（模式识别与智能系统专业论文）安全组件联动研究.pdf

摘蜚 摘要 由于传统的网络安全组件在检测与蚋应方耐缺少协 乍，自动化程度低甚至 需要人：配置，而入侵者却可能在计算速度等方面大傲文章，所以对网络入侵 逝自动。窝应已经成为关缝系统黪护中鲍首要闯麟，也就是说，我们要求蓉绫在 无人参与的隋况下，具肖协同检测和自幼响应的能力。为了实现上述功能，我 们追切鬻要一静支持霹络安全缀徉联动豹基础设麓。 本文介绍了入侵检测和隔离协议( i d i p ) 基础设施，i d i p 使樗检测和响应组 件可以镶容易的集成，同时它支待对入僚静协同检测和岛动响应。i d i p 组织为 两个基本协议层：i d i p 应用层和i d i p 消息层，在介绍了i d i p 威用层之后，本 文主要探讨了一粹i d i p 消息层的设计方案。 在i d i p 消息层的设诗方裹中，搜恩可扩展块交换协议( b e e p ) 实现i i ) i p 消 息层的通信模型。b e e p 是一种用来简化和改善网络应用协议设计的模块化p 2 p 协议蕹絮，在稳疲p r o f i l e 兹蛰麓下，b e e p 在安全缓 串之麓交换数据时，霹疆 提供相互认证、完整性、机密性等功能。 在i d i p 滔意层静熊决方寨孛，使鲻入侵检测漓怠交换格式( i d m e f ) 实现 i d i p 消息层的消息模型。i d m e f 为检测缎件、响应组件、管理组件共享的重要 信息定义了数据格式。 关键词 入缦捡i l | l 与骚离秘议、霹扩展块交换蛰议、轮廓文转 入侵检测消息交换格式 a b s t r a c t a u t o m a t e d r e s p o n s et oi n t r u s i o n sh a sb e c o m eam a j o ri s s u ei nd e f e n d i n g c r il i c a ls js t e m sb e c a u s et h et r a d i t i o n a ln e t w o r ks e c u r i t yc o m p o n e n t sr u n s h o r to fc o o p e r a t i o na n da u t o m a t i o n t h es y s t e mi sr e q u e s t e dt oh a v et h e c a p a b i l i t y t o c o o p e r a t i v e l y r e a c tw i t h o u th u m a n i n t e r v e n t i o n a n i n f r a s t r u c t u r et h a ts u p p o r t sc o l l a h o r a t i o nb e t w e e ns e c u r i t yc o m p o n e n t s i sc r i t i c a l 】yn e e d e d t b is p a p e rd e s c r i b e sa ni n t r u s i o nd e t e c t i o na n di s o l a t i o np r o t o c o l ( i d i p ) i n f r a s t r u c t u r ew h i c ha l l o w s e a s yi n t e g r a t i o no fd e t e c t i o na n d r e s p o n s ec o m p o n e n t s i d i p i sa n a r c h i t e c t u r e s u p p o r t i n ga u t o m a t e d r e s p o n s et oi n t r u s i o n sa n di so r g a n i z e di n t ot w op r i m a r y p r o t o c o ll a y e r s ： t h ei d i pa p p l i c a t i o nl a y e ra n dt h ei d i pm e s s a g el a y e r a f t e rd e p i c t i n g i d i pa p p i c a t i o nl a y e r ，t h i sp a p e rp r i m a r i l yd i s c u s sas o l u t i o nt 。