免疫网络系统

西安电子科技大学　吴一蔚　段 瑾　马 茗

指导教师: 胡建伟

摘 要

本系统模仿人体免疫机制, 提出并实现了免疫网络系统。 系统采用三道防线, 首道防线透明防火墙起皮肤的作用, 针对网络扫描提出普适性防御算法。 具有引导和学习能力的智能巡检中心类似体液中的杀菌物质, 实现网内的定点巡逻, 提升系统免疫力。 对于被攻陷的内网主机, 将其网络流量重定向到我们设计的应急中心, 不但能保证该节点仍能继续安全地享受网络服务, 而且可以精准还原节点到受攻击前的安全状态。

关键词: 免疫; 三道防线; 透明防火墙; 智能巡检; 应急中心

Resilient Network System

Abstract

The system mimics the body' s immune mechanism,raising the Resilient Network System. The system has three lines of defense. The transparent firewall plays the skin role,giving a universal defense algorithm for the external network scanning. Intelligent Inspection Center,as bactericidal substances in the body fluids,executes pa-trol monitoring the attacks penetrated within the network,leading and learning attack patterns to improve system immunity. For the compromised hosts,the system redirects network traffic to the emergency center we have designed,not only to ensure that the node can continue to enjoy the network services safely,but also to accurately restore the nodes to a safe state before the attack.

Key words:immunization;three lines of defense;transparent firewall

1 引言

1.1 研究背景

信息安全问题普遍存在于社会经济、 军事技术、 国家安全、 知识产权、 商业秘密乃至个人隐私等各个方面。 网络安全是计算机网络及其应用领域中一直研究的关键问题。 然而传统的网络安全理论和技术存在着以下三个无法克服的缺陷: 首先, 集中控制的方法对于当前分布式的网络环境显得力不从心; 其次, 网络具有同构性, 无法阻止可疑入侵及病毒迅速广泛传播; 再次, 当前网络威胁日新月异, 传统网络安全理论和技术的静态性和被动性已经无法适应恶劣多变的网络环境。

网络可生存性是对传统网络安全观念的突破和创新, 强调网络信息系统在遭受攻击、 故障或意外事故的情况下, 能够及时地完成其主要任务并能及时修复被损坏的服务的能力。 网络可生存性主要突出系统必须具有四个关键特性: 抵抗能力(Resistance)、 识别能力(Recognition)、 恢复能力(Recovery)以及自适应能力(Adaptation)。 网络可生存性研究已经成为网络信息安全研究的新方向。

1.2 研究现状

目前国际上关于可生存网络技术的研究重点包括可生存性的基本概念、 可生存性体系结构、 可生存性系统模型、 可生存性风险评估、 可生存性系统评价与测试等。 学术界在不断寻求开放互联网环境下的容错(Fault Tolerance)、 入侵容忍(Intrusion Tolerance)、 健壮性(Robust)等技术的软硬件解决方案。 研究者们卓有成效的研究成果和具有创见的开拓精神为后人提供了丰蕴的宝藏, 总结如下:

(1) 可生存性的研究方法: CERT/CC把它总结为一个划分和三个 “R”, 即首先系统划分为不能攻破的安全内核部分和可恢复部分, 然后针对一定的攻击模式, 给出相应的抵抗(Resistance)、 识别(Rec-ognition)和恢复(Recovery)策略。 基本服务不可攻破, 入侵模式是有限集合, 并强调系统防护技术的不断进步是生存性方法学研究的前提。

(2) 可生存性的定量研究: 卡耐基梅隆大学的Soumyo D.Moitra等研究如何对系统的可生存性进行量化分析, 并开发了一套仿真模型, 用来评估各种防御机制的开销和网络遭受攻击后预期的生存能力。

(3) 涌现算法(Emergent algorithm): 该算法是CERT合作中心的David A.Fisher等人提出的。 涌现算法通过分布于全系统的局部行动的合作, 来产生一个全局的响应, 并建立了基于涌现算法的称为涌现算法语言和环境(Easel)的系统模拟和仿真方法。 在系统架构级, Easel模拟试图保护关键信息系统和基本商务服务, 支持系统遭受网络攻击、 事故和故障的可视化。

(4) 美国的弗吉尼亚大学(University of Virginia)和Portland大学等单位合作正在开展 “关键基础设施保护的信息可生存性” 工程研究, 包括关键基础设施的可生存性评测、 军用和民用基础设施的可生存性测评、 军用和民用基础设施研究及可生存性体系结构工程等。

国内的信息系统可生存性起步研究相对较晚, 尚属起步阶段。 但目前系统可生存性研究已受到足够的重视, 已经取得阶段性丰硕的成果:

(1) 973项目中的 “海量信息的协同性和可生存性的理论与实践研究”, 在其六项主要研究内容中有四项与可生存性有关。

(2) 陈左宁在研究大规模计算机系统可信性技术时, 指出系统可生存性的关键技术, 欲通过建立系统可生存模型, 实现以自我配置、 自我恢复、 自我优化以及自我保护为特征的自主计算。 林闯在提出可信网络概念的基础上, 分析了安全性、 可生存性和可控性之间的联系。

1.3 研究意义

纵观国内外研究, 可生存性研究目前主要还是处在理论研究阶段, 并且在不断地吸收容错、 入侵容忍、 健壮性等方面的研究思路, 可以不同程度地增加系统的实时检测能力、 响应能力、 重配置能力或冗余能力来提高系统的可生存能力。 但是在这些解决方案中, 对攻击、 异常的检测、 评估以及重新配置的执行, 都需要人为介入, 存在不同程度的时延, 针对可生存系统的自适应响应、 恢复和演化能力的增强还没有涉及。 作品针对现有的可生存网络实现方案高度依赖人力、 响应迟缓、 缺乏自主学习和自我愈合能力的不足, 结合人体免疫系统的三层防线理论, 提出一个多层次、 全方位的可生存网络免疫模型, 并基于此设计实现了免疫网络系统。 该免疫网络系统通过抵御、 识别、 学习、 恢复的全方位防御修复措施, 建立维护网络安全的三层防线模型, 维护网络的健康和稳定。

2 系统方案设计

2.1 灵感来源

人体是一部复杂深奥、 精致无比的 “机器”, 拥有防御与修复双重功能的免疫系统。 这套免疫系统是覆盖全身的防卫网络, 在广阔分布着病菌和伤痛的空间内保护人体, 使人体维持一定的健康程度以保证可生存性; 同时拥有对入侵的未知抗原的学习能力, 从而获得后天不断增长的免疫能力; 对于已经造成的伤害具有修复还原能力。 人体免疫系统由三道防线组成, 如图1所示。

图1 人体三道防线示意图

第一道防线:由皮肤和黏膜构成,它对包围身体的抗原具有普适性的过滤作用。

第二道防线:由体液中的杀菌物质组成,如溶菌酶和吞噬细胞。它们在体液中就像“巡警”一样, 监视着侵入机体的病菌。 一旦发现体液内的 “异己”, 就迅速将其消灭。

第三道防线:由淋巴细胞组成,它可以在不断与抗原微生物做斗争中提高机体生命力。免疫系统时刻不停地新陈代谢, 及时地把衰老和死亡的细胞清除, 从而保持人体的健康稳定。

受人体免疫系统的启发, 作品提出了一种基于免疫的可生存网络模型并加以实现。

2.2 免疫网络系统

建立免疫网络系统模型旨在于充斥着不安全因素的网络环境中维护一个稳健、可生存性良好的网络防护体系。该系统具备防御和修复双重功能,通过对网络流量进行多层次、全方位的检测和审计,层层把关,维护网络处于良好的健康状态。此外系统拥有自主学习和自我愈合的能力,通过对未知入侵行为的分析、学习和记忆,变未知为已知,不断提高网络免疫能力;在入侵发生后也拥有控制危害范围、保证网络畅通和服务的正常提供,以及自主修复还原的能力,从而全面维护网络的运转稳定。免疫网络模型层次结构如图2所示。

图2 免疫网络系统三道防线示意图

第一道防线:透明防火墙

透明防火墙处在内部网络和外部网络之间, 起到内部网络“皮肤”的作用。 它可以有效地识别各类扫描行为, 从而将大部分的扫描攻击拒之门外, 有效降低网络被攻击的可能。

第二道防线:智能巡检中心

智能巡检中心相当于免疫系统中的吞噬细胞。该模块的巡逻监控引擎在网络中对网内节点的巡逻, 随时监控网络内任何一台或几台主机,巡逻任务主要包括端口审计、流量统计和流量异常评估三项工作。

第三道防线:应急中心

应急中心的作用类似于细胞的自我修复和再生, 为智能巡检中心检测到的受损内网节点提供应急通道, 保证受损内网节点在被攻陷状态下仍能享受网络服务, 保证其正常工作; 在用户工作完成后提示用户将受损节点还原到未受攻击之前的安全状态, 从而保证网络的新陈代谢, 让网络在斗争的过程中维持生命力。

3 系统功能与指标

3.1 系统功能组成

系统功能如图3所示,主要的功能模块包括:透明防火墙、智能巡检中心、免疫隔离模块、应急中心等。

图3 系统功能模块示意图

透明防火墙主要针对来自网外的威胁, 通过分析现有的网络扫描技术,提取普适性的扫描特征将其作为过滤规则,应用于透明防火墙。防火墙自身的内外网网卡工作在链路层, 不需要IP地址,因此可以彻底免于被攻击。

