（计算机软件与理论专业论文）面向大规模网络的集中安全审计系统关键技术研究.pdf

摘要 在过去的几年中安全技术取得的了长足的发展，涌现出大量安全设备，但是由于缺乏统 一的业界标准，难于实现设备的统一管理，设备间的信息交互更是难于实现，导致了设备间 的信息鸿沟。 其中事件管理便是最大的难点，更是实现安全事件快速响应的关键。通常情况下一个企 业网络的事件产生峰值在每秒6 0 0 0 条以上远超出人工实时审计的极限，i d s 等网络设备 的误报率据高不下，管理员被海量数据淹没导致无法对重要安全事件做出及时响应。 集中审计系统的设计旨在解决以上难题，对各种网络事件进行集中管理。通过事件的关 联分析，追踪和还原攻击场景，提供事件的自动响应机制。集中安全审计系统对于安全事件 的处理是一个由原始数据收集到发现知识直至采取适当措施的过程。作者在论文中给出了各 阶段关键技术的研究与实现，所做工作、技术难点与创新处如下： 1 高可扩展性及可靠性的设计模式：系统采用了微内核( m i c r o k e m e l ) 模式，并且通过 s e r v i c el o c a t o r 模式实现调用者与实现者的解偶，从而实现微内核容器和插件。系统中的微 内核形成了一条软总线，通过增加插件模式的安全中间件可以支持不断出现的各种安全设 备。 2 对象池技术：面对系统中的大量短任务及数据访问请求，系统通过建立对象及线程 缓冲池，来减少对象创建及销毁时的消耗，提高响应速度。 3 事件收集及归一化：审计系统通过s y s l o g 、s n m p 、文件或是a p i 等收集不同设备 和系统的事件。为了灵活便捷的实现对不同e t 志的解析，作者采用l e x 辅助自动生成日志 解析程序。日志的归一化是集中保存和关联分析的前提，文中作者给出了兼顾效率及可扩展 性的归一化结构。 4 事件的关联分析：目前i d s 的高误报率已成为安全管理面对难题。集中安全审计系 统作为比i d s 、防病毒网关、防火墙等安全设备更高层次的安全系统，可以通过有效的关联 全网的安全事件从而给出更加精确的判断同时有效的分析攻击的有效性，减少安全管理员 的分析工作。作者采用状态机技术与自行设计的基于x m l 的攻击场景描述语言，实现了不 同事件的实时关联及攻击场景的还原。在事后分析技术上，作者研究采用数据挖掘技术实现 了事件间相关性的挖掘。 5 系统的监控与恢复：通过模拟生物免疫系统丁作机理及其多层结构，集中审计系统 协调网络中的安全设备形成类似于皮肤的外层防御，同时通过安置在主机a g e n t 实现监控与 恢复形成类似丁- 免疫细胞的深层防御。 作者参与研制开发的集中审计系统已应用于军队及重要的政府机关( 获得了军用产品认 证及c c i d 的j 二程师推荐奖) 。 关键字：集中审计系统，统一安全管理，安全事件管理，安全事件关联分析 中图分类号：t p393 0 8 a b s t r a c t s om a n ys e c u r i t yp r o d u c t sh a v ec o m eo u tf o rt h ep a s ty e a r s ，b u te a c ho ft h e mc a nn o t e x c h a n g ek f f o r m a t i o nf r e e l yf o rn ou n i f o r ms t a n d a r d t h e r ei sb i gg a pb e t w e e nt h ed i f f e r e n t s e c u r i t yp r o d u c t s ；t om a n a g et h e s ep r o d u c t si sav e r yh a r dt a s kf o ra d m i n i s t r a t o r s s e c u r i t ye v e n t sm a n a g e m e n ti st h eh a r d e s tt h i n g ，b u ti t i sm o s ti m p o r t a n t s e c u r i t ye v e n t s m a n a g e m e n ti st h ek e yt os e c u f i t ye v e n t sq u i c kr e s p o n s e u s u a l l ya b o v e6 0 0 0s e c u r i t ye v e n t s h a p p e np e rs e c o n di nae n t e r p r i s e sn e t w o r k ，t h ee v e n t sc a nn o tb ea n a l y z e dj u s tb yh u m a n t h e f a u l ta l a r m sa r ep r o d u c tb yi n sa l w a y sm a k et h ea d m i n i s t r a t o rp u z z l e d ，i nr e s u l tt h ea d m i n i s t r a t o r