Windows個(gè)人防火墻的分析與設(shè)計(jì)

1、第35卷 p白正35 第12期No.12計(jì)算機(jī)工程Computer Engineering2009年6月 June 2009安全技術(shù) 文章編號(hào):looo_3428(200912oll4_03文獻(xiàn)標(biāo)識(shí)碼l A 中圍分類號(hào):TP309 Windows平臺(tái)通用個(gè)人防火墻的分析與設(shè)計(jì)劉精遠(yuǎn),孫寶林,桂超(湖北經(jīng)濟(jì)學(xué)院計(jì)算機(jī)學(xué)院,武漢430205妥:定義個(gè)人防火墻系統(tǒng)應(yīng)具備的主要功能,其核心技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾。給出Windows系統(tǒng)網(wǎng)絡(luò)協(xié)議分層體系結(jié)構(gòu),在對(duì)OSI 參考模型和Windows網(wǎng)絡(luò)體系結(jié)構(gòu)對(duì)比分析的基礎(chǔ)上給出實(shí)現(xiàn)包過(guò)濾的不同技術(shù)路線。對(duì)各技術(shù)路線進(jìn)行評(píng)估,選擇SPI作為實(shí)現(xiàn)方案, 給出使

2、用SPI進(jìn)行包過(guò)濾的技術(shù)要點(diǎn),個(gè)人防火墻系統(tǒng)的運(yùn)行表明其具有較快的包過(guò)濾處理性能。關(guān)健訶:個(gè)人防火墻;包過(guò)濾;傳輸層沒(méi)備接口過(guò)濾驅(qū)動(dòng)程序Analysis and Design of Common Personal Firewallon Windows PlatformLIU Peng-yuan,SUN Bao-lin,GUI Chao(School ofComputer,Hubei University ofEconomy,Wuhan 430205AbstractThe main functional attributes of personal f'trewall system al

3、e defined.The core technology for realizing is packets filtering.The Architecture of WindowS Network(AWNis presented,and on the basis ofcomparison between OSI and AWN,several solutions ofpacket filteringare listed.The solution using SPI is selected after reviewing and its key realization points to f

4、ilter packets are offered.Thepersonal fwewall systemrealized using SPI shows good performance for filter network packets.Key wordspersonal firewall;packet filter;transport layer device interface filter driver1概述國(guó)外個(gè)人防火墻系統(tǒng)知名的品牌較多,如LOCKDOWN, NORTON,國(guó)內(nèi)主要有天網(wǎng)防火墻和許多原來(lái)是防病毒軟件 廠商開(kāi)發(fā)的個(gè)人防火墻產(chǎn)品,如KV系列、KILL系列、金山 系列。

5、從外部功能行為上可將它們的功能歸納為以下7點(diǎn): (1實(shí)時(shí)監(jiān)控,根據(jù)應(yīng)用程序規(guī)則對(duì)進(jìn)出本機(jī)的網(wǎng)絡(luò)封包 進(jìn)行過(guò)濾;(2受到攻擊時(shí)向用戶報(bào)警指示;(3日志記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息;(4電子郵件監(jiān)控,可以根據(jù)自定義的過(guò)濾規(guī)則對(duì)郵件實(shí) 施過(guò)濾;(5根據(jù)特征庫(kù)進(jìn)行入侵檢測(cè);(6在線升級(jí)特征庫(kù);(7將防毒、殺毒和個(gè)人防火墻集成在一起。防毒殺毒將病毒特征庫(kù)的數(shù)據(jù)和包過(guò)濾數(shù)據(jù)進(jìn)行對(duì)比, 判斷是否是病毒從而干預(yù);入侵檢測(cè)和各種規(guī)則過(guò)濾(包括應(yīng) 用程序規(guī)則和電子郵件規(guī)則基于包過(guò)濾結(jié)合自定義控管規(guī) 則分析判斷是攔截還是放行,而特征庫(kù)的定義和自學(xué)習(xí)不是 防火墻技術(shù)的研究?jī)?nèi)容。因此,防火墻軟件技術(shù)的核心是包 過(guò)濾,即對(duì)

