（计算机科学与技术专业论文）asas集群联动式入侵防御系统研究与实现.pdf

国防科学技术大学研究生院硕士学位论文 摘要 随着网络的发展，人们在获得便利的同时，网络安全问题也越来越突出。为 确保安全，入侵检测、防火墙等一系列技术被大量应用。但仅仅依靠单一的网络 安全组件己经难以满足现在的需要，必须把它们结合起来实现构成综合的安全体 系。防火墙和入侵检测系统联动是目前网络信息安全技术的重要解决方案，依靠 防火墙的阻断功能和入侵检测系统的检测能力，能够实时的检测和阻断入侵，使 系统得到最大程度的保护。 服务器集群技术是为了适应网络访问的流量和数据量不断增长而产生的，建 造高性能的集群系统也越来越成为人们关注的焦点。但传统的集群技术中很少考 虑到安全的因素，更少有集群技术中加入入侵检测和入侵防御机制。本文就是着 眼于这种需求，在主动式自调度集群服务器系统( a s a s ) d p 研究实现了联动式入侵 防御系统。 现有的防火墙与入侵检测系统的联动方式主要有紧密集成方式和开放接口方 式，两者各有优缺点。在综合两种联动方式的基础上，本文研究了一种混合式联 动入侵防御系统模型。该模型分有前后两端，前端参考了集成方式的联动技术， 主要由入侵检测模块和包过滤类型的防火墙构成，能够用于快速和粗粒度的入侵 检测，有着实时检测和阻断入侵的能力。后端主要由一组入侵检测探针和通信插 件构成，它们同样是和前端的防火墙构成联动，这种联动是通过开放端口实现的。 后端的一组入侵检测探针拥有强大的检测能力，可以弥补前端入侵检测能力不足 的缺点。在后端检测到入侵后会通知防火墙采用预定的防护措施，完成入侵的阻 断动作。 混合联动入侵防御系统模型在a s a s 平台上得到实现。a s a s 由集中器和执行 服务器构成，其中集中器位于网络的关键位置为执行服务器做请求调度，执行服 务器用于完成请求任务。将入侵防御系统的前端集成在a s a s 的集中器上，利于 防火墙模块对恶意流量的实时阻断。后端的入侵检测探针则是分别部署在执行服 务器上，用于检测通过了前端粗粒度检测达到执行服务器的流量。因为a s a s 集 中器的主要资源应用于集群的调度管理，所以入侵防御系统前端的检测模块选用 了一种快速检测引擎，以免造成系统瓶颈。 本文的最后展现了联动式入侵防御系统的测试情况。在我们搭建的实验环境 中对入侵防御系统做了一系列的检测，取得了良好的实验效果。 主题词：入侵检测，防火墙，联动，入侵防御，主动自调度 第1 页 国防科学技术大学研究生院硕士学何论文 a b s t r a c t w i t ht h ed e v e l o p m e n to ft h en e t w o r k ，p e o p l ed om a n yt h i n g se a s i l y a tt h es a m e t i m e ，n e t w o r ks e c u r i t yi s s u e sa r ei n c r e a s i n g l yp r o m i n e n t t oe n s u r es a f e t y ，i n t r u s i o n d e t e c t i o n ，f i r e w a l la n das e r i e so ft e c h n o l o g ya r eu s e dw i d e l y h o w e v e r ，o n l yr e l y i n go n as i n g l en e t w o r ks e c u r i t yc o m p o n e n t sh a v eb e e nd i f f i c u l tt om e e tc u r r e n tn e e d s ，t h e y m u s tb ec o m b i n e dt oc o n s t i t u t eac o m p r e h e n s i v es e c u r i t ys y s t e m t h ec o l l a b o r a t i o no f f i r e w a l l sa n di n t r u s i o nd e t e c t i o ns y s t e mi sa ni m p o r t a n ts o l u t i o nt oa c h i e v en e t w o r k i n f o r m a t i o ns e c u r i t y r e l yo naf i r e w a l l sb l o c kf u c t i o na n dt h ed e t e c t i o na b i l i t yo f i n t r u s i o nd e t e c t i o ns y s t e m i n t r u s i o nc a nb