1、 本 科 毕 业 论 文 入侵防御系统 IPS 研究与实现 Research and Develop on Intrusion Prevention System 姓 名: 学 号: 学 院:软件学院 系:软件工程 专 业:软件工程 年 级: 指导教师: 年 月 摘 要 随着网络的开放性、共享性、互连程度的扩大,特别是因特网 的出现,网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起,比如,电子商务、电子现金、数字货币、网络银行等,以及各种专用网的建设,比如金融网等,使得网络与信息系统的安全与保密问题越来越重要,成为关键之所在。各种黑客对网络的无意、有意攻击导致系统被破坏以致瘫痪
2、、绝密信息被窃取、重要数据被篡改,这些都直接威胁着社会安全。针对黑客的攻击,网络安全系统采用多种技术,建立起各种防护机制。例如 :采用防火墙系统 、 身份验证 (Authentication)机制 、 入侵检测系统将非法入侵拒之门外。 作为网络安全领域 的两大技术,入侵检测系统与防火墙技术在传统的安全领域中,发挥着不可代替的作用。 尽管这些安全措施起了很大作用,但也存在各种安全脆弱性(Security Vulnerability)。 当前的入侵检测系统对于较为复杂的攻击缺乏有效的应对和阻断能力,而防火墙则缺乏针对 各种网络攻击的灵活的过滤策略。其存在一些自身无法解决的问题。因此 对于日益复杂的
3、网络安全问题 传统单一的技术 仍然显得力不从心3。 因此, 任何一种单一的安全技术都不可能实现真正意义上的网络安全。 网络防卫必须采用一种纵深的、多样的手段。 多层、安全互动的安全 防御技术成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。入侵防御的目的是检测网络中已知和未知的攻击,并且 实时响应、 防御这些攻击。入侵检测系统和防火墙联动能构成了本文所研究的入侵防御系统。 本文通过结合入侵检测系统和防火墙的各自的优势, 利用了协议分析、模式匹配等技术, 通过 在分析控制中心 提取各个检测代理的数据,达到入侵信息共享的目的, 另外采用了缓冲队列、加密通讯、 XML 等辅助技术
4、与 对防火墙进行联动,构成主动、实时响应的入侵防御系统,创造了一个比单一防御技术有效的多的综合安全防御技术,从而大大地提高了被保护网络的安全性。 本论文在上半部分对入侵检测、防火墙、入侵防御系统等相关的概念进行阐述,后半部分对入侵检测系统的总体框架以及具体的实现进行了详尽的说明,最后也根据入侵防御系统目前仍然存在的缺点对其未来发展提出了设想。 关键词 : 入侵防御 ; 协议分析 ; 模式匹配 Abstract With the development and widespread use of the Internet globally, more and more enterprises a
5、nd organizations connect their private networks to the internet. Most computing infrastructures are not designed to operate securely. Enjoying the convenience brought by the Internet, they are also suffering attacks form it. Network security and digital information protection are of great importance
6、 in these sensitive departments. Firewall technology, Intrusion Detection Systems and Authentication Systems are now in common use and rapid developing, trying to keep all kinds of network invasion out of shelter. However, confronting with complicated attacks, isolated security technology is not ava
7、ilable for deep-seated protection in practical operations. Firewall, based on packets filtering, is not suitable for making adaptations in line with the network situation in real time. At the same time, IDS, be expert in intrusion detection, is not able to take effective responses immediately. In th
8、is paper, the basis conceptions and disadvantages of IDS and firewall are demonstrated in the beginning. And the details of the implementation of the IPS will be discussed in the following chapters. The process of the construction of IPS will be shown in figures as well. In view of current developme
9、nt of IPS, prospect forecast for IPS will also be presented at the end. Keywords: Intrusion Prevention; Protocol analyse; Pattern matching 目录 第一章 引言 . 1 1.1 防火墙的作用及局限性 . 1 1.2 单一的入侵检测系统的原理与缺陷 . 2 1.3 入侵防御的原理与优势 . 3 第二章 系统相关技术 概述 . 4 2.1 什么是入侵 . 4 2.2 防火墙的优势以及局限性 . 5 2.2.1 防火墙的定义 . 5 2.2.2 防火墙的发展概况 .
