收藏 分销(赏)

一个分布式入侵检测系统的研究与设计.doc

上传人:快乐****生活 文档编号:3089456 上传时间:2024-06-17 格式:DOC 页数:8 大小:220.54KB
下载 相关 举报
一个分布式入侵检测系统的研究与设计.doc_第1页
第1页 / 共8页
一个分布式入侵检测系统的研究与设计.doc_第2页
第2页 / 共8页
一个分布式入侵检测系统的研究与设计.doc_第3页
第3页 / 共8页
一个分布式入侵检测系统的研究与设计.doc_第4页
第4页 / 共8页
一个分布式入侵检测系统的研究与设计.doc_第5页
第5页 / 共8页
点击查看更多>>
资源描述

1、一个分布式入侵检测系统的研究与设计安 娜,吴晓南,陈晓江,房鼎益(西北大学 计算机科学系,陕西 西安 710069)摘要:针对目前入侵检测系统不能适应异构网络环境、缺少协同响应的局限性,提出了一种基于CORBA的分布式入侵检测系统模型,设计并实现了一个基于该模型的入侵检测系统(称为Aegis)。具体讨论了系统的体系结构、特点和实现技术等。所设计的系统可以对大型分布异构网络进行有效的入侵检测。对网络入侵检测系统的设计有一定参考价值,对综合解决网络安全问题是一个有益的探索。关 键 词:网络安全;网络入侵检测;主机入侵检测;入侵协同响应;CORBA中图分类号:TP393.08 文献标记码:A 文章编

2、号:1000-274X(2023)0100-3 随着网络技术的发展和网络应用的进一步,网络安全问题日益严重,给网络和信息系统带来了严重威胁。究其因素,重要是网络袭击技术不断发展变化,并呈现出一些新的特点,而原有的安全解决方案不能迅速地适应这些新特点,导致网络的安全保障技术相对落后于网络袭击技术,从而出现防不胜防的尴尬局面。所以有必要引入新的技术和思想,来改善原有的安全解决方案。1 分布式入侵检测入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合1。入侵检测技术可被分为误用入侵检测和异常入侵检测两种,前者通过检测固有的袭击模式发现入侵,后者通过检测系统或用户行为是否偏离正常模式发现入侵

3、;按照数据来源可分为主机和网络入侵检测,主机入侵检测重要收集其运营主机的信息,例如CPU、内存使用率,文献的访问控制等,网络入侵检测重要收集其所在局域网上传输的所有数据;按照入侵响应可分为积极响应和被动响应两种:假如检测出入侵后,可以自动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为积极响应,若检测到入侵后仅给出警报或记录日记,那就是被动响应2。入侵检测系统是基于以上几种模型相结合构建出的计算机软件,其作用就像一个防盗系统,可以实时地发现也许的入侵。目前的网络入侵检测系统和产品还很不成熟,基本上都是用来监控单一网段,功能较为简朴。此外,随着网络应用的广泛和互连网络自身的分布异构性,网

4、络入侵与袭击的方式已经变得越来越隐蔽,且趋于多样性、分布化和协同性3。因此,入侵检测系统也需要满足跨平台、可复用、易扩充、协同检测等新的应用需求。所以,研究运用分布计算技术,实现大型分布式入侵检测系统(DIDS)是故意义的。CORBA是由对象管理国际组织OMG制定的一套分布式对象交互的规范4。CORBA与入侵检测相结合具有许多优点和特点: CORBA开发语言独立性和跨平台性,使得可以方便地集成多种多样的监测和安全程序; 运用CORBA中间件所集成的下层软件与上层应用系统几乎无关,即当下层软件发生改变时,只要CORBA对外的接口定义不变,上层应用几乎不需修改; CORBA具有好的扩展性,能方便地

5、进行系统裁剪或组合,适应不同的具体需要和环境; CORBA自身就有很好的安全机制。它提供标记与鉴别,授权与访问控制,对象间的安全通信、安全审计、安全管理等安全服务。将CORBA的优点和DNIDS结合,不仅可以解决网络平台的复杂性和多样性,还能适应网络异构和动态变化的特性。因此,我们设计并实现了一个基于CORBA的入侵检测系统,称之为Aegis。2 Aegis系统组成、结构与特点Aegis系统是一个集状态监测,入侵检测和入侵响应于一体、网络与主机检测相结合、适于大型网络结构的DIDS。Aegis系统重要由管理点、网络检测点、主机检测点和安全响应点4部分组成5 (见图1)。在Aegis应用环境中,

6、用户可将一个大型网络划提成多个域,每个域中可部署一个网络检测点,多个安全响应点和多个主机检测点。整个系统只需部署一个管理点。图1 系统结构图Fig. 1 Aegis system structure网络/主机检测点的任务是采集原始数据,对原始数据按照用户规定进行过滤,并反馈给管理点,实现实时状态监测,或对原始数据进行误用入侵检测,将结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管理器4部分组成。安全响应点是网络中除检测点以外涉及网络安全和网络管理的各种软件资源,例如防火墙组件、文献备份组件以及负载均衡组件等。管理点的任务是管理和配置所有的网络检测点,负责它和检测点的信息

