1、入侵检测与防火墙技术相结合的校园网络安全研究图文精中南大学硕士学位论文入侵检测与防火墙技术相结合的校园网络安全研究姓名:宋继军申请学位级别:硕士专业:计算机技术指导教师:刘高嵩;尹新怀20061120摘要随着信息安全技术的进一步发展,各种安全解决方案不断涌现和发展,如防火墙技术、防黑客技术、加密技术以及对整个系统不安全因素的扫描、检测和警报等。以防火墙为代表的静态安全技术,其缺点是需要人工来实施和维护,不能主动跟踪入侵者;而以入侵检测为代表的动态安全技术,则能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到入侵行为。由于高等院校的校园网具有高宽带、多主机、用户密集的特点,很容易
2、使它成为拒绝服务攻击存在的“土壤”。论文在总结和分析了常见的拒绝服务攻击的特征基础上,结合校园网络的实际,提出了入侵检测与防火墙相结合的校园网安全方案。将入侵检测作为防火墙的一个有益补充,防火墙可通过入侵检测及时发现其策略之外的攻击行为,而也可以通过防火墙对来自外部网络的攻击行为进行阻断。论文讨论了入侵检测与防火墙相结合的校园网安全系统的设计。在该系统中,数据采集是基础,它负责采集指定的网络流量数据供统计分析模块使用。统计分析是核心,它负责分析网络流量的异常行为,计算异常行为的异常度,当异常度大于设定的阈值时就向解析模块发出报警和提供该异常的异常度信息。解析模块分析来自统计分析模块的异常警报信
3、息,根据相应的算法判断该报警是否说明真有网络入侵发生。在实验环境中,对校园网安全系统进行了测试。测试结果表明该系统具有较理想的入侵检测能力,能进一步提高校园网的安全防护和网络管理水平。关键词防火墙,网络安全,入侵检测,校园网,”,原创性声明本人声明,所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了论文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名:关于学位论文使用授权说明本人了解中南大学有关保留、使用学
4、位论文的规定,即:学校有权保留学位论文,允许学位论文被查阅和借阅;学校可以公布学位论文的全部或部分内容,可以采用复印、缩印或其它手段保存学位论文;学校可根据国家或湖南省有关部门规定送交学位论文。赭躲驰导师签硇煎魄挫年鲨日硕士学位论文第一章绪论第一章绪论近年来,计算机网络技术的迅猛发展,网络已经走进千家万户,然而由于计算机网络发展的历史原因和技术原因,被普遍采用的协议的开放性给人们带来诸多好处的同时,也导致日益严重的安全问题。特别是计算机犯罪案件急剧上升,如果对网络安全问题掉以轻心,互联网络不但可能让用户形象严重受损,而且还可能带来重大经济损失。湖南铁路科技职业技术学院校园网年建成使用,多次受到
5、黑客的攻击,严重影响了学院的正常教学工作,但由于商业化的网络安全产品价格昂贵,学院难以承担,为了用较少的经费投入达到提高校园网络安全水平,年月湖南铁路科技职业技术学院网络中心开始进行入侵检测与防火墙技术相结合的校园网络安全课题开发。计算机安全概述所谓计算机安全,按照国际标准化组织的定义,可以把它描述为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭破坏、更改、泄露”“。计算机安全从总体上讲,计算机安全包括物理安全和逻辑安全。物理安全计算机系统物理安全主要是指为保证计算机设备和通信线路及设施的安全。一是预防地震、雷电等自然灾害,满足设备正常
6、运行环境的要求而采用的技术和方法;二是采取必要的措施防止计算机设备被盗,设定安全管理规定;三是为防止电磁辐射泄漏而采取的低辐射产品、屏蔽或反辐射技术和各种设备的备份等。逻辑安全计算机逻辑安全主要包括以下几个方面的含义:()机密性():信息不泄露给非授权用户、实体或过程,或供其利用的特性。信息经过加密变换后变成密文,只有那些经过授权的合法用户,掌握解密密钥,才能通过解密算法将密文还原成明文。()完整性():数据XX不能进行改变的特性。即信息在存硕士学位论文第一章绪论储或传输过程中保持不被修改、不被破坏和丢失的特性。()可用性()可被授权实体访问并按需求使用的特性。安全系统能够对用户授权提供其某些
