1、 第35卷 第4期 电 子 科 技 大 学 学 报 Vol.35 No.4 2006年8月 Journal of University of Electronic Science and Technology of China Aug. 2006 宏观网络安全预警与应急响应系统傅 翀,王 娟,秦志光,钱伟中 (电子科技大学计算机科学与工程学院 成都 610054) 【摘要】随着互联网络的发展,为了提高宏观网络对各种安全事件的及时检测能力、应急反应能力以及总体控制能力,该文提出了一种宏观网络安全预警与应急响应系统,有效地解决了基于局部网络的入侵检测系统已不能适应宏观网络安全需求的问题,为建立宏观
2、网络的信息安全保障体系提供了有力的支撑。 关 键 词 宏观网络; 安全预警; 应急响应; 预警代理; 预警中心 中图分类号 TP393.08 文献标识码 A Macro Network Security Warning and Emergency Response System FU Chong,WANG Juan,QIN Zhi-guang,QIAN Wei-zhong (School of Computer Science and Engineering, Univ. of Electron. Sci. security warning; emergency response; warni
3、ng agent; warning center 由于互联网的重要性日渐增加,越来越多的国家开始重视网络安全保障综合能力的建设,宏观网络预警与应急响应平台的研究和开发就是其中的一个重要组成部分。 1 国内外对宏观网络预警与应急响应的研究 1.1 宏观网络中入侵检测系统的研究与实现 1.1.1 基于协同模型的分布式入侵检测的研究 单一的、缺乏协作的入侵检测技术已经不能满足现有的安全需求,各种技术之间需要有充分的协作机制。所谓协作主要包括事件检测、分析和响应能力的协同,以及安全主体所掌握安全相关信息的共享等方面。基于协同模型的分布式入侵检测目前主要研究两个问题1,一是信息表达的格式和信息交换的安全
4、协议;二是协作的模型。 1.1.2 入侵检测中数据挖掘技术的使用 传统的模式匹配方法和概率统计方法在选择系统特征时具有一定的局限性,而基于数据挖掘的入侵检测技术对从网络和主机系统中采集到的数据、安全日志和审计信息进行分析和过滤,从“正常”的数据中发现“正常”的用户和程序的使用模式,并利用这些模式检测网络上的入侵行为,从而提高系统对用户异常行为的识别能力和对未知模式攻击的检测能力2。 1.1.3 数据融合技术研究 研究数据融合模型,对来自多个入侵检测中心的数据进行分析处理与汇总,从不同子网所发生的入侵判断区域网络可能发生的入侵事件。数据融合系统可以分析多个入侵检测系统采集的数据,从中发现单个入侵
5、检测系统无法确定的攻击,进一步核实入侵检测系统发现的攻击,并为决策支持系统提供入侵报警信收稿日期:2006 06 10 基金项目:国家信息安全242基金资助项目(2005A09) 作者简介:傅 翀(1976 ),男,博士生,讲师,主要从事网络信息安全方面的研究. 第4期 傅 翀 等: 宏观网络安全预警与应急响应系统 703 息,提高报警的准确性。目前常使用的技术有协同多因素的群分析技术、可适应性的神经网络技术和基于规则的专家系统的支持技术。 1.1.4 基于入侵检测的宏观网络预警模型研究 预警模型评测攻击的威胁程度、类型、范围和起源,同时预测将来的行动。预警模型的核心是威胁评测系统。目前的研究
6、包括对入侵威胁的级别给出定量的指示,建立威胁数据库的方法与技术,量化来自不同角色的风险因子等。 1.2 针对宏观网络中特定安全事件的监测和处理研究 目前研究最多的是针对蠕虫病毒爆发的监测和控制研究,主要集中于蠕虫的传播模型和检测3,实现方式有两种,一是通过报文捕获和协议分析进行检测;二是通过对某一个或某几个网络参数的数据统计判断病毒是否在传播或者爆发。主要的研究包括发现未知蠕虫,对发现的蠕虫代码进行收集、统计,产生事件和报告,并建立防治系统的层次模型,对新出现的蠕虫提取其特征码并更新检测模块等。近来还有文献提出蠕虫主动防治技术4。另外,DDoS攻击也成为近年来的重点研究对象,研究主要集中在两个
