1．引言

    隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為計(jì)算機(jī)應(yīng)用中不可或缺的一部分。但是，網(wǎng)絡(luò)遭受攻擊的風(fēng)險(xiǎn)和機(jī)會(huì)也相應(yīng)的快速增多。如何建立合理的網(wǎng)絡(luò)安全體系已經(jīng)成為網(wǎng)絡(luò)領(lǐng)域的熱點(diǎn)問(wèn)題。目前，要讓開(kāi)發(fā)人員保證開(kāi)發(fā)軟件不存在任何的漏洞是不可能的，同時(shí)要求網(wǎng)絡(luò)安全人員實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)海量信息流并發(fā)現(xiàn)攻擊信息并作出有效地措施也有一定難度。本文為了解決以上問(wèn)題，針對(duì)性的提出了使用虛擬化技術(shù)進(jìn)行軟件的隔離，論述了使用隔離技術(shù)的利弊，并針對(duì)網(wǎng)絡(luò)安全提出了入侵檢測(cè)的解決方案，論述了幾種入侵檢測(cè)體系的利弊，闡述了一種針對(duì)大流量網(wǎng)絡(luò)入侵檢測(cè)的方案。最后結(jié)合虛擬化技術(shù)，闡述了入侵檢測(cè)基于虛擬化終端部署的方案。

2．虛擬化技術(shù)

    2．1虛擬化技術(shù)論述

    一個(gè)程序存在漏洞就會(huì)影響其他程序乃至整個(gè)服務(wù)器的運(yùn)行，因此在不能保證程序本身安全性的時(shí)候，我們就需要減弱或者切斷程序和其他程序乃至服務(wù)器的直接聯(lián)系，將程序作為獨(dú)立的個(gè)體。這樣即使程序崩潰也不會(huì)影響其余程序的運(yùn)行。而MiU給出的一份關(guān)于如今的操作系統(tǒng)和應(yīng)用軟件的研究報(bào)告顯示：軟件之中不可能沒(méi)有漏洞。

    因此我們將應(yīng)用很廣的虛擬機(jī)技術(shù)引入到服務(wù)器的安全維護(hù)中。虛擬機(jī)為應(yīng)用程序提供了一個(gè)與操作系統(tǒng)相同但是又獨(dú)立的運(yùn)行環(huán)境。

    虛擬化保護(hù)的優(yōu)點(diǎn)如下：

    1．通過(guò)為每個(gè)程序虛擬出其運(yùn)行環(huán)境。直接消除了程序間的相互影響。所有的操作都僅僅局限于每個(gè)虛擬化環(huán)境中，因此即使某個(gè)程序崩潰最多也只是導(dǎo)致這個(gè)虛擬環(huán)境崩潰，而不會(huì)對(duì)其他的程序產(chǎn)生影響。

    2．由于程序的運(yùn)行環(huán)境是虛擬出來(lái)的，因此可以針對(duì)某個(gè)程序虛擬出其適應(yīng)的運(yùn)行環(huán)境，并且分配足夠其運(yùn)行的系統(tǒng)資源，從而避免了程序間的不兼容性。

    3．由于程序所能使用的最大資源是由其虛擬環(huán)境所決定的，因此避免了某個(gè)程序搶占資源而導(dǎo)致其他程序無(wú)法運(yùn)行的情況，很好的保證了程序的穩(wěn)定性和并行性。

    4．由于程序都是運(yùn)行在虛擬環(huán)境中，因此具備了很好的可移植性。只要其余平臺(tái)有其相同的虛擬環(huán)境都可以穩(wěn)定的移植。

    5．虛擬化的環(huán)境可以記錄下每個(gè)時(shí)刻這個(gè)環(huán)境的運(yùn)行信息，通過(guò)這些運(yùn)行信息可以很方便的回退虛擬環(huán)境到某一個(gè)曾經(jīng)的時(shí)刻，由于虛擬環(huán)境的獨(dú)立性，這個(gè)回退不會(huì)對(duì)其他的程序造成影響。

    但是虛擬化技術(shù)由于要為每個(gè)程序配置虛擬環(huán)境。因此從客觀上增加了系統(tǒng)資源的開(kāi)銷(xiāo)。

    2．2應(yīng)用部署

    在具體應(yīng)用中我們可以使用VMware，Sandboxie和Returnil Virtual System搭建一個(gè)多層虛擬環(huán)境。

    VMware可以使你在一臺(tái)機(jī)器上同時(shí)運(yùn)行二個(gè)或更多Windows、DOS、LINUX系統(tǒng)。

    Returnil Virtual System來(lái)自歐洲著名的安全公司Retumil SIA，它是一個(gè)基于虛擬機(jī)原理的影子系統(tǒng)軟件，可以瞬間把您的計(jì)算機(jī)用隔離罩保護(hù)起來(lái)。同時(shí)用一個(gè)內(nèi)存中的虛假替身“影子”系統(tǒng)來(lái)接管真實(shí)的操作系統(tǒng)，任何操作都被限制在虛擬系統(tǒng)中使用。無(wú)法感染你真實(shí)的操作系統(tǒng)。

