一種多區(qū)域聯(lián)動(dòng)機(jī)制的研究*

羅淑丹，李 鐳，余興華

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

當(dāng)今時(shí)代，隨著計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用深入到社會(huì)的各個(gè)角落，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性日益成為網(wǎng)絡(luò)用戶關(guān)注的焦點(diǎn)[1]。網(wǎng)絡(luò)安全是一個(gè)綜合的、動(dòng)態(tài)的安全體系，應(yīng)該是多種安全技術(shù)的有機(jī)集成和安全產(chǎn)品之間的聯(lián)動(dòng)。因此，不應(yīng)僅僅限于研究單一的設(shè)備或技術(shù)手段，而需要從系統(tǒng)全局、從整體和設(shè)備聯(lián)動(dòng)的角度解決網(wǎng)絡(luò)安全問(wèn)題，建立一套完整的系統(tǒng)安全防護(hù)體系。“安全事件的意義不是局部的，將安全事件及時(shí)通告給相關(guān)的安全系統(tǒng)，有助于從全局范圍評(píng)估安全事件的威脅，并在適當(dāng)?shù)奈恢貌扇?dòng)作”，這是網(wǎng)絡(luò)安全聯(lián)動(dòng)的理論基礎(chǔ)[2]。

建立一個(gè)整體的網(wǎng)絡(luò)安全防護(hù)體系的關(guān)鍵，在于要求各網(wǎng)絡(luò)安全設(shè)備之間具有較高的協(xié)同性，即聯(lián)動(dòng)性。聯(lián)動(dòng)技術(shù)體現(xiàn)了智能化網(wǎng)絡(luò)安全管理的潮流，能夠有機(jī)整合各種網(wǎng)絡(luò)安全技術(shù)，全部部署網(wǎng)絡(luò)安全防御體系，有效提升網(wǎng)絡(luò)性能。通過(guò)聯(lián)動(dòng)機(jī)制連接各功能模塊，可以對(duì)各安全設(shè)備進(jìn)行功能協(xié)調(diào)和實(shí)時(shí)監(jiān)控，根據(jù)網(wǎng)絡(luò)安全狀況實(shí)現(xiàn)安全設(shè)備的配置和更改，把危害限制在最小范圍，產(chǎn)生“1+1＞2”的合力，避免產(chǎn)生木桶效應(yīng)[3]。

本文提出了一種跨域協(xié)同與全局聯(lián)動(dòng)的多區(qū)域聯(lián)動(dòng)體系，可以加強(qiáng)通信網(wǎng)間的信息共享，促使各種安全機(jī)制、設(shè)備以及系統(tǒng)間形成優(yōu)勢(shì)互補(bǔ)，提升通信網(wǎng)絡(luò)的整體防御能力

1 體系研究

1.1 安全自治域

安全自治域是由具備一定安全檢測(cè)、防護(hù)及其協(xié)調(diào)機(jī)制的設(shè)備/系統(tǒng)集合組成的物理網(wǎng)絡(luò)，如圖1所示。該網(wǎng)絡(luò)擁有統(tǒng)一安全防御策略，能夠獨(dú)立實(shí)現(xiàn)安全檢測(cè)和安全防護(hù)。該集合包括若干個(gè)受保護(hù)主機(jī)/系統(tǒng)、檢測(cè)器、控制器和一套安全管理中心。集合中的設(shè)備/系統(tǒng)均接受安全管理中心的管理。

圖1 安全自治域

1.2 安全區(qū)域

安全區(qū)域是在同一個(gè)管理控制下由一組具有相同安全保護(hù)需求并相互信任的安全自治域組成的物理網(wǎng)絡(luò)，如圖2所示。在一個(gè)安全區(qū)域中部署一套或多套區(qū)域協(xié)同中心，各安全自治域統(tǒng)一遵循區(qū)域協(xié)同中心的策略。

