基于ＩＸＰ２３５０的協同免疫三層防御ＩＤＳ設計

摘 要：介紹了基于Intel IXP2350網絡處理器實現的一種新的入侵檢測系統架構——具有協同人工免疫特性的三層防御入侵檢測系統。將基于主機的檢測和基于網絡的檢測結合起來，如人體免疫系統一樣，為計算機系統提供綜合的、多層次的保護。它使用網絡處理器作為數據分析引擎。充分利用了Intel IXP2350網絡處理器的可編程高速并行處理特性，使入侵檢測系統具有更強的靈活性和可擴展性。

關鍵詞：入侵檢測系統;協同免疫;互聯網交換架構;IXP2350;網絡處理器

中圖分類號：TP393．08 文獻標志碼：A

文章編號：1001-3695(2008)07-2181-04



Design of concurrent immune IDS system withthree protectionlayers based on IXP2350

ZHANG Ke1a，1b， WANG Zhongzhuang2，WU Yu3，ZHU Jinqi1b



(1.a. Research Institute of Electronic Science Technology，b.School of Computer Science  Engineering，University of Electronic Science Technology of China， Chengdu610054， China; 2. College of Science Technology， Nanchang University， Nanchang330029， China；3. Intel Corp. Shanghai Research Center， Shanghai200000，China)



Abstract: This paper introduced a design of new architecture of intrusion detection system based on Intel IXP2350 network processorconcurrent immune intrusion detection system with three protectionlayers. Combining the detection based on host and network， this IDS system provided integrative multilayer protection for computer system， like the artificial immune system. This system used the network processor as its analyses engine for the high speed powerful programmable multiprocessing characteristic of Intel IXP2350. This IDS system has more flexible and extensible characteristic.

Key words：IDS(intrusion detection system);concurrent immunity;IXA;IXP2350;network processor



隨著Internet 技術的日益普及，全球范圍計算機網絡的安全性問題尤為突出。構造有效的入侵檢測系統（intrusion detection system）來檢測網絡中可能導致入侵的行為已經顯得十分迫切，然而目前已有的大多數IDS，根據其輸入數據的來源可分為兩類，即基于主機（數據來源于單一主機，通常是主機的審計記錄）的入侵檢測系統和基于網絡（數據來源網絡的信息流）的入侵檢測系統。這兩種IDS都存在數據來源相對單一，信息不能共享，無法有效對付DoS攻擊等問題。在實際應用中，它們的局限性主要體現在如下幾個方面：

a）分布性較差。由于在大多數IDS中，中央數據分析器是系統惟一的數據分析引擎，存在單點失效的問題，一旦該節點被攻破，內部的計算機就無法得到有效的保護，整個計算機網絡系統都將陷入危險中。

b）魯棒性較差。因為在大多數IDS中，它們的組件一般都是惟一的，當某種組件遭到多種原因可導致破壞時，這種破壞將直接影響到整個IDS的安全防御性能。

c）適應性相對較差。當前網絡環境日益復雜多變，各種攻擊手段層出不窮，然而傳統的大多數IDS卻不能適應這種復雜多變的實際網絡環境。對于分布式的DoS等攻擊更是顯得無能為力。

本文基于Intel IXP2350網絡處理器實現了一種新的入侵檢測系統架構——具有人工免疫特性的協同三層防御入侵檢測系統。它的新意主要體現在下述四個方面：

a）系統將基于主機的入侵檢測與基于網絡的入侵檢測結合起來，充分利用了Intel IXP2350網絡處理器強大的可編程并行處理特性，建立如同人體免疫系統一樣的新型入侵檢測系統，為計算機內部網絡提供協同的、多層次的保護。

b）入侵檢測系統不采用單一控制中心設計，整個系統分散存在、協同工作，不存在單點失效問題。

c）系統設計實現了數據收集、分析的分布性，極大地提供了系統實時檢測和響應入侵的能力，如能夠有效地檢測網絡中發起的DoS攻擊。

d）系統設計使用網絡處理器作為數據分析引擎，因為網絡處理器所具有的強大可編程高速并行處理特性，所以該入侵檢測系統具有更強的靈活性和可擴展性。

1 Intel IXA架構與IXP2350網絡處理器

網絡處理器代表了高速網絡設備發展的趨勢。它兼具ASIC的高性能和通用CPU可編程的靈活性，以及低成本和低風險的特點。目前所有的網絡處理器都采用并行處理機制來提高性能，即通過多個微處理器并行工作來提高系統的吞吐量。

