基于入侵容忍原理的服务器防护技术

基于入侵容忍原理的服务器防护技术 25卷第6期 2008年6月 微电子学与计算机 MICROELE叫ONICS&C()MPUTER Vo1.25No.6 June2008 基于入侵容忍原理的服务器防护技术 邓林,余刘琅,韩江洪 (合肥工业大学信息中心,安徽合肥230009) 摘要:针对服务器安全保护中存在的问题,对网络边界防火墙作用的有限性进行 了研究,讨论了防火墙无关性的 攻击模型,提出了以策略限制,文件操作阻断,注册表数据库权限控制以及本地应 用层过滤等多方面综合防护的技 术,并对入侵容忍模式下的防护效果评估问题进行了原则性分类,从而实现 服务器在存在未知漏洞情况下的 安全运行.实际测试表明提出的防护措施具有极好的效果. 关键词:入侵容忍;防火墙无关性;防护评估;安全策略;未知漏洞 中图分类号:TP393.08文献标识码:A文章编号:1000—7180(2008)06—0143—04 TheSecurityStrategyofServersBasedontheIntrusionTolerance DENGLin,YULiu—lang,HANJiang—hong (InformationCenter,HefeiUniversityofTechnology,Hefei230009,China) Abstract:Thelimitationofnetworkboundaryfirewall’Sabilityofserverprotectionwasdis cussedandacomprehensivede— fendingpolicywasproposed,whichincludestheinvadingmoddoffirewallirrdevance,thestrategyconfining,thecon— troUingfightoffileoperationandthefiltrationoflocalapplicationlayerandSOon,Theasse ssmentofdefendingeffectsun— dertheintrusiontolerancemodewasalsoclassifiedinprinciple.whichcarriesoutthevalidit yofserverssecuritywhet.her ,n?(?H砷 vulnerabilityexisting.Theexperimentshowsthattheprotectivemeansisveryeffective.. Keywords:intrusiontolerance;firewallirrelevance;preventingevaluation;securitystrate gy;unknownvulnerability 1引言 入侵容忍是假设在系统,子系统或组件,应用 中,仍然存在已知或未知的脆弱性,或者存在安全部 署客观实施的困难_1J,并且这些潜在的和显性的不 安全因素仍然可能导致一系列入侵攻击成功的情况 下,以一定的广泛性而不是单一确定性的措施来兼 容这些入侵攻击所带来的负面影响,仍以一定量的 概率确保系统整体依然是安全和可持续运行[引.因 此,入侵容忍的内容本质是一种容错_3j,而其实施 的本质是侧重系统和纵深保护的分级防护. 2防火墙无关性入侵攻击模型 2.1针对服务器和操作系统的入侵攻击 一 台服务器上并不一定只运行着一套操作系 收稿日期:2007—08—17 基金项目:教育部博士点基金项目(20050359004) 统,比如在运行了多套虚拟机的服务器环境中,如果 虚拟机与主机之问的信任关系和管理模式配置不 当,则部署的弱点仍然可能被充当跳板来对其他系 .因此,把服务器和操作系统分别提及. 统进行攻击 针对操作系统的入侵攻击中,最典型的是因操作系 统漏洞而导致的溢出攻击.由于操作系统最新漏洞 的不确定性,以及管理员安全部署实施的迟滞,这类 必须纳入入侵 入侵攻击是传统防火墙难以阻挡的, 容忍技术的策略范围. 