一个分布式园区网络安全防御系统模型

资源类型:pdf 资源大小:504.00KB 文档分类:工业技术 上传者:高彩凤

文档信息

【作者】 诸葛涛  高仲合 

【关键词】分布式系统 入侵检测 防火墙 协同 传感器 

【出版日期】2005-04-15

【摘要】首先针对园区网络的特点提出了一种树形结构的分布式防御模型.该模型包括中央控制台、网络安全防御器、主机安全防御器3部分.然后描述了各个部件的具体的设计方案,以及整个防御系统的协同工作机制.最后分析了模型的优势和缺陷,并提出了弥补缺陷的解决措施

【刊名】曲阜师范大学学报(自然科学版)

全文阅读

随着Internet技术的发展 .园区网络获得了迅速发展 .但与此同时园区网络面临着越来越多、越来越强的入侵 .针对于园区网络的入侵技术也发生了巨大的变化 ,其发展与演化主要体现在以下几个方面 .越来越多的来自内部的攻击 .因为内部用户已经拥有系统的一般访问权 ,而且更容易知道系统的安全状况 ,系统提供了哪些服务及服务的版本 ,网络的拓扑结构等等 .内部攻击者可以更加容易入侵到系统中 .以往的入侵一般由单机完成 ,由于防范技术的发展使此类的攻击难度增大 ,因而诞生了分布式攻击 ,不仅可以在短时间内完成对目标的攻击 ,而且还可以隐藏攻击者 .另外 ,攻击对象也发生了转移 .现在不仅服务器区是整个园区网中最受黑客青睐的地方 ,网络防护系统也成了网络攻击的宠儿 .网络正遭受多种网络攻击技术的轮番轰炸 .面对当前网络攻击技术的形势与发展 ,园区网络不能采取单一网络防范技术 ,更不能依靠单点防御来完成 .为了解决这个问题 ,本文提出了一种分布式安全防御方案 .1 分布式防御系统分布式防御系统对整个网络资源进行实时监控 ,能够及时发现系统和网络入侵者 ,发现合法用户对网络的误操作 .分布式防御系统是一种分布整个网络的防御系统 .它利用防火墙技术和入侵检测技术对整个网络的安全进行监控 .通过对网络进行划分 ,在关键点和关键主机上设置安全检测模块 .这些模块收集网络和主机信息进行分析 ,然后将报警信息通报管理中心进行网络事件的关联和分析 .整个系统整合了分布式防火墙和DIDS(distributedin trusiondetectionsystem) [1] 使二者联合工作共同负责整个网络的安全 .本文提出的分布式防御系统由中央控制台 ,网络安全防御器 ,主机安全防御器 3部分组成 .主机安全防御器负责重要主机的安全 ,一般部署在各种服务器上 .网络安全防御器则根据网络的划分分布在网络的关键点上 .每一个网络安全防御器负责一个网络划分的安全 .中央控制台收集来自主机安全防御器和网络安全防御器的报警信息 ,并负责各个安全防御器的协调工作 .整个安全防御装置是由一个中心控制台 ,几个网络安全防御器和几个主机安全防御器组成的多叉树形防御结构 .其中中央控制台为树根 ,主机安全防御器为树叶 ,网络安全防御器为中间节点或树叶 .防御树中父亲节点负责全部子孙节点对应网络划分的安全 .子孙节点向父亲节点汇报网络的安全信息 ,并从父亲接点接受管理命令 .在整个安全树中树根 (中央控制台 )全面负责整个网络的安全信息 .中间节点负责对应网络的安全 ,还要负责收集子孙节点的安全信息并向父亲节点发送网络安全信息 .树叶节点负责具体网络或主机的安全 ,将安全信息发送给父亲节点和接受来自父亲节点的配置信息 .2 分布式防御系统的设计2 .1 总体结构模型是基于入侵检测技术和防火墙技术的分布式安全防御系统 ,由中央控制台 ,网络防御器和主机防御器 3部分组成 .整个防御体系呈一个树状结构(如图 1所示 ) .在整个体系中每个节点都可以对攻击以各自的方式进行响应 ,同时每个节点都向父亲节点发送报警信息和接收来自父亲节点的命令信息 .父亲节点负责以其为根的整个树的安全信息的汇总和子孙节点的协作 .中央控制台中存放着整个网络的拓扑结构和安全体系的拓扑结构 .