CN111277604B - 基于mpi和ip跟踪的堡垒主机防火墙的安全事件预警方法 - Google Patents

Abstract

本发明提供一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，具体为：Part1，建立守护进程，启动MPI主进程，通过动态链接库导入防火墙规则；Part2，启动防火墙主进程，接收预警信息，跟踪可疑IP，调整防火墙防御策略；Part3，启动堡垒主机从进程，监测网络攻击和异常事件，发送预警信息。本发明防火墙规则集合划分为子集形式，各个子集相互独立，动态调整规则库，运行并行任务实现安全报警机制；并行实现检测过程，能够快速、准确的对可疑的IP进行跟踪和预警，采用针对网络地址转换所进行的内部IP地址的监控，更加有效地填补了防火墙对内防范的不足，实现调整防火墙防御策略，优化防火墙整体防御性能。

Description

基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法

技术领域

本发明涉及计算机安全、网络安全和并行计算领域，尤其涉及一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法。

背景技术

防火墙是计算机安全和网络安全中非常重要的一种防御技术，包括硬件防火墙和软件防火墙。硬件防火墙侧重于利用芯片级的设备和计算机集成的板卡等实现安全防御。软件防火墙则侧重于通过计算机程序和算法等进行防御，软件安装在操作系统中，通过软件技术实现安全防御与防止外部攻击。防火墙可以监控网络数据包实现过滤功能。

堡垒主机防火墙是防火墙中的一种。其中，堡垒主机是在计算机安全中能够有效抵御攻击的计算机、服务器等设备，作为外部连接进入内部网络的一个有效的监控点，承担着整个网络的安全防御与预警功能；因此，堡垒主机也是最容易受到攻击的计算机，也是网络防御体系中最重要的环节和关键点。

堡垒主机防火墙具有防火墙的基本特点。防火墙把网络隔离为内部网络和外部网络，防火墙处于内部网络和外部网络之间，是他们进出的唯一通道。内部网络又可以称为可信网络(Trusted network)，外部网络又可以称为不可信网络(Untrusted network)。防火墙在可信网络与不可信网络之间，起到保护内部网络免受外部入侵和攻击，同时，也能够监控网络数据流，实现安全预警，起到过滤的功能。

在预防攻击的过程中，堡垒主机往往承担着吸引入侵者的注意力，诱导攻击等作用，从而起到保护真正主机和服务器的目的。有效地配置和利用防火墙软件和堡垒主机可以达到有效抵御攻击，安全预警等重要作用，保护网络的安全。但是，由于堡垒主机非常容易受到攻击和破坏，因此，对堡垒主机的维护和管理是必要的。当堡垒主机受到意外损坏和出现故障时，恢复堡垒主机的配置和重新启动堡垒主机的服务，使堡垒主机继续防御攻击。防火墙能够实现有效地防御外部攻击，通过对可疑连接和具有攻击性行为的IP地址进行跟踪，达到有效预防黑客等非法入侵者的攻击。堡垒主机防火墙结合堡垒主机和防火墙的功能，对于内部可信网络进行有效的监控，对于外部的不可信网络进行防御攻击，因此，达到安全预警和保护网络安全的目的。

防火墙的配置和安全规则设计的不合理、或者存在漏洞，极容易被黑客等非法入侵者利用并最终攻陷网络，破坏服务器等网络设备。以下举例说明。

例子1：某公司在内部网络中建立了服务器，该服务器提供公司的内部参考资料和公司的一些文档等信息服务，某黑客对该公司网络进行攻击，通过扫描手段，定位该服务器位置，该黑客采用诱骗攻击手段，获取职员A的内部账号和密码，把职员A的电脑变成“肉鸡”，通过职员A的电脑对该公司的服务器进行非法文件的浏览与下载等，盗取了该公司的重要数据，对该公司造成了一定程度的经济损失。

例子2：某单位在服务器A上安装了本公司的邮件服务，在服务器B上加装了防火墙软件，由于疏忽，没有设置外部IP访问服务器A的限制，黑客对服务器A进行了有效攻击，并盗取了服务器A中的部分重要数据。

随着多核处理器的普及，并行计算技术在近些年获得了飞速的发展。英特尔和AMD是主要的CPU处理器的供应商，当CPU的主频达到4GHz时，单纯依靠提升主频已经无法明显提升系统整体性能。因此，自2005年开始，处理器供应商纷纷研制多核处理器以提高计算机整体的性能。

2005年4月，英特尔推出双核奔腾和奔腾四至尊版处理器。随后AMD也发布了双核处理器。2006年，英特尔推出基于酷睿架构的多核处理器，同年11月，又推出面向服务器、工作站和高端个人电脑的酷睿双核和四核至尊版系列处理器。与之前的台式机处理器相比，酷睿双核处理器在性能方面提高40％，功耗反而降低40％。

并行计算技术是大数据、云计算等的核心技术，也是最具挑战性的技术之一。多核处理器的出现增加了计算机的并行性能，由于传统的串行程序设计根深蒂固，使得并行程序的开发比以往更难。此外，目前业内并无有效的并行计算有效解决方案，无论是编程模型、开发语言还是开发工具等，距离开发者的期望存在较大的差距。自动的并行化解决方案在过去的30年间收效甚微，传统的手工式的并行程序开发方式又难以为普通的程序员所掌握。

