網格環境下網格入侵防御系統的應用

　　摘 要： 本文把入侵防御系統（GIPS）應用在網格安全領域，實現網格環境下網格入侵防御系統。應用入侵防御到快速成長的網格中來，改善網格環境中應用系統的安全性是個新領域。本文提出的靈活的入侵防御結構，適合網格環境下的安全需求。
　　關鍵詞： 網格入侵防御系統（GIPS） 網格技術 入侵防御
　　
　　1.引言
　　網格是通過開放的網絡環境向用戶提供服務的，因此它不可避免地要涉及到網絡安全問題。并且，與傳統網絡應用相比，網格的目標是實現更大范圍和更深層次的資源共享，所以它存在更重要的安全問題，并提出了更高的安全需求。與傳統網絡環境相比，網格計算環境極其復雜，它具有大規模、分布、異構、動態、可擴展等特性，因此與傳統的網絡安全相比，網格安全所涉及的范圍更廣，解決方案也更加復雜。由于網格對安全有更高的要求，因此網格需要如入侵防御的第二道安全防線，它是非常重要的網格安全機制，來防止網格被穿透和入侵，為網格提供更全面的保護。
　　2.關鍵技術分析（網格與入侵防御技術的結合）
　　網格是通過開放的網絡環境向用戶提供服務的，因此它不可避免地要涉及到安全問題。入侵防御技術作為一種新出現的網絡安全技術，因其具有主動防御的功能，成為目前研究的新熱點。IPS與防火墻和IDS不同，它是一個能夠對入侵進行檢測和響應的“主動防御”系統，為此本文提出一個新的構思：把入侵防御技術運用到網格安全領域中來，從而進一步解決網格安全問題。并提出了網格入侵防御系統（GIPS）結構，在這基礎上實現網格入侵防御系統（GIPS）。
　　3.網格入侵防御系統（GIPS）
　　3.1網格入侵防御系統的結構
　　網格入侵防御系統中各部分功能描述如下。
　　3.1.1 IPS節點
　　所有進入網格內部的數據都要通過IPS節點，IPS節點負責采集高速數據，并對數據進行過濾分析。
　　3.1.2調度機
　　分發IPS節點采集的數據到IPS分析機群，根據IPS分析機群中各分析機的負載情況，按照負載均衡的原則，將數據流分發到各分析機。
　　3.1.3 IPS分析機群
　　IPS分析機群由多臺入侵分析的機器組成，多臺分析機組成一個機群系統，共同對大量的數據進行檢測分析。
　　3.1.4 IPS日志服務器和升級服務器
　　我們IPS系統中其日志服務器是遠程管理的，這種結構有利于我們統一管理各用戶，也便于所有的資源共享，比如，一旦通過日志服務器發現任何一個用戶的誤報情況，我們就可以把這信息共享給所有用戶。
　　3.2網格入侵防御系統的實現
　　網格入侵防御系統設計和實現的核心部分在于IPS節點對攻擊數據的阻斷，IPS分析機群的入侵防御和調度機調度算法的設計與實現。下面給出核心部分的設計與實現過程QheR7RJi5DXcPHOusO7GNUyieQVCf2WsZfOeIi85i34=。
　　3.2.1 IPS節點的設計與實現
　　IPS節點是在FreeBSD系統上來實現其系統，包括以下幾個組成部分。
　　橋架，通過C語言實現。這是因為它的速度和容易與FreeBSD系統和過濾引擎通信。橋架是與網絡接口互動作用，把數據傳給過濾引擎處理，橋架將會確保所有到達IPS節點的數據包，將會被listen（）所接受。使用橋架技術，這樣使得IPS節點采用的是MAC地址，本身就不需要IP地址，從而IPS節點更加安全，不易受到攻擊。
　　過濾引擎，是柏克萊數據包過濾器（Berkeley Packet Filter）機制對數據過濾。過濾掉些不相關的數據，減輕分析機的處理負擔。
　　管理控制平臺，是聯系升級和日志服務器。Mastersocket函數提供給接收來自升級和日志服務器的指令功能。
　　監視卡，如果IPS節點發生異常的情況（舉例來說磁盤損壞，處理器失效，記憶故障，停電等等），監視卡將會旁路IPS硬件。這一功能確保在IPS節點發生異常時網格能正常通信。
　　3.2.2 IPS分析機群的入侵防御系統的設計與實現
　　IPS分析機群的入侵防御系統也是在FreeBSD系統上來實現。其核心的部分是規則引擎，對數據報進行分析，檢測數據是否含有攻擊數據。在規則引擎的設計中，運用協議分析技術提高了檢測的準確性和效率。圖2是協議分析的模塊。
　　協議分析技術利用網絡協議的高度規則性快速探測攻擊的存在。這種技術所需的計算量大量減少，即使在高負載的網絡上，也可以探測出各種攻擊，并對其進行更詳細的分析而不會丟包，更適合于高速的網絡環境。
　　3.2.3調度算法的設計與實現
　　調度機實現資源調度，我們提出負載函數L（t），根據給出的些負載參數，比如：分析機的CPU使用情況C（t），分析機的內存使用率M（t），剩余數據包的量R（t），等等。通過這些參數來設計高效的算法，合理的來分配資源。這里給出了一個簡單的模型：L（t）=C（t）+M（t）+R（t）。目前我們負載函數還有待進一步研究。
　　3.2.4測試
　　在測試中我們把系統放到真實的網格環境中來，其中被保護的網格資源服務器的IP地址是218.80.193.141。監視日志服務器的日志情況，在很短的時間內就發現大量的攻擊存在。圖3是GIPS系統測試時得到的部分日志情況。
　　其中Port：攻擊端口號，Count：攻擊的次數，Data：阻斷的攻擊數據。
　　4.結語
　　本文提出了在網格環境中部署入侵防御系統，通過入侵防御的技術的運用，進一步提高網格的安全性能。本文給出了網格入侵防御系統的結構，并在此基礎上基本實現了這個系統，特別是在該系統中的入侵檢測的過程中運用協議分析技術，大大提高了檢測的準確率。在后面的工作中我們將需要進一部完善分析機群的協同工作，使其提高處理能力。
　　
　　參考文獻：
　　［1］Geng Yang，Chunming Rong，and Yunping Dai：A Distributed Honeypot System for Grid Security.M.Li et al.（Eds.）：GCC 2003，LNCS 3032，pp.1083—1086，2004.
　　［2］Fang-Yie Leu，Jia-Chun Lin，Ming-Chang Li，Chao-Tung Yang：A Performance-Based Grid Intrusion Detection System.Proceedings of the 19th International Conference on Advanced Information Networking and Applications（AINA’05）1550-445X/05.
　　［3］M.Tolba，M.Abdel-Wahab，I.Taha，and A.Al-Shishtawy， “Distributed Intrusion Detection System for Computational Grids”Second International Conference on Intelligent Computing and Information Systems，March，2005.
　　［4］M.F.Tolba M.S.Abdel-Wahab I.A.Taha A.M.Al-Shishtawy：GIDA：Toward Enabling Grid Intrusion Detection Systems.
　　［5］I.Foster，C.Kesselman，G.Tsudik，S.Tuecke：A Security Architecture for Computational Grids.
　　［6］聶林，張玉清.入侵防御系統的研究與分析.全國網絡與信息安學術研討會，2004.
　　［7］劉國華.網格環境下分布式入侵檢測技術的應用.檔案學通訊，2004.
　　［8］房向明，楊壽保，郭磊濤，張蕾.網格計算系統的安全體系結構模型研究.計算機科學，2009.2.15：763-65.