i d i p m e s s a g el a y e r + i nt h es o l u t i o nt oi d i pm e s s a g e l a y e r ，b l o c k se x t e n s i b l eg x c h a n g e p r o t o c o l ( b e e p ) i su s e dt o i m p l e m e n tt h ec o m m u n i c a t i o nc 【 o d e lo fi d i p m e s s a g el a y e r b e e pi sam o d u l a rp 2 pp r o t o c o lf r a m e w o r kd e s i g n e d t o s i m p li f ya n di m p r o v et h ed e s i g no fn e t w o r ka p p li c a t i o np r o t o c o l s w h e n e x c h a n g i n g d a t ab e t w e e n s e c u r i t y c o m p o n e n t s ， i t s u p p o r t s “u t u a l a u t h e n t i c a t i o n ，i n t e g r i t y ，a n dc o n f i d e n t i a l i t yw i t ht h eh e l po f p r o f i1 e s i nt h es o l u t i o nt oi d i pm e s s a g e l a y e r ，i n t r u s i o nd e t e c t i o nm e s s a g e e x c h a n g ef o r m a t ( i d m e f ) i su s e dt oi m p l e m e n tt h em e s s a g em o d e lo fi d i p m e s s a g el a y e r i d m e fd e f i n e sd a t af o r m a t f o r s h a r i n gi n f o r m a t i o no f i n t e r e s tt oi n t r u s i o nd e t e c t i o na n d r e s p o n s ec o m p o n e n t s ，a n dt ot h e m a n a g e m e n tc o m p o n e n tw h i c hm a yn e e dt o i n t e r a c tw i t ht h e m k e yw o r d s ： i d i p ，b e e p ，p r o f i e i d m e f 颦一章撼避 第一黎绪论 1 1 行业背景 暖褒咫豹发震，垒球纯筑趋势，馒道爨菠邋翡售感瓷源热擎或为骥实，然 而由于互联网的开放性、多样性和计算机系绞及网络设备存在的软硬件潺溺， 使缮入嬲褒享受互鼗鬻撵袋瀚较大方溪懿麓时，不褥不承受淤络安全鹤题蕊鬻 柬蚋系到姒浚。i n t e r n e t 绶大豹优势在于它的嚣数与共攀憔，毽然安全簿蹬 看，这叉避i n t e r n e t 畿丈的缺点：过分自由静两络用户和网络在用绘i n t e r n e t 蘩柬严重的安全跨毖。缀多镦懑豹搂惑甚至怒潼家秘密很蜜爨成为网络黑容麓 至蒯谍窃取的目标，潲此网络安全技术已经成为国家战略防卫力量舱蹩要缀戒 熬势，受裂了簪鼓麝懿毫瘦蓑稷。探索霹络安全瑟技术，镄豫蓬象绩惑安全， 已经怒我们不可回避的重要课题之一。 l 。2 搔零鹜爨 妇于基息炭全尤冀是列络安全闷题已经弓| 起了 鼓器各謦黝蓬凄鬟援，磐糖 瓣络安全筏零鞠产晶 蠹鲡雨焉潜笋，给纷在人们静关注下离馓，然帮，一次次 貔掰络入浸攀传表鹗，传统躺瓣络安全按零没有出爨懿完成烛访懿蕊禽。究葜 原因，除了入橙检测舔绕、防火墙和路由器自身的缺陷井，传统网络安全系统 靛体系缮鼹鼹箕不敖缓好魅谯王传鹣主要骧激。 1 l2 1 传统网络安垒系统体燕结构两种形式； 设备秘功独立工终熬系统，魏下整： 两北1 t 。业人学坝1 学位1 仑立第一帚绪论 工作原理： 黑客攻击。 i d s 检测到入侵。 网络管理员接到入侵警报，手工重新配置防火墙。 防火墙阻断攻击路径。 局部整合的网络安全系统，如下图 工作原理： 黑客攻击。 i d s 检测到入侵。 i d s 将检测结果告知管理系统，管理系统自动配置防火墙。 防火墙阻断入侵路径。 1 2 2 传统网络安全系统体系结构的缺陷 本地检测本地啊应： 不能识别真正的攻击来源。 不能在整个网络的层次对攻击者做出有效的响应。 1 1 型：。! ：羔兰坐兰竺堕兰 列安全环境的变化缺少适应性 鹑一鼍绪论 户需要经常性变更系统管理的安全策略 户 旦出现新的攻击模式，就要有新的捡测机制和响应技术。 对攻击者的响应缺少协作： 户 处于互联网络环境f 不同区域、不同类型的入侵检测系统所检测出 来的入侵得不到关联处理。 不能在网络层产生并发送协作的、统的、有效的响应。 没有通用的语言用来描述和指定远程安全系统的响应动作。 1 3 业界动态 从2 0 世纪9 0 年代到现在，网络安全系统的研发在智能化和分布式两个方 向取得了长足进展。目前，s r i c s l 、普渡大学、加州大学戴维斯分校、洛斯阿 拉莫斯目家实验室、哥伦比亚大学、新墨西哥大学等在这两个方向的研究分别 取得了莺要进展，代表了网络安全系统研究领域的较高水平。 