一种多区域联动机制的研究*

2018-07-26罗淑丹余兴华

通信技术 2018年7期

罗淑丹，李镭，余兴华

（中国电子科技集团公司第三十研究所，四川成都 610041）

0 引言

当今时代，随着计算机网络的应用深入到社会的各个角落，网络系统的安全性和可靠性日益成为网络用户关注的焦点[1]。网络安全是一个综合的、动态的安全体系，应该是多种安全技术的有机集成和安全产品之间的联动。因此，不应仅仅限于研究单一的设备或技术手段，而需要从系统全局、从整体和设备联动的角度解决网络安全问题，建立一套完整的系统安全防护体系。“安全事件的意义不是局部的，将安全事件及时通告给相关的安全系统，有助于从全局范围评估安全事件的威胁，并在适当的位置采取动作”，这是网络安全联动的理论基础[2]。

建立一个整体的网络安全防护体系的关键，在于要求各网络安全设备之间具有较高的协同性，即联动性。联动技术体现了智能化网络安全管理的潮流，能够有机整合各种网络安全技术，全部部署网络安全防御体系，有效提升网络性能。通过联动机制连接各功能模块，可以对各安全设备进行功能协调和实时监控，根据网络安全状况实现安全设备的配置和更改，把危害限制在最小范围，产生“1+1＞2”的合力，避免产生木桶效应[3]。

本文提出了一种跨域协同与全局联动的多区域联动体系，可以加强通信网间的信息共享，促使各种安全机制、设备以及系统间形成优势互补，提升通信网络的整体防御能力

1 体系研究

1.1 安全自治域

安全自治域是由具备一定安全检测、防护及其协调机制的设备/系统集合组成的物理网络，如图1所示。该网络拥有统一安全防御策略，能够独立实现安全检测和安全防护。该集合包括若干个受保护主机/系统、检测器、控制器和一套安全管理中心。集合中的设备/系统均接受安全管理中心的管理。

图1 安全自治域

1.2 安全区域

安全区域是在同一个管理控制下由一组具有相同安全保护需求并相互信任的安全自治域组成的物理网络，如图2所示。在一个安全区域中部署一套或多套区域协同中心，各安全自治域统一遵循区域协同中心的策略。

图2 安全区域

1.3 逻辑层次

跨域协同与全局联动机制由设备层、安全管理层和协同中心层三个逻辑层面组成，如图3所示。

设备层。该层由分布在网络中的各种安全设备、受保护网络、主机和系统组成，是联动协同功能的最终执行者。

安全管理层。该层由安全管理中心（SMC）组成，每个安全自治域内部署一套，直接完成各安全设备/系统的联动。

协同中心层。该层由处于多区域协同与全局联动机制上层的协同中心（CC）组成，每个安全区域部署一套或多套，完成安全区域和安全自治域间的协同。

图3 跨域协同与全局联动机制逻辑组成

1.4 协同层次

如图4所示，跨域协同与全局联动机制分为四个层次——安全自治域内联动、安全自治域间协同、安全区域间协同和网系协同；完成协同功能需要的协同系统分别为安全管理中心（SMC）、一级区域协同中心、二级区域协同中心和全局协同中心。

图4 协同层次

安全自治域内联动处于整个协同联动机制的最底层，所有的协同和联动指令最终均在该层次执行。域内联动负责根据域内安全情况和所属安全区域的统一策略调整域内安全设备/系统的策略、执行检测或防护任务。联动是让安全自治域中具备安全解决能力的元素协同工作。虽然它们各自分工不同，但势必能构成团体的优势。联动中不可忽视的核心点是要使交换机、路由器、IDS、防火墙、用户管理系统和网元管理系统等拥有统一的沟通机制。但是，联动思想仅仅把网络中局部的安全设备整合起来共同工作，最好的效果也仅仅是维护一个局部的安全体系。对于大规模的网络攻击（如蠕虫病毒攻击、或DDoS攻击），攻击潜伏于网络的各个角落，再坚固的安全体系也会被受黑客控制的信任主机攻破。为此，不仅要做好安全自治域中的安全措施“联动”工作，还要更大范围内实现对入侵的协同，将其对网络的灾难降低到最小。

