第26次全国计算机安全学术交流会《I皇 /20l1年第o9期 I doi:10 3969/j issn 1671・1122 2011 09 024 大规模网络安全 事件监控系统设计与实现 王劲松,卢强,张洪豪,石凯,张龙 (天津理工大学计算机与通信工程学院,天津300391) 摘要:该文针对大规模网络的安全问题提出了采用分布式跨层检测的思想,并设计了一种大型网络安 全事件监控系统的结构,深入讨论了系统实现的关键技术,并展示了系统运行效果。 关键词:安全事件;流特征;流量检测;大规模网络 中图分类号:TP393.08 文献标识码:A 文章编号:1671—1122(2011)09—0077—03 Design and Implementation of Security Event Detection in Large- scale Network WANG Jin—song,LU Qiang,zHANG Hong—hao,SHI Kai,ZHANG Long (School ofComputer and communication Engineering,Tianjin University ofTechnology,Tianjing 300391,China) Abstract:This paper,using the idea of distributed cross—layer detection,proposes all architecture of the security event detection in large—scale network system and goes into the key technologies to accomplish the system,Then it shows heeftfectofthe system. Key words:security event;flow characteristics;trafic fidentiifcation;large—scale network 0引言 随着网络技术的发展,互联网应用日新月异,同时网络安全事件层出不穷,大规模网络的安全问题日趋严重。而目前的网络 安全监控系统对于在大规模网络环境中实施安全事件的实时检测、预警与控制存在困难。本文针对大规模网络的安全管理问题, 提出了分布式网络安全事件监控系统的架构,设计实现的系统能够检测出大规模网络中的系统漏洞扫描、SQL注人、远程控制木 马、DDoS攻击等安全事件,满足了网络安全管理的需求。系统在天津教育网运行取得了较好的效果。 1大规模网络安全事件监控系统结构 1.1系统架构 大规模网络安全事件监控系统的体系结构如图1所示,其中的系统中心、流 检测服务器、载荷检测服务器、配置管理服务器…是系统的逻辑组成部分,并 非是必须独立的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。 …… In呻 1.2系统功能 大规模网络安全事件监控系统主要包括系统中心、流信息收集、流量信息 采集与分析、流量采集与分析、安全事件预警与控制等模块。 1)系统中心:是系统的核心,负责控制各个模块的功能调用和数据交换, 并提供可视化的手段来动态监控网络流量状态;对于网络内特别是由受控终端 产生的流量进行监测,一旦发现安全事件予以预警和控制。 2)流信息收集模块:对穿越网络的流量数据进行采样,利用现有路由器收集信息的协议,如思科NetFlow、Juniper的 ● 图1大型网络安全事件监控系统的系统结构图 收稿时间:2011—07—15 作者简介:王劲松(1970一),男,天津,院长,教授,博士生导师,博士,主要研究方向:信息安全、网络管理;卢强(1983一),男,天津, 硕士研究生,主要研究方向:信息安全;张洪豪(1984一),男,湖北,工程师,硕士,主要研究方向:网络安全、下一代互联网技术;石凯, (1981~),男,吉林,讲师,博士,主要研究方向:计算机网络、体系结构;张龙,(1981一),男,河北,硕士研究生,主要研究方向:信息安全。 20l1年第o9期\第26次全国计算机安全学术交流会 I曩》 CFlowd、华为Netstream等,对高速的网络链路进行测量,并 流可以通过七元组(源IP地址、目的IP地址、源端口号、目 通过流信息收集服务器进行收集。 