基于云计算的智能NIPS的结构及特点
(中国电子商务研究中心讯)摘要:云计算是基于互联网的超级计算模式,也是互联网及网络安全的一项新技术和发展趋势。本文在分析云计算的特点、形式和IPS技术的基础上,概述了云安全优势及核心技术,并提出了新的基于云计算的与防火墙联动的智能NIPS结构及特点,对于网络安全高新技术的研究和发展具有重要意义。
云计算(Cloud Computing)是通过互联网提供计算资源环境和服务的实现方式,是基于互联网的超级计算模式。可以将存储于计算机、移动电话和其他设备上的大量信息及处理器资源聚集、协同工作快速处理。主要是以一种分布式计算技术,通过网络将庞大的计算处理程序自动分拆成多个子程序,再由多部服务器所组成的庞大系统,经过协同搜索、计算和分析处理后将结果回传给终端,真正充分实现网络资源共享[1]。
完整的云计算是一个动态的计算体系,提供托管的应用程序环境,可以实现动态部署、动态分配或重分配计算资源,实时监控、安全特征识别与防护,查杀病毒等,以期达到网络资源的高效使用和安全防护。是分布式处理、并行处理和网格计算的发展和新应用。
Amazon的AWS(Amazon Web Services)、Google的GAE(Google App Engine)、IBM的Blue Cloud、瑞星2009等实际都是一种云计算应用,不仅拥有分布式的计算环境,而且可以通过互联网提供服务,并能实现动态的资源分配和各种云计算需求。
本文在分析云计算的特点、类型和IPS (Intrusion Prevention System)技术的基础上,概述了云安全优势及核心技术,提出了新的基于云计算的智能NIPS结构及特点。
1云计算的特点及类型
1.1云计算的特点
云计算具有3个特性:对计算资源进行动态切割及动态分配、以Web为中心、交付服务。它提供了远超越计算和存储本身的服务,除了包括以服务为交付模式的计算和存储基础设施外,虚拟主机的租用、社会关系网的数据信息服务、商业流程、应用程序运行环境、编程模型、协同环境以及IT管理外包等各种模式都可列入云计算的范畴。
Web是承载云计算的核心。Web结构简单并以超链接连接HTML文档,以标记语言描述和存放内容及其之间的关系,非结构化的存储使其具备强大的描述能力。利用TCP/IP、HTTP等协议可以产生互动,并能将各种异构系统相连。用户完全可以不用考虑整个IT体系后端运行的操作系统、中间件和数据库种类,只需一个简单的URL及响应的角色身份,即可得到所需信息。尽管技术体系繁杂,相互之间存在差异,但整个业界唯一共同认定的Web标准,使Web成为承载不同业务、不同系统的云计算的唯一平台[2,3]。
云计算具有4个显著特点:
对客户端设备要求低。云计算如同银行存款一样,提供了最可靠、最安全的数据存储中心,用户不用再担心构建网络系统、数据丢失和病毒等。
用户使用便捷。“云”的另一端,有专业的IT人员维护硬件和软件,帮助防范病毒和各类网络攻击,以及以往在客户端所做的各种维护与管理。
易于实现数据与应用共享。在云计算的网络应用模式中,只将一份数据保存在“云”的另一端,用户的数码设备只需要连接互联网,即可同时访问和使用同一数据。
充分利用网络的强大功能。为存储和管理数据提供了更充分的空间,也为用户的各类应用提供了更充分的计算能力。
事实上,云计算多年来在很多领域取得了神奇效果,如迅雷快速下载技术。随着虚拟化和SOA在企业中的逐渐普及,灵活、可扩展的基础架构最终可以让企业都成为“云”节点。美国等国家正在推行学校云计算计划,以“通用云计算服务”为学校带来虚拟电脑桌面和“虚拟计算实验室”云计算平台,包括在线使用教育资料、应用软件、计算和储存等。
1.2云计算的类型
云计算对不同的服务对象类型不同,主要包括以下7种类型[3]。
SaaS。各种SaaS(Software as a Service,软件即服务)运营商的服务平台,基本都是用云计算构建的。用户利用云计算通过浏览器得到程序,可省去服务器和软件授权上的开支,而供应商只需要维持一个程序且减少成本。
