基於雲計算的智慧NIPS的結構及特點

雲計算(Cloud Computing)是通過互聯網提供計算資源環境和服務的實現方式,是基於互聯網的超級計算模式。 可以將存儲于電腦、行動電話和其他設備上的大量資訊及處理器資源聚集、協同工作快速處理。 主要是以一種分散式運算技術,通過網路將龐大的計算處理常式自動分拆成多個副程式,再由多部伺服器所組成的龐大系統,經過協同搜索、計算和分析處理後將結果回傳給終端,真正充分實現網路資源共用[1]。

完整的雲計算是一個動態的計算體系,提供託管的應用程式環境,可以實現動態部署、動態分配或重分配計算資源,即時監控、安全特徵識別與防護,查殺病毒等,以期達到網路資源的高效使用和安全防護。 是分散式處理、並行處理和網格計算的發展和新應用。

Amazon的AWS(Amazon Web Services)、Google的GAE(Google App Engine)、IBM的Blue Cloud、瑞星2009等實際都是一種雲計算應用,不僅擁有分散式的計算環境, 而且可以通過互聯網提供服務,並能實現動態的資源配置和各種雲計算需求。

本文在分析雲計算的特點、類型和IPS (Intrusion Prevention System)技術的基礎上,概述了雲安全優勢及核心技術,提出了新的基於雲計算的智慧NIPS結構及特點。

1雲計算的特點及類型

1.1雲計算的特點

雲計算具有3個特性:對計算資源進行動態切割及動態分配、以Web為中心、交付服務。 它提供了遠超越計算和存儲本身的服務,除了包括以服務為交付模式的計算和存儲基礎設施外,虛擬主機的租用、社會關係網的資料資訊服務、商業流程、應用程式運行環境、程式設計模型、協同環境以及IT管理外包等各種模式都可列入雲計算的範疇。

Web是承載雲計算的核心。 Web結構簡單並以超連結連接HTML文檔,以標記語言描述和存放內容及其之間的關係,非結構化的存儲使其具備強大的描述能力。 利用TCP/IP、HTTP等協定可以產生互動,並能將各種異構系統相連。 使用者完全可以不用考慮整個IT體系後端運行的作業系統、中介軟體和資料庫種類,只需一個簡單的URL及回應的角色身份,即可得到所需資訊。 儘管技術體系繁雜,相互之間存在差異,但整個業界唯一共同認定的Web標準,使Web成為承載不同業務、不同系統的雲計算的唯一平臺[2,3]。

雲計算具有4個顯著特點:

對用戶端設備要求低。 雲計算如同銀行存款一樣,提供了最可靠、最安全的資料存儲中心,使用者不用再擔心構建網路系統、資料丟失和病毒等。

使用者使用便捷。 「雲」的另一端,有專業的IT人員維護硬體和軟體,説明防範病毒和各類網路攻擊,以及以往在用戶端所做的各種維護與管理。

易於實現資料與應用共用。 在雲計算的網路應用模式中,只將一份資料保存在「雲」的另一端,使用者的數碼設備只需要連接互聯網,即可同時訪問和使用同一資料。

充分利用網路的強大功能。 為存儲和管理資料提供了更充分的空間,也為使用者的各類應用提供了更充分的計算能力。

事實上,雲計算多年來在很多領域取得了神奇效果,如迅雷快速下載技術。 隨著虛擬化和SOA在企業中的逐漸普及,靈活、可擴展的基礎架構最終可以讓企業都成為「雲」節點。 美國等國家正在推行學校雲計算計畫,以「通用雲計算服務」為學校帶來虛擬電腦桌面和「虛擬計算實驗室」雲計算平臺,包括線上使用教育資料、應用軟體、計算和儲存等。

1.2雲計算的類型

雲計算對不同的服務物件類型不同,主要包括以下7種類型[3]。

SaaS。 各種SaaS(Software as a Service,軟體即服務)運營商的服務平臺,基本都是用雲計算構建的。 使用者利用雲計算通過瀏覽器得到程式,可省去伺服器和軟體授權上的開支,而供應商只需要維持一個程式且減少成本。

實用計算。 開始在Amazon.com、Sun、IBM和其他提供存儲服務和虛擬伺服器的公司中應用。 可使IT行業創造虛擬的資料中心,將記憶體、I/O設備、存儲和計算能力聚集成一個虛擬的資源池,為整個網路提供服務。

網路服務。 網路服務提供者能夠提供API(Application Programming Interface,應用程式開發介面)讓開發者研發更多基於互聯網的應用,而不提供單機程式。

