王立松
(武警8640部隊(duì) 河北 定州073000)
數(shù)據(jù)通信與監(jiān)控在軍隊(duì)防御系統(tǒng)中的應(yīng)用
王立松
(武警8640部隊(duì) 河北 定州073000)
針對(duì)網(wǎng)絡(luò)帶寬不斷增加,帶來(lái)的入侵防御系統(tǒng)數(shù)據(jù)傳輸速率慢,無(wú)法支持交互響應(yīng)速度等問(wèn)題,本文分析了軍隊(duì)級(jí)入侵防御系統(tǒng)的通信和監(jiān)控特點(diǎn),提出基于OCTEON CN38XX多核處理器的共享內(nèi)存通信模型,并定義了可重用的通信構(gòu)架和通信協(xié)議,實(shí)現(xiàn)系統(tǒng)的實(shí)時(shí)數(shù)據(jù)通信和系統(tǒng)交互,同時(shí)利用C/S構(gòu)架設(shè)計(jì)監(jiān)控子系統(tǒng),幫助用戶(hù)對(duì)系統(tǒng)進(jìn)行有效監(jiān)控。兩個(gè)子系統(tǒng)協(xié)同工作,提高了入侵防御系統(tǒng)的響應(yīng)速率,保證系統(tǒng)穩(wěn)定運(yùn)行。
入侵防御系統(tǒng);內(nèi)存共享;多核處理器;數(shù)據(jù)通信
近年來(lái),隨著計(jì)算機(jī)網(wǎng)絡(luò)在軍隊(duì)中的普及,軍隊(duì)的工作效率大幅提高,但同時(shí)也帶來(lái)了新的安全隱患,計(jì)算機(jī)網(wǎng)絡(luò)中的病毒對(duì)軍隊(duì)的網(wǎng)絡(luò)和信息安全形成潛在的威脅,因此能否及時(shí)的發(fā)現(xiàn)并阻止計(jì)算機(jī)網(wǎng)絡(luò)病毒,保證軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行,成為軍隊(duì)網(wǎng)絡(luò)研究者重點(diǎn)研究的內(nèi)容[1-4]。傳統(tǒng)的防火墻只能作為邊界訪(fǎng)問(wèn)控制的方法,不能防止網(wǎng)絡(luò)內(nèi)部的襲擊,對(duì)病毒不能起到防御的作用,而入侵檢測(cè)系統(tǒng)則只能以被動(dòng)的方式進(jìn)行工作,重點(diǎn)在檢測(cè)上,對(duì)病毒的攻擊則束手無(wú)策。為了應(yīng)對(duì)病毒的攻擊,幾年來(lái)基于防火墻和入侵檢測(cè)系統(tǒng)發(fā)展出新型的積極防御的入侵防御系統(tǒng),通過(guò)在網(wǎng)關(guān)位置部署安全設(shè)備,對(duì)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行深層次的檢測(cè),有效抵御應(yīng)用層的攻擊[5-8]。由于帶寬的逐步提升,入侵防御系統(tǒng)的處理速度逐步下降,本文提出基于OCTEON CN38XX多核處理器的共享內(nèi)存通信方式入侵防御系統(tǒng),提高了入侵防御系統(tǒng)的響應(yīng)速率,保證系統(tǒng)穩(wěn)定運(yùn)行。
1.1 入侵防御系統(tǒng)定義
入侵防御系統(tǒng)是一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)病毒進(jìn)行主動(dòng)檢測(cè)、主動(dòng)防范和阻止的網(wǎng)絡(luò)保護(hù)系統(tǒng)[9-10]。通過(guò)內(nèi)嵌到網(wǎng)絡(luò)流量中,對(duì)接收的外部數(shù)據(jù)進(jìn)行嚴(yán)格的檢查,只有通過(guò)檢查后的數(shù)據(jù)才能從另一端口傳出,進(jìn)入系統(tǒng)內(nèi)部,保證內(nèi)部網(wǎng)絡(luò)安全,工作原理如圖1所示。由于網(wǎng)絡(luò)上的數(shù)據(jù)越來(lái)越多,因此入侵防御系統(tǒng)的工作量也越來(lái)越大。
圖1 入侵防御系統(tǒng)工作原理圖
1.2 入侵防御系統(tǒng)相關(guān)技術(shù)
1)快速模式匹配技術(shù)