ed e t e c t e da n db l o c k e di nr e a l t i m e e n d o w s y s t e mt ot h eh i g h e s tl e v e lo fp r o t e c t i o n s e r v e rc l u s t e rt e c h n o l o g yw a sa p p l i e dt oa d a p tt h eg r o w i n gf l o wo fn e t w o r ka c c e s s c o n s t r u c t i o no fh i g h - p e r f o r m a n c ec l u s t e rs y s t e mh a si n c r e a s i n g l yb e c o m et h ef o c u so f p e o p l e sa t t e n t i o n h o w e v e r ，t r a d i t i o n a lc l u s t e rt e c h n o l o g y ，w i t hl i t t l er e g a r dt os a f e t y ， l a c k st h ei n t r u s i o nd e t e c t i o na n di n t r u s i o np r e v e n t i o nm e c h a n i s m t h i sa r t i c l ei sf o c u s e d o nt h i sd e m a n d r e s e a r c ha n di m p l e m e n tt h ec o i l a b o r a t i v ei n t r u s i o np r e v e n ts y s t e m b a s e do na u t o m a t i cs e l f - a l l o c a t i n gs y s t e m t h ec o l l a b o r a t i o ns t y l eo ff i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e m sc a nb ed i v i d et o c l o s e l yi n t e g r a t e dw a y a n do p e ni n t e r f a c es t y l e ，w h i c hh a v et h e i ro w na d v a n t a g e sa n d d i s a d v a n t a g e s j o i n tt h et w oa p p r o a c h ，w ed e s i g n e dah y b r i dm o d u l eo fi n t r u s i o n d e f e n s es y s t e m t h em o d e li sd i v i d e di n t ot h ef r o n t e n da n db a c k e n d t h ef r o n t e n d r e f e r e n c e dm o d e so fi n t e r a c t i o nt e c h n o l o g i e s m a i n l yc o n s t i t u t e db yt h ei n t r u s i o n d e t e c t i o nm o d u l ea n dt h ep a c k e tf i l t e r i n gf i r e w a l l t h ef r o n t e n dc a nb eu s e dt oq u i c k l y a n dc o a r s e g r a i n e di n t r u s i o nd e t e c t i o n w i t ht h er e a l t i m ed e t e c t i o na n db l o c k i n go f i n v a s i o nc a p a c i t y b a c k e n d sa r ec o n s t i t u t e db yag r o u po fi n t r u s i o nd e t e c t i o np r o b e a n dc o m m u n i c a t i o nw i t hf r o n t e n dt h r o u g hp l u g i n s a n dt h e ya l s oc o l l a b o r a t ew i t ht h e f r o n te n df i r e w a l