7、服务,即经过授权的用户可以得到系统资源,并且能够享受系统提供的服务。例如网络环境下的拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。计算机网络安全网络安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科嘲。网络安全是指网络系统的部件、程序、数据的安全性,它通过网络信息的存储、传输和使用过程体现嘲。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标,信息安全包括两个方面:信息的存储安
8、全和信息的传输安全“。信息的存储安全是指信息在静态存放状态下的安全,如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中的安全。为了确保网络信息传输安全,应注意以下几个问题嘲:()对网络上信息的监听()对用户身份的仿冒()对网络上信息的篡改()对发出的信息予以否认()对信息进行重发网络的安全威胁主要有三个来源“】:()人为的无意失误()人为的恶意攻击()网络软件的漏洞和“后门”网络安全的威胁主要包括如下几种类型:()物理威胁:偷窃、身份识别错误()线缆连接:窃听、拨号进入、冒名顶替()身份鉴别:口令圈套、口令破解、算法考虑不周、编辑口令“)病毒程序:病毒:蠕虫代码炸弹:一旦到了设定的
9、时间,它就被触发并产生破坏特洛伊木马:特洛伊木马是指病毒、蠕虫等硕士学位论文第一章绪论更新或下载:有些网络允许通过进行操作系统更新,于是非法入侵者通过它对系统进行非法更新系统漏洞:亦称为陷阱,通常由系统开发者有意设置的,能在用户失去了对系统的所有访问权后仍进入系统校园网络安全的主要问题校园网作为开放网络的组成部分,其安全更成为不容忽视的问题,任何成功的入侵都可能给校园网带来不可预测的后果。目前校园网络安全的主要问题是:计算机病毒目前全球已发现数万种病毒,并且还在快速增长。有资料显示,病毒威胁所造成的损失,占网络经济损失的,仅“爱虫”病毒发作在全球所造成的损失,就高达亿美元”。一般谈到病毒还包括
10、特洛伊木马()和蠕虫()病毒。他们虽然不是严格的病毒,但和病毒的危害性相当,而且一般也会伴随着病毒一起向用户发起攻击。特洛伊程序一般是由编程人员编制,它提供了用户所不希望的功能,这些额外的功能往往把预谋的功能隐藏在公开的功能中,可掩盖其真实的企图。蠕虫则是一个或一组程序,它可以从一台机器向另一台机器传播,与病毒不同的是,它不需要修改宿主程序就能传播。非法访问和破坏(“黑客”攻击)黑客攻击已有十几年的历史,黑客对于大家来说已经不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展,目前世界上有多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受
11、攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,是网络安全的主要威胁。黑客活动几乎覆盖了所有的操作系统,包括、以及等。黑客攻击比病毒更具有破坏性,因而也更具有危害性。、等国际著名网站被黑客攻击早已不是新闻。管理的缺欠网络系统的严格管理是保证校园网免受攻击的重要措施。事实上很多用户网站或系统都疏于这方面的管理,还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,从而为一些不法分子制造了可乘之机网络的缺陷及软件的漏洞或“后门”因特网的共享性和开放性使网络信息安全存在先天不足,因为其赖以生存的协议缺乏相应的安
12、全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性嘲。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,无论是还是几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器等都被发现过存在安全隐患。可以说任何一个软件系统都可能因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。安全模型传统的信息安全技术都集中在系统自身的加强和防护上。比如,采用级操作系统和数据库、在网络出口配置防火墙、在信息传输和存储中采用加密技术、使用集中的身份认证产
