日期:2012-01-15  浏览次数:20450 次

入侵防范研究的展望

中科网威 许榕生 刘宝旭 毕学尧等

回顾互联网络在全球的发展历史,历经了三个主要阶段:60-70年代基于军事需求的发明阶段;70-80年代科研领域的应用与完善;90年代后的商业化发展。由于早期网络用户以科研人员为主的特点,网络的设计主要以共享与开放为宗旨,采用的网络协议只具备最少的安全性选项,这些选项还通常被路由器所忽略,因而造成网络安全系数不足。这个网络协议(IPv4)应用至今,并被简单地移植到企业与政府的上网中去。然而,由于网络的用户对象变了,网络上的信息内容也发生巨大的不同,使互联网的安全问题立即突出出来。

目前互联网正与电话网、电视网、无线网、卫星网相结合,互联网在商业运作的驱动下,更加迅猛地发展。但是现存的互联网的确不是一个安全的网络,存在着致命的弱点和缺陷,特别是我国,互联网的应用起步较晚,软硬件设施基本上是照搬国外的商品及模式,较少创新和具备内功。许多网络在建设初期较少或者根本就没有考虑诸如安全防范的相应措施,因而留下了许多安全隐患,给黑客入侵随时造成了可乘之机。加上缺乏必要的防范技术人才和解决手段,黑客入侵事件应急处理工作目前尚处于自发、无序的状态,这种局面不足以对付当前可能发生的各种病毒与黑客攻击突发事件。

网络发展的大趋势

五年后,计算机的发展速度将会继续突飞猛进。那时,2GHz微处理器、1G内存和50G硬盘的计算机,可接上千兆以太网或十兆无线网络;在家中可用一兆以上速度的电话或电视网络上网。凭借如此卓越的微处理器、内存、硬盘和带宽,许多今天不可能的事情将突然变得可能,更多今天只能演示的技术将成为主流。

五年后,计算机将更普及,但更大的增长将来自所谓的智能家电。将来的电视、电话、“电子书”(e-Book)和“个人数据助理”(PDA),都会配置微处理器和软件,都会拥有计算机的功能。新一代Internet协议IPv6让每一个设备都能成为网络的一个节点,不论大小,移动或是固定,都能不间断进行数据传输。

五年后,Internet将无所不在。众多的用户、浩瀚的网页、充裕的带宽、丰富的智能家电,将形成一个良性循环。更多的信息被渴求,更多的信息将上网。文本、图象、语音、视频以及许多今天不存在的信息都将可以随时随地从网上搜索到。网上将第一次拥有整个人类现代史的真实写照。人们的一切生活都将和网络密不可分,特别是宽带网的接入。

入侵防范面临哪些挑战?

美好的未来值得人们去憧憬,但是美好的未来也预示着新的问题与挑战:
随信息时代的到来,我们对网络的依赖日益的加深。在享受到网络带来种种便利的同时,人们不禁担心自己的数据信息是否安全,网络技术快速发展,也给网络安全带来许多新的疑问。

* 新一代的网络安全产品——当前防范黑客主要工具主要在局域网下设计的防火墙、网络扫描、系统扫描、 Web安全保护、入侵检测系统等。这些早期的网络安全产品在一定程度上保护了局域网的安全,不足之处包括各产品之间的关联,以及产品自身的保护等。因此,下一代的安全产品应该增添防火墙与IDS的互动、强化安全产品的隐蔽性和自身保护;同时应有用于灾难恢复与评估以及取证等系列产品。

* 高带宽带来的问题——虽然带宽的迅速增加将能解决我们今天所面临的许多困扰(如等候网页的下载等),但是,随着网络信息的快速增长和存储信息的无限扩大,对于黑客的行事则更为方便。怎样对网络进行监控,将面临相当大的困难。虽然我们拥有更为高性能的计算机,但这远远赶不上所要分析的网络数据的要求。同时如何实时的分析和处理的网络信息,将是我们所面临的一大挑战。

* 更新Internet协议的问题——几年后,整个Internet会以一个崭新的面貌出现,IPv6提供给我们更广大的地址空间和安全特性。IPv6提供的IPSec解决了数据的加密及身份认证问题,它可以有效的保证数据在不安全的网络上进行安全传输,如目前广泛使用的VPN技术就是IPSec的一个典型应用。但是,IPSec也有缺陷,如无法有效防止针对协议本身的攻击等。同时IPv6的可靠性是否如最初所设想的那样,也有待时间的考验!另外由于各安全产品之间传输的数据都经过了加密,且加密所使用的算法也不尽相同,这将使他们之间难以沟通的现状更加恶化,况且加密技术在流通上还有这样那样的限制。

