP協(xié)議已經(jīng)廣泛使用，因此暫時還無法被完全代替。另外，雖然操作系統(tǒng)設計的時候考慮了很多安全因素，但是仍然無法避免地存在一些缺陷。例如，廣泛使用的Windows操作系統(tǒng)，幾乎每隔幾個月都要出一定數(shù)量的安全補丁，就是因為系統(tǒng)存在很多安全隱患。2.3 網(wǎng)絡入侵與攻擊的常用手段

長期以來，黑客攻擊技術(shù)沒有成為系統(tǒng)安全研究的一個重點，一方面是攻擊技術(shù)很大程度上依賴于個人的經(jīng)驗以及攻擊者之間的交流，這種交流通常都是地下的，黑客有他們自己的交流方式和行為準則，這與傳統(tǒng)的學術(shù)研究領(lǐng)域不相同；另一方面，研究者還沒有充分認識到：只有更多地了解攻擊技術(shù)，才能更好地保護系統(tǒng)的安全。下面簡單介紹幾種主要的攻擊類型。1.探測攻擊

通過掃描允許連接的服務和開放端口，能迅速發(fā)現(xiàn)目標主機端口的分配情況以及所提供的各項服務和服務程序的版本號。另外通過掃描還可以探測到系統(tǒng)的漏洞等信息。黑客找到有機可乘的服務或端口后就可以進行攻擊了。常見的探測掃描程序有：SATAN、NTScan、X_Scan、Nessus等。2.網(wǎng)絡監(jiān)聽

將網(wǎng)卡設置為混雜模式，對已流經(jīng)某個以太網(wǎng)段的所有數(shù)據(jù)包進行監(jiān)聽，以獲取敏感信息，如包含了”usename”或”password”等信息的數(shù)據(jù)包。常見的網(wǎng)絡監(jiān)聽工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類攻擊

通過各種方法獲取password文件，然后用口令猜測程序來破譯用戶帳號和密碼。常見的解碼工具有：Crack、LophtCrack等。

2.4 入侵檢測技術(shù)

入侵檢測技術(shù)可以分為兩大類：異常入侵檢測技術(shù)和誤用入侵檢測技術(shù)。下面分別介紹這兩種入侵檢測技術(shù)。2.4.1 誤用入侵檢測技術(shù)

誤用入侵檢測首先對表示特定入侵的行為模式進行編碼，建立誤用模式庫；然后對實際檢測過程中得到的審計事件數(shù)據(jù)進行過濾，檢查是否包含入侵特征串。誤用檢測的缺陷在于只能檢測已知的攻擊模式。常見的誤用入侵檢測技術(shù)有以下幾種：

1.模式匹配

模式匹配是最常用的誤用檢測技術(shù)，特點是原理簡單、擴展性好、檢測效率高、可以實時檢測；但是只能適用于比較簡單的攻擊方式。它將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式串進行比較，從而發(fā)現(xiàn)違背安全策略的行為。著名的輕量級開放源代碼入侵檢測系統(tǒng)Snort就是采用這種技術(shù)。2.專家系統(tǒng)

該技術(shù)根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后在此基礎上建立相應的專家系統(tǒng)來自動對所涉及的入侵行為進行分析。該系統(tǒng)應當能夠隨著經(jīng)驗的積累而利用其自學習能力進行規(guī)則的擴充和修正。專家系統(tǒng)方法存在一些實際問題：處理海量數(shù)據(jù)時存在效率問題，這是由于專家系統(tǒng)的推理和決策模塊通常使用解釋型語言來實現(xiàn)，所以執(zhí)行速度比編譯型語言慢；專家系統(tǒng)的性能完全取決于設計者的知識和技能；規(guī)則庫維護非常艱巨，更改規(guī)則時必須考慮到對知識庫中其他規(guī)則的影響等等。3.狀態(tài)遷移法

狀態(tài)遷移圖可用來描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移。狀態(tài)遷移圖用于入侵檢測時，表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動。

在檢測未知的脆弱性時，因為狀態(tài)遷移法強調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計特征，因此這種方法更具有健壯性。而它潛在的一個弱點是太拘泥于預先定義的狀態(tài)遷移序列。這種模型運行在原始審計數(shù)據(jù)的抽象層次上，它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑。另外，因為涉及了比較高層次的抽象，有希望把它的知識庫移植到不同的機器、網(wǎng)絡和應用的入侵檢測上。2.4.2 異常入侵檢測技術(shù)

異常檢測是通過對系統(tǒng)異常行為的檢測來發(fā)現(xiàn)入侵。異常檢測的關(guān)鍵問題在于正常使用模式的建立，以及如何利用該模式對當前系統(tǒng)或用戶行為進行比較，從而判斷出與正常模式的偏離程度?！蹦Ｊ健保╬rofiles）通常使用一組系統(tǒng)的度量（metrics）來定義。度量，就是指系統(tǒng)或用戶行為在特定方面的衡量標準。每個度量都對應于一個門限值。常用的異常檢測技術(shù)有： 1.統(tǒng)計分析

最早的異常檢測系統(tǒng)采用的是統(tǒng)計分析技術(shù)。首先，檢測器根據(jù)用戶對象的動作為每個用戶建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否異常行為。統(tǒng)計分析的優(yōu)點：有成熟的概率統(tǒng)計理論支持、維護方便，不需要象誤用檢測系統(tǒng)那樣不斷地對規(guī)則庫進行更新和維護等。統(tǒng)計分析的缺點：大多數(shù)統(tǒng)計分析系統(tǒng)是以批處理的方式對審計記錄進行分析的，不能提供對入侵行為的實時檢測、統(tǒng)計分析不能反映事件在時間順序上的前后相關(guān)性，而不少入侵行為都有明顯的前后相關(guān)性、門限值的確定非常棘手等。2.神經(jīng)網(wǎng)絡

這種方法對用戶行為具有學習和自適應功能，能夠根據(jù)實際檢測到的信息有效地加以處理并做出入侵可能性的判斷。利用神經(jīng)網(wǎng)絡所具有的識別、分類和歸納能力，可以使入侵檢測系統(tǒng)適應用戶行為特征的可變性。從模式識別的角度來看，入侵檢測系統(tǒng)可以使用神經(jīng)網(wǎng)絡來提取用戶行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。總之，把神經(jīng)網(wǎng)絡引入入侵檢測系統(tǒng)，能很好地解決用戶行為的動態(tài)特征以及搜索數(shù)據(jù)的不完整性、不確定性所造成的難以精確檢測的問題。利用神經(jīng)網(wǎng)絡檢測入侵的基本思想是用一系列信息單元（命令）訓練神經(jīng)單元，這樣在給定一組輸入后，就可能預測輸出。將神經(jīng)網(wǎng)絡應用于攻擊模式的學習，理論上也是可行的。但目前主要應用于系統(tǒng)行為的學習，包括用戶以及系統(tǒng)守護程序的行為。與統(tǒng)計理論相比，神經(jīng)網(wǎng)絡更好地表達了變量間的非線性關(guān)系，并且能自動學習并更新。

神經(jīng)網(wǎng)絡也存在一些問題：在不少情況下，系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡結(jié)構(gòu)，不能從訓練數(shù)據(jù)中學習特定的知識，這種情況目前尚不能完全確定產(chǎn)生的原因；另外，神經(jīng)網(wǎng)絡對判斷為異常的事件不會提供任何解釋或說明信息，這導致了用戶無法確認入侵的責任人，也無法判斷究竟是系統(tǒng)哪方面存在的問題導致了攻擊者得以成功入侵。

前面介紹了誤用檢測和異常檢測所使用的一些常用檢測手段，在近期入侵檢測系統(tǒng)的發(fā)展過程中，研究人員提出了一些新的入侵檢測技術(shù)。這些技術(shù)不能簡單地歸類為誤用檢測或異常檢測，它們提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次。這些新技術(shù)有：免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理的檢測等等，他們提供了更具有普遍意義的分析檢測技術(shù)，或者提出了新的檢測系統(tǒng)構(gòu)架，因此無論是對誤用檢測還是對異常檢測來說都可以得到很好的應用。

第三章 協(xié)議分析

3.1 協(xié)議分析簡介 1.以太幀協(xié)議分析

這是對以太網(wǎng)數(shù)據(jù)幀頭進行協(xié)議分析，并把分析的結(jié)果記入Packet結(jié)構(gòu)中。分析完以太幀頭后把數(shù)據(jù)包傳送到下一級協(xié)議分析程序中。數(shù)據(jù)幀的第13和14兩個字節(jié)組成的字段是協(xié)議類型字段。如果用十六進制表示，那么IP協(xié)議對應0X0800、ARP對應0X0806、RARP對應0X0835。2.ARP和RARP數(shù)據(jù)包協(xié)議分析

這是對ARP或RARP數(shù)據(jù)進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測模塊進行檢測，查看是否存在ARP和RARP相關(guān)的攻擊。由于基于ARP/RARP協(xié)議的攻擊較少，所以把他們歸入ICMP協(xié)議規(guī)則集中。3.IP數(shù)據(jù)包協(xié)議分析

這是對IP 數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于IP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。IP數(shù)據(jù)包首部的第一個字節(jié)的后面4個比特組成的字段標識了IP首部的長度。該字段的值乘以4就等于IP首部的長度。沒有包含IP選項的普通IP首部長度為20，如果大于20就說明此IP數(shù)據(jù)包包含IP首部。第5和第6個字節(jié)是IP數(shù)據(jù)包的16位標識，每一IP數(shù)據(jù)包都有唯一的標識。該標識在IP數(shù)據(jù)包分片重組時中起到至關(guān)重要的作用，每個分片就是通過檢查此ID號來判別是否屬于同一個IP包。第7個字節(jié)開始的前3個比特是重要的標志位：第一個標志位（最高位）為保留位（該位必須為0，否則就是一個錯誤的IP數(shù)據(jù)包），第二個標志位DF指示該IP數(shù)據(jù)包能否分片（該位為0則表示該IP數(shù)據(jù)包可以分片，為1則不能分片），第三個標志位MF指示該數(shù)據(jù)包是否為最后一個分片（該位為0表示此數(shù)據(jù)包是最后一個分片，為1表示不是最后一個分片）。從MF標志位開始的后面13個比特位記錄了分片的偏移量。分片的IP數(shù)據(jù)包，各個分片到目的端才會重組；傳輸過程中每個分片可以獨立選路。如何才能重組一個分片了的IP數(shù)據(jù)包呢？首先，16位分片ID（Fragment ID）標識了每個IP數(shù)據(jù)包的唯一性。數(shù)據(jù)包分片后，它的每個分片具有相同的標識。其次，通過每個分片的片偏移量可以確定每個分片的位置，再結(jié)合MF可以判斷該分片是否為最后一個分片。綜合上述信息，就可以順利的重組一個數(shù)據(jù)包。分片重組對網(wǎng)絡入侵檢測系統(tǒng)具有重要意義。首先，有一些攻擊方法利用了操作系統(tǒng)協(xié)議棧中分片合并實現(xiàn)上的漏洞，例如著名的TearDrop攻擊就是在短時間內(nèi)發(fā)送若干偏移量有重疊的分片，目標機接收到這樣的分片的時候就會合并分片，由于其偏移量的重疊而發(fā)生內(nèi)存錯誤，甚至會導致協(xié)議棧的崩潰。這種攻擊手段單從一個數(shù)據(jù)包上是無法辨認的，需要在協(xié)議分析中模擬操作系統(tǒng)的分片合并，以發(fā)現(xiàn)不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個微小分片內(nèi)來繞過入侵檢測系統(tǒng)或防火墻的檢測從而達到攻擊的目的。對付這種攻擊也需要在檢測的過程中合并碎片，恢復數(shù)據(jù)包的真實面目。

