基于安全域和可信基的网络容侵系统模型.pdf

《基于安全域和可信基的网络容侵系统模型.pdf》由会员分享，可在线阅读，更多相关《基于安全域和可信基的网络容侵系统模型.pdf（7页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、基于安全域和可信基的网络容侵系统模型基于安全域和可信基的网络容侵系统模型 周志勇 唐家益（南京邮电学院计算机科学与技术系，南京 210003）摘摘 要要 为保护大的服务器群组，继防火墙和入侵检测技术之后，容侵技术成为 网络安全发展的一个新方向。本文在对计算机系统资源进行划分的基础上 提出了基于安全域和可信基的网络容侵系统模型。关键词关键词 容侵 安全 攻击 中图分类号：中图分类号：TP393.08 文献标识码：文献标识码：A 一引言一引言 目前常用防攻击的安全技术是防火墙和入侵检测技术。防火墙技术发展的较早，能够有效的抵御大多数已知的简单网络攻击。入侵检测技术(IDS)则主要根据已知的入侵技术

2、的特征来识别来自网内外的入侵。一般它比防火墙技术具有更多的智能，也能抵挡更多更复杂的入侵。但这两种技术都存在着不足之处。防火墙一般应用在网络的较低层，对于针对具体应用服务的攻击往往无能为力，而且它不能抵御来自内网的攻击。虽然 IDS 技术能弥补防火墙的不足，但其需要具体的攻击特征，随着攻击类型的增加，特征库会不断增大，无法有效应对不明特征的攻击，且有漏检，误检的情况。另外，这两类系统都不能解除由系统自身漏洞引起的故障。针对这些情况，参考生物的免疫特性（生物体对于各种病菌具有一定的免疫性，能自动衍生出不同的免疫方法，瓦解病菌对生物体的伤害），提出一种更深层次抗攻击的方法-容侵系统（Intrusi

3、on Tolerant System）。容侵系统针对目前主要的安全问题，如迁移/恶意代码，拒绝服务攻击，内部的误用和恶意行为，以及由于系统自身漏洞造成的故障。要求系统需要具有耐攻击的可操作性，当系统受到攻击或者有不明故障，不能以全功能进行工作时，系统能够无边界的退化（退化，系统在受到攻击时，不是完全崩溃，而是维持有限的原系统功能），同样要求系统在具有威胁性的环境下有动态安全转换，可执行和可组织的的能力。总的来说，容侵系统的服务对象通常是一些大规模的服务器集群，应付的是那些防火墙和 IDS 不能有效阻挡的，已渗入系统的攻击。二模型建立基础 二模型建立基础 一个完整的计算机系统可看作由资源和控制两

4、部份构成。资源有多种分类方式，在这里分为两种,系统自身资源 SR(System Resource)和外加资源AR(Additional Resource)。系统资源 SR 一般都可被量化。例如，处理器资源，存储器资源，网络带宽资源。这些资源在运行过程中，其总量可以量化，其使用程度也可以量化，如处理器负荷，存储器使用率，带宽占用情况。可以通过检测这些资源的状况，建立某种尺度来度量系统的运行状况。附加资源 AR 则是寄宿在 SR 上的，以电磁等形式存在，由 SR 操控的信息资源。在这里一般指的是较高级的形式，例如文字，数字，图像或者某种服务等。并且 AR 也具有一定的特性，比如完整性，一致性，秘密

5、性。这两种资源都可能受到破坏造成故障，并且既可以是独立的，也可以是相互交叉的。例如遭受到 DoS 攻击时，作为 SR 的处理器负荷可能急剧上升，对有些 AR 可能没有影响，如h t t p:/w w w.e l e c f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛数据的秘密性，一致性并没有受到破坏。但也可能对 AR 造成影响，比如由于处理器高负荷运转，网络超设计指标运转时，就可能使某些应用服务不能及时得到响应。而当 AR 受到影响时，比如数据的秘密性，一致性受到破坏时，对于 SR 可能并没有影响。但某些 AR 受

