布式结构主机安全评估系统的研究.doc

基于“行政村”的分布式网络安全评估系统的研究夏敏捷 夏冰 徐飞（中原工学院 ，河南 郑州 450007）摘要:分布式网络安全评估系统是用来满足企业网络安全管理需求。本文探讨了三层结构的分布式网络安全评估系统模型，分析了控制中心和Sensor的的主要功能。基于分布式通信与调度的需要，并针对存在的问题提出改进后基于“行政村”的分布式网络安全评估系统通讯模型。关键词:安全评估；控制中心；Sensor1 引言在网络快速发展的同时，信息和网络安全也面临着严重的挑战：黑客入侵、计算机病毒感染、各种形式的网络犯罪、重要情报泄露以及利用漏洞攻击的网络安全事件不断，并且呈日趋严重的态势。造成当前安全问题的一个重要原因是主机结构和操作系统不安全，如果从终端操作平台实施高等级防范，大多数的不安全因素将从终端源头被控制。主机安全评估是网络安全防御中的一项重要技术，也是安全工程学的重要组成部分。其原理是采用各种方法对目标主机可能存在的一直安全漏洞进行逐项检查，确定存在的安全隐患和安全风险。目标可以是服务器、交换机、数据库、个人计算机等各种对象，为提高网络安全整体水平提供重要依据。分布式网络安全评估系统（分布式结构的主机安全评估系统）是基于主机评估系统的，主要是为网络管理人员设计，比如学校机房的管理者、网吧的管理者、企业的管理者等等。分布式网络安全评估系统分为控制中心、Sensor端和数据库三层结构，管理者只需在客户端安装上Sensor端软件，便可以通过控制中心管理Sensor端，而不必实际操作每一台计算机，这样减轻了管理人员的工作量，给管理人员带来了方便。分布式网络安全评估系统可以方便安全的实现升级和管理，因为Sensor端设计的很简单，只有扫描功能，而控制中心要完成很多的工作，比如信息的收集和处理、日志的管理等等，所以只要把控制中心管理好，就可以保证安全整个系统，并且可以方便的实现升级等功能。2 分布式网络安全评估系统模型分布式网络安全评估系统模型如图1所示。图1 分布式网络安全评估系统模型控制中心控制着整个系统的运行，Sensor端要根据控制中命令来完成扫描的功能，在扫描结束，Sensors端要将扫描后的信息传送到与控制中心相联系的数据库，由控制中心对扫描后的信息进行处理，给出主机的安全等级，最后将扫描的信息和处理的结果都存储到数据库。Sensor端如果想查询自己扫描的信息和日志，要以网页的形式向服务器请求，获取相关的信息。2.1 控制中心的主要功能控制中心负责策略制定、任务生成、任务调度、通信、评估、报告等，是分布式安全评估系统的引擎与核心。控制中心的主要功能如图2所示。图2 控制中心的主要功能（1）在扫描策略部分，在进行扫描之前，要进行扫描方式的的配置，将根据扫描方式来向Sensor端传输插件（在Sensor端不保留插件，只有在需要扫描时才向Sensor端传送插件），在扫描完成之后，经过控制中心的数据处理之后，根据报告的生成方式生成相应的报告。一定还要有很多的内容要配置，但还没有想到。（2）通信功能，在这个模块中要实现控制管理中心与sensor能的灵活通讯，是控制中心发送的控制命令能够顺利安全的传达到Sensor节点，并将Sensor扫描后的结果安全的控制中心，控制中心要实现的结果的显示，并且希望能够实现对所有扫描过的Sensor节点信息的分析和现实。在这个模块中的关键技术是确定通信协议和使用Socket编程，现在只是能够确定基于TCP/IP协议和基于Socket编程。（3）评估，这是安全评估中最主要的部分，Sensor端扫描完成之后，要传送到控制中心，控制中心对扫描到的信息进行分析和处理，最终得出Sensor端的安全级别。对于扫描的一个局域网，在要根据一种算法来评估整个网络的安全级别。（4）数据库的管理数据库是存储文件最好的工具，要对大量的信息进行存储，必然会用到数据库，首先数据库要存储知识库，在评估的时候要使用到知识库，用知识库和原始信息进行比对，给出安全状况。扫描到的原始信息和评估后信息都要进行保存，以便以后进行查询。日志是安全的一部分，要记录那些Sensor扫描了那些信息，以备后来进行查询。