IP包頭的第10個字節(jié)開始的后面八個比特位表示了協(xié)議的類型：其中1表示ICMP協(xié)議，2表示IGMP協(xié)議，6表示TCP協(xié)議，17表示UDP協(xié)議。（這些數(shù)字是十進制的）。對IP數(shù)據(jù)包檢測完畢后，如果檢測到攻擊就記錄該數(shù)據(jù)包，然后重新開始檢測一個新的原始數(shù)據(jù)包。如果沒有檢測到攻擊，則在判斷上層協(xié)議類型之后就把數(shù)據(jù)包分流到TCP、UDP等協(xié)議分析程序中進行進一步協(xié)議分析。4.TCP數(shù)據(jù)包協(xié)議分析

這是對TCP數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于TCP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。首先讀入TCP數(shù)據(jù)包，對TCP包頭進行協(xié)議分析；并檢查是否有TCP選項，如果有的話就對TCP選項進行協(xié)議分析。然后，判斷該TCP數(shù)據(jù)包是否發(fā)生分段，如果發(fā)生了分段就進行TCP重組。再把重組后的數(shù)據(jù)包送入基于TCP協(xié)議規(guī)則集的匹配檢測程序進行檢測。如果檢測到攻擊就記錄下該攻擊數(shù)據(jù)包，以備攻擊取證等使用。記錄數(shù)據(jù)包后又返回，重新讀取一個新的數(shù)據(jù)包。如果沒有檢測到攻擊，就把該數(shù)據(jù)包送入下一級協(xié)議分析模塊中，作進一步的協(xié)議分析。

5.ICMP數(shù)據(jù)包協(xié)議分析

這是對ICMP數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。ICMP報文有很多類型，根據(jù)報文中的類型字段和代碼字段就可以區(qū)分每一種ICMP報文類型。6.UDP協(xié)議分析

這是對UDP數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于UDP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。如果檢測到攻擊就記錄該數(shù)據(jù)包，然后返回并讀取下一個數(shù)據(jù)包。如果沒有檢測到攻擊，那么就把數(shù)據(jù)包送入基于應用層協(xié)議規(guī)則集的檢測模塊進行進一步的檢測分析。應用層協(xié)議很復雜，這里不進行詳細討論。

3.2 協(xié)議分析的優(yōu)勢（1）提高性能：當系統(tǒng)提升協(xié)議棧來解析每一層時，它用已獲得的知識來消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊。比如4層協(xié)議是TCP，那就不用再搜索其他第四層協(xié)議如UDP上形成的攻擊。如果數(shù)據(jù)包最高層是簡單網(wǎng)絡管理協(xié)議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測的范圍明顯縮小，而且更具有針對性；從而使得IDS系統(tǒng)性能得到明顯改善。

（2）能夠探測碎片攻擊等基于協(xié)議漏洞的攻擊：在基于協(xié)議分析的IDS中，各種協(xié)議都被解析。如果出現(xiàn)IP分片，數(shù)據(jù)包將首先被重裝；然后再對整個數(shù)據(jù)包進行詳細分析來檢測隱藏在碎片中的潛在攻擊行為。這是采用傳統(tǒng)模式匹配技術(shù)的NIDS所無法做到的。（3）降低誤報和漏報率：協(xié)議分析能減少傳統(tǒng)模式匹配NIDS系統(tǒng)中常見的誤報和漏報現(xiàn)象。在基于協(xié)議分析的NIDS系統(tǒng)中誤報率會明顯減少，因為它們知道和每個協(xié)議有關(guān)的潛在攻擊的確切位置以及該位置每個字節(jié)的真正含義。例如，針對基于協(xié)議分析的IDS不但能識別簡單的路徑欺騙：例如把CGI攻擊”/cgi-bin/phf”變?yōu)椤?cgi-bin/./phf”或”/cgi-binphf”；而且也能識別復雜的HEX編碼欺騙：例如”/winnt/system32/cmd.exe”，編碼后變?yōu)椤?winnt/system32/%2563md.exe”，通過協(xié)議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對Unicode（UTF-8）的編碼欺騙（與ASCII字符相關(guān)的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”，通過解碼可知%c0%af在Unicode中對應/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統(tǒng)的設計及實現(xiàn)

4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設計

PANIDS系統(tǒng) 主要由系統(tǒng)基本信息讀取模塊、網(wǎng)絡數(shù)據(jù)包捕獲模塊、基于協(xié)議分析的入侵檢測模塊、響應模塊和控制管理中心等幾部分組成。4.2 系統(tǒng)基本信息讀取模塊的設計及實現(xiàn)

為了更好的顯示出本機的特性，在此PANIDS系統(tǒng)中特別增加系統(tǒng)基本信息讀取模塊。通過此模塊能顯示出主機名和本機的IP地址和所使用的Winsock的版本

在此模塊中主要用到函數(shù)gethostname()和gethostbyname()。gethostname()函數(shù)作用是獲取本地主機的主機名，其定義如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所獲取的主機名的緩沖區(qū)的指針。Namelen：緩沖區(qū)的大小，以字節(jié)為單位。

gethostbyname()在此模塊中是一個主要函數(shù)，該函數(shù)可以從主機名數(shù)據(jù)庫中得到對應的”主機”。其定義如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機名的指針。

gethostbyname()返回對應于給定主機名的包含主機名字和地址信息的hostent結(jié)構(gòu)指針。結(jié)構(gòu)的聲明與gethostaddr()中一致。如果沒有錯誤發(fā)生，gethostbyname()返回如上所述的一個指向hostent結(jié)構(gòu)的指針，否則，返回一個空指針。hostent結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)如下： struct hostent { char *h_name;//地址的正式名稱

char **h_aliases;//空字節(jié)-地址的預備名稱的指針 int h_addrtype;//地址類型，通常是AF_INET int h_length;//地址的比特長度

char **h_addr_list;//零字節(jié)-主機網(wǎng)絡地址指針,網(wǎng)絡字節(jié)順序 };返回的指針指向一個由Windows Sockets實現(xiàn)分配的結(jié)構(gòu)。應用程序不應該試圖修改這個結(jié)構(gòu)或者釋放它的任何部分。此外，每一線程僅有一份這個結(jié)構(gòu)的拷貝，所以應用程序應該在發(fā)出其他Windows Scokets API調(diào)用前，把自己所需的信息拷貝下來。

gethostbyname()實現(xiàn)沒有必要識別傳送給它的IP地址串。對于這樣的請求，應該把IP地址串當作一個未知主機名同樣處理。如果應用程序有IP地址串需要處理，它應該使用inet_addr()函數(shù)把地址串轉(zhuǎn)換為IP地址，然后調(diào)用gethostbyaddr()來得到hostent結(jié)構(gòu)。4.3 網(wǎng)絡數(shù)據(jù)包捕獲模塊的設計及實現(xiàn) 網(wǎng)絡數(shù)據(jù)包捕獲的方法有很多，比如既可以利用原始套接字來實現(xiàn)，也可以通過Libpcap、Jpcap和WinPcap 提供的接口函數(shù)來實現(xiàn)。Libpcap、Jpcap和WinPcap是世界各地的網(wǎng)絡專家共同努力的結(jié)果，為開發(fā)者提供了很多高效且與系統(tǒng)無關(guān)的網(wǎng)絡數(shù)據(jù)包截獲接口函數(shù)；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個優(yōu)秀跨平臺的網(wǎng)絡抓包開發(fā)工具，JPcap是它的一個Java版本。WinPcap在某種程度上可以說它是LibPcap的一個Windows版本，因為它們的大部分接口函數(shù)以及所采用的數(shù)據(jù)結(jié)構(gòu)都是一樣的。另外，WinPcap在某些方面進行了優(yōu)化，還提供了發(fā)送原始數(shù)據(jù)包和統(tǒng)計網(wǎng)絡通信過程中各種信息的功能（LibPcap沒有統(tǒng)計功能），方便進行測試；所以采用WinPcap所提供的庫函數(shù)來截獲網(wǎng)絡數(shù)據(jù)包。

Winpcap捕獲數(shù)據(jù)包的實現(xiàn)

1.網(wǎng)絡數(shù)據(jù)包捕獲的主要數(shù)據(jù)結(jié)構(gòu)(1)PACKET結(jié)構(gòu)

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個buffer就是指向存放數(shù)據(jù)包的用戶緩沖區(qū) UINT Length;//buffer的長度

DWORD ulBytesReceived;//調(diào)用PacketReceivePacket()函數(shù)所讀 //取的字節(jié)數(shù),可能包含多個數(shù)據(jù)包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個成員,都是過時的成員,他們的存在只是為了與原來的兼容。此結(jié)構(gòu)主要用來存放從內(nèi)核中讀取的數(shù)據(jù)包。(2)pcap_file_header 結(jié)構(gòu) struct pcap_file_header{ bpf_u_int32 magic;//一個標識號，標識特定驅(qū)動器產(chǎn)生的dump文件 u_short version_major;//WinPcap的主版本號 u_short version_minor;//WinPcap的次版本號

bpf_int32 thiszone;//GMT時間與本地時間的校正值 bpf_u_int32 sigfigs;//精確的時間戳

bpf_u_int32 snaplen;//每個數(shù)據(jù)包需要存放到硬盤上的最大長度 bpf_u_int32 linktype;//鏈路層的數(shù)據(jù)類型 };//這個頭部共24個字節(jié)

把截獲的數(shù)據(jù)包以標準的Windump格式存放到硬盤上時，就是以這個結(jié)構(gòu) 作為文件的開頭。(3)bpf_hdr結(jié)構(gòu) struct bpf_hdr { struct timeval bh_tstamp;//數(shù)據(jù)包捕獲的時間戳信息 UINT bh_caplen;//數(shù)據(jù)包被捕獲部分的長度 UINT bh_datalen;//數(shù)據(jù)的原始長度 USHORT bh_hdrlen;//此結(jié)構(gòu)的長度 };從內(nèi)核中讀取數(shù)據(jù)包并存放在用戶緩沖區(qū)中時，采用此結(jié)構(gòu)來封裝所截獲的 數(shù)據(jù)包。其中timeval的結(jié)構(gòu)如下 struct timeval { long tv_sec;//以秒為單位的時間 long tv_usec;//以毫秒為單位的時間 };(4)dump_bpf_hdr結(jié)構(gòu) struct dump_bpf_hdr{ struct timeval ts;//數(shù)據(jù)包捕獲的時間戳 UINT caplen;//數(shù)據(jù)包被捕獲部分的長度 UINT len;//數(shù)據(jù)包的原始長度 };把數(shù)據(jù)包存放到硬盤上或者向網(wǎng)絡上發(fā)送數(shù)據(jù)包時，都使用此結(jié)構(gòu)來封裝每一個數(shù)據(jù)包。

2.數(shù)據(jù)包捕獲的具體實現(xiàn)