1 9 9 4 年，美国普渡大学的j a is u n d a r ，b a a s u b r am a n i y a n 等人提出在入 侵检测中使用自治代理的体系结构a a f l 9 ( a u t o n o m o u sa g e n t sf o ri n t r u s i o n d e t e c ti o r ) 和a a f i d 2 。a g e n t 可以广泛的搜集整个网络环境内的各种信息，包 括主机同志、网络数据包等。a g e n t 甚至可以是一个网络管理系统中的m a n a g e r ， 能够搜集各个网络设备的信息并对其加以综合处理。通过设计新的a g e n t ，还 i 竺! ! 型! 叁兰塑! ：兰垡丝兰 可以对各种新的数据源进行分析 a g e n t 代码生成工具。 第一书绪论 具有很好的扩展性。a a f i d 2 更迸一步提供了 美国c o l u m b i a 大学设计的一种基于智能a g e n t 和m e t a l e a r n i n g 的分布式 榆测系统模型，采用一些人1 二智能技术如：神经网络、知识挖掘，使a g e n t 具 有知识建模和知识推断能力，可以实现a g e n t 之问的协作功能。 d a s ，是日本i p a ( i n f o r m s t l o n t e c b n o l o g yp r o m o t i o na g e n c y ) 设刮的基 于移动a g e n t 的多主机检测系统。该系统通过移动a g e n t 在各主机之间跟踪检 测可疑事件，分析入侵者的行踪。 1 9 9 6 年，b o e i n g 公司提出了d i p 协议，为网络安全组件的联动提供了基 础设施，并在此基础之上联合n a il a b 、u c d a v i s ，结合主动网络技术，共同发 展了集扫描、检测、跟踪、响应、修复功能为一体的主动网络安全体系构架 a n i d r ，从而将安全功能分布到了所有的网络设备上，很好的将主动网络和分 甸式网络融合在起，体现了网络安全系统研发的新方向。 1 4 我们的工作 i n t r u s i o nd e t e c t i o na n di s o l a t i o np r o t o c o l u d i p ) 的出现，为网络安 全的发展指出了个新的方向。以i d i p 为安全组件联动基础设施，以入侵检测 系统、防火墙、路由器、交换机等为d i p 安全组件，构造协作的、自动响应的 网络安全系统，是当前网络安全研究的一个重要课题。 i d i p 在体系结构上分为两个层次，应用层和消息层( 底板) 。本文将以 b e e p i d x p 为核心构造i d i p 底板通信模型，以i d m e f 为核心构造i d i p 底板消 息模型，探讨i d i p 消息层的实现方法。从而促进i d i p 在安全组件联动领域的 实用化。 第二章 d i p 觞弁 第二章i d i p 篱夯 在豁辫关键祭缱嚣寸，对入浸麴捺溺检测鞠逡秘稿应已经袋为蓠要遮鞭。瓣 戴遗秘需袋一释支持铸耐裣溺移蠢韵响应系统开发的基础设施。零黎介缁入 受 捡涮与瓣离谂议( i p 撰黎，概述安全缀件联秘蘩镶设施瓣i d ! p 瓣决方案。 2 。1 i d i p 藤想 i d i p 终议是在d a r p a 纂金支掩下，出美匿b o e i n g 公司开发静支黪维俘瓣协 作捡测与自动响应的网络安全基础设漩。以i d i p 为嬲络安全组件联幼基黜设 藏，嚣发一鳃支势i d i p 黪霹翳安全筑搏，铁瓣穆逡一糖藜裂黪筢够瓷鞭健绞瓣 终寒全系统本地捻测本她稠寝，对环境变佬簸少邋瘦性、缀 孛溜缺少协 譬祷袋 点静耨翟嗣缭安全系凌。i d i p 是协调入侵遥踩霸麓薅静应瘸鼷镑议，i d i p 系绕 毂缀缀残i d i p 枣区，如蓉：1 掰示。每争i d i p 小区裙是一令管撰城，小运懿 入侵稔测和响应功能幽一个稀：为d i s c o v e r yc o o r d i n a t o r 的躐件管理。小医避 一步龌织成i d i p 邻竣，边赛控割设器楚多个i d i p 邻域翡威爨。 型2 ，l f d i p ，j 、嚣 i d i p 的强标是共事入澄追踪却豳墙躲必餮信息。图2 2 说骥了i d i p 实现入 爱蛹应懿爨璎： 当攻击穿遵竣1 0 ：? 缀护豹网络辩，玫遗路径主黪每个i d i p 节点都负 责审诗畿馥嵇数誉擐流量。 囊巢个稔测缝俘缝铡巍浚攻击辩，它就翔邻趱鼗装攻击掇述。 这些邻麟迸一步汪蕾攻击路径散教攻击描述。 蚺一。带i d i p 简舟 图2 2 i d i p 入侵响应 首先，根掘攻击类挺、攻击确信度、榴对予攻击类黧和缰静弱点静玻击严熏 性、其他 d i p 节点已缝采取的响应寿礤本地策略限制t 铡如，上午8 点到下午4 点从不禁止h t t p ) ，每个i d i p 节点都骚就该攻击如何响应做出本地决策( 例如， 系搏连接，安装过滤缀则，禁止用户账户) 。然蓐。将本地节点已经采皴熬玫蠢 响应附加到攻击描述中。最后，将攻击描述散发给邻居i d i p 节点。收到带有攻 壹疆述湾患豹节点首先瓣凝它们叠己燕否在攻击整径上( 逮懿蹩，它们是否发 现了攻击描述中描述的连接) ，然后再继续传遂报告。