為促進基于下一代IP網絡應用的發展，Intel創建了一種以網絡處理器為基礎的包處理結構，稱為IXA(Internet exchange architecture)^[1]。這種架構將IXA網絡處理器的完全可編程性和強大的高速包處理性能結合起來，以支持智能網絡設備的快速開發。IXA作為一種網絡處理架構，是以可編程的網絡處理器為核心，包括三個主要組成部分，即微引擎技術、XScale技術以及IXA可移植架構。

IXP2350是Intel公司開發的新一代網絡處理器，是英特爾互聯網交換架構IXA的基礎。它具有高性能的數據處理能力，可適應于多種局域網和遠程通信的產品。

IXP2350主要包含四個RISC數據處理器微引擎第二代產品Microengine version2(MEv2)^[1]，一個Intel XScale core、SRAM控制器、DRAM控制器、PCI控制器、SHaC單元、MSF單元以及兩個NPE(network processor engine)單元。圖1為IXP2350的內部結構圖。



2 人體免疫生物原理

現代免疫學認為：在人體內存在一個負責免疫功能的完整生理機制——免疫系統，它與神經和內分泌等其他系統一樣，有著自身的運行機制并可與其他系統相互配合，相互制約，共同維持機體在生命過程中的總體平衡與穩定。免疫系統擁有許多值得借鑒的顯著特征，如分布性、多樣性、自動應答和自我維護、異常檢測等。這些原理為計算機免疫系統的構建提供了多種組織結構。

人體免疫系統從免疫機理和層次的不同，可以分為物理免疫系統和生物細胞免疫系統兩類。前者由皮膚、唾液、鼻毛等一系列人體組織構成，它是免疫體系結構中最外面的層次，也是抵御傳統感染的第一道屏障，這個層次的免疫機理是提供如pH值或溫度等這樣不適合某些異己的生命體（即病原體）生存的物理環境，從而達到殺死病原體，保護自己的目的。后者則存在于人體內部，它可被看做是一個分布式探測系統，該系統主要由白細胞即淋巴細胞組成。它主要是由骨髓和胸腺部位產生的，通過綁定機制來識別一定數量結構相似的抗原細胞。如果在有限的時間內能夠綁定到數量超過某一閾值的抗原，那么淋巴細胞就會被啟動以殺死抗原，這稱為免疫應答。同時，免疫系統能將與侵入抗原反應部分抗體作為記憶細胞保留下來，對于同類抗原的再次侵入時，相應的記憶細胞被激活而產生大量的抗體，縮短了免疫反應時間，這稱為免疫記憶。

3 IDS的生物免疫模型

借鑒以上的人體免疫理論，筆者構建了一個具有異常檢測、免疫應答、免疫記憶的分布式多層防御入侵檢測系統。該系統由兩部分組成，即分析監控器和免疫計算機。分析監控器位于傳統的網關節點，執行的是基于網絡的入侵檢測。它是基于IXP2350網絡處理器實現的。利用IXP2350網絡處理器的分布式數據處理特性，它可以對網絡數據流實施兩層分析和監控：首先通過IXP2350網絡處理器的微引擎對數據包作輕度檢查后，立即高速轉發給局域網中的主機；接著，IXP2350的核心處理器XScale將對數據包作深度的入侵分析，以發現更為隱蔽的入侵。這樣，分析監控器在盡量不犧牲數據包轉發速率的同時，對局域網中的主機作了最大程度的保護。

局域網中的每臺計算機都是免疫計算機，它們執行的是基于主機的入侵檢測，并構成了整個入侵檢測系統的第三層防御體系，它類似于人體免疫系統中的生物細胞免疫。在免疫計算機的生物學模擬中，計算機中的活動進程視為有機分子，計算機網絡視為有機體組織。對于“細胞”入侵的識別主要根據由授權程序執行的系統調用短序列（類似于肽鏈）。在系統中，建立類似于淋巴細胞的進程，該進程直接與內核通信，監控其他進程，及時發現程序執行的異常。與免疫系統的判別機制相同，當“淋巴細胞”發現某個進程運行異常時，就認為該進程被破壞或正在受到攻擊。如果確定入侵，“淋巴細胞”將減慢、掛起、殺掉或重啟異常進程，并通知分析監控器。免疫計算機的生物學模擬關系如圖2所示。



4 基于IXP2350的協同免疫IDS結構設計

本文構建一個具有異常檢測、免疫應答、免疫記憶的分布式多層防御入侵檢測系統。該系統主要由三個層次構成，這三個層次的實現分別位于Intel IXP2350網絡處理器的微引擎MEv2、XScale core以及網絡中的免疫計算機上。它們協同工作，分別模擬了人體免疫系統中免疫機理的不同層次，分別實現了類似物理免疫系統和生物細胞免疫系統的功能。該基于Intel IXP2350網絡處理器的協同免疫IDS的具體防御層次如圖3所示。



