CN1384639A - 分布式网络动态安全保护*** - Google Patents

Abstract

本发明的分布式网络安全保护***,网络中央管理台配置汇总决策模块和策略发布模块,网络按照树型结构分为N个子网,各子网管理台上均配置汇总决策模块和策略发布模块,子网中每个节点都安装微入侵检测模块和微防火墙模块,策略发布模块采用移动代理技术;本***的分布式微入侵检测模块可提供应用层的安全保护,分布式微防火墙模块提供内核级的网络层安全保护,不仅以网段为保护单位,而且还以单个节点机为保护对象,从而实现双重细粒度的安全保护;该***与传统的入侵检测和防火墙产品相比,具有防止外部和内部攻击、可扩展性强、防单失效点、防范协同入侵、实时安全保护及动态自免疫等优点。

Description

分布式网络动态安全保护***

技术领域

本发明属于计算机安全领域，具体涉及一种基于分布式微防火墙和微入侵检测的网络动态安全保护***。

背景技术

随着网络犯罪的递增和黑客网站的涌现，网络安全成为计算机及其应用领域至关重要的问题，因此网络安全工具层出不穷。虽然人们对网络协议不断修改，但是备受瞩目的当属网络安全工具中比较成熟和早已产品化的入侵检测和防火墙技术。这两项技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，目标是保护数据、资源和用户的声誉。

中国网络安全响应中心的技术报告指出，当前的入侵检测***面临两个主要挑战：一个是虚警率太高，美国政府利用国家科学基金会的资金资助学术界对虚警问题的研究，足见问题之严重；另一个是检测速度太慢，目前大多数入侵检测***在不牺牲检测质量的前提下尚不能处理百兆位网络满负荷时的数据量。

1999年，S.M.Bellovin在《；login：》杂志24卷第5期上发表的“DistributedFirewalls”首次提出分布式防火墙的结构，其示意图如图1所示。该结构在受保护子网的各个节点上安装防火墙进行数据包的访问控制，同时中央管理台对防火墙的安全策略进行集中管理，并由策略发布模块将安全策略发布到各个防火墙上，发布机制采用TFTP(Trivial File Transfer Protocol，简单文件传输协议)。该结构消除了传统防火墙存在的一些弱点(例如：依赖于网络的物理拓扑结构、不能防止内部攻击、效率不高、故障点多、无法有效地处理许多端到端的加密协议如IPSec)。但是在该结构中，随着受保护节点的增加，中央管理台发布策略的任务将日趋繁重，降低了***的可扩展性；另外，该结构不能防止日益严峻的协同式入侵行为，不能有效的实现动态自免疫。

发明内容

本发明针对现有入侵检测和防火墙技术的不足，提出一种分布式网络动态安全保护***。本***将分布式微入侵检测和微防火墙技术有机结合，在各个受保护的主机上安装微防火墙和微入侵检测***，通过管理台的汇总决策和策略发布机制对入侵事件进行分析、关联、预警和处理，形成双层细粒度的安全保护，从而有效的防止了来自网络外部和内部的攻击，消除了防火墙的瓶颈效应，避免了单点失效，同时能防范分布式协同入侵、有效实现***的动态自免疫和规模扩展。***采用移动代理技术，能自主性的舒缓管理台的瓶颈效应，有效地防止策略管理台的单点失效，保证了***具有良好的可扩展性。

从工作原理的角度可以将本***分为两大部分，一是安装在受保护节点上的微防火墙***和微入侵检测***；二是安装在中央管理台上的IDS汇总决策模块和防火墙策略发布模块。

本发明分布式网络动态安全保护***，网络中央管理台配置汇总决策模块和策略发布模块，网络按照树型结构分成N个子网，N≥1，各子网管理台上均配置汇总决策模块和策略发布模块，子网中每个节点都安装微入侵检测模块和微防火墙模块，

子网各节点的微防火墙模块用于接收网络数据包、丢弃非法数据包，将合法数据包传送给同一节点的微入侵检测模块；

入侵检测模块用于检测数据包，若发生常规入侵则修改微防火墙模块的安全策略，否则将安全事件传送给本子网的微汇总决策模块；

各子网的汇总决策模块根据本子网各节点发送的当前安全事件检测协同入侵，并根据其严重程度判决是否需要传给上级管理台，若不传给上级管理台，则通知策略发布模块，启动子网移动代理***，登陆到本子网各节点修改微防火墙模块的安全策略；

