一種多功能網(wǎng)絡(luò)監(jiān)控與防御平臺設(shè)計與實現(xiàn)

薛輝 鄧軍 葉柏龍 陸蘭

1湖南涉外經(jīng)濟學(xué)院 湖南 410205 2湖南科技職業(yè)學(xué)院 湖南 410004 3中南大學(xué) 湖南 410083 4湖南創(chuàng)博龍智信息科技股份有限公司 湖南 410205

0 引言

近幾年來網(wǎng)絡(luò)攻擊技術(shù)發(fā)展十分迅速，主要表現(xiàn)為發(fā)現(xiàn)安全漏洞越來越快，覆蓋面越來越廣；攻擊工具越來越先進而且自動化程度和速度提高且殺傷力逐步增強?；谀壳暗木W(wǎng)絡(luò)安全形勢，國家對信息網(wǎng)絡(luò)安全給予了高度重視，迫切需要向主動、綜合、協(xié)同和一體化方向發(fā)展。從多角度、全方位的考慮，對網(wǎng)絡(luò)進行多立體、縱深、動態(tài)防護。本文是基于國家發(fā)改委信息安全產(chǎn)品專項要求，旨在設(shè)計一種“高性能監(jiān)控一體化網(wǎng)絡(luò)安全平臺”的基礎(chǔ)上研發(fā)，滿足上述目標。

1 多功能網(wǎng)絡(luò)監(jiān)控與防御平臺設(shè)計

1.1 平臺技術(shù)體系架構(gòu)設(shè)計

網(wǎng)絡(luò)按層次可以劃分為骨干層、匯聚層、接入層等。各個層次存在不同的安全弱點，網(wǎng)絡(luò)信息安全問題在網(wǎng)絡(luò)各個層次也有著不同的表征，而且各層次間還存在相互影響。綜合性的網(wǎng)絡(luò)安全保障需要涵蓋這三個層次并在層次之間進行交互。在任何一個層次，全面的網(wǎng)絡(luò)安全保障包含兩個內(nèi)容：先需要對當前安全狀態(tài)進行感知和評估，之后，才能夠采取相應(yīng)的控制措施和防御措施?；谏鲜龇治霰疚膹墓歉蓪印R聚層、接入層三個層次分析網(wǎng)絡(luò)信息安全問題，結(jié)合安全狀態(tài)的感知評估、安全保障的控制和防御，提出一種高性能多功能安全監(jiān)控與防御平臺，為網(wǎng)絡(luò)安全提供一個高性能、多層次、多功能綜合解決方案。由此本系統(tǒng)可設(shè)計成三個子系統(tǒng)： 網(wǎng)絡(luò)可生存性監(jiān)測與控制子系統(tǒng)、網(wǎng)絡(luò)入侵檢測與防御子系統(tǒng)和終端監(jiān)控與系統(tǒng)恢復(fù)子系統(tǒng)。

系統(tǒng)技術(shù)體系架構(gòu)如圖1所示。

圖1 平臺技術(shù)體系架構(gòu)

1.2 平臺模式設(shè)計

（1）骨干層，通過可生存性監(jiān)測來了解全網(wǎng)宏觀流量狀態(tài)，感知評估全網(wǎng)安全態(tài)勢；以獲得的相關(guān)信息為依據(jù)，動態(tài)調(diào)整全網(wǎng)流量分布，進行可生存性控制，從宏觀上保障網(wǎng)絡(luò)安全。

（2）匯聚接入層，結(jié)合可生存性監(jiān)測，通過在關(guān)鍵鏈路及關(guān)鍵路由器的入侵檢測、系統(tǒng)漏洞掃描，發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞或存在的攻擊行為，從而感知評估網(wǎng)絡(luò)局部安全態(tài)勢。以此為指導(dǎo)，實施攻擊防御措施，在網(wǎng)元層保障網(wǎng)絡(luò)安全。攻擊防御是在入侵檢測的基礎(chǔ)上增加了主動響應(yīng)功能，并以串聯(lián)方式接入網(wǎng)絡(luò)，一旦入侵檢測發(fā)現(xiàn)有攻擊行為，將立即響應(yīng)，主動切斷與攻擊者的連接，確?？焖倩虼笠?guī)模的入侵行為能夠被實時中斷，不會進入網(wǎng)絡(luò)內(nèi)部，具有安全防護功能。

