入侵檢測(cè)基于虛擬化終端部署的方案
隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)已經(jīng)成為計(jì)算機(jī)應(yīng)用中不可或缺的一部分。但是,網(wǎng)絡(luò)遭受攻擊的風(fēng)險(xiǎn)和機(jī)會(huì)也相應(yīng)的快速增多。如何建立合理的網(wǎng)絡(luò)安全體系已經(jīng)成為網(wǎng)絡(luò)領(lǐng)域的熱點(diǎn)問題。
目前,要讓開發(fā)人員保證開發(fā)軟件不存在任何的漏洞是不可能的,同時(shí)要求網(wǎng)絡(luò)安全人員實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)海量信息流并發(fā)現(xiàn)攻擊信息并作出有效地措施也有一定難度。本文為了解決以上問題,針對(duì)性的提出了使用虛擬化技術(shù)進(jìn)行軟件的隔離,論述了使用隔離技術(shù)的利弊,并針對(duì)網(wǎng)絡(luò)安全提出了入侵檢測(cè)的解決方案,論述了幾種入侵檢測(cè)體系的利弊,闡述了一種針對(duì)大流量網(wǎng)絡(luò)入侵檢測(cè)的方案。最后結(jié)合虛擬化技術(shù),闡述了入侵檢測(cè)基于虛擬化終端部署的方案。
虛擬化技術(shù)
2.1虛擬化技術(shù)論述
一個(gè)程序存在漏洞就會(huì)影響其他程序乃至整個(gè)服務(wù)器的運(yùn)行,因此在不能保證程序本身安全性的時(shí)候,我們就需要減弱或者切斷程序和其他程序乃至服務(wù)器的直接聯(lián)系,將程序作為獨(dú)立的個(gè)體。這樣即使程序崩潰也不會(huì)影響其余程序的運(yùn)行。而MiU給出的一份關(guān)于如今的操作系統(tǒng)和應(yīng)用軟件的研究報(bào)告顯示:軟件之中不可能沒有漏洞。
因此我們將應(yīng)用很廣的虛擬機(jī)技術(shù)引入到服務(wù)器的安全維護(hù)中。虛擬機(jī)為應(yīng)用程序提供了一個(gè)與操作系統(tǒng)相同但是又獨(dú)立的運(yùn)行環(huán)境。
虛擬化保護(hù)的優(yōu)點(diǎn)如下:
1.通過為每個(gè)程序虛擬出其運(yùn)行環(huán)境。直接消除了程序間的相互影響。所有的操作都僅僅局限于每個(gè)虛擬化環(huán)境中,因此即使某個(gè)程序崩潰最多也只是導(dǎo)致這個(gè)虛擬環(huán)境崩潰,而不會(huì)對(duì)其他的程序產(chǎn)生影響。
2.由于程序的運(yùn)行環(huán)境是虛擬出來的,因此可以針對(duì)某個(gè)程序虛擬出其適應(yīng)的運(yùn)行環(huán)境,并且分配足夠其運(yùn)行的系統(tǒng)資源,從而避免了程序間的不兼容性。
3.由于程序所能使用的最大資源是由其虛擬環(huán)境所決定的,因此避免了某個(gè)程序搶占資源而導(dǎo)致其他程序無法運(yùn)行的情況,很好的保證了程序的穩(wěn)定性和并行性。
4.由于程序都是運(yùn)行在虛擬環(huán)境中,因此具備了很好的可移植性。只要其余平臺(tái)有其相同的虛擬環(huán)境都可以穩(wěn)定的移植。
5.虛擬化的環(huán)境可以記錄下每個(gè)時(shí)刻這個(gè)環(huán)境的運(yùn)行信息,通過這些運(yùn)行信息可以很方便的回退虛擬環(huán)境到某一個(gè)曾經(jīng)的時(shí)刻,由于虛擬環(huán)境的獨(dú)立性,這個(gè)回退不會(huì)對(duì)其他的程序造成影響。
但是虛擬化技術(shù)由于要為每個(gè)程序配置虛擬環(huán)境。因此從客觀上增加了系統(tǒng)資源的開銷。
2、應(yīng)用部署
在具體應(yīng)用中我們可以使用VMware,Sandboxie和Returnil Virtual System搭建一個(gè)多層虛擬環(huán)境。
VMware可以使你在一臺(tái)機(jī)器上同時(shí)運(yùn)行二個(gè)或更多Windows、DOS、LINUX系統(tǒng)。
Returnil Virtual System來自歐洲著名的安全公司Retumil SIA,它是一個(gè)基于虛擬機(jī)原理的影子系統(tǒng)軟件,可以瞬間把您的計(jì)算機(jī)用隔離罩保護(hù)起來。同時(shí)用一個(gè)內(nèi)存中的虛假替身“影子”系統(tǒng)來接管真實(shí)的操作系統(tǒng),任何操作都被限制在虛擬系統(tǒng)中使用。無法感染你真實(shí)的操作系統(tǒng)。