这样不仅使得沿藩攻击路 径黥每个i d i p 节点都能够采取合适的喻应，辩置i d i p 还髓够傈证将攻击追溯 到i d i p 保护的系统边缘。 此， ，每个i d i p 节点还向d i s c o v e r yc o o r d i n a t o r 发送一份攻击撤告的拷 贝( 运用本地响应) 。d i s c o v e r yc o o r d i n a t o r 融合这臻报告以荻褥一份更好更 全面的安全形势图，并且向个别节点发送命令，取消不必要的响应或者增加必 要嘲应。d i s c o v e r yc o o r d i n a t o r 嚣要与域瓣弼络管理设备蛰调定谴，域豹鼹 络管理设备为d i s c o v e r yc o o r d i n a t o r 提供网络全局描扑，使得d i s c o v e r c o o r d i n a t o r 能够正确选择网络豹最筑节点班隘断有害连接。 2 2 i d i p 应用层消息 j 引p 被组织成两个萋本协议层：i d i p 应丽缮稻i d i p 清怠层。应用层协议 蔓要通过三神消息实现入侵的追踪和围堵。这三种消息是：t r a c e 、r e p o r t 、 d r e c t iv e 。 笫帝i d i p 简介 当i d i p 检测组件检测到需要对其做出响应的事件或事件序列时，将发送一 个i 川，t r a c e 请求消息。t r a c e 请求消息包括个事件描述，事件描述包括一 个入侵者所用链接的描述，接收到t r a c e 请求消息的各个i d i p 节点利用它来判 断攻击是否经过了本节点。在路径的每个跳步上，由于网络地址转换、防火墙 代理或者用户通过主机，所以t r a c e 请求消息的描述可能需要改变。通过在 l f a c c 消息末尾附加一+ 条转换纪录，i d i p 协议可以对支持攻击描述的转换。这 样就允许对攻击的追踪穿过主机、防火墙和路由器，一直到达某个非i d i p 组件。 在t r a c e 消息中，检测组件不但指定事件追踪，而且还指定事件是否需要 阻断。所有的接收节点都必须执行t r a c e 消息指定的追踪功能，但是并不要求 每个接收节点都必须执行t r a c e 消息指定的阻断规则。接收节点要么使用建议 的阻断，要么根据本地策略，采取某些其他非指定的行动。阻断可能持续有限 的时问，或者直到系统管理员撤销这些阻断。当使用定时阻断规则时，i d i p 软 件监视阻断以决定何时将它撤销。i d i p 组件决策的绝大多数响应都可以被撤 销，它们被视为暂时的响应以便为系统管理员评估损害和恢复系统争取时i b j 。 在当前的实施中，节点对t r a c e 消息的典型响应是阻断网络流量一段时间( 例 如，几分钟) ，以为d i s c o v e r yc o o r d i n a t o r 给出最优响应争取时间。 i d i pr e p o r t 消息仅仅是每个接收到t r a c e 消息的组件，向d i s c o v e r y c o o r d j n a t o r 发送的份t r a c e 消息的拷贝。这使得d i s c o v e r yc o o r d i n a t o r 既能发现攻击路径，又能根据任务约束给出一个最优的全局响应。为了防止 i d i p 网络被t r a c e 消息和r e p o r t 消息淹没，检测器中重复的检测事件将被累 加，并作为单个总结报告发送。 一旦d i s c o v e r yc o o r d i n a t o r 决策了某个全局最优响应，它就向那些需要 改变响应的节点发送d if e c ri v e 消息。有两种类型的d i s c o v e r yc o o r d i h a t e r d if e e t i r e 消息：u n d o 消息要求节点撤销先前采取的i d i p 阻断行为( 例如，打 丌一个被防火墙阻断的服务) ：d o 消息要求节点采取附加行动( 例如，延长一 个阻断规则的时删) 。 l ig c o v e f yc e o r d i n a t o f 是i d i p 系统中唯一的弱点，这使得它成为拒绝服 务攻击的p i 标。如果d is c o 0 1 、? c o o r d i n a t o r 不能给出一个最优响应。那么i d i p p 玎j e t 业人学倾i 。学位论殳 第一章i d i p 简介 节点可能对重复攻击采取越来越严厉的响应，并降低对d i s c o v e r yc o o r d i n a t o r 的信任。 2 3 i d i p 软件体系结构 i d i p 软件体系结构的两个基本目标是：容易与各种安全组件集成：在把通 用组件修改成专用组件时富有弹性。i d i p 软件组件由i d i p 应用程序和i d i p 底 板组成，i d i p 应用程序管理由i d i p 底板发送或提交的消息内容。