在了解其數(shù)據(jù)結(jié)構(gòu)的基礎上，下面來分析其是如何具體實現(xiàn)網(wǎng)絡數(shù)據(jù)包捕獲的。其前期的主要過程應為：首先應找到設備列表，然后顯示適配器列表和選擇適配器，最后通過pcap_open_live（）函數(shù)根據(jù)網(wǎng)卡名字將所選的網(wǎng)卡打開，并設置為混雜模式。

用Winpacp捕獲數(shù)據(jù)包時，數(shù)據(jù)包捕獲的程序流程圖如圖4.3所示，其中pcap_loop()是截包的關(guān)鍵環(huán)節(jié)，它是一個循環(huán)截包函數(shù)，分析此函數(shù)的源碼可知，其內(nèi)部主要處理過程如圖4.4所示。在pcap_loop()的每次循環(huán)中，首先通過調(diào)用PacketReceivePacket()函數(shù)，從內(nèi)核緩沖區(qū)中把一組數(shù)據(jù)包讀取到用戶緩沖區(qū)。然后，根據(jù)bpf_hdr結(jié)構(gòu)提供的該數(shù)據(jù)包的定位信息，把用戶緩沖區(qū)的多個數(shù)據(jù)包逐個的提取出來，并依次送入回調(diào)函數(shù)進行進一步處理。通過這個過程就實現(xiàn)了網(wǎng)絡數(shù)據(jù)包的捕獲。

4.4 基于協(xié)議分析的入侵檢測模塊的設計及實現(xiàn)

此模塊是基于協(xié)議分析入侵檢測系統(tǒng)PANIDS的核心部分，下面我們重點討論此模塊的設計及實現(xiàn)。4.4.1 數(shù)據(jù)包的分解 當需要發(fā)送數(shù)據(jù)時，就需要進行封裝。封裝的過程就是把用戶數(shù)據(jù)用協(xié)議來進行封裝，首先由應用層協(xié)議進行封裝，如HTTP協(xié)議。而HTTP協(xié)議是基于TCP協(xié)議的。它就被TCP協(xié)議進行封裝，http包作為TCP數(shù)據(jù)段的數(shù)據(jù)部分。而TCP協(xié)議是基于IP協(xié)議的，所以TCP段就作為IP協(xié)議的數(shù)據(jù)部分，加上IP協(xié)議頭，就構(gòu)成了IP數(shù)據(jù)報，而IP數(shù)據(jù)報是基于以太網(wǎng)的，所以這個時候就被封裝成了以太網(wǎng)幀，這個時候就可以發(fā)送數(shù)據(jù)了。通過物理介質(zhì)進行傳送。在這里我們所用到的是數(shù)據(jù)包的分解。分解的過程與封裝的過程恰恰相反，這個時候就需要從一個以太網(wǎng)幀中讀出用戶數(shù)據(jù)，就需要一層一層地進行分解，首先是去掉以太網(wǎng)頭和以太網(wǎng)尾，在把剩下的部分傳遞給IP層軟件進行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協(xié)議，此時就去掉TCP頭，剩下應用層協(xié)議部分數(shù)據(jù)包了，例如HTTP協(xié)議，此時HTTP協(xié)議軟件模塊就會進一步分解，把用戶數(shù)據(jù)給分解出來，例如是HTML代碼。這樣應用軟件就可以操作用戶數(shù)據(jù)了，如用瀏覽器來瀏覽HTML頁面。其具體的數(shù)據(jù)包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測的實現(xiàn)

通過Winpcap捕獲數(shù)據(jù)包，數(shù)據(jù)包分解完以后就對其進行協(xié)議分析，判斷分組是否符合某種入侵模式，如果符合，則進行入侵告警。在本系統(tǒng)中實現(xiàn)了對多種常見入侵模式的檢測，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應用層攻擊。1.ICMP分片

ICMP報文是TCP/IP協(xié)議中一種控制報文，它的長度一般都比較小，如果出現(xiàn)ICMP報文分片，那么說明一定出現(xiàn)了Ping of Death攻擊。

在本系統(tǒng)中ip->ip_p == 0×1，這是表示ip首部的協(xié)議類型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(ip->ip_off > 1)&& str1!= str2時，就表認為是Ping of Death攻擊。如果都符合，就報警（調(diào)用函數(shù)將受到攻擊的時間、攻擊名稱以及攻擊的IP地址顯示出來）。

2.常用端口

一些攻擊特洛伊木馬、蠕蟲病毒等都會采用一些固定端口進行通信，那么如果在分組分析過程中發(fā)現(xiàn)出現(xiàn)了某個端口的出現(xiàn)，則可以認為可能出現(xiàn)了某種攻擊，這里為了減少誤判，應當設置一個閾值，僅當某個端口的分組出現(xiàn)超過閾值后才進行報警。這就意味著檢測到發(fā)往某個端口的的分組超過閾值后才認為出現(xiàn)了某種攻擊，并進行告警。本系統(tǒng)定義了兩種端口掃描，Trojan Horse端口掃描和代理服務器端口掃描。Trojan Horse端口掃描實現(xiàn)如下：首先根據(jù)if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為TCP SYN報文，若是，并且端口為Trojan Horse的常用掃描端口時，最后判斷報文數(shù)是否超過閾值TrojanThreshold，如果超過的后，就被認定為Trojan Horse端口掃描，然后報警。對代理服務器端口掃描檢測的實現(xiàn)方法和Trojan Horse端口掃描實現(xiàn)方法一樣，這里不再論述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播組管理協(xié)議，其長度也一般較小。同上ip->ip_p==0×2也是表示首部的協(xié)議類型字段，0×2代表IGMP，本系統(tǒng)實現(xiàn)了對其兩種攻擊模式的檢測。

（1）通過if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報文，若是，并且收到的報文數(shù)超過設定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報警。

（2）通過if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報文，若是，并且收到的報文數(shù)超過設定的閾值LandThreshold則被判定為land DoS攻擊,然后報警。

4.WinNuke攻擊 通過if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為TCP URG報文，若是，則根據(jù)WinNuke的典型特征是使用TCP中的Ugrent指針，并使用135、137、138、139端口，因此可以利用這兩個特征加以判斷，同樣為了減少誤判，應當設置一個閾值。當閾值超過設定的WinNukeThreshold時，就被最終判定為WinNuke攻擊，然后報警。5.應用層攻擊

其是分析應用層的數(shù)據(jù)特征，判斷是否存在入侵。在本系統(tǒng)中實現(xiàn)了對一種較為簡單的應用層攻擊的檢測。它也是屬于TCP SYN報文中的一種。主要思想是監(jiān)測報文中是否存在system32關(guān)鍵字，如果存在，則報警。

4.5 實驗結(jié)果及結(jié)論

程序編譯成功后，執(zhí)行可執(zhí)行文件，此時系統(tǒng)已被啟動，然后在”設置”菜單中將網(wǎng)卡設為混雜模式，點擊”開始”按鈕，本系統(tǒng)開始檢測。由實驗結(jié)果可知，本系統(tǒng)能較好的檢測出一些典型攻擊，并能在界面上顯示出攻擊日期/時間、攻擊的類型、攻擊源的IP地址，達到了預期的效果。

第五章 總結(jié)與參考文獻

入侵檢測是一種積極主動的安全防護技術(shù)；它既能檢測未經(jīng)授權(quán)的對象入侵系統(tǒng)，又能監(jiān)視授權(quán)對象對系統(tǒng)資源的非法操作。入侵檢測與防火墻、身份認證、數(shù)據(jù)加密、數(shù)字簽名等安全技術(shù)共同構(gòu)筑了一個多層次的動態(tài)安全體系。本文主要對基于網(wǎng)絡的入侵檢測系統(tǒng)的關(guān)鍵技術(shù)進行了研究和探討。首先較全面、系統(tǒng)地分析了入侵檢測技術(shù)的歷史、現(xiàn)狀和發(fā)展趨勢、了解了黑客常用的攻擊手段及其原理。然后，系統(tǒng)地闡述了入侵檢測的原理。接著講述了協(xié)議分析和模式匹配技術(shù)，最后，針對當前典型的網(wǎng)絡入侵，設計并實現(xiàn)了一個基于協(xié)議分析的網(wǎng)絡入侵檢測系統(tǒng)PANIDS，實現(xiàn)了多層次的協(xié)議分析，包括基本協(xié)議的解析、協(xié)議上下文的關(guān)聯(lián)分析以及應用層協(xié)議的分析，并取得了較為滿意的檢測效果。

[1] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測[M].北京：清華大學出版社 [2] 聶元銘，丘平.網(wǎng)絡信息安全技術(shù)[M].北京：科學出版社

[3] 董玉格，金海，趙振.攻擊與防護-網(wǎng)絡安全與實用防護技術(shù)[M].北京：人民 郵電出版社 [4] 戴云,范平志.入侵檢測系統(tǒng)研究綜述[J].計算機工程與應用 [5] 劉文淘.網(wǎng)絡入侵檢測系統(tǒng)[M].北京：電子工業(yè)出版社，

第二篇：網(wǎng)絡安全與入侵檢測技術(shù)的應用研究

網(wǎng)絡安全與入侵檢測技術(shù)的應用研究

摘要：介紹了入侵檢測系統(tǒng)和預警技術(shù)的含義，并對入侵檢測系統(tǒng)模型進行深入分析和分類，討論了入侵檢測系統(tǒng)的評價標準，最后對入侵檢測系統(tǒng)的發(fā)展趨勢作了有意義的預測。

關(guān)鍵詞：入侵檢測 網(wǎng)絡安全 防火墻

隨著Internet的應用日益廣泛和電子商務的興起，網(wǎng)絡安全作為一個無法回避的問題呈現(xiàn)在人們面前。提到網(wǎng)絡安全，很多人首先想到的是防火墻，防火墻作為一種靜態(tài)的訪問控制類安全產(chǎn)品通常使用包過濾的技術(shù)來實現(xiàn)網(wǎng)絡的隔離。適當配置的防火墻雖然可以將非預期的訪問請求屏蔽在外，但不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下，入侵檢測系統(tǒng)（IDS）應運而生。入侵檢測系統(tǒng)成為了安全市場上新的熱點，不僅愈來愈多的受到人們的關(guān)注，而且已經(jīng)開始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。入侵檢測技術(shù)概述

入侵檢測就是對指向計算和網(wǎng)絡資源的惡意行為的識別和響應過程，為通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

如果一個系統(tǒng)的計算機或者網(wǎng)絡安裝了入侵檢測系統(tǒng)，它會監(jiān)視系統(tǒng)的某些范圍，當系統(tǒng)受到攻擊的時候，它可以檢測出來并做出響應。入侵被檢測出來的過程包括監(jiān)控在計算機系統(tǒng)或者網(wǎng)絡中發(fā)生的事件，再分析處理這些事件，檢測出入侵事件。入侵檢測系統(tǒng)是使這監(jiān)控和分析過程自動化的產(chǎn)品，可以是軟件，也可以是硬件。

入侵檢測是對防火墻的合理補充，可以幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡環(huán)境下日新月異的攻擊手段缺乏主動的反應。如果與“傳統(tǒng)”的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護水平。入侵檢測系統(tǒng)實現(xiàn)