6、網(wǎng)絡(luò)上流動(dòng)的數(shù)據(jù)包過(guò)濾并分析,通過(guò)控管規(guī)則 決定放行或者禁止出/入。2Windows網(wǎng)絡(luò)體系結(jié)構(gòu)(AWN分析圖1給出了OSI七層參考模型Izl與Window的網(wǎng)絡(luò)體系 結(jié)構(gòu)對(duì)比。由圖可見(jiàn),包過(guò)濾叮以發(fā)生在網(wǎng)卡驅(qū)動(dòng)程序所在 的數(shù)據(jù)鏈路層至應(yīng)用層的各層中,這提供了攔截網(wǎng)絡(luò)數(shù)據(jù)包 的基本思路。Microsoft在Windows的各個(gè)網(wǎng)絡(luò)協(xié)議層次上都 提供了一些公開(kāi)規(guī)范或未公開(kāi)的非常規(guī)方法,以方便開(kāi)發(fā)者一114一 插入一層,因此,可以利用這些規(guī)范或非常規(guī)的方法在插入 的一層處理中進(jìn)行數(shù)據(jù)包過(guò)濾¨。J。在用戶態(tài)F進(jìn)行網(wǎng)絡(luò)數(shù)據(jù) 包攔截是指會(huì)話層和表示層的包過(guò)濾,利用Winsock SPl(Ser

7、vice Provider Interface或直接替換系統(tǒng)自帶的 Winsock動(dòng)態(tài)鏈接庫(kù)來(lái)過(guò)濾包。這里的Winsock SPI編程并不 是指Windows上的套接字編程Winsock網(wǎng)絡(luò)編程。另一個(gè)難 點(diǎn)是對(duì)各種網(wǎng)絡(luò)協(xié)議的解析,可以使用一些嗅探器軟件工具 (如著名的Sniffer來(lái)學(xué)習(xí)各種TCP/IP協(xié)議。OSI網(wǎng)絡(luò)窗l(fā)J模型 Windows的網(wǎng)絡(luò)體系結(jié)構(gòu)7.應(yīng)用層 7應(yīng)用程序fFx卜一5.會(huì)話層 5TDI客戶(winsock仿真器等 一 一sysiF層l系統(tǒng)奢l傳輸驅(qū)動(dòng)程J川協(xié)議驅(qū)動(dòng)Tcpip.sys/.vxd3網(wǎng)絡(luò)層3網(wǎng)絡(luò)驅(qū)動(dòng)程序(Ndis sys2.數(shù)據(jù)鏈路層 2網(wǎng)書(shū)驅(qū)動(dòng)程序(.vx

8、d/.sys1.物理層 l網(wǎng)卡圈1OS!岡終參考校垂與Windows岡絡(luò)體系結(jié)構(gòu)傳輸層及以下底層的操作必須借助它提供的一些接口和 開(kāi)發(fā)規(guī)范進(jìn)行,操作系統(tǒng)工作在系統(tǒng)態(tài)保護(hù)模式下。在系統(tǒng)態(tài) 下的過(guò)濾要用到Windows DDK(Windows Device Developing Kit和TDI接I:1規(guī)范(Transport Layer Device Interface Filter Driver、NDIS接口規(guī)范(Network Driver Interface Specification。DDK是Windows下驅(qū)動(dòng)開(kāi)發(fā)的開(kāi)發(fā)包,可以 基金項(xiàng)目:湖北省教育廳基金資助霞點(diǎn)項(xiàng)目(B20061900

9、1作者筒介:劉鵬遠(yuǎn)(1976一,男,高級(jí)工程師,主研方向:軟件工程, 網(wǎng)絡(luò)安全;孫寶林,教授、博七;桂超,副教授通過(guò)學(xué)習(xí)WIN DDK中的一些簡(jiǎn)單范例找到解決方法。在系統(tǒng)態(tài)下首先看最底層,從網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)看,過(guò)濾 可以發(fā)生在網(wǎng)卡驅(qū)動(dòng)程序所在的數(shù)據(jù)鏈路層。但防火墻系統(tǒng) 需要從數(shù)據(jù)包過(guò)濾中得到的主要是IP地址、協(xié)議服務(wù)類型和 應(yīng)用程序信息,在網(wǎng)絡(luò)層進(jìn)行過(guò)濾已足以獲得這些信息,無(wú) 須對(duì)網(wǎng)卡MAC幀進(jìn)行過(guò)濾分析。而且在網(wǎng)卡過(guò)濾適應(yīng)各種 網(wǎng)卡硬件環(huán)境,實(shí)際上就是開(kāi)發(fā)一個(gè)網(wǎng)卡驅(qū)動(dòng)程序,這與防 火墻系統(tǒng)的開(kāi)發(fā)目標(biāo)不太吻合。從上向下看,系統(tǒng)態(tài)下的方案還可以利用TDI層E的過(guò) 濾驅(qū)動(dòng)程序或網(wǎng)絡(luò)層上的NDIS中間

