（计算机应用技术专业论文）入侵防御系统与交换机设备联动方案的设计与实现.pdf

重庆邮电大学硕士论文摘要 摘要 随着i n t e r n e t 的迅猛发展和网络社会化的到来，互联网已经面向商业 用户和普通公众开放，网络通信和业务量以滚雪球式增长，网络安全的地 位日益突出。网络安全防护形式已经从传统单纯的静态防护，过渡到静态 和动态相结合、防护和检测相结合的立体安全防护体系。 联动( i n t e r a c t i o n ) 是一种新型的网络防护策略。安全防护体系必然 是动态的，各个系统成员之间应该能够进行关联和互动，建立一种有机的 联系。联动安全防护体系成为网络安全领域中一个新的研究方向。 目前基于联动的协议与实现，主要是以防火墙为中心提出的。一些防 火墙厂商以自身的产品为中心平台，提出了安全联动的协议标准，志在使 单一的防火墙产品与其它功能产品紧密结合，共同协作。作为现有联动解 决方案的有益补充，入侵防御系统与交换机设备联动技术是网络安全领域 新兴的研究热点。目前，国内外在这方面的研究正处于起步阶段，在这一 领域中缺乏一种通用、有效的联动方案作为指导。 针对这一问题，本文首先对当前有代表性的联动体系平台和联动协议 进行了必要的分析和比较，进而引出了文中联动方案的设计目标。然后在 此基础上，结合特定的交换机操作模块的设计与实现，给出了一种基于插 件体系结构实现的统一交换机操作的联动方案，并着重介绍了其中的几个 关键性技术：通讯模块的设计、数据库访问接口的设计以及插件技术在交 换机操作模块中的应用。接着论文对所提出的联动方案进行了功能及性能 方面的测试，对试验的结果做出了分析和评估。最后分析了该方案的不足， 提出了进一步有待完善和改进的研究方向。 关键词：入侵防御，交换机，联动方案，插件技术 重庆邮电大学硕士论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e ta n dt h ec o m i n go fn e t w o r k s o c i a l i z a t i o n ，i n t e r n e th a so p e n e dt o w a r d sb u s i n e s su s e r sa n dg e n e r a lp u b l i c t ot h e s n o w b a l l i n gg r o w t h o fn e t w o r kc o m m u n i c a t i o n sa n d b u s i n e s s ， n e t w o r ks e c u r i t y p o s i t i o n i s i n c r e a s i n g l yp r o m i n e n t n e t w o r ks e c u r i t y p r o t e c t i o nh a st r a n s i t e df r o mt h et r a d i t i o n a lf o r mo fs i m p l es t a t i cp r o t e c t i o nt o t h ec o m b i n a t i o no fs t a t i ca n dd y n a m i ca n dt h ec o m b i n a t i o no fp r o t e c t i o na n d t e s t i n go ft h r e e d i m e n s i o n a ls a f e t yp r o t e c t i o ns y s t e m i n t e r a c t i o ni san e wt y p eo fn e t w o r k p r o t e c t i o ns t r a t e g y s a f e t y p r o t e c t i o ns y s t e mm u s tb ed y n a m i c ，i nw h i c ha m o n gm e m b e r so fd i f f e r e n t s y s t e m ss h o u l db ea b l et oc o n d u c ta s s o c i a t i o na n di n t e r a c t i o n ，a n de s t a b l i s h a no r g a n i cl i n k i n t e r a c t i o ns e c u r i t y p r o t e c t i o nh a sb e e nan e wf i e l do f r e s e a r c ho fn e t w o r ks e c u r i t ys y s t e m n o w a d a y s ，t h ep r o t o c o la n dr e a l i z a t i o nb a s e do ni n t e r a c t i o ni so f f e r e d m o s t l ya c c o r d i n gt of i r e w a l l f o rt h e i ro