《网络入侵容忍技术研究》由会员分享,可在线阅读,更多相关《网络入侵容忍技术研究(8页珍藏版)》请在金锄头文库上搜索。
1、 网络入侵容忍技术研究 0引言随着计算机网络技术的快速发展网络规模不断扩大网络应用日益普及,网络安全越来越受到人们的关注,网络安全技术也成为了目前计算机领域的一个主要方向。如何在保障用户便利使用的情况下提供可靠的安全服务呢?这是现代信息安全体系服务的终极目标。但是“绝对的安全”和“无限的沟通”这一组矛盾是无法消除的。如何在可能的不安全状态下,使用户继续相对安全的使用计算机与网络,才是可行的适应性发展道路。其中,入侵容忍技术是一种结合了密码技术和容错技术的全新网安全技术。此项技术的特点在于当系统的某些部分即使已经被攻击者破坏或成控制,系统仍然能够继续提供相应的网络服务,并能保证系统中关键信息的机
2、密性和服务的完整性。显然,这种新型安全技术才符合当前信息系统实际使用要求。国际上正着力研究的一种新的信息可生存方法即入侵容忍( Intrusion Tolerance)方法被广泛关注起来。与传统网络安全方法的思路不同,入侵容忍的概念承认系统中脆弱点的存在,并假定随着时间的发展其中某些脆弱点可能会被入侵者利用。其设计目标就是使得系统在受到攻击时,即使系统的某些部分或部件已经受到破坏,或者被恶意攻击者操控,系统仍能够触发一些防止这些入侵或破坏造成系统安全失效的机制,从而仍然能够对外继续维护正常运行(可能是以降级的模式),提供核心或系统的基本服务,以保证系统的基本功能。1入侵容忍技术概述网络安全技术
3、主要经历了三个发展阶段:以“隔离防护”为主的第一代网络安全技术;以“检测恢复”为主的第二代网络安全技术;以“适应生存”为主的第三代网络安全技术。第一代网络安全技术的技术特点:其基本思想是保护”。通来自www.lw5u.CoM过划分明确的区域边界,利用各种限制和隔离的技术手段,如认证、授权、访问控制、加密、数字签名等等,想通过权限控制在各级区域边界上阻止非法入侵,从而使得信息得到保护的目的。 第二代网络安全技术的技术特点:其基来自WwW.L本思想是“保障”。在保护的基础之上建立必要的预知信息库,以检测技术为核心,避免已知的入侵和攻击。以恢复技术为后盾,对相应的攻击破坏行为预设解决方案,从而保障整
4、个网络体系可以正常的运作。典型的应用技术是入侵检测系统( Intrusion Detection System),防火墙技术。尽管这些技术可以有效地抵御网络外部的入侵攻击,但对于来自网络内部的攻击却显得无能为力,而且旦触发造成的危害扩散更为巨大。第三代网络安全技术的技术特点:其基本思想是“生存”。即在破坏受损的情况下,最大限度的提供信息的可靠性,维持整个网络的继续运行状态,并且同时利用“自适应性”尽可能的自我修复受损位置和被破坏信息。卡耐基梅隆大学的学者给这种可生存技术下了一个定义:所谓“可生存技术”就是系统在攻击、故障和意外事故已发生的情况下,在限定时间内完成使命的能力。一些权威组织将三代信
5、息安全技术做了比较,图1形象说明了它们之间的关系。由上图可以很明显看出,每一代的安全措施都会使抵抗入侵的程度更为有效,但是更主要的是第三代“入侵容忍”是在入侵已经穿透外层防御机制,入侵检测系统发生漏检,或者入侵检测已经报警但来不及对损坏的部分作恢复时,对系统服务的安全保障措施。针对上述网络发展的趋势,国际上正着力研究的一种新的信息可生存方法一入侵容忍( Intrusion Tolerance)方法被广泛关注起来。与传统网络安全方法的思路不同,入侵容忍的概念承认系统中脆弱点的存在,并假定随着时间的发展其中某些脆弱点可能会被入侵者利用。其设计目标就是使得系统在受到攻击时,即使系统的某些部分或部件已
6、经受到破坏,或者被恶意攻击者操控,系统仍能够触发一些防止这些入侵或破坏造成系统安全失效的机制,从而仍然能够对外继续维护正常运行(可能是以降级的模式),提供核心或系统的基本服务,以保证系统的基本功能。由于这种方法在考虑对系统可用性保护的同时,还考虑了对系统数据和服务的机密性与完整性等安全属性的保护,因此能够达到防患于未然的目的,被称作是系统安全防护的最后一道防线。总体说来,入侵容忍技术设计的系统必须能够避免系统的失败( Failure),在面对攻击的情沉下仍然连续地为预期的用户提供及时的服务。2基于容忍技术的IDS系统设计2.1入侵检测介绍入侵检测( Intrusion Detection)是指
7、通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析从中发现网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象并做出一定的响应。入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测功能的一系列的软件硬件的组合它是入侵检测的具体实现系统。作为一种安全管理工具它从不同的系统资源收集信息分析反映误用或异常行为模式的信息对检测的行为做出自动的反应并报告检测的结果入侵检测系统就其最基本的形式来讲可以说是一个分类器它是根据系统的安全策略来对收集到的事件状态信息进行分类处理从而判断入侵和非入侵行为。入侵检测是入侵容忍系统不可缺少的一个部分,它是作为对