入侵檢測系統(tǒng)不但需要使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)（包括程序、文件和硬件設備等）的任何變更，而且還應能給網(wǎng)絡安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等，入侵檢測系統(tǒng)的實現(xiàn)一般包括以下幾個步驟。2.1 信息收集

入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關(guān)鍵點收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。入侵檢測利用的信息一般來自以下四個方面： ⑴系統(tǒng)和網(wǎng)絡日志文件

黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。

⑵目錄和文件中的不期望的改變

網(wǎng)絡環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。目錄和文件中的不期望的改變，特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。

⑶程序執(zhí)行中的不期望行為

網(wǎng)絡系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡服務、用戶起動的程序和特定目的的應用，例如數(shù)據(jù)庫服務器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)，每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。

⑷物理形式的入侵信息 這包括兩個方面的內(nèi)容，一是未授權(quán)的對網(wǎng)絡硬件連接；二是對物理資源的未授權(quán)訪問。黑客會想方設法去突破網(wǎng)絡的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設備和軟件。2.2 信號分析

對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

⑴模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單，也可以很復雜。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)已相當成熟。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

⑵統(tǒng)計分析

統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。其優(yōu)點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。

⑶完整性分析

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應用程序方面特別有效。入侵檢測系統(tǒng)的局限性

由于網(wǎng)絡的危害行為是一系列十分復雜的活動，特別是有預謀、有組織的網(wǎng)絡入侵，入侵檢測系統(tǒng)的研究遇到了以下三方面亟待解決的問題。3.1 入侵技術(shù)在不斷發(fā)展

入侵檢測技術(shù)以網(wǎng)絡攻擊技術(shù)研究為依托，通過跟蹤入侵技術(shù)的發(fā)展增強入侵檢測能力。在因特網(wǎng)上有大量的黑客站點，發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。更為令人擔憂的是有組織的活動，國外已將信息戰(zhàn)手段同核生化武器等列在一起，作為戰(zhàn)略威懾加以討論，破壞者所具備的能力，對我們是很大的未知數(shù)。

入侵技術(shù)的發(fā)展給入侵檢測造成了很大的困難，預先了解所有可能的入侵方法是困難的，因此一個有效的入侵檢測系統(tǒng)不僅需要識別已知的入侵模式，還要有能力對付未知的入侵模式。

3.2 入侵活動可以具有很大的時間跨度和空間跨度

有預謀的入侵活動往往有較周密的策劃、試探性和技術(shù)性準備，一個入侵活動的各個步驟有可能在一段相對長的時間跨度和相當大的空間跨度之上分別地完成，給預警帶來困難。一個檢測模型總會有一個有限的時間窗口，從而忽略滑出時間窗口的某些事實。同時，檢測模型對于在較大空間范圍中發(fā)生的的異?，F(xiàn)象的綜合、聯(lián)想能力也是有限的。3.3 非線性的特征還沒有有效的識別模型

入侵檢測技術(shù)的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測策略和算法。因為入侵模式是一個靜態(tài)的事物，而現(xiàn)實的入侵活動則是靈活多變的。有效的入侵檢測模型應能夠受大的時間跨度和空間跨度。從技術(shù)上說，入侵技術(shù)已經(jīng)發(fā)展到一定階段，而入侵檢測技術(shù)在理論上、模型上和實踐上還都沒有真正發(fā)展起來。在市場上能看得到的入侵檢測系統(tǒng)也都處在同一水平。

面對復雜的網(wǎng)絡入侵活動，網(wǎng)絡入侵檢測技術(shù)的研究不僅僅包括入侵技術(shù)的研究，更要重視建立入侵檢測策略和模型的理論研究。入侵檢測技術(shù)研究的主要內(nèi)容

網(wǎng)絡入侵檢測技術(shù)研究主要包括：網(wǎng)絡入侵技術(shù)研究、檢測模型研究、審計分析策略研究等。通過將這些技術(shù)組合起來，形成一個互動發(fā)展的有機體。4.1 入侵技術(shù)研究

入侵技術(shù)研究包括三個部分：第一，密切跟蹤分析國際上入侵技術(shù)的發(fā)展，不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法來豐富預警系統(tǒng)的檢測能力。第二，加強并利用預警系統(tǒng)的審計、跟蹤和現(xiàn)場記錄功能，記錄并反饋異常事件實例。通過實例分析提取可疑的網(wǎng)絡活動特征，擴充系統(tǒng)的檢測范圍，使系統(tǒng)能夠應對未知的入侵活動。第三，利用攻網(wǎng)技術(shù)的研究成果，創(chuàng)造新的入侵方法，并應用于檢測技術(shù)。4.2 檢測模型研究

對于預警系統(tǒng)來說，檢測模型的確定是很重要的。由于入侵活動的復雜性，僅僅依靠了解入侵方法還不能完全實現(xiàn)預警，還應有適當檢測模型與之配合。在預警技術(shù)研究中，入侵檢測模型是關(guān)鍵技術(shù)之一。4.3 審計分析策略研究

預警技術(shù)研究的另一個重點在于對審計數(shù)據(jù)的分析處理。其中包括：威脅來源的識別、企圖的判定、危害程度和能力的判斷等等。預警所產(chǎn)生的審計數(shù)據(jù)是檢測與預警的寶貴資源。這些審計數(shù)據(jù)可能是很大量的，如果缺乏有效的分析手段將會浪費這一資源。結(jié)束語

入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視。但在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務越來越多，迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。但現(xiàn)狀是入侵檢測僅僅停留在研究和實驗樣品階段，或者是防火墻中集成較為初級的入侵檢測模塊?？梢?，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)外，應重點加強統(tǒng)計分析的相關(guān)技術(shù)應用研究。

參考文獻

[1] 黃亞飛.防火墻技術(shù)與應用.武漢：湖北教育出版社，2003 [2] 張小斌.網(wǎng)絡安全與黑客防范.北京：清華大學出版社，1999

第三篇：無線局域網(wǎng)入侵檢測協(xié)議分析論文

無線局域網(wǎng)入侵檢測系統(tǒng)的研究

【摘要】 自從20世紀90年代出現(xiàn)無線局域網(wǎng)以來,由于WLAN具有多方面的優(yōu)點,令其發(fā)展十分迅速,但在無線局域網(wǎng)蓬勃發(fā)展的同時,安全問題也越來越突出。本文先介紹了無線局域網(wǎng)的特點、IEEE802.11系列協(xié)議標準以及無線局域網(wǎng)中的固有漏洞,然后又介紹了常見的入侵方式,其次系統(tǒng)的介紹了入侵檢測的概念、基本原理、工作模式、分類及發(fā)展趨勢,并闡述了各種局域網(wǎng)入侵檢測系統(tǒng)的關(guān)鍵技術(shù),并通過分析比較得出：無線局域網(wǎng)入侵檢測系統(tǒng)在設計上有別于有線入侵檢測系統(tǒng)。本文在深入分析了無線局域網(wǎng)技術(shù)以及常見入侵檢測技術(shù)的基礎上,針對無線局域網(wǎng)絡的特點,提出了一個將協(xié)議分析和模式匹配相結(jié)合的無線入侵檢測系統(tǒng)模型。模式匹配算法具有快速簡單的優(yōu)點,在實際應用中最為廣泛,但計算量大,檢測準確性低,通過改進模式匹配算法,取得了較好的結(jié)果。協(xié)議分析技術(shù)可以利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在,通過層次化、格式化的無線網(wǎng)絡報文逐層分析,可提高檢測效率,并有效控制漏報率和誤報率。最后提出了該系統(tǒng)的框架和主要的流程步驟,對其中的關(guān)鍵模塊進行了詳細設計。該系統(tǒng)利用Winpcap函數(shù)庫對無線傳輸數(shù)據(jù)進行捕獲,然后利用解碼模塊對捕獲到...更多還原

【Abstract】 Wireless local area network has developed very rapidly since the 1990s for it’s many advantages, and at the same time, the security problem has become more and more remarkable.This paper firstly describes the characteristics of WLAN, protocol standards of IEEE802.11 series and the inherent vulnerability in the WLAN, then presents the common intrusion method, and at last, introduces the concept of intrusion detection, basic principles, work patterns, classification and trends, systematically.At...更多還原

【關(guān)鍵詞】 無線局域網(wǎng)； 入侵檢測； 協(xié)議分析；

【Key words】 wireless LAN； intrusion detection； protocol analysis；

【索購全文】Q聯(lián)系Q：138113721 Q聯(lián)系Q: 139938848付費即發(fā)

目錄 摘要 3-4 ABSTRACT 4-5 第一章 緒論 8-11

1.1 研究背景 8

1.2 無線入侵檢測技術(shù)研究現(xiàn)狀 8-10

1.3 本文主要研究內(nèi)容和結(jié)構(gòu) 10-11 第二章 WLAN概述 11-18

2.1 WLAN標準 11-13

2.1.1 IEEE 802.11 11

2.1.2 IEEE 802.11b 11-12

2.1.3 IEEE 802.11a 12

2.1.4 IEEE 802.11g 12

2.1.5 IEEE 802.11i 12

2.1.6 IEEE 802.11n 12-13

2.2 WLAN的組成 13-14

2.3 WLAN組網(wǎng)方式 14-15

2.4 IEEE802.11協(xié)議分析 15-17

2.5 本章小結(jié) 17-18

第三章 無線局域網(wǎng)入侵檢測系統(tǒng) 18-28

3.1 無線局域網(wǎng)安全技術(shù) 18-19

3.1.1 MAC地址過濾和服務區(qū)標識符(SSID)匹配 18

3.1.2 WEP協(xié)議 18

3.1.3 WPA技術(shù) 18-19

3.1.4 802.11i協(xié)議 19

3.2 WLAN常見的入侵方式 19-21

3.2.1 網(wǎng)絡竊聽 19

3.2.2 假冒身份 19-20

3.2.3 拒絕服務攻擊 20

3.2.4 SSID猜解與誘騙 20

3.2.5 中間人攻擊 20-21

3.2.6 異常報文攻擊 21

3.2.7 重放攻擊 21

3.3 入侵檢測的概念 21-22

3.4 入侵檢測技術(shù) 22-27

3.4.1 入侵檢測的發(fā)展 22

3.4.2 入侵檢測的分類 22-27

3.5 本章小結(jié) 27-28

第四章 基于協(xié)議分析的入侵檢測系統(tǒng)設計 28-52

4.1 模式匹配與協(xié)議分析結(jié)合的入侵檢測方法 28-29

4.2 基于協(xié)議分析技術(shù)的檢測過程 29-31

4.2.1 協(xié)議分析樹的構(gòu)建 30-31

4.3 基于協(xié)議分析技術(shù)的入侵檢測體系結(jié)構(gòu) 31-32

4.4 檢測代理關(guān)鍵模塊設計 32-49

4.4.1 數(shù)據(jù)捕獲模塊 33-37

4.4.2 預檢測模塊 37-38

4.4.3 解碼模塊 38-42

4.4.4 規(guī)則解析模塊 42-43

4.4.5 協(xié)議分析模塊 43-44

4.4.6 模式匹配算法 44-47

4.4.7 改進的BM算法 47-49

4.5 對常見攻擊的檢測效果分析 49-51

4.5.1 IP 攻擊 49-50

4.5.2 ICMP 攻擊 50

4.5.3 其他攻擊 50-51

4.6 本章小結(jié) 51-52 結(jié)論 52-53 參考文獻

第四篇：網(wǎng)絡信息理入侵檢測技術(shù)研究論文

摘要:隨著現(xiàn)代信息技術(shù)的進步,越來越多的企業(yè)通過計算機進行全面信息的管理,但是在一些情況下,外部木馬等的介入會對于企業(yè)的數(shù)據(jù)儲存進而造成信息泄露等,所以說針對于現(xiàn)代企業(yè)而言,網(wǎng)絡安全工作具有十分重要的意義。在這個大前提下,企業(yè)如何處理網(wǎng)絡信息管理中的入侵檢測技術(shù)變得非常重要。本文進行了相關(guān)分析,希望帶來幫助。

