（计算机软件与理论专业论文）一种动态自免疫的大规模网络安全系统.pdf

华中科技大学硕士学位论文 ， 摘要 随着许多新兴的计算模式的广泛应用( 移动计算、对等计算、网格计算等) ， 当前的网络安全系统呈现出新的问题：首先，这些计算模式中网络是自组织的、 不依赖网络拓扑结构的：其次，安全域的划分是动态变化的，“内部”用户随时 可能变为外部用户；其三，山于信息的高度丌放性，极大加剧了攻击行为的危害 性和蔓延速度，而当前各个实体缺乏一种沟通机制共享入侵行为的信息，因而不 能联合起来自免疫的保护自身安全。 针对上述缺陷，“动态自免疫大规模网络安全系统”采用树型可扩展框架。 以单一的主机为保护对象，避免对拓扑结构的依赖性，能防御内部外部攻击。 同耐，系统融合微入侵检测、微防火墙形成双层的保护机制，并能多层交互以提 供协作式的主动入侵响应，使系统具备自保护和自免疫能力。 树型扩展框架需要解决安全性、可扩展性和可靠性等方面的问题。系统采用 s s l 实现认证协议和组管理台机制。另外，为防止管理台成为系统的单一失效点 和攻击点，采用双机热各方式和视图恢复方式进行失效点容错。 分布式微防火墙、分布式微入侵检测和层次交互响应技术构成动态安全防御 体系。在各个受保护实体上安装的微入侵检测和微防火墙形成细粒度的双重保 护；汇总决策技术可以检测同趋盛行的分布式协同攻击，基于移动代理的策略发 布技术可以实时的更新安全策略；层次交互响应技术搭建各安全组件之间沟通的 桥梁，形成一个自免疫的动态安全防御体系。 系统采用c + 十实现了基于l i n u x 和w i n d o w s 的微防火墙和微入侵检测系统， 并用d e l p h i 实现了直观易用的图形化界面。f 安全测试表明系统能防御测试工具 集的9 1 4 攻击行为。在性能测试中，当系统应用于f t p 服务器上进行传输时， 数据传输率下降了约2 0 ，其性能与国内产品( 如天网个人防火墙) 基本相当。 从整体框架看来，系统与传统安全系统相比具备明显的优势：可靠的动态扩展树 型结构、与拓扑结构无关、自免疫安全防护能力等特色。l 关键字。防火墙；入侵检测；入侵响应；协同入侵检测；移动伐理 t 一， 、 t 华中科技大学硕士学位论文 a b s t r a c t w i t ht h eo u t s e to ft h en e wc o m p u t i n gm o d e ( s u c ha s m o b i l ec o m p u t i n g ， p e e r - t o p e e rc o m p u t i n g ，g r i dc o m p u t i n g ) ，t r a d i t i o n a l n e t w o r ks e c u r i t ya r c h i t e c t u r e s r e v e a ll o t so f s h o r t c o m i n g s a n dc a n tr e s o l v e s p e c i a l s e c u r i t y i s s u e si nt h e s e c o m p u t i n gm o d e s ：f i r s t ，t h es e c u r i t y d o m a i ni nt h e sc o m p u t i n gm o d e si sa dh o c ， i n d e p e n d e n to ft o p o l o g i c a ll i m i t ；s e c o n d ，t h ec r e a t i o no fs e c u r i t yd o m a i ni sd y n a m i c ， a n dt h e r ei sn od i s t i n c t i o nb e t w e e n ”i n s i d e ”a n d ”o u t s i d e ”u s e r s ；t h i r d c o m m o n a t t a c k s ，e s p e c i a l l yw o r mv i r u s e s ，m i g h tb e c o m eg r e a tt h r e a t sd u et oo p e nr e s o u r c e s h a r i n ga m o n gp r o t e c t e de n t i t i e s ，a n dt h e r ei sn oc o m m u n i c a t i o n m e c h a n i s mb e t w e e n e n t i t i e st os h a r ei n t r u s i o ni n f o r m a t i o nt o j o i n t l yr e p e l a t t a c k sa n dt oe n h a n c e s e l f - i m m u n e c a p a b i l i t y ， a i m i n gt o r e s o l v et h e s ep r o b l e m s ，t h i st h