摘要:云計(jì)算是基于互聯(lián)網(wǎng)的超級計(jì)算模式,也是互聯(lián)網(wǎng)及網(wǎng)絡(luò)安全的一項(xiàng)新技術(shù)和發(fā)展趨勢�。本文在分析云計(jì)算的特點(diǎn)�、形式和IPS技術(shù)的基礎(chǔ)上,概述了云安全優(yōu)勢及核心技術(shù),并提出了新的基于云計(jì)算的與防火墻聯(lián)動的智能NIPS結(jié)構(gòu)及特點(diǎn),對于網(wǎng)絡(luò)安全高新技術(shù)的研究和發(fā)展具有重要意義。
云計(jì)算(Cloud Computing)是通過互聯(lián)網(wǎng)提供計(jì)算資源環(huán)境和服務(wù)的實(shí)現(xiàn)方式,是基于互聯(lián)網(wǎng)的超級計(jì)算模式�。可以將存儲于計(jì)算機(jī)����、移動電話和其他設(shè)備上的大量信息及處理器資源聚集、協(xié)同工作快速處理��。主要是以一種分布式計(jì)算技術(shù),通過網(wǎng)絡(luò)將龐大的計(jì)算處理程序自動分拆成多個子程序,再由多部服務(wù)器所組成的龐大系統(tǒng),經(jīng)過協(xié)同搜索、計(jì)算和分析處理后將結(jié)果回傳給終端,真正充分實(shí)現(xiàn)網(wǎng)絡(luò)資源共享[1]��。
完整的云計(jì)算是一個動態(tài)的計(jì)算體系,提供托管的應(yīng)用程序環(huán)境,可以實(shí)現(xiàn)動態(tài)部署����、動態(tài)分配或重分配計(jì)算資源,實(shí)時監(jiān)控、安全特征識別與防護(hù),查殺病毒等,以期達(dá)到網(wǎng)絡(luò)資源的高效使用和安全防護(hù)��。是分布式處理����、并行處理和網(wǎng)格計(jì)算的發(fā)展和新應(yīng)用。
Amazon的AWS(Amazon Web Services)����、Google的GAE(Google App Engine)、IBM的Blue Cloud��、瑞星2009等實(shí)際都是一種云計(jì)算應(yīng)用,不僅擁有分布式的計(jì)算環(huán)境,而且可以通過互聯(lián)網(wǎng)提供服務(wù),并能實(shí)現(xiàn)動態(tài)的資源分配和各種云計(jì)算需求����。
本文在分析云計(jì)算的特點(diǎn)、類型和IPS (Intrusion Prevention System)技術(shù)的基礎(chǔ)上,概述了云安全優(yōu)勢及核心技術(shù),提出了新的基于云計(jì)算的智能NIPS結(jié)構(gòu)及特點(diǎn)����。
1云計(jì)算的特點(diǎn)及類型
1.1云計(jì)算的特點(diǎn)
云計(jì)算具有3個特性:對計(jì)算資源進(jìn)行動態(tài)切割及動態(tài)分配�、以Web為中心�����、交付服務(wù)���。它提供了遠(yuǎn)超越計(jì)算和存儲本身的服務(wù),除了包括以服務(wù)為交付模式的計(jì)算和存儲基礎(chǔ)設(shè)施外,虛擬主機(jī)的租用��、社會關(guān)系網(wǎng)的數(shù)據(jù)信息服務(wù)���、商業(yè)流程�、應(yīng)用程序運(yùn)行環(huán)境、編程模型���、協(xié)同環(huán)境以及IT管理外包等各種模式都可列入云計(jì)算的范疇����。
Web是承載云計(jì)算的核心�����。Web結(jié)構(gòu)簡單并以超鏈接連接HTML文檔,以標(biāo)記語言描述和存放內(nèi)容及其之間的關(guān)系,非結(jié)構(gòu)化的存儲使其具備強(qiáng)大的描述能力�。利用TCP/IP�、HTTP等協(xié)議可以產(chǎn)生互動,并能將各種異構(gòu)系統(tǒng)相連����。用戶完全可以不用考慮整個IT體系后端運(yùn)行的操作系統(tǒng)、中間件和數(shù)據(jù)庫種類,只需一個簡單的URL及響應(yīng)的角色身份,即可得到所需信息����。盡管技術(shù)體系繁雜,相互之間存在差異,但整個業(yè)界唯一共同認(rèn)定的Web標(biāo)準(zhǔn),使Web成為承載不同業(yè)務(wù)、不同系統(tǒng)的云計(jì)算的唯一平臺[2,3]����。