当前国外已 经开发的i d i p 应用程序包括通用a g e n t 和各种各样的d i s c o v e r y c o o r d i n a t o r 。工作时，小区中的某个i d i p 节点执行d i s c o v e r yc o o r d i n a t o r 应用程序，同时所有的i d p 节点都执行i d i p 通用a g e n t 应用程序。 2 3 1 i d i p 通用a g e n t 体系结构 i d i p 通用a g e n t 应用程序为构造专用组件的检测和响应引擎提供了框架。如图 2 3 所示，通用a g e n t 提供了i d i p 应用程序协议、本地检测1 1 应机制接口、 和i d i p 审计数掘处理功能，图中高亮度显示的是专用组件程序。 】i ) | ( i e l l cr h 、o c f l l 、l c s e ：l g ci “、c c s l l l 坚 ( o i i l i c c i i o n c ；【l 1 1 【 蛆u 、i c i n l l ) o l l c n l - 1 ) c c l n cf u n c l i 。n 、 s c r 、i c ci ) l o , ：k m p d l p 【】c t “l i o v i i n t c r n c 1 d 1 p 1 u d i tj d l i r a 一 ) l l m i d 图2 3 i d i p 通用a g e n t 体系结构 i d i p 检测接口：检测接口程序为本地检测系统和i d i pa g e n t 的基于套接 字的接口提供了一个简单桥接。检测组件用i d i p 标准格式( 本文所用的是 i d m e f 格式，也可以是c i s l 格式) 把入侵警报写入本地文件，检测接口程 序读取警报并通过套接字将其发送给通用a g e n t 。通过该接口，开发者不必 安装运行t d i p 软件就能够开发检测组件，从而简化了本地检测组件和i d i p 软件之削的集成。 i d i p 审计：审计程序监视来往于本地节点的链接，并以i d i p 审计数据格 式记录流量。审计程序把链接数据存储于共享内存区，数据可以被通用 两北i 。业人，| 字q l l j ! i 学位论义 鹕二章i d i p 简介 a g e n t 读耿。当链接结束时，链接记录被写入一个审计文件。 检测功能：通用a g e n t 支持从检测组件接收检测事件。当本地检测组件检 测到异常时，它就通过本地检测接口程序向i d i p 报告浚攻击。对于这些本 地检测到的攻击，i d i pa g e n t 将创建i d i pt r a c e 消息并发送给它的邻居。 i d i pt r a c e 消息包括一个异常描述，一个检测组件对该入侵的确信度的值， 一个浚入侵造成潜在服务损失的严重性的值，和一个被请求的响应。确信 度值由a g e n t 从检测组件的配置列表获得。严重性值是从“f 弋价模型( c o s t m o d e l ) ”产生，“代价模型”提供了服务系统由于遭受攻击而损失服务的代 价。当严重性和确信度的某种联合超过了可配置的门限值时，i d i pa g e n t 就会创建并发送i d i pt r a c e 消息。i d i pa g e n t 还有一种累加机制，将相同 检测事件的重复报告累加为一个总结报告。第一个达到发送门限值的检测 事件被i d i pa g e n t 封装成t r a c e 消息发送，接下来的重复检测事件被i d i p a g e n t 累加，当累加到时间的或者事件数目的门限值时，i d i pa g e n t 用t r a c e 消息报告累加事件。这有助于防止连续攻击淹没i d i p 系统。 对于响应：通用a g e n t 运行i d i p 应用层协议，执行本地响应动作。a g e n t 从邻居接收i d i pt r a c e 消息，从d i s c o v e r yc o o r d i n a t o r 接收d i r e c t i v e 消息。 t r a c e 消息处理：对于t r a c e 消息，通用a g e n t 使用i d i p 审计数据来 判断它自己是否在攻击路径上。如果是，a g e n t 执行决策逻辑来给出一 个合适的响应。a g e n t 使用代价模型( c o s tm o d e l ) 来判断执行t r a c e 消 息所要求动作的代价。如果响应动作所付出的代价小于或者等于忍受攻 击所付出的代价那么就执行t r a c e 消息建议的响应。尽管t r a c e 消息 为本地节点指定了期望的阻断动作，但是如果本地策略能够决策个更 好的响应，本地节点就可以执行不同的动作。大多数t r a c e 发起的响应 在当前实现上是短期的( 般是分钟级别) ，目的是为d is c o v e r y c o o r d i n a t o r 提供必需的时问以给出一个更好的全局响应。然而随着攻 函的持续，这些t f a c e 发起的响应可以逐渐升级而提供更长时间的响应 动作。 