沈 晶，陳雙龍

（中國船舶重工集團(tuán)公司江蘇自動(dòng)化研究所 江蘇 連云港 222006）

信息時(shí)代的到來引發(fā)了一場(chǎng)軍事革命，使得以信息技術(shù)為特征的新戰(zhàn)爭(zhēng)形態(tài)正在出現(xiàn)。在信息化戰(zhàn)爭(zhēng)中，以計(jì)算機(jī)病毒、黑客等為首的信息武器顯示出重要的作用，而信息系統(tǒng)的安全問題也成為當(dāng)前各國研究的重點(diǎn)[1]。為了解決這些安全問題，各種安全機(jī)制、安全策略和安全防護(hù)工具紛紛投入研究和使用。

然而，即使在使用安全工具的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，因?yàn)楝F(xiàn)有的每一種安全機(jī)制都有一定的適用范圍，不足以應(yīng)付不斷變化的攻擊手段。針對(duì)于此，人們開始對(duì)網(wǎng)絡(luò)安全產(chǎn)品之間進(jìn)行功能融合和網(wǎng)絡(luò)安全防護(hù)設(shè)備體系結(jié)構(gòu)的調(diào)整[2]，提出了將防病毒、入侵檢測(cè)和防火墻安全防護(hù)技術(shù)融合成一體的統(tǒng)一威脅管理方案（UTM）。UTM需要無縫融合多種安全功能，在不降低網(wǎng)絡(luò)性能的前提下，提供從網(wǎng)絡(luò)層到內(nèi)容層的安全保護(hù)，而傳統(tǒng)的基于X86體系的架構(gòu)不能滿足UTM的高吞吐量、低時(shí)延的要求，網(wǎng)絡(luò)處理器和專用集成電路（ASIC）兩種新的技術(shù)成為主要選擇。網(wǎng)絡(luò)處理器的軟件色彩使它具有更好的靈活性，但性能較低。而ASIC是將算法固化在硬件中，在性能上有比較明顯的優(yōu)勢(shì)，但在升級(jí)維護(hù)方面跟不上網(wǎng)絡(luò)安全防護(hù)設(shè)備功能的快速發(fā)展。

為了融合網(wǎng)絡(luò)處理器的靈活性和ASIC的快速高效，本文提出一種以專用安全處理芯片為基礎(chǔ)，軟硬結(jié)合的安全防護(hù)方案[3]。本方案通過軟硬協(xié)同，實(shí)現(xiàn)全包線速檢測(cè)、安全威脅實(shí)時(shí)評(píng)估、統(tǒng)一威脅管理等功能，從而形成檢測(cè)、保護(hù)、響應(yīng)這一完整的閉環(huán)管理模式，在OSI網(wǎng)絡(luò)模型的各個(gè)層次上提供實(shí)時(shí)保護(hù)，為信息系統(tǒng)創(chuàng)造安全可靠的工作環(huán)境，提高檢測(cè)效率和靈活性。

1 基于專用網(wǎng)絡(luò)安全處理器的處理平臺(tái)

目前，市場(chǎng)上已經(jīng)出現(xiàn)針對(duì)網(wǎng)絡(luò)安全檢測(cè)的芯片[4]。以TS8210為例，它是一款我國自主研發(fā)的網(wǎng)絡(luò)安全專用芯片，以硬件方式實(shí)現(xiàn)千兆線速下數(shù)據(jù)包逐字節(jié)的內(nèi)容檢索、內(nèi)容標(biāo)簽以及流重組，其主要應(yīng)用在網(wǎng)關(guān)反病毒、垃圾郵件過濾、傳輸文件內(nèi)容檢查、URL過濾、IDS/IPS 系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)、BT 流量控制、有害信息監(jiān)察等，在保證網(wǎng)絡(luò)安全的同時(shí)，不影響網(wǎng)絡(luò)傳輸速率。

TS8210芯片可提供3個(gè)線速千兆以太網(wǎng)端口，內(nèi)置所有優(yōu)化后的規(guī)則庫，它集包分析、查找、分流與規(guī)則庫管理功能為一體，真正實(shí)現(xiàn)了單芯片高功能集成系統(tǒng)。它根據(jù)芯片內(nèi)預(yù)置規(guī)則庫中的基本病毒特征進(jìn)行硬件過濾，同時(shí)轉(zhuǎn)發(fā)可疑數(shù)據(jù)包給主機(jī)做進(jìn)一步分析。圖1是基于TS8210芯片的安全處理平臺(tái)硬件組成原理圖。

