王 浩

(安徽財經大學管理科學與工程學院,安徽蚌埠233030)

基于代理的分布式防火墻與入侵檢測協同防御系統設計與應用＊

王 浩

(安徽財經大學管理科學與工程學院,安徽蚌埠233030)

分析了傳統防火墻和現有分布式防火墻在網絡應用中的局限性.將防火墻與入侵檢測相結合,提升了系統的防御能力.引入Agent技術,利用Agent的特性對防御系統重新規(guī)范、設計,改變以往各防御單元的通信方式,并且在防御系統中增加了中心服務器和域服務器的備份,更好地提高了網絡的穩(wěn)定性、安全性.

分布式防火墻;入侵檢測;網絡;協同防御

引言

隨著網絡覆蓋范圍不斷擴大,網絡的內外之分也更加地不明顯,傳統防火墻的一些缺陷,諸如:“防外不防內”、“單點失效”、“性能下降”、”策略惟一性”,都暴露了出來.為了解決傳統防火墻出現的問題,通常將防火墻設計為分散的體系結構,各個結點分布處理、集中管理,此類防火墻被稱為分布式防火墻[1].

相對傳統防火墻來說,分布式防火墻具有許多優(yōu)勢:首先,分布式防火墻能夠彌補傳統防火墻對內防范不強的缺點,它將各個結點分布到各個子網、關鍵結點中,避免了一點被攻破整個網絡的安全都受到威脅;其次,隨著網絡規(guī)模的不斷擴大,對防火墻的功能要求也越來越多,性能要求越來越強,而傳統防火墻采用的架構形式和機械的過濾方式已很難滿足網絡的發(fā)展.分布式防火墻對數據包采取分布式過濾,提升了系統性能和擴展性,并且各個結點可根據自身需求對數據包的過濾更有針對性.最后,傳統防火墻很難過濾出隱藏在合法數據包中的攻擊,而分布式防火墻的安全策略可由主機控制,主機可以根據自身對網絡的請求,有針對性地過濾數據包里的內容[2].

雖然現有的分布式防火墻可以解決傳統防火墻存在的缺點,但仍存在一些問題:

1)只是形式上的分布 早期分布式防火墻檢測分析都是由單一主機完成,數據從采集到分析一定會有延時,往往分析出的結果并不是此時網絡的狀態(tài),所以作出的處理也不一定是最合理的,在網絡環(huán)境不好的情況下,還有可能造成網絡擁塞.同時,一旦這臺主機被黑客攻破整個網絡都將暴露在外.

2)缺少恢復機制 一些關鍵結點如果崩潰,不能夠立即恢復,無法保證防火墻自身的安全性和冗余性,這將使得網絡存在安全漏洞.

3)不能夠主動防御 現有的分布式防火墻往往都是等到攻擊出現以后再進行被動地防御.采用這類分布式防火墻將無法抵御大規(guī)模的、復雜的網絡攻擊.

本文所設計的防御系統,采用協同機制將分布式防火墻和分布式入侵檢測系統(Distributed intrusion detection system,D IDS)有機地結合在一起,使得防御系統從整體上、動態(tài)地掌握攻擊行為,以便采用有效手段防御攻擊.

1 代理技術在網絡防御系統中的應用

為了提高防御系統的處理效率,降低系統的工作流量和響應時間,并且使系統能夠適應不同網絡規(guī)模和異構網絡,讓系統在有效的通信機制下協同工作.在設計中我們引入Agent[3]技術,利用Agent的自治性、移動性、自適應性等[4],定義分布式防火墻和入侵檢測系統的需求和功能,利用Agent通信功能[5],提高系統的處理速度,增加系統時效性,可以動態(tài)地加入和移去某些功能,提高系統擴展性.