各大硬件和软件厂商投入大量人力物力进行相关的研究，然而，成熟的产品在短期内很难达到用户满意，因为软件和硬件的结合也是需要一定的磨合。

MPI(Message Passing Interface)是消息传递接口，是在MPI论坛共同努力下而制定的消息传递库标准，该标准有40多个参与机构和组织，包括供应商、科研人员、软件库开发程序员和一些用户。消息传递接口的主要目标是建立一种方便、高效、灵活的消息传递标准，这一标准被广泛用于编写消息传递的并行程序。MPI是第一个标准化的、独立于供应商的消息传递库，用户使用MPI开发软件的优点是可移植性高、效率与灵活性兼顾。尽管MPI不是IEEE或ISO标准，然而，MPI实际上已经成为在高性能计算平台上编写消息传递程序的“行业标准”。MPI并行编程的最大优势是给予程序员最大的灵活性和高效性，但是，缺点也是明显的，需要程序员具有一定的并行设计经验，数据并行和任务并行对于初级程序员也是很大的挑战。

并行计算的应用范围也需要一定的规模，应用性能必须能够随着规模的扩大而带来更加快捷、方便、和性能上的优势，因此，随着系统规模的增大有效的扩展是重要的特点。

发明内容

(一)要解决的技术问题

本发明的目的是提供一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，使得堡垒主机和防火墙结合更加紧密，实现更加安全、快速的安全预警机制，有效地抵御黑客等非法入侵者的攻击，达到网络安全的目的。

(二)技术方案

为了解决上述技术问题，本发明提供一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，包括：

Part_1：建立守护进程，启动MPI主进程，通过动态链接库导入防火墙规则；

Part_2：启动防火墙主进程，接收预警信息，跟踪可疑IP，调整防火墙防御策略；

Part_3：启动堡垒主机从进程，监测网络攻击和异常事件，发送预警信息。

一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，所使用的数据结构，函数和过程描述如下：

(1)IP地址数据结构StructIP，定义如下：

数据项1，Item_1：IP地址

数据项2，Item_2：IP地址版本，包括IPv4和IPv6

数据项3，Item_3：在数据包Packet中处于源地址SourceIP，目的地址DestinationIP

数据项4，Item_4：对应的物理地址Mac

(2)防火墙规则数据结构Rule，定义如下：

数据项1，Item_1：防火墙规则的编号RuleID

数据项2，Item_2：指定的地址，包括源地址SourceIP，目的地址DestinationIP

数据项3，Item_3：端口Socket

数据项4，Item_4：协议Protocol

数据项5，Item_5：网络接口NIC

数据项6，Item_6：服务规则ServiceType

(3)IP地址队列QueueIP，定义如下：

数据项1，Item_1：StructIP

数据项2，Item_2：匹配的防火墙规则的编号列表RuleList

数据项3，Item_3：匹配规则频数AlertFrequence，初始值等于0

数据项4，Item_4：下一个结点指针NextPoint

(4)跟踪的IP队列QueueIPTrack，定义如下：

数据项1，Item_1：IP地址

数据项2，Item_2：对应的物理地址Mac

数据项3，Item_3：匹配的防火墙规则的编号列表RuleList

数据项4，Item_4：下一个结点指针NextPoint

(5)防火墙规则集合SetRules，定义如下：

SetRules＝{SubSet_1，SubSet_2，...，SubSet_i，...，SubSet_n}

其中，SubSet_i是防火墙规则的第i个子集，每个子集不能为空，至少包含一条防火墙规则，每个子集或者几个子集可以被分配到并行系统中的某个处理机进行处理，实现并行计算。

(6)并行模型ParallelModel，具体为：

其中，参数ProNum是并行模型ParallelModel执行的过程，是Pro_1至Pro_4中的任意一个。

MPI_Creat()是MPI环境建立的过程，包括MPI初始化和设定每个处理器核心的编号等。

Master(Data，Send，Recv，Task，coreID)是主进程Master实现的过程，Data是交换的数据，Send和Recv是MPI进行数据传递时使用的MPI标准函数MPI_Send()和MPI_Recv()。Task对应需要处理的事物、过程或者指令，coreID代表与Master进行通讯的处理器核心的编号，MPI系统中Master处理器核心的编号一般初始化为0。

Slave(Data，Send，Recv，Task，coreID)是从进程Slave实现的过程，Data是从进程中交换的数据，Send和Recv是MPI进行数据传递时使用的MPI函数，该函数与Master使用的均为MPI标准函数过程，Task对应从进程Slave需要处理的事物、过程或者指令，coreID代表与Slave进行通讯的处理器编号。

MPI_Finish()是MPI结束并行计算模式的过程，如果是Slave处理器，Slave将不再接收MPI的消息和任务，如果是Master处理器，本次并行计算过程结束，释放所使用的资源。

(7)安全预警模型AlertTask，具体为：

其中，Type(Network)是防火墙中内网和外网的类型，当Network是内网时，Type返回TrustedNetwork参数值，当Network是外网时，Type返回UntrustedNetwork参数值。