c a l ln o tt a k et h ea c t i o ni ut i m e t h es e c u r i t ye v e n t sa u d i ts y s t e mi s d e s i g n e dt os o l v et h ep r o b l e m so ns e c u r i t ye v e n t s m a n a g e m e n t t h ep r o c e s so ft h es e c u r i t ye v e n t sa u d i ts y s t e md e a l i n gw i t he v e n t ss t a r tf r o m c o l l e c t i n gt h er a wd a t at of i n d i n gt h ek n o w l e d g ea n dt a k i n gt h ea c t i o n s t h ep a p e rd i s c u s s e st h e t e c h n o l o g yt h a ti su s e dt od e s i g na n di m p l e m e n t st h es e c u r i t ye v e n t sa u d i ts y s t e m 1 t h es t a b l ea n ds c a l a b l ed e s i g np a r e m ：m i c r o k e r n e lp a t t e mi su s e dt oi m p l e m e n t st h e s y s t e m sk e r n e l t oi m p l e m e n ts y s t e mp l u g i n s ，w ea d o p tt h e “s e r v i c el o c a t o r p a t t e r nt o d e c o u p l et h ei n v o k e ra n dt h ei m p l e m e n t a t i o n t h ek e r n e lo ft h es y s t e ml i k ea s o f tb u s ，t h r o u i g h a d d i n gt h ep l u g i n st ot h eb u s ，t h es y s t e mc a l ld e a lw i t ht h ee v e n t sp r o d u c e db yd i f f e r e n tn e w s e c u r i t yp r o d u c t s t h ed i f f e r e n tp a r t so ft h es y s t e ma r ea l lc o m p o s e do fak e r n e la n ds o m e p l u g i n s 2 o b j e c tp o o l ：o b j e c tp o o l sa r ea d o p t e di nt h es y s t e mt os h o r t e nt h er e s p o n s et i m e 3 e v e n t sc o l l e c t i o na n dn o m a a l i z a t i o n ：t h es e c u r i t ye v e n t sa u d i ts y s t e mc o l l e c t st h ee v e n t s t h r o u g hs y s l o g ，s n m p , f i l eo rl o c a la p i t op a r s et h ee v e n t sd a t ao fd i f f e r e n tp r o d u c t se a s i l y , w e u s et h el e xt oc r e a t et h ep a r s ep r o g r a m b e f o r ea n a l y z i n ga n ds t o r i n gt h ee v e n t s ，a l lt h ee v e n t s m u s tb en o r m a l i z e d 4 e v e n t sc o r r e l a t i o n ：i ti sab i gp r o b l e mf o rt h ea d m i n i s t r a t o rt h ef a u l ta l a r m so fi n s a sa h i g h e rl e v e ls e c u r i t yp r o d u c tt h a ni d s ，t h es e c u r i t ye v e n t sa u d i ts y s t e mc a nc o r r e l a t et h ee v e n t s p r o d u c e db yd i f f e r e n tp r o d u c t st