对于进入网内的通信流量, 系统采用智能巡检和免疫隔离相结合的办法, 实现内网安全监控以及未知攻击的免疫学习。

最后, 对于被攻陷的节点主机, 采用应急通道和还原通道, 分别实现了网络服务的正常提供和主机系统的安全运行。

3.2 透明防火墙

3.2.1 透明特性

透明防火墙工作在受到保护的网络内部和其余外部网络之间, 是内部和外部信息交流必须通过的网桥, 设置为无IP的状态, 因此内部和外部网络都不会在网络拓扑中发现防火墙的存在, 有效保障了自身的安全, 实现对内外网络 “透明” 的特性。

3.2.2 防止外网扫描

当前网络攻击的基本步骤为: 扫描端口、 判断开放了哪些服务、 判断入侵对象的操作系统、 根据操作系统和所开放的服务选择入侵方法。 所以, 作品中防火墙的主要目标是防止外网的扫描, 以隔离绝大多数来自外网的攻击。

3.3 智能巡检中心

智能巡检中心是网络免疫系统的第二道防线, 起到与人体免疫中的第二道防线相似的功能。 在人体的免疫系统中, 吞噬细胞在体液中巡逻, 可以及时发现被病毒感染的宿主细胞, 并加以消灭。巡逻监控引擎针对进入网内的流量进行审计和监测, 对异常流量进行判定和给出多态处理建议, 并将异常流量引导值隔离免疫区, 避免其对网络安全的伤害, 并与模拟服务与产生异常流量的主机通信, 从中提取攻击指纹特征, 充实免疫库, 达到提升系统免疫能力的目的, 整个处理流程如图4所示。

图4 智能巡检中心工作流程图

对于试图向非存活IP发起连接请求的主机, 免疫隔离区将给出虚假应答, 模拟存活主机与之通信,这种流量捕获方式称为自投罗网捕捉。 对于巡逻监控引擎侦听的主机通信, 系统进行端口审计、 流量监控和异常评估三项分析工作, 在异常评估中得出存在威胁结论的主机的通信将被重定向到免疫隔离区,这种流量捕获方式称为引导捕获。

到达隔离免疫区的流量被认定为危险流量, 与隔离免疫区通信的主机被认定为存在威胁的主机。 隔离免疫区为威胁主机提供虚假应答和模拟服务, 并将通信过程记录备案和智能提取, 将攻击指纹特征写入免疫特征库。

3.3.1 巡逻监控

针对内网并发流量可能很大的情况,作品设计了巡逻监控的功能,单一时间内用“巡逻” 的方式监控少量几台内网主机。这种方式是安全和效率的一种折中,既保证了巡逻服务的正常提供和服务器自身的稳定安全,也充分利用了服务器性能。巡逻功能细致准确地统计主机流量,并进行以下三个方面分析工作:

(1) 端口审计。

选取通信连接中和服务相关的五个要素进行综合分析,为管理员的维护和研究提供详实的报告。 五要素分别是:IP、Port、Service、Product以及Version,以描述该主机IP地址、 开放端口、 端口所提供服务、所使用应用软件和版本号信息,如将连接一方的信息127.0.0.1:80: http: apache:2.2.17作为审核名单的一条记录。

(2) 流量统计。

流量监测是网络安全和网络管理的基础和前提, 能够准确地对各种流量进行识别、 分析、 统计, 对于入侵检测和了解网络健康状况有重要的意义。 本作品中的流量统计一方面把巡逻对象的流量按上行流量和下行流量两类统计, 另一方面按常见的应用层协议和未知协议进行分类。

(3) 流量异常评估。

建立了基于模糊综合评价方法的多态响应流量异常评估模型, 选取网络攻击发生时具有特征的五个特征参量进行量化考察, 抛弃了传统的基于概率分析的入侵检测思路, 转向描述网络行为属于入侵的“程度” 而非 “概率”, 以维护网络的可生存性为原则, 对不同程度的威胁给出不同的响应和处理建议。

3.3.2 免疫隔离区

到达网内的危险流量将被重定向至免疫隔离区, 免疫隔离区将模拟真实存在的主机与被认定为具有威胁的主机继续通信, 并从收到的通信报文中抽取有价值的部分进行学习记忆, 充实免疫特征库, 提升系统免疫能力。

(1) 虚假应答。

有两种情况的流量被认定为未知攻击流量, 一方面是针对巡逻监控认定具备较高安全威胁的主机的通信, 另一方面是针对主动向非存活IP地址发起连接的通信。 对于第一种通信捕获引擎会将威胁主机通信重定向到隔离区, 称为引导捕获; 与之对应的第二种通信称为自投罗网。 捕获引擎将给出虚假应答, 并提供相应的虚拟服务, 诱骗敌手继续攻击以获得攻击流量。

