面向主动入侵防御的动态复合虚拟网络研究

摘要

随着计算机网络的飞速发展，黑客攻击技术也越来越复杂而多样，获得攻击工具以及发动攻击越来越容易，入侵活动越来越频繁，致使网络安全问题日益严重和突出。现有的网络安全防御技术主要有防火墙、入侵检测系统、用户认证、数据加密和解密、漏洞扫描、防病毒软件等，但任何单一安全防护技术已经不能确保网络和系统的安全，而且大部分安全防御技术是被动、滞后的。
　　针对以上问题，本文提出将网络可视化技术、蜜罐技术、攻击特征自动提取技术、Snort入侵检测技术、防火墙联动技术这5项安全技术融合，设计和实现一个可以在各级网络中应用的动态复合虚拟网络框架，为系统提供主动的、前摄的、实时的入侵防御。
　　本文的主要研究内容如下:
　　(1)提出基于NetFlow技术的被动服务发现方法，定义和编写了6个启发判定函数重组单向流为面向连接的双向流，整理输出3种类型的流，进而提取4种类型的端点，连续而准确检测给定网络的服务群，简单有效地实现大型网络的服务可视化。
　　(2)提出将主动扫描和被动探测结合组成本框架的扫描模块，重点分析Nmap主动扫描的扫描间隔、并发线程数等参数对扫描时间、所需资源和物理网络的影响，使协同扫描既可以准确、快速的识别物理网络拓扑和主机配置，自动跟踪物理网络配置变化，同时尽可能减少对物理网络的冲击，消耗占用最少的系统资源。进而依据扫描模块的发现结果，自动配置更新基于Honeyd的前端低交互蜜罐网络，重点研究空闲IP数和预留IP比例对虚拟网络吸引黑客攻击几率的影响，实现依据物理网络来确定虚拟网络主机的数量、占用的IP地址、操作系统以及开放的端口和服务配置，保证虚拟网络的欺骗性和仿真度。
　　(3)提出由大量前端低交互蜜罐和少量后端高交互蜜罐共同组成虚拟网络，来有效吸引攻击并收集信息。提出多模块组合判定策略，开发6个基本判定模块，实现将受限于低交互蜜罐的交互性而具备研究价值的数据透明地转发给后端高交互蜜罐。在前后端蜜罐网络同时提取攻击特征，实现自动特征提取的互补性，并给出一个新的特征提纯算法，删除重复特征降低生成的特征数量，进一步剔除特征中的冗余信息，测试结果显示本虚拟网络框架可以有效提取攻击特征，减小特征尺寸，提高所生成特征的可用性。
　　(4)提出利用Snort入侵检测系统，针对Windows平台，分别基于Windows主机和Cisco路由器设计开发联动模块，实现主动入侵防御。在主机端借助Windows内嵌的IPSec筛选器或防火墙和Snort实现响应联动，在Snort入侵检测系统发现危险报警后，联动模块自动设置IPSec的筛选器或防火墙来对相应的进出向数据包进行过滤，实验测试表明在没有附加任何第三方防火墙，也没有对Windows系统内核做任何修改的情况下，成功实现对危险网络数据的阻塞。同时基于路由器的访问控制列表，在Snort发现危险报警后，自动选择恰当网络拓扑位置的路由器，更新修改相应路由器的ACL，阻断来自攻击者的危险数据包，通过对三种入侵IP的联动测试，表明基于Cisco路由器联动方式在没有对现有拓扑结构做任何修改也没有添加新硬件的条件下成功完成对来自危险IP的网络数据的隔离和控制。
　　本文设计和实现的虚拟网络框架可以有针对性地主动诱骗网络攻击，迷惑攻击者，让他无法辨识真实的攻击目标，将攻击尽可能长时间地捆绑在虚拟的网络和机器上，抵御包括网络扫描、DoS和DDoS等多种网络攻击，消耗攻击者资源，赢得时间保护实际网络，拓宽主动防御的范畴。同时可以有效地收集和分析黑客攻击信息，了解黑客和黑客团体的攻击动因、攻击工具、活动规律，捕捉蠕虫和病毒，为分析和应对包括分布式拒绝服务攻击在内的复杂黑客攻击等提供数据依据。更重要的是本虚拟网络可以发现新型攻击，并针对新型攻击自动提取攻击特征，扩充Snort入侵检测的规则库。依据这些规则，Snort借助于防火墙联动技术配置防火墙或路由器，实时屏蔽入侵数据，过滤掉危险数据包，实现主动入侵防御，提高整个系统的安全防范能力。

目录

摘要

1 绪论

1．1 本文研究背景及意义

1．1．1 研究背景和国内研究现状

1．1．2 研究意义

1．2 关键技术分析

1．2．1 蜜罐技术

1．2．2 网络拓扑和服务发现技术

1．2．3 攻击特征自动提取技术

1．2．4 入侵检测和防火墙联动技术

1．3 主要研究内容

1．4 论文组织结构

2 基于NetFlow的网络服务和扫描发现研究

2．1 引言

2．2 主动和被动服务发现技术

2．2．1 主动扫描

2．2．2 被动探测

2．2．3 二者比较

2．3 NetFlow

2．4 启发判定函数

2．5 测试和分析

2．5．1 测试数据集

2．5．2 Nmap结果分类

2．5．3 单个判定函数的测试结果

2．5．4 判定函数组合的测试结果

2．5．5 流参数对结果的影响

2．6 本章小结

3 动态复合虚拟网络的设计与研究

3．1 引言

3．2 动态复合虚拟网络框架

3．3 扫描策略分析

3．4 布置策略分析

3．4．1 Honeyd

3．4．2 布置策略

3．4．3 布置方法

3．4．4 布置策略测试

3．5 转发策略分析

3．5．1 转发策略

3．5．2 转发实现

3．5．3 转发测试

3．6 特征生成模块分析

3．6．1 Honeycomb

3．6．2 Argos

3．6．3 特征提纯

3．6．4 特征生成测试

3．7 数据分析模块

3．7．1 数据聚合

3．7．2 实验测试与分析

3．8 本章小结

4 Windows平台下Snort入侵联动研究

4．1 引言

4．2 基于Snort的入侵响应分析

4．2．1 响应关键字resp

4．2．2 响应关键字react

4．2．3 Fwsnort

4．2．4 Snort_inline

4．2．5 存在的问题和解决方案

4．3 基于主机的联动

4．3．1 IPSec联动分析

4．3．2 联动实现

4．3．3 Windows7防火墙联动分析

4．3．4 联动规则与联动测试

4．4 基于路由器的联动

4．4．1 联动模块设计与实现

4．4．2 测试与分析

4．5 本章小结

结论

参考文献

攻读学位期间发表的学术论文

致谢

声明