薛辉 邓军 叶柏龙 陆兰
1湖南涉外经济学院 湖南 410205 2湖南科技职业学院 湖南 410004 3中南大学 湖南 410083 4湖南创博龙智信息科技股份有限公司 湖南 410205
近几年来网络攻击技术发展十分迅速,主要表现为发现安全漏洞越来越快,覆盖面越来越广;攻击工具越来越先进而且自动化程度和速度提高且杀伤力逐步增强。基于目前的网络安全形势,国家对信息网络安全给予了高度重视,迫切需要向主动、综合、协同和一体化方向发展。从多角度、全方位的考虑,对网络进行多立体、纵深、动态防护。本文是基于国家发改委信息安全产品专项要求,旨在设计一种“高性能监控一体化网络安全平台”的基础上研发,满足上述目标。
网络按层次可以划分为骨干层、汇聚层、接入层等。各个层次存在不同的安全弱点,网络信息安全问题在网络各个层次也有着不同的表征,而且各层次间还存在相互影响。综合性的网络安全保障需要涵盖这三个层次并在层次之间进行交互。在任何一个层次,全面的网络安全保障包含两个内容:先需要对当前安全状态进行感知和评估,之后,才能够采取相应的控制措施和防御措施。基于上述分析本文从骨干层、汇聚层、接入层三个层次分析网络信息安全问题,结合安全状态的感知评估、安全保障的控制和防御,提出一种高性能多功能安全监控与防御平台,为网络安全提供一个高性能、多层次、多功能综合解决方案。由此本系统可设计成三个子系统: 网络可生存性监测与控制子系统、网络入侵检测与防御子系统和终端监控与系统恢复子系统。
系统技术体系架构如图1所示。
图1 平台技术体系架构
(1)骨干层,通过可生存性监测来了解全网宏观流量状态,感知评估全网安全态势;以获得的相关信息为依据,动态调整全网流量分布,进行可生存性控制,从宏观上保障网络安全。
(2)汇聚接入层,结合可生存性监测,通过在关键链路及关键路由器的入侵检测、系统漏洞扫描,发现网络的安全漏洞或存在的攻击行为,从而感知评估网络局部安全态势。以此为指导,实施攻击防御措施,在网元层保障网络安全。攻击防御是在入侵检测的基础上增加了主动响应功能,并以串联方式接入网络,一旦入侵检测发现有攻击行为,将立即响应,主动切断与攻击者的连接,确保快速或大规模的入侵行为能够被实时中断,不会进入网络内部,具有安全防护功能。
(3)用户级层,结合上一层次系统漏洞扫描分析,通过终端监测发现网络服务器或终端用户存在的系统漏洞、协议漏洞或异常,对用户终端安全状态进行评估;以此为依据,实施应用级回卷恢复以及网站安全防护措施,在终端用户层次保障网络安全。一旦攻击逃避了接入层入侵防御措施,对终端发动攻击,系统恢复可提供进一步的保障,帮助快速确定故障原因,实现快速修复,将损害降到最低。反过来,系统恢复日志也可以给防御系统提供参考,在受到攻击后,深入分析入侵行为,通过关联分析来判断可能出现的下一个攻击行为,做好预防准备。
为了能有效地实现对各种网络行为测量及可生存性分析需求的支持,采用如图2所示结构。从图中可以看出,系统可分为三个层面:测量平台、控制平台、分析平台。
测量平台:系统在网络的每个测量点中部署专门的计算机系统,称为探针(probe)。其主要功能为:存放各种网络行为数据采集工具,包括:流量捕获器、端到端测量工具、路由模拟器、业务仿真工具、SNMP代理;执行测量,进行各种数据的测量或导入;将测量结果通过加密方式发送到控制平台,并将未顺利发送的结果保存在本地探针中。
控制平台:主要负责测量层面数据采集的调配、测量命令的发送和数据收集;在它的控制下,数据采集部分、数据分析部分以及数据可视化部分协同工作实现测量任务的完成;网络行为监测采集的数据量非常大,需要对数据做一定的精简再存入数据库以减少存储需求。
分析平台:主要去掉原始数据中大量的与网络行为测量无关的数据,构造出行为指标数据集。进行流量分析、路由分析、网络性能分析、应用行为分析、故障分析和综合分析,负责各类数据的全面分析和整体分析;负责各类数据的查询、告警和可视化,可以进行网络统计状况查询,为网络管理人员提供网络告警。
图2 监测系统框架结构图
通过在探针上灵活添加测量工具和在分析引擎上利用插件方式插入分析工具即可实现多种网络行为的灵活监测分析,适合大规模部署;分析引擎通过多种数据的综合分析,方便实现对网络整体性能的综合评估。以插件方式灵活导入网管数据和其它系统监测到的数据,进一步实现对多种数据的全面分析。
现行水利工程供水价格水平较低,以2008年百家水利工程供水管理单位(以下简称水管单位)统计数据为例,供农业用水2.6分/m3,供工业用水26分/m3,供自来水用水39.81分/m3,供水力发电用水2.1分/m3。与成本水价相比,农业供水水价达不到成本的50%,非农业水价仅达到成本的80%左右。
本系统主要针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及网络资源滥用,提供完善的安全防护方案。高度融合高性能、高安全性、高可靠性和易操作性等特性,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,具备深度入侵防御、精细流量控制等功能。