快速模式匹配技術(shù)是入侵防御系統(tǒng)的關(guān)鍵技術(shù),是系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)判斷的依據(jù)[11]。計(jì)算機(jī)病毒的攻擊常常由字符串或字節(jié)序列組成,快速模式匹配技術(shù)通過(guò)定義入侵規(guī)則描述語(yǔ)言來(lái)表示這些攻擊行為,并從網(wǎng)絡(luò)數(shù)據(jù)中將符合定義的攻擊行為過(guò)濾掉,此方法檢測(cè)效率高、操作簡(jiǎn)單和實(shí)時(shí)的更新檢測(cè)庫(kù),擴(kuò)展能力強(qiáng)。隨著網(wǎng)絡(luò)數(shù)據(jù)的增多,對(duì)入侵防御系統(tǒng)性能的要求也越來(lái)越高,通過(guò)采用高效的匹配算法是提高性能的方法之一,常見(jiàn)的模式匹配算法為單模式和多模式算法兩種。本文研究的系統(tǒng)采用WM多模式算法匹配,下章節(jié)詳細(xì)介紹。
2)入侵檢測(cè)方式
對(duì)入侵防御系統(tǒng)的評(píng)價(jià),經(jīng)常以誤報(bào)率和漏報(bào)率來(lái)衡量。入侵防御系統(tǒng)常用的入侵檢測(cè)技術(shù)分為誤用檢測(cè)和異常檢測(cè)[12]。誤用檢測(cè)通過(guò)對(duì)已知的入侵行為采用特征描述的方法進(jìn)行表示,并建立相應(yīng)的特征庫(kù),采用此方式余姚保證特征庫(kù)可以覆蓋所有實(shí)際入侵相關(guān)的所有要素信息,此種方式準(zhǔn)確率高、誤報(bào)率較低,但對(duì)新增的網(wǎng)絡(luò)攻擊更新慢。異常檢測(cè)技術(shù)一般對(duì)系統(tǒng)的內(nèi)容錯(cuò)誤進(jìn)行檢測(cè),檢測(cè)的關(guān)鍵技術(shù)為如何區(qū)分異常事件與入侵活動(dòng)之間的與閾值,在誤報(bào)和漏報(bào)中取得平衡,此技術(shù)可防御未知的入侵行為,但誤報(bào)率較高。
文中研究設(shè)計(jì)的入侵防御系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行不間斷的動(dòng)態(tài)檢測(cè),提升網(wǎng)絡(luò)防御的縱深,綜合利用特征檢測(cè)和異常檢測(cè)技術(shù),對(duì)內(nèi)部網(wǎng)絡(luò)接收的數(shù)據(jù)進(jìn)行深層次處理、檢測(cè),同時(shí)增加監(jiān)控子系統(tǒng),對(duì)網(wǎng)絡(luò)的運(yùn)行進(jìn)行實(shí)時(shí)的監(jiān)控、記錄及回放,有利于問(wèn)題的分析和故障的排查。系統(tǒng)以O(shè)CTEON CN38XX多核處理器的網(wǎng)絡(luò)硬件平臺(tái)為基礎(chǔ),具備千兆的處理能力,確保不會(huì)因?yàn)橛脩?hù)帶寬的提高而影響系統(tǒng)運(yùn)行速率。
2.1 數(shù)據(jù)通信子系統(tǒng)設(shè)計(jì)
數(shù)據(jù)通信主要完成核心處理層與系統(tǒng)監(jiān)控層之間的通信,是入侵防御系統(tǒng)的基礎(chǔ)設(shè)施之一[13]。在通信的方式上,此次采用內(nèi)存共享的通信方式,克服因數(shù)據(jù)量過(guò)多造成的系統(tǒng)通信速率慢等問(wèn)題,在初始階段分配一個(gè)空間較大的共享內(nèi)存命名塊,根據(jù)不同的監(jiān)控線(xiàn)路建立對(duì)應(yīng)的共享緩沖區(qū),減少了大量數(shù)據(jù)拷貝的次數(shù),加快數(shù)據(jù)傳輸速率。
2.2 數(shù)據(jù)通信協(xié)議
為了使系統(tǒng)的通信更加的安全,本文設(shè)計(jì)了一種通用的數(shù)據(jù)通信協(xié)議,并在數(shù)據(jù)通信的過(guò)程中,通過(guò)MD5對(duì)數(shù)據(jù)進(jìn)行加密處理,通信框架如圖2所示:
圖2 通信系統(tǒng)框架
通信的過(guò)程從系統(tǒng)的初始化開(kāi)始,之后建立命令接收和數(shù)據(jù)傳輸進(jìn)程,處理器根據(jù)不同的進(jìn)程,調(diào)用不同的處理程序進(jìn)行數(shù)據(jù)處理[14-15]。數(shù)據(jù)通信系統(tǒng)與監(jiān)控系統(tǒng)之間通過(guò)命令驅(qū)動(dòng)的方式進(jìn)行數(shù)據(jù)傳遞,數(shù)據(jù)單元的格式如圖3所示,共有七部分。