e s i s p r e s e n t s a l a r g e s c a l ed y n a m i c s e l f - i m m u n es e c u r i t ya r c h i t e c t u r ei m p l e m e n t e du p o nt c p i pn e t w o r ki n f r a s t r u c t u r e t h i sa r c h i t e c t u r em o d e l san e t w o r ka sah i e r a r c h yo fa d m i n i s t r a t o r sa n dh o s t sw h e r e h o s t sc o n s i s to fad a t as o u r c ea n das o f t w a r ec o n t r o l l e ra n da d m i n i s t r a t o r sa r e c o l l e c t i o n so fh o s t sa n ds o f t w a r e m a n a g e r o u ra r c h i t e c t u r e c o m b i n e sd i s t r i b u t e d m i c r o f i r e w a l l 。m i c r o i d sa n dh i e r a r c h i c a li n t r u s i o n r e s p o n s es y s t e m t o p r o v i d e d y n a m i cs e c u r i t yf r a m e w o r k i no u rh i e r a r c h i c a l m o d e l ，w e n e e dt o g u a r a n t e es e c u r i t y ，s c a l a b i l i t y a n d a v a i l a b i l i t y o fo u rs y s t e m i no u ri m p l e m e n t a t i o n ，w e a d o p tas i m p l es s l - b a s e d a u t h e n t i c a t i o n p r o t o c o l t oa v o i du n a u t h o r i z e da c c e s st o a d m i n i s t r a t o r s ，ag r o u p m a n a g e m e n t m e c h a n i s mn o t t o d a m a g e t r u s t m o d e l ，a n d t w or e c o m m e n d e d f a u l t - t o l e r a n ts c h e m e st oa d d r e s ss i n g l e f a i l u r eo fa d m i n i s t r a t o r s t h et w os c h e m e s a r ep r i m a r y - s t a n d b ya n d v i s i o n - r e c o v e r yr e s p e c t i v e l y d i s t r i b u t e dm i c r o f i r e w a l la n dm i c r o l d sc o m b i n e dw i t hh i r e a r c h i c a l i n t m s i o n r e s p o n s ec o n s t r u c tad y n a m i c s e c u r i t yi n f r u s t r a c t u r e t oa d d r e s st h es e c u r i t yp r o b l e m s ， w e p r e s e n tas e l f - a d a p t i v ed i s t r i b u t e dm i c r o f i r e w a l la r c h i t e c t u r e i nt h ea r c h i t e c t u r e ， m i c r o f i r e w a l l sf u n c t i o np a c k e t - f i l t e r i n ga tt h ep r o t e c t e dh o s t s ，w h i c ha r eb u i l tw i t h m i c r o i d st o p r o v i d ed u a lf i n e - g r a i np r o t e c t i o n m o b i l ea g e n ts y s t e mi m p l e m e n t s 一一一l t 华中科技大学硕士学位论文 d y n a m i cs e c u r i t yp o