安全自治域间协同完成协调同一个安全区域内跨安全自治域的协同功能。当一个安全自治域分析安全态势需要其他安全自治域的信息、消除隐患需要其他安全自治域的协助、检测到针对其他安全自治域的安全事件时，可通过安全自治域的SMC的管理CC作为联系纽带来完成。

安全区域间协同完成协调跨安全区域的协同功能。当一个安全区域分析安全态势需要其他安全区域的信息、消除隐患需要其他安全自治域的协助、检测到针对其他安全区域安全事件时，可通过各安全区域CC作为联系纽带来完成。

网系协同由通信网顶层的全局协同中心参与完成通信网中不同网络之间的安全协同。

1.5 域内联动

联动是使安全自治域中具备安全解决能力的元素协同工作。域内联动流程，如图5所示。

图5 安全自治域内联动流程

按照联动操作的侧重点不同，可以分为以下几类。

（1）记录安全事件：记录安全事件，有利于管理员的事后追查。各安全设备将检测到的安全事件进行记录，上报至安全管理中心。安全管理中心将其存储于原始事件数据库。安全管理中心默认情况自动执行该操作，记录所有安全事件。

（2）产生告警信息：在安全管理中心产生告警信息，上报至协同中心。对所有融合后的安全事件，将采取该联动措施。安全管理员可以设置是否告警及告警的方式。安全管理中心对安全设备上报的安全事件进行融合分析，采用系统设置的告警方式通知管理员，以便于管理员对入侵行为和违规行为进行处理。

（3）引诱取证：将入侵行为或非法行为诱导至诱饵设备，消耗其资源并进行取证。该类联动措施适用于所有的网络入侵行为。交换机和路由器等设备将入侵和非法数据流引导至伪装诱骗系统。伪装诱骗系统收集入侵者或非法操作者的证据。安全管理中心完成数据的分析与设备策略的生成。

（4）阻断攻击源或隔离被攻击对象：这种措施实际上禁止了攻击者对被攻击对象的访问。这种联动方式可以通过配置控制器策略或终止被攻击对象的服务等完成。当设备遭到网络攻击时、设备遭到病毒或木马入侵时、设备成为内部攻击者时、设备访问非授权内容时，可以采取该类联动响应措施。

（5）检测隐患：检测可能对网络或主机造成危害的对象。安全管理中心可以实施该种响应措施来检查管辖设备的系统漏洞、配置漏洞、间谍软件、后门软件、病毒程序和文件的完整性等。

（6）清除隐患：清除可能对网络或主机造成危害的对象，包括系统漏洞、配置漏洞、间谍软件、后门软件和病毒程序等。当检测器检测到设备上存在安全隐患时，安全管理中心下发这类联动策略来清除隐患。

（7）调整设备运行策略：根据网络环境、管辖设备配置情况或区域协同中心统一配置策略，调整安全设备/系统的检测规则、防护规则和软件版本等策略。

（8）追踪攻击者：找到尽量接近攻击发起的位置。

（9）反击攻击者：主动对入侵者进行反击。

1.6 域间协同

域间协同包括安全自治域间和安全区域间的协同。协同是指利用现有安全技术、措施和设备，将时间上分离、空间上分布而功能上互为补充的多个安全系统有机组织起来，从而使整个安全体系具有预防、检测、分析、恢复和对抗等综合防御功能，使各个安全系统能够最大程度或近似最大程度地发挥其效能。域间协同的流程图，如图6所示。

图6 安全自治域间协同流程

域间协同按照协同的内容分为以下几种类型。

全局策略型：由上级或可信第三方提供的统一工作安全策略。

相互学习型：在某一安全管理域内，通过管理员行为学习得到的安全规则，在通过可信验证后在全网推广。

协调防御型：对跨安全域的安全事件进行联合打击、封堵。

风险预警型：对局部出现的异常现象，可通知临近域提前防御，防患于未然。

来源追溯型：对出现的攻击行为进行可能的来源追溯。

1.6.1 全局策略型

全局策略是由上级协同中心向下级协同中心、协同中心向安全管理中心下发的所管辖范围内的统一安全策略，描述了安全需求目标、安全服务说明和信任管理等内容。这些策略包括检测策略、控制策略、告警策略、事件分析策略、软件升级和安全信息通告等。检测策略指管辖范围内需要检测的内容、检测粒度和设备检测规则等。控制策略是指对管辖范围内各种资源实体的统一控制原则。这些对象实体可能是网络部署、网络地址、端口协议、应用服务、终端外设与接口、系统文件和信道资源等。告警策略是指告警粒度、告警方式和是否需要通报等。1.6.2 相互学习型