10、層驅(qū)動(dòng)程序達(dá)到目的, 前者是TDI接口規(guī)范,后者是NDIS接口規(guī)范。系統(tǒng)態(tài)的方 法就是開(kāi)發(fā)驅(qū)動(dòng)程序的方法,只不過(guò)這里是軟件驅(qū)動(dòng)程序而 不是直接和硬件打交道的硬件驅(qū)動(dòng)程序。NDIS是微軟提出的開(kāi)發(fā)網(wǎng)絡(luò)驅(qū)動(dòng)及網(wǎng)卡驅(qū)動(dòng)的接口規(guī) 范,NDIS為網(wǎng)絡(luò)驅(qū)動(dòng)的開(kāi)發(fā)提供了一套標(biāo)準(zhǔn)的接口,從OSI 網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)看橫跨了3層(數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和傳輸 層。微軟的NDIS規(guī)范允許在TDI傳輸驅(qū)動(dòng)程序與NDIS驅(qū) 動(dòng)程序(小端口驅(qū)動(dòng)程序間插入分層驅(qū)動(dòng)程序,這種分層驅(qū) 動(dòng)程序稱為NDIS中間層驅(qū)動(dòng)程序。NDIS中間層驅(qū)動(dòng) (intermediate driver介于協(xié)議驅(qū)動(dòng)程序和小端口驅(qū)動(dòng)之間,因 此,直接收到和發(fā)往

11、網(wǎng)卡數(shù)據(jù),能夠在最靠近網(wǎng)卡的底層截 獲所有的網(wǎng)絡(luò)數(shù)據(jù)包(以太網(wǎng)該層的協(xié)議數(shù)據(jù)單元稱為數(shù)據(jù) 幀,本文統(tǒng)稱為數(shù)據(jù)包。中間層驅(qū)動(dòng)程序在自己的上下曬端 分別開(kāi)放一個(gè)Miniport(/J、端口接口和一個(gè)Protocol(協(xié)議接 口。對(duì)于NDIS小端口驅(qū)動(dòng)程序,中間層驅(qū)動(dòng)程序相當(dāng)于傳 輸驅(qū)動(dòng)程序;對(duì)于傳輸驅(qū)動(dòng)程序,中問(wèn)層驅(qū)動(dòng)程序相當(dāng)于小 端口驅(qū)動(dòng)程序。系統(tǒng)中所有的網(wǎng)絡(luò)通信都經(jīng)過(guò)NDIS中間層 驅(qū)動(dòng)程序,因此,可以用于網(wǎng)絡(luò)數(shù)據(jù)包的攔截與過(guò)濾。3技術(shù)路線選擇個(gè)人防火墻的工作是監(jiān)控網(wǎng)絡(luò)進(jìn)出的數(shù)據(jù)流,對(duì)用戶認(rèn) 為危險(xiǎn)或者有害的數(shù)據(jù)流向進(jìn)行禁止或者監(jiān)控,其核心功能 是網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)控與分析過(guò)濾。從底層看,NDIS

12、的中間驅(qū) 動(dòng)由于在網(wǎng)卡驅(qū)動(dòng)程序和傳輸驅(qū)動(dòng)程序之間插入了一層,因 此可以過(guò)濾較為底層的封包,完成更低級(jí)(最底層的是在網(wǎng)卡 驅(qū)動(dòng)程序?qū)舆^(guò)濾,但前面闡述過(guò)在網(wǎng)卡驅(qū)動(dòng)程序?qū)幼鼍W(wǎng)絡(luò)數(shù) 據(jù)包過(guò)濾沒(méi)有實(shí)現(xiàn)價(jià)值的操作,不會(huì)有網(wǎng)絡(luò)數(shù)據(jù)包從這里旁 路,因此,其最大的優(yōu)點(diǎn)是安全系數(shù)高。需要指出的是,NDIS層次上的網(wǎng)絡(luò)操作不采用標(biāo)準(zhǔn)的 I/O模式(IRP,因此,不能確定某個(gè)網(wǎng)絡(luò)操作是由哪個(gè)進(jìn)程 引起的。個(gè)人用戶看不到網(wǎng)絡(luò)數(shù)據(jù)源于哪個(gè)進(jìn)程,就不容易 讓用戶自定義過(guò)濾包規(guī)則,這是個(gè)很大的缺陷。當(dāng)然,越靠 近底層的驅(qū)動(dòng)程序編寫(xiě)可移植性和健壯性越難保證,編碼復(fù) 雜也是其一個(gè)缺點(diǎn)。對(duì)于TDI過(guò)濾驅(qū)動(dòng)程序,由于采用標(biāo)準(zhǔn)的Win

