摘 要: 入侵檢測" title="入侵檢測">入侵檢測防御(IDP)系統是一種新興的代表未來發展方向的維護網絡安全的重要工具。首先提出一種由IDP系統構建的網絡安全體系結構,進而重點討論如何采用網絡處理器" title="網絡處理器">網絡處理器(NP)實現輕量級IDP系統。研究結果表明,基于IDP構架的網絡安全系統" title="安全系統">安全系統更具安全性,由NP實現的輕量級IDP系統可滿足中小企業用戶對網絡安全的需求。
關鍵詞: 網絡處理器 入侵檢測防御系統 多線程并行編程 嵌入式實時操作系統
隨著網絡應用的普及,政府、銀行、大中小型企業等機構都已經逐步建立了內部網絡資源,這些電子商務、電子政務和企業網絡中的商業秘密,就是攻擊者的目標。各種安全產品也相繼出現,如網絡防毒、防火墻、入侵檢測系統" title="入侵檢測系統">入侵檢測系統、漏洞掃描系統、身份認證和加密系統等。它們對防止系統被非法入侵都具有一定的效果,但是還不能完全防止對于應用層的攻擊以及完全、及時地阻止入侵。所以對網絡系統提供良好的保障具有很強的現實性和緊迫性。
1 現有網絡安全技術——IDS技術簡介
當前比較先進和流行的網絡安全技術已經進入了防火墻與其他安全機能產品,特別是入侵檢測系統IDS(Intrusion Detection System)[1~3]的智能化協防階段。入侵檢測是指對計算機網絡上企圖入侵、正在進行的入侵或已經發生的入侵活動進行識別和響應。從數據來源看,可以將入侵檢測系統分為基于主機的入侵檢測系統(HIDS)和基于網絡的入侵檢測系統(NIDS)。圖1所示是一種典型的網絡型入侵檢測系統[4]。
圖1所示的網絡型IDS系統是在基于防火墻的基礎上,利用網絡型IDS對防火墻的漏洞進行彌補的一種網絡安全系統。
首先,防火墻作為一種獲取安全性的方法,有著不可替代的作用。它可以確定允許提供的服務,對受保護的網絡(即網點)的往返訪問進行控制,防止易受攻擊的協議的使用,對系統進行了集中的安全防范。
其次,IDS用來對網絡數據作深層次的檢測。如圖1所示,利用IDS探測器連接在集線器上,對一個網段進行監控,或者利用交換機端口拷貝的形式,對一個交換機的輸出端口進行監控,然后匯報給IDS服務器。一個IDS通常保存著已知攻擊特征庫,而IDS的作用就是對網絡流量中的數據包內容進行檢測,尋找可能的攻擊。當所監視的數據內容和特征庫的內容匹配時,IDS便發出報警信息。有些IDS系統能與其他設備相配合,對入侵做出簡單的響應。
上述典型系統的缺陷在于:雖然IDS系統能夠檢測出深層次的入侵和攻擊,但是其結構本身決定了它應對攻擊的脆弱性。它沒有能力直接防御入侵和攻擊,它對攻擊的反應,需要第二方的設備的聯動,或者需要人為干預。當它發現入侵攻擊的時候,往往攻擊者早已經得手撤退。
2 IDP網絡安全系統設計構想
針對IDS系統防御能力弱的缺點,IDP(Intrusion De-tection & Protection)系統的概念很快被提出來[4]。IDP是指對計算機網絡上企圖入侵、正在進行的入侵或已經發生的入侵活動進行識別并且做出主動響應(阻止入侵活動或預先對攻擊性的流量進行自動攔截)。IDP系統的概念雖然提出一段時間了,但是一直沒有比較成型的方案。下面提出一種網關型的IDP系統方案,并用它構建網絡安全系統。
2.1 P2DR模型
P2DR是Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)的縮寫,P2DR安全模型是一個被廣泛認同的計算機系統的安全理論系統。它的指導思想比傳統靜態安全方案有突破性提高,特點是其動態性和基于時間性[3]。其結構如圖2所示。
P2DR安全模型闡述了這樣一個結論:安全的目標實際上就是盡可能地增大保護時間,盡量減少檢測時間和相應時間。入侵檢測技術就是實現P2DR安全模型中的“Detection”部分的主要技術手段。積極的防御功能是“Protection”模塊的主要任務。在P2DR模型中,安全策略處于中心位置,安全策略是制定入侵檢測規則的一個重要信息來源,也是防御部分根據安全策略實現具體防御動作的準則。
從P2DR安全模型的角度看,IDS系統的缺點表現在雖然基本上實現了檢測和響應兩大模塊,但是其響應時間很長,不能及時、完全地實現防御功能模塊。只有能夠及時、完全地實現響應與防御功能模塊,才能完整地實現P2DR安全模型。下面提出的網關型IDP正是較完整地實現P2DR安全模型的解決方案。
2.2 基于網絡處理器的網關型IDP設計