l b a c k e n d sh a v el o t so fi d ss e n s o r ag r o u po fb a c k e n di n t r u s i o n d e t e c t i o np r o b eh a sas t r o n ga b i l i t yt od e t e c t ，a n dt h e yc a nm a k eu pf o rt h el a c ko f f r o n t e n di n t r u s i o nd e t e c t i o ns h o r t c o m i n g s w h et h eb a c k e n dh a sd e t e c ti n t r u s i o n t h e y w i l ln o t i f yt h ef i r e w a l la n db l o c k i n ga c t i o nw i l lb r i n gi n t oe f f e c t t h em i x e dc o l l a b o r a t i v ei p sm o d e l i na s a sp l a t f c l r n lh a sb e e nr e a l i z e d a s a si s c o n s t i t u t e db yt h ed i s p a t c h e ra n dr e a ls e r v e r s t h ed i s p a t c h e ra tt h ek e yl o c a t i o nc a n s c h e d u l es e r v i c er e q u e s tf o rt h er e a ls e r v e r s t h ei m p l e m e n t a t i o no ft h er e a ls e r v e ri st o c o m p l e t et h er e q u e s tt a s k t h ef r o n t e n do fi p sw i l lb ei n t e g r a t e di n t od i s p a c h e r ，a n d t h e nt h ef i r e w a l lm o d u l ec a nb l o c km a l i c i o u st r a 伍ci nr e a lt i m e i n t r u s i o nd e t e c t i o n p r o b e sa r ed e p l o y e di nt h er e a ls e r v e r sf o rt e s t i n gt h et r a f f i ct r a v e lt h r o u g ht h ef r o n t e n d t h ed i s p a t h e rw i l lu s em o s to fa s a s sr e s o u r c e sf o rc l u s t e rs c h e d u l i n gm a n a g e m e n t s o t h ei p sf r o n t - e n du s e dr a p i dd e t e c t i o ne n g i n ea n ds t r i c tr u l e s i no r d e rt oa v o i d 第1 i 页 国防科学技术大学研究生院硕士学位论文 b o t t l e n e c k si nt h es y s t e m t 1 1 i sa r t i c l es h o w st h et e s tc a s eo ft h ec o l l a b o r a t i v ei p s w es e tu pt h e e x p e r i m e n t a le n v i r o n m e n to ft h ei p st od oas e r i e so ft e s t sa n da c h i e v e dg o o dr e s u l t s k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，f i r e w a l l ，c o l l a b o r a t i o n ，i n t r u s i o np r e v e n t i o n ，a s a s 第1 i i 页 国防科学技术人学研究生院硕+ 学位论文 表目录 表4 1 主机信息表3 4 表4 2 规则历史记录表实例3 8 表6 1 系统测试项4 8 表6 2 入侵测试攻击类别表5 0 表6 3 攻击类型检测情况表5 0 表6 4 不同负载条件下的漏报率统计5 