求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
  
 
 
 
一种新的综合安全管理架构的设计与实现
 

2010-11-25 作者:胡威 李建华 陈波 来源:万方数据

 

1引言

异构网络的管理是网络管理中无法回避的问题。作为网络管理一个重要分支,安全管理正逐步取代传统意义上的网络管理。它涵盖对底层物理设备的效能管理和高层对物理设备、网络状况的态势和策略的管理。安全管理从更加宏观的角度去考虑整个网络的运营情况,提供给管理者的不仅仅是当前网络物理设施的运转信息,还要提供网络发展综合态势信息。网络综合安全管理系统的目的就是为了给网络管理者提供一个管理安全设备、感知安全态势和评估安全风险的平台。但是当前大多数的安全管理平台提供的仅是大量的系统信息和底层数据,对其进一步处理依然存在着很大的问题。
这里将对安管平台在目前应用中存在的一些问题进行讨论,提出一种新的集成数据融合和数据挖掘技术的安全框架——安全管理网(Security Management Network),并结合J2EE分布式技术加以实现,以解决目前安全管理应用中存在的问题。

2 SMN的系统体系结构

安全管理平台应具有容错性、易用性和可扩展性。现有的综合安全管理系统通常是在设备内嵌入代理和在网络内设置传感器负责底层安全设备的事件采集和初级的过滤,然后提交至安全管理应用服务器进行进一步处理和统计,由安全管理人员通过客户端工具或Web浏览器对安全事件进行可视化的管理。这种结构中,安全管理应用利用现有的网络拓扑,传递所需的安全管理信息及操作,执行以SNMP为协议的网络管理。当网络的安全遭受威胁的时候,安全管理系统也处于一种瘫痪状态,而无法执行正确的操作和及时的反映。现有安全管理操作主要利用SNMP协议,而其内容过于简单,对网络事件的处理需要更多管理人员的经验支持。这使安全管理系统在管理层面上不能满足管理人员的要求,而只能作为一种实时监控系统存在。且日益复杂的安全管理应用的海量信息交换,也势必会加大网络的负担。此时需要一种新的管理架构,它能够独立于受管网络,是一个独立的数据通信网络。为受管网络的安全设备提供统一接入方式,从受管网络中获取数据及安全事件信息,在内部各应用之间交换数据,进行数据共享,针对网络现状执行适当的决策,及时响应并反馈至受管网络。

首先,结构独立的数据通信网保证了安全管理网络的健壮性和容错性。它独立在受管网络之外,使安全管理可以不受网络状况制约,能够对受管网络态势做出准确判断。其次,为安全设备提供了统一的、开放的接口,可以保证各类安全设备的无缝接入,也使安管系统在同级或上下级之间的交互成为可能。现有的安全设备并没有提供这样的专用管理接口,仅提供了网络接口。这样的接入方式,不利于安管系统的扩展。
再次,安全管理系统需要对网络采集的海量信息进行大量的过滤,融合和挖掘,才能从中获取一些统计及态势信息。这就要求安全管理网必须具有很强的数据处理能力。从获取原始数据到最后形成的可视化描述信息,需要多个应用服务器之间交换大量数据。统一的专用网络能够保证海量信息处理的实时性。

3安全事件处理过程及组件

网络管理人员并不满足于网络安全综合管理系统仅仅处理一些底层数据和运行数据,而是要求一种对网络状况的更加高级的描述形式。同时,海量的安全事件也充斥着大量的不可靠信息。为了对网络运营状况进行准确的分析,安全管理网采用了相关的数据处理技术。使用数据挖掘和融合技术,可以解决目前存在安全综合管理系统中的问题。安全事件的管理核心是数据关联,这种关联是一种基于规则的关联。数据挖掘技术可以对海量数据进行筛选,过滤,最终形成规则库。融合技术可以对多传感器传递上来的数据进行初步判决,最终获得对态势的最优估计,从而对系统的安全态势及风险进行初步评定。

SMN中,网络事件的原始数据由传感器或嵌入代理采集,安全设备的系统信息由专用接口提供。原始数据在经由高速数据通道直接进入数据仓库进行存储备份的同时,在另一条高速数据通道中经过安全事件的整合处理进入安全管理的应用服务器,形成更高级的描述信息反馈给网络安全管理人员,达到实时处理的目的。
原始数据首先经过初步的数据规整,并根据预先的格式定义,统一各种类型的安全数据,剔除冗余信息,形成有意义的安全事件序列。然后到达初级数据融合模块,对多个传感器提交上来的安全事件进行融合,以获取初步的网络行为及态势信息。将融合的结果提交给安全分级模块,利用脱机数据挖掘形成的规则库中的分类规则进行安全事件的归纳分类。再利用挖掘及融合算法,得出网络安全态势及风险模型。这部分的工作均是机器在无指导下独立完成,可以形成机器可以辨识的结论。从业务会话开始,将介入人的因素。安全模型及融合结果同安全管理应用结合在一起,最终形成可视化的图形信息,显示在管理人员的控制台上。这个过程涉及了海量数据的分析、计算和交换,安全管理网管理系统和受管网络在架构上的独立性,起到了很好的分流作用,减轻了受管网络的流量负担。