圖2 安全區(qū)域

1.3 邏輯層次

跨域協(xié)同與全局聯(lián)動(dòng)機(jī)制由設(shè)備層、安全管理層和協(xié)同中心層三個(gè)邏輯層面組成，如圖3所示。

設(shè)備層。該層由分布在網(wǎng)絡(luò)中的各種安全設(shè)備、受保護(hù)網(wǎng)絡(luò)、主機(jī)和系統(tǒng)組成，是聯(lián)動(dòng)協(xié)同功能的最終執(zhí)行者。

安全管理層。該層由安全管理中心（SMC）組成，每個(gè)安全自治域內(nèi)部署一套，直接完成各安全設(shè)備/系統(tǒng)的聯(lián)動(dòng)。

協(xié)同中心層。該層由處于多區(qū)域協(xié)同與全局聯(lián)動(dòng)機(jī)制上層的協(xié)同中心（CC）組成，每個(gè)安全區(qū)域部署一套或多套，完成安全區(qū)域和安全自治域間的協(xié)同。

圖3 跨域協(xié)同與全局聯(lián)動(dòng)機(jī)制邏輯組成

1.4 協(xié)同層次

如圖4所示，跨域協(xié)同與全局聯(lián)動(dòng)機(jī)制分為四個(gè)層次——安全自治域內(nèi)聯(lián)動(dòng)、安全自治域間協(xié)同、安全區(qū)域間協(xié)同和網(wǎng)系協(xié)同；完成協(xié)同功能需要的協(xié)同系統(tǒng)分別為安全管理中心（SMC）、一級(jí)區(qū)域協(xié)同中心、二級(jí)區(qū)域協(xié)同中心和全局協(xié)同中心。

圖4 協(xié)同層次

安全自治域內(nèi)聯(lián)動(dòng)處于整個(gè)協(xié)同聯(lián)動(dòng)機(jī)制的最底層，所有的協(xié)同和聯(lián)動(dòng)指令最終均在該層次執(zhí)行。域內(nèi)聯(lián)動(dòng)負(fù)責(zé)根據(jù)域內(nèi)安全情況和所屬安全區(qū)域的統(tǒng)一策略調(diào)整域內(nèi)安全設(shè)備/系統(tǒng)的策略、執(zhí)行檢測(cè)或防護(hù)任務(wù)。聯(lián)動(dòng)是讓安全自治域中具備安全解決能力的元素協(xié)同工作。雖然它們各自分工不同，但勢(shì)必能構(gòu)成團(tuán)體的優(yōu)勢(shì)。聯(lián)動(dòng)中不可忽視的核心點(diǎn)是要使交換機(jī)、路由器、IDS、防火墻、用戶管理系統(tǒng)和網(wǎng)元管理系統(tǒng)等擁有統(tǒng)一的溝通機(jī)制。但是，聯(lián)動(dòng)思想僅僅把網(wǎng)絡(luò)中局部的安全設(shè)備整合起來(lái)共同工作，最好的效果也僅僅是維護(hù)一個(gè)局部的安全體系。對(duì)于大規(guī)模的網(wǎng)絡(luò)攻擊（如蠕蟲(chóng)病毒攻擊、或DDoS攻擊），攻擊潛伏于網(wǎng)絡(luò)的各個(gè)角落，再堅(jiān)固的安全體系也會(huì)被受黑客控制的信任主機(jī)攻破。為此，不僅要做好安全自治域中的安全措施“聯(lián)動(dòng)”工作，還要更大范圍內(nèi)實(shí)現(xiàn)對(duì)入侵的協(xié)同，將其對(duì)網(wǎng)絡(luò)的災(zāi)難降低到最小。

安全自治域間協(xié)同完成協(xié)調(diào)同一個(gè)安全區(qū)域內(nèi)跨安全自治域的協(xié)同功能。當(dāng)一個(gè)安全自治域分析安全態(tài)勢(shì)需要其他安全自治域的信息、消除隱患需要其他安全自治域的協(xié)助、檢測(cè)到針對(duì)其他安全自治域的安全事件時(shí)，可通過(guò)安全自治域的SMC的管理CC作為聯(lián)系紐帶來(lái)完成。