    Sandboxie可以為運(yùn)行程序構(gòu)建沙盤(pán)環(huán)境，所以程序的操作都被局限于Sandboxie為這個(gè)程序所構(gòu)建的虛擬環(huán)境中。不會(huì)對(duì)其他的軟件造成影響。

    于是我們對(duì)于單個(gè)的服務(wù)器，首先使用VMware構(gòu)建使用不同操作系統(tǒng)的虛擬計(jì)算機(jī)。然后對(duì)于每個(gè)VM環(huán)境使用Returnil Virtual System構(gòu)建一個(gè)影子系統(tǒng)。之后在這個(gè)影子系統(tǒng)上使用Sandboxie運(yùn)行我們所需要啟動(dòng)的服務(wù)或者程序。

    程序運(yùn)行在沙箱中。相互間不會(huì)互相影響，如果需要和操作系統(tǒng)進(jìn)行交互或者需要執(zhí)行操作系統(tǒng)級(jí)別的命令，則也只能訪問(wèn)影子系統(tǒng)。而虛擬計(jì)算機(jī)則提供了不同程序所需要的不同操作系統(tǒng)環(huán)境。這樣無(wú)論如何。

    真實(shí)的操作系統(tǒng)都不會(huì)受到影響。

    本文選取了aDache在正常訪問(wèn)時(shí)間時(shí)候的數(shù)據(jù)比較。在犧牲了有限的計(jì)算機(jī)資源的同時(shí)獲得了較高的安全系數(shù)。本文認(rèn)為還是有價(jià)值的。

3．入侵檢測(cè)

    3．1入侵檢測(cè)概述

    入侵檢測(cè)(Intrusi0n Detection)，顧名思義，就是對(duì)入侵行為的發(fā)覺(jué)。他通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析。從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

    入侵檢測(cè)可以作為防火墻后的第二道防護(hù)措施，通過(guò)對(duì)網(wǎng)絡(luò)狀況的實(shí)時(shí)監(jiān)聽(tīng)，從而能夠與對(duì)于內(nèi)部攻擊，誤操作，外部攻擊等進(jìn)行防護(hù)，從而大大提高網(wǎng)絡(luò)的安全性。具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，在不影響網(wǎng)絡(luò)性能的前提下，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。

    入侵檢測(cè)的實(shí)現(xiàn)方法有如下幾種：

    1．基于日志和審計(jì)數(shù)據(jù)的入侵檢測(cè)

    針對(duì)單一的主機(jī)，可以使用對(duì)于主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的運(yùn)行日志來(lái)發(fā)現(xiàn)攻擊的發(fā)生。檢測(cè)系統(tǒng)一般建立于待檢測(cè)的主機(jī)上，這種檢測(cè)方式必須保證審計(jì)數(shù)據(jù)和運(yùn)行日志是安全并且可靠的。并且更加攻擊方式和審計(jì)數(shù)據(jù)和日志的組織方式定義規(guī)則。

    由于日志是系統(tǒng)運(yùn)行時(shí)自動(dòng)產(chǎn)生以紀(jì)錄系統(tǒng)運(yùn)行狀態(tài)的文檔，因此系統(tǒng)管理員往往可以通過(guò)分析日志得出系統(tǒng)發(fā)生了什么。然而在系統(tǒng)的高速運(yùn)行下，日志的紀(jì)錄數(shù)目屬于高速增長(zhǎng)中，海量的日志紀(jì)錄使得管理員無(wú)法有效的分析日志，而標(biāo)準(zhǔn)的日志功能并不能自動(dòng)檢查過(guò)濾日志以提供給管理員需要的信息。而基于審計(jì)數(shù)據(jù)和日志的入侵檢測(cè)系統(tǒng)則可以自動(dòng)分析即時(shí)增長(zhǎng)的數(shù)據(jù)并提供給管理員分析的結(jié)果，通過(guò)系統(tǒng)自動(dòng)處理或者管理員手動(dòng)處理以阻止非法攻擊。

    這種方式的弱點(diǎn)也是顯而易見(jiàn)的。

    1)攻擊者可以試圖獲取到更高的權(quán)限來(lái)控制改變審計(jì)數(shù)據(jù)和運(yùn)行日志

    2)不能通過(guò)檢測(cè)審計(jì)數(shù)據(jù)和運(yùn)行日志得出網(wǎng)絡(luò)欺騙攻擊。

    因此我們認(rèn)為基于日志的入侵檢測(cè)不是一個(gè)安全系數(shù)高的自動(dòng)防御方案，其適用于一般的服務(wù)器安全防護(hù)以及作為服務(wù)器管理員分析服務(wù)器運(yùn)行情況的補(bǔ)充。