關(guān)鍵詞:網(wǎng)絡信息；管理；入侵檢測技術(shù)

在現(xiàn)代之中,一些非法分子利用木馬進行相應的隱藏,然后通過對于計算機植入木馬,進行一些信息的竊取?，F(xiàn)代企業(yè)在面臨網(wǎng)絡非法分子進行信息盜取過程之中,首先應該對于入侵行為有著明確的認識,這就需要現(xiàn)代的入侵檢測技術(shù)了,對于入侵行為有著明確的判定,才能真正的展開后續(xù)行動,這對現(xiàn)代網(wǎng)絡信息管理而言十分重要。

1網(wǎng)絡信息管理中入侵檢測技術(shù)概述

(1)入侵檢測技術(shù)在網(wǎng)絡信息管理之中的作用。如果說現(xiàn)代計算機作為系統(tǒng),那么入侵檢測技術(shù)就相當于保安系統(tǒng),對于關(guān)鍵信息的儲存位置進行定期檢查和掃描,一旦發(fā)現(xiàn)外來不明用戶杜宇關(guān)鍵信息進行查詢,便對使用用戶進行警告,幫助用戶進行入侵行為的相關(guān)處理,保障關(guān)鍵的信息系統(tǒng)和數(shù)據(jù)信息不會收到損壞和盜竊。入侵檢測技術(shù)同樣會對系統(tǒng)之中存在的漏洞進行檢查和通報,對于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對于這些位置進行處理,更為良好的保證整個系統(tǒng)的安全,對于現(xiàn)代企業(yè)網(wǎng)絡系統(tǒng)而言,入侵檢測技術(shù)便是保障的第二道鐵閘。

(2)現(xiàn)階段入侵檢測技術(shù)的主要流程。通常情況下,入侵檢測技主要可以分為兩個階段。第一個階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進行收集,這些信息的收集主要是通過對于重點信息部位的使用信息進行查詢得出的,所以說在現(xiàn)代應用之中,入侵檢測技術(shù)一方面應用了現(xiàn)代的檢測技術(shù),另外一方面也對于多種信息都進行了收集行為,保證了收集信息的準確性;第二個階段便是處理相關(guān)信息,通過將收集的信息和過往的信息進行有效對比,然后如果對比出相關(guān)錯誤便進行判斷,判斷使用行為是否違背了網(wǎng)絡安全管理規(guī)范,如果判斷結(jié)果為肯定,那么便可以認定其屬于入侵行為,對于使用用戶進行提醒,幫助用戶對于入侵行為進行清除。

2現(xiàn)階段入侵檢測技術(shù)的使用現(xiàn)狀

(1)網(wǎng)絡信息管理中入侵檢測系統(tǒng)的問題。入侵檢測技術(shù)作為一種網(wǎng)絡輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統(tǒng)的,很多先通過入侵技術(shù)的漏洞來進行。針對現(xiàn)階段的使用過程而言,入侵檢測技術(shù)仍然存在自身的漏洞危險,也存在主要使用風險。在現(xiàn)階段存在危險的方面主要有兩個方面。一方面便是由于入侵檢測系統(tǒng)存在漏洞;另外一方面便是現(xiàn)代計算機技術(shù)的發(fā)展。無論是相關(guān)的檢測系統(tǒng)亦或是相關(guān)病毒,都是現(xiàn)代編程人員利用C語言進行編程,伴隨著相關(guān)編程水平的不斷提高,兩種技術(shù)同樣得到了自我發(fā)展,所以說很多hacker高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來進行相關(guān)分析。所以說新的時期,入侵檢測技術(shù)也應該得到自我的發(fā)展,同樣針對于應用網(wǎng)絡的相關(guān)企業(yè)做好安全保證,保證信息技術(shù)在現(xiàn)代之中的發(fā)展。

(2)現(xiàn)階段網(wǎng)絡信息管理之中入侵檢測技術(shù)存在的問題。網(wǎng)絡信息管理之中的入侵檢測技術(shù)在現(xiàn)代之中仍然存在問題,同樣是兩個方面問題。一方面是由于入侵技術(shù)自身存在漏洞,在現(xiàn)階段很多入侵檢測技術(shù)是通過對于入侵行為進行有效的提取,將行為進行歸納,對于行為是否符合現(xiàn)代網(wǎng)絡安全規(guī)范,然后判斷結(jié)果是否為入侵。很多時候,入侵行為往往較為隱秘,所以說這就導致了相關(guān)的入侵檢測技術(shù)不能對于入侵行為進行提取,更無從談起其是否符合網(wǎng)絡安全規(guī)范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現(xiàn)階段常見的問題。隨著現(xiàn)代網(wǎng)絡技術(shù)的發(fā)展,網(wǎng)絡速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測過程之中,很多時候檢測速度小于網(wǎng)絡檢測速度,這樣的情況下,一些行為尚未進行阻攔,便已經(jīng)達成入侵的目的了,進而導致了信息的丟失,所以說這方面的問題同樣應該得到改善。企業(yè)在應用之中,也應該注意這種速度的問題,防止因為速度進而造成自身信息丟失等。

3網(wǎng)絡信息管理之中入侵檢測技術(shù)的具體分類

(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進行檢測,但是由于入侵的性質(zhì)未定,這就導致很多時候入侵檢測技術(shù)進行了無用功。現(xiàn)階段往往入侵檢測技術(shù)通過建立一個行為輪廓來進行限定,如果入侵行為已經(jīng)超過了這個行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應行為也容易出現(xiàn)相關(guān)漏洞。在實際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡訪問行為,但是在入侵檢測技術(shù)之中被判斷為入侵行為,造成了工作的重復。所以說在進行行為輪廓的確定時,同樣應該由一些特征量來確定,減少檢測工作可能出現(xiàn)的失誤,進而可以提升檢測工作的效率;另外一方面可以設置參考數(shù)值,通過參考數(shù)值的評定來進行評判,在入侵檢測技術(shù)之中,參考數(shù)值非常重要。

(2)誤用檢測,其應用前提便是所有的入侵行為進行識別并且進行標記。在一般情況下,誤用檢測便是通過攻擊方法來進行攻擊簽名,然后再通過定義已經(jīng)完成的攻擊簽名對于入侵行為進行相關(guān)判斷。很多行為都是通過漏洞來進行,所以誤用檢測可以準確的判斷出相應入侵行為,不僅預防了入侵行為,還可以對于其他入侵行為進行警示作用。這種技術(shù)在實際使用過程之中,提升了入侵檢測數(shù)的效率和準確。

4結(jié)語

在現(xiàn)代信息技術(shù)得到發(fā)展的今天,網(wǎng)絡信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。針對于網(wǎng)絡安全而言,其自身往往具有一些技術(shù)之中的漏洞,所以同樣容易引發(fā)入侵行為。針對于入侵行為,現(xiàn)代之中有著入侵檢測技術(shù),本文對于入侵檢測技術(shù)的使用進行了分析,希望為相關(guān)人員帶來相關(guān)思考。

參考文獻

[1]張麗.入侵檢測技術(shù)在網(wǎng)絡信息管理中的應用分析[J].中國科技博覽,2014,第16期:12-12.[2]陳瑩瑩.網(wǎng)絡信息管理中入侵檢測技術(shù)的研究[J].信息通信,2013,06期:99-99.[3]張偉.計算機網(wǎng)絡信息管理系統(tǒng)中的入侵檢測技術(shù)[J].計算機光盤軟件與應用,2014,11期:168-169.

第五篇：入侵檢測系統(tǒng)開發(fā)總結(jié)報告

校園網(wǎng)設計方案

目錄

第一章 某校園網(wǎng)方案.............................................................................3 1.1設計原則.......................................................................................3 第二章 某校園網(wǎng)方案設計......................................................................3 2.1校園網(wǎng)現(xiàn)網(wǎng)拓撲圖........................................................................3 2.2校園網(wǎng)設備更新方案....................................................................4 2.3骨干網(wǎng)絡設計...............................................................................7

第一章 某校園網(wǎng)方案 1.1設計原則

1.充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡需求，既要保證校園網(wǎng)能很好的為學校服務，又要保護學校的投資。

2.強大的安全管理措施，四分建設、六分管理，管理維護的好壞是校園網(wǎng)正常運行的關(guān)鍵 3.在滿足學校的需求的前提下，建出自己的特色

1.2網(wǎng)絡建設需求

網(wǎng)絡的穩(wěn)定性要求

? 整個網(wǎng)絡需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡訪問的不同要求 網(wǎng)絡高性能需求

? 整個網(wǎng)絡系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應用的暢通無阻

? 認證計費效率高，對用戶的認證和計費不會對網(wǎng)絡性能造成瓶頸 網(wǎng)絡安全需求

? 防止IP地址沖突 ? 非法站點訪問過濾 ? 非法言論的準確追蹤 ? 惡意攻擊的實時處理

? 記錄訪問日志提供完整審計 網(wǎng)絡管理需求

? 需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢 ? 需要能夠?qū)W(wǎng)絡設備進行集中的統(tǒng)一管理 ? 需要對網(wǎng)絡故障進行快速高效的處理

第二章 某校園網(wǎng)方案設計 2.1校園網(wǎng)現(xiàn)網(wǎng)拓撲圖

整個網(wǎng)絡采用二級的網(wǎng)絡架構(gòu)：核心、接入。

核心采用一臺RG－S4909，負責整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時為接入交換機S1926F+、內(nèi)部服務器提供百兆接口。網(wǎng)絡出口采用RG-WALL1200防火墻。原有網(wǎng)絡設備功能較少，無法進行安全防護，已經(jīng)不能滿足應用的需求。

2.2校園網(wǎng)設備更新方案

方案一：不更換核心設備

核心仍然采用銳捷網(wǎng)絡S4909交換機，在中校區(qū)增加一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中匯聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關(guān)鍵機器的保護，中校區(qū)的網(wǎng)絡結(jié)構(gòu)也做相應的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。

方案二：更換核心設備

核心采用一臺銳捷網(wǎng)絡面向10萬兆平臺設計的多業(yè)務IPV6路由交換機RG-S8606，負責整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設備，下接三臺S2126G實現(xiàn)安全控制，其它二層交換機分別接入相應的S2126G。西校區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。中校區(qū)的網(wǎng)絡結(jié)構(gòu)也做相應的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。

