绪论
1.1 背景
计算机网络的应用让军队的管理和相关指令的上传下达更加便捷,给军队的发展带来了新的契机。然而,网络的发展和普及在为我们的工作和生活提供便利的同时也带来了更多的安全隐患。近年来,军队级网络中蠕虫、病毒日益增多,木马屡见不鲜,这些都成为威胁军队网络和信息安全的潜在杀手。这些极大的困扰着军队各级首长和网络安全研究人员。能否及时发现并成功阻止网络威胁带来的危害、保证我军计算机和网络系统的安全和正常运行便成为军队网络安全研究者和开发者所面临的一个重要问题[3]。面对日益猖獗的网络安全问题,传统的入侵检测系统在高速交换网络中不能很好地检测所有的数据包,分析的准确率不高,漏报率和误报率高。
同时对入侵检测系统的管理和维护比较困难,它需要安全管理员有足够的时间、精力及丰富的知识,以保持规则库的更新和安全策略的有效。最重要的是,入侵检测系统是以被动的方式工作,只能检测攻击,而不能阻止攻击。系统主要集中在检测上,对阻止攻击重视不够。而防火墙技术只能作为边界访问控制的一种手段,一般不能防止来自网络内部的袭击,对一些病毒更是束手无策[4]。基于传统防火墙和入侵检测系统的技术缺陷,近年来出现了一种新的积极主动的网络安全技术——入侵防御系统(IPS,Intrusion Prevention system)[5]。
它是一种部署在网关位置的安全设备,通过对网络数据和行为进行深层次检测,从而更有效的抵御应用层的攻击。入侵防御系统是在入侵检测系统和防火墙的基础上,加上主动响应和过滤功能,设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。入侵防御系统弥补传统入侵检测系统只发现不防御、防火墙只能实现会话层以下的攻击防御的缺陷,填补了网络安全产品线的基于内容的安全检查的空白。可以说入侵防御系统是在入侵检测系统基础上建立和发展起来的新型网络安全系统,逐渐成为网络安全方面的主流技术之一[6]。与此同时,由于网络带宽的不断增加,一般的局域网主干交换带宽已由原来的百兆级网络发展到千兆级甚至万兆级的网络,这就对串行设备带来了巨大的挑战。由于现有的部分入侵防御系统中的入侵检测技术一般基于大批量检测库来进行模式匹配的实现,系统的硬件平台在进行复杂的数据包处理工作同时还要实时向系统监控端发送处理结果,同时还要及时的接收上层系统管理人员的各种配置命令并解析执行以便系统能够很好的完成各种动态响应工作,在百兆级满负荷的网络环境中工作已经相当吃力,而面对网络带宽 10 倍的增加,如果不考虑其他条件,则意味着要求入侵防御系统也要为其数据包处理技术和数据信息传输技术也相应的能够提供 10 倍的处理与通信能力[7]。
因此,作为一种网关级的安全产品,入侵防御系统必须拥有高效网络数据通信与处理性能,以保证用户正常业务的带宽、化解网络流量中的攻击行为以及对带宽滥用等有害流量进行精确地检测和阻断,即需要其能提供在高性能前提下的应用数据无损化保障功能。在这种背景下,对高速网络环境下的入侵防御相关技术(如高速数据包处理技术、实时系统数据通信技术等)进行研究,开发具有自主知识产权、费用低廉、安全可靠的入侵防御产品具有非常重大的意义。
1.2 课题来源
本课题为自主命题。 该项目的设计目标是研制具有自主知识产权的高可靠、高性能、高稳定性的网络入侵防御系统,弥补传统入侵检测系统只发现不防御、防火墙只能实现会话层以下的攻击防御的缺陷,实现双向千兆线速入侵检测和防御,达到电信级应用需求,并在全军范围内使用。
1.3 国内外研究现状
入侵防御系统包含以下主要技术:高速数据包处理技术,入侵检测技术,数据通信技术以及动态入侵防御技术等。
目前,国内外对这些技术进行了广泛的研究,现有很多成熟的技术,如基于专用网络处理器的硬件平台、基于规则库的误用检测技术、异常检测检测技术等。主要网络安全服务提供商、入侵防御技术提供商也都研发了自己的入侵防御系列产品,如 McAfee 公司推出的 IntruShield 产品[8],加强了对溢出型漏洞的研究和跟踪,并且把针对溢出型攻击的相应防范手段推送到该入入侵防御设备的策略库中。
目前,国内外对这些技术进行了广泛的研究,现有很多成熟的技术,如基于专用网络处理器的硬件平台、基于规则库的误用检测技术、异常检测检测技术等。主要网络安全服务提供商、入侵防御技术提供商也都研发了自己的入侵防御系列产品,如 McAfee 公司推出的 IntruShield 产品[8],加强了对溢出型漏洞的研究和跟踪,并且把针对溢出型攻击的相应防范手段推送到该入入侵防御设备的策略库中。