本系统的体系架构包括三个主要组件:检测部件、控制中心、升级站点,方便各种网络环境的灵活部署和管理。系统体系架构如图3所示。
图3 网络入侵检测与防御系统体系架构图
(1)检测部件:以全面深入的协议分析为基础,融合智能协议识别、协议异常检测、流量异常检测、告警相关分析,以及防火墙协作等多种技术,是本系统的核心部件。
(2)控制中心
提供强大的管理功能,用于监测控制入侵检测与防御系统的运行及其系统配置,各种日志的分析,归并,备份和恢复,并管理入侵检测的特征库、防火墙安全策略(主要指访问控制策略)等。
(3)升级站点
给用户提供升级服务,每周定期提供攻击特征库的升级更新,在紧急情况下提供即时更新,使网络入侵检测与防御系统提供最前沿的安全保障。
(1)终端监控子系统
终端监控系统由管理系统、代理两部分组成。代理是一个短小强悍的监控程序(集),驻留在被监控(或受控)终端中,伴随被监控主机的启动而自动运行,按照监控策略自动、实时地监控主机的内部指定资源、周边设备(接口)和用户的各种操作行为。管理系统对所管辖网络区域内的代理配置安全策略,接收来自代理的告警和日志信息,并进行相应的管理控制和审计处理。其终端监控的拓扑示意图如图4。
终端监控系统对被监控主机实施全面监控,能够从被监控主机边界到主机内部,从被监控主机网络接口层到应用层的各个层面对资源的使用进行有效、全面的监控,不留监控空白区或空白点。
终端监控系统的全面监控功能,可以划分为三个层次,第一层次是对监控主机内部操作行为的监控,可以对应用程序的安装运行进行有效的管理和控制,以防止利用计算机进行与本职工作无关的应用操作,防止计算机终端被带毒运行、非法控制等。第二层次是对被监控主机边界的监控,可以对利用外设和进行信息共享或交换实施有效的管理和控制,保证计算机内部信息不因使用外设和网络而被泄露。第三层次是对出/入内部网络的监控,防止受保护的资源通过网络被非法窃取或泄露,也不致让外部的垃圾数据、恶意程序进入计算机内部。其全面监控功能示意图如图5所示。
图4 终端监控系统拓扑示意图
图5 终端监控系统的全面监控功能示意图
(2)系统恢复
针对服务器类终端的系统恢复需求利用 Windows平台下应用级回卷恢复容错计算支持软件。采用 Microsoft的visual C++ 6.0 基于Windows平台实现的这一回卷恢复工具包能方便回卷恢复协议的快速实现,提供配置和试验工具,方便用户进行试验,评估协议的性能。这个工具包由两部分组成:基本对象组件库和试验工具。
回卷恢复的框架如图6所示。系统分成三层,应用层运行在回卷恢复层之上,回卷恢复层运行在系统层之上。应用层调用回卷恢复层提供的输入接口、输出接口、消息接口接收输入,进行输出和消息接收及发送。同样设计者也要在系统层给回卷恢复层提供输入接口、输出接口、消息接口。以实现回卷恢复层与系统层的捆绑结合。回卷恢复层通过系统层提供的消息接口与控制台程序通信,从控制台接收配置信息,把测量到的性能数据传送给控制台程序。
控制台程序与分布式计算中的进程通信,配置回卷恢复协议及其参数,接收回卷恢复系统的性能数据和故障检测结果。API截获工具和回卷恢复库注入工具主要是当目标程序的源代码不可用时,用来对目标程序进行修改,使目标程序运行时加载回卷恢复库,把目标程序对系统API的调用重定向为对回卷恢复库接口的调用,实现回卷恢复对应用的透明。
图6 回卷恢复系统层次关系图
本系统是在响应国家“信息安全”产品产业化专项基金的要求下,旨在研发出一种需要从多角度、全方位考虑,向主动、综合、协同和一体化方向发展,对网络进行多立体、纵深、动态防护的多功能网络监控与防御系统。最大限度地保护企业和组织的网络安全。目前该平台已经通过国家发改委验收,并成功运行在PowerSEC高性能监控一体化网络安全平台上,实践证明本系统具有极大的研究价值、开发价值和市场前景。然而,监测和防御技术现在还处于不断完善过程,基于攻击手段还在不断发展变化需要不断的改进,怎样才能更有效地保护网络,这也正是我们后续的研究方向。
[1]Muk herjee B.Network intrusion detection[J].IEEE Networks.2005.
[2]赵阔.高速网络入侵检测与防御[D].吉林大学.2008.
[3]曾彬,张大方,黎文伟等.面向网络行为特征分析的网络监测系统设计及实现[J].计算机科学.2009.
[4] Huang Kun.An Approach To Generating Testing Traffic In Evaluating Network Intrusion Detection Systems. In Proceedings of Systemics, Cybernetics and Informatics (SCI2004). July 2004.Orlando. USA.
[5]秦拯,尹毅等.基于序列比对的攻击特征自动提取方法[J].湖南大学学报(自然科学版).2008.
[6]杨金民,张大方,黎文伟.一种可靠高效的回卷恢复实现方法.电子学报.2006.