w np r o d u c t sa st h ec e n t e rp l a t f o r m ， s o m ef i r e w a l lm a n u f a c t u r e r s p u tf o r w a r dp r o t o c o ls t a n d a r d so fs e c u r i t y i n t e r a c t i o ni no r d e rt oc l o s e l yi n t e g r a t et h es i n g l ef i r e w a l lp r o d u c t sw i t ho t h e r f u n c t i o n a lp r o d u c t sa n dw o r kt o g e t h e r a st h eu s e f u l s u p p l e m e n to ft h e e x i s t i n g i n t e r a c t i o n s o l u t i o n s ，i n t r u s i o nd e f e n d i n gs y s t e m sa n ds w i t c h i n t e r a c t i o nt e c h n o l o g ya r et h ee m e r g i n gf i e l do fn e t w o r ks e c u r i t yr e s e a r c h b o t hd o m e s t i ca n di n t e r n a t i o n a lr e s e a r c h e si nt h i sa r e aa r ei nt h ei n f a n c y s t a g e ， a n dl a c ko fa no p e r a t i n gp l a t f o r mf o rc o m m o ns w i t c hi n t e r a c t i o n i nr e s p o n s et ot h i sp r o b l e m ，t h i sp a p e rf i r s t l ya n a l y z e sa n dc o m p a r e st h e c u r r e n tr e p r e s e n t a t i v eo ft h ei n t e r a c t i o n s y s t e mp l a t f o r ma n di n t e r a c t i o n p r o t o c o l i no r d e rt oi n t r o d u c et h e d e s i g no b j e c t i v e s o ft h ei n t e r a c t i o n t e c h n o l o g y f o l l o w i n gc o m b i n gs p e c i f i cs w i t c ho p e r a t i o nm o d u l ei nt h e d e s i g na n dr e a l i z a t i o n ，t h i sp a p e rp u t sf o r w a r d sau n i l y i n gs w i t c hi n t e r a c t i o n a r c h i t e c t u r eb a s e do np l u g i nt e c h n o l o g ya n dm a i n l yi n t r o d u c e ss e v e r a lk e y t e c h n o l o g i e s ：c o m m u n i c a t i o n sm o d u l ed e s i g n ，d e s i g no fi n t e r f a c eo fd a t a b a s e a c c e s s ，a p p l i c a t i o no fp l u g i nt e c h n o l o g yi ns w i t c ho p e r a t i o nm o d u l e t h e n t h i s p a p e rc a r r i e s o nt h ei n t e r a c t i o na r c h i t e c t u r ef o rt h ef u n c t i o na n d 重庆邮电大学硕士论文 p e r f o r m a n c et e s t s ，f o l l o w e db ya n a l y z i n ga n da s s e s s i n gt h et e s t sr e s u l t s f i n a l l y , t h es h o r t a g e so ft h i sp r o g r a ma r ea n a l y z e da n dt h ef u t u r er e s e a r c h d i r e c t i o n sa r em e n t i o n