云計(jì)算具有4個顯著特點(diǎn):
對客戶端設(shè)備要求低。云計(jì)算如同銀行存款一樣,提供了最可靠�����、最安全的數(shù)據(jù)存儲中心,用戶不用再擔(dān)心構(gòu)建網(wǎng)絡(luò)系統(tǒng)�����、數(shù)據(jù)丟失和病毒等����。
用戶使用便捷。“云”的另一端,有專業(yè)的IT人員維護(hù)硬件和軟件,幫助防范病毒和各類網(wǎng)絡(luò)攻擊,以及以往在客戶端所做的各種維護(hù)與管理。
易于實(shí)現(xiàn)數(shù)據(jù)與應(yīng)用共享��。在云計(jì)算的網(wǎng)絡(luò)應(yīng)用模式中,只將一份數(shù)據(jù)保存在“云”的另一端,用戶的數(shù)碼設(shè)備只需要連接互聯(lián)網(wǎng),即可同時訪問和使用同一數(shù)據(jù)���。
充分利用網(wǎng)絡(luò)的強(qiáng)大功能�。為存儲和管理數(shù)據(jù)提供了更充分的空間,也為用戶的各類應(yīng)用提供了更充分的計(jì)算能力���。
事實(shí)上,云計(jì)算多年來在很多領(lǐng)域取得了神奇效果,如迅雷快速下載技術(shù)�。隨著虛擬化和SOA在企業(yè)中的逐漸普及,靈活���、可擴(kuò)展的基礎(chǔ)架構(gòu)最終可以讓企業(yè)都成為“云”節(jié)點(diǎn)���。美國等國家正在推行學(xué)校云計(jì)算計(jì)劃,以“通用云計(jì)算服務(wù)”為學(xué)校帶來虛擬電腦桌面和“虛擬計(jì)算實(shí)驗(yàn)室”云計(jì)算平臺,包括在線使用教育資料、應(yīng)用軟件�、計(jì)算和儲存等�����。
1.2云計(jì)算的類型
云計(jì)算對不同的服務(wù)對象類型不同,主要包括以下7種類型[3]��。
SaaS�����。各種SaaS(Software as a Service,軟件即服務(wù))運(yùn)營商的服務(wù)平臺,基本都是用云計(jì)算構(gòu)建的。用戶利用云計(jì)算通過瀏覽器得到程序,可省去服務(wù)器和軟件授權(quán)上的開支,而供應(yīng)商只需要維持一個程序且減少成本��。
實(shí)用計(jì)算�����。開始在Amazon.com��、Sun����、IBM和其他提供存儲服務(wù)和虛擬服務(wù)器的公司中應(yīng)用?�?墒笽T行業(yè)創(chuàng)造虛擬的數(shù)據(jù)中心,將內(nèi)存��、I/O設(shè)備�����、存儲和計(jì)算能力聚集成一個虛擬的資源池,為整個網(wǎng)絡(luò)提供服務(wù)���。
網(wǎng)絡(luò)服務(wù)�。網(wǎng)絡(luò)服務(wù)提供者能夠提供API(Application Programming Interface,應(yīng)用程序編程接口)讓開發(fā)者研發(fā)更多基于互聯(lián)網(wǎng)的應(yīng)用,而不提供單機(jī)程序。
平臺即服務(wù)�����。云計(jì)算將開發(fā)環(huán)境作為一種服務(wù)進(jìn)行提供,為另一種SaaS����。可以使用中間商的設(shè)備來開發(fā)各自的程序,并通過互聯(lián)網(wǎng)用其服務(wù)器傳到用戶端����。
MSP。MSP(管理服務(wù)提供商)是一項(xiàng)最早的云計(jì)算應(yīng)用�����。它更多的是面向IT行業(yè)而不是終端用戶,常用于郵件病毒掃描�、程序監(jiān)控等。