l i c yr e c o n f i g u r a t i o n w h i c he n h a n c e st h es c a l a b i l i t y d i s t r i b u t e d m i c r o i d sp e r f o r m sh i e r a r c h i c a lr e s p o n s et oi n t r u s i o ne v e n t sa n ds u p p o r t sd y n a m i c s e c u r i t yc a p a b i l i t i e sa n dp r o v i d e sf a s tr e s p o n s et oa t t a c k sf r o ma l lp o s s i b l e s o u r c e s c o m b i n e dw i t hm o b i l ea g e n t s ，m i c r o i d sc a nr e p e ld i s t r i b u t e da t t a c k sf a s ta n d a d a p t i v e l y i nt h e p r o t e c t e d n e t w o r k o u ra r c h i t e c t u r ei s s c a l a b l e ，t o p o l o g y i n d e p e n d e n t ，a n di n t r u s i o n - t o l e r a n t w e i m p l e m e n t t h es y s t e mf o rl i n u xa n dw i n d o w s p l a t f o r mb yc + + a n df u nt h e b e t a - v e r s i o ns o f t w a r ea ti n t e r n e ta n dc l u s t e rc o m p u t i n gc e n t e r s e c u r i t yt e s tr e s u l t r e v e a l st h a to u rs y s t e mc a nd e t e c ta n dr e s p o n s e9 1 4 a t t a c k s i np e r f o r m a n c et e s t t h e a v e r a g ed e g r a t i o no fd a t at r a n s a c t i o nr a t e i sa b o u t2 0 w h e nw ea p p l yo u r s o f t w a r et of t ps e r v i c e k e y w o r d s ：f i r e w a l l ；i n t r u s i o nd e t e c t i o n ；i n t r u s i o nr e s p o n s e ；c o o p e r a t i v ei n t r u s i o n ； m o b i l ea g e n t t i t 华中科技大学硕士学位论文 1 绪论 本章首先简要概述了系统相关的网络安全概念，包括防火墙、入侵检测和入 侵捡测信息交换格式，接着概述了网络安全系统的国内外当前研究现状以及未来 发展方向，存此摧础上提出大规模动态自免疫网络安全系统，简述其框架结构以 及山此带来的优越性。 1 1 相关的网络安全概念 1 1 1 防火墙 防火墙川是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。第一代防火墙技术几乎与路由器同时出 现，采用了包过滤( p a c k e tf i l t e r ) 技术。1 9 8 9 年，贝尔实验室的d a v ep r e s o t t o 和 h o w a r d t r i c k e y 推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火 墙寨应用层防火墙( 代理防火墙) 的初步结构。1 9 9 2 年，u s c 信息科学院的 b o b b r a d e n 开发出了基于动态包过滤( d y n a m i cp a c k e tf i l t e r ) 技术的第四代防火 墙，后来演变为目前所说的状态监视( s t a t e f u li n s p e c t i o n ) 技术。1 9 9 4 年，以色 列的c h e c k p o i n t 公司开发出了第一个基于这种技术的商业化的产品。1 9 9 8 年， n a i 公司推出了一种自适应代理( a d a p t i v ep r o x y ) 技术，并在其产品g a u n t l e t f i r e w a l lf o rn t 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之 为第五代防火墙。