13、dows I/O 請(qǐng)求(IRP,因此沒(méi)有NDIS中間層的驅(qū)動(dòng)就不能得到進(jìn)程信 息,但由于它工作在傳輸驅(qū)動(dòng)程序Tcpip.sys之上,因此由 Tcpip.sys接收后直接處理的數(shù)據(jù)包是不會(huì)傳遞到上層TDI過(guò) 濾驅(qū)動(dòng)程序的,如ICMP協(xié)議的應(yīng)答包。Ping和Tracert就是 利用ICMP來(lái)探測(cè)網(wǎng)絡(luò)的可達(dá)性和跟蹤路由。上才提供的方法。整個(gè)NDIS規(guī)范和TDI的概念是在Windows NT平臺(tái)上提出和得到發(fā)展的,以后的Windows 2000, Windows XP都支持,但以前的Windows98和Windows Me 的個(gè)人防火墻軟件,這2種方法是不合適的。網(wǎng)絡(luò)通信的網(wǎng)絡(luò)數(shù)據(jù)包。它工作在TDI客

14、戶之上和所有的用 戶進(jìn)程之下,因此,對(duì)于用戶進(jìn)程交給它的網(wǎng)絡(luò)請(qǐng)求和意圖 非常清楚在經(jīng)過(guò)底層的分段(IP分段之前,對(duì)用戶進(jìn)程 的行為、目的可以有更直觀的了解,非常適合做內(nèi)容過(guò)濾。 并且其過(guò)濾的所有Winsock調(diào)用被所有Windows平臺(tái)支持。 另外編程相對(duì)簡(jiǎn)單,平臺(tái)適應(yīng)性好。其最大的缺點(diǎn)是有的網(wǎng) 絡(luò)程序使用TDI接幾提供的一些函數(shù)例程直接發(fā)起通信的發(fā) 送和接收,用戶態(tài)的數(shù)據(jù)包過(guò)濾技術(shù)對(duì)此類程序無(wú)能為力。 另外,與TD!方法一樣,對(duì)那些由Tcpip.sys接收后直接處理 的數(shù)據(jù)包,如利用ICMP協(xié)議的應(yīng)答包進(jìn)行探測(cè)網(wǎng)絡(luò)町達(dá)性 的Ping和Tracert,由于它位于TDI的更上層,因此用戶態(tài) 的數(shù)

15、據(jù)包過(guò)濾技術(shù)對(duì)此旁路無(wú)能為力。能夠在前臺(tái)監(jiān)視進(jìn)程界面得到進(jìn)程訪問(wèn)網(wǎng)絡(luò)的詳細(xì)信息 對(duì)個(gè)人防火墻系統(tǒng)至關(guān)霞要這些進(jìn)程信息有助于判定是商業(yè)個(gè)人防火墻產(chǎn)品如金山網(wǎng)鏢的包過(guò)濾核心解決方案,但 從使用SPl個(gè)人防火墻系統(tǒng)來(lái)看,當(dāng)在一白宿主機(jī)上同時(shí)安 裝該SPI包過(guò)濾防火墻系統(tǒng)和金山網(wǎng)鏢時(shí),該SPI包過(guò)濾防 火墻對(duì)發(fā)送數(shù)據(jù)領(lǐng)先截獲于金山阿鏢,因此,可斷定SPI包 過(guò)濾發(fā)生于金山網(wǎng)鏢的更上層,金山網(wǎng)鏢應(yīng)該采用TDl方案 進(jìn)行包過(guò)濾來(lái)獲得訪網(wǎng)進(jìn)程信息。結(jié)合項(xiàng)目目標(biāo),要實(shí)現(xiàn)通用于Windows平臺(tái)的個(gè)人防火 方案不適用于Window9x平臺(tái)。另外,個(gè)人防火墻系統(tǒng)應(yīng)能必須使用SPl進(jìn)行包過(guò)濾。4技術(shù)要點(diǎn)前臺(tái)訪網(wǎng)進(jìn)程

16、發(fā)出網(wǎng)絡(luò)訪問(wèn)調(diào)用時(shí),SPI后臺(tái)進(jìn)程進(jìn)行+包過(guò)濾處理。本節(jié)給出包過(guò)濾處理的詳細(xì)實(shí)現(xiàn)處理流程作為 技術(shù)要點(diǎn)分析。4.I 發(fā)送數(shù)據(jù)的Winsoek調(diào)用包過(guò)濾處理過(guò)程圖2描述以WSPSend為例的包過(guò)濾處理流程,圖中上下 層的箭頭表示調(diào)用方向,同層中從左到右表示被上層調(diào)用的 順序。圈2wsAsend(send的包過(guò)蠢處理滾程一115 本頁(yè)已使用福昕閱讀器進(jìn)行編輯。當(dāng)WSASend或Send調(diào)用被它過(guò) 濾后,首先調(diào)用CheckSend檢查連接 權(quán)限,如果CheckSend沒(méi)有返回 “PASS”,WSPSend就不轉(zhuǎn)發(fā)給底 層函數(shù)。CheckSend其實(shí)是先設(shè)置調(diào) 用SetSessiou封包,然后調(diào)用 G