8、入侵进行容忍处理的触发器。如何高效、全面、安全的解决入侵检测的问题一直以来就是人们关注的焦点,很多研究人员都想将智能、灵活的运行机制引入到入侵检测中,创造更为优越的检测模式。通用型的入侵检测模式一般来讲是通过服务器的代理限制和检测整个系统的数据流向,通过既定的数据分析系统对异常数据做出分析和给出相应的策略。对于目前的系统而言传统的入侵检测技术已经具备了足够的入侵预警功能。然而需要引起重视的是,作为人侵容忍系统的触发装置,如果入侵检测系统出现瘫痪,那么后续的入侵容忍也就无从谈起。那么如何使入侵检测系统也具备“容侵”的工作性质就成迫切需要解决的问题。容忍型IDS系统(简称ITIDS)是在安全状态转
9、换算法的控制下运行的。ITIDS系统所需要保护的是“整个系统的服务”而不是整个系统实体。为IDS划分不同的安全状态,并给出不同状态下的转换策略就可以实现入侵检测中的容忍的基本功能。图2给出了一种状态转换的策略。整个系统的安全状态被区分为四个安全等级:1)正常状态:系统安全正常运行的状态,是没有检测到任何可疑的入侵行为的完全正常状态。不是容忍某些入侵行为但是提供正常服务的工作状态。2)容忍攻击状态:即系统已经检测到存在某些可疑数据包,但还不能确认是否为真正的入侵行为。在这个状态下ITIDS只是通过任务分配单元延迟相关服务请求的处理,系统在设定的可容忍范围内继续为用户提供完整服务工作。3)服务退化
10、状态:系统的服务功能受到较大影响,处理任务的响应延迟明显加大。此时ITIDS系统控制单元通知系统中的代理实现抛弃部分服务的数据包,并由任务分配单元把可疑服务(请求)迁移到服务隔离区。4)被攻击状态:系统确认入侵行为,节点失效状态找过容忍负载承受能力。入侵响应策略通知代理抛弃一切有关服务的数据包切断攻击请求与应用服务器的连接。在这四种状态下设定状态转化阀值,达到阀值即刻进行状态转换。这种状态装换的策略为“容侵”提供了可行的运行模式。值得注意的是当入侵检测系统判断存在网络攻击时系统会进入被攻击安全状态。此时系统控制单元会采取一定的响应措施如通知代理抛弃有关数据包,但是如果系统遭遇强烈攻击时,可能响
11、应措施还没有得以实现响应策略代理就已经被破坏,此时如果要继续实现入侵容忍就必须把用户合法服务迁移到其他服务器上使得即使网络中的某个服务器受到攻击时ITIDS系统仍然能够保证网络上其他服务器正常提供连续服务。大多数的入侵检测系统采用了进程迁移技术来是实现这一想法。然而这种做法最明显的缺陷就是被动性,就是在被迫的状态下才采用迁移的做法。而移动代理的出现却为容忍型入侵检测提供了新思路。如果一开始的入侵检测方式就建立在一种移动机制上,一旦出现问题直接舍弃移动的节点就可以避免入侵行为对特定服务采取破坏。2.2入侵容忍的体系架构系统的设计目的是为外部用户提供持续的可靠的正确服务。即使应用服务器和代理的某一
12、部分发生故障,只要产生故障的部件不超过预定的阀值,那么系统仍可以以正常或者降级的方式为用户提供必要的服务。这里所说的错误包括了瞬间的或者永久的硬件错误、软件漏洞以及对应用服务器和容侵代理的入侵。基本思想:首先满足入侵容忍系统的基本组件结构。具备安全容错的通讯机制,采用基于软件和硬件的容错部件,拥有设计和入侵检测能力,运用合理的容忍入侵策略。此外,系统设计中合理继承了前三代网络安全防护传统中的优良技术,如:防火墙,访问控制,身份认证,硬件组网策略等机制构成一个综合的保护入侵容忍体系来保证系统关键部件在入侵发生的情形下继续为合法用户提供连续的和可靠的基本服务。系统体系结构如下图所示:整个系统主要由
13、三个大的结构层组成:基于代理的入侵检测层,基于分布式一致性的响应决策层,基于复制技术的冗余服务器层。3总结与展望入侵容忍技术研究的目标也不是通过技术手段完全杜绝恶意户或攻击者对系统脆弱性的利用或攻击。建设入侵容忍系统也不是如何构造绝对安全的系统,事实上在目前这种迫切需要沟通与交流的通讯环境中,建设一个绝对阻止入侵破坏的系统是不现实的。入侵容忍系统承认系统中存在脆弱点,并假定其某些脆弱点可能会被入侵者利用。入侵容忍设计目的是使设计的系统在受到攻击时,即使某些部分或部件已受到破坏,或者被恶意攻击者操控时,系统能够触发相应的安全防护机制,能对用户继续维护正常的基本或关键服务。由于这种方法考虑对系统可用性保护的同时,还考虑了对系统其它安全属性的保护,因此能够达到信息系统安全的纵深防御的目的,可以说入侵容忍技术是系统安全防护中的最后一道防线。(责编张岩) -全文完-