e d k e yw o r d s ：i n t r u s i o nd e f e n s e ，s w i t c h ，i n t e r a c t i v ea r c h i t e c t u r e ，p l u g i n t e c h n o l o g y m 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重底 邮电太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 学位论文作者签名：续辉 签字日期： 二叼年j 月3j 日 学位论文版权使用授权书 本学位论文作者完全了解 重庆鲣虫太堂有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权 重废邮电盍堂可以将学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等 复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：樊群 导师签名： 签字日期：工叼年f 月；f 日 签字日期：口夕万芦多月b 日 重庆邮电大学硕士论文 第一章绪论 1 1 课题的背景和意义 第一章绪论 在病毒和网络攻击泛滥的今天，网络安全已成为人们关注的头等问 题。病毒和网络攻击，可能针对网络系统的各个部分：以路由器为目标、 以交换机为目标，以网络为目标、以用户电脑为目标、以服务器为目标、 以应用程序为目标等等，总之，当前网络安全的形势有着日益严峻的趋势， 对安全的需求越来越高并且不再是单一的安全需求，已上升为对防病毒、 访问控制、加密、入侵检测、漏洞扫描、防火墙等更多种类安全产品的需 求。可以说，单一的安全技术和产品已经越来越不能满足用户对网络安全 的需要，安全产品问的融合、协同、集中管理是网络安全的发展方向，用 户需要一体化的安全解决方案，需要细粒度的安全控制手段。 一个畅通、安全、可持续发展的网络在面对威胁时，各部分之间应该 是整体协同防御，而非各自为政的状态。各自为政的网络因为缺乏关联、 缺乏联动，而导致无法实现连锁防御，这主要体现在网络、用户、业务只 是各自保护，通常预防只能是局部行为而非全局有效，任何异常故障可能 都需要借助人为分析和判断后才能加以控制，在这种情形下安全隔离与信 息互通很容易成为一种矛盾。整体的协同防御则表现在无需人员干预，网 络系统就能动态生成必要的防御策略来消除威胁，这个过程需要应用支撑 部分、网络关口、网络承载部分、接入控制部分相互之间能通过信息联动 来实现。其中，交换机与i d s 联动、防火墙与i d s 联动、交换机与i p s 联 动等等，这些都是网络面对威胁时整体协同防御的具体行为表现。 由于防火墙在实际应用中存在着种种的局限性，所以首先在防火墙厂 商中间提出了联动思想。即通过一种组合的方式，将不同的技术与防火墙 技术进行整合，在提高防火堵自身功能的同时，由其它技术完成防火墙所 缺乏的功能，适应网络安全整体化，立体化的要求。 随着联动技术的进一步发展，人们逐渐意识到，各种有关网络安全的 黑客和病毒都是依赖网络平台进行，以往以防火墙为核心的联动技术防范 粒度较大，不能很好保障内网安全，如果在网络平台上就能切断黑客和病 毒的传播途径，那么就能更好地提高网络整体安全性。作为网络的枢纽部 分，交换机在整个内网安全体系中起着决定性的作用，于是，针对交换机 设备的联动技术成为目前联动研究的一个重要领域。 重庆邮电大学硕士论文 第一章绪论 很多厂商生产的安全产品都支持与交换机联动的功能，主要有：中科 网威公司推出的病毒检测系统v d s ( v i r u sd e t e c ts y s t e m ) 【“、内嵌联动模 块的华为3 c o m s 3 5 0 0 【2 l 系列交换机、华为公司推出的智能网络入侵检测系 统n i p ( n e t w o r ki n t e l l i g e n tp o l i c e ) 1 3 】、成都三零盛安信息系统有限公司 推出鹰眼网络入侵检测系统【4 1 、榕基企业推出的网络隐患扫描系统l 别、北 京启明星辰信息技术有限公司推出的天阗网络入侵检测系统【6 】以及比威网 络提出的b s s n ( b i t w a ys e c u r e ds e r v i c e n e t w o r k ) 7 1 下一代互动安全网络 架构等。 然而，针对i p s 与交换机联动的产品相对匮乏，这主要是由于缺乏一 种通用的联动方案作为指导。因此，为了能更好地实现安全系统与网络安 全设备间的互动，更细粒度的保障网络安全，本文在现有理论成果的指导 下，以入侵防御系统为中心，设计并实现针对交换机设备的开放、通用的 安全联动方案，为不同类型的交换机设备提供一个开放、统一、可扩展的 操作接口 本文的选题来源于科技部科技型中小企业技术创新基金资助项目一 一n a d 网络主动防御系统( 项目合同号：0 6 c 2 6 2 2 5 1 1 0 5 2 7 ) 。作为现有联 动解决方案的有益补充，i p s 与交换机设备联动可以有效扩展交换机的机 动性和实时反应能力，同时也可增强入侵防御系统的阻断功能，这一技术 已成为网络安全领域新兴的研究热点。