传奇的实现者定义了检测原语用于管理、指示用户终端的检测行为 |
|
作者:去玩变态 文章来源:Www.75bt.com |
|
| 计算机科学200701.340.1拓扑中关联控制技术的研究)欧阳凯1周敬利1董理君2(武汉科技大学计算机学院武汉430081)1(华中科技大学计算机学院系统结构系武汉430074)2摘要网络拓扑的安全性是保障网络服务安全的核心研究内容;尤其在虚拟私有网络(:?)拓扑中,由于的隧道技术、私有路由技术和加密技术,一方面使得内部服务群暴露在中,另一方面增加防火墙和入侵检测系统(:)保护内部网络的难度。为此,本文提出以网关为中心,协同用户终端、防火墙、和内部的应用服务,构建的多层安全防护机制一一关联控制机制(:)。将终端延伸、关联和应用引擎三者关联,使得防护构成一个关联整体,提高了网络拓扑的安全性。关键词虚拟私有网络,关联控制机制,多层安全防护-)-2(..430081)1(,430074)2.,?,.,(?)-.,-,.?-,-,.,1引言由于已成为主流的低成本通讯构架传奇的,大量研究机构和公司利用公用网建立安全可靠的私有网[1。通常,技术采用安全协议(如[2、:?』3)来实现数据的保密性、消息完整性和端点认证。但是,隧道技术使得内部服务群通过网关暴露于中,恶意人员便能够通过用户正在使用的客户终端(该终端和之间建立了一条临时的、加密的通道)来攻击内部服务群;而且,的加密技术使得前端的防火墙无法对通信流分析实施有效的控制。 因此,网络结构的安全保障需要通过多层次、深度检测的网络安全部件协同工作。本文通过分析结构可能的安全隐患,提出在结构中,以网关为中心,协同用户终端、防火墙、和内部的应用服务,构建多层的安全防护机制,称之为关联控制机制(:)。2关联控制分析在如图1所示的拓扑中,网关是网络拓扑中唯一识别加密数据报文内容和实现私有路由的部件,包含了三类关联方式一终端延伸、延伸和应用引擎。隧道图1Ⅵ)拓扑的安全关联服务1)终端延伸:的根本意义在于使得远端用户能够安全地访问内部服务,但是用户终端设备可能被恶意人员利用来攻击内部网络。欧阳凯等人曾对接入机制的安全性做了研究[4,该文只是对终端用户信任做了研究,并没有对用户终端安全性做探讨。如图1所示,假设用户接通,正在访问内部服务;攻击者通过攻陷用户的终端设备获得通过Ⅵ)隧道攻击网络内部服务的机会。通过检测)国家自然科学基金,编号60373088。欧阳凯博士,讲师,研究方向为安全操作系统、网络安全控制技术和网络存储技术;周敬利教授,博士生导师,研究方向为高性能网络存储技术及安全模型;董理君博士研究生,研究方向为网络安全结构与控制技术。?39?用户终端的安全状态,能够获得当前接入用户设备的安全信息,协同的系统策略规则来控制用户的访问能力,如图1中所示的用户设备和模型系统之间的终端延伸点分线。 2)关联延伸:事件分析器通常利用关联技术将可能的攻击报文和一定逻辑特征关联分析,从而发现攻击行为。 在结构中,由于隧道、加密技术和私有路由技术的介入,需要和网关协同工作才能有效地进行事件分析,实施攻击控制和防范。如图1中网关与之间的延伸点分线所示,一方面模能够为提供事件关联信息;另一方面为提供攻击信息触发系统策略规则。 3)应用引擎:在结构(特别是应用层技术)中,应用引擎技术是支持复杂应用服务的关键技术。 比如:的工作模式,其数据传输通道是从服务器反向连接客户端,如果网关不能识别反向连接,将阻塞服务器连接;因此结构必须能认知应用层协议。通过网关的报文控制和私有路由信息为应用引擎的实现提供了基础;同时,基于对不同应用协议的认知,能够对不同服务做深度检测。 如图1中所示的模型系统和服务之间的应用引擎点分线,通过解析协议能对进行报文检测。 