整個系統的開發分為兩個部分，即用IXP2350網絡處理器實現分析監控器和開發免疫計算機上的入侵檢測程序。整個系統的結構如圖4所示。



下面將介紹這三個層次分別位于Intel IXP2350網絡處理器的微引擎MEv2、XScale core以及網絡中的免疫計算機上的IDS具體實現。

5 IDS第一層防御的實現

根據IXP2350網絡處理器的特點以及軟件設計的要求，整個系統采用模塊化劃分，保持了各個模塊的獨立性以有利于擴展和維護。整個設計分為三層，即數據平面、控制平面和通信子層。

IXP2350的微引擎實現數據平面的功能， 主要完成數據包的接收、分類、轉發等操作。在分析監控器的具體實現中，微引擎有三個任務：接收并發送網絡數據包、對數據包進行規整（輕度檢查）和維持免疫計算機與XScale之間的通信。其中，對數據包進行規整是非常重要的。它有三個方面的作用：a）可以對數據包作預處理，如協議分析等，以便XScale作深度的入侵分析；b）避免了攻擊者利用協議的漏洞和不完備性進行系統探測和攻擊的可能，可以對內部的計算機提供第一層的保護；c）消除了網絡數據包的二義性，增強了入侵檢測能力。具體的規整算法可參見文獻[2]。

微引擎上的程序開發設計采用(packet processing stage)PPS模式。PPS是對應用程序在邏輯層面上劃分的可并行執行的一系列功能單元^[3~7]。它也是IXP2350的編程功能單元。根據網絡包處理的天然特性，網絡應用程序在邏輯上能夠被劃分為多個相對獨立的模塊，即對應于IXP2350編程中的多個PPS。PPS包括初始化代碼和一個無條件循環體。PPS之間的通信是通過pipe 這種數據結構實現的。編譯器保證pipe的PUT 和GET操作的同步互斥。編譯器支持abstract pipe、 NN pipe和scratch pipe三種。對于abstract pipe， 編譯器將根據性能需求，資源情況等因素自動選擇pipe的實際類型。多個PPS及pipe將會被采用autopartitioning^[3，5]模式按照優化處理及通信功能需求分配到IXP2350網絡處理器上執行相關功能。

該設計中運行在MEv2上的inbound pipeline包含了如下的PPSes：packet receive、packets processing、classify and coordinate、scheduler以及packet transmit。圖5是該inbound pipeline的PPS設計。



6 IDS第二層防御的實現

控制平面的功能由XScale完成。它的主要任務包括建立和維護正常行為知識庫，全局分析整個網絡數據流，進行入侵檢測分析，作出入侵決策；根據接種疫苗規則集更新入侵記憶庫，并與相應主機以及各個免疫計算機進行交互，實時克隆更新各個免疫計算機的免疫特征信息庫。為了減輕XScale的負擔，加強它的處理能力，筆者充分利用IXP2350內部的兩個NPE，讓它參與完成一部分固定的工作。



為了實現XScale上的入侵檢測，筆者選擇了在文獻[6]中提出的DAIS算法（detection algorithm based on immunology and sequential pattern）。它結合了免疫學和序列模式分析的理論，其顯著特點是：

a)根據數據的不同來源，采用了不同的手段，降低了系統的誤報率；

b)在正常行為特征上，DAIS監控特權進程的行為，不受用戶行為變化的限制；

c)引入系統調用參數，提高檢測精度，降低漏報率；

d)獲取數據包和網絡流量的規律，實時監控各個連接進出流量及其流速和流速變化率的變化；

e)由于正常行為數據庫是根據操作經驗產生的，而且該數據庫與本地操作環境有關，每個站點的數據庫均不同，對入侵檢測有較為理想的預警、防范作用。

分析監控器的模塊結構如圖6所示。



由于免疫計算機不能直接與核心處理器進行通信，而且IXP2350目前對微引擎和XScale之間的通信機制的提供并不完善，為此專門開發了通信子層負責免疫計算機與XScale、微引擎和XScale之間的信息交換。

7 IDS第三層防御的實現

免疫計算機的入侵檢測原理主要依據正常行為模式數據庫，通過監控自己感興趣的應用程序，形成每臺計

算機特有的正常行為數據庫；在計算機程序執行過程中，實時提取審計數據，將提取的審計數據轉換為特定的行為特征模式，供分析模塊分析，檢測入侵。當不匹配率超過預先設定的閾值，則產生報警。系統自學習功能類似于生物免疫系統的再次應答，即當免疫計算機檢測到新的攻擊手段時，不僅產生報警，同時還將該入侵的行為特征模式存入系統，當再次采用該方法入侵系統時，系統可直接向用戶產生入侵信號，而不需進行入侵分析和報警，模擬生物的初次應答和再次應答，極大地提高了系統的反應速度和可靠性。免疫計算機的入侵檢測流圖如圖7所示。