Index(IPAddress，Mac)返回来自内网或者外网的IP地址，当IPAddress来自内网的IP地址时，记录该IP地址和物理地址Mac，当IPAddress来自外网的IP地址时记录该IP地址，Mac地址设置为全0。

Delay(TimePeriod*num)为延迟等待，TimePeriod为时间周期，num为TimePeriod的时间周期数量。

Adapt(RuleID_1，RuleID_2，...，RuleID_i，...，RuleID_n)RuleID_i代表与防火墙中匹配的规则对应的编号。

(8)IP登记RegisterIP，具体为：

如果安全预警模型AlertTask预警，即Adapt(RuleID_1，RuleID_2，...，RuleID_n)匹配了防火墙中的规则，那么，登记Type(Network)和Index(IPAddress，Mac)信息；如果在当前的IP地址队列QueueIP中没有该IP信息，新建IP地址数据结构StructIP结点NewPoint，初始化新结点NewPoint的Item_1的IP地址为IPAddress，初始化新结点NewPoint的Item_2的IP地址版本，当IPAddress是32位时标记为IPv4，当IPAddress是128位时标记为IPv6，在Adapt(RuleID_1，RuleID_2，...，RuleID_n)中提取规则Rule，在防火墙规则数据结构Rule的Item_2提取指定的地址，初始化新结点NewPoint的Item_3，当Type(Network)的类型是内网TrustedNetwork时，初始化新结点NewPoint的Item_4的IPAddrass对应的物理地址Mac，当Type(Network)的类型是外网UntrustedNetwork时，初始化新结点NewPoint的Item_4的IPAddress对应的物理地址Mac为全0，在IP地址队列QueueIP的队尾添加结点NewQIP，新结点NewQIP的Item_1初始化为NewPoint，新结点NewQIP的Item_2添加为Adapt(RuleID_1，RuleID_2，...，RuleID_i，...，RuleID_n)中匹配的规则，新结点NewQIP的Item_3的匹配规则频数AlertFrequence为原AlertFrequence的数值加上Adapt(RuleID_1，RuleID_2，...，RuleID_i，...，RuleID_n)匹配的规则总数，新结点NewQIP的Item_4的下一个结点指针NextPoint初始化为空。

如果在当前的IP地址队列QueueIP中存在IP地址信息，该结点指针为CurPoint，当Type(Network)的类型是内网TrustedNetwork时，如果CurPoint的Item_1的StructIP结点中的Item_4与Index(IPAddress，Mac)中的Mac不一致，那么添加Mac在CurPoint的Item_1的StructIP结点中的Item_4中，显然，这样的设计使得利用NAT(Network AddressTranslation，网络地址转换)的防火墙能够有效防御来自内部网络的攻击行为；当Type(Network)的类型是外网UntrustedNetwork时，CurPoint的Item_2添加为Adapt(RuleID_1，RuleID_2，...，RuleID_i，...，RuleID_n)中匹配的规则，CurPoint的Item_3的匹配规则频数AlertFrequence为原AlertFrequence的数值加上Adapt(RuleID_1，RuleID_2，...，RuleID_i，...，RuleID_n)匹配的规则总数。

(9)对可疑的IP地址进行跟踪TrackIP，具体为：

对IP地址队列QueueIP进行扫描，当检测队列结点的Item_3匹配规则频数AlertFrequence达到给定值时，提取该结点信息，插入跟踪的IP队列QueueIPTrack中，并初始化插入结点的Item_1的IP地址和Item_3匹配的防火墙规则的编号列表RuleList，如果该IP地址对应一个物理地址Mac，初始化Item_2为对应的物理地址Mac，如果该IP地址对应多个物理地址Mac时，复制Item_1和Item_3，分别把对应的多个物理地址结点插入跟踪的IP队列中。

(10)调整防火墙规则和策略SchedulingModel，具体为：

SchedulingModel(Para){

Parameter_1：手动增加防火墙规则AddNewRule，

Parameter_2：重置Slave进程ResetSlave，

Parameter_3：拒绝IP地址和Mac服务Delay(IPAddress，Mac，TimeRefuse)，当IP地址IPAddress是外部网络时，Mac为全0，对IPAddress拒绝服务TimeRefuse的时间；当IP地址IPAddress是内部网络时，对物理地址是Mac的主机拒绝服务TimeRefuse的时间，

Parameter_i：预留用户使用参数，

}

其中，Para是执行SchedulingModel的参数，Para取自Parameter_1至Parameter_i的范围。Parameter_i是系统留给用户自己定义使用的参数，这样的设计在于随着系统规模的增大，有效地扩展系统功能，为用户提供最大的方便性。