3终端关联设计将用户终端设备安全状态作为Ⅵ。安全结构的安全因子进行检测,其根本原因是:结构不仅需要信任用户,而且要信任用户所使用的终端设备。 虽然客户使用的终端设备千差万别,但是对终端设备的基本检测包含了3个方面:1)操作系统类型及其最新的补丁。 2)个人反病毒软件运行状态,最近病毒库时间。3)个人防火墙软件运行状态。基于终端安全检测,能够:(1)通过系统安全策略设置结构对终端安全状态的需求;(2)将终端安全状态和接入授权规则关联;(3)对终端安全状态进行安全等级分类,并与内部服务群访问控制关联,进一步细化访问控制粒度。如图2所示的终端检测模型包含了:终端检测库、库同步模块、终端检测模块、策略规则转换模块和实时监控模块。 其工作机制描述如下:终端检测广?库同步模块土1~一11一1一1?1终端检测库终端检测模块表征库?一检测方法反病毒软件表征库?0?嘲反病毒检测方法个人防火墙表征库?-一个人防火墙捡测方法。~“。~。 。同步原语:-??-?-???-??,检测原语7[:≥~一一一。一一二二二,二策略规则转换模块厂实时监控模块111。上一图2终端检测模型1)终端检测库?由于、反病毒软件和个人防火墙提供商的不同,其表征特点也不相同;只相信具有良好信誉和知名的提供商所提供的产品服务。 终端检测库记录了这些知名产品的表征,为终端检测模块提供鉴别素材。2)库同步模块?随着产品的发展和补丁的发布,用户终端的检测机制不一定具备最新的表征信息,而检测机制能够通过库同步模块从中获取最新的信息。的实现者定义了同步原语用于更新检测机制的终端检测表征库传奇之。3)终端检测模块?检测机制在完成库同步操作后,根据终端检测库的表征库,利用检测方法、反病毒检测方法和个人防火墙检测方法对用户终端扫描检测。另一方面,的实现者定义了检测原语用于管理、指示用户终端的检测行为。4)策略规则转换模块?在结构允许接入的情况下(包含了用户的信任过程和用户终端的信任过程),将该用户所必须知道的策略规则以终端规则的形式发送给策略?40?终端规则规则转换模块,该模块根据本地环境转换为客户端识别的结构,用作检测机制以及该用户会话的各种控制参数。 5)实时监控模块?在整个用户会话过程中,检测机制通过实时监控模块随时监视用户终端的监控状态;一旦发现行为异常,实时监控模块通过监控原语与模型系统通信,并根据预设指令或者的指令做出相应的处理。 4麟关联设计入侵检测系统是信息安全保障的关键技术之一,包括了防护、检测、反应和恢复4个层面[5。 最早的入侵检测模型是由提出的[6。 该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并检测轮廓的变化差异发现系统的入侵行为。 随着入侵行为的种类和范围不断扩大,各功能组件之间以及各之间共享这类攻击信息尤为重要。根据的关联技术报告[7,我们可以得知当前的事件关联机制通常是由如下7种基本关联技术组成:源关联(-)、目的关联、事件类别命名关联、时间关联、攻击关联(?)、开放端关联和异类关联述关联技术,但是在网络中,有的关联技术会失效(比如:源地址关联),更进一步,技术的部署并不是以孤岛的形式存在,为了保障整个网络拓扑的安全,必须和已有的安全技术(如)整合,形成一个有机的整体,协同工作。如图3所示的与的关联通信,网关和。 当前的设备都集成了上之间通过协商好的通信机制交互信息。 网关模块)(通信模块)(其它模块),、.7~、蝴襁一当前私有路由列表睑千、令(其它模)(事件生成器)十十声文明文明文。 图3与的关联通信能够为提供:1)在结构中,只有经过网关解密后的报文,设备才能分析,目前无法对密文进行解析。