（3）用戶級層，結(jié)合上一層次系統(tǒng)漏洞掃描分析，通過終端監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)器或終端用戶存在的系統(tǒng)漏洞、協(xié)議漏洞或異常，對用戶終端安全狀態(tài)進行評估；以此為依據(jù)，實施應(yīng)用級回卷恢復(fù)以及網(wǎng)站安全防護措施，在終端用戶層次保障網(wǎng)絡(luò)安全。一旦攻擊逃避了接入層入侵防御措施，對終端發(fā)動攻擊，系統(tǒng)恢復(fù)可提供進一步的保障，幫助快速確定故障原因，實現(xiàn)快速修復(fù)，將損害降到最低。反過來，系統(tǒng)恢復(fù)日志也可以給防御系統(tǒng)提供參考，在受到攻擊后，深入分析入侵行為，通過關(guān)聯(lián)分析來判斷可能出現(xiàn)的下一個攻擊行為，做好預(yù)防準備。

2 平臺子系統(tǒng)實現(xiàn)

2.1 網(wǎng)絡(luò)可生存性監(jiān)測子系統(tǒng)實現(xiàn)

為了能有效地實現(xiàn)對各種網(wǎng)絡(luò)行為測量及可生存性分析需求的支持，采用如圖2所示結(jié)構(gòu)。從圖中可以看出，系統(tǒng)可分為三個層面：測量平臺、控制平臺、分析平臺。

測量平臺：系統(tǒng)在網(wǎng)絡(luò)的每個測量點中部署專門的計算機系統(tǒng)，稱為探針(probe)。其主要功能為：存放各種網(wǎng)絡(luò)行為數(shù)據(jù)采集工具，包括：流量捕獲器、端到端測量工具、路由模擬器、業(yè)務(wù)仿真工具、SNMP代理；執(zhí)行測量，進行各種數(shù)據(jù)的測量或?qū)耄粚y量結(jié)果通過加密方式發(fā)送到控制平臺，并將未順利發(fā)送的結(jié)果保存在本地探針中。

控制平臺：主要負責測量層面數(shù)據(jù)采集的調(diào)配、測量命令的發(fā)送和數(shù)據(jù)收集；在它的控制下，數(shù)據(jù)采集部分、數(shù)據(jù)分析部分以及數(shù)據(jù)可視化部分協(xié)同工作實現(xiàn)測量任務(wù)的完成；網(wǎng)絡(luò)行為監(jiān)測采集的數(shù)據(jù)量非常大，需要對數(shù)據(jù)做一定的精簡再存入數(shù)據(jù)庫以減少存儲需求。

分析平臺：主要去掉原始數(shù)據(jù)中大量的與網(wǎng)絡(luò)行為測量無關(guān)的數(shù)據(jù)，構(gòu)造出行為指標數(shù)據(jù)集。進行流量分析、路由分析、網(wǎng)絡(luò)性能分析、應(yīng)用行為分析、故障分析和綜合分析，負責各類數(shù)據(jù)的全面分析和整體分析；負責各類數(shù)據(jù)的查詢、告警和可視化，可以進行網(wǎng)絡(luò)統(tǒng)計狀況查詢，為網(wǎng)絡(luò)管理人員提供網(wǎng)絡(luò)告警。

圖2 監(jiān)測系統(tǒng)框架結(jié)構(gòu)圖

通過在探針上靈活添加測量工具和在分析引擎上利用插件方式插入分析工具即可實現(xiàn)多種網(wǎng)絡(luò)行為的靈活監(jiān)測分析，適合大規(guī)模部署；分析引擎通過多種數(shù)據(jù)的綜合分析，方便實現(xiàn)對網(wǎng)絡(luò)整體性能的綜合評估。以插件方式靈活導(dǎo)入網(wǎng)管數(shù)據(jù)和其它系統(tǒng)監(jiān)測到的數(shù)據(jù)，進一步實現(xiàn)對多種數(shù)據(jù)的全面分析。