2.2针对应用和数据的入侵攻击 应用和数据也是最容易被入侵攻击的对象之 一 ,最典型的就是针对数据库的注入式攻击,对应用 系统数据库的窥探和下载获取.令人无奈的是,应用 的复杂性也导致了其安全的不确定性,而客观上,要 杜绝应用上的代码漏洞以及由代码和配置的漏洞导 144微电子学与计算机2008拄 致的数据库被偷窥,这几乎是个无法完成的任务.因 此,针对应用和数据的攻击在某种程度上是可能的, 但却是难以具体预见的,也必须纳入入侵容忍技术 的策略范围. 2.3用户的操作错误引起的入侵攻击 用户操作错误带来的不确定性安全负面因素也 是显而易见的,比如弱口令或口令周期过短,权限管 理的缺陷(权限滥用),其他不可预见的操作失误等, 都可能导致入侵攻击的成功.这些也不是传统的防 火墙等安全措施所能够防范的,其操作错误的不确 定性也同样要求以一种广泛性的容忍措施来防止其 带来的损失扩大化.上述防火墙无关性入侵攻击模 型的意义在于让我们明白入侵容忍的具体对象,只 有对象明确,接下来对这些对象采取有效的错误容 忍措施才成为可能. 3入侵容忍模式下的服务器防护 3.1系统策略限制防护 组策略对象(GroupPolicyObjects,GPO),组策 略控制是系统针对各种权限滥用等设置的最后一道 防线.由于策略的制定主要是基于系统功能的逻辑 分类而采取的一系列功能限制,因此它能够对那些 不确定的具体入侵攻击起到容错效果. 3.1.1组策略对象(GPO)及处理优先级 应用于某个用户(或计算机)的组策略对象 (GPO)并非全部具有相同的优先级.以后应用的设 置可以覆盖以前应用的设置. 这种顺序执行和策略覆盖的机制意味着首先会 处理本地GPO,最后处理链接到计算机或用户直接 它会覆盖以前GPO中与 所属的组织单位的GPO, 之冲突的设置(如果不存在冲突,则只是将以前的设 置和以后的设置进行结合.),如图1所示.组策略设 置按图1中的顺序进行处理. 3.1.2入侵容忍模式下的组策略控制 如果研究一下服务器系统目录的文件类型,会 发现许多规律,按照这种基于文件类型的策略限制, 结合通配符”*”和”?”的使用,可以严格限制除系统 这样即使入 必须程序之外的任何其他程序的运行, 侵者成功上传了什么后门文件到Admin$(即% SystemRoot%)等位置,也由于策略的高优先级阻 止,而导致后门程序无法运行.实际工作中,可以制 定大量此类限制策略,并且相同或相似的服务器环 境下这些策略可以相互通用,只需根据服务器的实 执行顺序优先级 组织单位一链接 到Active—Directory 层次结构中最高层 组织单位的GPO, 链接到其子组织单 位的GPO f 域一多个域链接 NoPo } 站点一处理任何 已经链接到计算机 所属站点的GPO } 本地组策略对象 高 低 图1组策略执行顺序与优先级 际应用需求做少量调整即可.这是一种完全被动的 适应手段,但对付后门程序的运行却非常有效,而且 入侵者很难确定后门不能运行的原因所在. 上述本地安全策略是对全局生效的,因此其与 用户账户无关,这意味着入侵者即使创建了后门账 户,则软件限制策略仍然会对后门账户生效. 本地安全策略配置中必须明确的几个问题: (1)策略对象优先级决定安全容错策略优先级 对于存在ActiveDirectory,域和站点策略的环 境下,不能只片面考察某个级别的策略对象的部署, 而是应当从整体上,根据策略对象优先级来综合考 察整个大系统的安全容错状态. (2)策略对象层次与安全策略管理粒度成反比 显而易见,层次越高的策略对象(如域GPO)由 于其涉及的具体对象的范围较大,应用的复杂性也 更明显,因此层次越高的策略对象其安全策略的管 理粒度势必越粗放;相反,策略对象层次越低的(如 本地组策略对象)其管理粒度可越细化,具体可细化 到本地的每个具体的策略对象条目,而不必考虑会 对其他独立系统产生影响. (3)策略冲突问题 因此级别越 由于不同层次策略优先级的存在, 低的策略对象的内容越要注意不能与级别较高的策 略对象内容相冲突,否则高层次的策略对象内容会 覆盖低层次的策略对象内容,不但会导致低级别策 略对象内容的失效,同时还由于这种冲突从低级别 策略对象上不容易发现,极容易组系统安全带来易 被忽视的安全漏洞. 