摘要 该文介绍了分布式入侵检测、分布式防火墙两种技术，并在P2DR安全模型的基础上，提出基于统一策略的动态入侵防护系统体系框架。该文探讨了动态入侵防护系统面临的系统结构问题，讨论了系统的基本组成，提出了实现可扩展的安全信息交换、告警相关性分析和策略实施机制。
 
    一、 引言
    计算机网络的发展使计算机应用更加广泛和深入，但随之也使安全问题日益突出和复杂。当前，传统静态、孤立的安全防护模式已经不能适应动态变化、多维互连接的网络安全威胁。
    动态防护体系是现代信息安全理论的主流，它以PDR和P2DR安全理论模型为代表。其主要特点是在一定程度上允许系统存在漏洞，在尽最大可能消灭信息系统漏洞的同时，更重要的是强调及时发现攻击行为，实时消灭安全风险。
    入侵检测系统是网络安全基础设施的一个重要的组成部分，但在实际的配置和使用中仍然存在着一些问题：一方面，基于特征的入侵检测系统只有在及时更新特征库的前提下，才可以有效检测已知特征的网络入侵活动，但对于一些未知特征的网络入侵则无能为力。另一方面，基于异常的入侵检测系统可以有效检测一部分未知的入侵，但误报率高；再者，由于网络安全管理是独立实施的，因为入侵检测系统所产生的告警信息数据量大，大多网络系统没有充足的资源可以进行及时和正确的分析，因此及时检测入侵是很困难的。此外，对于近期互联网出现的协同式入侵这种新的入侵方式，各网络原有的入侵检测系统很难对此类攻击方式发挥有效的作用。
    对于入侵检测系统存在的问题， EMERALD提出了在大型网络内通过部署多个分布式探测点收集异常数据，进行告警相关性分析来有效地降低入侵检测的误警率；文献研究了多种告警相关分析方法，将大量的低级告警信息合成并表示为一些更易理解的高级入侵过程。
    在安全领域，人们关注的焦点是通过保护网络边界来阻止恶意代码的攻击。然而，由于内网、网络通道、客户端应用漏洞和不安全的网络设计等原因，使恶意代码能利用这些漏洞来访问边界保护内的主机。
    为了克服边界防火墙的缺陷并保留其优点, Steven M. Bellovin将分布式计算技术与防火墙技术相结合，提出了分布式防火墙(Distributed Firewalls)的概念，设计了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。
    本文提出一个以分布式入侵检测系统为核心，分布式防火墙为主要防护手段，并在实施统一策略的安全管理中心协调下实施联动的入侵防护系统体系结构，从而实现动态、实时地阻止入侵攻击。 
   
    二、 P2DR安全模型
    P2DR模型包含4个主要部分：Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证网络的安全。模型如图1所示： 
   
    三、安全防护关键技术
    (1)分布式入侵检测
    分布式入侵检测有两方面的含义，一是针对分布式攻击的入侵检测技术，二是入侵检测系统采用分布式计算技术，即信息收集和分析处理分布在网络中的不同机器中。在分布式入侵检测系统中，部件间的协作通常有两种方式：一是采用分散式协作，即事件的相关性分析分散进行，系统的各部件相互独立，又相互协作，但没有集中控制，任何一个部件发现可疑事件或攻击行为后，都通知其他部件。各部件同时也接收其部件的事件和报警通知，并根据自身的状态以及收集到的相关信息进行分析，发现攻击后再次通知其他部件。第二种协作方式是集中式协作，即相关性分析集中进行。系统有一个决策部件和多个检测部件，检测部件检测到异常后，通知决策部件，决策部件根据各检测部件的通知进行相关性分析，判断是否受到了攻击。Dshield是一个分布式入侵检测系统，收集、汇总并分析防火墙日志，分析网络入侵和攻击趋势及采用方法。

(责任编辑：adminadmin2008)