(2) 模拟服务。

系统通过执行模拟服务脚本,与流量被重定向至免疫隔离区的主机进行交互, 模拟正常服务的交互过程,诱骗威胁主机继续攻击。由于免疫隔离区并没有真正运行系统服务, 所以没有被攻破的危险。 系统提供模拟服务的真实性依赖于脚本编写的细致程度,因此需要在真实性和效率之间权衡。 即使模拟服务最后被识破,也已经拖延了攻击的进度,给免疫系统充分的反应调度的时间,制止真正的侵害行为发生。

(3) 攻击备案。

系统对隔离免疫区与具有威胁主机之间的通信进行详细记录, 记录包括通信时间、 通信双方的IP和端口信息, 攻击者操作系统指纹等信息。 系统将这些信息写入数据库, 以供管理员调查及取证。

(4) 智能提取。

在认定到达隔离免疫区的流量是危险流量的依据上, 系统只提取攻击指纹特征, 抛弃数据包描述通信双方信息的报头, 专注于体现攻击实质报文内容。 将内容提取出来的特征写入免疫库, 达到充实免疫库, 变未知为已知, 提升网络自我免疫力的目的。

3.4 应急中心

与隔离免疫区的流量被认为是攻击者利用节点主机作为跳板或利用僵尸客户端进行攻击时产生的流量; 与隔离免疫区产生通信的节点主机将被认定为被攻陷的主机, 智能巡检中心将提示应急中心对其进行工作环境切换和还原的操作。

(1) 应急通道。

提示被攻陷主机的用户, 将该用户的工作环境暂时迁移至应急通道, 用户可以通过应急通道继续享受正常的网络服务和其他系统服务, 并在一个全新的安全环境中继续自己的工作, 而不必中断工作立即处理安全问题。 使用紧急通道时, 除通道进程以外的所有进程均无法访问网络, 从而制止攻击行为, 保护网络整体的安全。

(2) 还原通道。

待用户完成当前工作将离开计算机, 提示用户存在安全隐患并给出精确的还原时间点, 帮助用户选择将计算机恢复到遭到入侵之前的安全状态。

3.5 Web远程管理

提供界面友好的Web管理服务。 本系统的每个模块都会实时地将网络信息登入Web数据库日志,并且以图表、 消息提醒等形式呈现给管理员, 使管理员在得到整个网络信息的同时降低其查阅系统日志的烦琐工作量。

4 系统原理与实现

4.1 透明防火墙原理与实现

4.1.1 防火墙透明特性的原理及实现

透明防火墙硬件配置为三块网卡, 其中eth0是内部网络接口, eth1是外部网络接口, 其间配置成网桥模式, 实现内外网透明通信; eth2为控制网卡, 在其上配置IP地址, 用来实现网络管理员远程访问控制防火墙、 防火墙将预警信息在内网Web服务器进行日志记录的功能。

当网桥收到一个数据帧后, 首先将它传送到数据链路层进行差错校验, 然后再送至物理层, 通过物理层传输机制再传送到另一个子网上, 在转发帧之前, 网桥解析它收发的数据, 读取目标地址信息(MAC), 并决定是否向所连接网络的其他网段转发数据包。 为了能够决策向哪个网段发送数据包, 网桥学习接收到数据包的源MAC地址, 在本地建立一个以MAC和端口为记录项的信息数据库。

4.1.2 普适性算法的理论分析

当前网络攻击的基本步骤为: 扫描端口、 判断开放了哪些服务、 判断入侵对象的操作系统、 根据操作系统和所开放的服务选择入侵方法。 由此可见在入侵的开始阶段攻击者的行为往往是盲目的, 而端口扫描常常是攻击的前奏。 所以, 如果网络防护系统的最外层可以在扫描阶段及时发现入侵行迹, 将有效地抵御黑客攻击行为。

可以完成扫描的技术种类相当惊人, 每一种技术所对应的数据包看上去都略有不同。 目前主要的扫描工具有Strobe、 Netcat、 Nmap等, 优秀的Nmap扫描器提供了几乎所有的TCP和UDP扫描功能, 尤其受到入侵者的偏爱, 本系统以Nmap为研究对象分析扫描过程的一般性特点。

我们通过对比Nmap发出的扫描数据包与正常网络通信中的数据包, 得出了扫描数据包的以下特征:

针对TCP connect() 扫描利用了被扫描主机的TCP协议栈,而UDP扫描也被简单化的特点,我们很难分析出扫描数据包字段与正常通信数据包字段的不同。 因此, 在这种情况下我们用“扫描端口一对多”的特点来进行扫描监测。

