一種高性能入侵檢測平臺的研究

(1.上海海事大學，上海 200135；2.上海三零衛士信息安全有限公司，上海 201204)



摘要：為了解決日益重要的主機入侵檢測的需要，針對多種操作系統平臺(Windows、HP UNIX、IBM AIX、SUN)開發出不同于傳統的網絡入侵檢測系統，該系統與網絡入侵檢測以及審計和智能響應相組合，采用控制中心—事件匯集器—主機探頭三層體系構成高性能的入侵檢測平臺摘要內容。

關鍵詞：信息安全；入侵檢測；主動防御;操作系統

中圖分類號：TP39308文獻標志碼：A

文章編號：1001-3695(2008)11-3455-02



Research of high performance intrusion detection platform



WEI Zhong1，CHEN Chang-song2

(1.Shanghai Maritime University， Shanghai 200135， China;2.Shanghai 30Wish Information Security Company， Shanghai 201204， China)

Abstract:In order to solve the need ofhost-basedintrusion detection， developed in view of many kinds of operating system platform (Windows， HP UNIX， IBM AIX， SUN )which was different with the traditional network intrusion detection platform system， this system using the control center-event to collect-the host-poke head in three systemsbuild uphigh performance intrusion detection platform gathers the network intrusion detection as well as the audit system and the intelligent response system. 

Key words:information security; intrusion detection; active defence; operation system

入侵檢測技術IDS是一種主動保護自己免受攻擊的一種網絡安全技術。它通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。隨著網絡的廣泛應用，入侵檢測技術也在各行各業得到了廣泛推廣。但隨著各類用戶對信息安全要求的提高，網絡安全的含義越來越廣，已不僅指整個網絡，而更具體到一臺臺重要的主機、關鍵服務器（如文件服務器、郵件服務器）等。主機入侵檢測系統從網絡安全的立體縱深、多層次防御的角度出發為給多種網絡應用提供安全、可靠的服務。

主機入侵檢測系統是針對具體主機和服務器的保護，與被保護的系統密切相關，不同操作系統的服務器要求不同的主機入侵檢測系統。目前，國內廠商基本都只提供了針對Windows服務器的入侵檢測保護，個別廠商提供了針對SUN-Solaris的保護，而對于HP-UX和IBM-AIX的保護完全是一個空白，而HP、IBM和SUN這三類服務器占有了90%的高端服務器市場。雖然國外部分安全廠商提供了適用性較廣的主機入侵檢測系統，能保護包括HP、IBM和SUN在內的主機系統，但是信息安全是涉及國家政治、經濟、軍事安全利益的重中之重。從美國對伊戰爭中使用的信息戰（包括采取高科技手段對對方的通信設施進行信息掌控，以及襲擊對方的電腦網絡系統）可以看出，單純依賴國外產品構筑安全防護體系會對本國的信息安全和國家安全帶來極大的隱患。本項目針對上述市場需要的主機入侵檢測系統技術進行研究。在 “應急響應和事件恢復技術”的成果：入侵檢測技術、綜合日志審計技術、數據和文件完整性檢測技術和系統事件智能響應控制中心技術的基礎上進行技術改進，開發主機入侵檢測產品。

1高性能入侵檢測工具的設計

11設計原理和步驟

項目利用已有成果入侵檢測技術、綜合日志審計技術、數據、文件完整性檢測技術和系統事件智能響應控制中心技術以及鷹眼主機入侵檢測系統v1.0，將現已支持HP-UX和IBM-AIX環境的入侵檢測拓展到包括SUN-Solaris在內的更多操作系統環境中，并研發雙機熱備/服務器集群下的主機入侵檢測，同時將現有產品系列化，并作必要的技術改進和用戶定制。項目總體開發原理和步驟如圖1所示。

12系統的部署和組成

針對高端服務器需要特殊的安全保護，本項目將入侵檢測、日志審計和文件完整性保護結合于一體，對來自網絡以及本地主機的訪問進行全面分析，不僅監聽服務器網絡接口的網絡數據，還從系統日志的錯誤信息、非法的文件改動中偵測出入侵行為，及時報告給系統管理員。

高性能主機入侵檢測系統采用了主機探頭/控制中心形式。主機探頭，即主機型入侵檢測客戶端，安裝在受保護的關鍵服務器上，包括HP、IBM和SUN等高端服務器，監視服務器的網絡數據以及日志審計和文件完整性保護，并在發現異常時進行本地響應。控制中心是主機型入侵檢測監控中心， 集中管理多個主機探頭，進行策略分配和資料、報警收集。

本研究采用三層式（控制中心—事件匯集器—主機探頭）的架構實現主機探頭和控制中心的聯系。控制中心通過事件匯集器控制主機探頭，收集各個主機探頭的資料，主機探頭回報給事件匯集器并將數據存儲到數據庫中以及顯示在控制中心上。事件匯集器通過加密的方式傳送主機探頭和控制中心的數據傳輸。系統部署如圖2所示。

13系統原理和組成模塊

高性能主機入侵檢測系統是新一代主機入侵檢測系統，它包含了傳統的網絡入侵檢測技術和主機保護技術，項目已完成了各功能模塊的開發；入侵檢測技術、綜合日志審計技術、數據、文件完整性檢測技術和系統事件智能響應控制中心技術將研究成果應用在本項目中。