l 第1 v 页 国防科学技术大学研究牛院硕士学位论文 图目录 图1 1 安全漏洞数量年度统计【1 1 1 图2 1 基于域名调度的集群服务器体系结构5 图2 2 基于域名调度的集群服务器请求及服务过程6 图2 3 基于分发器的集群服务器体系结构一分发器转发报文6 图2 4 基于分发器的集群服务器体系结构一直接返回报文7 图2 5 基于分发器的集群服务器请求及服务过程7 图2 6a s a s 体系结构8 图2 7 两种防火墙协议栈中数据流向1 1 图2 8 入侵检测系统模型1 3 图2 9c i d f 框架13 图2 1 0 误用检测模型1 5 图3 1 紧密集成联动模型1 6 图3 2 一种防火墙与入侵检测系统联动部署1 7 图3 3 对等体之间建立i d x p 通信的过程18 图3 4 分析器与管理器数据传送过程1 8 图3 5 管理器与管理器数据传送过程1 9 图3 6i d m e f 数据模型2 0 图4 1 联动式入侵防御系统总体设计2 5 图4 2n e t f i l t e r 数据包流向2 7 图4 3n e t l i n k 通信原理2 7 图4 4n e t l i n k 套接字通信过程2 8 图4 5i p 通信过程。29queue 图4 6 内核态到用户态数据包读取过程3 0 图4 7 入侵检测模块图3 l 图4 8 模块通信原理3 2 图4 9 报警队列原理3 3 图4 10 串行响应原理3 7 图4 11 规则生成及应用过程3 8 图5 1i p s 与a s a s 总体集成3 9 图5 2 集中器子系统作用图解4 0 图5 3 集中器子系统结构4 0 图5 4n fi pl o c a li n 处理过程4 1 第v 页 国防科学技术大学研究生院硕士学位论文 图5 5n fi pf o r w a r d 处理过程4 2 图5 6i p s 与a s a s 集中器子系统集成4 3 图5 7 集成后的l o c a li n 点报文处理流程4 4 图5 8 防火墙动态配置过程4 5 图5 9l i n u x 版a s a s 执行服务器子系统结构4 6 图6 1 测试环境4 9 图6 2 入侵防御与a s a s 控制界面5 1 第v i 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目：叁墨垒墨篡登璧边塞堡堕鲤丕统珏窥当塞理 p 学位论文作者签名：丧丘王日期：二阳8 年j z 月冲日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：叁墨叁篡登毯邈盛堡堕鲤丞统盈究盏塞理 学位论文作者签名：墨筮日期：知髯年1 2 月日 作者指导教师签名：堡：塾 日期：剜年j 月刁日 ? 国防科学技术大学研究生院硕七学位论文 第一章绪论 随着网络的发展，人们在获得便利的同时，网络安全问题也越来越突出。为 确保安全，入侵检测、防火墙等一系列技术被大量应用。但仅仅依靠单一的网络 安全组件己经难以满足现在的需要，必须把它们结合起来实现构成综合的安全体 系。针对对现有安全措施的不足，本文引入联动式入侵防御系统，该系统能够检 测各种安全事件并主动处理，以达到安全防护的目的 1 1 背景 随着互联网技术的快速发展和应用，互联网已经成为人们日常生活中的重要 平台。但基于其开放性及历史原因，互联网并不是一个安全和可靠的网络。近年 来，网络安全事故发生的频率越来越高，造成的损失也越来越大。网络信息系统 存在的安全漏洞和隐患层出不穷，网络攻击的种类和数量成倍增长，基础网络和 重要信息系统面临着严峻的安全威胁。图1 1 显示了国家计算机网络应急技术处理 协调中心统计的各种网络安全漏洞的年份数据： 9 蚴 0 o 0 5 钧0 蠹煳 羹蚴 潮 2 蚴 1 0 0 0 口 5 4 、5 ， 矿 ， - 竺。；，峥 _ _ _ l 。乏 1 珊j ，5 ，7 l ，51 ，z 嘲z 硼1i w ：越wz 铺丹w )州9w ， 年嚣 图1 1 安全漏洞数量年度统计1 】 因此，网络安全技术正成为人们关注的热点，网络安全设备也越来越被认可 和接受，目前不少组织都把部署网络安全设备作为组织必备的投资。其中最著名 的安全产品有防火墙和入侵检测系统。 防火墙【2 】是设置在不同网络或网络安全域之间的一系列部件的组合。它可以监 测、限制和更改跨越防火墙的数据流，对外部屏蔽网络内部的信息、结构和运行 状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器、限制器， 有效地监控了局域网和互联网之间的任何活动，保证了内部网络的安全。防火墙 可以关闭不使用的端口、禁止特定端口的通信和屏蔽来自某些特殊地址的访问， 最大限度的阻止入侵者的所有通信。