10、 5 2.2.3 防火墙的特征 . 6 2.2.4 防火墙的面临的挑战 . 6 2.3 入侵检测的发展概况以及优劣势 . 7 2.3.1 入侵检测的定义 . 7 2.3.2 入侵检测的发展概况 . 7 2.3.3 入侵检测的面临的挑战 . 9 2.4 入侵检测和防火墙结合的 必要性 . 9 2.5 入侵防御的特点和意义 . 9 2.6 入侵防御系统的分类 .11 2.6.1 网络 IPS 系统概述 .11 2.6.2 主机 IPS 系统概述 . 12 2.7 入侵防御系统关键技术 . 12 2.7.1 信息收集 . 13 2.7.2 以太网数据包捕获原理 . 14 2.7.3 信息分析 . 1
11、8 2.7.4 数据包处理技术 . 20 2.7.5 SUNDAY 算法 . 21 2.7.6 队列技术 . 21 2.8 对入侵防御系统的展望 . 22 2.8.1 混合型入侵防御系统 . 22 2.8.2 基于时间线的入侵防御系统 . 22 2.9 小结 . 23 第三章 系统总体设计 . 24 3.1 入侵防御系统的模块设计 : . 24 3.1.1 分析控制中心 . 24 3.1.2 检测代理 . 25 3.1.3 IPFilter 模块 . 26 3.2 系统的整体部署 . 26 3.3 系统的目标效果 . 28 3.4 小结 . 28 第四章 系统详细设计 . 29 4.1 网络流
12、数据的获取 . 29 4.2 协议分析器 Extractor. 30 4.3 模式匹配算法 BM 的改进算法 . 34 4.4 加密通讯类 CommClient. 38 4.5 队列缓冲技术 . 39 4.6 数据库操作类 AdoOperator 的设计实现 . 40 4.7 解密通讯类 CommSrv 的设计与实现 . 41 4.8 防火墙组件的实现 . 42 第五章 系统测试及运行结果 . 44 5.1 检测代理运行 . 44 5.2 分析控制中心运行 . 45 5.3 IPFilter 响应情况 . 46 第六章 总结 . 48 参考文 献 . 50 致谢 . 51 Contents C
13、hapter 1 Introduction . 1 1.1 Limitation of Firewall. 1 1.2 Defect of IDS. 2 1.3 Introduction to IPS . 3 Chapter 2 System related technologies outline. 4 2.1 What s Intrusion . 4 2.2 About Firewall . 5 2.2.1 Defination for Firewall. 5 2.2.2 Development of Firewall. 5 2.2.3 Function of Firewall . 6 2
14、.2.4 Defect of FIrewall . 6 2.3 About IDS . 7 2.3.1 Defination for IDS . 7 2.3.2 Development of IDS . 7 2.3.3 Defect of IDS . 9 2.4 Combine of Firewall and IDS . 9 2.5 Merit of IPS. 9 2.6 Classify of IPS .11 2.6.1 NIPS System Profile .11 2.6.2 HIPS System Profile . 12 2.7 kills used in IPS . 12 2.7.
15、1 Data Collecting . 13 2.7.2 Ethernet Sinffer . 14 2.7.3 Data Analyze . 18 2.7.4 Net Package handler. 20 2.7.5 SUNDAY Argorithm . 21 2.7.6 Object Queue. 21 2.8 Prospect on IPS . 22 2.8.1 Hybrid IPS . 22 2.8.2 Time-based IPS . 22 2.9 Summarize . 23 Chapter 3 System overall design . 24 3.1 Module Desi
16、gns for IPS: . 24 3.1.1 Analyze/Control Center . 24 3.1.2 Detection Agents. 25 3.1.3 IPFilter Module . 26 3.2 Deployment of IPS . 26 3.3 Purpose for IPS . 28 3.4 Summarize . 28 Chapter 4 System detail design . 29 4.1 Ethernet Sniffer . 29 4.2 Protocol Analyzer. 30 4.3 Details of Sunday-BM Argorithm
17、. 34 4.4 Implementation of CommClient . 38 4.5 Queue Buffer . 39 4.6 implementation of AdoOperator . 40 4.7 implementation of CommSrv. 41 4.8 Construction of Firewall . 42 Chapter 5 System testing and the running results . 44 5.1 Results of Detection Agents . 44 5.2 Results of Analize/Control Center
18、 . 45 5.3 How IPFilter Responses . 46 Chapter 6 Summarize . 48 Reference . 50 Acknowledgement. 51 入侵防御系 统 IPS 研究与实现 1 第一章 引言 随着网络的开放性、共享性、互连程度的扩大,特别是因特网的出现,网络的重要 性和对社会的影响也越来越大。随着网络上各种新业务的兴起,比如,电子商务、电子现金、数字货币、网络银行等,以及各种专用网的建设,比如金融网等,使得网络与信息系统的安全与保密问题越来越重要,成为关键之所在。各种黑客对网络的无意、有意攻击导致系统被破坏以致瘫痪、绝密信息被窃取、重要
19、数据被篡改,这些都直接威胁着社会安全。针对黑客的攻击,网络安全系统采用多种技术,建立起各种防护机制。例如 :采用防火墙系统,身份验证(Authentication)机制,入侵检测系统将非法入侵拒之门外。 作为网络安全领域的两大技术,入侵 检测系统与防火墙在传统的安全领域中,发挥着不可代替的作用。 尽管这些安全措施起了很大作用,但也存在各种安全脆弱性 (Security Vulnerability)。 当前的入侵检测系统对于较为复杂的攻击缺乏有效的应对和阻断能力,而防火墙则缺乏针对各种网络攻击的灵活的过滤策略。其存在一些自身无法解决的问题。因而对于日益复杂的网络安全问题 仍然显得力不从心。 1.1 防火墙的作用及局限性 防火墙是网络安全的重要设施,用来阻止网络之间未被授权的信息从一个网络传到另一个网络,通过 对流经的网络流量进行检查,拦截不符合安全策 略的数据包。 防火墙基本的功能包括: IP 地址的保存和流转发,网络分割,保护 Dos、扫描、 Sniff 攻击, IP 地址和端口过滤,内容过滤,数据包重定向,增强的认证及加密功能,补充日志。 入侵防御系 统 IPS 研究与实现 2 但是防火墙的访问控制规则是静态的,不能动态地响应入