6、到影响时，比如由于盗链，视频服务器不堪重负，就可能使 SR，如处理器或网络资源超负荷运转，引起异常故障。图图 一一 控制在冯氏结构来讲就是调配资源的可执行代码。现有的基于模式匹配的入侵检测技术主要是监视可执行代码，它建立在这样的假设上：攻击特征库里定义的攻击代码特征是攻击者最有可能应用在实际中的攻击代码，那些没在特征库里的攻击代码使用是非常困难，甚至是不可能的。这种模型太过于理想，即使存在的话，使用起来也太复杂和太短暂，因为攻击者使用的技术很难定义，且不断变化，所以入侵检测才会不断有漏检和误检产生。研究大量的攻击方法可发现，攻击目的是有限的，造成的系统问题也可总结分类。所以存在不关注具体的代码

7、，而是关注具体系统故障表现，然后再回溯造成故障代码的可能性。容错系统更加关注的是系统的表现行为及系统状况，而不是具体可能造成侵害的代码。根据对系统资源的分类，与层出不穷的攻击方法相比，可认为构建在一定资源之上的系统的表现和状况是有限，其故障也是有限的，并且在一定程度上是可量化的，最简单的如正常，不正常，崩溃。所以可建立起基于故障类型的系统安全模型。三模型 三模型 在资源分类的基础上，建立两类故障模型。一类是 SR 故障模型，另一类是 AR 故障模型。SR 模型关注系统固化资源，这些资源种类是有限的，可集中在 CPU,存储器，网络带宽等上，所以比较稳定单一，且较容易实现。而 AR 模型针对的是较

8、具体的应用，所以相对较复杂，在实现上要对具体的应用做具体的配置，比如针对数据非一致性的，针对数据失密的等。这两种模型是可混杂的，因为某些故障可能造成这两种资源的同时受侵害。与故障模型相对应的是系统故障恢复模型。通常把故障恢复模型分两类，一类是可控故障恢复模型（通常与具体的 AR 故障在本质和数量上都是相关的），一类是不可控故障恢复模型（与 AR 故障无关）。首先结合故障模型，运用一定的方法对受侵害的系统，数据，服务等具体故障实体进行评估，量化可控故障和不可控故障。例如，网络故障是不可控的，但软件组件故障却是系统可控故障（和组件的型号和数量相关）。进一步，如果是可控故障，则根据具体的 AR 内容

9、，再量化为不同的级别。级别不同，系统的退化程度不同，如半负荷，有限负荷，或停止服务等，使用不同的恢复方法，如部分恢复，彻底恢复等。如果是不可控故障，则彻底恢复或等待检修。h t t p:/w w w.e l e c f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛 HR:混合故障 HR:混合故障 图 二 四域和可信基图 二 四域和可信基 在故障模型和恢复模型的基础上，提出系统的两个主要特征：安全域和可信基。每一个安全域是由人为划定的需要保护的最小安全单位。系统被定义为一系列安全域的组合，各个域之间具有边界。域的定义可

10、伸缩，如，一台主机可以是一个安全域，虽然攻击者在可能在一台主机上取得了特权，但由于边界的存在，他并不能自动取得另外一台主机的特权。又如，一个具有防火墙的局域网也是一个同从其他网络分离的域。安全域被视作是受限的私人域，不同的权限具有不同的操作级别，某种攻击被认为需要一定的时间从一个安全h t t p:/w w w.e l e c f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛域渗透到另外一个。边界使入侵者要跨越域存在困难。相关的安全域使用安全通信协议可组成更高层的组通信系统。并且域组可嵌套，从而可以构成多层边界。安全

11、域主要通过加密，一致性检验，权限认证等技术来保证域的正常运行。在安全域中，要求域具有实时监控能力，由分布在各个域中的监控器来完成，以了解域中组件的运行情况。不同的域组件都配备有不同的故障模型。一旦监控器发现异常情况，就运行故障诊断器评估系统的受损状况。诊断中需要结合故障模型，运用一定的算法来量化受损程度，并防止伤害进一步扩展。最后就是系统恢复，针对不同的安全域，可配用故障模型和故障恢复模型中的一类，（例如 Web 服务器就使用 Web 服务器的故障模型和故障恢复模型）根据量化的系统受损状况来恢复系统。同时运用迷惑性的技术，如使系统行为表现为随机性和不确定性的快速重构技术，使功能快速转移的迁移技