1 9 9 9 年b e l l o v i n 提出了分布式防火墙【2 j 的概念并玎始了实验性 研究。当前已经有众多防火墙厂商如s y g a t e 、c y b e r w a l l 已推出分布式防火墙的 商k 产品。 1 1 2 入侵检测系统 入侵检测技术是动态安全技术的最核心技术之一，它最早由j a m e sp a n d e r s o n 在1 9 8 0 年提出。他将入侵尝试( i n t r u s i o na t t e m p 0 或威胁( t h r e a t ) 定 义为潜在的、有预谋的、未经授权的访问信息、操作信息，致使系统不可靠或无 法使用的企图。他提出审计追踪可应用于监视入侵威胁。但这一设想的重要性当 时并未被理解。1 9 8 6 年，为检测用户对数据库异常访问，在i b m 主机上用c o b o l 丌发的d i s c o v e r y 系统成为最早的基于主机的1 d s 雏形之一。1 9 8 7 年，d o r o t h y e d e n n y i n g 提出了入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计 算机系统安全防御问题的措施提出。1 9 8 8 年，m o r r i sl n l e r n e t 蠕虫事件使得n t e r n e t - - 一 l l 华中科技大学硕士学位论文 约5 天无法正常使用，该事件导致了许多1 d s 系统的丌发研制。1 9 8 8 年，t e r e s a l u n t 等人进一步改进了d e n n y i n g 提出的入侵检测模型，并创建了i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，它提出了与系统平台无关的实时检测思想。后来改称 为1 d sfi n t r u s i o nd e t e c t i o ns y s t e m ) 。 1 i 3 入侵检测消息交换格式 i d m e f r i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ) 描述了表示入侵检测系 统输出信息的数据模型，并解释了使用此模型的基本原理。该数据模型用x m l 实现，并没 了一个x m l 文档类型定义。自动入侵检测系统可以使用i d m e f 提供的标准数据格式对可疑事件发出警报，提高商业、开放资源和研究系统之间 的。目操作性。i d m e f 最适用于入侵检测分析器( 或称为“探测器”) 和接收警报 的管理器( 或称为“控制台”) 之间的数据信道。 1 2 网络安全系统研究现状 1 2 1 防火墙技术研究现状 1 9 9 9 年b e u o v i n 提出了分布式防火墙的概念并开始了实验性研究。在分布 式防火墙中，安全策略在管理台集中定义，并分发到每一个终端机上具体执行。 这里的终端机包括主机、路由器等。2 0 0 0 年p e n n s y l v a n i au n i v e r s i t y 与a t & t 联 合实现了分布式防火墙的原型f 3 | 该原型系统采用基于k e y n o t e l 4 j 1 5 1 【6 j i t i 8 j 凭证 的方式进行访问控制，利用i p s e c l 9 】用于受保护实体之间的通信。 t m a r k h a m 等人讨论了基于硬件实现的分布式防火墙体系结构i 嘲，该体系结 构采h j 了基于i p s e c 的策略管理。这种体系结构与软件防火墙不同的是防火墙在 网卡l 实现，从而避免了恶意用户对防火墙策略的修改，保证了整体策略的一致 性。 c a r n e g i em e l l o n 大学的d a v i df r i e d m a n 等人提出了基于i 9 6 0 的网络智能卡 和i p s e c 加密隧道实现的分布式防火墙体系结构f 1 。在这种结构中i 9 6 0 网卡运 行独立的实时操作系统，防火墙在该网卡中运行。从而使防火墙独立于受保护的 操作系统，最大限度的保护了主机安全。 u s c 大学的k a ih w a n g 提出了一个基于集群的分布式防火墙的实现方案1 1 2 l 。 该体系结构中，网关防火墙、策略管理台和集群节点上的微防火墙形成纵深程度 的安全保护。同时，分布式入侵响应系统能提供动态安全保护功能。策略发布采 用c o r b a 、r m i 和m o b i l e a g e n t 三种方式。 d 于分布式防火墙系统中集中管理所有的防火墙变得很复杂，这种复杂性体 现在防火墙不易理解的过滤规则必须顺序进行定义，并且这些防火墙规则容易产 华中科技大学硕士学位论文 生之洲的冲突。m i l l e f 等人提出了管理防火墙策略的方法【1 3 l 。b a r t a l 等人设计了 一套管理工具f i r m a t o i l 4 l ，该管理工具具有一定的通用性，它采用一种可理解的 高级解释性语言来定义规则，并采用数据库防止规则之间的冲突。 现在防火墙是一令消极的访问控制部件，缺乏互相沟通的机制，m o t o r o l a 公 司的n s m i t h 提出了一种在广域网上各防火墙进行联动防御d o s 攻击的协议i l ”， 该协议是在b g p 4 上修改而成。 