17、etAccesslnfo進(jìn)行訪問(wèn)權(quán)限檢查, GetAccesslnfo是直接調(diào)用GetAccess FromAcl進(jìn)行檢查。GetAccessFromAcl首先檢查 MyFilter.exe前臺(tái)用戶界面進(jìn)程是否 已啟動(dòng),沒(méi)有啟動(dòng)就直接放行過(guò)濾的 網(wǎng)絡(luò)訪問(wèn)調(diào)用;然后檢查進(jìn)程名,如 無(wú)效也放行;檢查當(dāng)前封包的遠(yuǎn)端 IP,是自身也放行;然后GetAccess FromAcl調(diào)用GetACCeSS FromWork Mode檢查工作模式是否為詢問(wèn)模 式,如果不是詢問(wèn)而是拒絕所有或放 行所有就直接返回PASS或DENY。 在詢問(wèn)的工作模式下,Get AccessFromAcl調(diào)用FindAcl按應(yīng)用程序

18、路徑和名稱查找。FindAcl是根 據(jù)應(yīng)用程序路徑和名稱從指定下標(biāo) 開(kāi)始在控管規(guī)則中查找與之相匹配 的記錄,注意它只返回第1個(gè)滿足的 下標(biāo)。如果FindAcl第1次查找沒(méi)有 找到,說(shuō)明在控管規(guī)則中沒(méi)有該應(yīng)用 程序進(jìn)程的控管規(guī)則,返回QUERY 表示需要調(diào)用QueryAccess向用戶詢 問(wèn)后返回訪問(wèn)動(dòng)作。如果FindAcl找到,還要繼續(xù)判 斷進(jìn)出方向和當(dāng)前連接是否一樣;判 斷協(xié)議類趔是否相同;判斷端口是否 相同;判斷當(dāng)前連接封包的時(shí)間是否 在這條控管規(guī)則的允許訪問(wèn)時(shí)間段 內(nèi);判斷當(dāng)前連接封包的遠(yuǎn)端IP是 否在這條控管規(guī)則的允許訪問(wèn)網(wǎng)絡(luò) 類型內(nèi)。如果都相同,直接取這條控 管規(guī)則的訪問(wèn)動(dòng)作PASS

19、或DENY。 這遞進(jìn)的幾步中有一步不能推進(jìn)時(shí) 說(shuō)明不是第1次查找,再次調(diào)用 FindAcl從新的下標(biāo)開(kāi)始一次匹配查 找,并在找到后繼續(xù)上面的遞進(jìn)步 驟。一旦不滿足上面的做法 否否否否開(kāi)始令 是 否 返l-1“PASS” 廷多>馬匝0否 嬰半筍一 。一 Q纛籮篙/在拄管規(guī)則中賚找、是否有戈于這個(gè)進(jìn)程調(diào)用的控管規(guī)則記錄(FindAcl?/+是一雨匡磊贏贏礦迥蘭竺竺!旦=_一+是1癀弱麗磊贏贏蕊圈獷遙邊望竺竺竺!蘭翌望旦-0是麗贏1品蕊汆 當(dāng)巡望竺竺蘭!蘭至塑眵是咱薹磊;藉淤時(shí)問(wèn)足否在這條挫管規(guī)則的允許訪問(wèn)時(shí)蜘殿內(nèi)?一是遛戮!籮 P地址楚西在這條控管胤則允i午訪問(wèn)的 >趔竺竺竺空:一越堡

20、竺竺竺譬/。一 +是廠二怎習(xí)FindAcl從新的下標(biāo)開(kāi)始一次匹配查找,直至FindAcl沒(méi) 有找到或者完全滿足。完全滿足時(shí)就對(duì)該封包取該條控管規(guī) 則的訪問(wèn)動(dòng)作,不是第1次調(diào)用FindAcl而沒(méi)有找到時(shí),直 接取上次找到的控管規(guī)則中的相反的訪問(wèn)動(dòng)作。GetAccessFromAcl函數(shù)是CheckXxx管制函數(shù)的核心部 分,可以看到它具有自學(xué)習(xí)確定控管規(guī)則(當(dāng)控管規(guī)則中沒(méi)有 匹配的進(jìn)程名時(shí)詢問(wèn)甩戶進(jìn)行定義,同時(shí)具有一定的智能, 當(dāng)沒(méi)有控管規(guī)則與當(dāng)前封包完全匹配時(shí),取最接近那條控管 規(guī)則的相反的訪問(wèn)動(dòng)作。圖3給出其算法流程。11仔一些苧:!竺:l;濰參然Ac甕tion旭控管規(guī)則的>.。.竺嬰