or e d u c et h ef a u l ta l a r m s w eu s et h es t a t em a c h i n et oc o r r e l a t et h e e v e n t sr e a l - t i m ea n dd e s c r i b et h ea t t a c ks c e n eb yx m l d a t am i n i n gt e c h n o l o g yi sa l s ou s e dt o f m dt h er e l a t i o n s h i pb e t w e e nd i f f e r e n te v e n t s 5m o n i t o ra n dr e c o v e r y ：t h es y s t e mi n t e g r a t e st h es e c u r i t yp r o d u c t st of o r mm u l t i t i ed e f e n s e a c c o r d i n gt ob i o l o g i c a li m m u n o l o g y t h r o u g ht h ea g e n t s ，t h ea u d i ts y s t e mc a l l m o n i t o ra n d r e c o v e rt h ea p p l i c a t i o ns y s t e m t h es e c u f i t ye v e n t sa u d i ts y s t e mw ed e s i g n e da n di m p l e m e n t e d ，h a sa l r e a d yb eu s e db y g o v e r n m e n ta n da r m y ( t h es e c u r i t ye v e n t sa u d i ts y s t e mi s a w a r d e dt h e e n g i n er e c o m m e n d p r o d u c t ”b yc c i d ) k e yw o r d ：s e c u r i t ye v e n t sa u d i ts y s t e m ，u n i f o r ms e c u r i t ym a n a g e m e n t ，s e c u r i t ye v e n t s m a n a g e m e n t ，s e c u r i t ye v e n t sc o r r e l a t i o n 4 第一章前言 1 1 网络安全发展的趋势一集中与联动 随着信息网络化的发展，信息安全的概念和实践不断深化、延拓。从二战后军方、政府 专享的通信保密，发展到2 0 世纪7 0 年代的数据保护、9 0 年代的信息安全直至当今的信息 保障，安全的概念已经不局限于信息保护、而发展成为对整个信息系统的保护和防御。过去 的几年中，网络安全技术发生了很火的变化，网络安全以逐步由以防火墙作为网络安全体系 基础的静态访问控制发展成为融入入侵检测、防病毒等技术的动态防御体系。 “安全是为了保障应用的”，“安全”不是目的，“业务应用”才是，“安全”只是保 障其“业务应用”的一种手段，“好的安全”同时也是促进“业务应用”的手段。构建适合 目前业务活动的“安全体系结构”才是网络安全发展的方向( 郁郎等，2 0 0 4 ) 。 人们通常认为集中计算模型更可靠、更安全，管理更方便。而现在，很多公司已经将计 算机资源广泛分布于企业内部或者企业以外很远的地点，再由中心进行虚拟管理，可见企业 对n 的选择是方便“业务应用”驱动的，而不是安全驱动的。 就像m m 提出其电子商务e b u s i n e s s 的核心理念一“随需而变o n d e m a n d ”，与此相 似安全体系结构设计的核心理念一“随应用而变o n a p p l i c a t i o n ”。因此要做好“安全体系 结构”的需求分析，首先要做好“业务应用”模式的分析。 首先，在过去几十年里，计算机应用从集中的结构转向分布式计算模型，把智能和处理 能力推向客户端设备。许多分析家认为，在下一个十年中，集中式计算架构可能会从历史舞 台上消失，因为集中计算不具备处理下一代i n t e m e t 和w e b 服务复杂性和分布式的能力。高 度分布模型中最著名的例子就是点对点的音乐共享服务。 比w e b 服务更先进的模式就是目前炙手可热的网格计算( g r i dc o m p u t i n g ) ，网格把整 个i n t e m e t 整合成一台巨大的超级计算机，实现计算资源、存储资源、数据资源、信息资源、 知识资源、专家资源的全面共享和协同，美国福布斯杂志的科技版( f o r b e sa s a p 在 2 0 0 1 年9 月1 0 日发表了一系列文章，预告了网格技术的普及。文章分析了计算机技术的发 展历史和近几年的趋势，并指出： 信息技术的下一波大浪潮在2 0 0 4 - - 2 0 0 5 年度出现： 这个浪潮将极人的改变我们的生活和t 作。