現(xiàn)行水利工程供水價格水平較低，以2008年百家水利工程供水管理單位（以下簡稱水管單位）統(tǒng)計數(shù)據(jù)為例，供農(nóng)業(yè)用水2.6分/m3，供工業(yè)用水26分/m3，供自來水用水39.81分/m3，供水力發(fā)電用水2.1分/m3。與成本水價相比，農(nóng)業(yè)供水水價達不到成本的50%，非農(nóng)業(yè)水價僅達到成本的80%左右。

2.2 網(wǎng)絡(luò)入侵檢測與防御子系統(tǒng)實現(xiàn)

本系統(tǒng)主要針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊，以及網(wǎng)絡(luò)資源濫用，提供完善的安全防護方案。高度融合高性能、高安全性、高可靠性和易操作性等特性，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，具備深度入侵防御、精細流量控制等功能。

本系統(tǒng)的體系架構(gòu)包括三個主要組件：檢測部件、控制中心、升級站點，方便各種網(wǎng)絡(luò)環(huán)境的靈活部署和管理。系統(tǒng)體系架構(gòu)如圖3所示。

圖3 網(wǎng)絡(luò)入侵檢測與防御系統(tǒng)體系架構(gòu)圖

（1）檢測部件：以全面深入的協(xié)議分析為基礎(chǔ)，融合智能協(xié)議識別、協(xié)議異常檢測、流量異常檢測、告警相關(guān)分析，以及防火墻協(xié)作等多種技術(shù)，是本系統(tǒng)的核心部件。

（2）控制中心

提供強大的管理功能，用于監(jiān)測控制入侵檢測與防御系統(tǒng)的運行及其系統(tǒng)配置，各種日志的分析，歸并，備份和恢復(fù)，并管理入侵檢測的特征庫、防火墻安全策略(主要指訪問控制策略)等。

（3）升級站點

給用戶提供升級服務(wù)，每周定期提供攻擊特征庫的升級更新，在緊急情況下提供即時更新，使網(wǎng)絡(luò)入侵檢測與防御系統(tǒng)提供最前沿的安全保障。

2.3 終端監(jiān)控和系統(tǒng)恢復(fù)子系統(tǒng)實現(xiàn)

（1）終端監(jiān)控子系統(tǒng)

終端監(jiān)控系統(tǒng)由管理系統(tǒng)、代理兩部分組成。代理是一個短小強悍的監(jiān)控程序(集)，駐留在被監(jiān)控(或受控)終端中，伴隨被監(jiān)控主機的啟動而自動運行，按照監(jiān)控策略自動、實時地監(jiān)控主機的內(nèi)部指定資源、周邊設(shè)備(接口)和用戶的各種操作行為。管理系統(tǒng)對所管轄網(wǎng)絡(luò)區(qū)域內(nèi)的代理配置安全策略，接收來自代理的告警和日志信息，并進行相應(yīng)的管理控制和審計處理。其終端監(jiān)控的拓撲示意圖如圖4。

終端監(jiān)控系統(tǒng)對被監(jiān)控主機實施全面監(jiān)控，能夠從被監(jiān)控主機邊界到主機內(nèi)部，從被監(jiān)控主機網(wǎng)絡(luò)接口層到應(yīng)用層的各個層面對資源的使用進行有效、全面的監(jiān)控，不留監(jiān)控空白區(qū)或空白點。

終端監(jiān)控系統(tǒng)的全面監(jiān)控功能，可以劃分為三個層次，第一層次是對監(jiān)控主機內(nèi)部操作行為的監(jiān)控，可以對應(yīng)用程序的安裝運行進行有效的管理和控制，以防止利用計算機進行與本職工作無關(guān)的應(yīng)用操作，防止計算機終端被帶毒運行、非法控制等。第二層次是對被監(jiān)控主機邊界的監(jiān)控，可以對利用外設(shè)和進行信息共享或交換實施有效的管理和控制，保證計算機內(nèi)部信息不因使用外設(shè)和網(wǎng)絡(luò)而被泄露。第三層次是對出/入內(nèi)部網(wǎng)絡(luò)的監(jiān)控，防止受保護的資源通過網(wǎng)絡(luò)被非法竊取或泄露，也不致讓外部的垃圾數(shù)據(jù)、惡意程序進入計算機內(nèi)部。其全面監(jiān)控功能示意圖如圖5所示。

圖4 終端監(jiān)控系統(tǒng)拓撲示意圖

圖5 終端監(jiān)控系統(tǒng)的全面監(jiān)控功能示意圖

（2）系統(tǒng)恢復(fù)