Sandboxie可以為運(yùn)行程序構(gòu)建沙盤環(huán)境,所以程序的操作都被局限于Sandboxie為這個(gè)程序所構(gòu)建的虛擬環(huán)境中。不會(huì)對(duì)其他的軟件造成影響。
于是我們對(duì)于單個(gè)的服務(wù)器,首先使用VMware構(gòu)建使用不同操作系統(tǒng)的虛擬計(jì)算機(jī)。然后對(duì)于每個(gè)VM環(huán)境使用Returnil Virtual System構(gòu)建一個(gè)影子系統(tǒng)。之后在這個(gè)影子系統(tǒng)上使用Sandboxie運(yùn)行我們所需要啟動(dòng)的服務(wù)或者程序。
程序運(yùn)行在沙箱中。相互間不會(huì)互相影響,如果需要和操作系統(tǒng)進(jìn)行交互或者需要執(zhí)行操作系統(tǒng)級(jí)別的命令,則也只能訪問影子系統(tǒng)。而虛擬計(jì)算機(jī)則提供了不同程序所需要的不同操作系統(tǒng)環(huán)境。這樣無論如何。
真實(shí)的操作系統(tǒng)都不會(huì)受到影響。
本文選取了aDache在正常訪問時(shí)間時(shí)候的數(shù)據(jù)比較。在犧牲了有限的計(jì)算機(jī)資源的同時(shí)獲得了較高的安全系數(shù)。本文認(rèn)為還是有價(jià)值的。#p#
二、入侵檢測(cè)
(一)、入侵檢測(cè)概述
入侵檢測(cè)(Intrusi0n Detection),顧名思義,就是對(duì)入侵行為的發(fā)覺。他通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析。從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測(cè)可以作為防火墻后的第二道防護(hù)措施,通過對(duì)網(wǎng)絡(luò)狀況的實(shí)時(shí)監(jiān)聽,從而能夠與對(duì)于內(nèi)部攻擊,誤操作,外部攻擊等進(jìn)行防護(hù),從而大大提高網(wǎng)絡(luò)的安全性。具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能,在不影響網(wǎng)絡(luò)性能的前提下,使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。
入侵檢測(cè)的實(shí)現(xiàn)方法有如下幾種:
1.基于日志和審計(jì)數(shù)據(jù)的入侵檢測(cè)
針對(duì)單一的主機(jī),可以使用對(duì)于主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的運(yùn)行日志來發(fā)現(xiàn)攻擊的發(fā)生。檢測(cè)系統(tǒng)一般建立于待檢測(cè)的主機(jī)上,這種檢測(cè)方式必須保證審計(jì)數(shù)據(jù)和運(yùn)行日志是安全并且可靠的。并且更加攻擊方式和審計(jì)數(shù)據(jù)和日志的組織方式定義規(guī)則。
由于日志是系統(tǒng)運(yùn)行時(shí)自動(dòng)產(chǎn)生以紀(jì)錄系統(tǒng)運(yùn)行狀態(tài)的文檔,因此系統(tǒng)管理員往往可以通過分析日志得出系統(tǒng)發(fā)生了什么。然而在系統(tǒng)的高速運(yùn)行下,日志的紀(jì)錄數(shù)目屬于高速增長(zhǎng)中,海量的日志紀(jì)錄使得管理員無法有效的分析日志,而標(biāo)準(zhǔn)的日志功能并不能自動(dòng)檢查過濾日志以提供給管理員需要的信息。而基于審計(jì)數(shù)據(jù)和日志的入侵檢測(cè)系統(tǒng)則可以自動(dòng)分析即時(shí)增長(zhǎng)的數(shù)據(jù)并提供給管理員分析的結(jié)果,通過系統(tǒng)自動(dòng)處理或者管理員手動(dòng)處理以阻止非法攻擊。
這種方式的弱點(diǎn)也是顯而易見的。
1)攻擊者可以試圖獲取到更高的權(quán)限來控制改變審計(jì)數(shù)據(jù)和運(yùn)行日志
2)不能通過檢測(cè)審計(jì)數(shù)據(jù)和運(yùn)行日志得出網(wǎng)絡(luò)欺騙攻擊。