21、,。 、是否為Pss?/L竺2=二一 衛(wèi)返回“PASS”墜L圈3GetAccessFromAcl函數(shù)算法藏程返l口l“DENY”4.2接收效據(jù)的Winsock調(diào)用被過(guò)濾處理漉程應(yīng)用程序發(fā)出的訪問(wèn)網(wǎng)絡(luò)的Winsock調(diào)用被過(guò)濾后的處 理流程一般如4.1節(jié)所述,但接收數(shù)據(jù)的Winsock調(diào)用被過(guò) 濾后的處理流程有所不同,更加復(fù)雜。對(duì)于應(yīng)用程序發(fā)出的 Recv,RecvFrom,WSARecv,WSARecvFrom接收數(shù)據(jù)的 Winsock調(diào)用,由于在接收前不知接收到了多少數(shù)據(jù),因此 要先調(diào)甩底層SPI函數(shù)完成接收。問(wèn)題在于甩戶進(jìn)程可能是 使用莆疊I/O模型發(fā)出的接收調(diào)用,它定義了回調(diào)函數(shù)完成 例

22、程,實(shí)際完成接收后控制權(quán)轉(zhuǎn)移到了完成例程函數(shù)fii不會(huì) (下轉(zhuǎn)第119頁(yè)接收到的各個(gè)錨節(jié)點(diǎn)發(fā)來(lái)的定位消息包,在每個(gè)格點(diǎn)處共收 集50個(gè)定位消息包。第2個(gè)階段是利用加入偽裝攻擊防御措 施的加權(quán)質(zhì)心算法對(duì)未知節(jié)點(diǎn)進(jìn)行安全定位。4.2實(shí)驗(yàn)結(jié)果及分析圖3是在有攻擊節(jié)點(diǎn)存在的環(huán)境下,加入防御措施和沒(méi) 有防御措施的定位誤差及無(wú)惡意節(jié)點(diǎn)時(shí)的定位誤差比較。由 圖中可以看出,在多數(shù)情況下,有偽裝攻擊節(jié)點(diǎn)時(shí)的定位誤 差比沒(méi)有時(shí)的定位誤差擴(kuò)大了許多,只有少數(shù)情況下定位誤 差減小了。而在加入防御措施后,節(jié)點(diǎn)的定位誤差和沒(méi)有攻 擊節(jié)點(diǎn)時(shí)基本相同。圖4是對(duì)應(yīng)的定位誤差的累計(jì)概率分布。圖3定位誤差比較定位溟差,m圖4定位誤

23、差的累計(jì)概率分布由圖4可以看出,在存在偽裝攻擊的環(huán)境中,節(jié)點(diǎn)的定 位誤差在1m之內(nèi)的概率在40%以下,而在加入防御措施后, 達(dá)到這種精度的概率在70%左右。5結(jié)束語(yǔ)本文針對(duì)無(wú)線傳感器網(wǎng)絡(luò)定位算法中存在的偽裝攻擊, 提出了一種基于對(duì)稱密碼加密的防御措施。實(shí)驗(yàn)結(jié)果表明, 在偽裝攻擊存在的環(huán)境中,該防御措施可以在不失算法定位 精度的情況F,對(duì)節(jié)點(diǎn)進(jìn)行安全定位。由于傳感器節(jié)點(diǎn)通常 分布在無(wú)人照看的環(huán)境下,一旦節(jié)點(diǎn)被攻擊者捕獲,存儲(chǔ)在 節(jié)點(diǎn)上的所有信息都會(huì)被攻擊者得到,因此如何在節(jié)點(diǎn)被捕 獲的情況下仍能安全定位將是F一步工作研究的重點(diǎn)。參考文獻(xiàn)【1】Bulusu N,Heidemann J,Estrin

24、 D.GPSless Low Cost Outdoor Localization for Very Small DevicesJ. IEEE Personal Communications Magazine,2000,7(5:28-34.【2】Shen Xingfa,Wang Zhi,Jiang Peng,et a1.Connectivity and RSSI Based Localization Scheme for Wireless Sensor NetworksC/Proe. of IEEE 2005International Conference on Intelligent Comp

25、uting. Berlin,Germany:Springer-Verlag,2005:578587.【3】Liu Donggang,Ning Peng。Du Wenliang.Detecting Malicious Beacon Nodes for Secure Location Discovery in5】Wang Haodong,Sheng Bo,Li Qun.Elliptic Curve Cryptography Based Access Control in Sensor NetworksJ.International Journal ofSecurity and Networks,2