因此为设备提供可认知分析的报文。2)由记录下的经过网关报文的私有路由列表,该列表包含了客户端的真正来源,能够利用通信模块告知对应关系,便于的事件分析器分析。3)由的资源属性记录下的外界可访问的内部资源信息,能够为提供攻击关联、开放端关联的必要信息。 能够为提供:1)当发现攻击异常后,利用通信模块通知网关,根据其提供的信息定位用户会话,通过运行请求事件或者触发器终止用户会话。2)为提供动态设置、变更系统策略规则的依据。当确认攻击后,能够将该攻击关联的地址和用户加入黑名单,并提示管理员对其核查。目前网关与璐之间关联通信的最大困难在于提供商和提供商各自为政,提供的密闭系统并没有对通信规则形成标准协议。一方面随着(?)结构[8的提出,该领域的研究表明网络结构的关联技术正在逐步走向标准化;另一方面也可以基于开源项目(比如:)研究设计关联通信模块。5应用服务关联设计一~一一素磊茹;赢蠢。一、~图4应用引擎的逻辑设计通过应用引擎提供具体的应用服务管理,应用引擎的逻辑设计如图4所示:(1)从的可扩展性考虑,应用引擎是以独立的二进制模块存在,不同应用服务的引擎模块更改、添加和删除不会影响系统;(2)应用引擎通过系统策略规则向注册;(3)创建、管理内部服务资源时,管理员通过资源属性的服务引擎信息关联具体的引擎模块(比如:服务引擎模块);(4)在一个用户会话中,当该用户触发一个内部服务的数据区间时,调用相应的服务引擎模块来控制数据区间内的报文传输。 由于服务是当前应用最为广泛的服务之一,本文根据已知的攻击分析,以服务引擎为实例阐述应用引擎的设计思路。:曲服务擎?一规则匹配机制|1曲规则威。.。|..丁;。十-尺寸控制机制一量上一一.丁一回上..上!;调-7安全墒过滤器、。+?叫编码过滤。报文图5服务引擎的逻辑设计服务引擎逻辑设计如图5所示。通过加密解密技术保证了报文在上以密文的形式传输;服务引擎为''类型的内部服务提供了编码过滤、安全过滤器、尺寸控制机制和规则匹配机制四个逻辑功能以实现的深度检测,从而为内部的服务提供安全保障。另外,服务引擎还包含了系统的回调机制,用于实现引擎与的耦合(如调用系统的日志功能;在检测报文时发现异常,则通过回调机制控制该报文所属的数据区间甚至用户的会话)。(下转第152页)?4?据和相互支持,说明它们都是真实的,可以用“交集”运算将证据的信度聚焦在它们的交集上;如果证据和相互冲突,表明不知道哪一条证据是真实的,那么,就可以用“并集”运算将信度聚焦在它们的并集上,即证据支持或中的一个,这种思路更符合人类的直觉。由于在目标识别系统中,最终决策是单元素,因此要用概率转换法将多元素命题的再分配给它的各个组合元素。使用本文方法时,证据的融合顺序对融合结果没有影响,因此可以很方便地编程实现。参考文献1-.,1967,38:325~3392.-?.,1987,41:93~1373孙全,叶秀清,顾伟康.一种新的基于证据理论的合成公式.电子学报,2000,28(8):1~34,.-.,2003.338~3445..?大家,1990,12(5):447~4586吴根秀.冲突证据组合方法.计算机工程,2005,31(9):151~1547.、,?.。1992,:213~2418,.,?:[.[-,20029向阳,史习智.证据理论合成规则的一点修正.上海交通大学学报,1999,33(3):357~36010潘巍,王阳生,杨宏戟.概率算法设计.计算机工程,2005,31(4):20~23(上接第41页)6实现与性能测试本文基于-[9设计实现了机制。-在实现标准的基础上提出了两项关键性技术:虚拟服务和基于流的访问控制模型。