商業(yè)服務(wù)平臺���。SaaS和MSP的綜合應(yīng)用,為用戶和提供商之間的互動提供了一個平臺�。如用戶開支管理系統(tǒng),能夠根據(jù)用戶設(shè)置來管理其開支并協(xié)調(diào)其訂購的服務(wù)����。
云計(jì)算集成。將互聯(lián)網(wǎng)上提供各類服務(wù)的公司進(jìn)行整合,使用戶能夠更方便地比較和選擇服務(wù)供應(yīng)商���。
2云安全優(yōu)勢及核心技術(shù)
2.1云安全的優(yōu)勢
“云安全(Cloud Security)”是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)和云計(jì)算新應(yīng)用,它融合了并行處理����、網(wǎng)格計(jì)算����、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,發(fā)送到Server端進(jìn)行自動分析和處理,再將解決方案發(fā)到每一個客戶端[4]���。
(1)為低成本用戶提供安全屏障��。其獨(dú)特屬性是對數(shù)據(jù)完整性��、數(shù)據(jù)恢復(fù)和隱私保護(hù)等方面給予多方面風(fēng)險評估���。通過將數(shù)據(jù)分別集中存儲在不同的數(shù)據(jù)中心,進(jìn)行統(tǒng)一管理,負(fù)責(zé)資源分配和部署、安全控制,執(zhí)行更安全可靠的實(shí)時監(jiān)控����。
(2)以預(yù)控機(jī)制確保信息安全。云計(jì)算平臺獨(dú)特的預(yù)控制機(jī)制,可極大地改善用戶工作環(huán)境����。當(dāng)用戶自定義當(dāng)前安全級別為“安全”或“可靠”時,可依靠第三方工具創(chuàng)建各自的VM鏡像,設(shè)置成不可被復(fù)制模式時,以特定需求還可在安全狀態(tài)下實(shí)現(xiàn)實(shí)時同步����。
(3)云環(huán)境實(shí)時監(jiān)測記錄����。云存儲可記錄需要的標(biāo)準(zhǔn)日志,可避免限制和收費(fèi)等隱患?��?筛鶕?jù)用戶的需要將日志記錄探測到動態(tài)信息中,根據(jù)實(shí)時索引進(jìn)行隨機(jī)監(jiān)測�。通過使用系統(tǒng)獨(dú)特的C2審核跟蹤模式支持?jǐn)U展日志記錄等功能,在保護(hù)系統(tǒng)資源安全情況下,允許用戶監(jiān)視對所有數(shù)據(jù)庫的訪問意圖����。
(4) SaaS安全性能測試。SaaS供應(yīng)商將對云平臺定期進(jìn)行安全性能測試,用戶將通過共享相同的應(yīng)用程序服務(wù),節(jié)約安全性測試費(fèi)用��。云平臺還為用戶提供定期對密碼強(qiáng)度進(jìn)行測試服務(wù),即時保證密碼強(qiáng)度的可靠性��。
(5)“云安全”更新傳統(tǒng)殺毒模式�����。“云安全”架構(gòu)的最大特點(diǎn)是將原來的殺毒變?yōu)榉蓝?��。用戶只要安裝了接入“云端”的殺毒軟件即可使終端變得很輕松,不用頻繁升級,也不必再為殺毒軟件而占用內(nèi)存和帶寬,而且可以極大地提高病毒樣本效率�����。
2.2云安全的核心技術(shù)
云安全網(wǎng)絡(luò)防護(hù)系統(tǒng)是新一代云客戶端安全基礎(chǔ)設(shè)施,與傳統(tǒng)方式相比,它可在最新威脅到達(dá)之前對其進(jìn)行攔截,實(shí)現(xiàn)安全智能化�����。主要利用“云安全”的7大核心技術(shù):Web信譽(yù)服務(wù)(WRS)�、郵件信譽(yù)服務(wù)(ERS)�、文件信譽(yù)服務(wù)(FRS)、行為關(guān)聯(lián)分析技術(shù)�、自動反饋機(jī)制、威脅信息匯總和病毒特征黑名單技術(shù)�����。