目前，国内外在这方面的研究正处 于起步阶段，因此若能及早开展相关研究，借机缩短与国外领先科技的差 距，是十分必要的。 交换机与入侵防御系统间的有效联动作为保护网络安全的重要手段 可以满足网络安全整体化、立体化的要求，给现有的入侵防御系统带来了 革命性的改变和有益的补充。原先i p s 无法获知具体的子网和端口信息， 容易被各种假冒技术欺骗，如a r p 欺骗、i p 地址伪造等，现有的i p s 可 以检测出黑客攻击和异常的网络行为，并同时记录下来，但根据日志往往 不能反查到一个确定的物理位置，尤其在内两中。这是由于为了组网灵活， 大多数交换机都没有使用源地址验证，因而安全事件往往不能及时、实时 的查找和定位，安全防范相当滞后。实现入侵防御系统与交换机设备之间 的互动操作，可以较好地解决这个问题。主要体现在以下几个方面： 第一，交换机设备上可具备子网信息上报功能，可将每个主机使用内 网的m a c 、i p 、i p 3 c p u d p 的端口信息，交换机物理端口信息都可发送 到入侵防御系统或由入侵防御系统到交换机获取( g e t ) ，这样入侵防御系 统可精确记录每个入网主机的位置和信息，为准确安全事件定位提供了前 2 重庆邮电大学硕士论文 第一章绪论 提。 第二，准确事件响应功能。交换机上具备有多重标识绑定功能，可将 m a c 、i p 地址、交换机端口、用户名和密码等数种标识进行绑定，防止 用户假冒上网。通过将这些信息上报到入侵防御系统的方式，一旦发现安 全事件，就可以迅速报警和定位，便于进一步的管理。 第三，真正有效的网络安全响应功能。现有的入侵防御系统可以通过 发送以太网冲撞帧和i p t c p 的数据流拦截来实现p c 上网的阻断，这样 的阻断效果是相对的。引入交换机联动技术后，入侵防御系统就可以精确 的封堵或关闭某个p c 入网的端口，有的放矢，不会影响其他的正常用户 使用网络。 综上所述，针对入侵防御系统设计并实现一个通用的可与交换机设备 进行有效联动的方案是有现实意义的，并且是能够产生一定经济效益的。 1 2 入侵防御的相关理论知识 1 2 1 入侵检测技术 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以 获得的信息进行操作，检测到对系统的闯入或闯入的企图”( 参见国标 g b t 1 8 3 3 6 ) 。按w e b s t e r 词典定义，入侵检测即发现或确定入侵行为或出 现的动作。检测入侵的方法就是发现闯入系统的入侵者或滥用系统资源的 非法用户。也可更具体的定义为发行、跟踪并记录计算机系统或计算机网 络中的非授权行为，或发现并调查系统中可能为试图入侵或病毒感染所带 来的异常活动l 引。进行入侵检测的软件与硬件的组合便是入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。 i d s 是一种网络安全系统，当有恶意用户试图通过i n t e r n e t 进入网络 甚至计算机系统时，i d s 能够检测出来，并进行报警，通知网络采取措施 进行响应。 在本质上，入侵检测系统是一种典型的“窥探设备”【们。通常，i d s 系统的架构是采取与网络并联的工作方式，如图1 1 所示1 10 1 。在这种工作 方式下，i d s 能够通过被动侦听得到通过核心交换机的所有网络流量，并 进行分析，能够发现针对受保护网段的攻击行为。 3 重庆邮电大学硕士论文第一章绪论 图1 1 入侵检测系统的架构与防御原理 入侵检测系统是当前流行的安全基础架构，是继防火墙之后的信息安 全产品的另一个热点。但到目前，入侵检测系统存在着一些严重问题，如 误漏报率高、没有主动防御能力以及缺乏准确定位和处理机制等。一般的 i d s 解决方案很难管理和维护，它需要大量的时间和精力以保持传感器的 安全策略的更新：更重要的是，基于混杂模式的被动侦听检测体系从本质 上决定了i d s 只能对网络的健康状况起监控作用，而不能很好地抵御各种 网络攻击和网络蠕虫病毒。即便具备一定的防御能力，在时效上也往往有 很大的滞后性，无法在入侵产生危害之前将其有效、可靠地阻止。 为解决这一问题需要引入一种全新的技术一一入侵防御系统( i p s ) 。 i p s 倾向于提供主动性的防护，能够深入分析各种协议报文，包括常见的 应用层协议，从中找出隐藏的攻击数据，并且通过报警、联动、阻断等手 段直接或间接地保护网络f 9 】。 1 2 2 入侵防御技术 入侵防御系统( i n t r u s i o n p r e v e n t i o ns y s t e m ，i p s ) 不但能检测入侵的发 生，而且能通过自动响应方式，实时终止入侵行为的发生和发展，保护信 息系统不受实质性攻击】。它将传统的入侵检测与访问控制的松散联系 变成了紧密集成关系，是目前网络安全技术领域中正在兴起的一项研究。 一个真正的防护设备必须起到关卡的作用，所以只能工作于串联方 式，在有害数据包通过之前，就将其丢弃，必要情况下，还可以向攻击方 发送t c pr e s e t 包或i c m p 不可抵达包，提供精确的阻断功能。i p s 系统正 是采取了这样的工作方式。