平臺即服務。 雲計算將開發環境作為一種服務進行提供,為另一種SaaS。 可以使用中間商的設備來開發各自的程式,並通過互聯網用其伺服器傳到使用者端。

MSP。 MSP(管理服務提供者)是一項最早的雲計算應用。 它更多的是面向IT行業而不是終端使用者,常用於郵件病毒掃描、程式監控等。

商務服務平臺。 SaaS和MSP的綜合應用,為使用者和供應商之間的互動提供了一個平臺。 如使用者開支管理系統,能夠根據使用者設置來管理其開支並協調其訂購的服務。

雲計算集成。 將互聯網上提供各類服務的公司進行整合,使使用者能夠更方便地比較和選擇服務供應商。

2雲安全優勢及核心技術

2.1雲安全的優勢

「雲安全(Cloud Security)」是網路時代資訊安全的最新體現和雲計算新應用,它融合了並行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量用戶端對網路中軟體行為的異常監測,獲取互聯網中木馬、 惡意程式的最新資訊,發送到Server端進行自動分析和處理,再將解決方案發到每一個用戶端[4]。

(1)為低成本使用者提供安全屏障。 其獨特屬性是對資料完整性、資料恢復和隱私保護等方面給予多方面風險評估。 通過將資料分別集中存儲在不同的資料中心,進行統一管理,負責資源配置和部署、安全控制,執行更安全可靠的即時監控。

(2)以預控機制確保資訊安全。 雲計算平臺獨特的預控制機制,可極大地改善使用者工作環境。 當使用者自訂當前安全級別為「安全」或「可靠」時,可依靠協力廠商工具創建各自的VM鏡像,設置成不可被覆制模式時,以特定需求還可在安全狀態下實現即時同步。

(3)雲環境即時監測記錄。 雲存儲可記錄需要的標準日誌,可避免限制和收費等隱患。 可根據使用者的需要將日誌記錄探測到動態資訊中,根據即時索引進行隨機監測。 通過使用系統獨特的C2審核跟蹤模式支援擴展日誌記錄等功能,在保護系統資源安全情況下,允許使用者監視對所有資料庫的訪問意圖。

(4) SaaS安全效能測試。 SaaS供應商將對雲平臺定期進行安全效能測試,使用者將通過共用相同的應用程式服務,節約安全性測試費用。 雲平臺還為使用者提供定期對密碼強度進行測試服務,即時保證密碼強度的可靠性。

(5)「雲安全」更新傳統殺毒模式。 「雲安全」架構的最大特點是將原來的殺毒變為防毒。 使用者只要安裝了接入「雲端」的殺毒軟體即可使終端變得很輕鬆,不用頻繁升級,也不必再為殺毒軟體而佔用記憶體和頻寬,而且可以極大地提高病毒樣本效率。

2.2雲安全的核心技術

雲安全網路防護系統是新一代雲用戶端安全基礎設施,與傳統方式相比,它可在最新威脅到達之前對其進行攔截,實現安全智慧化。 主要利用「雲安全」的7大核心技術:Web信譽服務(WRS)、郵件信譽服務(ERS)、檔信譽服務(FRS)、行為關聯分析技術、自動回饋機制、威脅資訊匯總和病毒碼黑名單技術。 其技術架構的核心超越了攔截Web威脅的傳統方法,以WRS、ERS和FRS為基礎構建的雲用戶端安全架構,通過把大多數特徵碼檔保存到互聯網雲資料庫中並令其在端點處保持最低數量,借助全信譽資料庫, 雲安全可以按照惡意軟體行為分析所發現的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽參數,從而追蹤網頁的可信度。 可在Web威脅到達最終使用者網路之前對其進行檢測、攔截和防護。 既降低了頻寬消耗,也提供了更快更全面的及時保護[4, 5]。

3雲安全智慧NIPS結構

3.1IPS及NIPS技術

IPS是一種主動過濾、智慧入侵偵測、防範和訪問決策的入侵防護系統,通過對資料包異常檢測,即時確定阻斷訪問。 以篩檢程式攔截試探攻擊系統弱點的任何操作,對網路進行多層、深層、主動的防護以有效保護網路安全[6]。

IPS根據部署方式分為3類:基於主機的入侵防護系統HIPS(Host IPS)、基於網路的入侵防護系統NIPS(Network IPS)、應用入侵防護AIP(Application Intrusion Prevention)。