(11)系统过程Task，具体为：

Task{

Task_1：执行MPI的主进程Master对从进程Slave的检测，

Task_2：执行MPI的从进程Slave对主进程Master的响应，

Task_3：执行MPI发送数据任务，

Task_4：执行MPI接收数据任务，

Task_5：执行系统过程，

Task_6：执行指令，

Task_i：预留用户执行指令和过程，

}

其中，Task_1和Task_2主要实现在堡垒主机遭到破坏和意外中断服务之后，进行系统恢复；此外，在系统启动时，进行系统自检。

Task_5主要执行系统过程，系统可以通过函数地址获取需要执行的代码，更加方便并行任务的切换和执行。

Task_6代表执行指令，例如在并行系统中执行空等待指令，循环查询等指令。

Task_i是系统给用户预留的执行指令和过程，以满足用户扩展功能的需求。

系统所使用的数据结构，函数和过程描述完毕。

一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，所述特征

Part_1，建立守护进程，启动MPI主进程，通过动态链接库导入防火墙规则，具体为

在操作系统中建立守护进程，启动MPI主进程，执行ParallelModel(Pro_1)，在系统动态链接库中导入防火墙规则Rule，初始化防火墙规则Rule的Item_1的防火墙规则的编号RuleID，Item_2的指定的地址，Item_3的端口Socket，Item_4的协议Protocol，Item_5的网络接口NIC，Item_6的服务规则ServiceType，建立防火墙规则集合SetRules，

SetRules＝{SubSet_1，SubSet_2，...，SubSet_i，...，SubSet_n}

每一个SubSet_i不能为空，初始化IP地址队列QueueIP，建立QueueIP的队列头Top_QueueIP和队列尾Tail_QueueIP，队列头Top_QueueIP的NextPoint指向Tail_QueueIP，Tail_QueueIP的NextPoint设置为空。初始化跟踪的IP队列QueueIPTrack，建立QueueIPTrack的队列头Top_QueueIPTrack和队列尾Tail_QueueIPTrack，队列头Top_QueueIPTrack的NextPoint指向Tail_QueueIPTrack，Tail_QueueIPTrack的NextPoint设置为空。初始化系统匹配规则频数AlertFrequence的警戒值FreqAlertValue。初始化系统TimePeriod的时间值。

所述特征Part_1描述完毕。

一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，所述特征

Part_2，启动防火墙主进程，接收预警信息，跟踪可疑IP，调整防火墙防御策略，具体为

在守护进程中调用防火墙主进程，执行ParallelModel(Pro_2)，主进程Master对每一个Slave执行测试，利用Send发送给coreID测试数据Data，执行系统过程Task_1。

分配防火墙规则集合SetRules的子集给从进程，执行系统过程Task_3，利用发送Send传输数据Data，Data封装防火墙规则集合的子集。

循环查询，执行系统过程Task_5，接收预警信息。

当接收预警信息成功时，执行ParallelModel(Pro_2)，利用Send发送给coreID_rip预警信息，Task是系统过程RegisterIP。

Master执行系统过程TrackIP。

如果跟踪的IP队列QueueIPTrack不为空，扫描队列QueueIPTrack执行系统过程SchedulingModel(Para)，调整防火墙防御策略。

Master执行系统过程Task_6。

如果管理员选择ParallelModel(Pro_4)，那么，调用ParallelModel(Pro_2)，主进程Master对每一个Slave下达执行退出指令，待所有Slave结束任务Task，Master执行MPI_Finish()；否则，执行Task_i的用户预留指令和过程。

所述特征Part_2描述完毕。

一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，所述特征

Part_3，启动堡垒主机从进程，监测网络攻击和异常事件，发送预警信息，具体为：

从进程Slave完成响应测试，执行ParallelModel(Pro_3)，利用Recv接收来自Master的测试数据Data，执行系统过程Task_2。

从进程Slave执行系统过程Task_4，利用Recv接收来自Master的防火墙规则集合SetRules的子集。

循环执行系统过程AlertTask，当Master没有接收预警信息时，Delay(TimePeriod*num)中num自动加1，当Master接收预警信息成功时，Delay(TimePeriod*num)中num设置为0。这样做的目的是：减少由于网络通信给Master带来超载而致使网络瘫痪。

如果Slave编号是coreID_rip，那么执行ParallelModel(Pro_3)，利用Recv接收预警信息，执行系统过程RegisterIP，否则，Slave执行系统过程Task_6和Task_i。

如果Slave接收到重置ResetSlave，那么，Slave结束当前任务Task，重新接收来自Master的防火墙规则集合SetRules的子集，循环执行系统过程AlertTask，并执行系统过程Task_6和Task_i。

所述特征Part_3描述完毕。

(三)有益效果

本发明的有益效果是：

(1)各部分独立，并行的防火墙。

防火墙规则通过动态链接库导入，不影响防火墙的运行。防火墙规则集合划分为子集形式，各个子集相互独立，能够动态调整规则库，实时监测网络，运行并行任务实现安全报警机制。

(2)准确的预警可疑的IP。

并行实现检测过程，能够快速、准确的对可疑的IP进行跟踪和预警，防范黑客等非法用户的入侵和破坏；此外，系统中考虑了内部IP的网络地址转换对防火墙的影响，特别是当黑客等非法用户攻陷内部计算机，把该机变为“肉鸡”后所进行的防火墙穿透；因此，本系统采用了针对网络地址转换所进行的内部IP地址的监控，更加有效地填补了防火墙软件对内防范的不足。