如图1 2 所示【】，所有发往关键网段的数据包 或网络流量，必须通过i p s 进行内容过滤，所以攻击数据流在到达目标之 4 重庆邮电大学硕士论文第一章绪论 前，就会被i p s 识别出来，而且i p s 系统能够立即采取行动，丢弃或阻断 网络数据包，从而达到防御的目的。 图1 2 入侵防御系统的架构与防御原理 由于i p s 系统与整个网络有着更为直接的联系，因此，i p s 使用的安 全策略可在线、自动更新。 反过来看i d s 系统，为了提高系统的安全性，通常将i d s 传感器的监 控网卡配置成不绑定任何协议，这就致使i d s 系统的策略更新需要大量人 为参与。此外，i d s 难以突破百兆瓶颈，被动侦听的架构和深层数据包分 析决定了现在的i d s 无法适用于高速或交换的网络环境，数据包的捕获、 处理、分析都需要大量的计算，即使在窄带网络上，也会出现丢包、延时 太长而导致检测不准确等问题。 i p s 的设计基于一种全新的思想和体系架构，底层设计借鉴交换机和 防火墙，采用a s i c 、f p g a 或n p ( 网络处理器) 等硬件设计技术实现网络 数据流的捕获，确保它不会成为影响网络性能的瓶颈。i p s 存在的最大隐 患是有可能引发误操作，这种“主动性”误操作会阻塞合法的网络事件， 造成数据丢失，最终影响到商务操作和客户信任度。此外，入侵特征库是 i p s 防御功能的基础，这种基于规则库的方式不能从根本上防范未知病毒 和未知入侵。而且，i p s 阻断攻击的方式过于简单，缺乏与网络中底层安 全设备进行有效联动的机制，从而致使安全控制粒度较大，这些都使得i p s 在防御能力上受到很大局限。 1 2 3 主动网络防御技术 传统网络防御技术一般都属于被动消极安全防御，其原理是：以已经 发现的攻击方式，经过专家分析后给出其特征进而来构建攻击特征集，然 后在网络中寻找与之匹配的行为，从而起到发现或阻挡的作用。它的缺点 是使用被动安全防御体系的安全产品不能对未被发现的攻击方式做出反 重庆邮电大学硕士论文 第一章绪论 应。上面介绍的入侵检测系统( i d s ) 及入侵防御系统( i p s ) 均属于被动 消极防御的范畴。显然这与网络安全技术朝着主动防御发展的方向相违 背。 “主动网络防御”技术是指当网络安全威胁发生或者到达目标系统之 前，安全防范系统能够及时的检测，并且做出自动的防御，无需任何手动 干预，即可获得安全的防护。下面对主动网络防御中的关键技术进行简要 介绍： 智能化异常行为检测 提供对网络异常行为的在线实时检测和告警功能，不仅仅针对黑客程 序、网络病毒( 如尼姆达、红色代码等) ，还包括一些大量占用网络资源 的行为( b t 下载、视频点播等) 。 网络安全故障物理定位与隔离 向网络管理员提供功能强大的网络分析处理工具和手段，以协助对网 络故障实时处理，如对出现异常流量的计算机进行人工干预切断其所有 网络连接( 包括逻辑和物理连接) ；对未授权入网的计算机或经检测确认 感染病毒的计算机通过交换机对其所在物理端口进行阻断处理，将未经授 权或感染病毒的计算机与网络在物理上隔开 网络运行环境自适应性 通过系统本身对网络环境的学习，获取特定网络的流量情况以及业务 情况，以此适应不同的网络。不同的网络流量以及业务可能会有较大的差 别，如学校的网络中可能h t t p 、b t 、f t p 的流量占大部分的带宽，银行 网络中的业务比较单一。可能是自定义的协议。所以事先定义好的统一的 模型和标准并不适合各个不同的网络环境。 网络管理与网络安全防范的无缝融合 一般来说，网络管理员利用网络安全防范平台发现网络异常，利用网 络管理平台进行处理，两者没有很好的结合起来，既浪费管理员的精力， 又增加了用户部署安全系统的成本，最重要的是，不能有效的利用安全防 范平台的检测识别能力和网络管理平台对网络设备的控制能力，去主动处 理网络异常行为。 主动防御技术不依赖于规则库，所以不需要花费大量精力对规则库进 行升级和维护。此外，主动防御技术可以和网络设备进行有效的联动，发 现异常之后，可进行实时阻断，最大程度地减少异常情况带来的损失。 主动防御技术防息于未然，通过对网络环境的智能学习获取网络流量 情况以及业务情况，对未授权主机的接入进行严格控制，对非法业务流进 6 重庆邮电大学硕士论文第一章绪论 行有效拦截，给用户一个干净的网络。 1 3 论文的主要工作内容及结构 1 3 1 主要工作 本文针对入侵防御系统和交换机联动技术展开研究。主要工作包括了 以下几个方面： 1 ) 对现有联动体系平台以及联动协议进行了比较分析，剖析了它们 的设计思想以及存在的不足之处，并在此基础上明确了本文提出的联动方 案的设计目标。 2 ) 设计实现了一个实用的通信模块，并将其很好的应用到联动方案 的设计过程中。 3 ) 设计实现了一种执行效率高并且易使用、可扩展、跨平台的c c + + 数据库驱动库，简称c d b c 。该驱动库已应用到实际联动系统中，大大提 高了数据库访问的效率，进一步缩短了联动响应时间。实践证明该数据库 驱动库具备很好的实用价值。 4 ) 采用插件体系结构的设计思想，将插件技术很好的融合到具体交 换机联动模块的设计与实现中。