实用计算。开始在Amazon.com、Sun、IBM和其他提供存储服务和虚拟服务器的公司中应用。可使IT行业创造虚拟的数据中心,将内存、I/O设备、存储和计算能力聚集成一个虚拟的资源池,为整个网络提供服务。
网络服务。网络服务提供者能够提供API(Application Programming Interface,应用程序编程接口)让开发者研发更多基于互联网的应用,而不提供单机程序。
平台即服务。云计算将开发环境作为一种服务进行提供,为另一种SaaS。可以使用中间商的设备来开发各自的程序,并通过互联网用其服务器传到用户端。
MSP。MSP(管理服务提供商)是一项最早的云计算应用。它更多的是面向IT行业而不是终端用户,常用于邮件病毒扫描、程序监控等。
商业服务平台。SaaS和MSP的综合应用,为用户和提供商之间的互动提供了一个平台。如用户开支管理系统,能够根据用户设置来管理其开支并协调其订购的服务。
云计算集成。将互联网上提供各类服务的公司进行整合,使用户能够更方便地比较和选择服务供应商。
2云安全优势及核心技术
2.1云安全的优势
“云安全(Cloud Security)”是网络时代信息安全的最新体现和云计算新应用,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,发送到Server端进行自动分析和处理,再将解决方案发到每一个客户端[4]。
(1)为低成本用户提供安全屏障。其独特属性是对数据完整性、数据恢复和隐私保护等方面给予多方面风险评估。通过将数据分别集中存储在不同的数据中心,进行统一管理,负责资源分配和部署、安全控制,执行更安全可靠的实时监控。
(2)以预控机制确保信息安全。云计算平台独特的预控制机制,可极大地改善用户工作环境。当用户自定义当前安全级别为“安全”或“可靠”时,可依靠第三方工具创建各自的VM镜像,设置成不可被复制模式时,以特定需求还可在安全状态下实现实时同步。
(3)云环境实时监测记录。云存储可记录需要的标准日志,可避免限制和收费等隐患。可根据用户的需要将日志记录探测到动态信息中,根据实时索引进行随机监测。通过使用系统独特的C2审核跟踪模式支持扩展日志记录等功能,在保护系统资源安全情况下,允许用户监视对所有数据库的访问意图。
(4) SaaS安全性能测试。SaaS供应商将对云平台定期进行安全性能测试,用户将通过共享相同的应用程序服务,节约安全性测试费用。云平台还为用户提供定期对密码强度进行测试服务,即时保证密码强度的可靠性。
(5)“云安全”更新传统杀毒模式。“云安全”架构的最大特点是将原来的杀毒变为防毒。用户只要安装了接入“云端”的杀毒软件即可使终端变得很轻松,不用频繁升级,也不必再为杀毒软件而占用内存和带宽,而且可以极大地提高病毒样本效率。
2.2云安全的核心技术
云安全网络防护系统是新一代云客户端安全基础设施,与传统方式相比,它可在最新威胁到达之前对其进行拦截,实现安全智能化。主要利用“云安全”的7大核心技术:Web信誉服务(WRS)、邮件信誉服务(ERS)、文件信誉服务(FRS)、行为关联分析技术、自动反馈机制、威胁信息汇总和病毒特征黑名单技术。其技术架构的核心超越了拦截Web威胁的传统方法,以WRS、ERS和FRS为基础构建的云客户端安全架构,通过把大多数特征码文件保存到互联网云数据库中并令其在端点处保持最低数量,借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉参数,从而追踪网页的可信度。可在Web威胁到达最终用户网络之前对其进行检测、拦截和防护。既降低了带宽消耗,也提供了更快更全面的及时保护[4, 5]。
3云安全智能NIPS结构
3.1IPS及NIPS技术
IPS是一种主动过滤、智能入侵检测、防范和访问决策的入侵防护系统,通过对数据包异常检测,实时确定阻断访问。以过滤器拦截试探攻击系统弱点的任何操作,对网络进行多层、深层、主动的防护以有效保护网络安全[6]。