安全管理实质上是一种对安全事件的实时分析管理及响应。一个安管平台可用与否的关键是安全事件处理的效率
及准确性。安全管理网其独立于受管网络的特点,可以快速、高效地完成对整个安全事件流的处理。网络中的安全事件以多种形式(如SNMP、SYSLOG、XML)存在,要保证底层通信与网络安全协议无关,必须有一个强力的事件采集组件和相应的事件处理机制。图3描述了安全事件的流处理方案。事件流处理过程包括事件采集、整合、可视化及实时和非实时处理等组件和模块。整个过程结合了数据挖掘和融合技术。实时模块主要执行安全事件的融合,使用已知的入侵检测模板和识别模式,其融合结果为基于历史数据的当前系统状态。而非实时模块主要的是离线的数据挖掘过程,其主要功能是从历史数据未检测出的入侵中发觉隐藏的模式以便建立新的入侵检测模板,给整个事件融合处理提供决策支持。实时和非实时模块相互之间并不孤立,而是在处理过安全事件流处理程中提供相互的数据支持。分析的结果,将由可视化组件规整,最终形成管理人员监控窗口中的文字、图形信息,或是直接同告警响应模块交互,实现不同形式的警告和干预操作。整个事件流分析最终形成一个闭环的自反馈系统,对安全事件的分析、检测到响应可以保证系统的自我完善。

4系统实现方案

安全管理网较之现有的安全管理系统,在结构上提供了利用定义的管理协议进行各应用间的数据交换,有利于新技术在管理网中的应用,方便了管理规模的扩充和技术的提升。文中采用J2EE平台来完成安全管理网系统的构建。J2EE平台提供了一个多层结构的分布式的应用程序模型,该模型具有重用组件的能力、基于扩展标记语言(XML)的数据交换、统一的安全模式和灵活的事务控制。基于组件并与平台无关的J2EE体系结构使J2EE应用程序更易于开发和部署,可以将安全应用逻辑封装在可重用的组件内。安全应用服务器以容器的形式为每一个安全应用组件提供底层服务,这些底层服务的接口及协议是由J2EE平台提供的,并不需要额外的开发。这样整个管理平台可以摆脱应用结构的束缚,在功能扩展上具有一定优势。
现有的一些成熟的商业应用多采用这样的结构:使用C语言等可被操作系统直接解释的高级语言进行底层数据
的处理,以保证底层数据处理的效率;用Java等需要运行的形式。安全管理平台也可以采用这样的部署,从而进一步在安全事件处理的环节上提高效率。利用C语言开发代理嵌入安全设备,并提供设备信息的获取接口,利用预先定义的协议同J2EE平台中的应用组件进行底层通信。面向管理用户的可视化部分则由具有丰富的图形界面处理能力的Java来丰富管理操作,规范人机交互。

在J2EE平台实现图中,J2EE平台将底层数据的采集同网络层以上的业务,事务应用分开,利用分布式结构完成各应用的部署,可以满足安全管理中更高层的应用需求。应用的组件封装了处理的事务逻辑,批量部署在J2EE所提供的容器中,代表了应用的数据,并且操作这些应用数据,利用容器的接口实现信息交互;实体EJB代表了应用实体,如:安全设备,安全事件,安全规则等。Session EJB提供了一些方法对管理人员的行为进行限定,如管理用户的登陆、登出,操作的权限管理等。传统的JavaBean组件在这里变成了值对象,用来在EJB组件和安全应用间传递数据。XML文档类则用来处理数据信息。J2EE平台在商业应用中已经有了诸多成功的案例。平台提供了许多成熟的开发模式和框架,如MVC(模型-视图-控制器)模式都可以在代码的开发中利用。

5结论

网络规模的不断发展促进了网络技术的提升,大规模的商业应用必然对安全提出需求。安全管理的发展趋势也必然脱离目前在网络管理中的辅助地位,从单一应用脱离出来,成为一个独立完整的应用框架。安全管理网借鉴了TMN的管理模式,同受管资源分开,满足了安全管理的健壮性和可扩展性要求,保证了商业网络在扩展时安全管理系统的平滑过渡。




专家视角看IT与架构
软件架构设计
面向服务体系架构和业务组件
人人网移动开发架构
架构腐化之谜
谈平台即服务PaaS


面向应用的架构设计实践
单元测试+重构+设计模式
软件架构师—高级实践
软件架构设计方法、案例与实践
嵌入式软件架构设计—高级实践
SOA体系结构实践


锐安科技 软件架构设计方法
成都 嵌入式软件架构设计
上海汽车 嵌入式软件架构设计
北京 软件架构设计
上海 软件架构设计案例与实践
北京 架构设计方法案例与实践
深圳 架构设计方法案例与实践
嵌入式软件架构设计—高级实践
更多...