中央管理台汇总决策模块接收各子网汇总决策模块发来的协同入侵事件，并通知策略发布模块生成全局安全策略，策略发布模块启动全局移动代理***，把策略发送到各子网管理台的策略发布模块，从而修改所有节点微防火墙模块的安全策略。

所述的分布式网络动态安全保护***，各个子网可以进一步划分为若干级子网。

所述的分布式网络动态安全保护***，其进一步的特征在于：

(1)微防火墙模块包括包过滤模块和包过滤策略库，包过滤策略库定义当前安全策略，包过滤模块驻留于网络协议层，它根据包过滤策略库对所有流经网络协议层的数据包进行过滤，丢弃非法数据包，将合法数据包提交微入侵检测模块；

(2)微入侵检测模块包括事件采集器、常规安全事件库、常规入侵规则库、常规入侵分析器和常规入侵响应器，事件采集器实时采集包过滤模块传送的数据包，并按预定格式组合成网络安全事件存入常规安全事件库，同时发送给常规入侵分析器和汇总决策模块，常规入侵规则库存放描述常规入侵的规则，常规入侵分析器将这些规则转换为规则链表并将发送来的网络安全事件与其遍历匹配，当产生一个完全匹配时，通知常规入侵响应器，同时修改包过滤策略库；

(3)汇总决策模块包括事件接收模块、协同安全事件生成模块、抽象化模块、支持度和可信度计算模块、阈值比较模块、协同事件数据库、协同入侵分析器和协同入侵规则库，事件接收模块接收微入侵检测模块的事件采集器发来的网络安全事件，存入协同事件数据库，同时通过协同安全事件生成模块产生协同安全事件，并传给抽象化模块，该模块将协同安全事件诸字节抽象化为一个取值范围，并作为候选的新协同入侵规则Y传给支持度和可信度计算模块，后一模块遍历协同入侵规则库中每条安全规则X计算X与Y关联的支持度和可信度，并将其传给阈值比较模块，与预先定义的最小支持度阈值和最小可信度阈值分别比较，若都有大于阈值，则将Y存入协同入侵规则库中，协同入侵分析器根据协同事件数据库和协同入侵规则库判别协同入侵事件的类型并给出相应的安全策略，传给策略发布模块；

(4)子网/全局移动代理***由驻留于子网/中央管理台的移动代理客户端和驻留于各节点/子网管理台的移动代理服务器端组成，移动代理客户端包括用户界面、签名模块、代理路线记录模块和客户端代理传输协议栈，用户界面定义移动代理的数字签名算法类型并提交给签名模块，同时定义代理路线记录模块的相关内容，签名模块对移动代理进行数字签名供各节点/子网策略发布模块验证，代理路线记录模块保存移动代理将要周游的节点/子网管理台序列，并通过客户端代理传输协议栈与服务器交互；移动代理服务器端包括服务器端代理传输协议栈、代理资源控制模块、合法性检查模块和策略解释器，客户端和服务器端的代理传输协议栈提供客户端/服务器端的底层信息交互机制，代理资源控制模块为移动代理提供执行环境，合法性检查模块验证移动代理的数字签名，并把代理携带的安全策略传给策略解释器，然后将安全策略解释为策略脚本并加载到微防火墙模块的包过滤策略库中。

所述的分布式网络动态安全保护***，其更进一步的特征在于：

(1)微防火墙模块还包括策略定义用户界面和策略沙盒模块，策略定义用户界面支持用户自定义安全策略规则并将其传给策略沙盒模块，然后将用户自定义安全策略规则与包过滤策略库中的安全策略规则进行比较，若发现冲突则丢弃该用户自定义的安全策略规则，否则存入包过滤策略库中；

(2)汇总决策模块还包括规则淘汰模块和定时器，规则淘汰模块对新协同入侵规则Y定义使用频度，每当Y支持一个抽象协同入侵事件，该规则的使用频度加1，当协同入侵规则库中生成的协同入侵规则数到达最大时，该模块采用最近最少使用算法淘汰使用频度低的规则；定时器定时给规则淘汰模块发信号，以便淘汰最少使用的入侵规则。

所述的分布式网络动态安全保护***，其特征还可以在于所述协同安全事件为一组彼此相关的网络安全事件集，它们可以在时间上相关，即按发生时间排序，相邻两个事件间隔不超过规定单位时间；也可以在空间上相关，即构成此协同安全事件的网络安全事件的源网络协议地址来自同一子网。