SYN扫描中发送的每个SYN包完全绕过了TCP协议栈,它模仿SYN数据包(通常是通过使用原始套接字来完成)的形式构建一个数据结构并由操作系统内核放入网络。因此它在很多字段随机赋值:

1) TTL值: 在37至60之间随机选择一个数值作为TTL值;

2) TCP窗口大小设置为1024、2048、3072或4096。

在ACK、FIN、XMAS、NULL扫描类型之间唯一显著的差异是它们所使用的TCP标记组合不同。我们以FIN扫描为例来进行分析, 在合法的TCP通信中找到带有FIN标记的TCP数据包是很正常的事情, 该标记用于表明TCP连接的一端没有更多的数据要发送并正在关闭该连接。 但是对于一个突发的FIN数据包, 它不属于任何连接, 所以系统可以在一开始就通过单个数据包检测到这些扫描。

在Nmap实现主动式操作系统指纹识别时,Nmap主要是利用变幻莫测的TCP行为猜测远程操作系统身份, 首先测试目标系统协议栈构建TCP首部选项部分响应由Nmap发送SYN数据包的方式。 其次测试目标系统针对发送给其已关闭端口的UDP数据包所响应的ICMP端口不可到达消息的特征。 所以, 免疫系统在其发送SYN数据包时就可以将其判定为一次扫描。

4.1.3 普适性算法工作流程

以防扫描为主要功能的普适性算法工作流程如图5所示。 实现时采用Libpcap库抓包, 检测数据流中是否有扫描特征, 对于被发现的扫描者, 记录此次扫描行为发生的时间、 IP地址、 扫描类型等信息到Web管理数据库中, 同时用Netfilter框架进行威胁数据包的过滤。

(1) 在ethernet_protocol_callback()函数中进行扫描特征的监测, 检测扫描的特征规则如图6所示。

图5 隔离防火墙工作流程图

图6 透明防火墙防扫描核心规则

程序在识别扫描过程中维护两个表: Communicate_Link表, 跟踪内外网间通信连接流程; Blacklist表, 记录扫描主机信息。

communication_link表:记录所有内外网间通信连接

跟踪信息(src_ip,dst_ip,src_port,dst_port, protocol, link_status),其中三次握手表示一次通信的开始,四次握手表示一次通信的结束。若突发状态不正常的连接,比如突发FIN包、ACK包,便将此次通信源主机信息记入黑名单Blacklist表; 若发现FLAGS字段异常的数据包, 如XMAS(FIN| PSH| URG), FIN| SYN| PSH| URG,SYN| ECN| CWR,同样将此次通信计入缓冲黑名单Blacklist表。

Blacklist表:记录可疑的扫描主机信息

(2) 跟踪疑似扫描主机发送的扫描包的频率, 若大于阀值(5个包/每秒), 则将四元组——扫描时间、 扫描地址、 扫描类型、 有效状态(scan_time, ip_addr, scan_type, valid_status)记入Web管理主机数据库, 供Web图形化界面友好显示。 其中valid_status参数设为enable, 表示从当前时间点开始对扫描主机数据包进行过滤。

(3) 对于黑名单中的主机,将其写入Netfilter框架的ebtable模块过滤规则,自此后24小时中, 此扫描主机不能与内网进行通信。 在一小时后将四元组(scan_time, ip_addr, scan_type, valid_status)——其中valid_status参数设为disable,再次记入Web主机, 通知网络管理员此刻开始允许这台主机进行通信。在一天之内若该台主机再次进行扫描行为,也不予理会。

4.2 智能巡检中心原理与实现

智能巡检中心主要完成巡逻监控、 维护免疫隔离区、 更新免疫库的功能, 承担学习和提高系统免疫力的任务。

4.2.1 内网巡逻监控

程序使用了Libpcap开发包和ARP欺骗的技术手段。 利用Libpcap可以捕获原始数据包(包括在共享网络上各主机发送/接收的以及相互之间交换的数据包)以及在网络上发送的原始数据包; 利用ARP欺骗的手段, 使监控对象的主机和外界的通信通过监控中心服务器, 监控中心成为对通信双方透明“中间人”, 从而截获所监控的主机与外界的通信。

监控程序使用两个线程同步进行深度报文分析, 分析线程负责对报文进行深度检测, 统计线程在时钟中断来临时对分析信息进行统计, 并将分析信息写入数据库。 程序对巡逻到的主机进行以下几个方面检测并分析记录健康状况。