    2．基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽(tīng)的入侵檢測(cè)

    這種人侵檢測(cè)是指分布于網(wǎng)絡(luò)線路上，被動(dòng)的無(wú)聲息的接受其所需要的報(bào)文，對(duì)所收集來(lái)的報(bào)文，入侵檢測(cè)系統(tǒng)根據(jù)提取的特征值和對(duì)應(yīng)的規(guī)則庫(kù)，根據(jù)智能匹配方法判斷報(bào)文是否反映了某種入侵行為，然后決定是否進(jìn)行報(bào)警或者適當(dāng)?shù)姆佬l(wèi)或者反擊。

    由于入侵檢測(cè)系統(tǒng)需要分布在網(wǎng)絡(luò)環(huán)境中進(jìn)行監(jiān)聽(tīng)，因此可以有兩種方式接入到被保護(hù)的網(wǎng)絡(luò)中。

    1)將入侵檢測(cè)系統(tǒng)分布配置在網(wǎng)絡(luò)中的每一個(gè)單機(jī)節(jié)點(diǎn)中，通過(guò)檢測(cè)每個(gè)單機(jī)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流。并進(jìn)行匯總判斷以檢測(cè)整個(gè)網(wǎng)絡(luò)上的異常現(xiàn)象。

    2)以分布式檢測(cè)網(wǎng)絡(luò)的形式將各入侵檢測(cè)系統(tǒng)分布式布設(shè)在受保護(hù)網(wǎng)絡(luò)的各被保護(hù)網(wǎng)段的網(wǎng)關(guān)處，通過(guò)對(duì)網(wǎng)關(guān)數(shù)據(jù)報(bào)的分析得出整個(gè)網(wǎng)絡(luò)的狀況。用于檢測(cè)整個(gè)單一網(wǎng)絡(luò)上的異�，F(xiàn)象。

    通過(guò)對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)以檢測(cè)攻擊，這種方式的核心就在于數(shù)據(jù)包的截獲和分析。入侵檢測(cè)系統(tǒng)通過(guò)截取網(wǎng)絡(luò)流中的數(shù)據(jù)包，得到網(wǎng)絡(luò)中系統(tǒng)的運(yùn)行信息，用戶信息，和操作信息等等。然后根據(jù)設(shè)定好的規(guī)則進(jìn)行分析。但是基于網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)聽(tīng)的入侵檢測(cè)都面臨著一個(gè)問(wèn)題。由于數(shù)據(jù)包需要經(jīng)過(guò)入侵檢測(cè)系統(tǒng)的過(guò)濾，因此入侵檢測(cè)系統(tǒng)的效率直接對(duì)網(wǎng)絡(luò)產(chǎn)生影響 特別是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在網(wǎng)絡(luò)中的通行流量已經(jīng)越來(lái)越大。入侵檢測(cè)系統(tǒng)必須有效率的處理1000M 甚至更大的數(shù)據(jù)流并且不會(huì)對(duì)網(wǎng)絡(luò)通信造成明顯影響。

    3．2基于大流量網(wǎng)絡(luò)的入侵檢測(cè)方案

    經(jīng)過(guò)調(diào)查。在網(wǎng)絡(luò)運(yùn)行中網(wǎng)絡(luò)數(shù)據(jù)流往往是波動(dòng)的，在一個(gè)較長(zhǎng)的時(shí)間段內(nèi)，數(shù)據(jù)量的大小是變化的，網(wǎng)絡(luò)中不會(huì)時(shí)時(shí)刻刻都存在大數(shù)據(jù)量的流動(dòng)。而由于網(wǎng)絡(luò)通信往往是基于交互的，通信的雙方一般都要經(jīng)歷一次的發(fā)送接收的過(guò)程，因此本文基于以上現(xiàn)狀提出一種延遲異步的數(shù)據(jù)量處理方案以緩解大數(shù)據(jù)流對(duì)于入侵檢測(cè)系統(tǒng)的壓力。

    1．對(duì)于第一次通過(guò)數(shù)據(jù)檢查系統(tǒng)的數(shù)據(jù)包，入侵檢測(cè)系統(tǒng)為這個(gè)數(shù)據(jù)包標(biāo)記上ID并記錄，然后無(wú)論這個(gè)數(shù)據(jù)包是否經(jīng)過(guò)分析都直接轉(zhuǎn)發(fā)至目標(biāo)計(jì)算機(jī)上。

    2．入侵檢測(cè)系統(tǒng)按照記錄中的順序分析處理數(shù)據(jù)包后將數(shù)據(jù)包的分析結(jié)果根據(jù)其ID記錄至查詢系統(tǒng)。