本文提出的網關型IDP的設計是從IDS技術發展延伸而來的。設計的目標就是將其如同透明網關一樣,可以放置在需要保護的網段前,也可以放置在一臺特殊需要的服務器前。它對流過它的所有數據都進行檢測,并且根據安全策略和具體的規則體,做出是否容許通過的具體決定以及相應的回復與防御機制。
網關型IDP在設計上的難點在于需要對大量的數據作深層次的檢測處理,并且對檢測結果及時地做出反應。網絡處理器NP(Network Processor)的出現為解決這一難題提供了很好的手段。
網絡處理器NP是一種為網絡應用領域設計的專用指令處理器(ASIP)。它具備通用處理器(GPP)的編程靈活性,又擁有專用集成電路(ASIC)的高處理速度。目前NP是通過多個獨立總線的微引擎" title="微引擎">微引擎以及Push-Pull引擎來實現內部大量數據的交換的。這樣,內部的數據通道瓶頸就不復存在了。Intel公司IXP系列NP的級聯設計可以很容易地提高數據流處理能力[6]。
基于NP的IDP系統采用嵌入式實時操作系統,軟件系統設計基本延續IDS的CIDF模型[3](由以下組件組成:事件產生器,事件分析器,響應單元,事件數據庫)的設計。在設計中應該考慮如下幾個關鍵點:
(1)在MAC層增加對數據的標記模式,以便在響應單元能夠采取積極防御手段。
(2)大型IDP應考慮網絡時延和全局時鐘。
(3)保證設備本身的安全性。
(4)預留控制臺接口,以便報告日志信息,及時升級特征庫和修改檢測與防御策略。
2.3 用網關型IDP構建安全系統
用網關型IDP構建的安全網絡系統結構如圖3所示。
在圖3中,路由器作為外網的入口,起著網絡接口轉換以及屏蔽廣播包的作用。系統采用網關型IDP與防火墻協防的構架。
網關型IDP放置在網絡中需要檢測數據的通道,其檢測和防御規則根據安全策略預先設定,也可根據IDP控制臺安全策略的決定而設置。IDP控制臺和網關型IDP形成相對獨立的局域網。IDP控制臺作為管理窗口,也可以連接在內部網絡中,其安全保證這里不做詳述。
3 一個輕量級網關型IDP的設計
對多家中小企業的網絡使用情況進行了調查,其結果如下:
(1)網絡業務相對比較簡單:收發郵件,瀏覽網頁,https,telnet,ftp。
(2)對外帶寬一般不會超過10M,內部網絡一般采用百兆以太網組網。
(3)網絡安全需求明顯,但硬件成本投入較少,一般都有一個防火墻。
(4)人力成本投入較少,一般只有一個網絡管理員。
根據調查結果,針對中小企業網絡安全提出防火墻協同一個輕量級的網關型IDP的網絡安全系統方案。
防火墻采用只開放必要服務的策略(可以ping,收發郵件,瀏覽網頁,ssh,https,telnet,ftp),其他的訪問則全部丟棄,所有缺省的安全策略是拒絕所有(Deny All)的。輕量級的網關型IDP系統安裝時可考慮只安裝針對這些業務的規則體插件。
下面介紹輕量級網關型IDP的設計方案。
3.1 硬件結構
IXP1200是Intel公司生產的第一代網絡處理器。芯片內部集成了7個RSIC處理器,包括1個StrongArm和6個可編程的微引擎(MicroEngine)。其中,StrongArm最高可工作在232 MHz的主頻上,每個微引擎內部提供多個硬件線程,可用于任何要求高速信息包檢查、數據處理以及數據傳送的場合。IXP1200中使用的多線程是由硬件實現的,但是能夠通過軟件控制。由硬件實現多線程使得線程切換的零開銷成為可能。
以IXP1200為核心處理器提出的輕量級網關型IDP的硬件構架如圖4所示。
在圖4中,A口和B口作為需要檢測的以太網數據的入口和出口,對數據流的吞吐能力為100M;C口作為控制臺通訊接口;串口專門用于調試。
IX bus是Intel公司為網絡處理器特殊設計的總線,能夠在IXP1200和網絡設備(如MACs和SARs)間傳送數據塊。每條IX Bus的數據容量約為5.12Gbit(64×80Mbit)。
SDRAM的容量選為128MB(參考Snort2.0內存占用大約為78MB);SRAM的容量選為4MB。
3.2 軟件結構
操作系統采用pSOSystem嵌入式實時操作系統。使用嵌入式實時操作系統有以下優點:
(1)對數據流處理的高效性,可以讓NP多線程并行處理的優勢得以發揮。
(2)系統本身的安全性很高,幾乎不會發生對嵌入式實時系統的攻擊。
本系統的處理流程圖如圖5所示。
圖5所示的處理流程基本上延續IDS的CIDF模型的機制處理數據。網絡處理器接收到的以太網數據幀存儲時,應在數據幀前增加標簽。標簽由兩部分構成,端口號A或者B以及序列號,序列號以65535循環使用。包解碼引擎需要處理此數據時,應對此數據采用拷貝的形式使用。此以太網數據經過預處理、檢測后,雖然已經解析、重組為應用層數據流,但是此標簽作為對原始以太網數據的辨認依然隨數據流存在。利用此標簽可以決定原始以太網數據幀是否通過以及應當轉發的端口。檢測出非法數據后,可以根據識別出的IP地址,依據安全策略做出相應回復。