* 多元操作环境的问题——随着智能家电的普及和无线网的发展,信息将无所不在。但是,每一个客户端的速度不同、网的带宽、稳定性、应用环境、操作系统也不同。因此,网络上数据传送方式不能是单一的,必须能够自动地转换和适应不同的环境。面对众多的操作平台和环境,怎样为他们提供一个和桌面计算机一样的安全环境,就是我们要解决的一个问题。

* 多种网络安全平台的集成问题——下一代计算机和网络,将有能力远远提升网络的技术。理论上,我们希望新一代安全系统能够结合多种技术的优点,做得象三维游戏一样互动,象数据库一样有序和象人一样会思考和总结。但今天,各种网络设备造价浩繁,设置和操作仍是被动式的,相互之间不能互通信息,用户操作十分的不便。因此这些技术及其合成必须有所创新、有所突破。否则集成的将不是它们的优点,而是它们的缺点。

新一代网络入侵防范技术

新一代宽带网络入侵防范体系研究的目标是开创新的技术,让入侵防范系统能适应高带宽和高负荷的网络环境,支持最新的Internet网络协议,并有自我学习的能力。从而形成新一代宽带网络入侵探测技术、新一代网络安全体系结构模型和新一代的网络安全控制平台。

首先,IPv6下的安全产品设计问题——由于IPv6相对IPv4在数据报头上有了很大的变动,所以原来的防火墙产品在IPv6网络上并不能直接使用,必须有一些变动。针对IPv6的Socket套接口函数已经在RFC2133(Basic Socket Interface Extensions for IPv6)中定义,以前的应用程序都必须参考该新的API做相应的改动。

防火墙的设计:IPv4下的防火墙过滤的依据是IP地址和TCP/UDP端口号。IPv4下,IP头部和TCP头部是紧接在一起的,而且其长度是固定的,所以防火墙很容易找到头部,并使用相应的策略。然而在IPv6下TCP/UDP报头的位置有了根本的变化,他们不再是紧接在一起的,通常中间还隔有其他的扩展头部,如路由选项头部,AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤,这样会对防火墙的处理性能会有很大的影响。

IDS(入侵检测系统)的设计:在IPv6下也使我们不得不放弃以往的网络监控技术,投身一个全新的研究领域。首先,IDS产品同防火墙一样,其程序在IPv6下不能直接运行,还要做相应的修改。其次,IDS的工作原理实际上是一个监听器,接收网段上的所有数据包,并对其进行分析,从而发现攻击,并实施相应的报警措施。但是,如果使用传输模式进行端到端的加密,则IDS无法工作,因为其接收的是加密的数据包,无法理解。当然,解决方案之一是让IDS能对这些数据包进行解密,但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样,也有待时间的考验!

其次,面临日益发达的宽带网,我们将研究“高速网络数据采集技术”。无疑的,新一代的入侵探测技术依然以数据采集为其中心,而这个技术本身最大的问题就是计算能力远远跟不上网络带宽增长。针对这个问题,我们将进行最新的网络采集和协议分析的研究,希望能将网络探测器变得更加快速、经济和容易部署。首先,我们将进行采集器硬件和软件的结合方案的研究,以求将探测器的探测带宽达到最大的速率。另外,我们将研究如何在不稳定的IP的环境上(无论是有线网或无线网)可靠的监控数据。这方面的研究将促成多种新一代的网络探测器,包括:高质量的主干网络探测器,无线网络探测器,ATM 网络探测器。

第三,研究如何在最新Internet协议下,在多种不同平台进行入侵探测,得出一个新的解决方案。由于IPv6中引入网络层的加密技术,我们认为未来的网络上的数据通讯的保密性将会越来越强,这使网络入侵探测系统和主机入侵探测引擎也面临多种不同平台部署的问题。我们应研究IDS(入侵检测系统)新的部署方式,再下一步,研究如何才能在任何网络状况、任何服务器、任何客户端、任何应用环境,经过适当的自转换和自适应。

第四,可以将诸如数据发掘,专家系统和神经网络技术融入入侵探测技术中,以建立先进的入侵探测算法的数学模型。今天的网络入侵探测技术,唯一能实现算法是模式匹配。但是,如果新的算法研究成功,我们不但可以保留模式匹配算法的高性能,而且可以使它更聪明,并且大大降低了误报率。这项研究将在未来几年内应用于最新的IDS软件中。

总之,今后的入侵防范研究将围绕Internet本身、网络安全和通讯协议之间,把无序的数据演变成有序的数据,从人控制网络安全软件演变成计算机自我学习,从以技术为本的用户界面演变成以人为本的智能用户界面。