ijc i ：l l 】、j 、： 、皇j ：学位论殳 辩一带i d i p 简介 d h - e c t i v e 消息处理：。旦决策了最优的系统级响应，d i s c o v e r y c 。r c i ir l a t o r 就向那些需要附加阻断动作的节点发送d o 消息，向那些 不再需要初始响应的节点发送u n d o 消息= d is c o v e r yc o o r d i n a t o r d o 消息包括“b 】o c k ”和“a l l o w ”规则说明，这些规则可以被用于链接或 者f ! j 户之类的目标。在单个消息中“b l o c k ”和“a l l o w ”规则的结合使 得有如“阻断除了管理服务以外的所有网络流量”这样的响应说明成为 可能。 2 3 2 d i s c o v e r yc o o r d i n a t o r 体系结构 i d i f 节点发送或者处理t r s c e 消息的同时，以i d i pr e p o r t 消息的形式向 d i s c o v e r 3c o o r d i n a t o r 发送攻击描述和本节点响应的副本，这使得d i s c o v e r y c o o r d i n a t o f 能够确定攻击路径和沿着攻击路径上每个组件已经采取的响应。 d i s c o x e r yc o o r d i n a t o r 也能够获得其他的系统级信息，例如，拓扑和组件弱 点。因此，d i s c o v e r yc o o r d i n a t o r 根据这些信息可以决策出最优的系统级响 应。 d i s c o v e yc o o r d i n a t o r 有一个非常灵活的体系结构，使新组件很容易集 成。如图2 4 所示。 图2 4 d i s c o v e r yc o o r d i n a t o ra p p li c a t i o n 总揽 为了维持一致的系统行为，d i s c o v e r yc o o r d i n a t o r 核心服务包括了所有 1 ) is c o v e r y c o o r d i n a t o r 应用程序共享的功能。 数据管理 形势分析 两儿h l ，人；= ) 、l 学f 五论殳鹅一争】d i p 衙介 网络接入管理 响应策略管理 尽管该体系结构支持多q 向应引擎，但是当前国外实现的系统均使用单响应引擎， 该响应引擎根据代价模型搜索最优的系统响应。引擎( u c d a v i s 已经丌发 出引擎原型) 利用系统拓扑来判断一个特定攻击可能被阻断的所有位置，然后 进一步判断在哪个位置使用哪个阻断规则会使系统任务付出的全部代价最小。 为了有助于形势分析，可以使用多个融合引擎。i d i p 底板和d is c o v e r y c o o r d i n a t o r 应用程序接口允许融合引擎从系统接收所有的攻击报告。这些融 合引擎也可能产生攻击报告陔报告对其他d is c o v e r yc o o r d i n a t o r 处理过程 将是可见的。 2 3 3 i d i p 底板 i d i p 底板在所有的i d i p 节点执行，在i d i p 应用程序之间提供可靠的安全 的通信。目前国外出现了基于u d p 的i d i p 消息层，它除了为i d i p 应用程序提 供可靠的通信功能以外，还可阻辅助其他应用程序提供邻域管理等功能。 考虑到开发进度，并充分利用国外现有的大规模入侵检测及网络安全标准化 技术成果，我们提出了以b e e p i d x p 为核心构造i d i p 底板通信模型，以i d m e f 为核心构造i d i p 底板消息模型的i d i p 底板( 消息层) 解决方案。从而以i d i p 底板为基础，促进i d i p 在安全组件联动领域的实用化。 ! ：! 1 ! ! ：! 兰塑i 兰竺堡兰 塑二二量! 里! 堕堡望! ：! ! 竺 第三章i d i p 底板通信模型 3 1i d i p 底板通信模型功能需求 i d i p 底板通信模型负责向应用层提交安全相关信息，同时接收来自于应用 层的信息转发送给其他安全组件。 t d t p 底板通信模型需要提供以下服务： i d m e f 消息的可靠传输 消息的机密性与完整性 身份认证 良好可扩展性 3 2i d i p 底板通信模型体系结构 基于i d i p 底板通信模型的以上需求，考虑到开发进度要求。并充分利用国 外现有的大规模入侵检测及网络安全标准化技术成果，我们提出了以 b e e p i d x p 为核心构造i d i p 底板通信模型的设计方案。