3.3 資源分配
IXP1200內部有6個微引擎,每個微引擎擁有4個硬件線程。其中1個微引擎共4個線程執行接收數據;1個微引擎共4個線程執行包解碼;1個微引擎共4個線程執行包預處理和對有非法記錄的IP的預攔截;2個微引擎共8個線程用來對規則體進行快速、便利的匹配檢測;1個微引擎共4個線程執行數據發送。Strong Arm則負責規則體設定、異常記錄和對異常數據的回復以及控制臺的代理[6]。
3.4 接收和存儲策略
采用如下的數據接收、存儲和轉發策略。
接收策略:不管端口上是否出現有效數據,都讓4個線程輪流去接收數據,若數據無效則丟棄。這樣,一旦端口上出現有效數據,就會在第一時間被接收到。
存儲策略:由于以太網幀的長度并不固定(最大為1500B),考慮到對存儲速度的要求,采用固定分配存儲單元的辦法。無論整個數據幀多長,都存放在大小為2048B的存儲器單元中[7]。
3.5 檢測引擎多線程協同工作
檢測引擎中的模式匹配算法是檢測引擎工作的關鍵,利用IXP1200多線程協同工作完成快速遍歷規則匹配是設計中的難點。多線程并發調度的設計要對調度要求、存儲器響應時間、存儲空間大小等多方面因素綜合考慮。進一步的設計要考慮接收請求預測、內存延遲隱藏等優化技術的應用,以完成高效的應用開發。
3.6 系統規格、規則體以及Snort的移植
系統采用濫用檢測模型、Snort 2.0的規則體及其穩定高效的內核以及基本框架,并根據pSOS的架構更改相應的應用程序接口(API)以及語言格式。針對標簽機制,在對Snort的包解碼引擎以及快速規則匹配引擎移植時[5],這些標簽需要保留。除了可以阻斷惡意數據流外,IDP也可以作一些其他積極的防御機制,例如,當發現某些惡意數據包時,可以通過向攻擊者和目標主機發送TCP復位包,以終止入侵會話[7]。
3.7 控制臺終端代理
網關型IDP上的軟件由主程序和控制臺終端代理軟件兩部分組成。終端代理軟件和控制臺之間采用 SNMP 協議,終端代理軟件將來自控制臺的命令解析成相應的操作,并通過調用內部函數接口將操作傳給IDP主程序來具體執行;同時,主程序產生的日志、告警消息以SNMP Trap的形式通知給控制臺,控制臺通過駐留在IDP上的終端代理軟件來配置、升級規則體并獲取檢測和回復的信息。控制臺的管理信息庫MIB(Management Information Base)用于對所有IDP的記錄和日志分類,呈現出網絡運行細節。
在完成基本檢測和防御規則配置的前提下,控制臺軟件也是提供給網管人員的一個分析工具。網管人員作為安全防御中的一個重要因素,對一些未知情況,可以利用這個工具提供的數據、手段,并根據自己的知識,更為靈活地處理各種入侵動作。
本文所提出的網關型IDP系統的設計和實現方法,即基于網絡處理器的網關型IDP系統設計與實現,基本上實現了P2DR安全模型,一個輕量級的IDP的設計即可滿足中小型企業網絡對入侵檢測防御的要求。
參考文獻
1 S Axelsson.Research in Intrusion Detection Systems:A Survey[R].TR-98-17,Sweden:Chalmers Uni of Technology,1998
2 Julia Allen,Alan Christie,William Fithen et al.State of the practice of intrusion detection technologies[R].MU/SEI-99-TR-028 ESC-99-028,U.S.:Carnegie Mellon Uni,2000
3 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版社,2004
4 網絡產品新概念.http://www.dataworld.com.cn
5 B Caswell,J Beale,J C Foster et al.Snort 2.0 Intrusion Detection.National Defence industrial Press,2003
6 Erik Johnson,Aaron Kunze.IXP1200 programming[M].U.S.:Intel,2002
7 宋獻濤,紀 勇.網絡維護:從IDS到IPS.計算機安全,2003;(11)