(3)调整防火墙防御策略，优化防火墙整体防御性能。

通过对跟踪的IP队列的分析，优化和调整防火墙防御策略，针对重点监控和多次攻击系统的IP地址进行有效预警，系统通过有效报警机制重点过滤IP地址和攻击行为的过程，能够为网络提供更加安全的整体防御性能。

附图说明

图1是一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法的主要过程示意图。

具体实施方式

下面结合附图和实施例对本发明的实施做进一步详细描述，以下实施例用于说明本发明，但不能用来限制本发明的范围。

例子1：监测内部IP地址的异常行为。

由于很多网络内部使用了NAT(Network Address Translation，网络地址转换)，这为防火墙防御内部网络的攻击带来很大麻烦。NAT是1994年提出的，主要是为了解决IP地址的枯竭而采用的一种技术。使用NAT技术的网络至少有一个有效的外部IP地址，内部网络的计算机可以使用本地的主机地址，在NAT路由器上将其本地地址转换成有效的外部IP地址，实现对外的连接访问。

由于使用了对外的网络地址转换的网络，其防火墙存在对内部网络的防御的弱点，当黑客等非法用户窃取内部网络用户的账号后，利用内部网络主机的“肉鸡”进行网络攻击，会使防火墙失效。

首先，在Part_1中建立守护进程，启动MPI主进程，建立MPI运行环境和对处理器进行编号，导入防火墙规则Rule到动态链接库中，动态链接库进行修改后不需要重新编译调用的主函数，因此，修改防火墙规则不会影响防火墙的运行；建立防火墙规则集合SetRules和划分子集，初始化QueueIP队列和QueueIPTrack队列，设定系统匹配规则频数AlertFrequence的警戒值FreqAlertValue等于3。初始化系统TimePeriod的时间值为10秒。

其次，在Part_2中启动防火墙主进程，对每一个Slave进行测试，分配防火墙规则子集给从进程。与此同时，在Part_3中，从进程Slave完成响应测试，接收防火墙规则子集。

在Part_3中，循环执行系统过程AlertTask；Slave检测到来自内网的IP地址192.168.1.100的物理地址是00-18-EE-AE-3C-70的主机尝试匿名连接FTP端口21，这一行为与防火墙规则RuleID_1匹配成功。

AlertTask启动预警，Slave返回Type(Network)为内部网络TrustedNetwork参数值，Index(IPAddress，Mac)的IPAddress等于IP地址192.168.1.100，因为是内部网络，因此物理地址Mac是00-18-EE-AE-3C-70，Adapt(RuleID_1)代表与防火墙规则RuleID_1匹配成功，Delay(TimePeriod*0)立即进行发送预警信息。于是从进程Slave向在Part_2中的Master主进程发送预警信息。

与此同时，在Part_2中的Master主进程立即成功接收Slave发来的预警信息，Master主进程启动登记IP过程，发送给从进程coreID_rip执行RegisterIP登记该IP地址信息在IP地址队列QueueIP中，初始化QueueIP的新结点Item_1的StructIP，初始化Item_2的RuleList添加RuleID_1，Item_3的匹配规则频数AlertFrequence初始值是0，AlertFrequence的值增加1变为1，此时警戒值FreqAlertValue等于3，因此，AlertFrequence没有超过警戒值，Item_4的NextPoint置为空，新结点插入队尾。在Part_2中的Master主进程执行系统过程TrackIP，对IP地址队列QueueIP进行扫描，没有发现可疑IP。

另外一个从进程Slave_other_1检测到来自内网的IP地址192.168.1.100的物理地址是00-18-EE-AE-3C-70的主机尝试匿名连接服务器w端口123，这一行为与防火墙规则RuleID_10匹配成功，于是从进程Slave_other_1向在Part_2中的Master主进程发送预警信息。

与此同时，在Part_2中的Master主进程成功接收到从进程Slave_other_1发来的预警信息，Master主进程发送给从进程coreID_rip执行RegisterIP登记该IP地址信息在IP地址队列中，由于在IP地址队列中已经存在该IP地址，在队列结点的Item_2的RuleList添加RuleID_10，Item_3的匹配规则频数AlertFrequence的值增加1变为2，此时FreqAlertValue等于3，因此，AlertFrequence没有超过警戒值。在Part_2中的Master主进程执行系统过程TrackIP，没有发现可疑IP。

Slave再次检测到来自内网的该IP地址192.168.1.100的主机尝试匿名连接FTP端口2121，这一行为与防火墙规则RuleID_1再次匹配成功，于是从进程Slave向在Part_2中的Master主进程发送预警信息。与此同时，在Part_2中的Master主进程再次成功接收到从进程Slave发来的预警信息，Master主进程发送给从进程coreID_rip执行RegisterIP登记该IP地址信息在IP地址队列中，由于在QueueIP中已经存在该IP地址，在结点的Item_2的RuleList已经存在RuleID_1，不重复添加，Item_3的匹配规则频数AlertFrequence的值增加1变为3，AlertFrequence的值等于警戒值。

这时，在Part_2中的Master主进程执行系统过程TrackIP，对IP地址队列QueueIP进行扫描，当检测队列结点的Item_3匹配规则频数AlertFrequence达到警戒值FreqAlertValue时，提取该结点信息，插入跟踪的IP队列QueueIPTrack中，并初始化插入结点的Item_1的IP地址和Item_3匹配的防火墙规则的编号列表RuleList，因为该IP地址对应一个物理地址00-18-EE-AE-3C-70，初始化Item_2为物理地址Mac，结点插入跟踪的IP队列中。