首先，设计了一个开放、统一的交换机操 作接口，这也是整个联动方案的基础，其次，按照该接口的设计规范，完 成了针对港湾ph a m m e r 3 5 5 0 2 4 交换机和思科2 9 0 0 2 4 交换机的插件程序 的编写工作，最后，实现了一个具体的交换机操作管理模块。 5 ) 为了验证文中联动方案的可行性和稳定性，将交换机操作模块嵌 入到了实际应用系统中，对其功能和性能均进行了如实的测试和分析。 1 3 2 组织结构 本文一共分为六个主要章节，结构安排如下： 第一章，绪论部分叙述了本文的研究背景及意义，介绍了入侵防御技 术的相关理论知识，对本文的主要研究内容做了简要介绍。 第二章，联动技术分析部分首先概述了联动技术的定义、产生背景及 联动技术的发展现状，着重介绍了一些安全系统与交换机设备联动的产品 和技术。然后分析了现在较具代表性的构建较为完善的安全体系平台 o p s e c 和t o p s e c 。还分析了正在标准化的i a p 和i d x p 协议。由于现在 7 重庆邮电大学硕士论文 第一章绪论 的安全联动实施方案还比较混乱，制定的协议还不全面，不能充分地体现 安全联动的开放性和通用性。因此，在本章最后，给出了本文研究的联动 方案的设计目标。 第三章，联动方案分析部分首先对联动方案做了简要概述，描述了整 个联动过程，然后对联动方案中涉及到的关键技术，如插件体系结构、通 信模块、数据库访问接口等，做了比较详细的分析和阐述。 第四章，联动模块的设计与实现部分，首先介绍了联动方案中用到的 通信模块的设计。然后对数据库访问接口的设计与实现也做了比较详细的 论述，最后依次分析了交换机操作模块三个组成部分，即操作接口、插件 程序、宿主程序的设计与实现，力求达到通过对实际模块的理解深化对联 动方案认识的目的。 第五章，联动方案测试部分将联动方案中包括的交换机操作模块放入 实际系统一一n a d 网络主动防御系统中，对其进行了功能及性能方面的测 试，在测试结果分析的基础上，进一步明确了该联动方案的实用性和稳定 性。 第六章，全文总结部分对本文的工作进行了评测分析，总结经验不足， 并为后继的研究提出指导性思路。 8 重庆邮电大学硕士论文第二章联动技术分析 2 1 联动技术概述 第二章联动技术分析 2 1 1 联动技术的定义 目前对“联动”还没有一个统一的定义。通常联动是指一个系统的各 个成员之间建立一种机制，通过这种机制，它们之间可以自由的交换信息， 相互作用和相互影响【1 2 l 。它的理论基础是：安全事件的意义不是局部的， 将安全事件及时通告给相关的安全系统，有助于从全局范围评估安全事件 的威胁，并在适当的位置采取动作。所谓的联动一般包含两个含义： 1 ) 不同安全技术之间进行联动：对不同的安全技术的优势进行融合， 消除单一安全技术的不足和漏洞所带来的安全隐患。如入侵检测系统和防 火墙的联动，入侵防御系统和交换机的联动等。 2 1 不同安全产品之间进行联动：同类技术的不同安全产品联合进行 多重防护，同时也可以进行资源和安全事件的共享。如不同的入侵防御系 统互通安全警告和规则集。 对应的，在网络安全防护系统中，联动就是让网络系统中的元素都具 备安全解决能力，虽然各自分工不同，但元素之间的协同工作，势必能构 成团体的优势。而联动中不可忽视的核心点是让网络全民皆兵，要让交换 机、路由器、i d s 、i p s 、防火墙等拥有统一的沟通机制。 2 1 2 联动技术的产生背景 网络安全技术的发展趋势 当前的安全形势，要求一个安全系统必须打破不同安全产品间各自为 政的状况，同时却又面对“束手无错”的难题。因为在网络安全系统需要 更加丰富有效的各种技术和产品的同时，对不同安全的产品和技术管理的 复杂性、安全系统日志的有效分析也在加大。网络安全领域迫切需要整合 各个网络产品的优势，形成一个严密的网络安全系统。而安全产品之间联 动正是建立真正安全系统的前提。 分布式与模块化的要求 重庆邮电大学硕士论文第二章联动技术分析 不论对于开发还是维护，分布式都有着无与伦比的优点。分布式才是 技术发展的要求。模块化是分布式的孪生兄弟。只有分布式才能体现模块 化。同样，模块化催生了分布式技术，而模块化和分布式的必然结果就是 联动。联动是纽带，将各个模块有机的组成一个整体，形成一个步调一致、 高度均衡和协力合作的系统。 防火墙技术的推动 最初，防范网络攻击最常用的方法就是使用防火墙。利用防火墙技术， 经过合理配置，通常能够在内外网之间提供安全的网络保护屏障，降低内 部网络受攻击的风险f ”4 4 1 。但是，仅仅使用防火墙保护内部网络安全是远 远不够的。首先，防火墙不能阻止内部袭击，对于来自内部局域网的攻击， 防火墙形同虚设；其次，由于性能的限制，防火墙通常只能实现粗粒度的 过滤，无法提供实时的入侵检测和入侵防御能力。针对防火墙的局限性， 人们提出了联动的思想i l “。 市场及产品自身发展需求 任何一种安全产品要想在竞争激烈的市场中占据不败的地位，不仅应 该具备更细粒度的安全控制能力，而且也应该具备一定的功能扩展性。联 动技术可以赋予产品这种能力。在联动的基础上，既不会损失主流功能， 同时扩展了其他功能。比如，防火墙与入侵检测系统联动，可以对网络进 行动静结合的保护，对网络行为进行较细粒度的检查，并对网络内外两个 部分都进行可靠管理；防火墙与防病毒产品联动，可以在网关处查杀病毒， 将病毒发作产生的影响限制在最小的可能；防火墙与认证系统联动，可以 在制定安全策略时使用强度更大、安全性更高的认证体系。