2.3骨干網(wǎng)絡設計

骨干網(wǎng)絡由RG-S8606構(gòu)成，核心交換機RG-S8606主要具有5特性：

1、骨干網(wǎng)帶寬設計：千兆骨干，可平滑升級到萬兆

整個骨干網(wǎng)采用千兆雙規(guī)線路的設計，二條線路通過VRRP冗余路由協(xié)議和OSPF動態(tài)路由協(xié)議實現(xiàn)負載分擔和冗余備份，以后，隨著網(wǎng)絡流量的增加，可以將鏈路升級到萬兆。

2、骨干設備的安全設計：CSS安全體系架構(gòu)

3、CSS之硬件CPP CPP即CPU Protect Policy，RG-S8606采用硬件來實現(xiàn)，CPP提供管理模塊和線卡CPU的保護功能，對發(fā)往CPU的數(shù)據(jù)流進行帶寬限制（總帶寬、QOS隊列帶寬、類型報文帶寬），這樣，對于ARP攻擊的數(shù)據(jù)流、針對CPU的網(wǎng)絡攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會影響其正常工作。

由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實現(xiàn)，不影響整機的運行效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡需要更安全、需要為不同的業(yè)務提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復雜的網(wǎng)絡 8 環(huán)境中核心交換機的高性能。

2.4網(wǎng)絡安全設計

2.4.1某校園網(wǎng)網(wǎng)絡安全需求分析

1、網(wǎng)絡病毒的防范

病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。

病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學

生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對校園網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。

3、安全事故發(fā)生時候，需要準確定位到用戶 安全事故發(fā)生時候，需要準確定位到用戶原因：

? 國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計。

? 校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我們無法處理，學校或者說網(wǎng)絡中心只有替學生背這個黑鍋。

4、安全事故發(fā)生時候，不能準確定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。

5、用戶上網(wǎng)時間的控制

無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。學生家長會對學校產(chǎn)生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。

6、用戶網(wǎng)絡權(quán)限的控制

在校園網(wǎng)中，不同用戶的訪問權(quán)限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。辦公網(wǎng)絡的用戶因該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權(quán)限進行嚴格的控制。

7、各種網(wǎng)絡攻擊的有效屏蔽

校園網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行，降低了校園網(wǎng)的效率。

2.4.2某校園網(wǎng)網(wǎng)絡安全方案設計思想 2.4.2.1安全到邊緣的設計思想

用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無疑是達到更好的效果。2.4.2.2全局安全的設計思想

銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全，安全不是某一個設備的事情，應該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡，最終從全局的角度把控網(wǎng)絡安全。

2.4.2.3全程安全的設計思想

用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問網(wǎng)絡的時候、訪問網(wǎng)絡后。對著每一個階段，都應該有嚴格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡安全方案

銳捷網(wǎng)絡結(jié)合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現(xiàn)網(wǎng)絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。2.4.3.1事前的身份認證

對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果：

? 每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.? 當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。

? 只有經(jīng)過網(wǎng)絡中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。2.4.3.2網(wǎng)絡攻擊的防范

1、常見網(wǎng)絡病毒的防范

對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。

2、未知網(wǎng)絡病毒的防范

對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關(guān)鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。

3、防止IP地址盜用和ARP攻擊

通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關(guān)鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊

通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。

6、對DOS攻擊，掃描攻擊的屏蔽

通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。2.4.3.3事后的完整審計

當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡，什么時候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。

2.5網(wǎng)絡管理設計

網(wǎng)絡管理包括設備管理、用戶管理、網(wǎng)絡故障管理 2.5.1網(wǎng)絡用戶管理

網(wǎng)絡用戶管理見網(wǎng)絡運營設計開戶部分 2.5.2網(wǎng)絡設備管理

網(wǎng)絡設備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的 12 思路：

1、網(wǎng)絡現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解

STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)，讓網(wǎng)絡管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。

對于網(wǎng)絡中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡中的異常情況。

2、網(wǎng)絡流量的查看

STARVIEW在網(wǎng)絡初步異常的情況下，能進一步的察看網(wǎng)絡中的詳細流量，從而為網(wǎng)絡故障的定位提供了豐富的數(shù)據(jù)支持。

3、網(wǎng)絡故障的信息自動報告

STARVIEW支持故障信息的自動告警，當網(wǎng)絡設備出現(xiàn)故障時，會通過TRAP的方式進行告警，13 網(wǎng)絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。

4、設備面板管理

STARVIEW的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數(shù)量、狀態(tài)等等，同 14 時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息的察看。

5、RGNOS操作系統(tǒng)的批量升級

校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡管理員的工作量。

2.5.3網(wǎng)絡故障管理

隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡故障解決方式主要是這樣一個流程：

2.6流量管理系統(tǒng)設計

網(wǎng)絡中的流量情況是網(wǎng)絡是否正常的關(guān)鍵，網(wǎng)絡中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡業(yè)務的正常開展產(chǎn)生了非常嚴重的影響，有的學校甚至因為P2P軟件的泛濫，直接導致了網(wǎng)絡出口的癱瘓。

2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達到控制流量的目的，這有三大弊端，? 第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。

? 第二：各種新型的，對網(wǎng)絡帶寬消耗更大的應用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處于被動的局面，顯然不能從根本上解決這個問題。

? 第三：我們無法獲取網(wǎng)絡中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡管理，網(wǎng)絡故障預防和排除提供數(shù)據(jù)支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網(wǎng)絡的流量管理主要通過RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來實現(xiàn)。

NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：

? 第一：為SAM系統(tǒng)對用戶進行流量計費提供原始數(shù)據(jù)，這是我們已經(jīng)實現(xiàn)了的功能。該功能能滿足不同消費層次的用戶對帶寬的需求，經(jīng)濟條件好一點，可以多用點流量，提高了用戶的滿意度。而且，對于以后新出現(xiàn)的功能更加強大的下載軟件，都不必擔心用戶任意使用造成帶寬擁塞。? 第二：提供日志審計和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。

? 第三：能夠?qū)W(wǎng)絡中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進行分析對比，為應用系統(tǒng)的建設、服務器的升級改造提供數(shù)據(jù)支持；能夠及時的發(fā)現(xiàn)網(wǎng)絡中的病毒、惡意流量，從而進行有效的防范，結(jié)合認證計費系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。

總體來說，流量控制和管理和日志系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。

網(wǎng)絡防火墻設計中的問題 方案：硬件？還是軟件？

現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個高效的處理能力。

防火墻從實現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint 公司的Firewall-I為代表，其實現(xiàn)是通過 dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計類似），通過在操作系統(tǒng)底層做工作來實現(xiàn)防火墻的各種功能和優(yōu) 化。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個人”防火墻，而且功能及其有限，故不在此討論范圍。

在國內(nèi)目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨設計，典型如Netscreen防火墻不但軟件部分單獨設計，硬件部分也采用專門的ASIC集成電路。

另外一種就是基于PC架構(gòu)的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內(nèi)絕大 多數(shù)防火墻都屬于這種類型。

雖然都號稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬 件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設計或選用的運行平臺本身的性能可能并不高，但它將主要的運算程序（查表運算是防火 墻的主要工作）做成芯片，以減少主機CPU的運算壓力。國內(nèi)廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已。現(xiàn)在國內(nèi)防火墻的一個典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個日志服務器）+百兆網(wǎng)卡 這 樣一個工業(yè)PC結(jié)構(gòu)。

在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操 作系統(tǒng)，自行設計防火墻。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所 作的改動量有多大。

事實上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務器的寵兒的重要原因，我自己認為，在這一點上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）?，F(xiàn)在絕大部 分廠家，甚至包括號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少 量的系統(tǒng)補丁。而且我們在分析各廠家產(chǎn)品時可以注意這一點，如果哪個廠家對系統(tǒng)本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細了解）。

目前國內(nèi)廠家也已經(jīng)認識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內(nèi)核和防火墻設計

現(xiàn)在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測通信信息、狀態(tài)檢測和應用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為 第四代防火墻）。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動（如加載一些llkm）； 限制命令執(zhí)行權(quán)限； 取消IP轉(zhuǎn)發(fā)功能； 檢查每個分組的接口； 采用隨機連接序號； 駐留分組過濾模塊； 取消動態(tài)路由功能；

采用多個安全內(nèi)核（這個只見有人提出，但未見到實例，對此不是很清楚）。

以上諸多工作，其實基本上都沒有對內(nèi)核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。

對于防火墻部分，國內(nèi)大部分已經(jīng)升級到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測（通過connection track模塊實現(xiàn)）。而且netfilter是一個設計很合理的框架，可以在適當?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作 擴展（如加入簡單的IDS功能等等）。這一點是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對國內(nèi)廠家來說似乎不太現(xiàn)實。

至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設計的很成功，不需要我們再去做太多工作）。

3．自我保護能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標，因此它的自我包括能力在設計過程中應該放在首要的位置。A．管理上的安全性

防火墻需要一個管理界面，而管理過程如何設計的更安全，是一個很重要的問題。目前有兩種方案。

a．設置專門的服務端口

為了減少管理上的風險和降低設計上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個服務端口，這個端口只是用來和管理主機連接。除了專用的服務口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點就是降低了設計 上的難度，由于管理通信是單獨的通道，無論是內(nèi)網(wǎng)主機、外網(wǎng)主機還是DMZ內(nèi)主機都無法竊聽到該通信，安全性顯然很高，而且設計時也無需考慮通信過程加密 的問題。

然而這樣做，我們需要單獨設置一臺管理主機，顯然太過浪費，而且這樣管理起來的靈活性也不好。

b．通信過程加密

這樣無需一個專門的端口，內(nèi)網(wǎng)任意一臺主機都可以在適當?shù)那闆r下成為管理主機，管理主 機和防火墻之間采用加密的方式通信。

目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認證。對加密這個領(lǐng)域了解不多，不做詳 細討論。

B．對來自外部（和內(nèi)部）攻擊的反應能力

目前常見的來自外部的攻擊方式主要有： a．DOS（DDOS）攻擊

（分布式）拒絕服務攻擊是目前一種很普遍的攻擊方式，在預防上也是非常困難的。目前 防火墻對于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大小）。在Linux內(nèi)核中有一個防止Syn flooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。另外對于ICMP攻擊，可以通過關(guān)閉ICMP 回應來實現(xiàn)。b．IP假冒（IP spoofing）

IP假冒是指一個非法的主機假冒內(nèi)部的主機地址，騙取服務器的“信任”，從而達到對網(wǎng)絡的攻擊目的。

第一，防火墻設計上應該知道網(wǎng)絡內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡外部但卻有內(nèi)部地址的數(shù)據(jù)包。實際實現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。

第二，防火墻將內(nèi)網(wǎng)的實際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來自外部，對內(nèi)網(wǎng)無需考慮此問題（其實同時內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。c．特洛伊木馬

防火墻本身預防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。

一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機 也能防止木馬攻擊。事實上，內(nèi)網(wǎng)主機可能會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機的在預防木馬方面的安全性仍然需要主機自己解決（防火墻只能 在內(nèi)網(wǎng)主機感染木馬以后起一定的防范作用）。d．口令字攻擊

口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。（在管理主機與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）

來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。

內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測網(wǎng)絡截獲管理主機給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。e．郵件詐騙

郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內(nèi)網(wǎng)主機本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。f．對抗防火墻（anti-firewall）