随着移动计算、p 2 p 计算的出现，防火墙在这些领域应用的研究也越来越受 到关注。在移动计算和p 2 p 计算环境中网络是自组织的、不依赖于拓扑结构的， 所以不存在一个集中点进行安全管理和访问控制，所以分布式防火墙的越来越凸 显其优势，在d i m i t r a k o s 的研究中已经把分布式防火墙与策略驱动的访问控制策 略技术( p o l i c y d r i v e n a c c e s sc o n t r 0 1 ) 结合起保护网格信息资源和虚拟组织 ( v i r t u a lo r g a n i z a t i o n ) 的安全【1 6 】。 1 2 2 入侵检测技术研究现状 国内外有关计算机系统和网络的攻击的消息屡见报端，引起了人们对网络安 全监控和入侵检测的格外重视，检测、跟踪和防范大规模的破坏活动，特别是针 对网络基础设施的攻击行为，保证网络的可用性，是大型计算机互连网络安全非 常重要的环节。常用的访问控制安全机制( 如防火墙) 在传输网络( t r a n s m i t n e t w o r k ) t 扣无法防范针对大规模网络的、有组织的攻击行为实时地检测入侵或破 坏活动，因此入侵检测技术就作为第二道防线引入。入侵检测技术的发展大致经 历了四个阶段【1 7 l ：基于主机的( h o s tb a s e d ) 、基于多主机的fm u l t i h o s tb a s e d ) 、 基于网络的( n e t w o r kb a s e d ) 年1 分布式入侵检测。每个阶段典型的系统如i d e s 、 a i d ( a d a p t i v ei n t r u s i o n d e t e c t i o ns y s t e m ) 、n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 、 d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 。 u cd a v i s 开发的g r i d s l l 8 j 用来监视大规模t c p i p 网络环境下的入侵行为。 g r i d s 采用层次结构，它由一系列受监视主机、软件管理器和活动图引擎( a c t i v i t y g r a p he n g i n e ) ，其中软件管理器负责管理和维护所有分布式的组件，活动图引擎 用活动图来描述当前可疑网络活动的进展状况，并且把这个活动图传递给上层， 直至顶级的活动图引擎。为保证数据的一致性，g r i d s 专门设立了一个 o h s ( o r g a n i z a t i o n a lh i e r a r c h i c a ls e r v e r ) 5 c , j 全局视图进行监视汞i 控制。 山于分斫j 式入侵检测系统能具备好的安全性和可扩展性，所以只益成为研究 的热点。p u r d u e 大学研究出的a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 是一种分枷式入侵检测系统的原型实现【l ”，它包括代理( a g e n t s ) 、中转器 ( t r a n s c e i v e r s ) 平t l 监视器( m o n i t o r s ) 。其中每个代理负责监视网络活动，中转器负责 3 华中科技大学硕士学位论文 接收、处理和发和各代理发送的数据，并执行监视器发来的控制指令，监视器能 控制所有代理和中转器。a a f i d 出p e r l 语言实现，采用严格的树型模型，其控 制流是至上而下，而数据流是至下而上的。 d f r a n k i e 等人提出了h u m m i n g b i r d 协同入侵检测系统1 2 0 l ，该系统采用层次 结构，由管理台、下属管理台和主机组成，它们之间的通信采用k e r b e r o s 进行 认证。 同时，有一些大学或研究机构开始着手研究检测大规模攻击的试验系统，如： g e o r g em a s o n 大学的c a r d s ( c o o r d i n a t e d a t t a c k r e s p o n s e d e t e c t i o ns y s t e m ) 系统该系统由入侵特征管理器，监视器和目录服务器构成，并采用事件驱动的 机制，把检测任务分夼在各个监视器上进行。该系统提供了一种分布式可扩展的 框架。 1 2 3 动态网络安全技术研究 1 9 9 9 年，网络动态安全技术由n a i 实验室和b o e i n g 公司的研究者m e a d o w s 、 m c l e a n 首先提出的。网络动态安全是指能够根据入侵行为进行实时的安全策略 更新。p e t k a c 和b a d g e r 研究了具备入侵响应能力的一种软件系统s e c u r i t y a g i l i t y i2 1 l ，该软件能实现主机级的入侵响应，它是在d t e ( d o m a i na n dt y p e e n f o l c e m e n t ) i ；) ) 问控制机制的基础上实现的，能根据用户需求指定哪些入侵发生 后终止相应的进程，修改相应关键文件的读写权限等。 