針對服務(wù)器類終端的系統(tǒng)恢復(fù)需求利用 Windows平臺下應(yīng)用級回卷恢復(fù)容錯計算支持軟件。采用 Microsoft的visual C++ 6.0 基于Windows平臺實現(xiàn)的這一回卷恢復(fù)工具包能方便回卷恢復(fù)協(xié)議的快速實現(xiàn)，提供配置和試驗工具，方便用戶進行試驗，評估協(xié)議的性能。這個工具包由兩部分組成：基本對象組件庫和試驗工具。

回卷恢復(fù)的框架如圖6所示。系統(tǒng)分成三層，應(yīng)用層運行在回卷恢復(fù)層之上，回卷恢復(fù)層運行在系統(tǒng)層之上。應(yīng)用層調(diào)用回卷恢復(fù)層提供的輸入接口、輸出接口、消息接口接收輸入，進行輸出和消息接收及發(fā)送。同樣設(shè)計者也要在系統(tǒng)層給回卷恢復(fù)層提供輸入接口、輸出接口、消息接口。以實現(xiàn)回卷恢復(fù)層與系統(tǒng)層的捆綁結(jié)合?；鼐砘謴?fù)層通過系統(tǒng)層提供的消息接口與控制臺程序通信，從控制臺接收配置信息，把測量到的性能數(shù)據(jù)傳送給控制臺程序。

控制臺程序與分布式計算中的進程通信，配置回卷恢復(fù)協(xié)議及其參數(shù)，接收回卷恢復(fù)系統(tǒng)的性能數(shù)據(jù)和故障檢測結(jié)果。API截獲工具和回卷恢復(fù)庫注入工具主要是當目標程序的源代碼不可用時，用來對目標程序進行修改，使目標程序運行時加載回卷恢復(fù)庫，把目標程序?qū)ο到y(tǒng)API的調(diào)用重定向為對回卷恢復(fù)庫接口的調(diào)用，實現(xiàn)回卷恢復(fù)對應(yīng)用的透明。

圖6 回卷恢復(fù)系統(tǒng)層次關(guān)系圖

3 結(jié)束語

本系統(tǒng)是在響應(yīng)國家“信息安全”產(chǎn)品產(chǎn)業(yè)化專項基金的要求下，旨在研發(fā)出一種需要從多角度、全方位考慮，向主動、綜合、協(xié)同和一體化方向發(fā)展，對網(wǎng)絡(luò)進行多立體、縱深、動態(tài)防護的多功能網(wǎng)絡(luò)監(jiān)控與防御系統(tǒng)。最大限度地保護企業(yè)和組織的網(wǎng)絡(luò)安全。目前該平臺已經(jīng)通過國家發(fā)改委驗收，并成功運行在PowerSEC高性能監(jiān)控一體化網(wǎng)絡(luò)安全平臺上，實踐證明本系統(tǒng)具有極大的研究價值、開發(fā)價值和市場前景。然而，監(jiān)測和防御技術(shù)現(xiàn)在還處于不斷完善過程，基于攻擊手段還在不斷發(fā)展變化需要不斷的改進，怎樣才能更有效地保護網(wǎng)絡(luò)，這也正是我們后續(xù)的研究方向。

[1]Muk herjee B.Network intrusion detection[J].IEEE Networks.2005.

[2]趙闊.高速網(wǎng)絡(luò)入侵檢測與防御[D].吉林大學(xué).2008.

[3]曾彬,張大方,黎文偉等.面向網(wǎng)絡(luò)行為特征分析的網(wǎng)絡(luò)監(jiān)測系統(tǒng)設(shè)計及實現(xiàn)[J].計算機科學(xué).2009.

[4] Huang Kun.An Approach To Generating Testing Traffic In Evaluating Network Intrusion Detection Systems. In Proceedings of Systemics, Cybernetics and Informatics (SCI2004). July 2004.Orlando. USA.

[5]秦拯,尹毅等.基于序列比對的攻擊特征自動提取方法[J].湖南大學(xué)學(xué)報(自然科學(xué)版).2008.

[6]楊金民,張大方,黎文偉.一種可靠高效的回卷恢復(fù)實現(xiàn)方法.電子學(xué)報.2006.