(1) 端口审计。

为了防止端口服务私自变更, 在信任管理的机制上系统制定了端口使用规范, 应用软件以及版本使用规范。 巡逻期间分析线程通过对数据包的深度检测, 获取主机通信所使用的端口号和协议特征, 关注新启用的端口和服务, 统计线程负责统计一个观测时段内IP地址、 开放端口、 端口所提供服务、 所使用应用软件和版本号信息五要素的变更情况, 并在数据库中形成记录, 为管理员提供信息。

图7 流量异常评估结果实例

(2) 流量统计。

分析线程利用原始数据包报文头部信息进行流量统计,以主机对外的每一个连接为单位进行流量统计, 通过提取通信双方IP和端口号作为特征信息参与HASH函数运算,用步长倍增的算法解决HASH冲突, 并用包头中的报文长度字段值更新所属连接的累计流量。 统计线程在到达时钟中断后统计这一时钟内的主机流量, 在可靠的端口审计工作的基础之上, 将流量按上行/下载和应用层协议两种方式分类流量并写入数据库, 并将分析线程初始化。

(3) 流量异常评估。

根据网络攻击发生时流量行为特征的变化程度提出使用五个参数: TCP 工作权重、 SA/S、 L3D/L4D、L4D/L3D、 L4S/src, 构建五元流量异常评估模型, 用来描述一个结点主机的健康状况。 威胁网络安全的行为将触发免疫规则。 评估结果如图7所示。

Work(TCP工作权重):

TCP work weight =(SS+FS+RR)/TP

其中各个变量的意义如下:

SS是采样期间计算机发送的仅带有SYN标识报文的总数。

FS是采样期间计算机发送的带有FINS标识报文的总数。

RR是采样期间返回到计算机的带有TCP RESET标识报文的总数。

TP是采样期间计算机收发TCP报文的总数。

TCP工作权重简写为Work, 是一个0～100%变化的百分比。 工作权重是衡量控制包与数据包的比率, 值通常偏低, TCP的控制包和数据包的比例是均衡的或者数据包比控制包多一些更适宜。 值比较高表明主机正在发送大量控制包, 这通常是一个正在进行扫描或DOS攻击的主机。 例如, 客户端用SYN包来开启TCP通信或者服务器采用SYN+ACK来应答客户端的SYN。 FIN和RESET包也是类似的。 如果值是100%意味着主机仅发送控制包。

SA/S:

SA表示主机发送的带有SYN+ACK标识位报文的数量。

S表示主机发送和接收的带有SYN标识位报文的数量。

权值在0～100%之间变化, 比值较高或100%意味着主机可能是一个服务器, 而0暗示主机是一个客户端, 通常采用P2P的主机SA/S的值在0～100%之间。 一个僵尸用户的值可能是0, 而网页服务器的值一般比较高。

L3D/L4D和L4D/L3D:

L3D表示第三层目的IP地址的数量。

L4D表示第四层目的端口号的数量。

L3D值较大表示主机尝试与许多主机建立通信(包括进行攻击)。 L4D值较大表示主机与一台或多台主机的许多端口通信。 扫描器有时试图与很多IP主机进行通信来寻找具有开放目的端口的主机, 这种情况下L3D/L4D值会相当高。 或者有时也会与一个IP主机通信, 遍历它所有端口来寻找开放端口,这种情况下L3D值为1, L4D值会很大。 一个典型的僵尸网络客户端的攻击种类有限, 因此它会扫描很多IP主机, 但只是在几个端口上进行, 因为它的攻击手段优先只能针对某些端口, 比如经典的目的端口139和445的攻击。

L4S/src:

L4S/src这个值表示L4TCP源端口信息。 对于L4S, 系统只给出源端口的数量(1～10,10意味着很多), src区域仅给出第一个采样的源端口数量。 目的是提供源端口的一点线索。10表示系统是多线程的且打开了多个端口发送数据包, 这是典型的网页客户端, P2P客户端或者某些恶意软件开启多线程进行扫描。

上述五个参数进行归一化处理后使用评估模型进行流量异常评估, 生成威胁估值放射图谱。 图中五项指标越高表示当前对象具有的威胁程度越高, 高指标的项越多、 关系越紧密则所围成五边形面积越大, 因此该图谱的面积形象地描述了当前巡逻对象的威胁程度, 且不同的产生威胁行为将形成自己的特征图谱, 便于管理员准确识别和做出相应处理。 为了定量描述主机存在威胁的程度, 我们建立了基于模糊综合评价方法的多态响应的威胁评估模型:

a) 确定隶属函数。

设U为包含所有评判因子在内的因素集合, 将U中因素按照某一标准进行分组, 一般将性质相近因素分在一组,设U中因素分为n组,即U={U1,U2,U3,…,Un}。其中,U=Ui≠Uj;i≠j时,Ui∧Uj=∅。对于每个U,有Ui={Ui0,Ui1,Ui2,…,Uin},其中表示第i组因素集合所包含的单因素个数。威胁因子的隶属度函数定义如下:U1=TCP控制权重(work),U2=SA/S,U3=L3D/L4D,U4=L4D/L3D,U5=L4S/src。

