《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 終端安全框架的研究與實(shí)現(xiàn)

終端安全框架的研究與實(shí)現(xiàn)

2020-11-11
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  摘要:終端作為信息安全的薄弱地帶,,逐漸成為各類安全事件的目標(biāo)和發(fā)生地,。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊手段進(jìn)一步豐富,,大量樣本變種涌現(xiàn),采用病毒庫(kù)升級(jí),、定時(shí)查殺等傳統(tǒng)方式,,已經(jīng)難以應(yīng)對(duì)網(wǎng)絡(luò)中大規(guī)模、無差別的攻擊行為,。針對(duì)未知威脅的檢測(cè)能力和響應(yīng)能力,,是對(duì)終端安全提出的新的要求。通過對(duì)傳統(tǒng)防火墻,、入侵檢測(cè)技術(shù)進(jìn)行研究,,基于安全聯(lián)動(dòng)思想提出了一套終端框架安全,并在Linux平臺(tái)下給出具體的設(shè)計(jì)方案和策略建議,,為終端安全研究提供思路,。

  0  引言

  工信部印發(fā)的《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃(2016—2020)》指出,到2020年,,大數(shù)據(jù)產(chǎn)業(yè)體系基本形成,,其相關(guān)的產(chǎn)品和服務(wù)業(yè)務(wù)收入突破1萬(wàn)億元,年均復(fù)合增長(zhǎng)率保持在30%左右,。近年來,,大數(shù)據(jù)技術(shù)的創(chuàng)新和發(fā)展為人們的生活帶來了極大的便利,同樣也為信息安全引入了一系列的挑戰(zhàn),。個(gè)人隱私泄露,、終端被植入木馬等各類安全事件頻出,傳統(tǒng)的防御手段面臨著嚴(yán)峻挑戰(zhàn),,對(duì)新一代網(wǎng)絡(luò)安全技術(shù)的研究逐漸成為全球關(guān)注的焦點(diǎn),。

  一個(gè)安全事件,無論在網(wǎng)絡(luò)中經(jīng)過多少環(huán)節(jié),,使用多少技術(shù)手段,,最終目的都是為了完成某些未經(jīng)授權(quán)的工作,如竊取數(shù)據(jù),、破壞系統(tǒng),,或者潛伏下來以備后用,。這些動(dòng)作的完成,大多數(shù)是通過終端實(shí)現(xiàn)的,。然而,,由于終端部署具備分散性的特點(diǎn),直接接觸用戶,,物理環(huán)境,、網(wǎng)絡(luò)環(huán)境復(fù)雜多變,可以說終端是最難實(shí)施有效管理的環(huán)節(jié),,可能成為信息安全體系的薄弱地帶,。因此,終端逐漸成為安全事件的目標(biāo)和發(fā)生地,,也成為數(shù)據(jù)安全的主戰(zhàn)場(chǎng),。

  本文基于Linux平臺(tái)提出了一套終端安全框架,結(jié)合傳統(tǒng)的主動(dòng)防御機(jī)制與防火墻技術(shù),,重點(diǎn)探討了安全聯(lián)動(dòng)功能的設(shè)計(jì)與實(shí)現(xiàn),。第一部分從新時(shí)代終端安全防護(hù)體系入手,介紹了終端安全框架的組成,。第二,、第三部分從終端的角度,分別探討Iptables防火墻規(guī)則配置策略和入侵檢測(cè)模塊的選擇,。第四部分提出利用決策響應(yīng)模塊,,實(shí)現(xiàn)防火墻與入侵檢測(cè)的安全聯(lián)動(dòng)功能。最后一部分對(duì)全文進(jìn)行總結(jié),。

  1  終端安全框架

  360企業(yè)安全集團(tuán)副總裁張聰認(rèn)為,,新時(shí)代的終端安全體系應(yīng)該具備:針對(duì)已知威脅的評(píng)估能力、攔截能力,,以及針對(duì)新威脅的檢測(cè)能力和響應(yīng)能力[1],。因此,基于終端構(gòu)建網(wǎng)絡(luò)安全框架,,防火墻和入侵檢測(cè)是其中必不可少的組成部分,。