安全區(qū)域間協(xié)同完成協(xié)調(diào)跨安全區(qū)域的協(xié)同功能。當(dāng)一個(gè)安全區(qū)域分析安全態(tài)勢(shì)需要其他安全區(qū)域的信息、消除隱患需要其他安全自治域的協(xié)助、檢測(cè)到針對(duì)其他安全區(qū)域安全事件時(shí)，可通過(guò)各安全區(qū)域CC作為聯(lián)系紐帶來(lái)完成。

網(wǎng)系協(xié)同由通信網(wǎng)頂層的全局協(xié)同中心參與完成通信網(wǎng)中不同網(wǎng)絡(luò)之間的安全協(xié)同。

1.5 域內(nèi)聯(lián)動(dòng)

聯(lián)動(dòng)是使安全自治域中具備安全解決能力的元素協(xié)同工作。域內(nèi)聯(lián)動(dòng)流程，如圖5所示。

圖5 安全自治域內(nèi)聯(lián)動(dòng)流程

按照聯(lián)動(dòng)操作的側(cè)重點(diǎn)不同，可以分為以下幾類(lèi)。

（1）記錄安全事件：記錄安全事件，有利于管理員的事后追查。各安全設(shè)備將檢測(cè)到的安全事件進(jìn)行記錄，上報(bào)至安全管理中心。安全管理中心將其存儲(chǔ)于原始事件數(shù)據(jù)庫(kù)。安全管理中心默認(rèn)情況自動(dòng)執(zhí)行該操作，記錄所有安全事件。

（2）產(chǎn)生告警信息：在安全管理中心產(chǎn)生告警信息，上報(bào)至協(xié)同中心。對(duì)所有融合后的安全事件，將采取該聯(lián)動(dòng)措施。安全管理員可以設(shè)置是否告警及告警的方式。安全管理中心對(duì)安全設(shè)備上報(bào)的安全事件進(jìn)行融合分析，采用系統(tǒng)設(shè)置的告警方式通知管理員，以便于管理員對(duì)入侵行為和違規(guī)行為進(jìn)行處理。

（3）引誘取證：將入侵行為或非法行為誘導(dǎo)至誘餌設(shè)備，消耗其資源并進(jìn)行取證。該類(lèi)聯(lián)動(dòng)措施適用于所有的網(wǎng)絡(luò)入侵行為。交換機(jī)和路由器等設(shè)備將入侵和非法數(shù)據(jù)流引導(dǎo)至偽裝誘騙系統(tǒng)。偽裝誘騙系統(tǒng)收集入侵者或非法操作者的證據(jù)。安全管理中心完成數(shù)據(jù)的分析與設(shè)備策略的生成。

（4）阻斷攻擊源或隔離被攻擊對(duì)象：這種措施實(shí)際上禁止了攻擊者對(duì)被攻擊對(duì)象的訪問(wèn)。這種聯(lián)動(dòng)方式可以通過(guò)配置控制器策略或終止被攻擊對(duì)象的服務(wù)等完成。當(dāng)設(shè)備遭到網(wǎng)絡(luò)攻擊時(shí)、設(shè)備遭到病毒或木馬入侵時(shí)、設(shè)備成為內(nèi)部攻擊者時(shí)、設(shè)備訪問(wèn)非授權(quán)內(nèi)容時(shí)，可以采取該類(lèi)聯(lián)動(dòng)響應(yīng)措施。

（5）檢測(cè)隱患：檢測(cè)可能對(duì)網(wǎng)絡(luò)或主機(jī)造成危害的對(duì)象。安全管理中心可以實(shí)施該種響應(yīng)措施來(lái)檢查管轄設(shè)備的系統(tǒng)漏洞、配置漏洞、間諜軟件、后門(mén)軟件、病毒程序和文件的完整性等。