其技術(shù)架構(gòu)的核心超越了攔截Web威脅的傳統(tǒng)方法,以WRS�����、ERS和FRS為基礎(chǔ)構(gòu)建的云客戶端安全架構(gòu),通過把大多數(shù)特征碼文件保存到互聯(lián)網(wǎng)云數(shù)據(jù)庫中并令其在端點(diǎn)處保持最低數(shù)量,借助全信譽(yù)數(shù)據(jù)庫,云安全可以按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁面����、歷史位置變化和可疑活動跡象等因素來指定信譽(yù)參數(shù),從而追蹤網(wǎng)頁的可信度���。可在Web威脅到達(dá)最終用戶網(wǎng)絡(luò)之前對其進(jìn)行檢測���、攔截和防護(hù)��。既降低了帶寬消耗,也提供了更快更全面的及時保護(hù)[4, 5]�����。
3云安全智能NIPS結(jié)構(gòu)
3.1IPS及NIPS技術(shù)
IPS是一種主動過濾���、智能入侵檢測、防范和訪問決策的入侵防護(hù)系統(tǒng),通過對數(shù)據(jù)包異常檢測,實(shí)時確定阻斷訪問��。以過濾器攔截試探攻擊系統(tǒng)弱點(diǎn)的任何操作,對網(wǎng)絡(luò)進(jìn)行多層��、深層�����、主動的防護(hù)以有效保護(hù)網(wǎng)絡(luò)安全[6]����。
IPS根據(jù)部署方式分為3類:基于主機(jī)的入侵防護(hù)系統(tǒng)HIPS(Host IPS)����、基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)NIPS(Network IPS)��、應(yīng)用入侵防護(hù)AIP(Application Intrusion Prevention)�����。
HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序,防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)和應(yīng)用程序;NIPS通過檢測網(wǎng)絡(luò)流量提供安全保護(hù),以在線連接方式檢測辨識入侵行為,實(shí)時確定阻斷訪問;AIP是NIPS的特例,它將HIPS配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上,擴(kuò)展成為位于應(yīng)用服務(wù)器之前的高性能網(wǎng)絡(luò)設(shè)備��。IPS技術(shù)具有四大特征:以嵌入模式運(yùn)行的IPS才能實(shí)時阻攔可疑數(shù)據(jù)包,實(shí)現(xiàn)實(shí)時安全防護(hù);通過對攻擊類型和策略等深入分析,確定攔截惡意流量;以高質(zhì)量的入侵特征庫確保高效運(yùn)行;具有高效處理數(shù)據(jù)包的能力�����。
NIPS具有4項(xiàng)關(guān)鍵技術(shù):一是主動防御技術(shù)�����。通過對關(guān)鍵主機(jī)和服務(wù)的數(shù)據(jù)進(jìn)行全面防護(hù)和加固,并適當(dāng)限制用戶權(quán)限,可主動識別已知攻擊�、拒絕惡意訪問,防范未知的攻擊行為��。二是同防火墻聯(lián)動技術(shù)��。通過接口調(diào)用,按協(xié)議進(jìn)行通信、傳輸警報,以開放接口實(shí)現(xiàn)聯(lián)動�。防火墻進(jìn)行第一層訪問控制防御,NIPS進(jìn)行第二層檢測入侵防御,濾掉惡意通信,并通知防火墻阻斷。另可將二者集成于一個平臺,在操作系統(tǒng)統(tǒng)一管理下有序運(yùn)行�����。所有數(shù)據(jù)接受防火墻規(guī)則驗(yàn)證同時被檢測判斷攻擊性,實(shí)現(xiàn)實(shí)時阻斷聯(lián)動���。三是綜合檢測方法�����。為避免誤操作���、阻塞合法網(wǎng)絡(luò)事件、造成數(shù)據(jù)丟失,以誤用檢測和異常檢測等多種檢測方法,最大限度地正確判斷已知和未知攻擊���。四是硬件加速系統(tǒng)�。以專用硬件加速系統(tǒng)高效處理數(shù)據(jù)包,以快速高效實(shí)現(xiàn)大流量復(fù)雜網(wǎng)絡(luò)的深度數(shù)據(jù)包檢測和阻斷功能[7]����。