  然而,,防火墻是一種靜態(tài)安全技術(shù),,需要設(shè)置規(guī)則才能起到防護(hù)作用,無法主動(dòng)跟蹤入侵源,,也不能對(duì)實(shí)時(shí)攻擊做出響應(yīng),;入侵檢測(cè)作為主動(dòng)防御機(jī)制,雖然可以監(jiān)控網(wǎng)絡(luò)傳輸,、檢測(cè)入侵行為,,但無法做到實(shí)時(shí)阻斷,。因此,必須有一套安全,、合適的技術(shù),,在終端上將兩個(gè)功能模塊聯(lián)合起來發(fā)揮效用,做到動(dòng)靜結(jié)合,、優(yōu)勢(shì)互補(bǔ),。

  本方案提出的終端安全框架包括:防火墻、入侵檢測(cè)和決策響應(yīng)三個(gè)組成部分,。通過決策響應(yīng)實(shí)現(xiàn)安全聯(lián)動(dòng)功能,,將入侵檢測(cè)同防火墻聯(lián)系起來,入侵檢測(cè)的數(shù)據(jù)不再來源于網(wǎng)絡(luò),,而是流經(jīng)防火墻的數(shù)據(jù)包,。網(wǎng)絡(luò)數(shù)據(jù)在通過防火墻后,拷貝一份進(jìn)行入侵檢測(cè),,如果在網(wǎng)絡(luò)數(shù)據(jù)包中檢測(cè)到攻擊行為,,則通過決策響應(yīng)模塊調(diào)整防火墻的過濾規(guī)則,及時(shí)阻斷攻擊行為,,將網(wǎng)絡(luò)安全隱患降至最低,。終端安全框架的組成及流程示意如圖1所示。

1.jpg

  圖1 終端安全框架

  2  防火墻規(guī)則配置策略

  Linux2.4及之后的版本集成了Netfilter/Iptables防火墻系統(tǒng),,該系統(tǒng)利用Netfilter提供可擴(kuò)展的結(jié)構(gòu)化底層框架,,實(shí)現(xiàn)數(shù)據(jù)包過濾、深度包檢測(cè),、動(dòng)態(tài)地址轉(zhuǎn)換,、網(wǎng)絡(luò)地址偽裝和透明代理等功能;Iptables作為防火墻的配置,、管理工具,,由一組規(guī)則列表組成,用戶通過配置相應(yīng)的規(guī)則,,阻斷網(wǎng)絡(luò)層,、傳輸層的非法數(shù)據(jù)包。

  在Iptables結(jié)構(gòu)中,,鏈?zhǔn)亲鳛橐?guī)則的容器,,串接著擁有相同標(biāo)簽的規(guī)則,如INPUT,、OUTPUT,、FORWARD、PREROUTING和POSTROUTING等,分別代表數(shù)據(jù)包通過協(xié)議棧的各個(gè)位置點(diǎn),。表作為鏈的容器,,包含著具有相同功能的鏈,Iptables管理著Raw(鏈接跟蹤),、Mangle(修改),、Nat(地址轉(zhuǎn)換)和Filter(過濾)4個(gè)不同的規(guī)則表,每個(gè)表的功能均由獨(dú)立的內(nèi)核模塊實(shí)現(xiàn),。

  一個(gè)合理,、高效的規(guī)則集是防火墻良好工作的前提。新時(shí)代的終端安全框架,,要求系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)實(shí)際情況動(dòng)態(tài)調(diào)整防火墻過濾規(guī)則,,但規(guī)則的動(dòng)態(tài)調(diào)整可能造成規(guī)則的冗余,導(dǎo)致系統(tǒng)對(duì)數(shù)據(jù)包處理時(shí)間延長(zhǎng),、過濾效率降低,,反而影響系統(tǒng)的性能。

