網(wǎng)格環(huán)境下網(wǎng)格入侵防御系統(tǒng)的應(yīng)用

　　摘 要： 本文把入侵防御系統(tǒng)（GIPS）應(yīng)用在網(wǎng)格安全領(lǐng)域，實現(xiàn)網(wǎng)格環(huán)境下網(wǎng)格入侵防御系統(tǒng)。應(yīng)用入侵防御到快速成長的網(wǎng)格中來，改善網(wǎng)格環(huán)境中應(yīng)用系統(tǒng)的安全性是個新領(lǐng)域。本文提出的靈活的入侵防御結(jié)構(gòu)，適合網(wǎng)格環(huán)境下的安全需求。
　　關(guān)鍵詞： 網(wǎng)格入侵防御系統(tǒng)（GIPS） 網(wǎng)格技術(shù) 入侵防御
　　
　　1.引言
　　網(wǎng)格是通過開放的網(wǎng)絡(luò)環(huán)境向用戶提供服務(wù)的，因此它不可避免地要涉及到網(wǎng)絡(luò)安全問題。并且，與傳統(tǒng)網(wǎng)絡(luò)應(yīng)用相比，網(wǎng)格的目標(biāo)是實現(xiàn)更大范圍和更深層次的資源共享，所以它存在更重要的安全問題，并提出了更高的安全需求。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比，網(wǎng)格計算環(huán)境極其復(fù)雜，它具有大規(guī)模、分布、異構(gòu)、動態(tài)、可擴(kuò)展等特性，因此與傳統(tǒng)的網(wǎng)絡(luò)安全相比，網(wǎng)格安全所涉及的范圍更廣，解決方案也更加復(fù)雜。由于網(wǎng)格對安全有更高的要求，因此網(wǎng)格需要如入侵防御的第二道安全防線，它是非常重要的網(wǎng)格安全機(jī)制，來防止網(wǎng)格被穿透和入侵，為網(wǎng)格提供更全面的保護(hù)。
　　2.關(guān)鍵技術(shù)分析（網(wǎng)格與入侵防御技術(shù)的結(jié)合）
　　網(wǎng)格是通過開放的網(wǎng)絡(luò)環(huán)境向用戶提供服務(wù)的，因此它不可避免地要涉及到安全問題。入侵防御技術(shù)作為一種新出現(xiàn)的網(wǎng)絡(luò)安全技術(shù)，因其具有主動防御的功能，成為目前研究的新熱點(diǎn)。IPS與防火墻和IDS不同，它是一個能夠?qū)θ肭诌M(jìn)行檢測和響應(yīng)的“主動防御”系統(tǒng)，為此本文提出一個新的構(gòu)思：把入侵防御技術(shù)運(yùn)用到網(wǎng)格安全領(lǐng)域中來，從而進(jìn)一步解決網(wǎng)格安全問題。并提出了網(wǎng)格入侵防御系統(tǒng)（GIPS）結(jié)構(gòu)，在這基礎(chǔ)上實現(xiàn)網(wǎng)格入侵防御系統(tǒng)（GIPS）。
　　3.網(wǎng)格入侵防御系統(tǒng)（GIPS）
　　3.1網(wǎng)格入侵防御系統(tǒng)的結(jié)構(gòu)
　　網(wǎng)格入侵防御系統(tǒng)中各部分功能描述如下。
　　3.1.1 IPS節(jié)點(diǎn)
　　所有進(jìn)入網(wǎng)格內(nèi)部的數(shù)據(jù)都要通過IPS節(jié)點(diǎn)，IPS節(jié)點(diǎn)負(fù)責(zé)采集高速數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行過濾分析。
　　3.1.2調(diào)度機(jī)
　　分發(fā)IPS節(jié)點(diǎn)采集的數(shù)據(jù)到IPS分析機(jī)群，根據(jù)IPS分析機(jī)群中各分析機(jī)的負(fù)載情況，按照負(fù)載均衡的原則，將數(shù)據(jù)流分發(fā)到各分析機(jī)。
　　3.1.3 IPS分析機(jī)群
