安全管理中心：由告警汇聚数据库、告警相关性分析模块、响应模块、策略管理工具和策略服务模块、PKI认证监测模块组成。告警汇聚数据库是一个综合数据库，存贮历史和当前的来自分中心的综合分析告警信息；告警相关性分析模块统计并分析历史告警信息和实时分析各分中心的告警信息；响应模块是将告警相关性分析报告安全地、迅速地发布到各分中心；策略管理工具实现对网络系统的安全管理；策略服务模块实现对安全策略的自动分发、运行时管理、自动适应被管理成员变化、成员联动的支持，提供包括策略服务、域服务和事件服务；PKI认证监测模块要实现安全管理中心与分中心之间的通信双方是可信的、通信过程是安全可靠的。 安全管理分中心：从属于安全管理中心，是一组会员网络的具体管理者，由告警数据库、告警相关分析模块、响应模块、策略管理工具、策略服务模块、联动网关和PKI认证模块组成，功能与安全管理中心类似。
    会员子网：由一组探测点、一组网络防火墙和主机防火墙和至少一个联动网关组成。会员子网综合利用原有的网络安全设施，在不影响原有的网络构成的情况下，将本子网安全设备生成的信息及时地提交给所属的管理分中心，同时对于分中心反馈的安全信息进行及时地更新和防护。在对原有设备进行微小修改的基础上，实现了防护能力的升级。
    （1）联动网关
    联动网关是入侵防护系统的协同构件，它实现告警预处理、数据净化、信任管理与安全信息交换等功能。联动网关实现告警归一化和过滤两个预处理功能。告警归一化是将本地网络各个探测点所产生的告警信息转换为一种统一的告警消息格式。告警过滤是对本地网络多个探测点产生的一些重复告警信息进行初步组合，以减少安全管理中心告警相关分析的开销。
    各本地网络向安全管理分中心提交的告警中包含本地网络的一些机密信息，数据净化是根据本地网络设置的安全策略去除告警消息含有的本地网络的机密信息，以保护本地网络的安全性和隐私性。联动网关实现信任管理与安全信息交换功能，保证本地网络和安全管理中心之间、安全管理分中心之间通信是可认证的，保证相互之间交换的告警消息和预警消息是完整和机密的，从而保证入侵防护系统自身的安全性。
    （2）内部交互消息
    入侵防护系统主要存在两类消息。一类是告警相关消息，包括由本地网络发送到安全管理分中心的单条告警消息和安全分中心之间交换的汇总告警消息，另一类是响应消息，是由安全管理中心向本地网络发布的入侵报警消息和风险评估消息，以及安全策略信息。
    入侵防护系统采用由IETF提出的IDMEF [6]作为统一告警消息格式。IDMEF告警消息用XML语言表示。安全管理分中心所监测的会员子网一段时间内存在的各种情况进行总结，通过IDMEF向安全管理中心上报。
    入侵报警消息是安全管理分中心经过告警相关性分析，如果检测到会员网络被入侵，就向会员网络发布实时入侵报警，同时进行必要的网络修复。在进行了上述操作后，安全管理分中心会及时地将情况上报给安全管理中心对告警库进行更新。风险评估消息是安全管理分中心根据一段时间内存在的网络攻击与入侵活动以及会员网络安全策略而做出一个安全评估报告。它将提交给安全管理中心，以便管理中心的管理员进行系统风险分析。
    （3）可扩展的环形网络
    为了实时监测和响应网络攻击和入侵活动，该入侵防护系统采用应用层多播的方法，通过构造一个对等的环形网络来提高告警、预警、响应消息交换性能。由于安全管理分中心数目相对较少，安全管理分中心之间构成环状互连结构。安全管理分中心与会员子网之间采用一种星形结构，这样同时兼顾了网络的可靠性和扩展性。由于令牌环网结构能够为安全管理分中心提供一个访问时间的上限，所以安全管理中心能够明确会话令牌所在的分中心是否能够有效的提供服务。安全管理分中心通过获得会话令牌，向安全管理中心提交预警分析报告、动态策略变化报告。由安全管理中心将这些报告进行分析并统一发放到各分中心以便进行相应的处理。 
   
    五、结 论
    通过分析现有入侵检测系统和防火墙系统存在的问题，提出并设计了一个动态入侵防护系统的框架。该入侵防护系统由一个以可扩展环形网络为基础互连的安全管理分中心和一些分别与安全管理分中心构成星形互连结构的会员网络组成，实现分布式告警消息收集与共享、集中式处理，以及分布式实施统一的安全策略，目标是使会员网络更安全。我们正在着手实现动态入侵防护系统，接下来将对系统进行全面的验证以评判该系统带来的安全性能的提高和系统性能的改进。

(责任编辑：adminadmin2008)