針對(duì)網(wǎng)絡(luò)安全防護(hù)發(fā)展趨勢(shì)，本文提出一種以專用安全處理芯片為基礎(chǔ)，軟硬結(jié)合的安全防護(hù)方案[4]。本方案通過軟硬協(xié)同，實(shí)現(xiàn)全包線速檢測(cè)、安全威脅實(shí)時(shí)評(píng)估、統(tǒng)一威脅管理等功能，從而形成檢測(cè)、保護(hù)、響應(yīng)這一完整的閉環(huán)管理模式，在OSI網(wǎng)絡(luò)模型的各個(gè)層次上提供實(shí)時(shí)保護(hù)，為信息系統(tǒng)創(chuàng)造安全可靠的工作環(huán)境。

圖1 基于TS8210芯片的系統(tǒng)基本硬件框圖

2 軟硬協(xié)同一體化安全防護(hù)框架

軟硬協(xié)同一體化安全防護(hù)框架以網(wǎng)絡(luò)安全專用芯片為基礎(chǔ)，通過軟硬結(jié)合的方法，對(duì)多種安全功能進(jìn)行深度混合，實(shí)現(xiàn)一體化綜合網(wǎng)絡(luò)安全防護(hù)。圖2是軟硬協(xié)同一體化安全防護(hù)框架原理圖。

圖2 軟硬協(xié)同一體化安全防護(hù)框架原理圖

2.1 一體化安全檢測(cè)

將入侵檢測(cè)、安全審計(jì)、異常流量等功能[5]進(jìn)行集成，并將防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、混合攻擊、緩沖溢出、網(wǎng)絡(luò)欺詐、防垃圾郵件的攻擊、防違規(guī)信件攻擊等攻擊信息相互關(guān)聯(lián)和共享，通過將各種檢測(cè)過程關(guān)聯(lián)在一起，跟蹤每一安全環(huán)節(jié)的檢測(cè)活動(dòng)，并通過啟發(fā)式掃描和異常檢測(cè)引擎檢查，提高整個(gè)系統(tǒng)的檢測(cè)精確度。如圖3所示。

圖3 一體化安全檢測(cè)功能框圖

2.2 軟硬協(xié)同處理

軟硬協(xié)同一體化安全防護(hù)框架充分發(fā)揮專用芯片高速處理和軟件靈活適應(yīng)的特點(diǎn)，提高了系統(tǒng)處理能力和適應(yīng)能力。首先由專用芯片完成千兆線速全包過濾、流重組、流量控制和應(yīng)用分流，并在芯片內(nèi)完成大部分攻擊檢查和剔除，對(duì)未知可疑的報(bào)文則上報(bào)給上層一體化檢測(cè)防御處理軟件，由一體化檢測(cè)防御處理軟件完成數(shù)據(jù)報(bào)的威脅判別和處理，并根據(jù)處理的結(jié)果確定是否要調(diào)整規(guī)則庫。

3 威脅實(shí)時(shí)監(jiān)測(cè)與智能化處理

威脅實(shí)時(shí)監(jiān)測(cè)的主體工作由專業(yè)芯片完成，其工作流程如圖4所示。

圖4 威脅實(shí)時(shí)監(jiān)測(cè)流程

a)數(shù)據(jù)包進(jìn)入專用芯片經(jīng)過解析后，可分為管理報(bào)文和普通報(bào)文。管理報(bào)文有其固定格式和可配置的MAC地址，PKT_ID等，只有管理端口才接收管理報(bào)文，非管理端口會(huì)將接收的管理報(bào)文丟棄掉。

b)管理報(bào)文經(jīng)過管理端口轉(zhuǎn)化為訪問消息訪問專用芯片，針對(duì)每個(gè)訪問報(bào)文，專用芯片都會(huì)產(chǎn)生一個(gè)響應(yīng)報(bào)文，其格式也為管理報(bào)文格式，只是目的地址和源地址與訪問消息的管理報(bào)文相反。

c)專用芯片的所有寄存器、表項(xiàng)的配置和讀取都可經(jīng)過管理報(bào)文完成。專用芯片還有另外一個(gè)配置渠道，即E2PROM配置。專用芯片可根據(jù)管腳配置采用上電自動(dòng)讀取E2PROM的內(nèi)容配置表項(xiàng)和各個(gè)寄存器。