（5）Web管理根具整个系统的要求：能给用户以网页的形式展现主机的安全状况， 能在局域网内的任何一台机器上产看任一Sensor的安全状况，要建立一个网站，以网页的形式向用户展现用户的安全级别。（6）报告生成要以网页的形式展现主机的安全状况。（7）升级功能和每一个应用程序一样，不可能做出完美的系统，要在不断的改进中提升系统的质量，来不断完善系统。此处的升级应该主要是针对Sensor的升级，在安装了Sensor以后，应该能完成自动升级。 对于控制中心也要不断的完善，不断的升级。2.2 Sensor的主要功能Sensor是能够运行在被测评对象上，具有适当的环境感知和安全感知和自我决策、安全对抗能力，具有选举权和被选举权，能够对主控中心发来的任务或命令进行解析和执行，并把结果安全提交给主控中心的一种计算机软件实体。主要功能如下：（1）通讯这是sensor的主要模块之一。其功能是和控制中心通讯，接受控制中心的命令。（2）扫描这是sensor的另一个主要模块。其功能是负责扫描主机。（3）安全该模块的主要功能是保障sensor自身的安全性。（4）环境态势感知（5）安全态势感知3 分布式网络安全评估系统通讯模型改进分布式通信与调度需要解决以下几个问题：（1）Sensor过多、任务分发造成控制中心C负载过多，性能下降。（2）Sensor存活性检测，环境安全状态查询，造成通信流量巨大。（3）可视化sensor实时状态调整，造成控制中心CC更新慢。同时任务的调度受任务约束、链路约束、执行环境约束和地位约束的限制，因此任务通信与调度需要冲破上述4种约束。因此本文提出基于“行政村”的分布式网络安全评估系统通讯改进模型如图3：图3 分布式网络安全评估系统通讯改进模型图中虚线部分是表示一个特定子网络，简称一个“行政村”。CC（控制中心）实现任务分发和调度，S（Sensor）执行CC所分发的任务。在一个“行政村”（特定的子网络）中他们的扫描任务往往相似并且相互之间由于是局域网通信速度高，所以本文提出与CC通讯的代理DS（Delegate Sensor）即“村长”，在一个“行政村”中所有S（Sensor）与CC通讯由DS完成。BDS（Backup Delegate Sensor）即“副村长”，时刻监测DS状态，一旦DS死亡，即充当DS，一个网段一个BDS。S（Sensor）一旦自启动，利用特定标记加入一个“行政村”中。Sensor与Sensor之间的通讯采用组播通讯，通讯流程及DS、BDS产生过程如下：（1）某一Sensor启动以后，加入组播组，并向组内的其它Sensor发送Hello信息1；（2）以组内第一台Sensor启动后的30秒为时间点，选举主持人，通过选举规则选出IP地址最小的Sensor充当组内的第一任主持人；以主持人选举产生后的30秒为时间点，由主持人发起选举村长（DS）和副村长（BDS）的命令2，标示选举主持人的活动结束，选举DS和BDS的活动开始；（3）组内其它Sensor接受到命令2时，马上搜集自己的选票信息，使用命令3上报给主持人，由主持人选举出本时段的DS和BDS；（4）使用命令4通告组内其它Sensor选举出来的DS和BDS；（5）为了保证通讯的可持续性，组内的每一台Sensor每隔30秒组播发送一次Hello信息，如果180秒以后，某台Sensor的状态信息没有更新，我们认为它可能死亡，如果240秒以后，这台Sensor的状态信息还没有更新，我们可以确定它确实死亡；（6）为了保证通讯的有效性，每隔5分钟要由主持人发起重新选举DS和BDS命令，充当主持人的是这个组内存在的DS；（7）DS与BDS关系，首先DS有自控能力，它能感知自己的环境安全状态，其次BDS时刻监视DS，如果DS的环境安全状态特差或者出现DS丢失的情况，BDS充当DS。为了协调和控制CC和DS的通信，双方需共同遵循一定规则，图4给出CC和DS的通信序列图。图4 CC与DS通信序列图4 总结分布式网络安全评估系统由于在目标主机上安装了Sensor，扫描到的信息更加多，更加准确。所有扫描的指令，均从控制中