中央控制台接收来自防御器的报警信息进行汇总 ,并决定报警信息的存储、显示、管理 .另外 ,中央控制台还负责各个防御器的协同工作 .对于防御器我们借鉴了FICoM模型[2 ] .利用防火墙和入侵检测协同防御节点安全 .图 1 分布式防御系统总体结构2 .2 主机安全防御器主机安全防御器部署在重要的主机上 ,如服务器等 ,负责重要主机的安全 .主机安全防御器在技术上采用了基于异常的入侵检测技术和基于应用的防火墙技术 .结构上主机安全防御器由传感器、分析器、管理器主机防火墙和防火墙日志分析器组成(如图 2所示 ) .主机防火墙为应用防火墙 .它根据规则过滤相应的应用协议报文 ,并进行日志记录功能 .在应用防火墙内部配置有相应的内部主机信息 (端口与服务的映射关系 ) ,可疑地址列表等 .主机对外提供的每一种服务主机防火墙都提供相应的过滤规则保证主机的安全 .传感器用于收集原始数据 .在主机安全防御器中的传感器主要收集主机及应用审计信息 .分布在各个应用程序的探针通过syslog调用把基本网络事件通知本地的syslogd进程 ,经过syslogd过滤 ,格式化后发给分析器 .图 2 主机防御器结构分析器收集来自传感器的信息通过异常入侵检测方法分析是否发生入侵 .分析器定时从日志文件中统计主机的行为模式并与模式库中的正常模式比较 ,对于异常的行为模式生成网络安全事件并向管理器告警 .图 3 管理器结构防火墙日志分析器分析主机防火墙的日志文件 ,生成可疑地址列表管理器是决策和响应部件 ,由通信模块、协同分析模块、决策和响应模块组成 (如图 3所示 ) .通信模块负责和分析器以及其他传感器的通信 .一方面接受来自分析器的报警事件和来自其他传感器的协作要求 ,另一方面负责向分析器发送配置命令和向其他传感器发送报警事件或协作要求 .协同分析模块处理来自其他防御器的协作要求和决定是否向其他防御器提出协作请求 .决策和响应模块决定报警事件的响应动作 ,包括向上级防御器的报警 ,自动配置防火墙并将安全事件保存到数据库中 .2 .3 网络安全防御器网络安全防御器分布在网络的关键节点上 .每个网络安全防御器负责一个网络区域的安全 .网络安全防御器由一个基于snort的入侵检测部件和包过滤的防火墙部件组成 (如图 4所示 ) .图 4 网络安全防御器结构Snort[3] 是一个轻量级的入侵检测系统 ,它能够截取网络数据报文 ,并具有对数据报文进行实时分析 ,报警 ,日志的能力 .Snort的报文截获代码基于libpcap库 ,拥有平台兼容性 ,能够进行协议分析 ,内容搜索 ,匹配能够用来检测各种攻击和探测 .Snort使用规则语言来描述网络报文 ,可以对新的攻击作出快速翻译 .另外 ,Snort支持日志功能 ,可实时报警并将报警信息写到日志 .在网络防御器中Snort读取网络数据进行分析然后将报警信息写到管理器中 ,并接受来自管理器的配置信息 .防火墙是基于包过滤的防火墙 ,它过滤来自外部网络的数据报文并生成防火墙日志 .防火墙日志分析器分析防火墙的日志文件 ,生成可疑地址列表 ,然后将报警信息发送到管理器 .管理器和基于主机的管理器在结构上是相同的 .它接受来自snort和防火墙日志分析器的报警信息 ,重新分析和调整报警信息 ,将调整后的报警信息保存到事件数据库并报告父亲节点 .2 .4 中央控制台中央控制台记录整个防御系统的部署结构 ,每个防御器的负责范围和网络的拓扑结构 .中央控制台收集来自各个防御器的报警信息 ,并将他们统一存入事件数据库中 .另外 ,中央控制台还负责各个防御器的协同工作 .中央控制台收到来自防御器的协作要求根据协作机制查询事件数据库并发送响应命令到防御器 .3 分布式防御系统的协作机制分布式防御系统的协作分为防御器内部的协作以及防御器之间的协作 .防御器内部的协作是入侵检测系统和防火墙的协作 .在每个防御器的内部 ,防火墙位于入侵检测模块的前方 .它首先过滤掉不规则的报文 ,极大的减少了进入不安全报文的数量 ,减轻了入侵检测部件的负荷 .