HIPS通過在主機/伺服器上安裝軟體代理程式,防止網路攻擊入侵作業系統和應用程式; NIPS通過檢測網路流量提供安全保護,以線上連接方式檢測辨識入侵行為,即時確定阻斷訪問; AIP是NIPS的特例,它將HIPS配置在應用資料的網路鏈路上,擴展成為位於應用伺服器之前的高性能網路設備。 IPS技術具有四大特徵:以嵌入模式運行的IPS才能即時阻攔可疑資料包,實現即時安全防護;通過對攻擊類型和策略等深入分析,確定攔截惡意流量;以高品質的入侵特徵庫確保高效運行;具有高效處理資料包的能力。

NIPS具有4項關鍵技術:一是主動防禦技術。 通過對關鍵主機和服務的資料進行全面防護和加固,並適當限制使用者許可權,可主動識別已知攻擊、拒絕惡意訪問,防範未知的攻擊行為。 二是同防火牆聯動技術。 通過介面調用,按協定進行通信、傳輸警報,以開放介面實現聯動。 防火牆進行第一層存取控制防禦,NIPS進行第二層檢測入侵防禦,濾掉惡意通信,並通知防火牆阻斷。 另可將二者集成于一個平臺,在作業系統統一管理下有序運行。 所有資料接受防火牆規則驗證同時被檢測判斷攻擊性,實現即時阻斷聯動。 三是綜合檢測方法。 為避免誤操作、阻塞合法網路事件、造成資料丟失,以誤用檢測和異常檢測等多種檢測方法,最大限度地正確判斷已知和未知攻擊。 四是硬體加速系統。 以專用硬體加速系統高效處理資料包,以快速高效實現大流量複雜網路的深度資料包檢測和阻斷功能[7]。

3.2雲安全智慧NIPS的結構

「雲安全」分為兩類:一是特徵庫或類特徵庫在雲端的儲存與共享;二是作為一個最新的惡意程式碼、垃圾郵件或釣魚網址等的快速收集、匯總和回應處理的系統[5]。

「雲安全」將使用者和智慧技術平臺通過互聯網集成,組成一個木馬/惡意軟體及攻擊指令監測、查殺、防護安全網路。 構建新型雲安全智慧NIPS結構,如圖1所示。

雲安全智慧NIPS的主要功能為:通過「雲安全」模式以瀏覽器與「安全雲」進行交互,訪問檔、郵件或網站;以智慧採集、識別、特徵提取等方式,自動分析判斷使用者所訪問資源的安全性, 然後通過專家系統利用安全知識庫進行深入分析和攔截抉擇,並將解決方案發到用戶端。 對惡意檔或網站的處理同銀行體系的信用模式類似,利用對檔、網頁等資源資訊進行信譽建模,予以智慧監控識別和防護,然後對這些資源的信譽評級進行判定。 「安全雲」最關鍵工作是安全知識庫對收集的大量資訊進行資料採礦,主要對檔、URL以及電子郵件之間相互關聯資訊的挖掘,進行特徵提取檢測判別,從而達到智慧防護功能。

4雲安全智慧NIPS的特點

智慧NIPS主要具有6個特點:①通過網站「雲安全」殺毒軟體對各種病毒傳播行為進行智慧特徵識別、監控和分析,阻斷傳播通道,攔截破壞入侵;②通過對惡意網頁行為的智慧監控,阻攔木馬通過網站入侵使用者電腦;③以智慧型網路防火牆, 隨時更新入侵偵測規則庫,攔截來自互聯網的駭客及病毒的各種攻擊;④以特徵庫與防火牆聯動,及時更新惡意網址庫,阻斷網頁木馬、釣魚網站等侵害;⑤以「雲安全」木馬防禦殺毒軟體,通過對木馬等病毒的行為分析,智慧監控未知木馬等病毒, 防止其偷竊和破壞;⑥以專家系統、知識庫與攻擊防禦防火牆聯動,準確阻止駭客攻擊企圖和其他行為,同時進行即時回應、系統記錄和審計,並保護頻寬和系統資源不被惡意佔用等。

採用本機伺服器群回應、緩存支援和企業內部雲伺服器同步等技術,即可實現雲安全智慧NIPS問題。 基於「雲安全」策略和「智慧主動防禦」技術開發的新一代互聯網安全防護系統,可以將智慧防護、殺毒軟體與防火牆無縫集成、整體聯動,極大降低佔用電腦資源,集「攔截、防禦、查殺、保護」多重防護功能于一身[8]。 如將所有安裝瑞星2009的電腦和瑞星「雲安全」系統平臺即時聯繫,通過互聯網組成覆蓋互聯網的病毒、惡意網址監測網路,可在最短時間內發現、截獲、處理大量的最新病毒和惡意網址,並將解決方案暫態送達所有使用者端, 提前防範各種新生網路威脅。