一種多功能網絡監控與防御平臺設計與實現

薛輝 鄧軍 葉柏龍 陸蘭

1湖南涉外經濟學院 湖南 410205 2湖南科技職業學院 湖南 410004 3中南大學 湖南 410083 4湖南創博龍智信息科技股份有限公司 湖南 410205

0 引言

近幾年來網絡攻擊技術發展十分迅速，主要表現為發現安全漏洞越來越快，覆蓋面越來越廣；攻擊工具越來越先進而且自動化程度和速度提高且殺傷力逐步增強。基于目前的網絡安全形勢，國家對信息網絡安全給予了高度重視，迫切需要向主動、綜合、協同和一體化方向發展。從多角度、全方位的考慮，對網絡進行多立體、縱深、動態防護。本文是基于國家發改委信息安全產品專項要求，旨在設計一種“高性能監控一體化網絡安全平臺”的基礎上研發，滿足上述目標。

1 多功能網絡監控與防御平臺設計

1.1 平臺技術體系架構設計

網絡按層次可以劃分為骨干層、匯聚層、接入層等。各個層次存在不同的安全弱點，網絡信息安全問題在網絡各個層次也有著不同的表征，而且各層次間還存在相互影響。綜合性的網絡安全保障需要涵蓋這三個層次并在層次之間進行交互。在任何一個層次，全面的網絡安全保障包含兩個內容：先需要對當前安全狀態進行感知和評估，之后，才能夠采取相應的控制措施和防御措施。基于上述分析本文從骨干層、匯聚層、接入層三個層次分析網絡信息安全問題，結合安全狀態的感知評估、安全保障的控制和防御，提出一種高性能多功能安全監控與防御平臺，為網絡安全提供一個高性能、多層次、多功能綜合解決方案。由此本系統可設計成三個子系統： 網絡可生存性監測與控制子系統、網絡入侵檢測與防御子系統和終端監控與系統恢復子系統。

系統技術體系架構如圖1所示。

圖1 平臺技術體系架構

1.2 平臺模式設計

（1）骨干層，通過可生存性監測來了解全網宏觀流量狀態，感知評估全網安全態勢；以獲得的相關信息為依據，動態調整全網流量分布，進行可生存性控制，從宏觀上保障網絡安全。

（2）匯聚接入層，結合可生存性監測，通過在關鍵鏈路及關鍵路由器的入侵檢測、系統漏洞掃描，發現網絡的安全漏洞或存在的攻擊行為，從而感知評估網絡局部安全態勢。以此為指導，實施攻擊防御措施，在網元層保障網絡安全。攻擊防御是在入侵檢測的基礎上增加了主動響應功能，并以串聯方式接入網絡，一旦入侵檢測發現有攻擊行為，將立即響應，主動切斷與攻擊者的連接，確保快速或大規模的入侵行為能夠被實時中斷，不會進入網絡內部，具有安全防護功能。

（3）用戶級層，結合上一層次系統漏洞掃描分析，通過終端監測發現網絡服務器或終端用戶存在的系統漏洞、協議漏洞或異常，對用戶終端安全狀態進行評估；以此為依據，實施應用級回卷恢復以及網站安全防護措施，在終端用戶層次保障網絡安全。一旦攻擊逃避了接入層入侵防御措施，對終端發動攻擊，系統恢復可提供進一步的保障，幫助快速確定故障原因，實現快速修復，將損害降到最低。反過來，系統恢復日志也可以給防御系統提供參考，在受到攻擊后，深入分析入侵行為，通過關聯分析來判斷可能出現的下一個攻擊行為，做好預防準備。

2 平臺子系統實現

2.1 網絡可生存性監測子系統實現

為了能有效地實現對各種網絡行為測量及可生存性分析需求的支持，采用如圖2所示結構。從圖中可以看出，系統可分為三個層面：測量平臺、控制平臺、分析平臺。

測量平臺：系統在網絡的每個測量點中部署專門的計算機系統，稱為探針(probe)。其主要功能為：存放各種網絡行為數據采集工具，包括：流量捕獲器、端到端測量工具、路由模擬器、業務仿真工具、SNMP代理；執行測量，進行各種數據的測量或導入；將測量結果通過加密方式發送到控制平臺，并將未順利發送的結果保存在本地探針中。

控制平臺：主要負責測量層面數據采集的調配、測量命令的發送和數據收集；在它的控制下，數據采集部分、數據分析部分以及數據可視化部分協同工作實現測量任務的完成；網絡行為監測采集的數據量非常大，需要對數據做一定的精簡再存入數據庫以減少存儲需求。

分析平臺：主要去掉原始數據中大量的與網絡行為測量無關的數據，構造出行為指標數據集。進行流量分析、路由分析、網絡性能分析、應用行為分析、故障分析和綜合分析，負責各類數據的全面分析和整體分析；負責各類數據的查詢、告警和可視化，可以進行網絡統計狀況查詢，為網絡管理人員提供網絡告警。

圖2 監測系統框架結構圖

通過在探針上靈活添加測量工具和在分析引擎上利用插件方式插入分析工具即可實現多種網絡行為的靈活監測分析，適合大規模部署；分析引擎通過多種數據的綜合分析，方便實現對網絡整體性能的綜合評估。以插件方式靈活導入網管數據和其它系統監測到的數據，進一步實現對多種數據的全面分析。

現行水利工程供水價格水平較低，以2008年百家水利工程供水管理單位（以下簡稱水管單位）統計數據為例，供農業用水2.6分/m3，供工業用水26分/m3，供自來水用水39.81分/m3，供水力發電用水2.1分/m3。與成本水價相比，農業供水水價達不到成本的50%，非農業水價僅達到成本的80%左右。