26、006,1(3/4:127137.6】Karlof C,Sastry N。Wagner D.TinySec:A Link Layer Security Architecture for Wireless Sensor NetworksC/Proeeedings of ACM SenSys04.Maryland,USA:Is.n.】,2004.編輯張正興(上接第116頁(yè)返回到自定義的過(guò)濾接收函數(shù)。因此,要獲得底層SPI的接 收數(shù)據(jù)大小的信息,如果用戶進(jìn)程是使用重疊I/O方法發(fā)出 的Winsock接收調(diào)用,需要先保存原來(lái)的Winsock調(diào)用傳遞 參數(shù)信息,定義自己的回調(diào)函數(shù)完成例程,再轉(zhuǎn)發(fā)給底層處

27、 理。這樣在轉(zhuǎn)發(fā)給底層處理時(shí)就告訴了操作系統(tǒng)需要控制權(quán) 最終返回。5結(jié)束語(yǔ)本文目標(biāo)是實(shí)現(xiàn)一個(gè)適用于所有Window平臺(tái)的個(gè)人防 火墻系統(tǒng),由于TDIS和NDIS的包過(guò)濾技術(shù)路線都不能適用 于所有Windows平臺(tái),因此從項(xiàng)目目標(biāo)來(lái)看,選用SPI是合 適的。筆者使用SPI實(shí)現(xiàn)了一個(gè)人防火墻系統(tǒng)MyFilter 1.0, 實(shí)驗(yàn)表明其具有較好的包過(guò)濾處理性能。但可以看到,SPI 和TDI都有被“旁路”的可能,而只有NDIS能從底層截獲 所有的網(wǎng)絡(luò)通信數(shù)據(jù)包解決旁路隱患。因此,一個(gè)真正可商 業(yè)化的個(gè)人防火墻系統(tǒng)必須同時(shí)具備高層包過(guò)濾和NDIS底 層包過(guò)濾的“雙截獲”方案才能達(dá)到理想的效果,即既能在 高

28、層包過(guò)濾充分獲取訪網(wǎng)進(jìn)程信息,又能在在底層采用NDIS 解決旁路的隱患。筆者正在對(duì)SPI+NIDS的復(fù)合技術(shù)路線進(jìn) 行技術(shù)驗(yàn)證,但這樣的個(gè)人防火墻系統(tǒng)不能適用于所有 Windows平臺(tái)。參考文獻(xiàn)【1】黃允聰,嚴(yán)望佳.計(jì)算機(jī)網(wǎng)絡(luò)安全工具【M】.北京:清華大學(xué)出版 社,1999:35-41.【3】Gonealves M.Firewalls:A Complete GuideM.北京:機(jī)械工業(yè)出 版社,2000:7779.4】Zwicky E D,Cooper S,Chapman D B.Building the hatemet FirewallM.2nd ed.【S.1.】:McGraw-Hill,

29、2003:9095.【5】劉鵬遠(yuǎn).Windows下個(gè)人防火墻的研究與實(shí)現(xiàn)【D】.昆明:云南大 學(xué),2005.6】王樹(shù)華,周利華.基于Windows 2000平臺(tái)的防火墻技術(shù)研究與 實(shí)現(xiàn)J】.微機(jī)發(fā)展,2004:14(5:7880.編輯張正興 Windows平臺(tái)通用個(gè)人防火墻的分析與設(shè)計(jì)作者:劉鵬遠(yuǎn) , 孫寶林 , 桂超 , LIU Peng-yuan, SUN Bao-lin, GUI Chao作者單位:湖北經(jīng)濟(jì)學(xué)院計(jì)算機(jī)學(xué)院,武漢,430205刊名:計(jì)算機(jī)工程 英文刊名:COMPUTER ENGINEERING年,卷(期:2009,35(12被引用次數(shù):0次參考文獻(xiàn)(7條1. 黃允聰 . 嚴(yán)

30、望佳 計(jì)算機(jī)網(wǎng)絡(luò)安全工具 19992. Tanenbaum A S 計(jì)算機(jī)網(wǎng)絡(luò) 20043. Goncalves M Firewalls:A Complete Guide 20004. Zwicky E D. Cooper S. Chapman D B Building the Internet Firewall 20035. 劉鵬遠(yuǎn) Windows下個(gè)人防火墻的研究與實(shí)現(xiàn) 學(xué)位論文 20056. 王樹(shù)華 . 周利華 基于Windows 2000平臺(tái)的防火墻技術(shù)研究與實(shí)現(xiàn) 期刊論文-微機(jī)發(fā)展 2004(057. 戚鵬飛 Windows下的個(gè)人防火墻-網(wǎng)絡(luò)數(shù)據(jù)包攔截技術(shù)概覽 2007相似文獻(xiàn)(1