b) 建立关系模糊矩阵。

对各单项指标评估因子分别进行评价, 可取U为各单项指标的集合, 则评判因素集选定为U={work, SA/S, L3D/L4D, L4D/L3D, L4S/src}, 取V为风险级别的集合, 针对我们的评估系统, 则V={低, 较低, 中, 较高, 高}。 对U上的每个单项指标进行评价, 通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。 例如, 取巡逻到主机连续5秒的一组实测值, 就可以分别求出属于各个风险登记的隶属度, 组成一个5×5的模糊矩阵记为关系模糊矩阵R。

c) 权重模糊矩阵。

设V={V1,V2,V3,…,Vm}为评判集合,它对任一因素的评判都适用,Ai={a1,a2,a3,…, am}为U中各个因素相对V的权重系数,且满足ai1+ai2+ai3+…+ain=1,ai根据Ui相对于V的权重系统集合,且满足a1+a2+a3+…+am=1,ai根据U中各个因素的重要程度分配,在大量实验基础上提出数值: A={0.5,0.2,0.1,0.1,0.1}。

d) 模糊综合评价算法。

根据单因素评判矩阵Ri利用复合运算即可求得对子因素集Ui的综合评判结果:

进行单项评价并配以权重后, 可以得到两个模糊矩阵, 即权重模糊矩阵B和关系模糊矩阵R。 则模糊综合评价模型为:Y=B×R。其中Y为模糊综合评估结果。Y应该为一个1×5的矩阵:Y=(y1,y2, y3,y4,y5)。其中代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果, 当然也可以对这个结果进行量化。 比如我们定义N=Y*A′为最终的数值结果。

e) 多态处理算法。

分析线程分别统计模型基础数据: 被监控主机发送的带有SYN、 ACK、 FIN的TCP报文, 收发的TCP报文总数, 发送报文的目标IP地址和端口信息, 源端口信息。 统计线程在时钟中断来临时统计上述信息, 得到可视化流量异常检测图, 并利用上述模型得出的处理结果进行归一化处理, 用归一化结果E来表示主机威胁程度。 对于0＜E≤a的情况模型认为主机具备低程度威胁, 不做出处理; 对于a＜E≤b的情况认为主机具备中等威胁, 写入日志报备管理员; 对于b＜E＜1的情况认为主机具有高度威胁, 将威胁主机流量利用ARP重定向至隔离免疫区, 并弹出对话框提示管理员把该主机连接到紧急通道。

4.2.2 免疫隔离区

(1) 虚假应答。

当免疫隔离区程序的监听线程检测到有ARP请求时, 检查存活主机列表, 如果发现是对非存活主机的ARP请求, 则伪装成目的主机给出虚假应答。 伺候攻击主机发送给不存活主机的数据都会发送给本机(免疫隔离区)。 免疫隔离区的监听线程会对接收到的数据包进行分析并根据事先设置好的应答规则对其进行应答, 并对攻击主机发送的数据包进行特征提取, 存入特征数据库。

(2) 智能分析记忆。

对报文信息进行智能解析, 获取攻击特征, 并学习记忆。

4.3 应急中心原理与实现

4.3.1 应急通道原理与实现

(1) 网络驱动层的实现。

在本作品中, 我们为了在不影响云桌面工作的前提下隔离带有网络威胁的计算机, 采用TDI和NDIS双层过滤: TDI获取云桌面客户端的端口地址, NDIS根据端口来进行过滤, 阻止除云桌面连接端口外的一切端口发起连接。

(2) 应急通道实现。

应急通道在系统中的作用如图8所示。

云桌面服务器首先开启一台虚拟机, 然后向需要使用云桌面服务的终端发送一个带有控制指令的加密数据包, 云桌面客户端收到这个数据包并确认其来源之后使用其自带的使用RDP协议的连接工具根据先前收到的数据包中提供的服务端口连接云桌面服务器。 连接流程如图9所示。

图8 应急通道在系统中的作用

4.3.2 时光穿梭原理与实现

当免疫网络系统客户端启动时, 客户端将会自动记录系统的工作状态并生成一个日志文件。 若客户端系统被隔离, 则系统管理员可以在合适的时间利用还原工具将系统还原到日志中正常的时刻。