7、交流,汇总和存储检测点上报的数据,并对这些数据归类分析,进行异样入侵检测和分布式误用入侵的检测。它包含了图形用户界面、数据库、异常入侵检测与误用入侵分析器和顶级管理器4个部分。与其他现有的DIDS相比,Aegis的一个特色在于实现了误用和异常的入侵检测的分离。前者放在检测点中,而后者放在管理点中。这是由于与计算机病毒相似,误用入侵袭击也具有明显的特性,这些特性也可被转化为规则,形成规则库,并且易于用编程语言实现。当前危害较大的洪水袭击和蠕虫病毒袭击的共同特点都是在短时间内发送大量的数据包,拥塞网络或主机,从而导致设备瘫痪。假如将袭击数据照原样传送给管理点,不亚于将袭击的目的转移到管理结点。因此

8、检测点在检测出误用入侵后只需和防火墙组件连动,切断有害连接,再将袭击的来源和特性报告给管理点。由管理点汇集这些信息进行进一步的分布式入侵检测分析,从而大大减少了检测点和管理点的数据通信,实现了局部与全局的监测的有机结合和对管理点的保护。Aegis的另一个特色是使用分布式计算和面向对象计算完美结合的CORBA技术,实现了检测和响应分离。用户可按照需要,选择检测点及不同安全组件之间的协作关系,建立了安全组件之间的互相通信和联动,提高了系统的可扩展性,实现整体安全防护。例如,当检测引擎检测到某种袭击后,会自动告知防火墙修改安全策略。从信息安全系统防御的角度出发,这种联动是必要的。联动涉及了检测引擎与

9、防火墙的联动,可封堵源自外部网络的袭击; 检测引擎与网络管理系统的联动,可封堵被运用的网络设备和主机; 检测引擎与操作系统的联动,可封堵有恶意的用户帐号;检测引擎和备份服务器联动,可以进行劫难恢复。3Aegis的设计和实现Aegis是一个基于CORBA的应用,那么系统设计的第一步就应当将系统中用到的CORBA对象提炼出来。CORBA对象与我们平常所说的(本地)对象同样,也包含了对象属性和对象操作。但区别在于CORBA对象必须用IDL语言定义。IDL定义了应用程序构件之间可互操作的接口。有了这个接口才使对象之间的远程调用成为也许。而ORB又保证了对象调用对用户的透明性。换句话说,CORBA对象提

10、供远程调用的接口,而本地对象则不可以。3.1Aegis对象模型Aegis在物理上由管理点、检测点和安全响应点3部分组成,因此管理点的顶级管理者需要和检测点的域管理者以及安全响应点的安所有件管理者通信。所以一方面要将这3个管理者抽象为CORBA对象。然而在Aegis中存在多个检测点和响应点,假如多个域管理者和安所有件管理者同时向顶级管理者返回数据,那么就会使顶级管理者成为系统瓶颈,易导致单点故障。因此,我们在管理点设立一些和检测点与响应点相相应的通信对象,即检测点管理者和安全响应点管理者,由它们负责和检测点进行数据互换、解析检测点返回的数据、执行安全响应任务。这样顶级管理点的任务就简化为通过检测

11、点管理者向相应的检测点和安全响应点发布命令,进行任务管理。从而将顶级管理点原有的任务管理和数据交互的功能分散在两类对象中。顶级管理点要可以对检测点和响应点进行管理,它一方面必须获得检测点和响应点的对象引用。在Aegis中是通过注册来实现的。检测点或响应点启动后积极向管理点报告,管理点接到检测点或响应点的注册请求后,为它生成一个检测点管理者或和响应点管理者,并记录它们的相应关系。3.2Aegis系统的实现3.2.1误用入侵检测点Aegis运用专家系统进行误用入侵的检测。在系统实现时,先将有关入侵的特性转化为IFTHEN蕴含规则,其中IF部分是对入侵特性的描述,即判断袭击是否出现的必然条件,THE

12、N部分是系统的防范措施。推理机根据特性库中的规则,对待判别数据进行模式匹配,只有当规则左边的条件都满足时,规则右边的动作才会执行。知识库中的规则按照与上下文的关系可以分为两类。第一类规则具有上下文无关性,也就是说入侵分析无需知道其它数据包的信息,仅根据当前数据包中提供的信息就能分辨出是否有入侵出现。另一类则具有上下文相关性,当从一个数据包中无法判断出是否存在袭击时,需要综合与之相关的其它数据包的信息。也就是说对当前安全事件的分析要与过去所了解的相关历史信息联系起来,使结果更加准确可信。负责第一类规则匹配的推理机一直处在工作状态,每当捕获到一个数据包时,它都要使用上下文无关规则进行匹配分析,匹配