2 基于代理的協同防御系統防御體系設計

2.1 協同防御體系框架設計

針對現在黑客多采用協同攻擊的手段,我們在本協同防御體系中采用自治的防御系統,它們可以獨立地工作,結構上是松散型的,但各自治系統之間可以通過通信方式來協同防御.各主機防火墻也采用的是分布式技術,將防火墻和入侵檢測系統融合在一起,綜合防御入侵行為.基于上述,設計協同防御

體系模型如圖1所示.

圖1 協同防御體系模型

此協同防御模型中包含了三大部分,分別是中心服務器、域服務器和主機防御單元.中心服務器用來指定全網的安全策略,負責為域服務器制定入侵響應和策略更新的服務.其中,中心服務器包括:系統入侵響應代理(SIRA)和代理服務器(AS).域服務器負責為該域覆蓋范圍內的代理子系統提供入侵響應和策略下載服務,域服務器可以根據該域內的實際運用制定適合自身的策略.其中,域服務器包括:域入侵響應代理(D I RA)和代理服務器(AS),并且主機防御單元不受地理位置的限制,只要具有該域的權限,就屬于該域所轄的一個代理子系統.這樣即可實現不在同一地理范圍,但具有同一域的防御策略.同時,為了避免中心服務器或域服務器受到攻擊而導致無法正常工作,我們?yōu)橹行姆掌骱陀蚍掌鞫寂鋫淞藗浞莘掌?所有的策略、事件、日志等數據都備份在相應的服務器中,一旦服務器無法工作,這些備用服務器將轉換成服務器角色開始工作,通過增加備份服務器的設計,增加該防御系統的健壯性.我們在主機防御單元中部署入侵檢測代理(IDA)、入侵響應代理(IRA)和代理防火墻(firewall agent,FWA). IDA通過實時審計所駐留主機的日志發(fā)現入侵行為.在同一臺主機上可以同時運行多個IDA,用于監(jiān)測不同的活動,如監(jiān)控某協議的網絡數據傳輸和監(jiān)控對主機上特定數據的訪問,從而實現了入侵檢測的分布化.代理防火墻主要運行在受保護的服務器、主機和遠程主機上,因為它針對的是單個主機設置防御策略,因此可以提供更細粒度的安全保護,滿足不同主機的需求.

2.2 主機防御單元設計

根據功能需求,從系統結構角度分析,將主機防御單元分為FWA、 IDA、IRA、本地數據庫和通信Agent五大部分,如圖2所示. I

圖2 主機防御單元

DA負責本機系統和網絡的安全檢測,它使用本機數據庫中的參數,對數據進行實時分析,一旦檢測到入侵行為,則動態(tài)地改變防火墻的策略以阻止當前的攻擊.FWA根據設定參數對數據進行過濾,尤其對數據的內容進行掃描,防止隱藏在有效數據內部的攻擊.因為傳輸過程中,對數據的內容進行掃描須將整個數據都存儲在路由器等中間設備后再進行掃描,這對中間設備的要求極高,而且也嚴重影響數據的轉發(fā)速度,因此對整個數據的掃描只能放在主機防御單元內.通過 IDA與F WA協同工作,實現保護各主機的目的.為了能更好地檢測系統安全,在IDA中分出若干子Agent,對數據進行分布式處理. I RA負責監(jiān)聽 IDA發(fā)來的入侵警告,并把信息存儲到本地數據庫中,同時向域服務器發(fā)送該事件信息.

2.3 分布式系統部件的設計

在主機防御單元的設計中,主機防御單元從域服務器上下載策略在本地運行,防御攻擊等行為.在防御的同時, IDA會生成審計記錄,上層的域服務器中的D IRA通過通信代理接收該審計記錄.D I RA根據審計記錄信息生成新的安全策略,接著主機防御單元會下載該安全策略.隨后,D IRA會對下面各主機防御單元傳來的記錄綜合分析,如果確認并沒受到攻擊,則撤銷生成的安全策略;如果確定受到非法攻擊,則重新定義該域內的安全策略,該域內的所有主機防御單元通過通信代理更新策略;如果分析出受到了潛在的分布式攻擊,該域服務器會立即通過通信代理向中心服務器報告審計結果.中心服務器中的SI RA對整個網絡內的域服務器傳送來的審計結果進行系統分析,根據分析結果采取系統級的響應策略,從而對整個網絡的安全策略重新定義、更新和配置.