本发明的分布式网络动态安全保护***具有以下优点及效果。1)双重的安全保护

本***包含两个相互平行的子***：分布式微入侵检测模块(DM-IDS)可以提供应用层的安全保护；分布式微防火墙模块(DM-Firewall)提供内核级网络层的安全保护，从而提供双重的安全保护。2)细粒度安全保护

本***不仅以网段为保护单位，而且还以单个节点机为保护对象，从而实现细粒度的安全保护。在各节点机上安装的微入侵检测***(M-IDS)和微防火墙***(M-Firewall)可以独立的检测和响应入侵，不仅消除了单一失效点，而且可以同时检测内部和外部攻击。3)树型可扩展架构

分层的树型管理模式使维护和管理易于扩展；移动代理自主移动的优点能够有效的节约网络带宽，从而使***效率不会随受保护节点数目的增多而下降，达到***效率的可扩展性；采用JAVA作为开发工具实现了平台无关性；4)动态自免疫

本***将入侵行为分为常规入侵和协同入侵两种。微入侵检测收集各种安全事件，如果发现常规入侵，微入侵检测立即修改本节点微防火墙的策略，阻止入侵数据包的进一步涌入(常规入侵响应)；如果发现协同入侵，汇总决策模块通知策略发布机构向所有微防火墙发布更新策略(协同入侵响应)。两种响应使***具有动态自免疫的功能；5)防御协同入侵

分布环境下的协同攻击与日俱增，传统的入侵检测技术已经不能满足应用需求。本***采用汇总决策技术对时间上和空间上分布的协同入侵行为进行汇总、关联和检测，并更新所有微防火墙的安全策略进行动态防御。

附图说明

图1：现有分布式防火墙的体系结构。

图2：基于分布式微防火墙和微入侵检测的分布式网络动态安全保护***的体系结构。

图3：本发明分布式网络动态安全保护***流程示意图。

图4：分布式微防火墙模块的结构及软件示意图。

图5：分布式微入侵检测模块的结构及软件示意图。

图6：汇总决策模块的结构及软件示意图。

图7：移动代理模块的结构及软件示意图。

具体实施方式

在具有16个节点机上的集群***构建一个基于分布式微防火墙和微入侵检测的网络动态安全***，其基本配置如表1所示。

CPU	内存	硬盘	网卡	操作***	网络
						双PIII 866	256M	30G	3C905B	Linux 6.2	100M交换机

                 表1各节点的硬件及网络配置

其中，一台作为中央管理台，其余的服务节点按照服务分成若干组，如：Web组、FTP组。具体实施如下：节点1充当中央管理台，装载汇总决策模块和策略发布模块；节点2至节点8在Web组中，节点9至节点16在FTP组中，各节点上均装载微入侵检测模块和微防火墙模块。

结合附图，对整个***的配置说明如下：1)包过滤策略库(8)

该策略库共6个字段，其示例如表2和表3。

对Web组各节点(以17.0.0.1为例)的微防火墙具有类似表2的配置，对FTP组各节点(以17.0.0.2为例)的微防火墙具有类似表3的配置。

协议号	源IP	源端口	目的IP	目的端口	措施
						TCP	10.0.0.1	＞1024	17.0.0.1	80	ACCEPT
ANY	ANY	ANY	17.0.0.1	ANY	DROP

              表2 Web组各节点的配置示例(以17.0.0.1为例)

协议号	源IP	源端口	目的IP	目的端口	措施
						TCP	10.0.0.1	＞1024	17.0.0.2	21	ACCEPT
ANY	ANY	ANY	17.0.0.2	ANY	DROP

                表3 FTP组各节点的配置示例(以17.0.0.2为例)

各字段解释如下：

协议号：分为TCP、UDP、ICMP、ANY，其中ANY指代任何协议；

源IP：数据包的源IP地址；

源端口：数据包的源端口；

目的IP：数据包的源IP地址；

目的端口：数据包的目的端口；措施：指对匹配的数据包将存取何种措施，分为ACCEPT(接收)和DROP(拒绝)两种。2)常规安全事件库(10)

该事件库共6个字段，其示例如表4。

协议号	源IP	源端口	目的IP	目的端口	时间
						TCP	10.0.0.1	16666	17.0.0.1	80	2000.01.01.17.00
TCP	10.0.0.1	16667	17.0.0.1	80	2000.01.01.17.03

表4 常规安全事件库示例

各字段的说明如下：

协议号：入侵事件的协议类型，分为TCP、UDP、ICMP；

源IP：入侵事件的源IP地址；

源端口：入侵事件的源端口；

目的IP：入侵事件的源IP地址；

目的端口：入侵事件的目的端口；

时间：入侵事件发生的时间。3)常规入侵规则库(11)