3)流信息分析模块:分析由流信息收集模块收集的IP流 的端口号、协议类型、服务类型、路由器输入接口)唯一标识。 IETF RFC 3917规定了IP流量信息导出(IP Flow Information Export,IPFIX)格式,利用该格式可从路由器将有关网络通信 量信息,对流量进行分析,发现安全事件。 4)流量采集与分析模块:对于需要通过载荷检测的应用 流量,通过设定过滤规则后,由该模块进行数据包捕捉和特 征检测。 流量的信息导出至数据采集设备和网络管理系统p 。图2给 了IPFIX的工作原理。 5)安全事件预警和控制:根据流信息分析模块和流量分 析模块的分析结果,并结合策略库中的监控策略,对于安全 事件发出预警;也可以通过配置管理服务器向相关网络设备 下发控制规则,控制安全事件的发展。 1.3系统处理流程 如图1所示,以检测流经路由器R1的流量为例,介绍系 统的处理流程。 1)路由器Rl生成流记录,并将记录输出到流检测服务器。 流记录符合IPFIX格式,流以五元组(SrcIP、SrcPort、DestIP、 DescPort、Protoco1)标识。 2)流检测服务器采用基于流特征的检测方法对流量进行 检测,将流量分成正常流量和安全事件流量,并将分类结果 发送系统中心。 3)系统中心根据安全事件策略库中的监控策略分析检测 结果,这里会出现三种情况: 流量正常:不需要控制,系统显示检测结果。 检测结果达到控制标准:发出预警或通知配置服务器对 特定的流量实施控制,配置服务器接受通知后执行8 o 需要深度包检测:通知配置服务器镜像R1上特定流量。 4)配置服务器向R1发出相关镜像配置命令。 5)R1执行镜像命令,通过镜像链路镜像相应流量。 6)载荷检测服务器对这些数据报文进行捕捉并通过深度 包检测方法确定进行分析。 7)显示检测结果,对安全事件发出预警或通知配置服务 器实施控制。 8)配置服务器向相应的边缘路由器下发配置命令。 2系统实现 2.1流特征检测 基于流记录特征的流量分析技术主要应用Net Flow技术, 对网络中核心设备产生的Net Flow数据进行分析、检测分类、 统计。Nel Flow技术是于1996年由CISCO公司的Darren Keer 和Barrv BruinS发明 ]。Net Flow协议由Cisco公司开发,是一 种实现网络层高性能交换的技术。它运行在路由器中动态地 收集经过路由器的流的信息,然后缓存在设备内存中,当满足 预设的条件后,将缓存数据发送到指定的服务器。一个信息 _JlI 78 图2 IPFIX_T_.作原理图 IPFIX的主要处理过程为: 1)路由器或交换机缓存采集和存储有关进入网络的通信 流统计信息; 2)当有流通过时,路由器或交换机会将其具体的域、域 长度和其他可采集到的与流相关数据发送给采集器; 3)采集器接受并合并网络统计数据,然后将这些统计数 据转发给任何一种兼容软件并显示出来。 这种标准被可以兼容各厂商支持IP协议的路由器和应用 如Cisco的NetFlow、Juniper的SFlow、华为的NetStream等均 支持IPFIX标准。 2.2深度包检测 深度包检测技术(DPI)技术是用来识别数据包内容的一 种技术。传统的数据检测只检测数据包头,但是这种检测对 隐藏在数据荷载中的恶意信息却无能为力。深度包检测的目的 是检测数据包应用载荷,并与指定模式匹配。指定模式可能 是固定的字符串、带通配符的字符串、正则表达式。 当IP数据包、TCP或UDP数据流通过基于DPI技术的 管理系统时 ,该系统通过深人凑取IP数据包载荷(Payload) 中的内容来对应用层信息进行重组,从而得到整个应用程序 的通信内容,然后按照系统定义的管理策略对流量进行过滤 操作。这种技术使用一个载荷特征库存储载荷的特征信息, 符合载荷特征的数据包即视为特定应用的数据包。 本系统使用XML语言对数据包特征进行描述 l,使用五 种类型的元素:逻辑符,运算符,常数,函数和宏,每种类型 的元素又分别包含多种符号.亍下面是一种远程控制木马特{lF 的部分描述。 <B0tSignatI】re> <S1 type=”Logic”symbol=”&&’’ <S2 type=”Logic”symbol=”&&”> <S4 type=”Logic”symbol=”&&”> <Equal type=”Logic’’symbol=”==” <MakeInt type=”Func”symbol=”Makelnt ’> —<GetPayload type=”Func”symbol=”GetPayload ’> 第26次全国计算机安全学术交流会《l基》/20l1年第o9期 <ConstParameter type=”Const”symbol=”0”,> —<,Get Payload> </GetPayload> —</Make Int> <Substraction type=”Arith”symbol=”一’’ <Get Payload Len type=’’Func” symbol=”GetPayloadLen”/> <Const type=”Const”symbol=…4’/> <,Substracti0n> </Equal> <EqualGreater type=”Logic”symbol=”>=’ > <Const type=”Const”symbol=”78”/> <GetPayload type=”Func”symbol=”GetPayload ’> <Const type=”Const”symbol=…4 ,> </Get Payload> </Equal—Greater> <,S4> 2.3开发运行环境 系统在LINUX系统架构下实现并运行的。如图3所示, 系统开发使用了C、Shell、PHP、AJAX等多种技术。其中数 据库及文件系统采用MYSQL数据库及Linux文件系统进行大 容量存储,控制与输入模块运用多种技术方法,提供了Web 接口与XML接口,采集与存储模块采用分时与实时并行多文 件处理,快速采集与存储数据,检测与统计模块采用多线程 双通道并行检测,使两种检测方法同时进行又相互交互,展 示与输出采用Web2.0技术,运用AJAX使用户与系统进行平 滑的交互,增强用户的交互体验。 图3开发环境示意图 3运行效果 系统在天津教育城域网运行取得的较好的效果。图4展示 了系统的网络流量实时监控界面,通过图形化方式显示了实 时通信的Session数,各种协议流量分布以及ToplO的应用。 l 一 : ≤ !:… …一 一 ■■ ■ 蝴 蛾 量 £ 图4实时监控界面 如图5所示,系统可按照源地址、源端口、目的地址、目 的端口、事件规则、事件分类等对流量进行分类聚合统让 并通过柱状图展示。 !I_!!I! --器囝蹬醯 —— —————————— —— ———————————————————一 ■m : 撇 —_嚣 —_-、i 蚪黼# a删l蹦 触 雠4 8髓《 栅哪 幕堆趾策旮籍针‘摹件蛳 & 。 - ■m ;: : lllIl h器量墨…… ≤ ≤ 图5分类聚合统计图 为提高可视化程度,系统结合GIS技术,提供了网络连接 的物理空间映射功能,根据需要可以直观显示威胁来自的地 理位置,参见图6。 图6网络连接地理位置图 4结束语 大规模网络环境的安全事件预警与控制是当前重要研究 课题。本文提出了一种面向大型网络的安全事件监控系统的 结构,采用了分布式跨层检测的思想,设计实现的安全事件 监控系统在天津教育城域网运行管理中发挥了较好的作用。 下一步的主要工作系统将侧重在进一步提高系统性能和事件 识别率。姆(责编程斌) 参考文献: [1]王劲松,张毅,楼佳,吴功宜.基于SSL VPN的远程配置管理系 统的设计与实现,通信学报,2006,(27):143—146. [2]Cisco lOS Net Flow[EB/OL】http://www.cisco.com/products_ios_pr otocol_group_holne.htm1. [3】杨愫,张国清,韦卫等.基于NetFlow流量分析的网络攻击行为 发现卟计算机工程,2005,31(13):137—138 [4】汤昊,李之棠基于DPI的P2P流量控制系统的设计与实现卟 信息安全与通信保密,2007,(06):94—96. [5]王劲松,刘帆,张健.基于组特征过滤器的僵尸主机检测方法的 研究卟通信学报,2010,(02):29—35. 79卜_ I