7、方面5:基于受害者主机的检测和基于攻击路径的检测和反制。 1.3 宏观网络预警体系结构的研究 目前常见的体系结构有: (1) 集中处理式结构,如早期的DIDS、ISM、NADIR等系统。 (2) 层次式结构,如AAFID、HIDE。 (3) 协作式结构,如CARDS、Indra。协作式结构中完全去掉了中心节点,各个协作节点之间相互平等地交换信息,共同工作。 (4) 移动代理(Mobile Agent)结构6,如MAIDS。 1.4 针对网络属性/状态的网络安全状态分析 此类研究试图从宏观网络的某些属性/状态的变化来判断是否有安全威胁事件发生。目前研究较多的是针对网络流量判断网络的安全状态7。但
8、是,大规模IP网络中的流量行为往往复杂多变,因而通过研究网络流量行为理解网络行为相对困难。目前流量行为分析主要停留在微观时间尺度领域,而基于通过对宏观流量行为的运行规律和本质的研究来检测安全事件则是个新问题。有学者进行网络流量周期性分析研究,建立常态的流量模型用于异常流量行为的判断。针对IP源/目的地址、服务端口的检测也是常用的技术。 1.5 基于网络拓扑的网络安全事件宏观预警与响应分析 通过对拓扑结构的监测、信息搜集是实现宏观网络预警与应急响应的手段,研究工作主要集中在三个方面: (1) 网络的拓扑发现; (2) 结合其他监测信息的预警分析; (3) 安全事件的可视化。常用的技术有采用基于密
9、度的聚类算法分析安全事件在网络拓扑上的分布状况,以及采用基于k -中心点方法寻找关键路由器等。 1.6 大规模网络的网络建模、模拟研究 PC子网防火墙预警代理预警中路由器预警代理预警代理PC子网防火墙PC子网防火墙目前,利用网络模拟技术建立大规模网络模拟平台是一个重要的研究方向,常用的技术是模拟大规模网络某些方面(而不是全部)的属性,如流量、IP地址信息、拓扑、吞吐量等,既降低了模拟的复杂性,又满足了模拟平台使用者的需求。 除了上述研究内容以外,大流量网络数据获取与实时处理、专用采集及负载分流、网络态势挖掘与综合分析、僵尸网络等网络攻击的发现与反制和漏洞挖掘技术等,均是目前的热点研究领域。 心
10、图1 宏观网络预警-应急系统网络部署图 2 宏观网络异常行为预警与响应系统模型概述 本文的研究构建了一个可扩展的分布式系统。 电 子 科 技 大 学 学 报 第35卷 704 2.1 模型架构 宏观网络异常行为预警与响应系统的模型架构如图1所示。它负责监控每个子网的预警代理和子网中的防火墙联动,当蠕虫病毒、DDoS等安全威胁事件出现时,预警代理及时检测,并将信息上报预警中心,预警中心把响应策略发布给预警代理,预警代理将其翻译后发送给防火墙执行指定的操作。本文针对不同的防火墙产品,为预警代理提供相应的策略翻译接口模块,保证系统的通用性;同时,还开发了网络物理隔离设备,与预警代理部署在一起,由预警
11、代理控制。 2.2 宏观网络异常的监测算法 本文设计的宏观网络异常行为预警与响应系统实现了分布式入侵检测功能,从大规模网络或系统的日志文件中提取安全信息作为预警信息的来源;另外,本文还提出了一种大规模网络异常的监测算法,系统首先读取训练数据库,针对不同的模型计算相应的训练参数作为检测标准,由于训练数据是在检测前收集,因此标准参数和训练数据收集同步计算。 系统检测宏观网络实时数据流的异常情况,结合训练数据的标准,确定整个宏观网络是否发生了异常。由于网络事件复杂多变,对于异常检测,采用相似度的方法进行异常检测。系统从源地址、目的地址、源端口、目的端口、协议分布、包尺寸分布等方面进行相似度分析7。
12、本文以基于流量的蠕虫检测为例说明可疑点分析和跟踪技术,以相似度P(00时才用上式计算。 通过可疑点分析和跟踪,就能确知发生异常的端口。另外,流量趋势分析模块利用类似方法对目的端口、协议报文分布、子网流出量、子网流量和报文长度分布进行相似度计算,以确定宏观网络的状态,然后采用回归分析的方式实现流量趋势预测。 在流量异常分析、可疑点跟踪分析和流量趋势分析的基础上,系统将确定产生异常的源网段,以及遭受异常的目的网段,根据异常类型和范围确定危害程度,将评估结果发送给应急响应子系统,并利用显示模块将结果提交给用户。 2.3 宏观网络的安全事件响应策略的实现 利用预警代理上传的信息,预警中心可以制定响应策