当Master主进程扫描跟踪的IP队列QueueIPTrack不为空，执行系统过程SchedulingModel(Parameter_3)，拒绝内网的IP地址192.168.1.100和物理地址是00-18-EE-AE-3C-70的主机服务Delay(IPAddress，Mac，TimeRefuse)，拒绝服务时间为TimeRefuse＝10分钟，调整防火墙防御策略。

这样设计的优点在于：避免了多进程服务的临界区访问问题，由于Slave执行防火墙规则集的子集检测，避免了防火墙主机的瓶颈问题，使得检测更加迅速，反馈更加及时，增加防护的报警速度。

由于NAT所使用的IP地址在防火墙中不易处理，因此，在本发明中使用了Mac物理地址标记内部网络；当内网使用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)协议，该物理地址的主机更换新的IP地址，但是，其物理地址是不改变的，本系统也可以实现对内部可疑IP地址进行有效的监控，从而有效避免内部网络的主机的非法行为和黑客等非法用户利用内部主机进行攻击的行为。

例子2：预防外部IP地址的攻击。

防火墙的主要防御重点是对外部网络的攻击进行识别。

假设Slave检测到来自外网的IP地址63.182.1.47的主机尝试匿名访问内网服务器F，并扫描端口65，端口82和端口83，这一行为与防火墙规则RuleID_3，RuleID_12和RuleID_27匹配成功Adapt(RuleID_3，RuleID_12，RuleID_27)，于是从进程Slave向在Part_2中的Master主进程发送预警信息。

与此同时，在Part_2中的Master主进程成功接收到从进程Slave发来的预警信息，Master主进程发送给从进程coreID_rip执行RegisterIP登记该IP地址信息在IP地址队列QueueIP中，由于该IP已经在QueueIP中，结点Item_2的RuleList如果没有RuleID_3，添加RuleID_3在RuleList中，Item_3的匹配规则频数AlertFrequence的值增加3。

这时，在Part_2中的Master主进程执行系统过程TrackIP，对IP地址队列QueueIP进行扫描，当检测队列结点的IP地址63.182.1.47的Item_3匹配规则频数AlertFrequence大于等于警戒值3时，提取该结点信息，插入跟踪的IP队列QueueIPTrack中，并初始化插入结点的Item_1的IP地址和Item_3匹配的防火墙规则的编号列表RuleList，因为该IP地址对应一个物理地址00-00-00-00-00-00，是外部IP地址，结点插入跟踪的IP队列尾。当Master主进程检测跟踪的IP队列QueueIPTrack不为空，执行系统过程SchedulingModel(Parameter_1)，根据RuleList的列表，手动增加防火墙规则AddNewRule，调整防火墙防御策略，增加对内网服务器F的保护。

显然，使用从进程Slave作为堡垒主机应对外部的攻击，每一个堡垒主机的检测更加迅速，系统通过有效报警机制重点过滤IP地址和攻击行为的过程，能够为网络提供更加安全的整体防御性能。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (1)

1.一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法，其特征在于，包括：

Part_1：建立守护进程，启动MPI主进程，通过动态链接库导入防火墙规则，

Part_2：启动防火墙主进程，接收预警信息，跟踪可疑IP，调整防火墙防御策略，

Part_3：启动堡垒主机从进程，监测网络攻击和异常事件，发送预警信息；

所述方法所使用的数据结构，函数和过程描述如下

(1)IP地址数据结构StructIP，定义如下

数据项1，Item_1：IP地址

数据项2，Item_2：IP地址版本，包括IPv4和IPv6

数据项3，Item_3：在数据包Packet中处于源地址SourceIP，目的地址DestinationIP

数据项4，Item_4：IP地址对应的物理地址Mac

(2)防火墙规则数据结构Rule，定义如下

数据项1，Item_1：防火墙规则的编号RuleID

数据项2，Item_2：指定的地址，包括源地址SourceIP，目的地址DestinationIP

数据项3，Item_3：端口Socket

数据项4，Item_4：协议Protocol

数据项5，Item_5：网络接口NIC

数据项6，Item_6：服务规则ServiceType

(3)IP地址队列QueueIP，定义如下

数据项1，Item_1：StructIP

数据项2，Item_2：匹配的防火墙规则的编号列表RuleList

数据项3，Item_3：匹配规则频数AlertFrequence，初始值是0

数据项4，Item_4：下一个结点指针NextPoint

(4)跟踪的IP队列QueueIPTrack，定义如下

数据项1，Item_1：IP地址

数据项2，Item_2：IP地址对应的物理地址Mac

数据项3，Item_3：匹配的防火墙规则的编号列表RuleList

数据项4，Item_4：下一个结点指针NextPoint

(5)防火墙规则集合SetRules，定义如下

SetRules＝{SubSet_1，SubSet_2，...，SubSet_i，...，SubSet_n}

其中，SubSet_i是防火墙规则集合的第i个子集，子集不能是空集；

(6)并行模型ParallelModel，具体为

ParallelModel(ProNum){

Pro_1：MPI_Creat()，

Pro_2：Master(Data，Send，Recv，Task，coreID)，

Pro_3：Slave(Data，Send，Recv，Task，coreID)，

Pro_4：MPI_Finish()