  優(yōu)秀的防火墻配置策略可以有效減少規(guī)則的數(shù)量,,降低規(guī)則冗余引入的消耗,,提高防火墻的工作效率。在實(shí)際應(yīng)用中,,根據(jù)終端的部署環(huán)境,、安全需求和業(yè)務(wù)能力的不同,防火墻配置策略一般有以下兩種: ①先允許所有的數(shù)據(jù)包通過防火墻,,然后根據(jù)網(wǎng)絡(luò)實(shí)際情況,,依次禁止有危險(xiǎn)的數(shù)據(jù)包通過,本策略適用于功能復(fù)雜,、對(duì)安全性要求較低的綜合型終端,;②先禁止所有的數(shù)據(jù)包通過防火墻,然后根據(jù)業(yè)務(wù)需求和所需服務(wù),,依次允許特定的數(shù)據(jù)包通過防火墻,,本策略適用于網(wǎng)絡(luò)環(huán)境簡(jiǎn)單、業(yè)務(wù)穩(wěn)定,、對(duì)安全性要求較高的終端,。

  3  入侵檢測(cè)模塊的抉擇

  Snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng),由數(shù)據(jù)包捕獲庫(kù)Libpcap,、包解碼器,、預(yù)處理程序、檢測(cè)引擎和報(bào)警輸出模塊等部分組成,。作為一種主動(dòng)防御機(jī)制,,Snort利用以太網(wǎng)的共享特性,對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行捕獲,,通過規(guī)則匹配識(shí)別網(wǎng)絡(luò)攻擊行為,,從而完成用戶行為監(jiān)控、網(wǎng)絡(luò)異常分析,、系統(tǒng)弱點(diǎn)探測(cè),,以及網(wǎng)絡(luò)攻擊報(bào)警等功能。

  目前Snort已經(jīng)遍布全球,,成為企業(yè)級(jí)的分布式入侵檢測(cè)體系,。考慮到終端資源的有限性,,以及“盡量減小對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠绊憽钡囊?,方案決定采用Snort作為終端安全框架的入侵檢測(cè)工具。

  Snort將攻擊事件的行為特征定義為規(guī)則,,一系列規(guī)則按照樹形結(jié)構(gòu)管理稱為規(guī)則樹,,即攻擊特征庫(kù)。Snort利用Libpcap函數(shù)實(shí)時(shí)捕獲數(shù)據(jù)包,,經(jīng)過解碼,、預(yù)處理后,檢索攻擊特征庫(kù),,通過規(guī)則匹配判斷包中是否含有攻擊特征,。Snort完整的工作流程示意如圖2所示。

2.jpg

  圖2  Snort工作流程示意

  在本方案的設(shè)計(jì)中,,Snort部署于Iptables防火墻之后,,通過防火墻的網(wǎng)絡(luò)數(shù)據(jù),經(jīng)過拷貝后進(jìn)行分流,,一份送至上層處理,,一份送到入侵檢測(cè)模塊,如果在數(shù)據(jù)包中檢測(cè)到攻擊特征,,則在第一時(shí)間發(fā)出告警信息,。

  Snort缺乏手段阻止攻擊行為,終端依然會(huì)遭受入侵,,而且Snort對(duì)攻擊特征庫(kù)的依賴性較強(qiáng),,終端需要及時(shí)更新攻擊特征庫(kù),以保證系統(tǒng)能夠識(shí)別最新的攻擊手段,。鑒于入侵檢測(cè)與防火墻之間功能的互補(bǔ)性,,終端安全框架在設(shè)計(jì)時(shí),還需要有一套獨(dú)立的機(jī)制,,不僅能夠?qū)⒍哂行У芈?lián)動(dòng)起來,,而且能夠保證Snort攻擊特征庫(kù)的實(shí)時(shí)更新。

  4  安全聯(lián)動(dòng)機(jī)制設(shè)計(jì)

