【IT168 技术文章】

    分布式实时安全性监控

    对组件技术安全性应用感兴趣的程序员和软件开发人员应该关注正在美国斯坦福国际研究所 (SRI)，位于美国加利福尼亚州 Menlo Park 的一家非赢利研究所，进行的工作。

    斯坦福研究所 (SRI) 已受命于国防高级研究项目局 (DARPA) 来开发使用组件技术在企业网络中分布实时安全性监控的方法。

    按 Phillip Porras（SRI 的网络安全性计划主任）的说法，在 DARPA 的项目，名为 Event Monitoring Enabling Responses to Anomalous Live Disturbances (EMERALD)，中出现的组件能对各种规模的网络提供非正常和滥用检测。

    MERALD 的侵入检测体系结构基于软件组件，这些组件处理对各种各样的外部和内部威胁所作的实时检测、分析和响应。更进一步，还将 EMERALD 组件设计成是独立、动态可部署、易于可配置并可广泛互操作，Porras 说道。

    “我们自己开发了 EMERALD 的方法，作为分解侵入检测过程的方式”，Porras 指出。“确实还没有商业性产品对这类问题使用基于组件的设计”，他说。“大多数供应商都不采用这种方法。他们只想让顾客购买单一产品。DARPA 在该领域的工作一直处于领先。”

    作为该工作的一部分，SRI 还在构建一种基于组件的相关引擎，该引擎可以位于网络中的任何位置，并订阅由独立的基于组件的传感器所产生的警报。“然后，您可以构建与该信息关联的模块，查询警报内的关系，并通过分析警报流内的属性来发现元问题”，他说。

    EMERALD 出众之处

    无论是进行国际范围的信息战还是要简单地防止年轻人在公司网络上运行“孩子脚本”，程序员都可以在整个网络部署 EMERALD 组件来生成警报，防止拒绝服务和不可用损失，并分析从安全性违规和侵入事件收集的数据。“例如，可以在任意数量的 Solaris 机器上安装轻量级 Host-IDS 组件。每一个传感器都作为本地安全性守护程序工作，防止在内部滥用其主机，同时允许远程订户组件提供域层分析和响应”，Porras 说。

    一旦就位，EMERALD 组件就独立地与应用日志和网络服务一起工作，以监控操作系统和网络层上的事件。“可以将它们战略性地放置在网络中，而不是放置在可能会被所有进入的中央通信淹没的网络较高级别上”，Porras 说。可以将 EMERALD 安全性组件嵌入到与外界通信的应用中，从而允许网络管理员使用来自部署在整个网络中大量小型传感器的信息。

    EMERALD 安全性组件还可以帮助用户分析通信流量，直接从传输控制协议 (TCP) 通信流收集简单邮件传送协议 (SMTP)、文件传送协议 (FTP) 和 Web 服务器数据。“对于要处理安全套接字 (SSL) 和密码术的 Web 通信，我们已经创建了一个嵌入式组件来解密 Apache Web 服务器通信，现在我们正将其扩展到 Netscape 的 Web 服务器”，Porras 说。EMERALD 组件被设计成在如 Solaris 和 Linux 等的 UNIX 类操作系统上运行。

    为什么使用组件

    根据 Porras 的说法，企业网络在传统上依赖于单一的体系结构来实现注重 TCP 包集中分析或审查日志跟踪的侵入检测系统。这种方法直到 90 年代还占据优势，因为侵入检测社区主要使用大型机。然而，一旦出现了分布式计算环境，单一方法的问题就开始出现。

    “单一方法在实时监控时不具良好的可伸缩性，因为它意味着您必须以某种方式集中定位所需的所有数据才能运行侵入检测算法”，Porras 说。“跟上实时数据确实很困难，特别在处理密码术和交换网络时更是如此”，他说。