（6）清除隱患：清除可能對(duì)網(wǎng)絡(luò)或主機(jī)造成危害的對(duì)象，包括系統(tǒng)漏洞、配置漏洞、間諜軟件、后門(mén)軟件和病毒程序等。當(dāng)檢測(cè)器檢測(cè)到設(shè)備上存在安全隱患時(shí)，安全管理中心下發(fā)這類(lèi)聯(lián)動(dòng)策略來(lái)清除隱患。

（7）調(diào)整設(shè)備運(yùn)行策略：根據(jù)網(wǎng)絡(luò)環(huán)境、管轄設(shè)備配置情況或區(qū)域協(xié)同中心統(tǒng)一配置策略，調(diào)整安全設(shè)備/系統(tǒng)的檢測(cè)規(guī)則、防護(hù)規(guī)則和軟件版本等策略。

（8）追蹤攻擊者：找到盡量接近攻擊發(fā)起的位置。

（9）反擊攻擊者：主動(dòng)對(duì)入侵者進(jìn)行反擊。

1.6 域間協(xié)同

域間協(xié)同包括安全自治域間和安全區(qū)域間的協(xié)同。協(xié)同是指利用現(xiàn)有安全技術(shù)、措施和設(shè)備，將時(shí)間上分離、空間上分布而功能上互為補(bǔ)充的多個(gè)安全系統(tǒng)有機(jī)組織起來(lái)，從而使整個(gè)安全體系具有預(yù)防、檢測(cè)、分析、恢復(fù)和對(duì)抗等綜合防御功能，使各個(gè)安全系統(tǒng)能夠最大程度或近似最大程度地發(fā)揮其效能。域間協(xié)同的流程圖，如圖6所示。

圖6 安全自治域間協(xié)同流程

域間協(xié)同按照協(xié)同的內(nèi)容分為以下幾種類(lèi)型。

全局策略型：由上級(jí)或可信第三方提供的統(tǒng)一工作安全策略。

相互學(xué)習(xí)型：在某一安全管理域內(nèi)，通過(guò)管理員行為學(xué)習(xí)得到的安全規(guī)則，在通過(guò)可信驗(yàn)證后在全網(wǎng)推廣。

協(xié)調(diào)防御型：對(duì)跨安全域的安全事件進(jìn)行聯(lián)合打擊、封堵。

風(fēng)險(xiǎn)預(yù)警型：對(duì)局部出現(xiàn)的異?，F(xiàn)象，可通知臨近域提前防御，防患于未然。

來(lái)源追溯型：對(duì)出現(xiàn)的攻擊行為進(jìn)行可能的來(lái)源追溯。

1.6.1 全局策略型

全局策略是由上級(jí)協(xié)同中心向下級(jí)協(xié)同中心、協(xié)同中心向安全管理中心下發(fā)的所管轄范圍內(nèi)的統(tǒng)一安全策略，描述了安全需求目標(biāo)、安全服務(wù)說(shuō)明和信任管理等內(nèi)容。這些策略包括檢測(cè)策略、控制策略、告警策略、事件分析策略、軟件升級(jí)和安全信息通告等。檢測(cè)策略指管轄范圍內(nèi)需要檢測(cè)的內(nèi)容、檢測(cè)粒度和設(shè)備檢測(cè)規(guī)則等。控制策略是指對(duì)管轄范圍內(nèi)各種資源實(shí)體的統(tǒng)一控制原則。這些對(duì)象實(shí)體可能是網(wǎng)絡(luò)部署、網(wǎng)絡(luò)地址、端口協(xié)議、應(yīng)用服務(wù)、終端外設(shè)與接口、系統(tǒng)文件和信道資源等。告警策略是指告警粒度、告警方式和是否需要通報(bào)等。1.6.2 相互學(xué)習(xí)型