    3．目標(biāo)計(jì)算機(jī)接收到并準(zhǔn)備處理帶有標(biāo)記ID的數(shù)據(jù)包時(shí)，根據(jù)其ID向查詢系統(tǒng)詢問(wèn)其安全性。如果查詢系統(tǒng)返回安全的提示則執(zhí)行這個(gè)數(shù)據(jù)包，如果查詢系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng)，在得不到查詢系統(tǒng)答復(fù)未處理時(shí)掛起這個(gè)數(shù)據(jù)包操作這種方案的優(yōu)點(diǎn)如下：

    1．不會(huì)在網(wǎng)絡(luò)繁忙時(shí)由于入侵檢測(cè)系統(tǒng)的分析處理而導(dǎo)致網(wǎng)絡(luò)延遲甚至堵塞

    2．由于網(wǎng)絡(luò)的流量處于波動(dòng)中，入侵檢測(cè)系統(tǒng)可以在流量小的時(shí)候處理大流量時(shí)為處理完的信息。而不會(huì)造成大流量時(shí)不堪重負(fù)。小流量時(shí)空閑的情況。提高了系統(tǒng)的效率。

    3．由于網(wǎng)絡(luò)通信的延遲和每個(gè)節(jié)點(diǎn)對(duì)于數(shù)據(jù)處理順序存在調(diào)度機(jī)制。數(shù)據(jù)不一定會(huì)在節(jié)點(diǎn)接收到的時(shí)候就被馬上處理，因此當(dāng)節(jié)點(diǎn)提交查詢的時(shí)候，這個(gè)數(shù)據(jù)包往往是已經(jīng)分析完畢的，因此這種方式對(duì)于節(jié)點(diǎn)的數(shù)據(jù)處理影響是比較小的。

    結(jié)合虛擬化技術(shù)的入侵檢測(cè)系統(tǒng)

    由于虛擬化技術(shù)模擬了程序的運(yùn)行環(huán)境，因此完全可以把每個(gè)虛擬環(huán)境看成網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。

    3．3結(jié)合虛擬化的入侵檢測(cè)方案

    結(jié)合虛擬化可以改進(jìn)之前提出的延遲異步方案如下：

    其1．2步相同

    3．虛擬環(huán)境中的程序向查詢系統(tǒng)提交查詢，如果查詢系統(tǒng)返回安全的提示則執(zhí)行這個(gè)數(shù)據(jù)包，如果查詢系統(tǒng)返回攻擊信息則將數(shù)據(jù)包提交給處理系統(tǒng)，如果查詢系統(tǒng)答復(fù)未處理則不等待直接執(zhí)行這個(gè)數(shù)據(jù)包，并回饋給入侵檢測(cè)系統(tǒng)這個(gè)ID數(shù)據(jù)包執(zhí)行時(shí)間。

    4．?dāng)?shù)據(jù)包的執(zhí)行結(jié)果如果有反饋信息則標(biāo)上和執(zhí)行數(shù)據(jù)包同樣的ID發(fā)給入侵檢測(cè)系統(tǒng)，若入侵檢測(cè)系統(tǒng)已分析完畢這個(gè)ID的數(shù)據(jù)包是合法的則通過(guò)，否則則截留這個(gè)數(shù)據(jù)包。如果還未分析則掛起這個(gè)數(shù)據(jù)包等待分析。

    5．若檢測(cè)系統(tǒng)檢測(cè)出某個(gè)非法攻擊數(shù)據(jù)包。并且這個(gè)數(shù)據(jù)包在X時(shí)已經(jīng)被K虛擬環(huán)境執(zhí)行，則通知虛擬環(huán)境K回退到X時(shí)。并提交警告給管理人員。

    結(jié)合虛擬環(huán)境后，虛擬環(huán)境中的程序可以在不等待入侵檢測(cè)系統(tǒng)的數(shù)據(jù)包分析反饋的時(shí)候就預(yù)先執(zhí)行數(shù)據(jù)包。如果執(zhí)行的是非法數(shù)據(jù)包則進(jìn)行系統(tǒng)回退。在日常運(yùn)行中，提高了大流量期間的運(yùn)行效率。

    綜上所述，我們可以使用虛擬化技術(shù)封閉程序的運(yùn)行環(huán)境，消除程序間的相互影響。并且把外部攻擊也局限在某一個(gè)封閉虛擬環(huán)境中。通過(guò)入侵檢測(cè)，我們可以及時(shí)的發(fā)現(xiàn)并且解決網(wǎng)絡(luò)中的異常，并且通過(guò)延遲異步方案和與虛擬化結(jié)合的的異步方案可以一定程度上提高入侵檢測(cè)在大流量網(wǎng)絡(luò)中的效率。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：虛擬化和入侵檢測(cè)在網(wǎng)絡(luò)安全中的應(yīng)用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155532.html