d)如果數(shù)據(jù)包的流向是過濾方向則進(jìn)入過濾流程；如果數(shù)據(jù)包的流向是透?jìng)鞣较騽t根據(jù)解析結(jié)果由寄存器控制數(shù)據(jù)包的轉(zhuǎn)發(fā)，或發(fā)送硬件建立TCP連接請(qǐng)求，或送CPU（環(huán)回模式只有過濾方向，沒有透?jìng)鞣较颍?/p>

e)數(shù)據(jù)包進(jìn)入過濾流程后，首先根據(jù)解析結(jié)果決定是否建立/查詢TCP連接，最多可建10萬條連接，硬件建立連接可達(dá)線速，針對(duì)每條TCP連接都有自己的ACTION，在建立/查詢TCP連接后取得TCP連接的ID號(hào)和ACTION。

f)取得TCP連接的ID號(hào)后進(jìn)入TCP連接的亂序流重組，狀態(tài)檢測(cè)和數(shù)據(jù)包調(diào)度，在做流重組后形成的指針表可作為統(tǒng)計(jì)每條TCP連接的流量所用，它可精確地統(tǒng)計(jì)每條連接的TCP_DATA流量（不包括重傳報(bào)文）。

g)流重組后進(jìn)入跨包過濾階段，專用芯片支持線速查找數(shù)萬條規(guī)則。

h)查找完以后會(huì)根據(jù)結(jié)果執(zhí)行流量統(tǒng)計(jì)與流量控制。

i)數(shù)據(jù)包傳向輸出端口，并根據(jù)解析結(jié)果和rule/TCP連接的Action執(zhí)行各種操作。

數(shù)據(jù)包經(jīng)過專用芯片處理后，將一些無法處理的諸如未知數(shù)據(jù)包、可疑數(shù)據(jù)包轉(zhuǎn)由上層軟件模塊進(jìn)行最終處理，其處理流程如圖5所示。

圖5 軟件處理模塊

1）軟件模塊對(duì)接收到芯片部分發(fā)過來的數(shù)據(jù)包進(jìn)行分析，首先將其交由防火墻檢測(cè)模塊進(jìn)行處理。該模塊將狀態(tài)檢測(cè)和防火墻技術(shù)結(jié)合在一起，采用深度檢測(cè)算法[6]，深入分析了TCP或UDP數(shù)據(jù)包的內(nèi)容。深度檢測(cè)能夠自動(dòng)進(jìn)行動(dòng)態(tài)設(shè)置，以便正確檢測(cè)服務(wù)變量，如最大長度、隱藏字段和Radio按鈕等。如果請(qǐng)求的變量不匹配、不存在或不正確的話，則會(huì)將請(qǐng)求丟棄掉，將該事件寫入日志，給管理員發(fā)出警告信息，并將處理結(jié)果反饋給芯片，修改完善其規(guī)則庫。

2）通過防火墻檢測(cè)的數(shù)據(jù)包交由防病毒檢測(cè)模塊進(jìn)行處理。采用啟發(fā)式查毒方案[7]，為每一項(xiàng)它定義的可疑病毒功能調(diào)用賦予一個(gè)旗標(biāo)，如F,R,A……， 這樣以來可以直觀地對(duì)被檢測(cè)程序進(jìn)行是否染毒的主觀判斷。對(duì)于某個(gè)文件來說，被點(diǎn)亮的標(biāo)志愈多，染毒的可能性就愈大。常規(guī)干凈程序甚至不會(huì)點(diǎn)亮一個(gè)標(biāo)志旗，但如果要作為可疑病毒報(bào)警的話，則至少要點(diǎn)亮兩個(gè)以上標(biāo)志旗。對(duì)檢測(cè)出的病毒進(jìn)行隔離查殺，并將處理結(jié)果反饋給芯片，修改完善其規(guī)則庫。

3）通過防病毒檢測(cè)的數(shù)據(jù)包交由入侵檢測(cè)模塊進(jìn)行處理。首先對(duì)所有的包首標(biāo)（header）進(jìn)行檢測(cè)，其次檢測(cè)數(shù)據(jù)包載荷的內(nèi)容，查找網(wǎng)絡(luò)攻擊中使用的命令或語法，對(duì)檢測(cè)出異常的流和數(shù)據(jù)進(jìn)行過濾處理，并將處理結(jié)果反饋給芯片，修改完善其規(guī)則庫。

4）對(duì)通過了防火墻檢測(cè)、防病毒檢測(cè)以及入侵檢測(cè)的異常數(shù)據(jù)，進(jìn)行統(tǒng)計(jì)，并進(jìn)行徹底分析，同時(shí)通過人工干預(yù)，對(duì)其進(jìn)行智能化處理，并根據(jù)處理結(jié)果決定是否修改完善規(guī)則庫。