网络动态安全技术的实质是入侵检测和响应。w j a n s e n 和p m e l l 等人提出 将移动代理应用到入侵检测与响应中1 2 2 i1 2 3 】，提高入侵响应的实时性和检测能力， 但并没有和给出具体实现方案。c u r t i s a c a r v e r 等人提出了基于移动代理的自主 入侵响应的实现架构1 2 。 网络动态安全技术往往把各个安全组件联合起来。m g a n g a d h a r a n 与k a i h w a n g 提出基于移动代理的前摄式入侵检测与响应系统粥1 。该系统把基于移动 代理的分布式入侵响应技术和微防火墙融合起来，提供针对i n t r a n e t 动态网络安 全原型系统。 为了解决大规模网络环境下各种入侵检测系统、防火墙系统能够互相通信协 作式检测防御入侵行为的问题。b o e i n g 公司、美国n a i 实验室和u cd a v i s 分校 的计算机安全实验室联合开发了独立于安全设备的入侵检测与隔离协议 ( 1 n h u s i o nd e t e c t i o na n di s o l a t i o np r o t o c o l ，i d i p ) 和围绕该协议的基础框架实现 1 2 6 10 该框架与各种防火墙、包过滤路由器和入侵检测系统结合起来。i d i p 具备 以下自动防御能力：( 1 )咖同式的跟踪入侵源；( 2 ) 使用与设备无关的控制和 响应指令。 4 华中科技大学硕士学位论文 目口目j | 日j 目目= 自= 薯i i | 自目目 入侵响应分为人工响应和半自动响应。当前由于入侵检测的误警率，所以对 入侵行为的l i 向应依赖系统管理员的人工干预，这种干预将降低系统对入侵响应的 实叫性。但全自动响应可能会因为入侵检测的误警率而产生错误的响应措旋，因 此需噩半自动的入侵响应渐渐成为感兴趣的研究内容。在自动响应入侵行为时需 要根掘入侵行为的类型、严重程度采取相应的响应措施，于是研究入侵的分类和 对各种类型的入侵行为的响应方式是很有必要的。c a r v e r 等人提出了一种入侵行 为的分类方案【2 7 l ，并指 = f 这种分类方式在入侵响应系统中的应用。 w l e e 等人提出基于代价敏感性的入侵响应系统【2 8 i 。该系统把每种入侵事件 都分配一个入侵代价( d a m a g e c o s t ，d c o s t ) 、响应代价( r e s p o n s e c o s t ，r c o s t ) 、 检测代价( d e t e c t i o nc o s t ，d e c o s t ) 。入侵代价指入侵行为带来的破坏性代价； 响应代价指响应一个入侵行为所需的代价；检测代价指监视和分析入侵行为的代 价。入侵响应系统【2 9 1 根据这些代价值因此利用有限的资源去检测和响应那些破坏 性较大的入侵。 1 3 文章的框架结构 第一章概述了网络安全系统的相关概念、研究现状和未来发展趋势。 第二章讲述了传统安全系统存在的问题，及现有系统的总体架构及工作原 理，并讨论了系统的技术特色。 第三章讲述了分布式可扩展框架的设计思想与具体实现，包括认证技术、组 管理技术和失效点容错技术。 。 第四章讲述了系统各安全子系统的设计原理，包括分布式微入侵检测系统、 分稚式微防火墙和层次响应机制，其中分布式微入侵检测子系统包括微入侵检测 和汇总决策，分布式微防火墙包括基于包过滤的微防火墙和基于移动代理的策略 发靠技术，层次响应机制包括本地响应和全局响应技术。 第五章简述了图形用户界面，包括管理台配簧界面和客户端配黉界面。 第六章具体描述本系统的应用实例，并对系统的安全防范能力和性能进行了 测试和分析。 第七章对全文进行总结并展望了未来工作；最后是致谢和参考文献。 华中科技大学硕士学位论文 2 系统结构及原理 传统安全系统( 入侵检测和防火墙) 往往以网段为单位进行安全保护，所以 具有依赖拓扑结构、不能防御内部攻击等缺点。同时，传统安全系统缺乏主动的 协作式的响应入侵行为，所以不具备自保护和自免疫机制。针对这些缺陷，本系 统铂一大规模可扩展框架下采用分和式微入侵检测、分前i 式微防火墙和层次响应等 技术，能细粒度的安全保护系统资源，并使系统具有动态自免疫功能。 2 1 传统安全系统的局限性 为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、 多手段的检测和防护。传统安全系统融合防火墙或入侵检测技术进行安全防护。 防火墙负责进行网络的访问控制功能，入侵检测系统能够及时识别网络中发生的 入侵行为并实时报警。虽然目前很多防火墙都集成有入侵检测模块，但由于技术 和性能上的限制，它们通常只能检测少数几种简单的攻击，无法与专业的入侵检 测系统相比。专业入侵检测系统所具有的实时性、动态检测和主动防御等特点， 弥补了防火墙等静态防御工具的不足。 将入侵检测系统与防火墙配合使用，可以极大地提高网络的安全防御能力。 