到2 0 2 0 年，由此产生的互联网将成长 为一个2 0 万亿美元产值的大工业； 这一波浪潮的本质特征，就是全球万维网( w o r l dw i d ew e b ) 升华为全球大网格 ( g t e a tg l o b a lg r i d ) 。 p c 厂、, n e t 厂_ 、i nl o r n e t 弋w e b 厂0g r i d y ，叫 一 图表i ：“业务应用”发展模式 应用系统的日趋庞大( 基于j 2 e e ，w i n d o w d n a s u n o n e 构架的应用增跃) 及网络结 构的日益复杂，造成了网络事件和网络设备的管理困难。复杂的网络应用环境和多样的攻击 与入侵手段使得孤立的安全设备难以有效应付。在过去的几年中安全技术取得的了长足的发 展，涌现出大量安全设备，但是由于缺乏统一的业界标准，难于实现设备的统一管理，设备 间的信息交互更是难于实现，导致了设备问的信息鸿沟。为各种网络及安全设备提供统一的 整合平台实现全网安全是未来安全发展的必然和趋势，集中管理和不同安全设备问的联动是 其中重点。 1 - 2 统一安全平台的重要组成部分集中安全审计 单纯网络安全设备的部署，仅仅是安全的一个开端，只是添加了安全大厦的砖瓦，构筑 了骨架而已。防火墙、防病毒、i d s i d p 、v p n 、身份认证各种安全设备和软件，在初步缓 解了安全隐患的同时，却引入了后续的让安全管理人员十分头痛的一系列问题： 初步的建设引入了众多异构的安全技术，它们的运行效果无从量化； 海量的安全事件充斥着大量不可靠的信息，从而变得毫无价值； 制定安全策略的高层管理人员无法获得对安全态势的全局观； 安全措施与它所保障的实际业务没有有效的关联； 安全预警、安全防护、应急响应各子系统没有形成高效的闭环系统，导致安全体系 的抗打击能力弱； 因为对于硬件设备的一味依赖和迷信，反而会造成安全审计上的松懈，甚至有人讲“一 个具有部分安全的网络甚至还不如一个完全没有安全措旄的网络”。安全审计如果不能说是 网络策略中最重要的一部分的话，至少是必不可少的。大型网络中海量事件数据已经超出了 人为审计的能力，以下是一个企业网络中的事件统计图，图中可见事件产生的峰值高达每秒 6 0 0 0 条以上，人为有效审计发现潜在的威胁是不可能的。 l 0 6 i 。口d 电 l 4 “ u2 1 0 0 0 e n t e 巾r i s en e t w o r ke p s ：p e 碘v s a v e r a g e t y 砷柚嘲l 瞄 州w o b 刊o f s 5 酗俩 凸i w 伸庵岍a 厅- - q 凸如峨，# 帆堙 囟一 甲。* 捌 j 吐一曼窆璺! 珊日| 忡烊 季i f 罾1 f 瓣留。謦。臀鬻+ 哿哥嚣留翟嚣篇嚣篇”p k t 訾 c b t , r l t x h m o 期 - d - 嘶o f p h 耐抽n 神盱s l * 曲 图表2 企业网络中的e s p ( 每秒发生事件数) 的峰值及平均值 i d s 做为现代动态防御体系的重要组成部分，已成为目前众多安全解决方案的共识。但 是灵敏度和可靠度是i d $ 难以解决的一对矛盾，安全管理员们一直被i d s 的漏报和误报所 困扰。 i d s 所处的网络层次和性能问题决定了其所获取和分析信息的局限性，有效的集中安全 事件审计可以大大提高i d s 的信噪比。 图表3 集中安全审计( 安全事件管理) 与其它安全设备所处的层次 要真正达到维护系统安全的目的，必须突破传统的安全防护理念，引入商业化的风险评 估与管理安全模型，利用风险管理机制对网络系统的安全性制定全面的解决方案。通过事件 严重性与资产重要性的评估，自动向管理员提供资产的实时风险状况( 事件的严重性资产 的重要性= 资产的风险) 。 构筑未来的统一安全平台，为现有的网络设备和安全设各提供汇聚层，打破设备问的信 息鸿沟。网络事件和安全事件的集中管理与分析是安全平台的重要组成部分。 第二章集中安全审计系统概述 集中安全审计系统对于安全事件的处理是一个由原始数据收集到发现知识直至采取适 当措施的过程，在此过程中伴随着审计系统的不同工作阶段。 二簟 e 喵 1 1 黑胃： 纛事 港 拳 鬟、 鲤需 般 曲 怍 警 i 辫 囊 期 * 霄 谴。 辍洎j _ 蜃 挂 。他 忆 碱葫 凰b ， 荛 曩 信 t 妞葫一 哆劳熙捧霹联萋 鱼 信 辩撵 皇 f l 图表4 ：安全事件处理模型 由于安全事件来自不同的设备或系统，所以有着不同的发布策略和传输方法，通常包括 以下方式：本地a s c l i 码日志文件、s y s l o g 、s n m p 及产品a p i 。 传统的基于不同设备市计技术面临如下问题： 日志格式兼容问题 一般情况下，不同厂商的设备或系统所产生的日志格式互不兼容，这为网络安全事件的 7 集中分析带米了巨大难度。 日志数据的管理问题 日志数据量非常大，不断地增长，当超出限制后，不能简单地丢弃。需要一套完整的备 份、恢复、处理机制。 日志数据的集中分析问题 一个攻击者可能同时对多个网络中的服务器攻击，如果单个地分析每个服务器上的日志 信息，不但工作量大，而且很难发现攻击；如何将多个服务器上的日志关联起来，从而发现 攻击的行为，是安全审计系统面临的重要问题。 