　　IPS分析機(jī)群由多臺入侵分析的機(jī)器組成，多臺分析機(jī)組成一個機(jī)群系統(tǒng)，共同對大量的數(shù)據(jù)進(jìn)行檢測分析。
　　3.1.4 IPS日志服務(wù)器和升級服務(wù)器
　　我們IPS系統(tǒng)中其日志服務(wù)器是遠(yuǎn)程管理的，這種結(jié)構(gòu)有利于我們統(tǒng)一管理各用戶，也便于所有的資源共享，比如，一旦通過日志服務(wù)器發(fā)現(xiàn)任何一個用戶的誤報情況，我們就可以把這信息共享給所有用戶。
　　3.2網(wǎng)格入侵防御系統(tǒng)的實現(xiàn)
　　網(wǎng)格入侵防御系統(tǒng)設(shè)計和實現(xiàn)的核心部分在于IPS節(jié)點(diǎn)對攻擊數(shù)據(jù)的阻斷，IPS分析機(jī)群的入侵防御和調(diào)度機(jī)調(diào)度算法的設(shè)計與實現(xiàn)。下面給出核心部分的設(shè)計與實現(xiàn)過程QheR7RJi5DXcPHOusO7GNUyieQVCf2WsZfOeIi85i34=。
　　3.2.1 IPS節(jié)點(diǎn)的設(shè)計與實現(xiàn)
　　IPS節(jié)點(diǎn)是在FreeBSD系統(tǒng)上來實現(xiàn)其系統(tǒng)，包括以下幾個組成部分。
　　橋架，通過C語言實現(xiàn)。這是因為它的速度和容易與FreeBSD系統(tǒng)和過濾引擎通信。橋架是與網(wǎng)絡(luò)接口互動作用，把數(shù)據(jù)傳給過濾引擎處理，橋架將會確保所有到達(dá)IPS節(jié)點(diǎn)的數(shù)據(jù)包，將會被listen（）所接受。使用橋架技術(shù)，這樣使得IPS節(jié)點(diǎn)采用的是MAC地址，本身就不需要IP地址，從而IPS節(jié)點(diǎn)更加安全，不易受到攻擊。
　　過濾引擎，是柏克萊數(shù)據(jù)包過濾器（Berkeley Packet Filter）機(jī)制對數(shù)據(jù)過濾。過濾掉些不相關(guān)的數(shù)據(jù)，減輕分析機(jī)的處理負(fù)擔(dān)。
　　管理控制平臺，是聯(lián)系升級和日志服務(wù)器。Mastersocket函數(shù)提供給接收來自升級和日志服務(wù)器的指令功能。
　　監(jiān)視卡，如果IPS節(jié)點(diǎn)發(fā)生異常的情況（舉例來說磁盤損壞，處理器失效，記憶故障，停電等等），監(jiān)視卡將會旁路IPS硬件。這一功能確保在IPS節(jié)點(diǎn)發(fā)生異常時網(wǎng)格能正常通信。
　　3.2.2 IPS分析機(jī)群的入侵防御系統(tǒng)的設(shè)計與實現(xiàn)
　　IPS分析機(jī)群的入侵防御系統(tǒng)也是在FreeBSD系統(tǒng)上來實現(xiàn)。其核心的部分是規(guī)則引擎，對數(shù)據(jù)報進(jìn)行分析，檢測數(shù)據(jù)是否含有攻擊數(shù)據(jù)。在規(guī)則引擎的設(shè)計中，運(yùn)用協(xié)議分析技術(shù)提高了檢測的準(zhǔn)確性和效率。圖2是協(xié)議分析的模塊。
　　協(xié)議分析技術(shù)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。這種技術(shù)所需的計算量大量減少，即使在高負(fù)載的網(wǎng)絡(luò)上，也可以探測出各種攻擊，并對其進(jìn)行更詳細(xì)的分析而不會丟包，更適合于高速的網(wǎng)絡(luò)環(huán)境。
　　3.2.3調(diào)度算法的設(shè)計與實現(xiàn)