防火墙与日志 分析系统联动，可以解决防火墙对于大量日志数据的存储管理与数据分析 方面的不足。 2 1 3 联动技术发展现状 目前的联动技术主要是在各个厂商提供的开发标准接口协议的基础 上，开发相应的通讯模块，实现彼此间的联动。当前联动的主要形式是入 侵检测系统与防火墙之间的联动，同时也是现有联动形式中比较普遍的一 种，这是由于入侵检测对入侵行为的发现能力和防火墙对入侵的响应能力 很强，这两种安全产品的安全性有很大的互补性，能够组成一个更高安全 性的系统。 实现入侵检测和防火墙之间的联动基本上有两种方式，一种是通过组 1 0 重庆邮电大学硕士论文第二章联动技术分析 合的方式，将两种技术的优势进行整合，所有进出防火墙的数据流先经过 防火墙过滤，再通过入侵检测系统进行检测，判断是否属于入侵行为。另 一种是通过开放的接口来使入侵检测系统和防火墙进行联动，它们之间通 过一个统一的开放接口来调用对方，并按照一定的协议进行控制和数据通 讯。文中设计的联动方案采用的就是这一方式。 i e t f ( i n t e r n e te n g i n e e r i n g t a s kf o r c e ) 是制定计算机程序在网上相互 联系的软件协议标准的国际工作组。i d w g ( i n t r u s i o nd e t e c t i o nw o r k g r o u p ) 是i e t f 下属的一个结构，负责制定入侵检测相关的标准。i d w g 提出的建议草案包括三部分内容：入侵检测消息交换格式( i d m e f ) 、入 侵检测交换协议( i d x p ) 以及隧道配置文件( t u n n e l p r o f i l e ) 。它们虽然 还只是草案，但是随着它们越来越完善，最终走向r f c 是必然的。 联动标准的制定也很活跃。1 9 9 7 年，c h e e kp o i n t 公司提出建立o p s e c 联动联盟，通过提供开放接口标准，与其它厂商进行紧密的合作，合作范 围包括防火墙与内容、w e b 资源、入侵检测、认证等多个层次的联动。2 0 0 0 年，国内著名防火墙厂商天融信建立了t o p s e c 联盟，以天融信网络卫士 ( n g f w ) 系列防火墙产品为核心，实现安全产品之间的互通与联动。2 0 0 1 年，中科网威公司将自己的优势产品一一入侵检测提供开放接口，实现与 各类防火墙产品之间的联动。2 0 0 1 年8 月安氏中国公司推出l i n kt r u s t c y b e r w a l l 防火墙，和i s s 公司的入侵检测r e a l s e c u r e 技术与趋势科技公 司的网关病毒产品i n t e r s c a n 实现联动。2 0 0 2 年4 月，华强入侵检测系统 提出与防火墙联动的接口h q i f i v l 0 l ”】，接口的提出规范了入侵检测系统 与防火墙联动。此外，c a 公司的e t r u s t 系列安全产品】、赛门铁克系列 安全产品和方正方通防火墙【18 】也可以在不同类型安全产品之间实现联动。 正如前面提到的那样，目前联动技术并不仅限于防火墙的应用领域， i d s 、i p s 等系统与网络中的主要安全设备一一交换机间的联动也是目前联 动研究的一个重要领域。许多厂商都研发出了具备与交换机设备联动能力 的产品或技术。常见的有以下几种： 1 ) 中科网威公司推出的病毒检测系统v d s ( v i r u $ d e t e c ts y s t e m ) 支 持和c i s c o 系列的交换机通过s n m p 协议进行联动，当发现内网主机被 蠕虫感染时，可以切断感染主机同内网的其他主机的通讯，防止感染主机 在内网的大肆传播，同时可以控制因为蠕虫发作而产生的大量的网络流 量。同时为了适应用户的网络环境，产品中还提供了t e l n e t 配置网络设备 的接口，这样v d s 系统可以和网络任何支持t e l n e t 管理的网络设备进行 联动。 重庆邮电大学硕十论文 第二章联动技术分析 2 ) 华为3 c o m 在其三层交换机$ 3 5 0 0 系列上集中体现了其交换机的 安全特性，为用户实现特定的安全策略、探测与防范非法攻击以及事后分 析，提供了报文过滤、流量限速、端口隔离、地址绑定、广播风暴抑制、 安全访问、日志等全方位的安全手段，支持交换机和i d s 设备的联动。 3 ) 华为公司推出的智能网络入侵检测系统n i p ( n e t w o r ki n t e l l i g e n t p o l i c e ) 以及成都三零盛安信息系统有限公司推出鹰眼网络入侵检测系统 目前支持与主流的多种交换机进行联动，可以在检测到高风险的入侵行为 之后迅速关闭交换机端口或封堵指定的i p 地址来切断攻击源。 4 ) 榕基企业推出的网络隐患扫描系统中提供联动服务，该模块对外 提供联动接口，当启动联动服务后，防火墙、入侵检测等产品可按协议通 过本接口调用扫描仪进行扫描。 5 ) 北京启明星辰信息技术有限公司推出的天阗网络入侵检测系统可 以和港湾公司的智能安全系列交换机联动。 