目前一個網(wǎng)絡安全中一個研究的熱點就是對抗網(wǎng)絡安全產(chǎn)品如防火墻。一種是分析防火墻 功能和探測防火墻內(nèi)部網(wǎng)絡結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡，也可能會很有效的 探測到防火墻和內(nèi)部網(wǎng)絡的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前對于這種探測（攻擊）手段，尚無有效的預防措施，因為防火墻本身是一個被動的東西，它只能靠隱藏內(nèi)部網(wǎng)絡結(jié)構(gòu)和提高自身的安全性來對 抗這些攻擊。C．透明代理的采用

應用代理防火墻一般是通過設置不同用戶的訪問權(quán)限來實現(xiàn)，這樣就需要有用戶認證體 系。以前的防火墻在訪問方式上主要是要求用戶登錄進系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風險和出錯概率，從而提高了防火墻的安全性。

4．透明性

防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網(wǎng)絡時，網(wǎng)絡和用戶無需做任何設置和改動，也根本意識不到防火墻的存在。

防火墻作為一個實際存在的物理設備，要想放入已存在地網(wǎng)絡中又不對網(wǎng)絡有任何影響，就必須以網(wǎng)橋的方式置入網(wǎng)絡。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網(wǎng)關(guān)，原有網(wǎng)絡拓撲 19 結(jié)構(gòu)往往需要改變，網(wǎng)絡設備（包括主機和路由器）的設置（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運行，用戶將不必重新設定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡中使用。

透明模式最大的好處在于現(xiàn)有網(wǎng)絡無需做任何改動，這就方便了很多客戶，再者，從透明 模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。當然，此時的防火墻僅僅起到一個防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當然，其他功能如透明代理還可以 繼續(xù)使用。目前透明模式的實現(xiàn)上可采用ARP代理和路由技術(shù)實現(xiàn)。此時防火墻相當于一個ARP代理的功能。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大致如下： 內(nèi)網(wǎng)―――――防火墻―――――路由器

（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級網(wǎng)絡的實現(xiàn)方式）

內(nèi)網(wǎng)主機要想實現(xiàn)透明訪問，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時 由于事實上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機和路由器之間傳遞ARP包。防火墻所要做的就是當路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機的硬件地址時，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機都認為將數(shù)據(jù)包發(fā)給了對方，而實際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。

顯然，此時防火墻還必須實現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外，防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應用層處理（此時實現(xiàn)應用層代理、過濾等功能），此時需要端口轉(zhuǎn)發(fā)來實現(xiàn)（？這個地方不是十分清 楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡拓撲結(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個網(wǎng)段（也和子 網(wǎng)在同一個網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個過程如下：

1.用ARP代理實現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡層）2.用路由轉(zhuǎn)發(fā)在IP層實現(xiàn)數(shù)據(jù)包傳遞（IP層）3.用端口重定向?qū)崿F(xiàn)IP包上傳到應用層（IP層）

前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理主要是 為實現(xiàn)內(nèi)網(wǎng)主機可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機在使用內(nèi)部網(wǎng)絡地址的情況下仍然可以使用透明代理，此時防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務器的作用（顯然此時不是透明模式）。

需要澄清的一點是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實現(xiàn)透明代理，非透明模式下的防火墻（此時它必然又是一個網(wǎng)關(guān)）也能實現(xiàn)透明代理。它們的共同點在于可以簡化內(nèi)網(wǎng)客戶的設置而已。

目前國內(nèi)大多防火墻都實現(xiàn)了透明代理，但實現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：如果哪個防火墻實現(xiàn)了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。5．可靠性

防火墻系統(tǒng)處于網(wǎng)絡的關(guān)鍵部位，其可靠性顯然非常重要。一個故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個內(nèi)網(wǎng)的主機都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器的 拓撲結(jié)構(gòu)一般都是冗余設計）更讓人無法承受。

防火墻的可靠性也表現(xiàn)在兩個方面：硬件和軟件。

國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設計，系統(tǒng)各個部分從網(wǎng)絡接口到存儲設備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。

國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲設備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國內(nèi)已經(jīng)有部分廠家意識到了這個問題，開始自行設計硬件。但大多數(shù)廠家還是從成本的角度考慮 20 使用通用PC架構(gòu)。

另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國內(nèi)整個軟件行業(yè)的 可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡應用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴充和修改中，其可靠性更不能讓人恭維。

總的來說，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。6．市場定位

市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求。

總的說來，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個報價： CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 無限用戶 131000.00 從用戶量上防火墻可以分為： a． 10－25用戶：

這個區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡環(huán)境。防火墻一般為10M（針對 硬件防火墻而言），兩網(wǎng)絡接口，涵蓋防火墻基本功能：包過濾、透明模式、網(wǎng)絡地址轉(zhuǎn)換、狀態(tài)檢測、管理、實時報警、日志。一般另有可選功能：VPN、帶寬管理等等。

這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）。據(jù)調(diào)查，這個區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個市場的緣故？ b． 25－100用戶

這個區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級到100M，三或更多網(wǎng)絡接口。VPN、帶寬管 理往往成為標準模塊。

這個區(qū)間的防火墻報價從3萬到15萬不等，根據(jù)功能價格有較大區(qū)別。相對來說，這個區(qū)間上 硬件防火墻價格明顯高于軟件防火墻。

目前國內(nèi)防火墻絕大部分集中在這個區(qū)間中。c． 100－數(shù)百用戶

這個區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機熱備份。這個區(qū)間的防火墻報價一般在20萬以上。這樣的中高端 防火墻國內(nèi)較少，有也是25－100用戶的升級版，其可用性令人懷疑。d． 數(shù)百用戶以上

這個區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當然其價格也很高端，從數(shù)十萬到數(shù)百萬不等。

總的來說，防火墻的價格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價格就越貴。如Netscreen的百兆防火墻： NetScreen-100f(AC Power)-帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎上增加了128位VPN功能的報價則高出5萬元： ￥317,500 7． 研發(fā)費用

如同其他網(wǎng)絡安全產(chǎn)品一樣，防火墻的研發(fā)費用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲備要求較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相當?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高。

總的來說，防火墻的研發(fā)是一個大項目，而且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現(xiàn)，哪些功能不必實現(xiàn)、哪些功能可以在后期實現(xiàn)，一定要清楚，否則費用會遠遠超出預計。

下邊對一個中小型企業(yè)級防火墻的研發(fā)費用作個簡單的估計。

研發(fā)時，防火墻可以細分為（當然在具體操作時往往需要再具體劃分）： 內(nèi)核模塊

防火墻模塊（含狀態(tài)檢測模塊）NAT模塊 帶寬管理模塊 通信協(xié)議模塊 管理模塊

圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實質(zhì)屬于NAT模塊）

透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應用代理模塊（包括URL過濾模塊）VPN模塊

流量統(tǒng)計與計費模塊 審計模塊

其他模塊（如MAC、IP地址綁定模塊、簡單的IDS、自我保護等等）

上邊把防火墻劃分為12個模塊，其中每一個模塊都有相當?shù)墓ぷ髁恳?，除了彈性較大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設計目標不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當大），兩個主模塊 各按20人周計算，防火墻實現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守數(shù)字）集成、測試，前后總共需要約210人周。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運行 費用、保險等費用攤分，個人工資應遠低于這個數(shù)字），開發(fā)費用約需25萬。

顯然，這個數(shù)字只是一個局外人估計的下限，實際的研發(fā)應該超出這個數(shù)字很多。8． 可升級能力（適用性）和靈活性

對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，如果防火墻 不能升級，那它的可用性和可選擇余地勢必要大打折扣。目前國內(nèi)防火墻一般都是軟件可升級的，這是因為大多數(shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實現(xiàn)升級 功能只要很小的工作量要做。但究竟升級些什么內(nèi)容？升級周期多長一次？這就涉及到一個靈活性的問題。防火墻的靈活性主要體現(xiàn)在以下幾點： a． 易于升級

b． 支持大量協(xié)議

c． 易于管理（如納入通用設備管理體系（支持SNMP）而不是單列出來）d． 功能可擴展

這里對功能可擴展做一簡單討論。一般情況下，防火墻在設計完成以后，其過濾規(guī)則都是 定死的，用戶可定制的余地很小。特別如URL過濾規(guī)則（對支持URL過濾的防火墻而言），當前網(wǎng)絡中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機器IIS服務器的ida漏洞，而我們?nèi)绻軌蚣皶r定義過濾規(guī)則，對于“GET /default.ida”的請求及時過濾，那么內(nèi)網(wǎng)主機（此時一般為DMZ內(nèi)主機）的安全性就會高很多，內(nèi)網(wǎng)管理人員也不必時時密切關(guān)注網(wǎng)絡漏洞（這是 個工作量很大，既耗費體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來做（相應需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。另外，靈活性 一開始也往往不是前期設計所能設計的很完美的，它需要和用戶具體實踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。

如何構(gòu)建網(wǎng)絡整體安全方案

整體的安全方案分成技術(shù)方案、服務方案以及支持方案三部分。

一、技術(shù)解決方案

安全產(chǎn)品是網(wǎng)絡安全的基石，通過在網(wǎng)絡中安裝一定的安全設備，能夠使得網(wǎng)絡的結(jié)構(gòu)更加清晰，安全性得到顯著增強;同時能夠有效降低安全管理的難度，提高安全管理的有效性。

下面介紹在局域網(wǎng)中增加的安全設備的安裝位置以及他們的作用。

1、防火墻

安裝位置：局域網(wǎng)與路由器之間;%3Fid%3D1974 上下載Stick，其編譯起來并不麻煩，只需查看幫助即可。需要指出的是，絕大多數(shù)的IDS都是從Snort得到眾多借鑒的，建議用戶試用一下 Stick。

2．IDS漏報

和IDS誤報相比，漏報其實更危險。采用IDS技術(shù)就是為了在發(fā)現(xiàn)入侵時給出告警信息。如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意義。筆者從國外網(wǎng)站上看到一篇文章，它對利用TCP連接特點讓 IDS做漏報進行了詳細的描述，同時還給出一些實現(xiàn)漏報的辦法，給筆者提供了一種新思路: IDS想要防止欺騙，就要盡可能地模仿TCP/IP棧的實現(xiàn)。但是從效率和實現(xiàn)的復雜性考慮，IDS并不能很容易地做到這一點。

這種方法比較適合智能化的IDS，好的IDS一般為了減少誤報，會像現(xiàn)在一些高端的防火墻一樣基于狀態(tài)進行判斷，而不是根據(jù)單個的報文進行判斷。這樣上面談到的Stick對這種IDS一般不起作用。但是用戶應該注意到，這種簡單的IDS只是字符串匹配，一旦匹配成功，即可報警。

2001年4月，又出了一個讓IDS漏報的程序ADMmutate，據(jù)說它可以動態(tài)改變Shellcode。本來IDS依靠提取公開的溢出程序的特征碼來報警，特征碼變了以后，IDS就報不出來了。但是程序還一樣起作用，服務器一樣被黑。這個程序的作者是ktwo(http: //www.ktwo.ca)，我們可以從http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下載該程序。用戶不妨也試試它，以檢測自己的IDS產(chǎn)品性能。不過，ADMmutate只能對依靠檢查字符串匹配告警的IDS起作用，如果IDS還依靠長度和可打印字符等綜合指標，則ADMmutate將很容易被IDS監(jiān)控到。