31、0條1.學(xué)位論文 邵志強(qiáng) 智能包過(guò)濾個(gè)人防火墻設(shè)計(jì)與實(shí)現(xiàn) 2009隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和信息化程度的加深,人們?cè)诠ぷ?、學(xué)習(xí)和日常生活中越來(lái)越多的感受到網(wǎng)絡(luò)所帶來(lái)的快捷,但是與此同時(shí)也應(yīng)看到網(wǎng) 絡(luò)發(fā)展所帶來(lái)一些負(fù)面的影響,網(wǎng)絡(luò)安全問(wèn)題尤其突出。如果不很好地解決這個(gè)問(wèn)題,必將阻礙信息化發(fā)展的進(jìn)程。計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng) 域正在迅速普及,整個(gè)社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越大。了解網(wǎng)絡(luò)面臨的各種威脅,防范和消除這些威脅,實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全已經(jīng)成了網(wǎng)絡(luò)發(fā)展的重 要事情。論文以我校在研嵌入式軟件開(kāi)發(fā)平臺(tái)項(xiàng)目為依托,從實(shí)際情況出發(fā),重點(diǎn)研究平臺(tái)的安全防護(hù)和異常處理機(jī)制。針對(duì)嵌入式軟件平臺(tái)可能存在的安

32、 全隱患,設(shè)計(jì)了基于Linux操作系統(tǒng)平臺(tái)的個(gè)人防火墻應(yīng)用軟件,提高平臺(tái)整體的安全性。論文在開(kāi)發(fā)技術(shù)上,主要針對(duì)防火墻包過(guò)濾機(jī)制來(lái)進(jìn)行研究,并且從項(xiàng)目實(shí)際情況考慮,選擇Linux系統(tǒng)做為底層開(kāi)發(fā)操作系統(tǒng),采用Qt和KDevelop工具進(jìn)行防火墻界面的開(kāi)發(fā)和功能的實(shí)現(xiàn)。此外論文還分析了傳統(tǒng)的包過(guò)濾匹配算法存在的不足,針對(duì)此不足作者對(duì)算法進(jìn)行了優(yōu)化,提出了 一種新型的防火墻包規(guī)則匹配算法,并給出了算法的實(shí)現(xiàn)和算法仿真結(jié)果。由于該算法能夠通過(guò)函數(shù)調(diào)用的方式,對(duì)規(guī)則集中的規(guī)則進(jìn)行分組和優(yōu)化 ;同時(shí)在規(guī)則匹配的時(shí)候,又以分組的方式進(jìn)行匹配,具備一定的智能性,所以稱之為智能包過(guò)濾匹配算法;同時(shí)該應(yīng)用軟件提

33、供了可視化的規(guī)則配置 和管理界面,方便用戶維護(hù)。在論文的最后章節(jié),詳細(xì)介紹了該算法和界面的開(kāi)發(fā)步驟,同時(shí)給出了防火墻功能測(cè)試結(jié)果。論文的重點(diǎn)在于研究和分析防火墻Netfilter/Iptables框架的實(shí)現(xiàn)機(jī)制,在此基礎(chǔ)上對(duì)算法進(jìn)行優(yōu)化改進(jìn),設(shè)計(jì)和開(kāi)發(fā)了個(gè)人防火墻應(yīng)用軟件。2.期刊論文 謝輝 . 張群會(huì) . Xie Hui. Zhang Qunhui 包過(guò)濾在個(gè)人防火墻中的應(yīng)用研究 -煤礦現(xiàn)代化 2005(5本文重點(diǎn)分析了在目前網(wǎng)絡(luò)環(huán)境建立基于個(gè)人電腦的個(gè)人防火墻的重要性,包過(guò)濾防火墻的過(guò)濾規(guī)則特征,并且給出了一種Windows下網(wǎng)絡(luò)數(shù)據(jù)包的截 獲算法,最后,用VC+語(yǔ)言實(shí)現(xiàn)了該算法的功能.3.學(xué)位論文 蔣祖國(guó) 封包過(guò)濾型Windows2000個(gè)人防火墻建模及實(shí)現(xiàn) 2004防火墻是可以在用戶的計(jì)算機(jī)和Internet之間建立起的一道屏障,使用戶的計(jì)算機(jī)在很大程度上避免受到來(lái)自Internet的攻擊,而面向個(gè)人用戶的防 火墻軟件稱為個(gè)人防火墻.個(gè)人防火墻可以根據(jù)用戶的要求隔斷或連通用戶的計(jì)算機(jī)與Internet間的連接,用戶可以通過(guò)設(shè)定規(guī)則來(lái)決定計(jì)算機(jī)與Internet間的數(shù)據(jù)傳輸.個(gè)人防火墻通常直接切入用戶的個(gè)人操作系統(tǒng),并接管用戶操作系統(tǒng)對(duì)網(wǎng)絡(luò)的控制,從而達(dá)到控制用戶計(jì)算機(jī)和Internet之間的連 接的目的.防火墻兩大主要