范建淑 姜 晗

摘要 针对网络安全管理中网络攻击复杂、快速,安全设备种类繁多的特点,提出对现有安全技术及标准的有机集成、统一管理。提出用CDL(Common Definition Language)作为统一接口语言,将各种安全产品的网络监控数据集成输入流数据管理系统,实现网络安全的联动响应和安全信息共享。该系统实现一个开放的、可扩展、易集成的网络安全体系。

关键词 网络安全;联动响应;数据流管理系统

中图分类号:TP393.08 文献标识码:B 文章编号:1671-489X(2009)27-0090-02

Research on Integrated Network Security System based on Data Stream//Fan Jianshu, Jiang Han

Abstract An open security integrated system is presented for the network security architecture to solve the problem of complex network attacks and numerous security devices in the existed security management system. This paper proposes to use CDL (Common Definition Language) to integrate security data collected from various security systems into data stream management system, this can meet the requirement of dynamic correlation response and information sharing. This is an open, expandable and easy integrated security system.

Key words network security; correlation response; data stream management system

Authors address Department of Computer Engineering, Jining Vocational & Technical College, Jining, Shandong, 272037, China

随着互联网的发展,网络规模及其复杂程度不断增大,网络攻击技术不断更新,信息安全面临前所未有的挑战。针对网络安全日志信息的不间断性、实时性、快速变化、不易保存等特点,有学者提出运用数据流模型在线实时地分析网络安全数据,如DrisM[1]实现对网络安全事件的监控与报警,能够较好地处理在线、持续的高速网络安全数据流。该监控系统是基于Stanford大学的STREAM[2]系统实现的,STREAM系统作为一个通用的数据流管理系统,能够广泛应用于金融数据、网络数据、交通数据等。

网络安全设备种类繁多、相对独立,单个安全产品的简单堆砌具有极大的局限性,不能满足日益丰富的网络安全监控需要。另一方面,不同的安全产品在和数据流管理系统集成时,网络安全数据的集成由于数据格式的不同,通常需要重新配置,严重影响系统扩展的性能。面对层出不穷的网络数据,如何实现对各种安全设备的集中管理、联动响应,成为目前网络安全系统发展的新方向。

研究基于数据流技术定义输入语言,实现对多格式网络安全数据进行统一管理、查询和审计,满足网络安全分析的实时、准确与灵活要求。

1 数据流网络安全集成管理系统

数据流网络安全集成管理系统的目的是将诸如防火墙系统、入侵检测系统等独立的安全系统整合在一起,进行统一查询、分析,发现潜在的攻击征兆和发展趋势。

系统体系结构如图1所示,集成各种网络安全设备作为网络数据源的采集器。通过统一管理平台,一方面可根据数据流系统中的预定义查询模块得到网络安全分析结果;另一方面可以自己向数据流服务器发出请求,查询特定条件的网络安全数据。本系统具有极高的独立性,不影响被管理的原有网络设备。当用户需要新加入网络设备时,只需对新的数据格式增加对应的CDL(Common Definition Language)定义文件。输出端,查询、分析的网络数据审计结果通过图形化的管理工具集模块,显示网络信息的综合分析结果和各独立网络设备的安全监控状况,并给出网络安全态势图。

2 系统关键技术

定义CDL语言作为实现不同格式网络数据的输入接口,该语言是整个系统的输入核心。图2显示CDL模块构成和处理过程。该模块由CDL定义文件、CDL解析文件和CDL库文件构成。当新增网络设备时,只需新增对应数据格式的CDL定义文件,即可实现新设备的集成管理。

每种网络数据格式对应一个CDL定义文件,该文件基于XML描述语言共包含4部分:属性部分、输入输出数据对照表、输入属性和输出属性。图3是对EML格式网络数据的简单描述。

3 系统运行分析

为检验该系统的可行性,搭配测试环境如下:一台基于STREAM系统的网络统一管理服务器(P4 1.8 GHz,1 G RAM),2台网络数据发生器(P4 1.8 GHz,512 M RAM)产生相同内容不同格式的模拟数据,其中一台产生ARP攻击数据包,另一台将相同的ARP攻击数据包拆解成EML格式,模拟由第三方提供的静态网络日志数据。分别对2台发生器进行独立测试和同时测试,如表1所示,检验不同流量下系统性能和系统对不同网络数据的可扩展性。

实验结果显示,网络数据格式影响数据流管理服务器的处理效率。另一方面,ARP数据变为EML格式后,只需定义新的CDL文件来扩展新加入的网络设备。实验表明,这种基于数据流管理平台的网络安全系统和CDL定义语言统一管理不同网络数据的设计思路是正确可行的,并获得较好的性能。

4 结束语

本文实现一个基于数据流的网络安全统一管理系统。该系统具有完整的接口语言和强大的表述能力,实现网络数据的统一查询和高效分析,具有极高的可扩展性和独立性。下一步将考虑查询性能和查询准确率的优化。

参考文献

[1]沈星星,程学旗.基于数据流管理平台的网络安全事件监控系统[J].2006,27(2)

[2]Brian B,Shivnath B,et al.Models and issues in data stream systems[C].Proceedings of PODS,2002:1-16

[3]杨承玉.一种开放式网络安全集成管理平台的研究[J].重庆工学院学报,2006(11)

[4]范宝锋.统一网络安全管理平台技术研究[D].成都:四川大学,2005