12、术，隐藏系统特性的隐蔽技术等，使攻击者无法正确定位系统，以赢得时间来恢复系统和阻断再进攻。图图 三三 在安全通信系统组中（安全域组），只有一个域可被完全信任，称为可信计算基，而其他组成员平等的信任对方，并可被中断。这样的系统能忍受部分域组件的故障，使系统持续运作（类似生物学上某些生物在受到侵害的时候，以牺牲受害机体来保持生物体的存活）。通常，功能越简单，出现安全纰漏的机会越小，所以为了使可信基做到最大的安全化，可信基只实现最主要的安全功能，并且采用分布式冗余（宿居在多于一台主机上）和软件工程（宿居在不同操作系统上，采用不同版本）等方法来保证其可靠性。h t t p:/w w w.e l e c

13、 f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛可信基采用高强度的公钥机制来保证服务的可信，由于可信基在系统中是唯一可完全信任的，所以可长时间的安全保有私钥，而其他用到其服务的域组件（硬件和软件）则保有公钥。可信基还可完成附加的服务来实现支持分布式系统安全的方法的最小集合：1可信的随机数产生。这个服务产生完全可信的随机数，这些数字做为系统中加密时使用的原始基数。2可信的时间戳。时间戳用来保证一些服务的同步，这对一些安全机制是很重要的，如 Kerberos 认证协议。3可信的数据一致性。这个服务保证可信基之间传输数据

14、的一致性。4可信数据块一致性的测试。这个服务主要用来测试正常域组件和被破坏域组件间的冗余数据是否还是一致。5本地认证。用来一个域成员或者域组件来认证一个可信基并且获得一个公钥。这个公钥用来保证它和可信基之间通信的完整性和秘密性 6分布认证。用来两个或多个分布的域成员间通过可信基进行相互认证。并产生一个通信公钥。可信基还附带故障信息接收功能，安全域和可信基之间有定时的系统状况通告，根据这个通告，可信基判断域中的组件是否有故障，如果有则可信基就采取有限度或者完全断开与此域，同时报告与此域有关联的其它域，以达到屏蔽某一故障域，保全整个系统不间断运行，提供有限服务的目的。通过安全域的划分和可信基的建立

15、，在两个层面上实现了系统的容侵性。第一是域级的，主要由安全域结合具体的故障模型和故障恢复模型来实现。第二是域间级的，主要由可信基通过身份认证，通信数据加密，数据一致性检查等方案来保证域间通信的安全性，并且通过可信基和域的交互，随时可将异常域屏蔽，保证整体的健壮性。h t t p:/w w w.e l e c f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛 图图 四四 五结束语五结束语 本模型所设计的容侵系统模拟生物抗外界侵害的机制，主要应用于大型的服务器群组，应对的是那些通过防火墙和入侵检测系统之后的攻击，是系统安

16、全的最后一道防线。本系统的具有两个特征，安全域在面上保证了一个具体服务群组的安全，并且通过有限度的故障排查和恢复，使域组件具有一定的安全免疫性。而可信基在点上保证了相关联的安全域之间身份认证和数据传输的安全性，防止攻击由一个域蔓延到其它域。本模型的具体技术还有待细化。参考文献 1 Paul Rubel,Partha Pal BBN Technologiesprubel,Assessing Adaptation in the Context of Security and Survivablility.2 Marcus J.Ranum,Chief Technology Officer,NFR S

17、ecurity。Coverage in Intrusion Detection Systems.3 Huang Zunguo,Lu Xicheng,Wang Huaimin,A Diversified Dynamic Redundancy Method Exploiting the Intrusion Tolerance.4 David Powell&Yves Eeswarte,On Dependability Concepts with respect to Deliberately malicious Faults.5 Debra Anderson,Computer Science Lab

18、oratory,Next Generation Intrusion Detection h t t p:/w w w.e l e c f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛 Expert System(NIDES)Software Users Manual Beta-Update Release.作者简介：作者简介：周志勇，男，1979.1，汉族，南京邮电学校计算机系研究生，方向为网络安全。唐家益，男，教授，南京邮电学院计算机系。A Model of Intrusion Tolerance Based on

19、 Security Area and Trusted Base (ZHOU Zhiyong TANG Jiayi)Dept.of Computer Science&Technology,Nanjing University of Posts&Telecommunications,Nanjing 210003 Abstrace For protecting the large server group,the technology of Intrusion Toleranc comes to be a evolutional trend of the future network security.This article classifies the resource of computer system,then proposes a Intrusion Tolerace model based on security area and trusted base.Key words Intrusion tolerance Security Attack h t t p:/w w w.e l e c f a n s.c o m 电子发烧友 h t t p:/b b s.e l e c f a n s.c o m 电子技术论坛