圖3 數(shù)據(jù)單元格式
2.3 內(nèi)存共享接口設(shè)計(jì)
在軍隊(duì)級(jí)入侵防御系統(tǒng)中,數(shù)據(jù)通信子系統(tǒng)運(yùn)行在cnMIPS核心上,而系統(tǒng)的核心處理層程序運(yùn)行在多個(gè)cnMIPS核心上,而兩者之間的通信設(shè)計(jì)多處理器之間的交互,而且之間的信息量較大,如果采用內(nèi)存共享,通信的效率會(huì)大幅提升,此次設(shè)計(jì)的內(nèi)存共享模型如圖4所示。
圖4 內(nèi)存共享結(jié)構(gòu)圖
共享內(nèi)存的設(shè)計(jì)主要包含分配命名共享內(nèi)存塊、初始化共享緩沖區(qū)、向緩沖區(qū)寫(xiě)入數(shù)據(jù)信息、對(duì)緩沖區(qū)寫(xiě)數(shù)據(jù)及從緩沖區(qū)的節(jié)點(diǎn)中讀取數(shù)據(jù),具體的操作如下:
入侵防御監(jiān)控子系統(tǒng)是核心處理層應(yīng)用程序和用戶(hù)之間的溝通橋梁,是監(jiān)控網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況的關(guān)鍵,主要對(duì)當(dāng)前網(wǎng)絡(luò)的流量信息、風(fēng)險(xiǎn)狀況及違規(guī)事件進(jìn)行監(jiān)督和控制,保證網(wǎng)絡(luò)處于安全防護(hù)狀態(tài)。
本文所設(shè)計(jì)的子系統(tǒng)采用C/S模式的私有化管理協(xié)議,客戶(hù)端具有完整的應(yīng)用程序,具有良好的人機(jī)界面,方便用戶(hù)管理核心處理層的各種業(yè)務(wù)處理,對(duì)系統(tǒng)的警告事件進(jìn)行實(shí)時(shí)顯示,系統(tǒng)的功能結(jié)構(gòu)圖如圖5所示,同時(shí)C/S模式是配對(duì)的點(diǎn)對(duì)點(diǎn)結(jié)構(gòu),適合安全性能好的網(wǎng)絡(luò)協(xié)議。該模式具有兩層結(jié)構(gòu),網(wǎng)絡(luò)通信只發(fā)生在客戶(hù)端和服務(wù)器端,信息量較少。
圖5 監(jiān)控系統(tǒng)功能框圖
網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)控程序是監(jiān)控子系統(tǒng)的核心程序,采用模擬雷達(dá)的方式對(duì)被監(jiān)控網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的掃描監(jiān)控,并將主機(jī)和子網(wǎng)絡(luò)進(jìn)行模擬顯示。在檢測(cè)網(wǎng)絡(luò)攻擊的過(guò)程中,按照攻擊的影響程度將網(wǎng)絡(luò)攻擊劃分不同等級(jí),并用不同的顏色進(jìn)行顯示。例如當(dāng)核心處理層遭受到攻擊時(shí),監(jiān)控子系統(tǒng)首先將攻擊轉(zhuǎn)換成對(duì)應(yīng)的顏色,以此來(lái)提示管理人員此次攻擊的強(qiáng)度和影響程度。程序處理流程如圖6所示。
圖6 監(jiān)控程序流程圖
文中設(shè)計(jì)的入侵防御系統(tǒng)采用基于OCTEON CN38XX多核處理器的共享內(nèi)存的通信方式,提高了入侵防御系統(tǒng)的響應(yīng)速率,保證系統(tǒng)穩(wěn)定運(yùn)行。同時(shí)采用了基于C/S結(jié)構(gòu)的監(jiān)控子系統(tǒng),設(shè)計(jì)了良好的人機(jī)交互界面,將網(wǎng)絡(luò)攻擊進(jìn)行等級(jí)劃分,方便現(xiàn)場(chǎng)管理人員對(duì)不同的網(wǎng)絡(luò)攻擊采取有效的防范措施,保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。
[1]劉積芬.非負(fù)矩陣分解降維的入侵檢測(cè)方法[J].計(jì)算機(jī)工程與應(yīng)用,2012(30):46-49.