以流的访问控制模型为信息交换中心;通过在虚拟服务中植入终端关联模块,从而能够动态检测客户终端信息实现终端认证;以关联插件的形式在设备实现了关联的通信模块,从而到达与控制模型通信的能力;通过流分析实现应用服务关联。由于在-中添加了功能,使得隧道建立过程开销有所增加。 针对有机制和无机制两种情况,-)在不同并发隧道数目下的性能测试如表1和图6所示。表1孓通道建立平均时间-(无;)-(有)通道数通道建立时间通道建立时间110.0310.58510.7210.931011.1311.221511.3611.452011.5211.632511.7711.821211.510.5一?(无)通道建立时间?(有)通道建立时问图6对-性能影响的测试由于机制的加入,使得-通道建立平均时间比无时稍长,但是通道建立时间增加百分比的?152?平均值3%(如下计算:先求出=(有时隧道建立时间一无时隧道建立时间)无时隧道建立时间;=的平均值,即一((10.58?10.03)10.03+(10.93?10.72)10.72+(11.22?11.13)11.13+(11.45?11.36)11.36+(11.63?11.52)11.52+(11.82?11.77)11.77)6))一1.74%)。而且随着连接通道数增多,每条隧道建立平均时间越来越接近无时的值。 这是因为随着隧道数的增加,机制对隧道建立平均时间的影响越来越小,而握手和加密解密耗时对隧道建立时间的影响占了主要。由此可见,虽然有机制的-系统会导致隧道建立时间稍微增加,但是机制提高和完善了%体系的安全性。小结本文针对网络结构特点,从终端安全延伸、关联延伸、应用引擎技术三个方面论述了网络拓扑的关联技术?关联控制机制。通过终端安全延伸将客户终端状态纳入网络安全策略中;通过关联延伸将与系统关联,形成有机控制体;通过应用引擎技术实现上层协议的深度解析;从而实现高安全性的网络结构。参考文献1.,1,2003,41(2):156~1632,..?01.2401,19983,.1.0.2246,19994欧阳凯,周敬利,夏涛,等.基于接人机制的研究.计算机科学,2005,32(5):59~645卿斯汉,蒋建春,马恒太,等.入侵检测技术综述.通信学报,2004,25(7):19~286.-.,1987,13(2):222~2327.-?:[.:;。...20058,.?.:.2004.386~3909欧阳凯,周敬利,夏涛,等.基于虚拟服务的研究.小型微型计算机,2006,27(2):229~232通道数,坫.。 历0,;059;一一厘留露牛纠做测赠》1》拓扑中关联控制技术的研究作者:欧阳凯,周敬利,董理君,-,-作者单位:欧阳凯,周敬利,,-(武汉科技大学计算机学院,武汉,430081),董理君,-(华中科技大学计算机学院系统结构系,武汉,430074)刊名:计算机科学英文刊名:年,卷(期):2007,34(1)参考文献(9条)1.;;[外文会议20042.欧阳凯;周敬利;夏涛基于虚拟服务的研究[期刊论文-小型微型计算机系统2006(02)3.-:[20054.-1987(02)5.卿斯汉;蒋建春;马恒太入侵检测技术综述[期刊论文-通信学报2004(07)6.欧阳凯;周敬利;夏涛基于接人机制的研究[期刊论文-计算机科学2005(05)7.;1.019998.;19989.[外文期刊2003(02)。 |
|
| 上一篇:病人护士对病人服满意度的调查与分析 | 下一篇:矿井涌水量计算的非稳定流解析法 |
Copyright 2009-2012 Www.75bt.Com All Rights Reserved
声明:本站发布的所有传奇超级变态传奇65535站信息完全由本站收集于国内网络,请玩家仔细选择进入游戏!