分析报告及结果可视化 网络中每天会产生大量的日志信息，巨大的工作量使得管理员手工查看并分析各种日志 内容是不现实的，必须提供一种直观的分析报告及统计报表的自动生成机制来保证管理员能 够及时、有效发现网络中各种异常状况及安全事件。 集中审计系统设计贯穿现代p d r 2 ( p r o t e c t i o n 、d e t e c t i o n 、r e s p o n s e 、r e c o v e r y ) 动态防 御体系思想，与其它安全设备有效整合实现全网安全与动态防御。 图表5 ：p d r 2 动态防御 集中审计系统提供了全网不同事件的集中管理平台，打破了不同设备及系统间的信息鸿 沟在对事件和监控信息的集中及关联分析的基础上，有效的实现全网的安全预警、入侵行 为的实时发现、入侵事件动态响应，通过于其它安全设备的联动来真正实现动态防御。 2 1 系统组成 集中审计系统主要由代理、安全审计中心、系统数据库、审计系统管理器五个部分组成。 夺 代理( a g e n t ) ：收集各种操作系统、网络安全设备、应用系统的日志信息及运行状 态，统一格式化后发送给安全审计中心处理，并在审计中心的协调下实施深层防御。 审 安全审计中心( a u d i t c e n t e r ) ：接收来自代理和各种安全设备、系统发出的事件信 息，进行实时分析及关联，同时集中保存在系统数据库中，进行数据挖掘及分析： 协调控制系统的各部分，响应米自管理器的用户请求。 审系统数据库( d a t ab a s e ) ：保存各种事件信息、策略信息、系统配置等。 夺 市计系统管理器( s y s t e mc o n s o l e ) ：提供给用户一个方便、直观的管理接口，并可 视化的展示事件分析结果及网络的安全状况。 图表6 集中安全审计系统组成 系统的各个部分都采用微内核容器( m i c r o k e m e lc o n t a i n e r ) 与插件( a d d 曲技术，以 适应安全应用的不断拓展和网络、安全设备的不断增长，通过安全中件问( 功能插件的一 种) 来收集不同设各的事件，通过标准的接口规范，第三方可以为新增的网络设备或系统 开发安全中间件。系统的各个层次都是可以通过插件复用和扩展的( 包括功能、逻辑及用 户界面，详见后文相关内容) 。 2 2 系统的工作流程 系统工作流程可分为四个主要过程： i ，网络事件的收集及归一化： 通过本地安装a g e n t 、远程信息收集等多种方式收集来自网络中不同设备、操作系统和 应用系统的日志及实时监视信息( 系统提供对不同设备、操作系统、应用及服务的监视) ， 同时将收集到的信息根据统一的信息表示结构进行归一化。 2 事件的处理： 对接收到的己归一化的事件信息进行处理，首先按审计策略进行事件的过滤，处理后的 数据分别发送至实时检测引擎及数据库系统。同时，根据制定的响应策略对不同事件进行不 同方式的响应( 包括铃声、e m a i l 、s n m p 甚至通过某些联动协议( 如t o p s e c ) 实现与其 它设备的联动) 。 3 事件的实时检测 对处理后的事件进行实时的审计，系统设有多个不同的审计引擎，可以实时审计的来自 不同设备及系统的事件，进行特征检测、异常分析及不同事件的实时关联分析：分析结论经 归一化后，以系统内部事件重新送回至事件处理过程，以便进行响应。 4 事件的可视化分析 通过对系统数据库中历史数据的挖掘和分析，从不同角度( 按网络设备、系统、事件类 型等) ，按系统的不同模板生成分析结果，并根据用户的要求通过丰富的图表来显示分析的 结果。分析涵盖了对事件的归类统计、事件的变化发展趋势及事件间的相关性的发掘。 9 图表7 系统工作流程 第三章系统的架构与模式 3 1 软件的架构与模式 软件体系结构常被称为架构( a r c h i t e c t u r e ) ，指可以预制和可重构的软件框架结构。架构 尚处于发展期，对于其定义，尚未形成一个统一的意见。以下是一些主流的标准观点。 a s n i i e e e6 1 0 1 2 1 9 9 0 软件工程标准词汇对于体系结构的定义是：“体系架构是以构 件、构件之间的关系、构件与环境之间的关系为内容的某一系统的基本组织结构以及知道上 述内容设计与演化的原理”。 g a r l a n & s h a w 模型的基本思想是：软件体系结构= 构件( c o m p o n e n t ) 、连接件 ( c o n n e c t o r ) 、约束( c o n s t m i n ) l 。 模式( p a t t e r n ) 的概念最早由建筑大师c h r i s t o 曲e r a l e x a n d e r 于二十世纪七十年代提出， 应用于建筑领域，八十年代中期由w a r d c u n n m g h a m 和k e n t b e c k 将其思想引入到软件领域。 c h r i s t o p h e ra l e x a n d e r 提出，模式是表示周境( c o n t e x t ) 、动机( s y s t e mo ff o r c e s ) 、解决方 案( s o l u t i o n ) 三个方面关系的一个规则，每个模式描述了一个在某种周围环境下不断重复 发生的问题，以及该问题解决方案的核心所在。 