IDS的實現(xiàn)總是在漏報和誤報中徘徊，漏報率降低了，誤報率就會提高;同樣誤報率降低了，漏報率就會提高。一般地，IDS產(chǎn)品會在兩者中取一個折衷，并且能夠進行調(diào)整，以適應不同的網(wǎng)絡環(huán)境。

四、自身安全性

毫無疑問，IDS程序本身的健壯性是衡量IDS系統(tǒng)好壞的另一個指標。如上所述，Stick程序能讓IDS停止響應，該IDS的健壯性就值得懷疑。

IDS的健壯性主要體現(xiàn)在兩個方面: 一是程序本身在各種網(wǎng)絡環(huán)境下都能正常工作;二是程序各個模塊之間的通信能夠不被破壞，不可仿冒。IDS用于各個模塊間遠程通信和控制，如果通信被假冒，比如假冒一個停止遠程探測器的命令或者假冒告警信息，都是釜底抽薪的狠招。這就需要用戶在模塊間的通信過程中引入加密和認證的機制，并且這個加密和認證的機制的健壯性要經(jīng)受過考驗。如果模塊間的通信被切斷，則需要良好的恢復重傳機制。告警信息暫時沒有發(fā)送出去，并不是丟棄，而是要本地保存，在適當?shù)臅r候再發(fā)送。

從上面的描述中我們可以看到，沒有IDS的安全防護體系是不完善的。希望本文可以幫助大家了解IDS，在網(wǎng)絡安全體系中使用IDS增強網(wǎng)絡的堅固性，并為用戶選購IDS產(chǎn)品提供參考。

關(guān)于IDS

IDS采用分布式結(jié)構(gòu)，內(nèi)含Probe(又稱探測器或探針)，用于收集信息，一旦發(fā)現(xiàn)非法入侵便告警。根據(jù)其所處的位置不同，Probe又可以分成基于主機的和基于網(wǎng)絡的?；谥鳈C的Probe位于希望監(jiān)控的服務器上，通過收集服務器的信息來進行分析告警?；诰W(wǎng)絡的Probe位于希望監(jiān)控服務器的同一個Hub或交換機上，通過監(jiān)聽網(wǎng)絡上到達服務器的報文來分析告警。

基于主機的Probe收集的信息準確，但是占用服務器資源，尤其在繁忙的服務器上會降低服務器性能。由于它與操作系統(tǒng)相關(guān)，如果所用IDS產(chǎn)品不支持操作系統(tǒng)，就不能安裝基于主機的 42 IDS。

基于網(wǎng)絡的Probe收集的信息沒有基于主機的Probe準確，并且因為使用了監(jiān)聽功能，對于Hub可以正常使用，對于交換機需要交換機廠商支持?；诰W(wǎng)絡的Probe一般不影響服務器的正常工作，還可以監(jiān)控多個服務器的工作。

IDS還含有一個集中監(jiān)控信息的“控制臺”，其作用是接收所有Probe的告警，遠程控制所有的Probe?？刂婆_端的日志分析模塊會把Probe 的告警信息綜合后集中分析，生成入侵分析報告?？刂婆_端的響應模塊會根據(jù)不同的響應策略對不同的告警采取不同的行動。連接控制臺和Probe的是通信模塊。

東軟安全助力武漢信用風險管理信息系統(tǒng) 背景介紹：

個人征信業(yè)務是通過建立聯(lián)合征信的方式，收集、整合分散在社會各方面的信用信息（數(shù)據(jù)），以市場化的運作模式和公正、獨立的第三方立場，為社會提供信息產(chǎn)品與服務，解決社會經(jīng)濟交往中信息不對稱問題，降低經(jīng)濟運行成本，規(guī)范市場經(jīng)濟秩序，從而推動社會信用體系的建立。項目詳細描述

武漢市個人征信系統(tǒng)可以采集分布在武漢市政府部門、金融機構(gòu)、商業(yè)機構(gòu)、教育機構(gòu)以及其他機構(gòu)中的與個人信用相關(guān)的信息，并加入到武漢市個人征信數(shù)據(jù)庫中，然后根據(jù)客戶查詢請求，生成《個人信用報告》，對客戶提供《個人信用報告》的查詢服務。如下圖所示：

武漢個人征信項目是武漢市07年重點建設項目，并且武漢市全國個人征信業(yè)務若干試點城市之一。未來征信業(yè)務還將覆蓋到武漢市所有工商注冊企業(yè)信用記錄。初步建立完整的社會信用體系。其意義十分重大，因此對于征信業(yè)務數(shù)據(jù)的機密性、完整性、可用性等安全防護要求十分嚴格。武漢征信項目是全新項目，沒有前期經(jīng)驗可以借鑒，本次建設內(nèi)容是建立起高起點的數(shù)據(jù)中心平臺：涵蓋主機系統(tǒng)、存儲系統(tǒng)、網(wǎng)絡平臺、安全系統(tǒng)均需整合，統(tǒng)一規(guī)劃建設。

第一階段：容納1000萬人10個數(shù)據(jù)提供單位，在線查詢系統(tǒng) 300人同時在線交易，響應時間不高于3秒；一期工程考慮每年對外提供100萬人次信用報告查詢服務；未來擴展考慮每年對外提供1000萬人次信用報告查詢服務；同時考慮到企業(yè)征信服務需求；

第二階段：1000萬人50個數(shù)據(jù)提供單位，在線查詢系統(tǒng)1000人同時在線交易，響應時間不高于5秒；

第三階段：8000萬人80個數(shù)據(jù)提供單位，在線查詢系統(tǒng)要求能提供 1000人同時在線交易能力。本次建設需完全滿足第一階段需求，而且要求可以通過擴展平滑過度，以滿足第二、三階段的業(yè)務需求。

可以看到，本次建設對安全設備性能、擴展性、高可靠性都有著相當高的要求。本期部署的防火墻是保護數(shù)據(jù)中心，核心信息資產(chǎn)的最重要的安全屏障。關(guān)鍵挑戰(zhàn)：

1、性能。征信系統(tǒng)核心價值是提供個人信用信息的查詢，提供信用信息產(chǎn)品，用戶對收費獲取的信息服務要求會很高，包括延遲、并發(fā)在線數(shù)等等。

2、穩(wěn)定性。產(chǎn)品應該軟硬件穩(wěn)定可靠。

3、高可靠性。業(yè)務因為平臺故障引起中斷，導致的損失是數(shù)據(jù)加工型企業(yè)不能容忍的。

4、高擴展性。武漢征信平臺分了三期建設，對安全網(wǎng)關(guān)設備的性能冗余提出了很高需求，直接選擇高端千兆運營商級產(chǎn)品才能應對用戶業(yè)務急速擴張帶來的性能壓力。

5、較之競爭對手具備獨特優(yōu)勢功能。解決方案描述

1、模擬環(huán)境測試：在選型階段，用戶組織了多個參測品牌將產(chǎn)品置于用戶實際環(huán)境測試。參測東軟產(chǎn)品為東軟NOKIA IP391。部分防火墻部署在核心交換機與中間件服務器之間。部分用于隔離開發(fā)網(wǎng)段與內(nèi)網(wǎng)網(wǎng)段。測試結(jié)果顯示，產(chǎn)品較之同類參測其他品牌產(chǎn)品，在性能上有著明顯的優(yōu)勢。

2、東軟產(chǎn)品研發(fā)、生產(chǎn)均遵循國際最高標準，軟件成熟度達到CMM5，防火墻產(chǎn)品安全認證級別達到國內(nèi)最高的EAL3級。獲得國家權(quán)威官方機構(gòu)認證。是一款成熟穩(wěn)定的高品質(zhì)設備。用戶對此十分認可。

3、在核心網(wǎng)中，防火墻設備采用雙機冗余VFRP協(xié)議，全面兼容核心路由HSRP和小機的熱備協(xié)議。設備部署互聯(lián)實現(xiàn)了交叉的全連接拓撲。這樣所有來自廣域網(wǎng)或者局域網(wǎng)訪問讀寫請求，必須經(jīng)過東軟防火墻3-7層安全篩選和過濾，方能取得相關(guān)資源。同時還實現(xiàn)了全網(wǎng)骨干從設備級到鏈路級的全備份—雙核心路由—雙核心防護墻—小機雙機冗余。另外一臺單機防火墻部署在開發(fā)網(wǎng)段與核心內(nèi)網(wǎng)之間，抑制開發(fā)網(wǎng)段對核心業(yè)務網(wǎng)段潛在的不良網(wǎng)絡訪問和攻擊。

4、東軟NOKIA IP391支持擴展到8個千兆端口，為未來業(yè)務擴展預留空間。此外，東軟防火墻支持以太網(wǎng)通道功能，提供了彈性支撐未來業(yè)務帶寬增長的低成本解決方案。通過對多條物理鏈路的捆綁，可以將防火墻的多個物理以太網(wǎng)端口映射成一個邏輯端口，從而達到增加帶寬和鏈路冗余的目的，實現(xiàn)防火墻上下行鏈路帶寬從1G到2G的無縫擴展。而這樣的性能擴展，無需采購配件和許可。延長了設備運營周期，有效提高了投資消費比，這也是用戶所看重的。

5、東軟NOKIA IP391為了提供多客戶式的托管服務，滿足用戶對防火墻系統(tǒng)個性化配置的需求，可以將NetEye防火墻系統(tǒng)邏輯劃分為多個虛擬系統(tǒng)(vsys)，每一個虛擬系統(tǒng)的資源和配置都是獨立的，都可以進行用戶管理、服務配置、安全規(guī)則配置等一系列操作。目前，用戶劃分開發(fā)網(wǎng)段安全域的另一臺東軟NOKIA IP391只使用了2個端口，還有潛在6個端口可供使用。這六個端口任意組合后，作為獨立防火墻，可以被用作網(wǎng)絡環(huán)境中其他新增安全域邊界劃分設備。用戶通過單臺防火墻的投資，換回多臺設備使用回報。實施效果

項目實施后，通過采用雙機冗余全連接拓撲方式，在高速交換骨干和高容量存儲設備之間，無縫嵌入高性能深度防御防火墻設備，使得武漢征信業(yè)務平臺在具備極高故障容錯性能基礎上，獲得了極高的核心數(shù)據(jù)平臺應用安全防護能力，其內(nèi)嵌自動入侵行為檢測阻斷模塊對流行的蠕蟲病毒、分布式DOS攻擊等威脅，提供了良好的的識別及阻斷能力。

設備采用HTTPS的WEBUI管理方式，管理員在工作中可以方便的通過任何聯(lián)網(wǎng)終端機建立安全的HTTPS加密通道以IE窗口方式登陸管理。防火墻還支持類CISOC命令行方式管理，安全管理員經(jīng)過培訓可以迅速精通防火墻操作，具備良好的操作便利性和較低的培訓成本。用戶評價

用戶通過選擇了可靠的合作伙伴，選擇高品質(zhì)的高端產(chǎn)品，感受到了優(yōu)質(zhì)的產(chǎn)品服務。項目的良好完工，上線運行，東軟的產(chǎn)品和服務經(jīng)受了試運行階段的考驗。以上實踐證明，用戶前期項目設計和產(chǎn)品選型是可行和可靠的。用戶對以太網(wǎng)通道、虛擬防火墻這樣的高端防火墻才具備的實用功能非常認可。