3.2入侵容忍模式下的文件操作阻断 各种典型的入侵动作大多数都伴随对服务器的 第6期邓林,等:基于入侵容忍原理的服务器防护技术145 文件非法操作,如访问系统的未经授权的特定程序, 未经授权启动系统服务,上传各种黑客人侵所需的 工具.在入侵容忍模式下,允许这些文件非法读写行 为的实施,但并不允许这些行为在系统中得到负面 的影响结果.这种”入侵抵制”?4j思想的具体实施即 入侵容忍模式下的文件读写防护. 图2所示为人侵容忍模式下的文件读写阻断原 理模型.这里假设各种新的溢出和漏洞是不可避免 的,但由此产生的获取Shell,非法执行程序,非法上 传文件等后续行为却在文件读写阻断措施下得到有 效中止 溢出牖洞 (容忍) /\ 文件操作阻断 图2入侵容忍模式下的文件读写阻断 文件读写阻断抓住了溢出或漏洞导致的入侵攻 击操作的关键弱点,即通过后文将要讲述的技术手 段对未经授权的文件读写进行严格的限制,从而能 够实现”入侵成功了也无所作为”的目的,有效对服 务器进行了防护. 3.2.1文件操作监控范围的确定 对非法文件操作的限制有一个总原则,即先确 定允许的(系统及应用正常运行所需的服务和应用 基于这个原则,文件操 程序),其余的都是非允许的. 作监控范围可划分为三个层次(见图3). 图3入侵容忍模式下的文件操作监控 首先是Shell的获取.所有可能被充当Shell使 其次是系统目 用的程序及文件都应处于监控范围. 录和系统文件.由于这些位置的相对固定和高危特 性,必须对整个System的目录容器进行监控保护. 如Web服务器中对特定页 最后是应用程序及其他. 面修改的保护,对数据库非法篡改的保护等. 3.2.2文件读写监控的简单实现 通过采取诸如对系统的文件操作API进行拦 截,或者制作专门的驱动以嵌入系统更底层进行文 件读写和运行的监控等. 这里以开源的Winpooch文件监控平台实现文 件操作的监控.Winpooch的源代码和监控规则都是 开放的,尤其是可以根据服务器具体运行环境的需 要灵活制定合适的文件操作规则.当然,不管采取什 么方式实现文件操作监控,都必须按照前面所述的 三大监控范围来有机组织规则的制定,从而做到不 漏,不过. 假如要阻止一般情况下向服务器的系统目录 %SystemRoot%下写入.exe可执行文件,则可新建 一 条Winpooch规则,类型选择”File:write”,类型为 “带通配符的路径”,数值为”?:\WIN*[.exe”,反 应动作可选择”拒绝”,并且选中”到日志”.这 样,通过对敏感目录路径的规则设置,任何试图对系 统目录的可执行文件的写入均将被自动阻止,从而 防止了入侵者上传,运行后门程序的企图. 3.3注册表关键项权限限制和自我恢复 3.3.1注册表监控范围的确定 (1)注册表文件内容的正确性和完整性 若注册表被导人非法键值,或者通过各种途径 被非法修改,则对系统的威胁是不言而喻的.因此要 保证注册表文件内容的正确性和完整性. (2)注册表关键键项内容的正确性 首先主要指能够实现程序自动加载执行的一些 项目.典型的如Run,Load,Service,BootExecute等. 可以举出的类似实现自动加载的键项可以有几十处 之多. 3.3.2注册表读写监控的简单实现 入侵所采取的手段和修改往往是非常隐秘的, 但通过注册表的适时恢复,能够实现入侵检测的无 由于恢复注册表数据 关性,即不管植入了什么后门, 库过程中各种自动加载项被以正确的值替代,其植 入的后门就会自动失效,充其量只是一些垃圾文件. 3.4本地防火墙应用层过滤防护 本地防火墙与边界防火墙有一个很大的本质上 的不同,这就是本地防火墙允许进行应用层的过滤 检测与响应.