由于在高端服務器市場中，HP、IBM和SUN占據了90%的份額，在此類高端服務中，本項目還將產品擴展到SUN-Solaris平臺上，并根據市場需求適時地擴展到其他平臺。另外，高端服務器為了保持其高可用性，通常使用了雙機熱備甚至服務器集群技術，因此面對集群環境的主機入侵檢測尚需開發。本項目目前正在進行此類技術的研究和開發，已完成對HP集群環境的研究，HIDS已經可自動判斷HP集群環境下節點運行狀態，即時智能調節運行狀態，以保證在突發情況下仍可正常進行入侵檢測，而不影響網絡的集群服務。

2關鍵技術的設計思路

21針對關鍵UNIX服務器（HP、IBM和SUN）保護

高性能主機入侵檢測系統定位于HP-UX、IBM-AIX和SUN-Solaris等高端服務器，本研究通過對該類UNIX系列主機的深入研究，開發出一套專家級的信息安全性檢測規則，并通過長期嚴格的實際環境測試，可充分保障服務器安全、高效、持久地運行。

HP-UX、IBM-AIX和SUN-Solaris這三類UNIX服務器占據著高端服務器的很大一部分市場，但是卻沒有基于該平臺的HIDS。HP-UX、IBM-AIX或是SUN-Solaris都與Windows系統，不論是軟件的開發環境，還是需要監控的文件結構類型，以及在底層的接口上，都有很大的區別，因此在開發上存在一定的難度。同時，高性能主機入侵檢測系統使用了主機探頭/控制中心形式，控制中心可以同時集中管理和監控各探頭，因此還需要對HP-UX、IBM-AIX和SUN-Solaris以及其他UNIX系統下不同的數據格式進行規范化，以便于事件的統一入庫，從而實現對不同服務器的HIDS的集中管理和統一報表生成。三零衛士完全自主地實現了不同服務器數據的規范化，以及客戶端和控制中心之間的網絡數據傳輸。

22三合一全方位保護

高性能主機入侵檢測系統從加強服務器的系統安全和應用軟件自身安全出發，將入侵檢測、日志審計和文件完整性保護結合于一體，對來自網絡以及本地主機的訪問進行全面分析，從系統日志的錯誤信息、非法的文件改動以及可疑的網絡信息包數據中偵測出入侵行為，及時報告給系統管理員。



高性能主機入侵檢測系統使用了主機探頭/控制中心的結構，通過該結構，不僅可以審查主機日志管理和文件完整性保護，同時還可以監視整個網絡的入侵和攻擊行為，進行實時入侵活動的探測，同時還能進行服務器本地響應和集中自動響應。

從這些方面可以看出，高性能主機入侵檢測系統是NIDS和傳統HIDS的統一體，具有了通常的NIDS和HIDS的多項功能，可以更全面地保護關鍵服務器免受來自網絡、或是來自服務器內部人員的攻擊和濫用。

本項目的高性能主機入侵檢測系統作為完整安全防御體系中的重要組成部分，它支持系統事件智能響應控制中心的系統安全事件預案策略庫和專家安全知識庫體系格式，在發生攻擊時，不僅能按威脅嚴重程度提出不同的報警，還支持整體緊急預案響應。

3結束語

本項目成功地將主機入侵檢測技術與網絡入侵檢測技術結合形成新一代高性能入侵檢測工具。系統通過主機網絡端口來截獲數據，識別網絡攻擊行為，并根據用戶自定義的安全策略對主機進行監控，系統能自動響應安全事件，記錄安全事件詳細信息，并提供實時報警，切斷非法連接，自動生成安全審計報告，提供基于Web界面的用戶管理，實現了基于網絡節點型與UNIX主機型結合的系統安全保護，并采用64 bit算法優化技術，加速識別攻擊行為，降低系統資源損耗。本項目主要由主機探頭系統、控制中心系統兩部分組成，采用了三層式 （控制中心—事件匯集器—主機探頭）的架構，將入侵檢測、日志審計和文件完整性保護結合于一體，是高性能的入侵檢測和安全保護工具。本項目產品支持企業級以太網環境，適用于政府機關、金融、保險、電力電信等行業，可用于HP、IBM和SUN這些關鍵服務器的入侵檢測和安全保護。

參考文獻：

［1］

李全存，劉東飛，張旋.基于攻擊樹的分布式入侵檢測系統的研究[J].計算機與數字工程 ， 2007，35(2):101-104.

[2]陳蜀宇.分布式自治型入侵檢測系統研究[J].計算機工程，2007，33(6):139-140.

[3]劉寶旭，安德海，許榕生.基于hash函數和自動恢復技術的網站抗毀系統研究與實現[J].計算機工程與應用， 2001，37(24):20-21.

[4]魏忠，葉銘，卿昊.基于策略的信息安全應急響應機制的研究[J].信息技術，2003，27(2):14-16.

[5]李春光，趙彬，周保群.一種基于行為的主機入侵防護系統設計與實現[J].計算機工程，2007，33(6):129-131.