但防火墙有着自身的不足，它属于静态的安 第1 页 国防科学技术大学研究生院硕十学位论文 全技术，j ；! l l 则都足事先设置，对于攻击无法实时调整策略，基于性能考虑，一般 不检查数据包内容，对一些协议细节不作详细解析，所以只要是经过合法通道的 网络攻击，防火墙就很难检测到。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) t 3 1 部署在防火墙之后，能针对 网内或允许进入网络的信息进行收集与分析，从中发现网络或单机系统中是否有 违反安全策略的行为和被攻击的迹象。i c s a ( i n t e m a t i o n a lc o m p u t e rs e c u r i t y a s s o c i a t i o n ) 实验室对入侵检测的定义为【4 l ：通过从计算机网络或计算机系统中的若 干关键点收集信息并对其进行分析，从中发现网络或系统中有违反安全策略的行 为和遭到攻击的迹象的一种安全技术。一般而言，i d s 具有如下的功能1 5 】： ( 1 ) 监视、分析用户及系统的各种活动； ( 2 ) 识别反映已知进攻的活动模式并向控制台报警； ( 3 ) 异常行为模式的统计分析； ( 4 ) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为； ( 5 ) 检测对防火墙的渗透攻击。 尽管入侵检测系统对各种网络入侵有着出色的检测性能，但入侵检测系统的设 计和在网络中的位置决定了其响应能力相对有限，当网络中发生入侵行为时它很 难做出有效的响应，需要和网络中其他有响应能力的安全设备相配合，组成能够 对网络入侵进行检测、报警和响应的安全系统。将入侵检测和防火墙进行联动可 以构建一个较全面的能实时检测入侵并及时响应的安全系统，能够实现各种现有 技术的优势互补，是构建全方位安全系统一个比较好的方法。 联动【6 】即通过组合的方式，将不同的技术或产品进行整合，提高整体技术性能 来应对多种攻击手段，以适应网络安全整体化、立体化的要求。在本质上，联动 是安全产品之间一种信息互通的机制。在我们的研究中联动是指入侵检测和防火 墙之间的互动，通过整合这两者的技术，形成联动式的入侵防御系统。 1 2 研究现状 国内外对各种安全技术联动所进行的研究非常积极，研究的方向也很多，以 下是一些有代表性的研究项目： ( 1 ) c i t r a 7 】 c i t r a ( c o o p e r a t i v ei n t r u s i o nt r a c e b a c ka n dr e s p o n s ea r c h i t e c t u r e ) 即协同入 侵追踪及响应体系，其主要研究目的是将来自入侵检测系统、路由器、防火墙、 安全管理系统等的信息进行统一处理，发现和追踪跨网的攻击，阻止并降低攻击 的风险，在全网范围内协同入侵响应。c i t r a 技术还不成熟，存在大量误警和误 响应、不能轻易采取主动响应、容易被攻击者利用造成拒绝服务攻击、主要采取 第2 页 国防科学技术大学研究生院硕士学位论文 人上响应等i 、u j 题。 ( 2 ) a i r c e r t a i r c e r t ( a u t o m a t e di n c i d e n t r e p o r t i n gc e r t ) 项目由c e r t ( c o m p m e r e m e r g e n c yr e s p o n s et e a m ，安全应急响应小组) 【8 】和s a n s ( s y s a d m i n ，a u d i t ， n e t w o r k ，s e c u r i t y ，系统管理及网络安全) 研究机构共同承担，它可以使得不同的 安全管理系统自动而不是人工地向c e r t 通报安全事件。 ( 3 ) o p s e c 9 】 o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ，开放式安全平台) 由c h e c k p o i n t 公司提 议并成立，通过一个开放的、可扩展的框架继承和管理网络安全的各个方面，第 三方厂家的应用程序可以通过公开的a p i 、工业标准协议、i n s p e c t 和高层脚本 语言而插入o p s e c 框架，这样就可以通过一个中心控制点，利用统一的安全策略 来配置和管理这些应用程序，从而实现统一的网络安全管理。 ( 4 ) t o p s e c 1 o 】 t o p s e c ( t a l e n to p e np l a t f o n l lf o rs e c u r i t y ，开放的安全智能平台) 网络安全 体系平台由天融信公司提出，核心思想是要求安全系统防护、监测、审计、管理、 服务5 个环节之间联动，实现产品之间、安全产品与集中管理平台之间、安全产 品与集中审计平台之间、安全服务与其他安全环节和安全产品之间的联动。 