[2]熊偉,胡漢平,王祖喜,等.基于突變級(jí)數(shù)的網(wǎng)絡(luò)流量異常檢測(cè)[J].華中科技大學(xué)學(xué)報(bào):自然科學(xué)版,2011(1):131-135.
[3]張雪芹,顧春華,吳吉義.異常檢測(cè)中支持向量機(jī)最優(yōu)模型選擇方法[J].電子科技大學(xué)學(xué)報(bào),2011(4):8-18.
[4]梅海彬,龔儉,張明華.基于警報(bào)序列聚類(lèi)的多步攻擊模式發(fā)現(xiàn)研究[J].通信學(xué)報(bào),2011(5):27-36.
[5]包振,何迪.一種基于圖論的入侵檢測(cè)方法[J].上海交通大學(xué)學(xué)報(bào),2010(9):69-73.
[6]潘磊.部隊(duì)通信單位的網(wǎng)絡(luò)安全防護(hù)研究[D].北京:中國(guó)石油大學(xué),2010.
[7]蔣偉.軍隊(duì)信息網(wǎng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究與設(shè)計(jì)[D].長(zhǎng)沙:湖南大學(xué),2011.
[8]車(chē)明明.入侵防御系統(tǒng)關(guān)鍵技術(shù)的研究[D].成都:電子科技大學(xué),2013.
[9]王國(guó)棟.基于Snort的入侵防御系統(tǒng)的研究與實(shí)現(xiàn)[D].哈爾濱:哈爾濱理工大學(xué),2012.
[10]韓偉.基于行為的主機(jī)入侵防御系統(tǒng)研究與實(shí)現(xiàn)[D].哈爾濱:哈爾濱理工大學(xué),2011.
[11]白巖.基于主機(jī)的小型入侵防御系統(tǒng)的研究與應(yīng)用[D].大連:大連交通大學(xué),2010.
[12]韓玉婷.入侵防御系統(tǒng)的研究與關(guān)鍵技術(shù)的實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2011.
[13]胡剛.云防御系統(tǒng)中用戶(hù)隱私保護(hù)機(jī)制研究[D].武漢:華中科技大學(xué),2012.
[14]徐鑫.入侵防御系統(tǒng)攻擊特征庫(kù)的建立方法研究[D].成都:電子科技大學(xué),2011.
[15]郁繼鋒.基于數(shù)據(jù)挖掘的Web應(yīng)用入侵異常檢測(cè)研究[D].武漢:華中科技大學(xué),2011.
Application of data communication and monitoring in military defense system
WANG Li-song
(Armed Police Force 8640,Dingzhou 073000,China)
For network bandwidth continues to increase, the intrusion prevention system data transmission rate slow,unable to support interactive response speed,this paper analyzes the forces level intrusion defense system of communication and monitoring features,put forward based on octeon cn38xx multi processor shared memory communication model and define the communication architecture and communication protocol of reuse,the realization of the system of real-time data communication between the system and,at the same time,the C/S architecture design monitoring subsystem,help users effectively monitors the system.Two subsystems work together,improves the intrusion defense system and the response rate,to ensure the stable operation of the system.
intrusion prevention system;memory sharing;multi core processor;data communication
TN918
A
1674-6236(2017)10-0136-04
2016-07-11稿件編號(hào):201607091
國(guó)家自然科學(xué)基金(61262003)
王立松(1980—),男,河北吳橋人,碩士研究生,工程師。研究方向:電子通信及網(wǎng)絡(luò)工程。