该常规规则库共5个字段，其示例如表5。

规则编号	攻击类型	攻击服务	攻击特征码	危害程度
					1	Scan	ANY	“RST-ACK”	2
2	DoS	ANY	“SYN”	0

                       表5常规入侵规则库示例各字段的说明如下：规则编号：一条规则纪录的数字编号；攻击类型：分为Dictionary Attack(字典攻击)、Scan(端口扫描)、DoS(拒绝服务攻击)三种；

攻击服务：各种众所周知的服务(如Web、FTP等)，ANY表示任意服务；

攻击特征码：表示代表一次攻击的标志性特征码；入侵危害程度：指入侵事件的危害程度，该程度可分为：最严重(0级)、较严重(1级)和次严重(2级)。4)阈值比较器(18)

MinSupp和MinConf的取值范围是大于0的整数。本实例中两个阈值设定如下：MinSupp＝10，MinConf＝10；5)协同事件数据库(19)

该数据库共7个字段，其示例如表6。

协同入侵事件编号	相关性(S/P)	入侵类型	源IP	目的IP	入侵时间	入侵危害程度
							1	S	Scan	10.0.0.1	17.0.0.1	2000.01.01.17.00	2
1	S	DoS	10.0.0.1	17.0.0.2	2000.01.01.17.03	0

                           表6协同事件数据库的配置示例

各字段解释如下：

协同入侵事件编号：指一组协同入侵事件的编号；

相关性：分为空间相关(S)和时间相关(T)；

入侵类型：分为Dictionary Attack(字典攻击)、Scan(端口扫描)、DoS(拒绝服务攻击)三种；

源IP：指入侵行为的源IP地址；

目的IP：指被攻击的IP地址；

入侵时间：指入侵事件的发生时间；

入侵危害程度：指入侵事件的危害程度，该程度可分为：最严重(0级)、较严重(1级)和次严重(2级)。6)协同入侵规则库(21)

该数据库共6个字段，其示例如表7。

相关性(S/P)	入侵类型	空间相关度	时间相关度	入侵危害程度	响应策略
						S	Scan	＞0.8	空值	2	断开
S	DoS	＞0.5	空值	0	限流

                         表7协同入侵规则库的配置示例

各字段解释如下：

相关性：分为空间相关(S)和时间相关(T)；

入侵类型：分为Dictionary Attack(字典攻击)、Scan(端口扫描)、DoS(拒绝服务攻击)三种；

空间相关度：当“相关性”字段为S时，此处为构成一次空间上分布的入侵行为的相关度范围；

时间相关度：当“相关性”字段为T时，此处为时间上分布的入侵行为的相关度；

入侵危害程度：指入侵事件的危害程度，该程度可分为：最严重(0级)、较严重(1级)和次严重(2级)；

响应策略：针对某一协同入侵行为的全局响应策略。7)代理路线纪录(26)

该记录库共2个字段，保存代理的周游路线，该路线纪录以链表的形式保存在代理客户端的内存中，其初始值如表8所示。

组别	周游节点序列
		Web	2，3，4，5，6，7，8
FTP	9，10，11，12，13，14，15，16

              表8代理路线纪录示例该纪录表明移动代理将周游Web组的2到8节点和FTP组的9到16节点。

Claims (6)

1、一种分布式网络动态安全保护***，网络中央管理台配置汇总决策模块和策略发布模块，网络按照树型结构分成N个子网，N≥1，各子网管理台上均配置汇总决策模块和策略发布模块，子网中每个节点都安装微入侵检测模块和微防火墙模块，

子网各节点的微防火墙模块用于接收网络数据包、丢弃非法数据包，将合法数据包传送给同一节点的微入侵检测模块；

入侵检测模块用于检测数据包，若发生常规入侵则修改微防火墙模块的安全策略，否则将安全事件传送给本子网的微汇总决策模块；

各子网的汇总决策模块根据本子网各节点发送的当前安全事件检测协同入侵，并根据其严重程度判决是否需要传给上级管理台，若不传给上级管理台，则通知策略发布模块，启动子网移动代理***，登陆到本子网各节点修改微防火墙模块的安全策略；

中央管理台汇总决策模块接收各子网汇总决策模块发来的协同入侵事件，并通知策略发布模块生成全局安全策略，策略发布模块启动全局移动代理***，把策略发送到各子网管理台的策略发布模块，从而修改所有节点微防火墙模块的安全策略。