因此我們認(rèn)為基于日志的入侵檢測(cè)不是一個(gè)安全系數(shù)高的自動(dòng)防御方案,其適用于一般的服務(wù)器安全防護(hù)以及作為服務(wù)器管理員分析服務(wù)器運(yùn)行情況的補(bǔ)充。
2.基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽的入侵檢測(cè)
這種人侵檢測(cè)是指分布于網(wǎng)絡(luò)線路上,被動(dòng)的無聲息的接受其所需要的報(bào)文,對(duì)所收集來的報(bào)文,入侵檢測(cè)系統(tǒng)根據(jù)提取的特征值和對(duì)應(yīng)的規(guī)則庫(kù),根據(jù)智能匹配方法判斷報(bào)文是否反映了某種入侵行為,然后決定是否進(jìn)行報(bào)警或者適當(dāng)?shù)姆佬l(wèi)或者反擊。
由于入侵檢測(cè)系統(tǒng)需要分布在網(wǎng)絡(luò)環(huán)境中進(jìn)行監(jiān)聽,因此可以有兩種方式接入到被保護(hù)的網(wǎng)絡(luò)中。
1)將入侵檢測(cè)系統(tǒng)分布配置在網(wǎng)絡(luò)中的每一個(gè)單機(jī)節(jié)點(diǎn)中,通過檢測(cè)每個(gè)單機(jī)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流。并進(jìn)行匯總判斷以檢測(cè)整個(gè)網(wǎng)絡(luò)上的異常現(xiàn)象。
2)以分布式檢測(cè)網(wǎng)絡(luò)的形式將各入侵檢測(cè)系統(tǒng)分布式布設(shè)在受保護(hù)網(wǎng)絡(luò)的各被保護(hù)網(wǎng)段的網(wǎng)關(guān)處,通過對(duì)網(wǎng)關(guān)數(shù)據(jù)報(bào)的分析得出整個(gè)網(wǎng)絡(luò)的狀況。用于檢測(cè)整個(gè)單一網(wǎng)絡(luò)上的異常現(xiàn)象。
通過對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行監(jiān)聽以檢測(cè)攻擊,這種方式的核心就在于數(shù)據(jù)包的截獲和分析。入侵檢測(cè)系統(tǒng)通過截取網(wǎng)絡(luò)流中的數(shù)據(jù)包,得到網(wǎng)絡(luò)中系統(tǒng)的運(yùn)行信息,用戶信息,和操作信息等等。然后根據(jù)設(shè)定好的規(guī)則進(jìn)行分析。但是基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽的入侵檢測(cè)都面臨著一個(gè)問題。由于數(shù)據(jù)包需要經(jīng)過入侵檢測(cè)系統(tǒng)的過濾,因此入侵檢測(cè)系統(tǒng)的效率直接對(duì)網(wǎng)絡(luò)產(chǎn)生影響 特別是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,現(xiàn)在網(wǎng)絡(luò)中的通行流量已經(jīng)越來越大。入侵檢測(cè)系統(tǒng)必須有效率的處理1000M 甚至更大的數(shù)據(jù)流并且不會(huì)對(duì)網(wǎng)絡(luò)通信造成明顯影響。
(二)、基于大流量網(wǎng)絡(luò)的入侵檢測(cè)方案
經(jīng)過調(diào)查。在網(wǎng)絡(luò)運(yùn)行中網(wǎng)絡(luò)數(shù)據(jù)流往往是波動(dòng)的,在一個(gè)較長(zhǎng)的時(shí)間段內(nèi),數(shù)據(jù)量的大小是變化的,網(wǎng)絡(luò)中不會(huì)時(shí)時(shí)刻刻都存在大數(shù)據(jù)量的流動(dòng)。而由于網(wǎng)絡(luò)通信往往是基于交互的,通信的雙方一般都要經(jīng)歷一次的發(fā)送接收的過程,因此本文基于以上現(xiàn)狀提出一種延遲異步的數(shù)據(jù)量處理方案以緩解大數(shù)據(jù)流對(duì)于入侵檢測(cè)系統(tǒng)的壓力。
1.對(duì)于第一次通過數(shù)據(jù)檢查系統(tǒng)的數(shù)據(jù)包,入侵檢測(cè)系統(tǒng)為這個(gè)數(shù)據(jù)包標(biāo)記上ID并記錄,然后無論這個(gè)數(shù)據(jù)包是否經(jīng)過分析都直接轉(zhuǎn)發(fā)至目標(biāo)計(jì)算機(jī)上。