模式的目标是把共通的问题中的不变部分和变化部分分离出来。不变的部分就构成了模 式。 根据处理问题的粒度不同，从高到低，模式分为3 个层次：架构模式( a r c h t e c t u m l p a a e m ) 、设计模式( d e s i g np a a e m ) 、实现模式( i m p l e m e n t a t i o np a r e m ) 。 0 3 2 适用于大规模n a t l 网络系统的多级架构 对于简单的小型网络，在整个网络中只需安装一个集中审计服务器便可以处理来自全网 的事件以及在网络中的任何一个位置实旃对审计系统的管理和操作，而大型及超大型复杂网 络则面对的问题会复杂得多。 复杂网络中的问题 大型复杂网络通常具有复杂的拓扑结构可能由多个子网或 c l a n 组成，包含大量的 网络设备及主机，为了提高安全性网络中的防火墙通常工作在n a t 模式。 由此，引出了集中审计系统设计时的一系列问题： 根据日志及事件源的i p 和类型来收集日志数据在n a t 下容易混淆：在n a t 环境下， 防火墙代理所有内网虚拟地址的对外访问请求，因此，审计服务器看到的地址是防火墙 的外部接口地址，不是内部网络的地址，不能区分内部设备的p 。 单级系统难于满足多级网络及业务应用的结构，并且不利于分布式部署。 单一审计服务器成为系统瓶颈：审计服务器需要接受所有代理、设备的连接请求，过滤、 分析数据，并保存至数据库，在大型网络中，一旦代理和设备的数目很大，服务器的性 能严重受至影响。 解决方案 根据以上对大型复杂网络中部署存在问题的分析，采用多级集中管理架构解决。根据网 络拓扑的实际情况划分不同的审计区域( 按照n a t 的层次或v l a n 进行划分) ，各审计域 的审计服务器负责收集和管理该审计域的各种审计数据：另外，审计域之间能根据要求实现 上f 级的管理。 解决问题的关键在于： 1 在受n a t 保护的区域( 设置为审计域) 中部署审计服务器，收集该审计域中的数 据审计服务器主动发起与上级审计域的连接并主动维持该连接以实现审计数据的上传和服 务器问的交互( 由于n a t 的原因在审计域外部的上级服务器是无法与审计域中的审计服务 器建立连接的) 。 2 为了区分n a t 环境下的来自不同设各数据，除了以i p 地址作为标识外还要通过审 计域肪进行标识。 3 通过划分审计域部署多个服务器，实现在大规模网络中的负载均衡。 实现要点以下几个方面： 集中管理：用户通过集中管理器能实现对整个审计系统进行集中管理和监控。包括修改 系统的配置，监视系统的运行状态 配置f 发：上级的审计服务器可以将配置信息( 如：审计策略) 下发给下级的审计服务 器 事件上传：下级的日志引擎可以将收集的日志数据逐级上传给上级的系统 多级管理是通过审计域间的交互来实现的。上级审计域能管理和设置下级审计域的审计 策略，如：审计策略的下发和更新等；下级审计域的审计数据能上传给上级市计域，方便部 署和集中管理。 系统默汉建立一个审计域。每个审计域设置一个审计服务器，由它管理该审计域的策略 和审计数据。 1 n a t ( n e t w o r da d d r e s st r a 】1 s l a t i o n ) 网络地址转换被广乏应用于各种类型的i n t e n l e t 接八方式卸各种类型的 网络中。原因很简单，n a t 不仅完美地解决了i p 地址不足的问题而且还能有效地避免来自网络外韶的攻 击，隐藏并保护网络内部的计算机。 图表8 多级架构的系统部署 多级架构有效的适应了客户网络及业务应用的分级逻辑，同时，多级部署分散了单个审 计服务器的负载，可以适应设备众多的大型网络也实现丁在n a t 网络中的审计，有较强 的可扩展性和可靠性。 3 3 微内核( m i c r o k e r n e l ) 及插件( a d d i n ) 设计模式 3 3 1 微内核容器模式( f r a n kb u s c h m a n n 等1 9 9 6 ) 作为高可靠性的可扩展安全乎台，集中安全审计系统设计有如下要求： 1 高可靠性：作为7 x 2 4 运行的安全审计系统可靠性是十分关键的，由于系统十分 复杂、功能众多，且可能受到运行平台的影响，实现系统的高可靠性有较大难度。 高可扩展性：不断延伸和拓展的网络应用可能导致网络设备及网络中的应用迅速增加， 要求系统能够简便的升级扩展以迅速满足新的应用和需求。 高柔韧性：面对不同用户的不同网络及应用需求，要求系统能够按用户的要求进行功能 定制。裁减系统对于用户的功能冗余，以降低资源消耗提高系统性能。 解决方案： 根据以上定义的系统设计要求，系统在设计模式采用与w i n d o w s n t 系统类似的微内核 ( m i e r o k e m e l ) 设计，整个系统的各个子系统( a g e n t ，审计服务器，系统管理器等) 都采用 这种设计模式。 m i e r o k e m e l 是一种经典的操作系统设计模式，它具有易于扩充，可靠性高的优点。 