  作為框架實(shí)施的核心和安全防護(hù)的依據(jù),決策響應(yīng)模塊主要負(fù)責(zé)安全聯(lián)動(dòng)功能的實(shí)現(xiàn),,同時(shí)接受區(qū)域安全管理中心的統(tǒng)一調(diào)度,,完成攻擊特征庫(kù)的更新和系統(tǒng)安防策略的調(diào)整等工作。決策響應(yīng)模塊包括入侵行為分析,、安全決策和防護(hù)策略調(diào)整三部分,。

  其中,入侵行為分析負(fù)責(zé)檢測(cè)Snort產(chǎn)生的報(bào)警信息和日志文件,,通過對(duì)各類安全事件進(jìn)行分析,、轉(zhuǎn)換,識(shí)別具體的攻擊行為,,并通知安全決策進(jìn)行處理,。安全決策主要負(fù)責(zé)終端防護(hù)策略的生成與下發(fā),支持自動(dòng)防御和中心干預(yù)兩種方式完成安防策略的調(diào)整,。

  在自動(dòng)防御模式下,,終端設(shè)備能夠針對(duì)各種不同的攻擊行為,制定相應(yīng)的安全策略進(jìn)行防護(hù),;而在中心干預(yù)模式下,,終端設(shè)備接受區(qū)域安全管理中心的統(tǒng)一調(diào)度,接收并啟用管理中心下發(fā)的安全策略,,進(jìn)而構(gòu)建區(qū)域分布式防火墻,。防護(hù)策略調(diào)整根據(jù)安全決策制定的防護(hù)規(guī)則,更新防火墻配置,,達(dá)到實(shí)時(shí)防護(hù)的目的,。

  在決策響應(yīng)模塊的設(shè)計(jì)中,有以下要點(diǎn)需要關(guān)注:

 ?。?1 ) 由于終端資源的有限性,,對(duì)Snort日志文件的分析,建議采用Select多路復(fù)用機(jī)制實(shí)現(xiàn),,以節(jié)省系統(tǒng)資源,,提升工作效率;如果采用定時(shí)掃描機(jī)制,,則需要設(shè)定合理的掃描頻率,,在處理器資源消耗和入侵響應(yīng)速度之間,尋找一個(gè)可接受的平衡,。

 ?。?2 ) 安全聯(lián)動(dòng)機(jī)制在設(shè)計(jì)實(shí)現(xiàn)過程中,盡量維持防火墻,、入侵檢測(cè)兩個(gè)模塊的獨(dú)立性和完整性,,避免將入侵檢測(cè)作為一個(gè)功能模塊,,直接集成到防火墻中。這種高耦合的設(shè)計(jì)模式,,不僅增加了防火墻的復(fù)雜程度,,而且不利于終端安全框架整體的開發(fā)和維護(hù)。

 ?。?3 ) 重視Iptables防火墻規(guī)則集的優(yōu)化,,在添加新規(guī)則時(shí),,建議對(duì)新添加的規(guī)則和已有的規(guī)則進(jìn)行分析,、比較,刪除被包含的規(guī)則,,合并功能類似的規(guī)則,,對(duì)于提升防火墻的工作效率、穩(wěn)定設(shè)備性能至關(guān)重要,。

  5  結(jié)語(yǔ)

  本方案實(shí)現(xiàn)的終端安全框架,,充分保證了Iptables防火墻、Snort入侵檢測(cè)兩個(gè)模塊的獨(dú)立性和完整性,,不僅易于移植,、開發(fā)和維護(hù),而且將二者有效地聯(lián)動(dòng)起來,,形成決策,、防護(hù)、檢測(cè),、響應(yīng)于一體的終端安全體系,。同時(shí),支持人為干預(yù)和中心干預(yù)的方式調(diào)整安防策略,,在緊急情況下能夠斷開聯(lián)動(dòng),,通過區(qū)域安全管理中心直接更新規(guī)則,形成區(qū)域分布式防火墻,,最大限度地保證系統(tǒng)安全,。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]