第二章 相关技术................. 6
2.1 入侵防御系统概述................. 6
2.2 入侵防御系统的关键技术................. 9
2.3 小结 ............. 12
第三章 军队级入侵防御系统概述...............13
3.1 系统概述............ 13
3.2 设计目标 ........... 13
3.3 系统拓扑结构 ......... 14
3.4 系统的组成 .......... 15
第四章 数据通信子系统的设计与实现............22
4.1 设计目标 ........ 22
4.2 设计思路 ......... 22
4.3 总体设计 ......... 30
总结
目前,国内外针对千兆网络环境下的入侵防御技术研究尚处于发展阶段,部分入侵防御产品还存在很多问题,比如:数据处理速度低、性能差、系统的漏报率和误报率高、容易出现单点故障等。如何科学有效地解决高速网络环境下入侵防御系统在完成复杂功能的同时不影响网络的正常数据传输问题已成为目前的研究热点。
为此,本文在深入研究硬件处理平台、数据通信技术和网络通信协议的基础上,提出了一种基于 OCTEON CN38XX 多核处理器硬件平台的军队级入侵防御系统,并完成了系统中数据通信子系统与系统监控子系统的详细设计与实现工作,使系统能够通过自定义的通信协议和通信接口进行可靠的数据传输和系统监控,为整个军队级入侵防御系统的配置管理提供了一种解决方案。
参考文献
[1] 中国互联网络发展状况统计报告(2010 年 1 月).中国互联网络信息中心, www.cnnic.cn
[2] 2009 年全国电信业统计公报. 中国信息产业部.
[3] Baorudi S, Ziade H, Mounla B. Are we really protected against hackers. Information andCommunication Technologies: From Theory to Applications, 2004. Proceedings. 2004International Conference. April, 2004.19-23
[4] Xinyou Zhang, Chengzhong Li, Wenbin Zheng. Intrusion Prevention System Design. Computerand Information Technology, 2004. CIT’04. The Fourth International Conference. Wuhan.2004,386 – 390
[5] Eugene Schultz, Jim Mellander, Carl R Endorf. Intrusion Detection and Prevention.McGraw-Fill Osborne Media, December 18, 2003:221-254
[6] Andrew plato, Cissp. What is an intrusion prevention system. Anitian Enterprise Security, 2004
[7] Chien Hua Chiu, Jungfeng Lin, Jiunn Jye Lee, Chin-Laung Lei. A High-performance ClusteringScheme with Application in Network Intrusion Prevention System. Communications andInformation Technologies, 2007. ISCIT '07. International http://sblunwen.com/jdglxlw/ Symposium on Digital ObjectIdentifier. 2007, 1219-1224
[8] McAfee IntruShield Network IPS Sensor.
[9]NSS GrouP.Intrusion prevention Systems (IPS).
[10] Symantec Newtork Security 7100 Series.