2.入侵檢測(cè)系統(tǒng)按照記錄中的順序分析處理數(shù)據(jù)包后將數(shù)據(jù)包的分析結(jié)果根據(jù)其ID記錄至查詢系統(tǒng)。
3.目標(biāo)計(jì)算機(jī)接收到并準(zhǔn)備處理帶有標(biāo)記ID的數(shù)據(jù)包時(shí),根據(jù)其ID向查詢系統(tǒng)詢問其安全性。如果查詢系統(tǒng)返回安全的提示則執(zhí)行這個(gè)數(shù)據(jù)包,如果查詢系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng),在得不到查詢系統(tǒng)答復(fù)未處理時(shí)掛起這個(gè)數(shù)據(jù)包操作這種方案的優(yōu)點(diǎn)如下:
1.不會(huì)在網(wǎng)絡(luò)繁忙時(shí)由于入侵檢測(cè)系統(tǒng)的分析處理而導(dǎo)致網(wǎng)絡(luò)延遲甚至堵塞
2.由于網(wǎng)絡(luò)的流量處于波動(dòng)中,入侵檢測(cè)系統(tǒng)可以在流量小的時(shí)候處理大流量時(shí)為處理完的信息。而不會(huì)造成大流量時(shí)不堪重負(fù)。小流量時(shí)空閑的情況。提高了系統(tǒng)的效率。
3.由于網(wǎng)絡(luò)通信的延遲和每個(gè)節(jié)點(diǎn)對(duì)于數(shù)據(jù)處理順序存在調(diào)度機(jī)制。數(shù)據(jù)不一定會(huì)在節(jié)點(diǎn)接收到的時(shí)候就被馬上處理,因此當(dāng)節(jié)點(diǎn)提交查詢的時(shí)候,這個(gè)數(shù)據(jù)包往往是已經(jīng)分析完畢的,因此這種方式對(duì)于節(jié)點(diǎn)的數(shù)據(jù)處理影響是比較小的。
結(jié)合虛擬化技術(shù)的入侵檢測(cè)系統(tǒng)
由于虛擬化技術(shù)模擬了程序的運(yùn)行環(huán)境,因此完全可以把每個(gè)虛擬環(huán)境看成網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。
(三)、結(jié)合虛擬化的入侵檢測(cè)方案
結(jié)合虛擬化可以改進(jìn)之前提出的延遲異步方案如下:
其1.2步相同
3.虛擬環(huán)境中的程序向查詢系統(tǒng)提交查詢,如果查詢系統(tǒng)返回安全的提示則執(zhí)行這個(gè)數(shù)據(jù)包,如果查詢系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng),如果查詢系統(tǒng)答復(fù)未處理則不等待直接執(zhí)行這個(gè)數(shù)據(jù)包,并回饋給入侵檢測(cè)系統(tǒng)這個(gè)ID數(shù)據(jù)包執(zhí)行時(shí)間。
4.數(shù)據(jù)包的執(zhí)行結(jié)果如果有反饋信息則標(biāo)上和執(zhí)行數(shù)據(jù)包同樣的ID發(fā)給入侵檢測(cè)系統(tǒng),若入侵檢測(cè)系統(tǒng)已分析完畢這個(gè)ID的數(shù)據(jù)包是合法的則通過,否則則截留這個(gè)數(shù)據(jù)包。如果還未分析則掛起這個(gè)數(shù)據(jù)包等待分析。
5.若檢測(cè)系統(tǒng)檢測(cè)出某個(gè)非法攻擊數(shù)據(jù)包。并且這個(gè)數(shù)據(jù)包在X時(shí)已經(jīng)被K虛擬環(huán)境執(zhí)行,則通知虛擬環(huán)境K回退到X時(shí)。并提交警告給管理人員。
結(jié)合虛擬環(huán)境后,虛擬環(huán)境中的程序可以在不等待入侵檢測(cè)系統(tǒng)的數(shù)據(jù)包分析反饋的時(shí)候就預(yù)先執(zhí)行數(shù)據(jù)包。如果執(zhí)行的是非法數(shù)據(jù)包則進(jìn)行系統(tǒng)回退。在日常運(yùn)行中,提高了大流量期間的運(yùn)行效率。
綜上所述,我們可以使用虛擬化技術(shù)封閉程序的運(yùn)行環(huán)境,消除程序間的相互影響。并且把外部攻擊也局限在某一個(gè)封閉虛擬環(huán)境中。通過入侵檢測(cè),我們可以及時(shí)的發(fā)現(xiàn)并且解決網(wǎng)絡(luò)中的異常,并且通過延遲異步方案和與虛擬化結(jié)合的的異步方案可以一定程度上提高入侵檢測(cè)在大流量網(wǎng)絡(luò)中的效率。