13、品等。然而,单纯的防护技术存在许多方面的问题:()单纯的防护技术容易导致系统的盲目建设,这种盲目包括两方面:一方面是不了解安全威胁的严峻和当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致不必要的浪费。()防火墙策略对于防范黑客有其明显的局限性“。防火墙技术是内部瞬络最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面是尽可能屏蔽内部网络的拓扑结构,另一方面是对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。但也有其明显的局限性,诸如:防火墙难于防内:防火墙的安全控制只能作用于外对内或内对外,即:对外可屏蔽
14、内部网络的拓扑结构,封锁外部网络上的用户连接内部网络上的重要站点或某些端口,对内可屏蔽外部危险站点,但它很难解决内部网络控制内部人员的安全问题,即防外不防内。防火墙难于管理和配置,易造成安全漏洞:放火墙的管理及配置相当复杂,要想成功的维护防火墙,要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙,管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明,的入侵发生在有防火墙的情况下“。防火墙的安全控制主要是基于地址的,难于为用户在防火墙内外提供一致的安全策略:
15、许多防火墙对用户的安全控制主要是基于用户所用机器的地址而不是用户的身份,这样就很难为同一用户在防火墙内外提供一致的安全控制策略,限制了企业网的物理范围。防火墙只实现了粗粒度的访问控制,且不能与企业内部使用的其他安全机制(如访问控制)集成使用,这样企业就必须为内部的身份验证和访问控制管理维护单独的数据库。()保证信息系统安全的经典手段是“存取控制”或“访问控制”,这种手段在经典的以及现代的安全理论中都是实行系统安全策略的最重要的手段但迄今为止,软件工程技术还没有达到级所要求的形式生成或证明一个系统的安全体系的程度,所以不可能百分之百地保证任何一个系统中不存在安全漏洞。而且,无论在理论上还是在实践
16、中,试图彻底填补一个系统的安全漏洞都是不可能的,也还没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。针对日益严重的网络安全问题和越来越突出的安全需求,“可适应网络安全模型”和“动态安全模型”(即安全模型)应运而生(图所示)“”模型包含个主要部分:(安全策略)、(防护)、(检测)、(响应)图模型硕士学位论文第一章绪论模型是在整体的安全策略()的控制和指导下,在综合运用防护工具(,如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(,如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的响应()将系统调整到“更安全”和“风险更低”的状态。防护
17、、检测和响应组成了一个完整的、动态的安全循环。在这个模型中检澳和防护处于一个同等重要的位置,入侵检测系统也作为一个系统在网络安全中发挥其重要作用”。课题研究的目的和意义目前校园网普遍采用的防火墙是属于静态安全技术范畴的外围保护,其缺点是需要人工实施和维护,不能主动跟踪入侵者。而入侵检测则属于动态安全技术,它能够主动检测网络的易受攻击点和安全漏洞,对防范网络的恶意攻击提供了主动的实时保护。为了确保校园网络的安全,课题将入侵检测技术与放火墙技术相结合,达到提高校园网络系统的安全防护水平之目的。国内外研究现状从世纪年代到现在,入侵检测系统的研究呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方面取得
18、了长足的进展。年以后,在国外逐渐出现一些入侵检测的产品,其中比较有代表性的产品有()公司的,采用分布式的体系结构,引擎部分负责监测信息包并且产生报警,控制台接收报警并作为配置及产生数据库报告的中心点。公司的,包括控制器、传感器和入侵检测系统模块三大组成部分,的入侵检测模块的最大特点是与硬件结合,在广域网上运行很成功。()则在监测方面特别强。在国内,主要有中科网威、东软软件、瑞星、金山、联想等安全界知名厂商也有自己的入侵检测产品。但国内的产品多数集中在低端,采用模式匹配的方法,与国外相比还有一段差距。课题研究的目的和意义对于职业院校来说,网络的安全非常重要,但是目前的商业化网络安全产品,大都是针
