摘 要： 本文把入侵防御系统（GIPS）应用在网格安全领域，实现网格环境下网格入侵防御系统。应用入侵防御到快速成长的网格中来，改善网格环境中应用系统的安全性是个新领域。本文提出的灵活的入侵防御结构，适合网格环境下的安全需求。
　　关键词： 网格入侵防御系统（GIPS） 网格技术 入侵防御
　　
　　1.引言
　　网格是通过开放的网络环境向用户提供服务的，因此它不可避免地要涉及到网络安全问题。并且，与传统网络应用相比，网格的目标是实现更大范围和更深层次的资源共享，所以它存在更重要的安全问题，并提出了更高的安全需求。与传统网络环境相比，网格计算环境极其复杂，它具有大规模、分布、异构、动态、可扩展等特性，因此与传统的网络安全相比，网格安全所涉及的范围更广，解决方案也更加复杂。由于网格对安全有更高的要求，因此网格需要如入侵防御的第二道安全防线，它是非常重要的网格安全机制，来防止网格被穿透和入侵，为网格提供更全面的保护。
　　2.关键技术分析（网格与入侵防御技术的结合）
　　网格是通过开放的网络环境向用户提供服务的，因此它不可避免地要涉及到安全问题。入侵防御技术作为一种新出现的网络安全技术，因其具有主动防御的功能，成为目前研究的新热点。IPS与防火墙和IDS不同，它是一个能够对入侵进行检测和响应的“主动防御”系统，为此本文提出一个新的构思：把入侵防御技术运用到网格安全领域中来，从而进一步解决网格安全问题。并提出了网格入侵防御系统（GIPS）结构，在这基础上实现网格入侵防御系统（GIPS）。
　　3.网格入侵防御系统（GIPS）
　　3.1网格入侵防御系统的结构
　　网格入侵防御系统中各部分功能描述如下。
　　3.1.1 IPS节点
　　所有进入网格内部的数据都要通过IPS节点，IPS节点负责采集高速数据，并对数据进行过滤分析。
　　3.1.2调度机
　　分发IPS节点采集的数据到IPS分析机群，根据IPS分析机群中各分析机的负载情况，按照负载均衡的原则，将数据流分发到各分析机。
　　3.1.3 IPS分析机群
　　IPS分析机群由多台入侵分析的机器组成，多台分析机组成一个机群系统，共同对大量的数据进行检测分析。
　　3.1.4 IPS日志服务器和升级服务器
　　我们IPS系统中其日志服务器是远程管理的，这种结构有利于我们统一管理各用户，也便于所有的资源共享，比如，一旦通过日志服务器发现任何一个用户的误报情况，我们就可以把这信息共享给所有用户。
　　3.2网格入侵防御系统的实现
　　网格入侵防御系统设计和实现的核心部分在于IPS节点对攻击数据的阻断，IPS分析机群的入侵防御和调度机调度算法的设计与实现。下面给出核心部分的设计与实现过程QheR7RJi5DXcPHOusO7GNUyieQVCf2WsZfOeIi85i34=。
　　3.2.1 IPS节点的设计与实现
　　IPS节点是在FreeBSD系统上来实现其系统，包括以下几个组成部分。
　　桥架，通过C语言实现。这是因为它的速度和容易与FreeBSD系统和过滤引擎通信。桥架是与网络接口互动作用，把数据传给过滤引擎处理，桥架将会确保所有到达IPS节点的数据包，将会被listen（）所接受。使用桥架技术，这样使得IPS节点采用的是MAC地址，本身就不需要IP地址，从而IPS节点更加安全，不易受到攻击。
　　过滤引擎，是柏克莱数据包过滤器（Berkeley Packet Filter）机制对数据过滤。过滤掉些不相关的数据，减轻分析机的处理负担。
　　管理控制平台，是联系升级和日志服务器。Mastersocket函数提供给接收来自升级和日志服务器的指令功能。
　　监视卡，如果IPS节点发生异常的情况（举例来说磁盘损坏，处理器失效，记忆故障，停电等等），监视卡将会旁路IPS硬件。这一功能确保在IPS节点发生异常时网格能正常通信。
　　3.2.2 IPS分析机群的入侵防御系统的设计与实现
　　IPS分析机群的入侵防御系统也是在FreeBSD系统上来实现。其核心的部分是规则引擎，对数据报进行分析，检测数据是否含有攻击数据。在规则引擎的设计中，运用协议分析技术提高了检测的准确性和效率。图2是协议分析的模块。
　　协议分析技术利用网络协议的高度规则性快速探测攻击的存在。这种技术所需的计算量大量减少，即使在高负载的网络上，也可以探测出各种攻击，并对其进行更详细的分析而不会丢包，更适合于高速的网络环境。
　　3.2.3调度算法的设计与实现
　　调度机实现资源调度，我们提出负载函数L（t），根据给出的些负载参数，比如：分析机的CPU使用情况C（t），分析机的内存使用率M（t），剩余数据包的量R（t），等等。通过这些参数来设计高效的算法，合理的来分配资源。这里给出了一个简单的模型：L（t）=C（t）+M（t）+R（t）。目前我们负载函数还有待进一步研究。
　　3.2.4测试
　　在测试中我们把系统放到真实的网格环境中来，其中被保护的网格资源服务器的IP地址是218.80.193.141。监视日志服务器的日志情况，在很短的时间内就发现大量的攻击存在。图3是GIPS系统测试时得到的部分日志情况。
　　其中Port：攻击端口号，Count：攻击的次数，Data：阻断的攻击数据。
　　4.结语
　　本文提出了在网格环境中部署入侵防御系统，通过入侵防御的技术的运用，进一步提高网格的安全性能。本文给出了网格入侵防御系统的结构，并在此基础上基本实现了这个系统，特别是在该系统中的入侵检测的过程中运用协议分析技术，大大提高了检测的准确率。在后面的工作中我们将需要进一部完善分析机群的协同工作，使其提高处理能力。
　　
　　参考文献：
　　［1］Geng Yang，Chunming Rong，and Yunping Dai：A Distributed Honeypot System for Grid Security.M.Li et al.（Eds.）：GCC 2003，LNCS 3032，pp.1083—1086，2004.
　　［2］Fang-Yie Leu，Jia-Chun Lin，Ming-Chang Li，Chao-Tung Yang：A Performance-Based Grid Intrusion Detection System.Proceedings of the 19th International Conference on Advanced Information Networking and Applications（AINA’05）1550-445X/05.
　　［3］M.Tolba，M.Abdel-Wahab，I.Taha，and A.Al-Shishtawy， “Distributed Intrusion Detection System for Computational Grids”Second International Conference on Intelligent Computing and Information Systems，March，2005.
　　［4］M.F.Tolba M.S.Abdel-Wahab I.A.Taha A.M.Al-Shishtawy：GIDA：Toward Enabling Grid Intrusion Detection Systems.
　　［5］I.Foster，C.Kesselman，G.Tsudik，S.Tuecke：A Security Architecture for Computational Grids.
　　［6］聂林，张玉清.入侵防御系统的研究与分析.全国网络与信息安学术研讨会，2004.
　　［7］刘国华.网格环境下分布式入侵检测技术的应用.档案学通讯，2004.
　　［8］房向明，杨寿保，郭磊涛，张蕾.网格计算系统的安全体系结构模型研究.计算机科学，2009.2.15：763-65.