除此之外，国际上权威的组织己着手制定通用的操作标准。目前最著名的组 织有两个，一个是i e t f 下的入侵检测工作组i d w g ( i n t r u s i o nd e t e c t i o ne x c h a n g e f o r m a tw o r k i n gg r o u p ) ，另一个是美国国防高级研究计划署d a r p a 。 i d w g 的主要任务是为入侵检测响应系统和管理系统之间的信息共享制定数 据交换格式和交换流程。i d w g 先后提交了入侵检测报文交换格式i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ) 、入侵警报协议i a p ( i n t r u s i o na l e r t p r o t o c 0 1 ) 、基于b e e p ( b l o c ke x t e n s i b l ee x c h a n g ep r o t o c 0 1 ) l j 协议框架的入侵检测 交换协议i d x p ( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c 0 1 ) 以及隧道子协议( t h e t u n n e lp r o f i l e ) 。i a p 是最初制定的数据交换流程协议，后来被i d x p 代替。 d a r p a 提出的建议是通用入侵检测框架( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ，c i d f ) 1 2 】。c i d f 的总体目标是实现软件的复用和i d r ( 入侵检测与响 应) 组件之间的互操作性，所做的工作主要包括四部分：i d s 的体系结构、通信体 制、描述语言和应用编程接e i ( a p i ) 。c i d f 将i d s 系统的构成划分为四类组件： 事件组件、分析组件、数据库组件和响应组件，将通信机制构造成一个三层模型： g i d o ( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s ，统一入侵检测对象) 层、消息层和协 商传输层，定义了一种通用入侵说明语言c i s l ( c o m m o ni n t r u s i o ns p e c i f i c a t i o n l a n g u a g e ) ，用来表示系统事件、分析结果和响应措施。 第3 页 国防科学技术大学研究生院硕士学何论文 1 3 1 主要工作 1 3 主要工作及论文组织 本文主要研究防火墙与入侵检测系统之间的联动技术。在分析了现有的联动 技术的基础上，研究实现了一种混合的联动模型，重点讨论了此模型的系统结构、 工作原理以及消息交换机制，并将其应用到主动自调度集群服务器平台上去，实 现了安全增强型的集群调度系统。 本文的主要工作如下： ( 1 ) 分析了现有主要的网络安全技术，总结了防火墙和入侵检测系统等安全技 术的优缺点。重点研究了各种安全技术和安全产品之间的联动问题，分析了现有 的安全联动模型。 ( 2 ) 设计了一种防火墙与入侵检测系统混合联动的入侵防御系统模型，重点讨 论了该模型的总体结构、组件构成、阻断方式和通信方式。 ( 3 ) 将混合联动的入侵防御系统在主动自调度集群平台上实现，说明了实现后 的体系结构及整体工作流程。 ( 4 ) 综合分析论证该系统的性能，搭建了测试环境对其进行测试，给出了实验 结果。 1 3 2 论文组织结构 论文组织结构如下： 第一章绪论。简要介绍了计算机网络安全现状，分析了当前主要网络安全技 术，指出安全联动的必要性，给出联动技术的研究现状。最后说明了本文的主要 研究内容及主要工作。 第二章相关技术基础。介绍了所用到的技术知识，包括服务器集群技术、防 火墙和入侵检测技术。 第三章安全联动模型研究。进一步分析联动技术，分析比较现有的联动模型， 指出联动技术的关键点。 第四章混合联动入侵防御模型设计。详细说明了由入侵检测系统和防火墙联 动构成的入侵防御系统模型的结构、联动方法和检测流程等。 第五章a s a s 平台上入侵防御系统实现。将混合联动式入侵防御系统与a s a s 平台集成，给出集成结构和工作过程。 第六章系统测试。设计系统测试环境，给出测试结果。 第七章总结与展望。总结本文的主要工作，为下一步工作指出方向。 第4 页 国防科学技术大学研究生院硕士学位论文 第二章相关技术基础 网络技术的发展日新月异，在太规模的网络服务应用中出现了服务器集群技 术，网络安全方面则有防火墙、入侵检测等技术。本章主要介绍当前主流的集群 服务器、防火墙和入侵检测技术。 2 11 集群技术概述 2 1 服务器集群技术 集群是一组相互独立的计算机为了提供更好的性能和可用性而组成的并行或 分布式系统，他们可以作为独立的、统一的计算资源来使用 1 3 l 。