图表9 ：m i c r ok e r n e l1 n l 静态图 微内核模式包括以下几个组成部分： 微内核( m i c r o k e m e l ) ：提供核心机制，管理和控制资源，提供通讯 内部服务( i n t e m a l s e r v e r ) ：实现各种功能，提供服务，只有内核可以直接调度 外部服务( e x t e m a l s e r v e r ) ：提供外部访问接口，通过内核组织内部服务完成客户请求 适配器( a d a p t e r ) ：提供用户不同的服务访问方式( 如：s o c k e t 和p i p e 等) 。 以上各部分别对应于集中审计系统中的下面部分( 为了提高系统的扩展性，其中内部服 务和外部服务采用插件技术实现) ： 1 微内核容器：动态加载功能插件、管理系统基础资源，实现对功能插件的调度及管 理插件的生命周期。微内核框架更像是一条软总线，它是插件的容器。 2 功能插件( 安全中间件) ：按分类实现特定功能和提供特定服务( 日志收集、系统 监视及配置界面等) 。 3 逻辑插件：通过组织和调用系统服务实现一定的逻辑，完成外部调用。 4 ， 核心组件( 核心服务) ：包括通讯插件( s o c k e t 及p i p e ) 及数据访问插什f 包括 各种数据库及x m l 访问) ，为其它插件提供公共的通讯和数据访问服务。内核通过使用核心 插件来实现逻辑插件的位置透明( 插件的编写者无需考虑通讯) ，不论是来自本地还是远程 的事件都以相同的方式来调度插件的处理，并由内核将处理的结果使用相应的通讯句柄发送 至调j e f l 者。内核同时也使用对象池有效的管理了数据库连接，提高了整个系统的效率。核心 组件提供了适配器( a d a p t e r ) 的功能，提供了用户不同的访问模式。( 资源池部分在后文中 详细介绍) 设计模式的优点 图表l o ：系统的微内核容器模式 1 高可扩展性：通过添加功能插件( 安全中间件) 轻松实现系统的扩展，支持不断增 长的网络设备及网络事件仅需要在系统的不同层次添加插什就可以了，由于插件的加入并不 需要重新编译原有程序，所以插件的开发其至可以由第三方进行。 2 高柔韧性：根据用户的特定需求灵活组织系统中的功能插件，实现用户的特定功能。 3 高可复用性：由丁系统中各部分( 如：审计服务器与a g e n t ) 都采用这样相同的模 式，所以大量的功能插件都可以得到复用，特别是一些基础插件( 如：通讯插件包含管道及 s o c k e t 插件，数据库插件支持不同的数据库及x m l 文件) ，当然其它插件也是可以根据 需要在不同的地方加载的。 4 高可靠性：系统由内核和多个功能插件构成，由于内梭的实现的功能较少，编码量 相应较少易于实现较高的可靠陛。同时，可以通过运行多个内核，各个插件在不同的内核进 程中加载运行( 由内核实现进程间的功能调用，对于逻辑层及功能插件而言是透明的) ，从 而实现更有效的错误隔离，即使一个进程崩溃，也不会影响其它进程以至影响插件的工作。 对于一个进程中单个功能插件失效的情况下，为不至于导致整个进程及其中其它插件的失 效，采用了特别的保护策略( 在后文中介绍) 。 3 3 2 基于s e r v i c el o c a t o r 模式的实现内核容器 从经典的g o f 2 设计模式中，我们已经习惯一种思维编程方式：i n t e r f a c e d r i v e n d e s i g n 接 口驱动，接口驱动有很多好处，可以灵活地提供不同子类实现，增加代码稳定和健壮性等等， 但是接口一定是需要实现的，也就是如下语句迟早要执行： a i n t e r f a c ea = n e w a i n t e r f a c e l m p 0 ； a i n t e r f a c e i m p 是接口a i n t e r f a c e 的一个子类，上述a i n t e r f a c e 实现语句表明当前是在调 用被调用者a i n t e r f a c e l m p ，由丁= _ 被调用者名称写入了调用者的代码中，这产生了一个接口 实现的彼此联系，调用者和被调用者有紧密联系，导致了调用者绑定了类a i n t e r f a c e l m p ，当 随后应用发生变化或需要扩展时( 如：用其它子类来实现a ) ，此时由于调用者和被调用者之 间耦台性，必须修改调用者的代码而后重新编译，无法实现二进制级的扩展。 为了实现调用者和被调用者解祸，l o c ( i n v e r s i o no f c o n t r 0 1 ) 模式及s e r v i c el o c a t o r ( m a r t i nf o w l e r ，2 0 0 2 ) 模式由此产生了，这些模式已被各种成熟容器所应用( s e r v i c el o c a t o r 是j 2 e e 的核心模式) 。s e r v i c e l o c a t o r 模式则是调用者通过s e r v i c e l o c a t o r 来获得接口的实现 者，从而实现解耦，s e r v i c el o c a t o r 摸式背后的基本思想是：有一个对象( 即服务定位器) 知道如何获得一个应用程序所需的所有服务。