8 IXP2350上的IDS包處理過程

首先，MSF從外部以太網接收到數據包；然后將數據包交送MSF接口中的緩沖區RBUF（ MSF接口中的緩沖區包括RBUF和TBUF。它們可編程劃分為64、128或256 Byte的單元，一個包的數據通常要占用若干個這樣的單元，存儲在每個單元中的包數據。就稱為一個mpacket(MPKT)^[7]，這里采用128B的單元）；接著，MSF從THREAD_FREELIST中尋找可用線程；MSF將接收狀態字寫入到線程的傳輸寄存器中并向線程發送信號；該線程在獲得信號后開始工作，讀取接收信息并且將mpacket從RBUF直接寫入到DRAM內存中去，再將一個句柄放到scratchpad ring上。

ME線程檢測scratchpad ring上面的可用包并取下句柄，然后對包進行檢測，并取得包中的各部分傳送到ME的傳輸寄存器中。因為該入侵檢測系統的各種表以及規則庫存都存放在SRAM中，所以它們可以被高速地查找和修改，而在DRAM中的數據包也將根據匹配結果被處理。接下來，被修改后的包的句柄將會被放到SRAM隊列中等待被調度和傳送。

ME的線程會監視SRAM隊列中包的句柄。如果發現已經被更新了數據的需要發送的包，那么該線程就對這些包的句柄進行出隊列操作，然后該線程計算出下一個mpacket的位置并將它放入下一個可用的TBUF單元采用直接從DRAM傳送到MSF。寫TBUF單元控制字，標明TBUF包含有效的數據。如同接收程序，傳輸程序必須重復地接收mpacket并將其組成即將發出的包，MSF通過ME支持的控制字中包含的信息檢測包的結束。最后，一旦MSF檢測到EOP mpacket，外部設備將發出該包，IXP2350處理器繼續處理下一個包。

9 結束語

本文利用IXP2350網絡處理器作為硬件平臺，實現了一個具有人工免疫特性的入侵檢測系統。該系統充分發揮了IXP2350網絡處理器強大的分布式數據處理和快速的包轉發能力，使得軟件與硬件緊密結合，彌補了傳統入侵檢測系統的不足。由于使用了可編程的網絡處理器，對入侵檢測系統功能的升級也只需要升級軟件而不需要開發硬件設備。 另外，本文基于人工免疫的思想，提出了多層防御檢測體系，使得每臺計算機不僅僅是受保護的對象，同時也參與入侵檢測，大大增強了系統檢測入侵和防DoS攻擊的能力。



參考文獻：

［1］Intel IXP23XX product line hardware reference manual [K].[S.l.]:Intel Corp，2004:27-195.

[2]肖鳴. 分布式入侵檢測系統設計[D]. 成都: 電子科技大學， 2003.

[3] Intel C compiler for Intel network processors autopartitioning mode reference [K]. [S.l.]:Intel Corp，2005:9-25.

[4] Intel IXA software building blocks for Intel C compiler developers manual [K]. [S.l.]:Intel Corp，2005:23-54.

[5]Intel C compiler for Intel network processors autopartitioning mode user’s  guide [K].[S.l.]:Intel Corp， 2005:2-13.

[6]李千目，張琨，張宏，等. 一種基于生物免疫學的入侵檢測系統[J].計算機工程與應用， 2003，39（8）:45-48.

[7]CARLSON B. Intel Internet exchange architecture and applications[M]. [S.l.]:Intel Press，2003:23-47.

[8]Intel IXA software example designs for Intel C compiler application note [K].[S.l.]:Intel Corp，2005:6-55.

[9]COMER D E. Internetworking with TCP/IP vol1:principles， protocols， and architectures [M].4th ed.[S.l.]:Publishing House of Electronic Industry，2003:270-278.

[10]Intel IXP23xx product line programmer’s reference manual [K].[S.l.]:Intel Corp， 2004:19-22.[11] 張彥超，闕喜戒，王文東. 一種基于免疫原理的網絡入侵檢測模型[J]. 計算機工程與應用， 2002，38（10）:159-161.

[12] 張可，劉乃琦. 在IXA架構上的動態NAPT設計[J].計算機科學， 2004，31（9增刊）: 16-19.

[13] 石晶林，程勝，孫江明.網絡處理器原理、設計與應用[M].北京： 清華大學出版社，2003:417-499.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”