简单的说，集群 就是一组计算机，它们作为一个整体向用户提供一组网络资源。一个理想的集群 是，用户从来不会意识到集群系统底层的节点，在他们看来，集群是一个系统t 而非多个计算机系统。 按体系结构划分，目前用得最多的集群服务器主要有两类”q ，即基于域名调 度的集群服务器( r o u n d - r o b l nd n s ) 和基于分发器调度的集群服务器= ( d i s p a t c h e r b a s e dc l u s t e rs e r v e r1 。他们的特点是： 1 基于域名调度的集群服务器旧如n c s a 的r o u n d - r o b i nd n $ ( d n s - r r ) 以 及d e c w i l l g r o u p 的可伸缩服务器在市场产品中占有一定地位，它由一个域名服 务器( d n ss 目w n 和多个提供相同服务内容的应用服务器组成。应用服务器各自有 不同的i p 地址。当用户通过域名来访问服务器时，域名服务器通过负载平衡调度 策略解析出不同的i p 地址，并转告用户，用户根据域名服务器提供的i p 地址向对 应的应用服务器请求，从而获得透明的服务，其体系结构是一个域名服务器遥过 内部互连网络与多个应用服务器相连，用户端通过外部网络与集群服务器相连。 其体系结构如图2 1 所示。 m * g 图21 基于域名调度的集群服务器体系结构 第5 页 国防科学技术大学研究生院硕士学位论文 基于域名调度的集群服务器内部网络一般采用通用网络协议，其请求服务过 程是二个分离的网络通讯过程，一次由用户端向域名服务器询问，另一次由用户 端向负载平衡调度策略解析出的i p 地址对应的应用服务器请求，其服务调度过程 是：首先由用户向域名服务器询问执行服务的应用服务器i p 地址，待域名服务器 解析域名后，再由用户根据应答的i p 地址向应用服务器请求服务。请求及服务过 程如图22 所示。 用户域名服务器应用服务嚣 d n s 解析+ | + _ d n s 应答- _ 建立t c p 连接h 服务请求h 一应答报文一 一撤销t c p 连接_ _ 图2 2 基于域名调度的集群服务器请求及服务过程 2 基于分发器的囊群服务器如i b m 公司的n e t d i s p a t e h e r i ”】，它由一个分发 服务器( d i s p a t c h e rs e r v e r ) 和多个应用服务器组成。其服务调度过程对用户透明，用 户通过域名对应的虚拟i p 地址访问集群服务器时，所有的用户请求都集中到分发 服务器上，分发器根据应用服务器报告的忙闲情况，进行负载平衡调度，把用户 的请求转发给某一个负载轻的应用服务器提供请求服务，集群服务器的应答报文 可经过分发器转发给用户，也可直接由应用服务器返回给用户，其体系结构对应 有应答报文由分发器转发和应答报文由应用服务器直接返回两种。前者用户通过 外部网络与分发器相连，分发器通过内部网络与多个应用服务器相连，用户不直 接与应用服务器相连；后者用户通过外部网络与分发器相连，分发器通过内部网 络与多个应用服务器相连，应用服务器通过外部网络把应答报文返回给用户。图 2 _ 3 和图2 4 展示了这两种结构。 讣麓务# 用月 务# 图2 3 基于分发器的集群服务器体系结构一分发器转发报文 第6 页 彩 文， 国防科学技术大学研究生院硕士学位论文 ，x 女* 应用服务器 图2 4 基于分发器的集群服务器体系结构一直接返回报文 其服务调度过程是：首先由用户向分发器发服务请求，分发器根据应用服务 器报告的忙闲情况，进行负载平衡调度，把用户的请求转发给某一个负载轻的应 用服务器提供请求服务，应答报文或由分发器转发给用户，或由应用服务器返回 给用户。通过分发器转发服务应答报文容易造成瓶颈，而由应用服务器直接将应 答报文返回给用户可避免这个瓶颈。虽然基于分发器调度的集群服务器跟基于域 名的集群服务器一样，一次请求服务过程存在着二个网络通讯过程，一次由用户 向分发器，另一次由分发器向分配的应用服务器，但是二次网络通讯都与分发器 相关，分发器向应用服务器的调度过程对用户透明，而且二次网络通讯有重叠， 可节省时间。服务过程如图2 5 所示。 用户分发器 应用服务器 建立t c p 连接剖 服务请求+ | l 建立t c p 连接叫 卜转发服务请求h 一服务应菩报文 + 转发应答报文_ 一撤销t c p 连接卜_ 撤销1 9 连接_ _ 图2 5 基于分发器的集群服务器请求及服务过程 基于域名调度的集群服务器和基于分发器的集群服务器都要进行负载平衡处 理，包括应用服务器的负载情况、正在服务的时间预报、负载平衡计算等，前者 在域名服务器中处理后者在分发服务器中执行。用户请求服务分别由域名服务 器或分发器根据负载的实时情况分配到某一个实际的应用服务器去完成。