UML软件工程组织 |
EMERALD 基于组件的网络安全性方法 |
Claude
J. Bauer 自由撰稿技术记者 2001 年 1 月 |
分布式实时安全性监控 对组件技术安全性应用感兴趣的程序员和软件开发人员应该关注正在美国斯坦福国际研究所 (SRI),位于美国加利福尼亚州 Menlo Park 的一家非赢利研究所,进行的工作。 斯坦福研究所 (SRI) 已受命于国防高级研究项目局 (DARPA) 来开发使用组件技术在企业网络中分布实时安全性监控的方法。 按 Phillip Porras(SRI 的网络安全性计划主任)的说法,在 DARPA 的项目,名为 Event Monitoring Enabling Responses to Anomalous Live Disturbances (EMERALD),中出现的组件能对各种规模的网络提供非正常和滥用检测。 MERALD 的侵入检测体系结构基于软件组件,这些组件处理对各种各样的外部和内部威胁所作的实时检测、分析和响应。更进一步,还将 EMERALD 组件设计成是独立、动态可部署、易于可配置并可广泛互操作,Porras 说道。 “我们自己开发了 EMERALD 的方法,作为分解侵入检测过程的方式”,Porras 指出。“确实还没有商业性产品对这类问题使用基于组件的设计”,他说。“大多数供应商都不采用这种方法。他们只想让顾客购买单一产品。DARPA 在该领域的工作一直处于领先。” 作为该工作的一部分,SRI 还在构建一种基于组件的相关引擎,该引擎可以位于网络中的任何位置,并订阅由独立的基于组件的传感器所产生的警报。“然后,您可以构建与该信息关联的模块,查询警报内的关系,并通过分析警报流内的属性来发现元问题”,他说。 EMERALD 出众之处 一旦就位,EMERALD 组件就独立地与应用日志和网络服务一起工作,以监控操作系统和网络层上的事件。“可以将它们战略性地放置在网络中,而不是放置在可能会被所有进入的中央通信淹没的网络最高级别上”,Porras 说。可以将 EMERALD 安全性组件嵌入到与外界通信的应用中,从而允许网络管理员使用来自部署在整个网络中大量小型传感器的信息。 EMERALD 安全性组件还可以帮助用户分析通信流量,直接从传输控制协议 (TCP) 通信流收集简单邮件传送协议 (SMTP)、文件传送协议 (FTP) 和 Web 服务器数据。“对于要处理安全套接字 (SSL) 和密码术的 Web 通信,我们已经创建了一个嵌入式组件来解密 Apache Web 服务器通信,现在我们正将其扩展到 Netscape 的 Web 服务器”,Porras 说。EMERALD 组件被设计成在如 Solaris 和 Linux 等的 UNIX 类操作系统上运行。 为什么使用组件 “单一方法在实时监控时不具良好的可伸缩性,因为它意味着您必须以某种方式集中定位所需的所有数据才能运行侵入检测算法”,Porras 说。“跟上实时数据确实很困难,特别在处理密码术和交换网络时更是如此”,他说。 对于 Porras 和他的同事 Peter Neumann 而言,EMERALD 的组件方法提供了取代单一策略的理想方法,因为它允许程序员将轻量级嵌入式安全性组件引入网络,并从各种来源收集数据。除了为侵入检测提供更全面的方法之外,EMERALD 组件还帮助缓解升级和维护网络安全性特性的负担。“当出现新的传感器时,可以替换旧的传感器[组件],这要比替换整个系统容易得多”,Porras 说。 全局考虑 Porras 相信,订户/生产者范例还可以用于其它应用,如网络管理和性能/可用性管理。例如,作为受管服务供应商或操作远程 MIS 组的公司,可以通过收集来自分布式组件的数据,洞察发生在本地管理域级别上的活动。他们还可以查看各个组织的活动,并将一个组织内的活动与另一个组织内的活动做比较。这种能力将帮助他们分离出趋势和共有问题。“这种基于组件的设计可以使任何要分发收集信息并将其向上传播的本地传感器的应用受益,并允许您获取每一层正在发生事情的更全面的视图”,他说。 可用的组件 SRI 还在考虑发布其 eBayes-TCP 组件,该组件基于随机推理引擎,这种引擎可用来检测指明系统故障或系统探测的网络现象。它有助于防止网络秘密探测以及意外或恶意的[数据]泛滥”,Porras 说。eBayes-TCP 组件还可以检测网络中的系统服务损失、新服务的创建以及通信通道。另外,它还可以作为可用性监视器,检测系统何时在线以及何时掉线。 eXpert-Net 是 SRI 将在明年早期向学术机构发布的 EMERALD 组件。SRI 还将向“任何要运行它的政府组织”提供它,Porras 说。eXpert-Net 是“基于签名”的组件,设计成在超文本传输协议 (HTTP)、FTP、SMTP、低层 TCP、用户数据报协议 (UDP) 和网际控制报文协议(ICMP)通信上检测侵入。“eXpert-Net 是小型组件,可将其添加到 FTP 或 Web 服务器中来生成有关任何 HTTP 或 FTP 数据的警报”,Porras 说。eXpert-Net 还可以在受 SSL 保护的 HTTP 通信上执行安全性监控。“这是相当独特的功能,我没听说过其它任何人这样做”,Porras 指出。我们还集成了到 Web 服务器的扩展,有了那些扩展,还提供了将其事务传递到侵入检测引擎的能力。” Porras 预言,在今后几年中,安全性领域将有更多致力于监控和安全性服务的组件化的活动,以及致力于网络安全性的可视产品开发”。作为安全性专家,他还警告:在现今的网络环境中,“您”将需要能够在某人进行滥用时进行识别的应用程序和操作系统。这正是 EMERALD 所要做的全部。 参考资料
关于作者
|
版权所有:UML软件工程组织 |