13、略,除了利用前述的流量、端口和IP地址3个参数第4期 傅 翀 等: 宏观网络安全预警与应急响应系统 705 以外,RTT、延迟、突发业务量的频率、拥塞程度、动态瓶颈、站点的可达性、吞吐量、带宽利用率、丢包率、服务器和网络设备的响应时间等参数也被运用于宏观网络异常行为预警与响应系统的策略分析与生成之中,关键在于如何选取适当的参数,使之既能反映宏观网络的安全状态,又能在响应策略下发给预警代理后仍可保持与防火墙等网络安全设备联动。 2.4 不同网段预警代理信息的关联分析技术 在宏观网络中,多数安全事件都会跨越和影响众多网段,所以在进行信息挖掘时,必须将多个网段预警代理的信息做关联分析,以便实现攻击源
14、查找、最小代价网元隔离和攻击行为预测等目的。 2.5 实验结果 本文的研究开发了一个实验系统。该系统由3个预警代理和1个控制中心组成,分别部署在编号为14的不同网段中。预警代理利用gcc3.2.0开发,运行平台为Redhat Linux9.0;预警中心利用Delphi7.0开发,运行平台为Windows2003。实验中,预警代理能正确检测到受控网络中的所有网元的信息,IP包捕获能力可以达到1 000个IP包/s以上。当在子网1内利用SmartBit6000对子网3内的受害机进行流量攻击和在子网2内利用自行开发的DDoS攻击模拟软件攻击子网3内的受害机时,子网1到子网3的预警代理均能实时检测到攻
15、击事件,并上报子网4内的预警中心。预警中心验证攻击信息后生成相应的安全策略下发到各个预警代理,其中子网1和2的预警代理启动物理隔离器阻断攻击机的网络连接,子网3的代理则将攻击数据流重定向到其他的交换机端口上,事件检测及响应的时间达到ms级。 3 总 结 基于已有的研究成果,本文设计开发了宏观网络预警及应急响应系统,着重从系统平台架构、网元信息搜集、异常事件即时检测、应急响应策略生成和系统运行指标提高等方面进行研究。今后将针对异常事件检测算法优化、宏观响应策略设计及攻击重定向做进一步的研究。 参 考 文 献 1 Gong Jian, Lu Sheng. Intrusion detection i
16、n large-scale networkJ.Journal of Southeast University (Natural Science Edition), 2002, 32(3): 325-330. 2 Reddy Y B, Guha R. Intrusion detection using data mining techniquesC/ IASTED International Conference on Artificial Intelligence and Applications, Innsbruck, 2004. 3 文伟平, 卿斯汉. 网络蠕虫研究与进展J. 软件学报,
17、2004, 15(8): 1 208-1 219. 4 Madhusudan B, Lockwood J. Design of a system for real-time worm detectionC/ 12th Annual IEEE Symposium on High Performance Interconnects, Stanford CN, 2004. 5 Koutepas G, Stamatelopoulos F, Maglaris B. Distributed management architecture for cooperative detection and reac
18、tion to DDoS attacksJ. Journal of Network and Systems Management, 2004, 12(1): 73-94. 6 Foo S Y, Arradondo M. Mobile agents for computer intrusion detectionC/ Thirty-Sixth Southeastern Symposium, Atlanta, 2004. 7 Han J, Kamber M. Data mining, concepts and techniquesM. San Diego: Morgan Kaufmann, 2000. 编 辑 熊思亮