2.2 網絡入侵檢測與防御子系統實現

本系統主要針對目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等黑客攻擊，以及網絡資源濫用，提供完善的安全防護方案。高度融合高性能、高安全性、高可靠性和易操作性等特性，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，具備深度入侵防御、精細流量控制等功能。

本系統的體系架構包括三個主要組件：檢測部件、控制中心、升級站點，方便各種網絡環境的靈活部署和管理。系統體系架構如圖3所示。

圖3 網絡入侵檢測與防御系統體系架構圖

（1）檢測部件：以全面深入的協議分析為基礎，融合智能協議識別、協議異常檢測、流量異常檢測、告警相關分析，以及防火墻協作等多種技術，是本系統的核心部件。

（2）控制中心

提供強大的管理功能，用于監測控制入侵檢測與防御系統的運行及其系統配置，各種日志的分析，歸并，備份和恢復，并管理入侵檢測的特征庫、防火墻安全策略(主要指訪問控制策略)等。

（3）升級站點

給用戶提供升級服務，每周定期提供攻擊特征庫的升級更新，在緊急情況下提供即時更新，使網絡入侵檢測與防御系統提供最前沿的安全保障。

2.3 終端監控和系統恢復子系統實現

（1）終端監控子系統

終端監控系統由管理系統、代理兩部分組成。代理是一個短小強悍的監控程序(集)，駐留在被監控(或受控)終端中，伴隨被監控主機的啟動而自動運行，按照監控策略自動、實時地監控主機的內部指定資源、周邊設備(接口)和用戶的各種操作行為。管理系統對所管轄網絡區域內的代理配置安全策略，接收來自代理的告警和日志信息，并進行相應的管理控制和審計處理。其終端監控的拓撲示意圖如圖4。

終端監控系統對被監控主機實施全面監控，能夠從被監控主機邊界到主機內部，從被監控主機網絡接口層到應用層的各個層面對資源的使用進行有效、全面的監控，不留監控空白區或空白點。

終端監控系統的全面監控功能，可以劃分為三個層次，第一層次是對監控主機內部操作行為的監控，可以對應用程序的安裝運行進行有效的管理和控制，以防止利用計算機進行與本職工作無關的應用操作，防止計算機終端被帶毒運行、非法控制等。第二層次是對被監控主機邊界的監控，可以對利用外設和進行信息共享或交換實施有效的管理和控制，保證計算機內部信息不因使用外設和網絡而被泄露。第三層次是對出/入內部網絡的監控，防止受保護的資源通過網絡被非法竊取或泄露，也不致讓外部的垃圾數據、惡意程序進入計算機內部。其全面監控功能示意圖如圖5所示。

圖4 終端監控系統拓撲示意圖

圖5 終端監控系統的全面監控功能示意圖

（2）系統恢復

針對服務器類終端的系統恢復需求利用 Windows平臺下應用級回卷恢復容錯計算支持軟件。采用 Microsoft的visual C++ 6.0 基于Windows平臺實現的這一回卷恢復工具包能方便回卷恢復協議的快速實現，提供配置和試驗工具，方便用戶進行試驗，評估協議的性能。這個工具包由兩部分組成：基本對象組件庫和試驗工具。

回卷恢復的框架如圖6所示。系統分成三層，應用層運行在回卷恢復層之上，回卷恢復層運行在系統層之上。應用層調用回卷恢復層提供的輸入接口、輸出接口、消息接口接收輸入，進行輸出和消息接收及發送。同樣設計者也要在系統層給回卷恢復層提供輸入接口、輸出接口、消息接口。以實現回卷恢復層與系統層的捆綁結合。回卷恢復層通過系統層提供的消息接口與控制臺程序通信，從控制臺接收配置信息，把測量到的性能數據傳送給控制臺程序。

控制臺程序與分布式計算中的進程通信，配置回卷恢復協議及其參數，接收回卷恢復系統的性能數據和故障檢測結果。API截獲工具和回卷恢復庫注入工具主要是當目標程序的源代碼不可用時，用來對目標程序進行修改，使目標程序運行時加載回卷恢復庫，把目標程序對系統API的調用重定向為對回卷恢復庫接口的調用，實現回卷恢復對應用的透明。

圖6 回卷恢復系統層次關系圖

3 結束語

本系統是在響應國家“信息安全”產品產業化專項基金的要求下，旨在研發出一種需要從多角度、全方位考慮，向主動、綜合、協同和一體化方向發展，對網絡進行多立體、縱深、動態防護的多功能網絡監控與防御系統。最大限度地保護企業和組織的網絡安全。目前該平臺已經通過國家發改委驗收，并成功運行在PowerSEC高性能監控一體化網絡安全平臺上，實踐證明本系統具有極大的研究價值、開發價值和市場前景。然而，監測和防御技術現在還處于不斷完善過程，基于攻擊手段還在不斷發展變化需要不斷的改進，怎樣才能更有效地保護網絡，這也正是我們后續的研究方向。

[1]Muk herjee B.Network intrusion detection[J].IEEE Networks.2005.

[2]趙闊.高速網絡入侵檢測與防御[D].吉林大學.2008.

[3]曾彬,張大方,黎文偉等.面向網絡行為特征分析的網絡監測系統設計及實現[J].計算機科學.2009.

[4] Huang Kun.An Approach To Generating Testing Traffic In Evaluating Network Intrusion Detection Systems. In Proceedings of Systemics, Cybernetics and Informatics (SCI2004). July 2004.Orlando. USA.

[5]秦拯,尹毅等.基于序列比對的攻擊特征自動提取方法[J].湖南大學學報(自然科學版).2008.

[6]楊金民,張大方,黎文偉.一種可靠高效的回卷恢復實現方法.電子學報.2006.