6 1 比威网络系列产品均可通过b s s n ( b i t w a ys e c u r e d s e r v i c e n e t w o r k ) 下一代互动安全网络架构进行安全联动。可形成联动的产品除了 比威网络安全产品，还包含路由器产品和交换机产品( a c l ) 。所有联动的 产品通过监控中心( c e n t r a ls u p e r v i s o r ) 进行集中监控，b s s n 下一代互动安 全网络架构提供比威网络标准联动接口( b s s n ，v i s a ) ，其他厂商安全产品 均可通过本接口同比威网络产品实现联动。 2 2 联动体系平台分析 目前构建的较为完善的安全体系联动体系是o p s e c 平台和t o p s e c 平台。 2 2 1o p s e c 联动平台 o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ) 1 1 9 1 是经c h e c kp o i n t 公司提议并 发起的。o p s e c 提供的集成和互操作开放平台，扩展了c h e c kp o i n ts v n ( s e c u r ev i r t u a ln e t w o r k ) 的体系结构。该平台通过一个开放的、可扩展 的框架集成和管理网络安全的各个方面，第三方厂家的应用程序可以通过 公开的a p i 、工业标准协议、i n s p e c t 和高层脚本语言而插入o p s e c 框 架，这样，就可以通过一个中心控制点，利用统一的安全策略来配置和管 理这些应用程序，从而实现统一的网络安全管理。 2 重庆邮电大学硕士论文 第二章联动技术分析 o p s e c 模型的基本构架呈模块化的层次结构，如图2 1 所示。 防病毒l 内熟lp 1 篮誊懦 o p s e ca p i sa n d 接口 c h e c kp o i n t 产品组件 u n i xn tl 交换j 路由访问安全i 其 s e r v e r s e r v e r l 机1 器j 设备i 设备1 他 配合使用的一 z 全应用程序 安全性组件核心 配合使用的 全应用程序 图2 1o p s e c 的层次结构 o p s e c 提供了开放的协议和接口，实现其他安全产品与c h e c kp o i n t 的s v n 体系中的v p n 1 f i r e w a l l 1 、f l o o d g a t e 1 和m e t a i p 的集成、联动。 主要包括：内容定向协议( c o n t e n tv e e t o r i n gp r o t o c o l ，c v p ) 、u r l 过滤 协议( u r lf i l t e r i n gp r o t o c o l ，u f p ) 、可疑行为监视协议( s u s p i c i o u s a c t i v i t y m o n i t o r i n g p r o t o c o l ，s a m p ) 、事件集成、管理和分析、认证、带负载平衡 的高可用性( h a l b ) 和双机热备份( h a h s ) 、用户到地址的映射、安 全电子商务应用。 o p s e c 是以c h e c kp o i n t 作为核心，向用户提供在网络安全方面的集 成应用。工业标志接口和协议提供详细的规范，保证了各个安全产品之间 的互操作性和认证标准。v p n 1 f i r e w a l l 1 和f l o o d g a t e 1 通过使用 i n s p e c t 语言，来支持从通信到应用层的所有信息的截取、分析和控制。 嵌入的c h e c kp o i n ti n s p e c t 虚拟机或完整的v p n 1 f i r e w a l l 1 代码集允 许其他安全产品将c h e c kp o i n t 技术嵌入到其系统或硬盒子中( a p p l i a n c e ) 。 o p s e c 的目的就是解决目前各种安全产品间的安全联动问题。 2 2 2t o p s e c 联动平台 t o p s e c ( t a l e n to p e np l a t f o r mf o rs e c u r i t y ) 2 0 1 是天融信公司提议并发 起的。t o p s e c 旨在以天融信网络卫士( n g f w ) 系列防火墙产品为核心， 以t o p s e c 协议为基础框架，构架一个以防火墙为中心，多种安全技术和 产品协同工作的安全体系。 t o p s e c 的安全体系结构如图2 2 所示： 重庆邮电大学硕士论文 第二章联动技术分析 图2 2t o p s e c 的安全体系结构 t o p s e c 网络安全体系平台主要由n g f w 防火墙、t o p s e c 安全服务 器和t o p s e c 协议集构成。n g f w 防火墙是t o p s e c 网络安全体系平台的 核心。在网络卫士防火墙的外围是各类支持t o p s e c 协议的网络安全产品 和系统，通称为t o p s e c 安全服务