　　調(diào)度機(jī)實現(xiàn)資源調(diào)度，我們提出負(fù)載函數(shù)L（t），根據(jù)給出的些負(fù)載參數(shù)，比如：分析機(jī)的CPU使用情況C（t），分析機(jī)的內(nèi)存使用率M（t），剩余數(shù)據(jù)包的量R（t），等等。通過這些參數(shù)來設(shè)計高效的算法，合理的來分配資源。這里給出了一個簡單的模型：L（t）=C（t）+M（t）+R（t）。目前我們負(fù)載函數(shù)還有待進(jìn)一步研究。
　　3.2.4測試
　　在測試中我們把系統(tǒng)放到真實的網(wǎng)格環(huán)境中來，其中被保護(hù)的網(wǎng)格資源服務(wù)器的IP地址是218.80.193.141。監(jiān)視日志服務(wù)器的日志情況，在很短的時間內(nèi)就發(fā)現(xiàn)大量的攻擊存在。圖3是GIPS系統(tǒng)測試時得到的部分日志情況。
　　其中Port：攻擊端口號，Count：攻擊的次數(shù)，Data：阻斷的攻擊數(shù)據(jù)。
　　4.結(jié)語
　　本文提出了在網(wǎng)格環(huán)境中部署入侵防御系統(tǒng)，通過入侵防御的技術(shù)的運(yùn)用，進(jìn)一步提高網(wǎng)格的安全性能。本文給出了網(wǎng)格入侵防御系統(tǒng)的結(jié)構(gòu)，并在此基礎(chǔ)上基本實現(xiàn)了這個系統(tǒng)，特別是在該系統(tǒng)中的入侵檢測的過程中運(yùn)用協(xié)議分析技術(shù)，大大提高了檢測的準(zhǔn)確率。在后面的工作中我們將需要進(jìn)一部完善分析機(jī)群的協(xié)同工作，使其提高處理能力。
　　
　　參考文獻(xiàn)：
　　［1］Geng Yang，Chunming Rong，and Yunping Dai：A Distributed Honeypot System for Grid Security.M.Li et al.（Eds.）：GCC 2003，LNCS 3032，pp.1083—1086，2004.
　　［2］Fang-Yie Leu，Jia-Chun Lin，Ming-Chang Li，Chao-Tung Yang：A Performance-Based Grid Intrusion Detection System.Proceedings of the 19th International Conference on Advanced Information Networking and Applications（AINA’05）1550-445X/05.
　　［3］M.Tolba，M.Abdel-Wahab，I.Taha，and A.Al-Shishtawy， “Distributed Intrusion Detection System for Computational Grids”Second International Conference on Intelligent Computing and Information Systems，March，2005.
　　［4］M.F.Tolba M.S.Abdel-Wahab I.A.Taha A.M.Al-Shishtawy：GIDA：Toward Enabling Grid Intrusion Detection Systems.
　　［5］I.Foster，C.Kesselman，G.Tsudik，S.Tuecke：A Security Architecture for Computational Grids.
　　［6］聶林，張玉清.入侵防御系統(tǒng)的研究與分析.全國網(wǎng)絡(luò)與信息安學(xué)術(shù)研討會，2004.
　　［7］劉國華.網(wǎng)格環(huán)境下分布式入侵檢測技術(shù)的應(yīng)用.檔案學(xué)通訊，2004.
　　［8］房向明，楊壽保，郭磊濤，張蕾.網(wǎng)格計算系統(tǒng)的安全體系結(jié)構(gòu)模型研究.計算機(jī)科學(xué)，2009.2.15：763-65.