这样处 理的必然弊病是服务响应延迟由于集中进行负载平衡处理而增加。 第7 页 国防科学技术大学研究生院硕士学位论文 21 2 主动自调度集群a s a s 主动式自调度集群服务器f a s a s ) 1 1 7 l 是一种提供w e b 服务的集群结构，系统基 本部分由前端的集中器和后端的执行服务器( s 町v e r ) 及相应的数据存储设备组成。 a s a s 通过取消集群服务器内部的集中负载平衡处理，提高集群服务器服务响应性 能，避免因为进行负载平衡处理而导致的服务响应延迟增加，形成基于服务器主 动调度的集群服务器，即前端集中器不再进行服务调度，而由应用服务器根据自 身的空闲情况主动向集群服务器的集中器争取用户服务请求。图2 6 展示了a s a s 的体系结构【】。 图2 6 a s a s 体系结构 上图采用了单一入口点的结构，使用统一的i p 地址，保证集群系统对用户在 i p 地址一级的透明。集群系统前端的主集中器配置了集群唯一对外公布的i p 地址 及相应的域名，用户向集中器发出请求获取服务。 与现有的体系结构不同，前端节点不再担负集群负载均衡的工作，而只负责 接收并分发用户连接请求，同时维护用户与执行服务器之间己经建立的连接信息 并直接转发已建立连接上的报文( 图中的1 和3 号线】。集中器对用户连接请求的分 发直接受后端执行服务器控制。执行服务器运行各种网络服务应用。在服务容量 规划、控制机制的作用下，执行服务器从集中器获取用户豹连接请求( 圈中的2 号 线) 进行处理，并将结果直接返回给用户( 图中的4 号线) ，从而实现了由执行服务 器驱动的分布式调度机制。其中集中器是集群系统的单一故障点，采用备份集中 器监控并实时切抉发生故障的主集中器，保证系统的高可用性。 由于用户连接请求在集中器上等候分发，集中器就可以很方便的实施各种灵 活的管理、控制策略，实现o o s 控制等功能。这样也充分利用了传统的负载均衡 机制下前端节点富余的处理能力。由执行服务器主动向集中器索取用户连接请求， 第3 页 国防科学技术大学研究生院硕士学位论文 很自然地取消了传统集群体系结构中负载均衡器对执 j ：服务器的心跳监测机制， 使执行服务器失效时的自动屏蔽、恢复后的自动加入以及集群扩展变得更加方便 自然。执行服务器端的容量规划、控制机制保证了可定制的服务质量( 如平均响应 时间) ，同时保证本服务器资源的有效利用。 在系统基本框架的基础上，可以实现多种变化，如为了增大系统入口的容量 或进一步提高系统可用性，可以配置多个集中器，成为多入口的主动式集群网络 服务器；与r r d n s ( r o u n d r o b i nd o m a i nn a m es y s t e m ) 等机制结合，可以实现地 理分布的主动式集群网络服务器。 根据集中器与应用服务器内部互连的方式，a s a s 有两种集群互连方式： 1 紧耦合存储通道型 前端集中器和后端应用服务器通过紧耦合的存储通道互连实现其实质是共享 内存。它的请求服务调度工作流程是：用户通过网络向集中器发送t c p 请求，集 中器将请求放置在缓冲区中，缓冲排队，应用服务器根据忙闲情况，自主地向共 享的集中器缓冲区索取用户请求并为用户服务，将服务响应报文放在集中器缓冲 区中，再由集中器将缓冲区中服务响应报文通过网络转发给用户。对用户请求服 务过程来讲，只有一个单一的网络通讯过程，即用户向集中器提出请求和集中器 将应答转发给用户，其中集中器负责网络通讯的状态，而应用服务器负责请求的 服务应答报文，二者之间只有四次共享内存访问，用时很短。 2 松耦合网络互联型 前端集中器和后端应用服务器之间采用网络来互连，这就是松耦合。其请求 服务过程包含了二个交叉重叠的网络通讯过程，而且都以集中器为访问对象，具 体的通讯过程是： 1 客户端到集中器： ( 1 ) 客户向集中器提出请求连接。 ( 2 ) 集中器允许请求连接。 ( 3 ) 客户进一步提交请求服务报文。 ( 4 ) 集中器将请求服务报文放到缓冲区中等待索取，同时将应用服务器送来的 相应的应答服务报文转发给用户。 ( 5 ) 用户接收应答服务报文完成。 ( 6 ) 集中器撤销此连接。 2 应用服务器到集中器： ( 1 ) 应用服务器根据自身的忙闲情况主动向集中器发请求连接。 ( 2 ) 集中器允许请求连接。 ( 3 ) 应用服务器索取用户的请求服务报文，同时传送已处理好的请求服务应答 第9 页 国防科学技术大学研究生院硕士学位论文 报文。 ( 4 ) 集中器提交适合该应用服务器的请求报文。 ( 5 ) 应用服务器接收回答。 ( 6 ) 集中器撤销此连接。 a s a s 具有分布控制的特色，集中器不需要进行集中负载平衡和调度。尤其在 紧耦合存储通道型中由于集中器和应用服务器之间采用共享内存机制，不需要进 行网络联系，减少了网络通讯延迟。在松耦合网络互联型中，用户与应用服务器