19、对企业级用户,价格昂贵,远远超过了高等院校的承受能力,因此要么基本上对校园网络系统没有采取安全措施,要么仅仅使用免费或自制的防火墙,硕士学位论文第一章绪论对入侵检测技术基本没有使用。课题通过对国内外入侵检测技术的学习和研究,旨在提出一个提高校园网络安全性的入侵检测系统模型,将入侵检测技术与放火墙互动使用,达到提高校园网络系统的安全防护水平之目的。硕士学位论文第二章入侵检测技术第二章入侵检测技术随着技术的发展,网络日趋复杂,人们发现只从防御的角度构造安全系统是不够的,因此开始寻求其它途径来补充保护网络的安全。入侵检测的概念传统防火墙所暴霹出来的不足和弱点引起人们对入侵检测系统的技术的研究。首先,
20、传统的防火墙在工作时,就像深宅大院,虽有高大的院墙,却不能挡住小老鼠甚至是家贼的偷袭一样,因为入侵者可以找到防火墙背后可能敞开的后门;其次,防火墙完全不能阻止来自内部的袭击;再者,由于性能的限制,防火墙通常不能提供实时的入侵检测功能,而这一点,对于现在层出不穷的攻击技术来说是至关重要的;第四,网络管理员可能无意识地、错误地配置了防火墙或者有意识的敞开防火墙的大门(很少出现但不无可能),给黑客以可乘之机。因此,以为在入口处部署防火墙系统就足够安全的想法是不切合实际的“。入侵检测系统可以弥补防火墙的不足,并为各网段和重要站点的安全提供实时的入侵检测及采取相应的防护措施。入侵检测可被定义为对计算机和
21、网络资源的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动“”。入侵检测系统()从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象“”。入侵检测可被看作是防火墙之后的第二道安全闸门。主要执行如下任务:()监视、分析用户及系统活动;()系统构造和弱点的审计:()识别反映已知进攻的活动模式并向相关人士报警;“)异常行为模式的统计分析;()评估重要系统和数据文件的完整性;()操作系统的审计跟踪管理,并识别用户违反安全策略的行为。入侵指的是破坏目标系统资源的完整性、机密性或可用性的一系列活动。所检
22、测的入侵不包括物理入侵,而仅包括以电子方式从系统内部或者系统外部发起的,尝试或者实施对系统资源的非授权访问、操纵或破坏的行为。自动收集并分析审计数据,一旦发现入侵迹象,则采取适当措施(如报警,断开相应的连接等),保护系统不被攻击”。硕士学位论文第二章入侵检测技术入侵检测系统()主要通过以下几种活动来完成任务:监视、分析用户及系统活动;对系统配置和弱点进行审计;识别与己知的攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行审计跟踪管理,并识别用户违反安全策略的行为。可以给入侵检测做一个简单的定义:对网络系统的运行状态进行监视。发现各种攻击企图、攻击行为
23、或者攻击结果,以保证系统资源的机密性、完整性与可用性帕。入侵检测技术的分类随着新技术的发展,入侵检测技术也不断发展,入侵检测从最初实验室里的研究课题到目前的商业产品,已经具有多年的发展历史,入侵检测的方法也越来越多。入侵检测技术的分类目前,对入侵检测技术的分类方法很多,表一列出了从不同角度分类的各种入侵检测技术嘲。表入侵检测的分类方法分类的角度分类的类型基于主机数据来源基于网络混合型分析方法异常检测模型误用检测模型脱机分析时效性联机分析分布性集中式分布式按数据来源分类按照数据来源的不同,可以将入侵检测系统分为三类:()基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也硕士学位论文第
24、二章入侵检测技术是系统运行所在的主机“。()基于网络:系统获取的数据来源是网络传输的数据包,保护的目标是网络的运行()混合型:既基于主机又基于网络,因此混合型一般也是分布式的。按分析方法分类根据数据分析方法(即检测方法)的不同,可以将入侵检测系统分为两类嘲:()异常检测模型()这种模型的特点是首先总结正常操作应该具有的特征,例如特定用户的操作习惯与某些操作的频率等;在得出正常操作的模型之后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。可以看出,按照这种模型建立的系统需要具有一定的人工智能,由于人工智能领域本身的发展缓慢,基于异常检测模型建立入侵检测系统的工作进展也不很理想。()误用检测模型()这种模型的特点是将收集到的数据与特征库中的特征代码进行比较,得出是否是入侵的结论。可以看出,这种模型与主流的病毒检测方式基本一致,当前流行的系统基本上采用了这种模型。按时效性分类按照分析发生的时间不同,可以分为脱机分析和联机分析两类:()脱机分析就是在行为发生后,对产生的数据