}

其中，参数ProNum是并行模型ParallelModel执行的过程，由Pro_1至Pro_4组成，

MPI_Creat()是MPI环境建立的过程，包括MPI初始化，设定每个处理器核心的编号，

Master(Data，Send，Recv，Task，coreID)是主进程Master实现的过程，Data是交换的数据，Send和Recv是MPI进行数据传递时使用的MPI标准函数MPI_Send()和MPI_Recv()，Task是需要处理的事物、过程、指令，coreID代表与Master进行通讯的处理器核心的编号，MPI系统中Master处理器核心的编号初始化为0，

Slave(Data，Send，Recv，Task，coreID)是从进程Slave实现的过程，Data是从进程中交换的数据，Send和Recv是MPI进行数据传递时使用的MPI标准函数，Task是从进程Slave需要处理的事物、过程、指令，coreID代表与Slave进行通讯的处理器编号，

MPI_Finish()是MPI结束并行计算模式的过程，如果是Slave处理器，Slave将不再接收MPI的消息和任务Task，如果是Master处理器，本次并行计算过程结束，释放所使用的资源；

(7)安全预警模型AlertTask，具体为

AlertTask{

Type(Network)，

Index(IPAddress，Mac)，

Delay(TimePeriod*num)，

Adapt(RuleID_1，RuleID_2，...，RuleID_n)

}

其中，Type(Network)是防火墙中内网和外网的类型，当Network是内网时，Type返回TrustedNetwork参数值，当Network是外网时，Type返回UntrustedNetwork参数值，

Index(IPAddress，Mac)返回来自内网、外网的IP地址，当IPAddress是来自内网的IP地址时，记录所述IP地址和物理地址Mac，当IPAddress是来自外网的IP地址时，记录所述IP地址，Mac地址设置为全0，

Delay(TimePeriod*num)为延迟等待，TimePeriod是时间周期，num是TimePeriod的时间周期的数量，

Adapt(RuleID_1，RuleID_2，...，RuleID_i，...，RuleID_n)RuleID_i代表与防火墙中匹配的规则对应的编号；

(8)IP登记RegisterIP，具体为

如果安全预警模型AlertTask预警，即Adapt(RuleID_1，RuleID_2，...，RuleID_n)匹配了防火墙中的规则，那么，登记Type(Network)和Index(IPAddress，Mac)的信息；如果在当前的IP地址队列QueueIP中没有所述IPAddress的信息，新建IP地址数据结构StructIP结点NewPoint，初始化新结点NewPoint的Item_1的IP地址为IPAddress，初始化新结点NewPoint的Item_2的IP地址版本，当IPAddress是32位时标记为IPv4，当IPAddress是128位时标记为IPv6，在Adapt(RuleID_1，RuleID_2，...，RuleID_n)中提取规则Rule，在防火墙规则数据结构Rule的Item_2提取指定的地址，初始化新结点NewPoint的Item_3，当Type(Network)的类型是内网时，初始化新结点NewPoint的Item_4的IPAddress对应的物理地址Mac，当Type(Network)的类型是外网时，初始化新结点NewPoint的Item_4的IPAddress对应的物理地址Mac为全0，在IP地址队列QueueIP的队尾添加结点NewQIP，新结点NewQIP的Item_1初始化为NewPoint，新结点NewQIP的Item_2添加为Adapt(RuleID_1，RuleID_2，...，RuleID_n)中匹配的规则，新结点NewQIP的Item_3的匹配规则频数AlertFrequence为原AlertFrequence的数值加上Adapt(RuleID_1，RuleID_2，...，RuleID_n)匹配的规则的总数，新结点NewQIP的Item_4的下一个结点指针NextPoint初始化为空；

如果在当前的IP地址队列QueueIP中存在所述IP地址信息，设定结点指针为CurPoint，当Type(Network)的类型是内网时，如果CurPoint的Item_1的StructIP结点中的Item_4与Index(IPAddress，Mac)中的物理地址Mac不一致，那么添加Mac在CurPoint的Item_1的StructIP结点中的Item_4中，当Type(Network)的类型是外网时，CurPoint的Item_2添加为Adapt(RuleID_1，RuleID_2，...，RuleID_n)中匹配的规则，CurPoint的Item_3的匹配规则频数AlertFrequence为原AlertFrequence的数值加上Adapt(RuleID_1，RuleID_2，...，RuleID_n)匹配的规则的总数；

(9)对可疑的IP地址进行跟踪TrackIP，具体为

对IP地址队列QueueIP进行扫描，当检测队列结点的Item_3匹配规则频数AlertFrequence达到警戒值时，提取可疑结点信息，插入跟踪的IP队列QueueIPTrack中，并初始化插入结点的Item_1的IP地址和Item_3匹配的防火墙规则的编号列表RuleList，如果所述IP地址对应一个物理地址，初始化Item_2为对应的物理地址，如果所述IP地址对应多个物理地址时，复制Item_1和Item_3，分别把对应的多个物理地址结点插入跟踪的IP队列中；

