基于测量的网络安全平台

　　面对网络安全的严重威胁,防火墙、入侵检测系统和防毒软件之类的个体的、被动的防范策略已经无法满足对安全较敏感的企业,甚至不能满足普通用户的需要[1,2]。既然网络已经成为国家信息基础设施,那么网络的安全保障也就必须在全网范围内,以面向网络和所有网络用户的方式,采用纵深的、协同的手段,为用户提供一种公共的基础设施,以支持面向公众的网络安全服务。换言之,网络安全服务应当是由ISP提供的基本服务的一部分,提供网络安全服务的基础设施应当与通信设施一同建设,需要精心设计和实施。目前还缺乏这样一种提供安全服务的基础设施。

　　1　MbNSP:一种网络安全基础设施

　　1.1　MbNSP的概念

　　基于测量的网络安全平台MbNSP(measure-

　　ment-based network security platform),是以网络测量为基本手段,收集和分析计算网络实体的安全特性,为应对网络中各类已有或潜在的安全威胁提供检测、追踪和响应等基本服务支持的网络基础设施。

　　通用网络安全服务UNSS(universal networksecurity service)则是指在MbNSP上,面向用户或网络提供的应对诸如网络攻击、蠕虫、病毒、垃圾邮件、安全漏洞、网络入侵等安全威胁的一系列通用的安全服务。如,安全检测服务、安全追踪服务、安全响应服务及安全扫描服务等。其目的是为用户和网络构建一个安全可靠、健康顺畅的网络环境,最大限度地维护用户和ISP的利益,遏制网络威胁带来的潜在危害。

　　1.2　与网络安全产品的对比

　　现有的安全产品大多是基于单点来防范网络威胁的。其防范过程大致分为3个阶段,即实时监测、预警和响应。如图1所示安全设备在经过适当的配置后,开始实时监测网络。一旦发现可疑事件,在本

　　地进行预警,并作出被动的响应,如控制流量、修改访问策略等。这种防范只是在可疑行为流已经到达目标主机或网络时采取防范措施,以避免可疑行为对目标主机或网络的影响,如图2所示。但该可疑行为流及其潜在威胁依然存在,仍然可以危害其他的目标网络或主机。另一方面,如果安全设备的本地响应措施不十分得力,或者网络安全设备本身不健壮,在面对某些攻击,特别是分布式拒绝服务攻击时,这些安全设备往往无法起到实际作用。

　　与单点防范相对的是,网络安全服务是在基于测量的网络安全平台MbNSP上面向全网范围防范网络威胁的。其防范过程可分为6个阶段,即实时监测、预警、本地被动响应、追踪、定位和远程主动响应,如图3所示。安全设备,即MbNSP中的安全探针,加入安全服务体系后,接受监测中心的统一调度。监测中心通过策略系统向各探针分发监测任务。探针在监测中可疑行为后,启动本地被动响应,同时向监测中心发出预警。监测中心根据预警启动追踪机制,对可疑行为的源头进行追踪,进而定位可疑行为源(网络)。最后,监测中心向可疑行为源所在的网络启动远程主动响应,将可疑行为流限制在本地网内,从而能将可疑行为带来的危害降至最低。网络安全服务的防范过程如图4所示。