系统中的s e r v i c el o c a t o r 对象是由微内核提供 的。 等由一早一，匿 矩垂垂三圄 实现解祸, c r e a t f e 图表儿：s e r v i c el o c a l o r 实现解耦( u m l 静态幽) 内核加载插件时会获取每个插件所提供的服务及所关注的事件( 通过内部编码来表示各 2 g o f 对编写“d e s i g np a t t e r n se l e m e n t so f r e u s a b l e o b j e c t o r i e n t e ds o f t w a r e ”的四位面向对象大师的简称。 书中作者提出了2 3 中可复用的面向对象模式。 插件注册的服务和事件，编码格式：插件类型号+ 插件号+ 服务号或事件号) ，这样外部就 可以利用特定服务和事件的编码通过内核来调用相应插件的方法了，同时，插件也可以使用 内核暴露的接口米激发特定事件以通知事件订阅者。 卜面回厂面i l 。，一i 。，、一 初始化插件，并辞内域句 柄体递持插件，插件可吼 通过他调用内拔服务；如 ：查托、调用茸他插傅的 服务t 激发特定事斗 图表1 2 插件加载过程 以下是调用某功能插件的示例： i e s p s e r v i c e e s p ；功能插件须实现的接口之一 使用代码查询接口的实现者，c s c 中存储代码 其中mp o m c o m 是插件初始化时容器传给插件的对象，插件通过它调用，容器提供的方法 i f ( go i m p m _ p o m c o m 一 q u e r y s e r v i c e ( e s c ，p e s p ) ! = 0 ) t h r o wc e s p e x c e p t i o n ( 2 , w i n a g c n t , 没有这个插件”) ； ； 利用查询返回的特定插件的句柄，调用插件的方法 f e s p - d i s p a t c h ( e s c ，s z b u f , l s i z e ，n u l l ，0 ，n u l l ) ； 以下事件通知的示例： g _ o l m p mp o m c o m - - f i r e e v e n t ( e s e ，s z b u f , l s i z e ) ； e s c 表示相应的事件编码，s z b u f ，i s i z e 分别表示参数缓冲区及缓冲区的长度 所有订阅了e s c 编码所表示的事件的插件都会被调用。 系统中功能插件注册服务，而逻辑插件则注册插件所关注的事件。逻辑插件在接收到事 件，后便可以通过内核米查找组织相应的功能插件来完成处理。逻辑插件接收到的事件通常 是来自g u i 的用户调用。这种请求通常来自网络，因此通讯插件接收到事件请求后，内核 通知事件的订阅者( 逻辑插件) ，逻辑插件通过内核调用相应的功能插件完成事件处理，结 果返回至内核后，内核使用接收事件时的通讯句柄通过通讯插件将处理结果发还给用户。 圈巨11 巨 返回结景j 一 ：q u er ys er v i c e ： r 1 田i , c e pr o v i d e r 笱。i n v o k es e c ，： 旷 d 图表1 3 事件的处理过程 由 丁通常功能插件在被加载后就会始终处于工作状态，所以一般功能插件都有自己的工 作线程：而逻辑插件组织的逻辑任务一般都是短任务，为了避免创建和销毁线程系统消耗， 提高响应速度，逻辑插件执行的逻辑任务都在线程池( 详见下一章) 中完成。 3 3 3 可靠性的保障 1 采用多进程( 多个内核) 运行方式 系统中的审计服务器及代理等都是由不同的功能插件组成，面这些插件可以放多个内核 加载，使不同插件运行在不同的进程中，有效的隔离了错误。 进捏2 圆 一 h 捷心2 l 至 网 【_ j 图表1 4 多个内核的运行模式 对插件3 的调用 耐摘件l ，2 的调用 1 其中有一个核心作为主核心，主核心上装有逻辑层可以处理来自g u i 的调用和来 自插件的数据，而其它核一t l , 上仅安装功能插件。应在主核心进程中运行可靠性高的插件。 2 运行时核心将启动命名管道( 通讯插件的一种) ，不同内核启动的管道名称不同， 一 一 如果调用的功能插件不在主内核进程内，主内核便会通过不同的管道调用由其它内核加载的 插件( 调用插件时所用的命管道名称由配置文件获取) 。 3 系统由越多的内核组成其数据处理的效率就会越低，因为系统调用和数据复制所消 耗的资源就会越多。 2 提高单个进程的可靠性 运行在单个进程中的任一功能插件的崩溃就会引起整个进程的崩溃。此时，后台监控进 程( 为一个w l n d o w s n ts e r v i c e 进程) 会重启崩溃的系统进程。但是在某些情况下系统的运 行环境发生了变化( 可能由平台升级，软件安装引起) 使得某些插件无法运行导致进程也无 法运行，此时只有在自动重启时不加载该插件才能成功运行。系统在实现时采用如下解决方 案： 1 在任何异常发生后转入设定的异常处理程序。 一般进