網(wǎng)絡(luò)安全語言關(guān)鍵技術(shù)的研究.pdf

1、隨著Internet技術(shù)及其各種應(yīng)用技術(shù)的高速發(fā)展，網(wǎng)絡(luò)安全問題變得越來越重要和敏感。網(wǎng)絡(luò)攻擊技術(shù)和手段日新月異，迫使網(wǎng)絡(luò)安全程序的開發(fā)必須越來越快。 攻擊技術(shù)和手段日益復(fù)雜、更具隱蔽性和分布性等特點(diǎn)使網(wǎng)絡(luò)安全程序的開發(fā)也越來越困難。 為了描述各種復(fù)雜的安全規(guī)則和方便地對(duì)安全功能進(jìn)行擴(kuò)展，各種專有的安全語言都發(fā)展起來，如IDS 系統(tǒng)的Snort 規(guī)則腳本和RUSSEL語言，掃描器Nessus 的NASL語言，描述漏洞的A

2、VDL和VulnXML，以及攻擊描述語言LAMBDA、JIGSAW和CISL。然而，上述安全腳本和語言仍然存在許多缺陷，如功能單一；語法語義各不相同，不方便學(xué)習(xí)，對(duì)同一個(gè)安全事件，采取完全不同的描述方式；規(guī)則之間互操作困難，無法交換和共享信息；語言的表示能力，檢測(cè)強(qiáng)度都沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)等。 為此，提出了建立網(wǎng)絡(luò)安全語言NSL（Network Security Language）的構(gòu)想。通過對(duì)各種安全應(yīng)用進(jìn)行深入分析、歸類、抽象

3、出基于特征（Feature）、事件（Event）、過濾器（Filter）、限制（Constraint）和場(chǎng)景（Scenario）的模型。在此基礎(chǔ)上定義了完整的NSL語法和語義，設(shè)計(jì)和實(shí)現(xiàn)了NSL的編譯器和虛擬機(jī)。為大多數(shù)安全應(yīng)用提供了一個(gè)統(tǒng)一的編程環(huán)境。 構(gòu)造了以Rule 和Scenario 為核心的兩級(jí)語法結(jié)構(gòu)。NSL的基本語法結(jié)構(gòu)在表達(dá)式、語句和方法級(jí)別上都兼容C/C++語言，不僅提高了描述復(fù)雜結(jié)構(gòu)的能力，而且也降低了學(xué)習(xí)曲

4、線。NSL 的Rule 和Scenario 實(shí)現(xiàn)不同的安全功能。Rule 負(fù)責(zé)基于signature 的檢測(cè)，而Scenario 具有狀態(tài)轉(zhuǎn)換的自動(dòng)推導(dǎo)能力，可以檢測(cè)復(fù)雜的安全事件。 對(duì)基于signature 的檢測(cè)，主要采用了動(dòng)態(tài)Filters 加載方法，和Filters Cache 結(jié)合在一起，既提供了強(qiáng)大的檢測(cè)能力又允許方便的擴(kuò)展。同時(shí)對(duì)內(nèi)容檢測(cè)的Boyer-Moore算法進(jìn)行了優(yōu)化，把Boyer-Moore算法中的兩個(gè)啟

5、發(fā)式步驟連接起來，對(duì)匹配針對(duì)Web的攻擊，可以達(dá)到更快的速度。Rule之間共設(shè)計(jì)了四種互動(dòng)方式。 現(xiàn)有的安全語言中，有的沒有提供規(guī)則之間的互動(dòng)能力，有的提供了比較簡(jiǎn)單的機(jī)制。而NSL具有4種粒度的規(guī)則交互方式：即規(guī)則啟?？刂?，規(guī)則變量訪問，規(guī)則方法調(diào)用和規(guī)則事件訪問。豐富了規(guī)則的表現(xiàn)能力，提高了表示方法的簡(jiǎn)潔性。 對(duì)復(fù)雜攻擊場(chǎng)景，采用自動(dòng)狀態(tài)機(jī)來進(jìn)行檢測(cè)。一個(gè)Scenario 語法結(jié)構(gòu)包含多個(gè)狀態(tài)，每個(gè)狀態(tài)可以對(duì)應(yīng)攻擊中

6、的一個(gè)步驟。當(dāng)預(yù)定的事件（Event）對(duì)象出現(xiàn)，狀態(tài)之間會(huì)自動(dòng)進(jìn)行轉(zhuǎn)換。Scenario 和Rule 之間可以通過Event 進(jìn)行通信，方便的提供了分布式的檢測(cè)能力。使NSL具有普通IDS系統(tǒng)不具備的高級(jí)攻擊檢測(cè)能力。 為了能夠適應(yīng)網(wǎng)絡(luò)應(yīng)用對(duì)帶寬苛刻的要求，還利用多種優(yōu)化技術(shù)對(duì)NSL的運(yùn)行了效率進(jìn)行優(yōu)化。包括四種方法：即窺孔優(yōu)化（peephole optimization），快速指令分發(fā)，基于神經(jīng)網(wǎng)絡(luò)的垃圾搜集以及快速的Just

7、-In-Time 及時(shí)編譯等算法和技術(shù)?；谏窠?jīng)網(wǎng)絡(luò)的垃圾搜集為新提出的算法，通過神經(jīng)網(wǎng)絡(luò)來預(yù)測(cè)垃圾搜集的時(shí)機(jī)，取得了較好的效果。其他優(yōu)化技術(shù)也在細(xì)節(jié)上做了改進(jìn)。通過這些優(yōu)化技術(shù)突破了一般安全語言在性能上的局限。 提出基于返回地址的緩沖區(qū)保護(hù)的方法。為了提高NSL在非可信網(wǎng)絡(luò)中的安全性，尤其針對(duì)泛濫的遠(yuǎn)程緩沖區(qū)溢出攻擊，NSL 通過建立只讀返回地址區(qū)域和對(duì)返回地址進(jìn)行編碼，有效防止了各種緩沖區(qū)溢出的攻擊。 實(shí)現(xiàn)了一個(gè)較為