体系结构如图3 1 所示； i d i p a p p l i c a t i o n i d i p b a e k p l a n e i d i p m e s s a g el a y e r i d x pp r o f i l e r e l i a b l ed e l i v e r y t l sp r o f i l e a u t h e n t i c a t i o n s a s lp r o f i l e i n t e g r i t y t u n n e lp r o f i l e p r i v a c y b l o c k se x t e n s i b l ee x c h a n g ep r o t o c o l t r a n n f e rc o n t r o jp r o t o c o l i n t e r n e tp r o t o c o l 图3 1 i d i p 底板通信模型体系结构 b e e p ( b l o c k se x t e n s i b l ee x c h a n g ep r o t o c 0 1 ) b e e p ( 定义于r f c 3 0 8 0 ) 是m a r s h a l ltr o s e 博士设计的一个用于简化并改 善删络应用协议设计的模块化p 2 p 协议框架。它提供了一种机制，能够把网络 两北t 业人学坝i j 学位论殳第二章i d i p 底扳通f 卉模型 应用协议的设计问题分割成一组公共的可重用模块，术语名称p r o f i l e ，每个 d r o f i l e 致力了二解决一个特定的需求问题，可以说b e e p 机制就是一组用于应用 协议设计的构件块的集合。 i d x pp r o f i l e t l sp r o f i l e s a s lp r o f i l e 它们是b e e p 机制中的一套已经可用的组件，每个b e e pp r o f i l e 都致力于 解决一个特定的需求问题，其中：i d x pp r o f i l e 解决消息( 可以是二进制消息， 非结构化文本消息，i d m 盯消息) 的可靠传输问题，t l sp r o f i l e 解决消息传输 中的加密与完整性问题，s a s 。p r o f i l e 解决通信双方的认证问题。由于每个b e e p p r o f i l e 都可以独立工作，因此b e e p 机制的引入同时增加了i d i p 底板通信模 型的可扩展性。 3 3b e e p 内核 b e e p 是一种面向链接的异步操作的通用应用协议框架，b e e p 内核是一种帧 机制，它允许消息在端点之间并发的独立的交换。发送的消息可以是任意的 m i m e 内容，在i d i p 底板通信中，我们最常用的是i d m e f 消息格式。 所有的消息交换都发生在信道环境下，信道是对某种应用( 如传输安全、 用户认证、数据交换等) 的绑定。每个信道都有个关联的“p r o f i l e ”，由它定 义消息交换的语义和语法。b e e p 操作中关键的是信道管理，除了定义b e e p 信 道管理p r o f i l e ，我们还定义：i d x p 消息交换p r o f i l e ，t l s 传输安全p r o f i l e ， s a s l 认证p r o f il e s 。 b e e p 会话是到底层某种传输服务的一种映射。r f c3 0 8 1 描述了怎样将b e e p 映射到底层t c p 传输服务。会话建立后，每个b e e p 端节点报告它所支持的 p r o f i l e s ：接下来，信道创建期间，客户端为信道提供一个或多个推荐的 p r o f i l e ，如果服务器创建该信道，它就从这些p r o f i l e 中选择一个并在应答中 返回改p r o f i l e ，信道创建成功。否则，它将提示所有p r o f i l e 不可接受，并 拒绝创建该信道。信道的使用分两种类型： i n i t i a lt u n i n g ：b e e p 会话建立后，这种信道被p f o t i l e 用来执行初始化操作 ( 例如，协商传输安金服务) ：尽管很多交换可能都需要初始化，但是这种信道 般都保持着惰性。无论何时b e e p 只能创建一个i n i t i a lt u n i n g 信道。 州，1 1 ：q k 人- 学倾l 学位论土 第二章i d i p 底扳通信模型 c o n t i n u o u s ：这种信道被支持数据交换的p r o f i l e 用来交换数据，一般这种信 道创建于i n f li a lt u n i n g 信道转入惰性之后，相对于i n i t i a lt u n i n g 信道， b e e p 允许同时创建多个c o n t i n u o u s 信道交换数据。b e e p 允许三种交换类型： m s 6 1 r p y ：客户端发送“m s g ”消息请求服务器执行某种任务，服务器执行陔任 务并用“r p y ”消息应答( 叫做肯定应答) 。 m s g e r r ：客户端发送“m s g ”消息请求服务器执行某种任务，服务器没有执行 任何任务并用“e r r ”消息应答( 叫做否定应答) 。 m s g a n s ：客户端发送“m s g ”消息请求服务器执行某种任务，服务器在执行任 务的过程中，用零个或多个“a n s ”消息应答，并且，一旦完成任务，就向客户 端发送一个“n u l ”消息用来指明应答的结束。 3 3 1 消息和帧 b e e p 消息根据m 姬规则进行构造，因此，每个消息可能用 “e n t i t y h e a d e r s ”开始。