該協(xié)同類(lèi)型是指在某一安全管理域內(nèi)通過(guò)管理員行為學(xué)習(xí)得到的執(zhí)行效果較好的安全策略在通過(guò)可信驗(yàn)證后在全網(wǎng)推廣，達(dá)到共同提高防御能力的目的。安全管理中心、區(qū)域協(xié)同中心都有一個(gè)安全策略數(shù)據(jù)庫(kù)。各中心生成一條新的安全策略后，系統(tǒng)將對(duì)已執(zhí)行安全策略的執(zhí)行效果進(jìn)行評(píng)估。對(duì)于評(píng)估后分值較高的安全策略，安全中心將其放入安全策略共享區(qū)，便于其他安全域共享。必要時(shí)，可將策略進(jìn)行全域分發(fā)。各域的安全中心通過(guò)自己安全策略評(píng)估模塊，將分發(fā)下來(lái)的安全策略與已有的安全策略進(jìn)行比較，并將評(píng)估的最優(yōu)安全策略更新到安全策略庫(kù)中，達(dá)到優(yōu)秀安全策略全網(wǎng)更新的目的，從而共同提高防御能力。

1.6.3 協(xié)調(diào)防御型

對(duì)入侵行為或違規(guī)行為進(jìn)行跨區(qū)域的封堵、打擊，可以分為以下幾種情況進(jìn)行處理。

在理想防御點(diǎn)進(jìn)行防御。對(duì)某個(gè)區(qū)域檢測(cè)到的安全事件，在本域內(nèi)進(jìn)行防御可能達(dá)不到效果，需要通過(guò)鄰域擴(kuò)散方式在其他域進(jìn)行封堵，以達(dá)到最佳效果。例如，對(duì)于域內(nèi)某臺(tái)主機(jī)的拒絕服務(wù)攻擊，特別是分布式拒絕服務(wù)攻擊，僅僅在本域進(jìn)行阻斷并不能阻止大量數(shù)據(jù)流量，且消耗邊界控制器的性能，達(dá)不到理想的防御效果。這時(shí)需要通過(guò)鄰域逐步擴(kuò)散，在入侵?jǐn)?shù)據(jù)流量的入口處進(jìn)行封堵，以消除攻擊路徑上的攻擊流量，達(dá)到較好的防御效果。

內(nèi)部攻擊源截?cái)?。大部分的入侵行為都是?nèi)部攻擊，某個(gè)區(qū)域檢測(cè)到的安全事件的源頭可能就在本域或其他安全區(qū)域內(nèi)部。此時(shí)，除了在本域?qū)θ肭衷催M(jìn)行封堵外，還需要通知源頭所屬的安全區(qū)域?qū)ζ溥M(jìn)行處理。例如，某域內(nèi)主機(jī)被作為傀儡主機(jī)對(duì)其他主機(jī)進(jìn)行攻擊時(shí)，需要對(duì)其進(jìn)行清除后門(mén)、增強(qiáng)其安全性等聯(lián)動(dòng)協(xié)同策略。

防御措施求助。對(duì)于某域內(nèi)檢測(cè)到的安全事件，域內(nèi)的安全防護(hù)設(shè)備可能不具備對(duì)該事件的防護(hù)能力，需要通過(guò)上級(jí)協(xié)同中心尋求幫助，對(duì)安全事件進(jìn)行處理。例如，針對(duì)安全事件需要的補(bǔ)丁、升級(jí)包等，可以在其他安全區(qū)域下載；本域沒(méi)有對(duì)安全事件的控制器時(shí)，直接在其他安全區(qū)域使用控制器控制安全事件源頭。

1.6.4 風(fēng)險(xiǎn)預(yù)警型

對(duì)局部出現(xiàn)的異?，F(xiàn)象，可通知其他區(qū)域提前防御，防患于未然。具體地，根據(jù)預(yù)警的內(nèi)容可分為兩類(lèi)進(jìn)行處理。