IPS根据部署方式分为3类:基于主机的入侵防护系统HIPS(Host IPS)、基于网络的入侵防护系统NIPS(Network IPS)、应用入侵防护AIP(Application Intrusion Prevention)。
HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统和应用程序;NIPS通过检测网络流量提供安全保护,以在线连接方式检测辨识入侵行为,实时确定阻断访问;AIP是NIPS的特例,它将HIPS配置在应用数据的网络链路上,扩展成为位于应用服务器之前的高性能网络设备。IPS技术具有四大特征:以嵌入模式运行的IPS才能实时阻拦可疑数据包,实现实时安全防护;通过对攻击类型和策略等深入分析,确定拦截恶意流量;以高质量的入侵特征库确保高效运行;具有高效处理数据包的能力。
NIPS具有4项关键技术:一是主动防御技术。通过对关键主机和服务的数据进行全面防护和加固,并适当限制用户权限,可主动识别已知攻击、拒绝恶意访问,防范未知的攻击行为。二是同防火墙联动技术。通过接口调用,按协议进行通信、传输警报,以开放接口实现联动。防火墙进行第一层访问控制防御,NIPS进行第二层检测入侵防御,滤掉恶意通信,并通知防火墙阻断。另可将二者集成于一个平台,在操作系统统一管理下有序运行。所有数据接受防火墙规则验证同时被检测判断攻击性,实现实时阻断联动。三是综合检测方法。为避免误操作、阻塞合法网络事件、造成数据丢失,以误用检测和异常检测等多种检测方法,最大限度地正确判断已知和未知攻击。四是硬件加速系统。以专用硬件加速系统高效处理数据包,以快速高效实现大流量复杂网络的深度数据包检测和阻断功能[7]。
3.2云安全智能NIPS的结构
“云安全”分为两类:一是特征库或类特征库在云端的储存与共享;二是作为一个最新的恶意代码、垃圾邮件或钓鱼网址等的快速收集、汇总和响应处理的系统[5]。
“云安全”将用户和智能技术平台通过互联网集成,组成一个木马/恶意软件及攻击指令监测、查杀、防护安全网络。构建新型云安全智能NIPS结构,如图1所示。
云安全智能NIPS的主要功能为:通过“云安全”模式以浏览器与“安全云”进行交互,访问文件、邮件或网站;以智能采集、识别、特征提取等方式,自动分析判断用户所访问资源的安全性,然后通过专家系统利用安全知识库进行深入分析和拦截抉择,并将解决方案发到客户端。对恶意文件或网站的处理同银行体系的信用模式类似,利用对文件、网页等资源信息进行信誉建模,予以智能监控识别和防护,然后对这些资源的信誉评级进行判定。“安全云”最关键工作是安全知识库对收集的大量信息进行数据挖掘,主要对文件、URL以及电子邮件之间相互关联信息的挖掘,进行特征提取检测判别,从而达到智能防护功能。
4云安全智能NIPS的特点
智能NIPS主要具有6个特点:①通过网站“云安全”杀毒软件对各种病毒传播行为进行智能特征识别、监控和分析,阻断传播通道,拦截病毒入侵;②通过对恶意网页行为的智能监控,阻拦木马通过网站入侵用户电脑;③以智能网络防火墙,随时更新入侵检测规则库,拦截来自互联网的黑客及病毒的各种攻击;④以特征库与防火墙联动,及时更新恶意网址库,阻断网页木马、钓鱼网站等侵害;⑤以“云安全”木马防御杀毒软件,通过对木马等病毒的行为分析,智能监控未知木马等病毒,防止其偷窃和破坏;⑥以专家系统、知识库与攻击防御防火墙联动,准确阻止黑客攻击企图和其他行为,同时进行实时响应、系统记录和审计,并保护带宽和系统资源不被恶意占用等。
采用本地服务器群响应、缓存支持和企业内部云服务器同步等技术,即可实现云安全智能NIPS问题。基于“云安全”策略和“智能主动防御”技术开发的新一代互联网安全防护系统,可以将智能防护、杀毒软件与防火墙无缝集成、整体联动,极大降低占用计算机资源,集“拦截、防御、查杀、保护”多重防护功能于一身[8]。如将所有安装瑞星2009的电脑和瑞星“云安全”系统平台实时联系,通过互联网组成覆盖互联网的病毒、恶意网址监测网络,可在最短时间内发现、截获、处理大量的最新病毒和恶意网址,并将解决方案瞬时送达所有用户端,提前防范各种新生网络威胁。