如果没有提供或者仅提供一些“e n t i t y - h e a d e r s ”， 那么缺省的“c o n t e n t t y p e ”是“a p p i c a t i o n o c t e t s t r e a m ”。通常，消息封 装于在单个帧发送，有时也需要把消息分段并封装于多个帧发送。b e e p 帧由帧 头、负载、帧尾组成。针头和帧尾均使用可打印a s c i i 字符描述，并以个回 车换行对c rl f 结束。在帧头和帧尾之间是负载，负载由零个或多个字节组成。 3 3 1 1 帧语法 帧a b n f 为： f r a m e = d a t a m a p p in g d a t a= h e a d e rp a y l o a dt r a il e t h e a d e r = m s g r p y e r r a n s n u l m s g = “m s 6 ”s pc o m m o rc rl f r p y = r p y s pc o m m o n c rl f er l r= “e r r s pc o m m o nc rl f n u l= “n u l ”s pc o m n l o n c rl f i t 1 s= 。a n s ”s p c o m m o ns pa n s n oc r l f c o m m o n = c h a n n ejs p m s g n os pm o r es ps e q n os ps i z e 锖二章i d i p 底板i | 丑衍模型 ( j2 j4 7 4 8 3 6 4 7 o 2 1 4 7 4 8 3 6 4 7 m or c = “ ” 。术” i n s r i o= o 214 7 4 8 3 6 4 7 s e q n o = 0 4 2 9 4 9 6 7 2 9 5 s jz e= 0 2 1 4 7 4 8 3 6 4 7 p a y l o a d = * o c t e l 、 t r 。l j le r = ”e n d ”c rl f m a p p i n g = ：e a c ht r a n s p o r tm a p p i n gm a yd e f i f i ea d d i t i o n a lf r a m e 帧头 帧头山一个3 字符关键字( “m s g ”，“r p y ”，“e r r ”，“a n s ”，“n u l ”) 以及后 面零个或多个参数组成，各部分之间用单个空格分隔。帧头由回车换行对c rl f 结束。信道号( “c h a n n e l ”) 必须是非负整数，取值范围0 2 1 4 7 4 8 3 6 4 7 。消息 号( “m s g n o ”) 必须是非负整数，耿值范围0 2 1 4 7 4 8 3 6 4 7 ，并且正在发送消息 的消息号不能与同一信道上任何未收到应答的“m s g ”消息号相同。继续符号 ( “m o g e ”) 指定本帧是否为该消息的最后一帧，取值为“ ”表示本帧不是该 消息的最后一帧，取值为“”表示本帧是该消息的最后一帧。序号( “s e q n o ”) 必须是非负整数，取值范围0 4 2 9 4 9 6 7 2 9 5 ，为相关信道指定负载中第一个字 节的序号。负载大小( “s i z e ”) 必须是非负整数，取值范围0 2 1 4 7 4 8 3 6 4 7 ， 用来指定负载字节数( 不包括帧头和帧尾) ，注意负载可以为空。应答号 ( “a n s n o ”) 必须是非负整数，取值范围0 4 2 9 4 9 6 7 2 9 5 ，同一消息的所有应答 号取值必须各不相同。 帧负载 负载由零个或多个字节组成，每个负载都有一个关联的序号“s e q n 0 ”。负 载编号州，第一个负载编号为最低，接下来的负载根据负载大小顺序编号。信 道创建后，第个负载编号是0 。尽管序号空间范围0 4 2 9 4 9 6 7 2 9 5 ( 2 * * 3 2 1 ) 很大，但毕竟是有限的。所以任何处理序号的算法都执行模2 * * 3 2 操作。帧接 收时，根据帧序号与负载大4 , d n , n ，以4 2 9 4 9 6 7 2 9 6 ( 2 * * 3 2 ) 为模，计算出下 m o i g m # q j i ；r 业人学坝i ? 学位沦史 射藏帝i d i p 底扳通信模型 一个将被谈牧晌楣对”j ：第一个负载的预期蔽露号。因_ l 醴：，如粜接收翁犊序号不 是该信道的预期值，那么这波明b e e p 端节点之间没有同步，此时b e e p 会话刁i 产! i ： f - 7 何响应并将中止，此时建议向瞄志中写入一条诊断纪录。 峻尾 帧尾由“e n d ”以及后面的c rl f 对组成。 3 。3 。l 。2 姣瀑义 消息的语义是信邋专有的，因此，信道绑定的p r o f i l e 必须定义： 信遥创建麓闽交换鹩裙始纯瀵怠。 可能在信道负载中交换的消息。 这些潲愚的语义。 因为消息的语义与具体b e e pp r o f i l e 密切相关