该协同类型是指在某一安全管理域内通过管理员行为学习得到的执行效果较好的安全策略在通过可信验证后在全网推广，达到共同提高防御能力的目的。安全管理中心、区域协同中心都有一个安全策略数据库。各中心生成一条新的安全策略后，系统将对已执行安全策略的执行效果进行评估。对于评估后分值较高的安全策略，安全中心将其放入安全策略共享区，便于其他安全域共享。必要时，可将策略进行全域分发。各域的安全中心通过自己安全策略评估模块，将分发下来的安全策略与已有的安全策略进行比较，并将评估的最优安全策略更新到安全策略库中，达到优秀安全策略全网更新的目的，从而共同提高防御能力。

1.6.3 协调防御型

对入侵行为或违规行为进行跨区域的封堵、打击，可以分为以下几种情况进行处理。

在理想防御点进行防御。对某个区域检测到的安全事件，在本域内进行防御可能达不到效果，需要通过邻域扩散方式在其他域进行封堵，以达到最佳效果。例如，对于域内某台主机的拒绝服务攻击，特别是分布式拒绝服务攻击，仅仅在本域进行阻断并不能阻止大量数据流量，且消耗边界控制器的性能，达不到理想的防御效果。这时需要通过邻域逐步扩散，在入侵数据流量的入口处进行封堵，以消除攻击路径上的攻击流量，达到较好的防御效果。

内部攻击源截断。大部分的入侵行为都是内部攻击，某个区域检测到的安全事件的源头可能就在本域或其他安全区域内部。此时，除了在本域对入侵源进行封堵外，还需要通知源头所属的安全区域对其进行处理。例如，某域内主机被作为傀儡主机对其他主机进行攻击时，需要对其进行清除后门、增强其安全性等联动协同策略。

防御措施求助。对于某域内检测到的安全事件，域内的安全防护设备可能不具备对该事件的防护能力，需要通过上级协同中心寻求帮助，对安全事件进行处理。例如，针对安全事件需要的补丁、升级包等，可以在其他安全区域下载；本域没有对安全事件的控制器时，直接在其他安全区域使用控制器控制安全事件源头。

1.6.4 风险预警型

对局部出现的异常现象，可通知其他区域提前防御，防患于未然。具体地，根据预警的内容可分为两类进行处理。

入侵预警。在攻击数据进入网络协同与联动体系的检测范围还未到达目标时，可能被检测器检测到并产生报警。协同中心收到安全管理中心的预警后，通过协同体系直至将预警信息传递至目的区域的安全管理中心，然后安全管理中心生成联动指令提前进行封堵。

扩散预警。在某域内检测到的安全事件如果属于易于扩散类型如病毒、蠕虫等，则需要通过安全协同系统将安全事件及其防御策略进行全网通报。各中心收到预警信息后提前设置防御策略，遏制安全事件的扩散。

1.6.5 来源追溯型

对出现的入侵行为或违规行为进行可能的来源追溯。追溯的重点在于发现攻击者的真实地址和传输路径，而追踪技术有助于提高响应的准确性。它的基本思想是以攻击报文的相关信息为依据，实现对攻击源的反向追踪。

现有的来源追踪技术如链路测试、日志记录、ICMP追踪和报文标记技术，均需要网络路由器的参与，以使用其特殊功能。因此，实施比较困难。

多区域协同与联动框架主要是基于对各安全管理中心、协同中心收集的安全事件的综合分析。来源追溯分为在线追溯和离线追溯。

在线追溯是指即时寻找事件来源。当某域检测到一条安全事件时，若需要追溯其来源，则向上级协同中心发布来源追溯策略。策略包含其事件相关信息。协同中心通过协同体系将追溯策略传播至安全管理中心和协同中心，各中心将检测到的实时事件与追溯策略中的相关信息进行匹配，直至找到事件源头（内部估计）或网络边界（外部攻击）。

离线追溯是指事后对安全事件进行分析来寻找事件来源。若某域需要事后追溯某事件来源，则在协同体系中传播追溯策略。各中心将策略中的事件信息作为分析条件对自己的事件库进行分析，直至找到事件源头（内部估计）或网络边界（外部攻击）。