3 通信機制設計

采用代理機制的分布式防御系統通常會采用移動代理機制來實現代理之間的通信,方法是通過消息交換以實現代理之間通信,但這種通信方式常常會因為接收者已經離開無法收到消息,造成通信失敗.為了解決這一問題,現階段有兩種方法,一種是將系統設計成C/S結構,在中心服務器上保存所有客戶端的地址,并且要與移動代理保持同步更新.采用這種通信方式可以實現可靠通信,但由于網絡流量過大,對中心服務器的處理能力和網絡帶寬是個很大的考驗.一旦中心服務器出現問題整個防御系統也將崩潰.第二種方法是采用多個地址服務器,每個服務器負責一片區(qū)域.如:代理2要和代理1通信,首先代理2要解析代理1的地址,并將消息傳給服務器2,再由服務器2將消息傳給代理1.這種方法能有較高的容錯性,但代理每一次移動需及時更新服務器的地址,這勢必造成通信的復雜化.

為了能解決上述的問題,同時能滿足各代理在物理位置上隨意移動,通信機制又要高效、可靠,并且保證產生的流量不會影響主機的正常工作,各個代理之間的協調和組織將變得尤為重要.本系統本系統采用"主動機制"來保證移動Agent可靠、高效通信,該設計的最主要特點是消息不須移動,代理主動獲取發(fā)給它的消息,從而避免了代理在接收消息時發(fā)生移動,造成通信失敗的情況發(fā)生.為了避免某節(jié)點通信壓力過重,我們將消息放在多個節(jié)點上,等待代理去獲取.

4 結束語

該防火墻與入侵檢測協同防御系統采用了分布式的設計,提高了系統的可伸縮性、開放性和安全性.同時,將Agent的自主性、交互性和通信能力等特性引入到防御系統的體系結構設計當中,提出了一種新型的防御體系結構,能夠彌補現有分布式防火墻的中心管理主機的“瓶頸”問題,制定了“主動機制”的通信規(guī)則,避免了移動代理造成的通信失敗情況,并且有效地節(jié)約了網絡帶寬,提高系統的穩(wěn)定性.

[1]Bellovin SM.Distributed Firewalls[EB/OL].http://www. research.att.com/～s mb/papers/distfw.pdf,2004-06-25.

[2]趙戈,錢德沛,范暉.用分布式防火墻構造網絡安全體系[J].計算機應用研究,2004,21(2):106-107.

[3]劉大為,楊鯤,陳建中.Agent研究現狀與發(fā)展趨勢[J].軟件學報,2000(3):315-321.

[4]張磊,卿斯?jié)h.一個基于Agent的防火墻系統的設計與實現[J].軟件學報,2000,11(5):642-645.

[5]魏衍君,沈祥鴻.基于移動代理的分布式入侵檢測系統設計與實現[J].微計算機信息,2006,22(15):43-45.

The Design and Implementation of Agent-based I ntrusion Detection Defense System Cooperated with D istributed Firewall System

WANG Hao

(College ofManagement Science and Engineering,AnhuiUniversity of Finance and Economics,Bengbu Anhui 233030,China)

The papermakes an analysis of limitations of traditional firewall and current distributed firewall in net application.The integration of firewall and intrusion detection can raise the system’s defense.It ismore steady and safer for the net to introduce Agent technology and re-regulate and re-design the defense system and change the communication modes of defense units,and to add back-ups of central server and domain server.

distributed firewall;intrusion detection;net;cooperated defense

book=9,ebook=366

TP 393.08

A

1673-2103(2010)05-0044-04

2010-09-06

安徽財經大學青年科研項目(ACKYQ0916)

王浩(1982-),男,安徽蚌埠人,實驗師,在讀碩士研究生,研究方向:計算機網絡安全.