4.4 Web管理界面的原理与实现

Web管理界面采用B/S架构, 应用AJAX以及MySQL、 A-pache、 PHP、 EXTJS4等技术构建而成。

图9 应急通道模块的连接流程

5 系统特色

5.1 免疫网络系统的提出与实现

本系统创新性地将人体三道防线机制引入到网络安全系统构建中。 各个模块间配合紧密, 有效填补了现有安全产品体系间的空缺, 避免了传统网络安全产品各自为战的局面。

(1) 第一层防线——透明防火墙。

1) 透明防火墙本身无IP地址, 这时防火墙对于网络上的其他用户来说是不可见的, 使得防火墙本身不可能遭受攻击, 而且这一特点使得本系统的防火墙模块在安装时不必更改以前的网络拓扑结构。

2) 本系统针对当前“扫描往往是攻击的前奏”这一特点, 提出了针对扫描的普适性的防御算法: 流量行为审计算法, 它可以有效地识别各类扫描行为, 从而达到智能的防御效果。

(2) 第二层防线——智能巡检中心。

1) 针对内网并发流量可能很大的情况, 作品设计了巡逻监控的功能, 单一时间内用 “巡逻” 的方式监控少量几台内网主机, 既保障了巡逻功能的稳定提供, 又充分利用了服务器性能。

2) 采用端口审计、 流量统计、 威胁评估等多种手段全方位地描述网络安全状况。 建立基于模糊综合评价方法的多态响应的威胁评估模型, 抛弃了传统的基于概率分析的入侵检测思路, 转向描述网络行为属于入侵的“程度”而非“概率”, 以维护网络的可生存性为原则, 对不同程度的威胁给出不同响应和处理建议, 为入侵检测提供了另一种思路。

3) 隔离免疫区捕捉攻击流量, 并对其进行分析和学习, 更新免疫库中信息储备, 从而不断提升免疫能力, 从容面对未知攻击。

(3) 第三层防线——应急中心。

1) 作品中的应急通道保证用户在存在安全威胁的情况下正常使用网络服务, 并在全新的安全环境下继续未完成的工作, 并保证用户数据的安全。

2) 待用户完成当前工作将离开计算机, 系统将提示用户存在安全隐患并给出精确的还原时间点,帮助用户选择将计算机恢复到遭到入侵之前的安全状态, 时刻维持网络的新陈代谢。

5.2 Web远程图形化管理界面

提供Web远程管理服务, 以图形化操作窗口的形式, 大大降低了使用难度和操作繁复程度, 使得初级网络管理员也能有效地管理网络。

同时管理员可以从互联网的任何位置访问系统服务器, 对系统过往和现在的安全情况进行监测和分析, 并对网络环境进行简单配置, 大大减小了网络管理员管理网络的时延。

6 总结

随着网络信息系统自身规模的日益庞大, 并朝着高度的分布式方向发展, 这样的特征使得网络安全技术承受着与日俱增的压力, 所以必须提出新的安全理念来确保网络信息系统的安全性。 网络系统生存能力的提出, 突破了狭隘的传统安全观念。 可生存能力的中心思想是即使在入侵成功后, 系统的重要部分遭到损害或摧毁时, 系统依然能够完成任务, 并能及时修复被损坏的服务。

本文基于生物免疫系统对机体生存作用的机理, 通过模拟人体的三道防线机制, 提出了可生存网络系统的构建方法, 从而实现了网络自我抵御、 自我净化、 自我修复的安全网络模型——免疫网络系统。在网络边界的透明防火墙通过分析提取数据包行为特征, 有效地识别扫描的发生, 起到网络皮肤的作用; 网络内部应用流量比例分析、 端口审计等创新手段可以有效地识别网络中的受损节点, 并且及时为其提供应急通道, 保证用户在紧急状态下享受网络服务; 以及通过精准还原技术辅助网络恢复至受攻击前的状态。 相信本系统——免疫网络系统这样多层次全方位的服务可以有效地填补当前各种网络防御技术间的缝隙, 满足“因适应而生存”的需求。

专家点评

如何建立更加安全的信息系统保护机制一直是信息安全研究的重要内容。 作品 《免疫网络系统》通过模拟人体的三道生物免疫防线, 实现了一个从外到内, 覆盖攻击检测、 分析、 过滤、 免疫的安全网络模型, 将防火墙技术、 入侵检测技术、 蜜罐技术、 虚拟化技术等有机地结合在一起。 透明网桥、NDIS驱动等方法的合理应用体现了设计者对相关安全技术的熟练掌握, 异常流量评估中基于模糊综合评价方法的多态响应的威胁评估模型更体现出了较强的理论水平和应用能力, 特别是为受损节点提供应急通道和恢复机制的设计增加了系统的实用性, 使得系统的安全防护成为一个完整的整体, 对设计者的一点建议是在系统的动态巡检方式和安全策略上可以进一步考虑改进。