3.2云安全智能NIPS的結(jié)構(gòu)
“云安全”分為兩類:一是特征庫或類特征庫在云端的儲存與共享;二是作為一個最新的惡意代碼、垃圾郵件或釣魚網(wǎng)址等的快速收集��、匯總和響應(yīng)處理的系統(tǒng)[5]。
“云安全”將用戶和智能技術(shù)平臺通過互聯(lián)網(wǎng)集成,組成一個木馬/惡意軟件及攻擊指令監(jiān)測����、查殺、防護(hù)安全網(wǎng)絡(luò)�。構(gòu)建新型云安全智能NIPS結(jié)構(gòu),如圖1所示。
云安全智能NIPS的主要功能為:通過“云安全”模式以瀏覽器與“安全云”進(jìn)行交互,訪問文件�、郵件或網(wǎng)站;以智能采集、識別���、特征提取等方式,自動分析判斷用戶所訪問資源的安全性,然后通過專家系統(tǒng)利用安全知識庫進(jìn)行深入分析和攔截抉擇,并將解決方案發(fā)到客戶端。對惡意文件或網(wǎng)站的處理同銀行體系的信用模式類似,利用對文件��、網(wǎng)頁等資源信息進(jìn)行信譽(yù)建模,予以智能監(jiān)控識別和防護(hù),然后對這些資源的信譽(yù)評級進(jìn)行判定���。“安全云”最關(guān)鍵工作是安全知識庫對收集的大量信息進(jìn)行數(shù)據(jù)挖掘,主要對文件����、URL以及電子郵件之間相互關(guān)聯(lián)信息的挖掘,進(jìn)行特征提取檢測判別,從而達(dá)到智能防護(hù)功能���。
4云安全智能NIPS的特點(diǎn)
智能NIPS主要具有6個特點(diǎn):①通過網(wǎng)站“云安全”殺毒軟件對各種病毒傳播行為進(jìn)行智能特征識別�����、監(jiān)控和分析,阻斷傳播通道,攔截病毒入侵;②通過對惡意網(wǎng)頁行為的智能監(jiān)控,阻攔木馬通過網(wǎng)站入侵用戶電腦;③以智能網(wǎng)絡(luò)防火墻,隨時更新入侵檢測規(guī)則庫,攔截來自互聯(lián)網(wǎng)的黑客及病毒的各種攻擊;④以特征庫與防火墻聯(lián)動,及時更新惡意網(wǎng)址庫,阻斷網(wǎng)頁木馬�����、釣魚網(wǎng)站等侵害;⑤以“云安全”木馬防御殺毒軟件,通過對木馬等病毒的行為分析,智能監(jiān)控未知木馬等病毒,防止其偷竊和破壞;⑥以專家系統(tǒng)�、知識庫與攻擊防御防火墻聯(lián)動,準(zhǔn)確阻止黑客攻擊企圖和其他行為,同時進(jìn)行實(shí)時響應(yīng)、系統(tǒng)記錄和審計(jì),并保護(hù)帶寬和系統(tǒng)資源不被惡意占用等����。
采用本地服務(wù)器群響應(yīng)、緩存支持和企業(yè)內(nèi)部云服務(wù)器同步等技術(shù),即可實(shí)現(xiàn)云安全智能NIPS問題����。基于“云安全”策略和“智能主動防御”技術(shù)開發(fā)的新一代互聯(lián)網(wǎng)安全防護(hù)系統(tǒng),可以將智能防護(hù)����、殺毒軟件與防火墻無縫集成、整體聯(lián)動,極大降低占用計(jì)算機(jī)資源,集“攔截���、防御����、查殺����、保護(hù)”多重防護(hù)功能于一身[8]���。如將所有安裝瑞星2009的電腦和瑞星“云安全”系統(tǒng)平臺實(shí)時聯(lián)系,通過互聯(lián)網(wǎng)組成覆蓋互聯(lián)網(wǎng)的病毒、惡意網(wǎng)址監(jiān)測網(wǎng)絡(luò),可在最短時間內(nèi)發(fā)現(xiàn)�、截獲、處理大量的最新病毒和惡意網(wǎng)址,并將解決方案瞬時送達(dá)所有用戶端,提前防范各種新生網(wǎng)絡(luò)威脅�����。(來源:中國管理信息化 文/賈鐵軍 編選:中國電子商務(wù)研究中心)