入侵預(yù)警。在攻擊數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)協(xié)同與聯(lián)動(dòng)體系的檢測(cè)范圍還未到達(dá)目標(biāo)時(shí)，可能被檢測(cè)器檢測(cè)到并產(chǎn)生報(bào)警。協(xié)同中心收到安全管理中心的預(yù)警后，通過(guò)協(xié)同體系直至將預(yù)警信息傳遞至目的區(qū)域的安全管理中心，然后安全管理中心生成聯(lián)動(dòng)指令提前進(jìn)行封堵。

擴(kuò)散預(yù)警。在某域內(nèi)檢測(cè)到的安全事件如果屬于易于擴(kuò)散類(lèi)型如病毒、蠕蟲(chóng)等，則需要通過(guò)安全協(xié)同系統(tǒng)將安全事件及其防御策略進(jìn)行全網(wǎng)通報(bào)。各中心收到預(yù)警信息后提前設(shè)置防御策略，遏制安全事件的擴(kuò)散。

1.6.5 來(lái)源追溯型

對(duì)出現(xiàn)的入侵行為或違規(guī)行為進(jìn)行可能的來(lái)源追溯。追溯的重點(diǎn)在于發(fā)現(xiàn)攻擊者的真實(shí)地址和傳輸路徑，而追蹤技術(shù)有助于提高響應(yīng)的準(zhǔn)確性。它的基本思想是以攻擊報(bào)文的相關(guān)信息為依據(jù)，實(shí)現(xiàn)對(duì)攻擊源的反向追蹤。

現(xiàn)有的來(lái)源追蹤技術(shù)如鏈路測(cè)試、日志記錄、ICMP追蹤和報(bào)文標(biāo)記技術(shù)，均需要網(wǎng)絡(luò)路由器的參與，以使用其特殊功能。因此，實(shí)施比較困難。

多區(qū)域協(xié)同與聯(lián)動(dòng)框架主要是基于對(duì)各安全管理中心、協(xié)同中心收集的安全事件的綜合分析。來(lái)源追溯分為在線追溯和離線追溯。

在線追溯是指即時(shí)尋找事件來(lái)源。當(dāng)某域檢測(cè)到一條安全事件時(shí)，若需要追溯其來(lái)源，則向上級(jí)協(xié)同中心發(fā)布來(lái)源追溯策略。策略包含其事件相關(guān)信息。協(xié)同中心通過(guò)協(xié)同體系將追溯策略傳播至安全管理中心和協(xié)同中心，各中心將檢測(cè)到的實(shí)時(shí)事件與追溯策略中的相關(guān)信息進(jìn)行匹配，直至找到事件源頭（內(nèi)部估計(jì)）或網(wǎng)絡(luò)邊界（外部攻擊）。

離線追溯是指事后對(duì)安全事件進(jìn)行分析來(lái)尋找事件來(lái)源。若某域需要事后追溯某事件來(lái)源，則在協(xié)同體系中傳播追溯策略。各中心將策略中的事件信息作為分析條件對(duì)自己的事件庫(kù)進(jìn)行分析，直至找到事件源頭（內(nèi)部估計(jì)）或網(wǎng)絡(luò)邊界（外部攻擊）。

2 結(jié) 語(yǔ)

多區(qū)域協(xié)同與聯(lián)動(dòng)機(jī)制是從安全防御體系上考慮通信網(wǎng)絡(luò)協(xié)調(diào)聯(lián)動(dòng)機(jī)制，目的是提高其整體防御能力。該機(jī)制在安全自治域內(nèi)、安全自治域間、安全區(qū)域間和網(wǎng)系間建立安全協(xié)同聯(lián)動(dòng)機(jī)制，加強(qiáng)了通信網(wǎng)間的信息共享，促使各種安全機(jī)制、設(shè)備以及系統(tǒng)間形成優(yōu)勢(shì)互補(bǔ)，提升了通信網(wǎng)的動(dòng)態(tài)防御、協(xié)同防御和整體防御能力。