传统的采用入侵检测系统和防火墙共同构建的网络安全防护体系有多种组合方 法： ( 1 ) 入侵检测系统放在防火墙之外。在这种情况下，入侵检测系统能接收到防火 墙外网口的所有信息，管理员可以清楚地看到所有来自i n t e r n e t 的攻击，当 与防火墙联动时，防火墙可以动态阻断发生攻击的连接： ( 2 ) 入侵检测系统放在防火墙之内。在这种情况下，只有穿透了防火墙的攻击才 能被入侵检测系统监听到，管理员可以清楚地看到哪些攻击真正对自己的网 络构成了威胁。如果入侵检测系统检测到了本应该被防火墙过滤掉的攻击， 就可以判断防火墙的配簧存在失误： ( 3 ) 防火墙内外都装有入侵检测系统。在这种情况下，可以检测来自内部和外部 的所有攻击，管理员可以清楚地看出是否有攻击穿透防火墙，对自己网络所 而对的安全威胁了如指掌； ( 4 ) 将入侵检测系统安装在其它关键位置。例如：安装在需要重点保护的部位， 如企业内部重要服务器所在的子网，对该子网中的所有连接进行监控：安装 在内部两个不同子网之间，监视两个子网之间的所有连接。 这种传统的安全防护体系结构具有如下弊病：防火墙与入侵检测系统以网段 为保护单位，无法细粒度的保护主机安全。因为现在最大威胁来自内部，所以以 一一- _ ll 6 华中科技大学硕士学位论文 网段为粒度的保护单位的机制将不能满足现有需要，并且随着e x t r a n e t 和m o b i l e i p 的应川发展未来的服务和安全需求将越来越摆脱网络拓扑结构；防火墒与 入侵检测系统存在着单点故障危险，一旦出现问题或被攻克，整个内部网络将会 完全暴露在外部攻击者面前；最后，现有的入侵检测系统在网络的不同网段放置 多个探测器收集当前网络状态的信息，然后将这些信息传送到中央控制台进行处 理分析。这种方式存在明显的缺陷：首先，对于大规模的分布式攻击。中央控制 台的负荷将会超过其处理极限，这种情况会造成大量信息处理的遗漏，导致漏警 率的增高。其次，多个探测器收集到的数据在网络上的传输会在一定程度上增加 网络负担，导致网络系统性能的降低。再者，由于网络传输的时延问题，中央控 制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态， 不能实时反映当前网络状态。 针对当前安全系统的弊端，我们提出了一种“分布式动态自免疫大规模网络 安全系统”。在系统中所有节点机上都装备微入侵检测系统( m i d s ) 月x l l 微防火墙系 统f m f i r e w a l l ) ，两者形成细粒度的双重保护。每个节点都隶属于某个域，该域 的管理台安装汇总决策和防火墙策略发4 f i * j l 构，前者负责汇总该域内发生的入侵 事件以检测分伽式攻击，策略发布机构负责所有安全策略的发布。在大规模网络 环境下，需要对这些受保护节点进行管理，这里采用树型框架进行管理，在该框 架下认证机制确保了管理台与各节点之间信息交互的保密性，组管理机制确保了 系统的整体扩展性，失效点容错机制保证系统的可靠性。和传统安全系统相比， 本系统有如下优点： f 1 ) 汇总决策模块具备安全事件关联功能，能最大限度的降低误警率和漏警率， 同时能检测分布式的协同入侵行为： ( 2 ) 分布在所有主机上的m i d s 和m f i r e w a l l 都具备完备的检钡, t j , l j 响应功能，具 有网络拓扑结构无关的优点，可以检测内部攻击； ( 3 ) 一方面m i d s 针对本机入侵行为更新本机m f i r e w a l l 的策略( 本地入侵响 应) ，另一方面中央管理台针对入侵行为的严重程度更新相关保护组织的 m f i r e w a l l 的策略。两种入侵响应技术构建了一个动态自免疫的系统。 2 2 总体结构 本系统包含包括大规模可扩展框架和基于该框架之上的动态安全防御体系。 其中大规模可扩展管理框架保证系统的可扩展性和可靠性，动态安全系统负责联 动系统罩面所有的安全组件共享入侵信息，动态的提高自身保护和自免疫能力。 为适应人规模网络环境，系统需具备可扩展的框架结构。本系统根据应用需 求的不同将整个受保护系统分成若干域。各安全域内还可以有自己的子域，依此 可以构建形成一个动态可扩展的树型架构，图1 1 表示了本系统的大规模可扩展 7 华中科技大学硕士学位论文 框架。在本框架系统中，安全域的划分可以不依据拓扑结构( 如网段) 来进行， 传统安全系统中所谓的“内网”在这里可以统一抽象为一种逻辑意义上的安全域。 d 于本系统的拓扑无关性，所以可以把e x t r a n e t 、m o b i l e 用户和内部用户纳入同 一的受保护域中。 现有的入侵检测系统大都强调检测能力，很少考虑对检测结果的综合分析和 关联。因此必须在各个受保护域里设立一个管理台对各节点机上的安全事件进行 综台分析。本系统在系统管理员控制的管理台上装备入侵检测汇总决策模块和防 火墙系统策略发布模块。汇总决策模块收集m 一1 d s 发出的安全事件，对安全事 件进行多种形式的分析和关联，可以有效的发现分布式入侵，进而通知策略发布 模块对分布式入侵事件进行预警和处理。策略发布模块通过加密隧道对每个受保 护节点进行防火墙策略的更新。 