根据入侵容忍原则,从本地防火墙进行 146微电子学与计算机2008矩 应用层的检测与限制能够非常好地防止代码漏洞所 带来的安全威胁j. 3.4.1应用层过滤的适应性 应用层过滤最典型的应用就是数据库注入攻击 的尝试和攻击实施,在注入入侵的过程中,也会用到 其他的数据库查询语句E6].由于这些通过浏览器提 交的非法探测和查询对于边界防火墙而言仍然是一 次正常的web访问,因此边界防火墙通常根本毫无 知觉.注入式攻击从某种意义来说是不可避免的,因 此要容忍这些入侵,但不允许入侵行为带来负面的 效果.应用层过滤能够很好地解决这个问题. 3.4.2应用层过滤的软件和硬件部署 可以从软件防火墙和硬件内容过滤网关双方面 实现对应用层的内容过滤. (1)软件防火墙的应用层过滤部署 选择支持应用层过滤的本地防火墙工具,然后 在URL过滤规则中,分别将各种正常情况下不太 可能使用到的,但在非法探测和入侵情况下经常会 使用的字串添加到特征规则中. (2)硬件内容过滤网关的过滤部署 使用专门的内容过滤硬件产品能够获得非常强 3vg极其全面的内容过滤效果,从而在即使服务器 存在大量应用层攻击漏洞的情况下,仍然能够确保 服务器的安全. 4.2对策的适应性 文中之所以没有给出具体的对策中的规则内 容,是因为不同的应用必须有不同的策略和规则.而 这些策略和规则的制定如果太宽泛则起不到应有的 防护效果,太严格则又可能对正常应用带来负面作 用.因此对策的适应性同样非常重要.但通常一次成 功的入侵都是由较低的系统权限逐渐提升到较高的 系统权限的,因此对系统目录以及相关位置的异常 文件的限制要占据所有策略的80%以上才有比较 理想的防护效果l. 4.3容忍能力验证 出于安全起见,采取一定的入侵容忍对策后,应 当模拟性地对系统和应用进行相应的”攻击”,以验 证错误容忍机制的有效性.模拟验证环境中,以 安装的Windows2003服务器为验证对象,通过上述 几种方案的综合部署后,在两小时的时间段内随机 间谍,木马程序试运行, 抽取近期流行的各种广告, 共测试各类有害程序52种,在未启用任何杀毒软件 等防护工具的情况下,结果无一例成功完成植入和 感染(即写入文件和实现自动加载的完整过程),系 统事件日志中成功记录软件限制策略阻止程序运行 事件63条(部分有害程序执行后会解包释放出多个 子程序).由此充分证明了文中提出的多层容忍防护 措施的有效性. 4入侵容忍模式下的防护评估5结束语 前面叙述了入侵容忍模式下的各种安全防护对 策,其防护效果受以下几方面因素制约. 4.1对策覆盖率 策略限制,文件操作阻断,注册表保护和应用层 过滤保护这几大方面是基于安全实施实践中总结出 来的最关键因素,不同方面的防护分别能够有效地 对特定方面的威胁进行错误容忍,只有各方面措施 共同实施,即保证有一定的对策覆盖率,才能从整体 上保证入侵容忍的有效性.这种策略化的防护也带 有一定的人工智能的性质. 上述被动防护综合方案本质上是对有害文件的 写入,运行以及自动加载这几方面分别采取的分层 防护措施.通过在标准的服务器和多种常用服务器 应用(Web/FTP)环境下的实验验证,每个防护层次 能够可靠地保证80%以上的防护有效性,其效果丝 毫不亚于一款优秀的杀毒软件,而且对未知后门木 马具极强的通用性. 通过基于入侵容忍模式下的服务器防护技术的 实施,能有效回避大部分服务器系统和应用中存在 的已知或未知的漏洞所带来的系列安全问题,并且 在特定的OS上具有良好的可移植性和可继承性, 在服务器安全管理中可起到以不变应万变的效果. 参考文献: l1JValdesA,AlmgrenM,CheungS.eta1.Anarchitecture foranadaptiveintrusiontolerantserver[M].Berlin: Springer—Verlag.2002:10—20. [2]黄书强,曾志峰,姚国祥.支持容侵的安全群组通信系统 体系结构的研究[J].微电子学与计算机,2005,22(3): 166—169. [3]彭文灵,王丽娜,张焕国.