2、如权利要求1所述的分布式网络动态安全保护***，其特征在于各个子网可以进一步划分为若干次级子网。

3、如权利要求1或2所述的分布式网络动态安全保护***，其特征在于：

(1)微防火墙模块包括包过滤模块和包过滤策略库，包过滤策略库定义当前安全策略，包过滤模块驻留于网络协议层，它根据包过滤策略库对所有流经网络协议层的数据包进行过滤，丢弃非法数据包，将合法数据包提交微入侵检测模块；

(2)微入侵检测模块包括事件采集器、常规安全事件库、常规入侵规则库、常规入侵分析器和常规入侵响应器，事件采集器实时采集包过滤模块传送的数据包，并按预定格式组合成网络安全事件存入常规安全事件库，同时发送给常规入侵分析器和汇总决策模块，常规入侵规则库存放描述常规入侵的规则，常规入侵分析器将这些规则转换为规则链表并将发送来的网络安全事件与其遍历匹配，当产生一个完全匹配时，通知常规入侵响应器，同时修改包过滤策略库；

(3)汇总决策模块包括事件接收模块、协同安全事件生成模块、抽象化模块、支持度和可信度计算模块、阈值比较模块、协同事件数据库、协同入侵分析器和协同入侵规则库，事件接收模块接收微入侵检测模块的事件采集器发来的网络安全事件，存入协同事件数据库，同时通过协同安全事件生成模块产生协同安全事件，并传给抽象化模块，该模块将协同安全事件诸字节抽象化为一个取值范围，并作为候选的新协同入侵规则Y传给支持度和可信度计算模块，后一模块遍历协同入侵规则库中每条安全规则X计算X与Y关联的支持度和可信度，并将其传给阈值比较模块，与预先定义的最小支持度阈值和最小可信度阈值分别比较，若都有大于阈值，则将Y存入协同入侵规则库中，协同入侵分析器根据协同事件数据库和协同入侵规则库判别协同入侵事件的类型并给出相应的安全策略，传给策略发布模块；

(4)子网/全局移动代理***由驻留于子网/中央管理台的移动代理客户端和驻留于各节点/子网管理台的移动代理服务器端组成，移动代理客户端包括用户界面、签名模块、代理路线记录模块和客户端代理传输协议栈，用户界面定义移动代理的数字签名算法类型并提交给签名模块，同时定义代理路线记录模块的相关内容，签名模块对移动代理进行数字签名供各节点/子网策略发布模块验证，代理路线记录模块保存移动代理将要周游的节点/子网管理台序列，并通过客户端代理传输协议栈与服务器交互；移动代理服务器端包括服务器端代理传输协议栈、代理资源控制模块、合法性检查模块和策略解释器，客户端和服务器端的代理传输协议栈提供客户端/服务器端的底层信息交互机制，代理资源控制模块为移动代理提供执行环境，合法性检查模块验证移动代理的数字签名，并把代理携带的安全策略传给策略解释器，然后将安全策略解释为策略脚本并加载到微防火墙模块的包过滤策略库中。

4、如权利要求3所述的分布式网络动态安全保护***，其特征在于：

(1)微防火墙模块还包括策略定义用户界面和策略沙盒模块，策略定义用户界面支持用户自定义安全策略规则并将其传给策略沙盒模块，然后将用户自定义安全策略规则与包过滤策略库中的安全策略规则进行比较，若发现冲突则丢弃该用户自定义的安全策略规则，否则存入包过滤策略库中；

(2)汇总决策模块还包括规则淘汰模块和定时器，规则淘汰模块对新协同入侵规则Y定义使用频度，每当Y支持一个抽象协同入侵事件，该规则的使用频度加1，当协同入侵规则库中生成的协同入侵规则数到达最大时，该模块采用最近最少使用算法淘汰使用频度低的规则；定时器定时给规则淘汰模块发信号，以便淘汰最少使用的入侵规则。

5、如权利要求3所述的分布式网络动态安全保护***，其特征在于所述协同安全事件为一组彼此相关的网络安全事件集，它们可以在时间上相关，即按发生时间排序，相邻两个事件间隔不超过规定单位时间；也可以在空间上相关，即构成此协同安全事件的网络安全事件的源网络协议地址来自同一子网。

6、如权利要求4所述的分布式网络动态安全保护***，其特征在于所述协同安全事件为一组彼此相关的网络安全事件集，它们可以在时间上相关，即按发生时间排序，相邻两个事件间隔不超过规定单位时间；也可以在空间上相关，即构成此协同安全事件的网络安全事件的源网络协议地址来自同一子网。

Images