(10)调整防火墙规则和策略SchedulingModel，具体为

SchedulingModel(Para){

Parameter_1：管理员手动增加防火墙规则，

Parameter_2：重置Slave进程，

Parameter_3：拒绝IP地址IPAddress和物理地址Mac的服务Delay(IPAddress，Mac，TimeRefuse)，当IP地址IPAddress是外部网络时，Mac为全0，对IPAddress拒绝服务TimeRefuse的时间，当IP地址IPAddress是内部网络时，对物理地址Mac的主机执行拒绝服务TimeRefuse的时间，

Parameter_i：预留用户使用参数，

}

其中，Para是执行SchedulingModel的参数，Para取自Parameter_1至Parameter_i的范围；

(11)系统过程Task，具体为

Task{

Task_1：执行MPI的主进程Master对从进程Slave的检测，

Task_2：执行MPI的从进程Slave对主进程Master的响应，

Task_3：执行MPI发送数据任务，

Task_4：执行MPI接收数据任务，

Task_5：执行系统过程，系统通过函数地址获取需要执行的代码，

Task_6：执行指令，

Task_i：预留用户执行指令和过程，

}

其中，Task_1和Task_2实现在堡垒主机遭到破坏和意外中断服务之后，进行系统恢复；与在系统启动时，进行系统自检，

系统所使用的数据结构，函数和过程描述完毕；

所述方法的特征

Part_1，建立守护进程，启动MPI主进程，通过动态链接库导入防火墙规则，具体为

在操作系统中建立守护进程，启动MPI主进程，执行ParallelModel(Pro_1)，在系统动态链接库中导入防火墙规则Rule，初始化防火墙规则Rule的Item_1的防火墙规则的编号RuleID，Item_2的指定的地址，Item_3的端口Socket，Item_4的协议Protocol，Item_5的网络接口NIC，Item_6的服务规则ServiceType，建立防火墙规则集合SetRules，

SetRules＝{SubSet_1，SubSet_2，...，SubSet_i，...，SubSet_n}

初始化IP地址队列QueueIP，建立QueueIP的队列头Top_QueueIP和队列尾Tail_QueueIP，队列头Top_QueueIP的NextPoint指向Tail_QueueIP，Tail_QueueIP的NextPoint设置为空，初始化跟踪的IP队列QueueIPTrack，建立QueueIPTrack的队列头Top_QueueIPTrack和队列尾Tail_QueueIPTrack，队列头Top_QueueIPTrack的NextPoint指向Tail_QueueIPTrack，Tail_QueueIPTrack的NextPoint设置为空，

初始化系统匹配规则频数AlertFrequence的警戒值FreqAlertValue，初始化系统TimePeriod的时间值，

所述特征Part_1描述完毕；

所述方法的特征

Part_2，启动防火墙主进程，接收预警信息，跟踪可疑IP，调整防火墙防御策略，具体为

在守护进程中调用防火墙主进程，执行ParallelModel(Pro_2)，主进程Master对每一个Slave执行测试，利用Send发送给coreID测试数据Data，执行系统过程Task_1，

分配防火墙规则集合SetRules的子集给从进程，执行系统过程Task_3，利用发送Send传输数据Data，Data封装防火墙规则集合的子集，

循环查询，执行系统过程Task_5，接收预警信息，

当接收预警信息成功时，执行ParallelModel(Pro_2)，利用Send发送给coreIDrip预警信息，Task是系统过程RegisterIP，

Master执行系统过程TrackIP，

如果跟踪的IP队列QueueIPTrack不为空，扫描队列QueueIPTrack执行系统过程SchedulingModel(Para)，调整防火墙防御策略，

Master执行系统过程Task_6，

如果管理员选择ParallelModel(Pro_4)，那么，调用ParallelModel(Pro_2)，主进程Master对每一个Slave下达执行退出指令，待所有Slave结束任务Task，Master执行MPI_Finish()；否则，执行Task_i的用户预留指令和过程，

所述特征Part_2描述完毕；

所述方法的特征

Part_3，启动堡垒主机从进程，监测网络攻击和异常事件，发送预警信息，具体为

从进程Slave完成响应测试，执行ParallelModel(Pro_3)，利用Recv接收来自Master的测试数据Data，执行系统过程Task_2，

从进程Slave执行系统过程Task_4，利用Recv接收来自Master的防火墙规则集合SetRules的子集，

循环执行系统过程AlertTask，当Master没有接收预警信息时，Delay(TimePeriod*num)中num自动加1，当Master接收预警信息成功时，Delay(TimePeriod*num)中num设置为0，

如果Slave使用的处理器核心编号是coreID_rip，那么执行ParallelModel(Pro_3)，利用Recv接收预警信息，执行系统过程RegisterIP；否则，Slave执行系统过程Task_6和Task_i，

如果Slave接收到重置Slave进程，那么，Slave结束当前任务Task，重新接收来自Master的防火墙规则集合SetRules的子集，循环执行系统过程AlertTask，并执行系统过程Task_6和Task_i，

所述特征Part_3描述完毕。

Images