基于角色访问控制的入侵容忍 95. 机制研究[J].电子学报,2005,33(1):91— [4]张险峰,张峰,秦志光,等.入侵容忍技术现状与发展 [J].计算机科学,2004,31(10):19—22. (下转第150页) 150微电子学与计算机2008年 以至少由L个参与者进入集合才能恢复密钥,可防 止攻击,欺诈和参与者的数据误发,具有较好的鲁棒 性. (4)具有高效性.该方案进行的分配密钥份额, 恢复密钥份额,认证都是椭圆曲线上的加减法运算, 管理者仅仅需要传递c和及认证时的和c等 数,信息量小,并且认证时不需要交互,因此该方案 具有速度快,传送信息量小,安全性能高等特点. 5结束语 该方案是建立在密码共享门限机制上的,通过 结合椭圆曲线和可公开验证密钥共享思想,使得该 方案具有更强的安全性,实用性和高效性.该方案能 有有效防止管理者和参与者欺骗,并且整个认证过 程和通信是在公共通道上,所以具有较好的实用价 值和现实意义. 参考文献: [1]SamirA.HowtOshareasecret[J].Commun.ofthe ACM,1979,22(11):612,613. [2]BlaMeyGR.Safeguardingcryptographickeys[C]//Proc. 0fAFIPSNationalComputerConference.fS.1_]:AFIPS Press.1979:313—317. [3]thorB,GoldwasserS,MicaliS,eta1.Verifiablesecret sharingandachievingsimultaneityinthepresence0ffaults [C]//Proceedings0f26thIEEEsymposiumonFounda— donsofComputerScience.[S.1.].[S.n.],1985:383— 395. [4]StadlerM.Publidyverifiablesecretsharing[C]//Ad— VaD_CesinCryptology—EUROCRYPT’96.[S.1.].[S. n.],1996:190—199. [5]甘元驹,彭银桥,沈玉利.一种有效的可验证的门限多秘 密共享方案[J].计算机工程与设计,2005,26(8):1994 — 1996. [6]张福泰,赵福祥,王育民.一个基于离散对数的可公开验 证的秘密分享方案[J].西安电子科技大学学报,2002, 19(1):6—9. [7]徐秋亮,李大兴.椭圆曲线密码体制[J].计算机研究与 发展,1999,36(11):1281—1288. interatctive [8]BlumM,DeSandsA,MicaliS,eta1.Non— zero—konowledge[J].SIAMJournaloncomputing,1991, 20(6):1084—1118. [9]张龙军,沈钧毅,赵霖.椭圆曲线密码体制安全性研究 [J].西安交通大学学报,2001,35(10):1038,1041. 作者简介: 刘文杰男,(1979一),博士研究生,讲师.研究方向为信息 安全,量子计算. ) (上接第146页 [5]郭渊博,马建峰.容忍入侵的国内外研究现状及所存在 的问题分析[J].信息安全与通信保密,2005(7):337— 341.r [6]钟增胜.sQL注入漏洞的分析及防范[J].重庆工商大学 学报,自然科学版,2005,22(6):595. [7]李学峰.李彩清,王文杰.网络故障监测中多智能Agent 模型的研究与实现[J].微电子学与计算机,2007,24 (1):59—62. 作者简介: 邓林男,(1961一),博士研究生,副研究员.研究方向为 计算机信息及网络安全,计算机应用. 余刘琅男,(1967一),高级工程师.研究方向为计算机信息 及网络安全,计算机应用. 韩江洪男,(1954一),博士生导师.研究方向为计算机应用 与嵌入式系统.