但是 ,防火墙也屏蔽掉了很多有用的信息 .例如 ,一些未成功的入侵纪录等 .防御器的管理器和防火墙日志分析器是实施入侵检测和防火墙协作工作的部分 .防火墙的日志分析器通过对防火墙日志的分析生成外部可疑地址列表并发送至管理器 .管理器接受来自防火墙日志分析器和入侵检测分析器的分析结果重新调整可疑地址列表 ,并将有关信息存入事件数据库中 .另外 ,由于在模式匹配的入侵检测中往往将端口号和入侵模式串匹配在一起 ,所以一些不经过默认端口的入侵无法检测 .因此在初始化和映射关系更新时 ,主机防火墙应当将服务端口的映射关系发给入侵检测部件 ,并完成入侵检测部件端口和入侵模式串的匹配调整 .传感器之间的协作可分为联合分析 ,互纠 ,核实 ,调整和响应 .不同的协同事件的发起者和响应者均不同 ,但是都需要父亲节点的参与 .联合分析是针对无法在单点检测的攻击 .当单点发现可疑攻击序列的部分时 ,根据可疑主机地址范围将攻击序列报文发送到负责该主机地址范围 (攻击地址和被攻击地址 )的父亲节点 .在父亲节点的事件数据库中匹配整个攻击序列 ,以确定是否为攻击事件 .互纠是指对可疑攻击的辨认 .通过比较不同安全技术对同一事件的检验结果 ,来纠正错误的报警 .核实指对攻击可疑程度的确认 .通过在负责该地址范围节点的事件数据库中的通信链路上各级防御器的安全报告来决定攻击的可疑程度 .调整是指防御器受到警告信息后调整监视策略 .响应是指对已经确定的入侵由控制中心对相应的防火墙发出屏蔽命令或通知主机防御器改变文件属性并报告管理员 .实际运行中每个节点将协同要求 ,报警信息和可疑地址列表发送到父亲接点 .父亲节点根据协同的要求处理报警信息和可疑地址列表 .流程如图 5所示 .图 5 协同工作流程4 分布式园区防御系统的优点和不足分布式园区防御系统具有针对分布式网络攻击的有效办法 ,避免了单机安全系统的不足 .整个分布式园区防御系统结合了入侵检测技术和防火墙技术 ,避免了单一安全技术的不足 .系统将安全任务分到各个不同的节点上 ,每个节点根据所在位置的不同防御不同的攻击 ,从而有效的提高了整个防御系统的性能 .系统的不足在于分布点的部署 .如果网络管理员对探测点的部署不当 ,就可能造成安全的重叠防御 ,增加网络的额外负担 .另外 ,由于防火墙和入侵检测存在功能上的重复 ,二者的联合使用可能造成系统的额外负担 .可行的解决办法是简化snort规则系统 ,把所有确定性攻击规则放在防火墙规则中一个分布式园区网络安全防御系统模型@诸葛涛$曲阜师范大学计算机科学学院!276826,山东省日照市 @高仲合$曲阜师范大学计算机科学学院!276826,山东省日照市分布式系统;;入侵检测;;防火墙;;协同;;传感器首先针对园区网络的特点提出了一种树形结构的分布式防御模型.该模型包括中央控制台、网络安全防御器、主机安全防御器3部分.然后描述了各个部件的具体的设计方案,以及整个防御系统的协同工作机制.最后分析了模型的优势和缺陷,并提出了弥补缺陷的解决措施[1]SnappSR ,BrentanoJ,DiasGV ,etal.Asystemfordis tributedintrusiondetection[A].TeresaFL .ProceedingofsymposiumonsecurityandPrivacy[C].LosAlamitos,CA :IEEEComputerSocietyPress,1991. [2]张绍莲.FICoM一种防火墙和入侵检测协同工作的模型[J].计算机工程与应用,2002,17:187~189. [3]RoeschM .Snort_lightweightinstrusiondetectionfornetworks[EB/OL].http://www.snort.org. [4]祝永志,曹宝香,齐邦强.基于网络平台的电网系统安全分析系统的研究与实现[J].曲阜师范大学学报(自然版),2003,29(3):44~46.

1

问答

我要提问