4 性能分析

為了驗(yàn)證采用專用芯片的軟硬協(xié)同安全防護(hù)方案的檢測(cè)性能，本文對(duì)純軟件檢測(cè)、軟硬一體化檢測(cè)兩種情況進(jìn)行了實(shí)驗(yàn)對(duì)比。先通過抓包工具截取網(wǎng)絡(luò)數(shù)據(jù)包，存成文件，再從文件中讀取數(shù)據(jù)包，以消除網(wǎng)絡(luò)數(shù)據(jù)包快慢對(duì)實(shí)驗(yàn)結(jié)果的影響。實(shí)驗(yàn)環(huán)境為：基于龍芯2E處理器和TS8210芯片的實(shí)驗(yàn)平臺(tái)。實(shí)驗(yàn)結(jié)果如表1所示。

表1 不同規(guī)則數(shù)下，每10000個(gè)數(shù)據(jù)包匹配時(shí)間對(duì)比（ms）

從表1中看出，純軟件檢測(cè)時(shí)間平均為447.391ms,采用專用芯片的軟硬一體化檢測(cè)其平均時(shí)間為24.109ms，檢測(cè)的時(shí)間平均降低了約46.2%，并且隨著規(guī)則數(shù)目的逐漸增加，后者的優(yōu)勢(shì)也在逐漸擴(kuò)大。從理論上說，后者由于大部分攻擊檢測(cè)由安全處理專用芯片完成，能實(shí)現(xiàn)千兆線速下的全包內(nèi)容檢測(cè)、過濾，因此在速度上具有更大的優(yōu)勢(shì)。

同時(shí)，選用3000個(gè)攻擊數(shù)據(jù)包對(duì)系統(tǒng)進(jìn)行測(cè)試，其中包含了各種常見的攻擊行為，如拒絕服務(wù)攻擊（ip包碎片攻擊，UDP洪水，SYN洪水）、掃描技術(shù)（地址掃描，端口掃描）、利用信息服務(wù)（DNS域轉(zhuǎn)換，F(xiàn)inger服務(wù)，LADP服務(wù)）等。測(cè)試結(jié)果表明，系統(tǒng)均能檢測(cè)出以上攻擊，保證了檢測(cè)的準(zhǔn)確性。

5 結(jié)束語

隨著網(wǎng)絡(luò)的普及和快速發(fā)展，網(wǎng)絡(luò)用戶面臨著日益嚴(yán)重的安全問題。現(xiàn)有的安全防護(hù)技術(shù)多存在軟硬分離等缺點(diǎn)，不能充分滿足用戶需求。本文提出的基于芯片的一體化安全防護(hù)技術(shù)充分發(fā)揮專用芯片高速處理和軟件靈活適應(yīng)的特點(diǎn)，提高設(shè)備處理能力和適應(yīng)能力。通過將各種檢測(cè)過程關(guān)聯(lián)在一起，跟蹤每一安全環(huán)節(jié)的檢測(cè)活動(dòng)，提高整個(gè)系統(tǒng)的檢測(cè)精確度。另外，本方案采用國產(chǎn)專用安全處理芯片和國產(chǎn)高性能處理器，可以有效消除使用國外芯片的安全隱患。

[1]徐茂智,鄒維. 信息安全概論[M].北京:人民郵電出版社,2007.

[2]陳曉蘇,林植. 基于策略的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)框架研究[J].軟件世界,2008:142-151.

[3]陳雙龍,顧穎彥. 嵌入式實(shí)時(shí)網(wǎng)絡(luò)信息系統(tǒng)安全隱患及對(duì)策[C].國防科技工業(yè)網(wǎng)絡(luò)信息安全技術(shù)發(fā)展研討會(huì)論文集,2004:92-96.

[4]葉世芬. 安全芯片物理防護(hù)研究[J].浙江大學(xué)學(xué)校，2005(2):37-40.

[5]崔蔚,徐鐵鋼. 主機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究與應(yīng)用[J].成都信息工程學(xué)院學(xué)報(bào),2005(2):79-86.

[6]Ndeep Kumar.Classification and Detection of Computer Intrusions [D].Purdue University,2005:34-39

[7]郭春霞,裘雪紅. 嵌入式系統(tǒng)安全的研究與設(shè)計(jì)[J].電子科技,2005 (8):49-54.