    对于 Porras 和他的同事 Peter Neumann 而言，EMERALD 的组件方法提供了取代单一策略的理想方法，因为它允许程序员将轻量级嵌入式安全性组件引入网络，并从各种来源收集数据。除了为侵入检测提供更全面的方法之外，EMERALD 组件还帮助缓解升级和维护网络安全性特性的负担。“当出现新的传感器时，可以替换旧的传感器［组件］，这要比替换整个系统容易得多”，Porras 说。

    全局考虑

    虽然 Porras 和 Neumann 发现，EMERALD 的分布式组件方法在监控本地活动时很出色，但他们还认识到，生成的大量信息有时会使获得网络活动的全局景象变得困难。这导致他们发明一种安全性组件与独立的分析引擎协同工作的解决方案。“当分析引擎产生侵入报告和警报时，安全性组件将这些报告和警报转发到其它组件，以显示、响应、关联和记录数据日志，这样就提供了网络中当前情况的全局景象”。Porras 说。“我们已经转移到某种形式的‘订阅模型’，该模型中有想听到生成警报的‘订户’（在网络中）、和生成侵入警报的‘生产者’或传感器组件”，他说。

    Porras 相信，订户／生产者范例还可以用于其它应用，如网络管理和性能／可用性管理。例如，作为受管服务供应商或操作远程 MIS 组的公司，可以通过收集来自分布式组件的数据，洞察发生在本地管理域级别上的活动。他们还可以查看各个组织的活动，并将一个组织内的活动与另一个组织内的活动做比较。这种能力将帮助他们分离出趋势和共有问题。“这种基于组件的设计可以使任何要分发收集信息并将其向上传播的本地传感器的应用受益，并允许您获取每一层正在发生事情的更全面的视图”，他说。

    可用的组件

    SRI 计划逐步向公众发布选定的 EMERALD 组件。目前可以从 SRI 的网站下载一个这样的组件，eXpert-BSM（请参阅参考资料）。eXpert-BSM，作为安全性守护程序的基于主机的小型传感器，特别适合于检测 Solaris 操作系统上的滥用”，Porras 说。因为 SRI 是非赢利研究所，所以可在其 Web 站点获得的组件在发布时是不向公众收费的。“如果我们不在因特网上提供某些组件，那么我们仍将向［政府组织］和整个 DoD 研究界提供”，Porras 说。

    SRI 还在考虑发布其 eBayes-TCP 组件，该组件基于随机推理引擎，这种引擎可用来检测指明系统故障或系统探测的网络现象。它有助于防止网络秘密探测以及意外或恶意的［数据］泛滥”，Porras 说。eBayes-TCP 组件还可以检测网络中的系统服务损失、新服务的创建以及通信通道。另外，它还可以作为可用性监视器，检测系统何时在线以及何时掉线。

    eXpert-Net 是 SRI 将在明年早期向学术机构发布的 EMERALD 组件。SRI 还将向“任何要运行它的政府组织”提供它，Porras 说。eXpert-Net 是“基于签名”的组件，设计成在超文本传输协议 (HTTP)、FTP、SMTP、低层 TCP、用户数据报协议 (UDP) 和网际控制报文协议（ICMP）通信上检测侵入。“eXpert-Net 是小型组件，可将其添加到 FTP 或 Web 服务器中来生成有关任何 HTTP 或 FTP 数据的警报”，Porras 说。eXpert-Net 还可以在受 SSL 保护的 HTTP 通信上执行安全性监控。“这是相当独特的功能，我没听说过其它任何人这样做”，Porras 指出。我们还集成了到 Web 服务器的扩展，有了那些扩展，还提供了将其事务传递到侵入检测引擎的能力。”

    Porras 预言，在今后几年中，安全性领域将有更多致力于监控和安全性服务的组件化的活动，以及致力于网络安全性的可视产品开发”。作为安全性专家，他还警告：在现今的网络环境中，“您”将需要能够在某人进行滥用时进行识别的应用程序和操作系统。这正是 EMERALD 所要做的全部。

    参考资料

有关 EMERALD 安全性组件的详细信息，请造访 SRI 网站。
阅读 SRI 的项目概述和至更多信息的链接。
下载 EMERALD 组件。（正在开发更多发行版。）