图1 1 大规模可扩展框架示意图 动态安全防御体系的核心思想是结合分布式微入侵检测系统( d m i d s ) 和 分布式防火墙( d m f i r e w a l l ) 技术实现双层动态安全保护。如图1 2 所示，其中 m i d s 系统实现实时的入侵检测，并可实时更新本机m f i r e w a l l 的策略( 本地 响应) ，实现对入侵的实时响应。另外通过汇总决策和策略发布又可以实现各台 主机之间的联合互动( 联合响应) 。这种分布式动态安全系统不仅可以检测来自 外部网的入侵，也可以解决来自系统内部的入侵。它能支持分布式计算机系统对 内部安全、外部安全和自适应的需求。 华中科技大学硕士学位论文 图1 2 动态安全防御系统的框架图 2 3 技术特色 2 3 1 可扩展体系结构 为适应大规模网络的安全需要，本系统采用层次树型的可扩展框架结构。该 框架采用层次的信任模型，在该信任模型下，顶级管理台直接控制若干子管理台， 各子管理台控制下属的节点。在该信任模型下，系统采用了s s l 实现的认证协 议和组管理台机制。另外，为防止管理台成为系统的单一失效点，本系统采用双 机热备方式和视图恢复方式进行失效点容错。 2 3 2 细粒度安全保护 本系统结合分布式微入侵检测和分布式微防火墙技术对所有受保护节点进 行细粒度的安全保护。 本系统采用树型分层构造的入侵检测系统，在树叶部分是各个受保护节点的 微入侵检测系统，其他部分都是在各管理台上运行的汇总决策模块。最根部的汇 总决策模块提供全局的控制、管理以及分析出下一层节点提供的信息，在树叶部 分的微入侵检测系统专门用来收集信息。处在中间层的汇总决策模块一方面实现 对底层的控制，一方面可以起到信息的预处理过程，把精炼的信息反馈给上层的 汇总决策模块。这种结构采用了本地入侵检测系统处理本地事件，汇总决策模块 代理负责整体分析的模式。与集中式不同，它强调通过全体微入侵检测系统的协 同工作来分析入侵策略。 分布式微防火墙采用集中控制、分布执行的方式。该系统包括微防火墙模块 和策略发布模块。其中微防火墙模块实现包过滤功能，主要能对指定源目标i p 、 源目标端口、t c p 标志位进行过滤，能进行流量控制以防止洪泛攻击。策略发 前i 模块采用p u s h 方式，分为手工策略发布和自免疫策略发布两种情况，两种策 略都是基于移动代理实现。手工策略发布主要由管理员来完成，实现原理是给管 o 华中科技大学硕士学位论文 理员提供一些常用的安全策略，由管理员选择并可以自定义一系列安全策略，这 样可以大大加强安全管理的方便实用特性。自免疫策略是当系统遇到入侵报警时 自动产生，因为自免疫策略的实时性和不精确性，本系统将把自免疫策略放置在 所有防火墙规则的最前端以提高对入侵行为的实时响应能力，同时因为入侵检测 存在一定的误报警，所以不能让每条自免疫规则都永远生效，否则会产生严重后 果，比如让砸常用户无法登录等。冈此，本系统为每条自免疫规则分配一个时问 存活值( t i m e t o l i v e ，t t l ) ，当t t l 为0 的时候，自免疫规则自动取消。 2 3 。3 动态自免疫的保护机制 动态自免疫保护机制主要由层次响应技术实现，该技术把分布式微入侵检测 系统和微防火墙系统紧密的耦合起来，它主要包括两个模块：基于节点级的本地 响应技术和基于管理台的全局响应技术。| j 订者包括一个本地入侵响应数据库和与 微防火墙的交互模块；后者包括一个全局入侵响应数据库和与策略发布之问的 交! i 模块。入侵响应数据库规定某些入侵行为应该产生怎样的响应动作，可选动 作如下：取消部分节点不必要的响应动作；更新部分组的安全策略；更新所有组 的安全策略；更新所有组的安全策略，并根据入侵严重程度向上层管理台汇报。 2 4 小结 本章分析了传统安全系统的局限性，针对这些局限性，提出系统的总体结构， 并概述了系统特色。 1 0 3 树型可扩展框架 为了便于扩展和管理的方便，本系统采用树型可扩展框架。围绕该框架结构， 需要解决安全性、可扩展性和可靠性等方面的问题。 3 1 问题的提出 这里首先需要引入几个概念以免在后文中引起混淆： 网络实体，节点，主机：这三个概念视为等同，表示受保护的单机，它是安全策略 的实施点： 管理台：管理台表示那些需要承担安全管理任务的节点。 子管理台：予管理台表示一个承担安全管理任务的节点，但它同时隶属于某个管 理台。 管理域，安全域，域：表示一群具有同样安全需求的节点的组合，一个域包括一个 管理台和若干受保护的节点或者子管理台，域的划分并不以网络拓扑结构进行。 组建一个分布式大规模系统，需要考虑很多问题，比如：可扩展性、易用性、 安全性和可靠性，本系统采用树型结构进行分布式管理，因为在大规模系统中， 树型结构是易于扩展和易于维护的，如d n s 和p k i 就是一个成功的例子。针对 本系统的树型框架结构，需要解决如下几个方面的问题： f 1 1 可靠的信任模型 虽然本文研究的是分布式安全系统，但其架构本身的安全性也需要研究。管 理大量的节点和管理台时，对这些节点和管理台采取何种信任模型是首先要解决 的问题。分布式系统中有两种传统的信任模型层次信任模型和网状信任模 型，以解决不同的管理域中的主体问的信任问题。层次信任模型中，上层管理台 为下层管理台发证书。这种信任模型中有且只有一个中央管