13、成功就报警,否则就先将数据存储在特定的数据结构中,作为第二个推理机的输入;负责第二类规则匹配的推理机处在睡眠状态,间隔一段时间被唤醒一次。唤醒后,使用上下文相关规则对存储的数据进行匹配分析。匹配成功则报警,否则将数据传递到管理点进行下一步分析。袭击模式库作为系统的插件,能进行动态配置和更新,因此系统灵活,扩展性好。 这种方法的优点是对已知特性的袭击检测准确率和效率高、实时性好。缺陷是防范入侵的有效性取决于专家系统知识库的完备性。为了能最大限度的保证系统的安全性,安全管理员需经常了解误用入侵的最新动态,提取新的入侵特性,并用规则表达之,最后加入知识库6。3.2.2异常入侵检测点为了提高Aegis

14、对未知袭击的适应,我们采用数据挖掘技术7,如图2所示。先图2 基于数据挖掘的入侵检测Fig .2 Intrusion detection based on data mining model将二进制表达的原始审计数据用ASCII码表达,原始数据可以是网络数据包、操作系统的系统调用过程或用户的操作行为。然后进行数据预解决工作,例如将原始数据归纳为TCP链接、Telnet会话过程、用户执行命令集和用户使用系统时的等。将整理好的数据插入训练数据集后,作为某种数据挖掘算法的输入,就可从这个训练数据集中得到提取到的模式或特性。然后同样执行数据收集和预解决过程,得图4 用于入侵检测系统的数据挖掘过程到评估

15、数据集,用来评估新得到的模式或特性的准确率。若评估结果令人满意,则可将当前的模式或特性加入特性库,若图4 用于入侵检测系统的数据挖掘过程不满意,则重新选取数据、挖掘算法,或重新设立算法中的参数。最后,就可用模式或特性库中已有的知识来解决的预言数据,得到预言结果。Aegis系统使用分类算法和聚类算法可以发现未知的袭击形式,使用关联规则可以发现越权用户和假冒用户,同时还能在未知袭击的特性趋于稳定后,自动将袭击特性转化为规则,下发到检测点中,从而实现自动维护专家系统中的规则库。3.2.3安全响应点安全响应点由一系列组件组成:1) 防火墙组件。当检测点检测出入侵时,它在向管理点报告入侵事件的发生时间和

16、袭击源的同时,也会告知本域中的防火墙组件。防火墙组件修改防火墙的策略,过滤掉袭击源的地址。然后,防火墙组件再将该消息发送给管理点中的安全响应点管理者,由它再转发给其他的防火墙组件,相应调整各自的防火墙策略,保护网络中的其它结点不受袭击,起到预警的作用。2) 负载均衡组件。Aegis采用地址转换作为实现负载均衡的方法。具体采用Linux下的防火墙软件iptables作为地址转换器NAT,同时根据性能监测引擎所监测到每台内部主机的性能数据作为挑选内部地址的依据。负载均衡组件每隔一段时间会轮询每个提供相同服务的服务器的负载情况,从中挑选出一个负载最轻的主机,同时会向防火墙组件发送消息,告知这个负载最

17、轻的地址。当防火墙组件接到这个消息后,立即增长NAT地址转换策略。当有服务请求发送到防火墙时,就可以根据策略将请求目的地址转换为那个负载最轻的主机地址,这样就完毕了负载均衡。3) 劫难恢复组件。为了完毕劫难恢复,需要将主机检测的文献监测引擎和文献备份协同起来。文献监测重要是通过对文献完整性的监测来完毕的,其重要技术重要是根据文献内容提取一个数字摘要,通过对比两次的计算的数字摘要是否相同来发现文献是否被修改。进一步结合用户行为的检测,判断当前的修改是否非法。若是非法的,就选择一个文献备份组件对指定文献以流的形式还原。 4 结 语Aegis将CORBA、人工智能、协同和IDS技术相结合,有效的解决

18、了当前入侵检测系统面临的平台异构、无统一通信机制和安全策略等问题。 Aegis已经被实现,通过在校园网环境的初步应用表白,它基本能满足大型网络在性能、状态监控和入侵检测等方面的规定。当然,要使系统可以大范围推广应用,尚有待完善和改善,例如,应完善对异常入侵的检测,增强系统的智能性,减少误报率;增长系统的容错能力与抗袭击能力;加强安全响应部件之间工作的协同性。参考文献:1 SPAFFORD E. Crisis and After MathJ. Communications of the ACM, 1989, 32(6): 678-786 2 STEFAN A. Intrusion Detecti

19、on Systems: A Survey and TaxonomyOL. sax/pub/,2023-6-9.3 段海新, 吴建平. 分布式协同入侵检测系统结构设计与实现问题J. 小型微型计算机系统, 2023, 22 (6):646-5604 汪芸. CORBA技术及其应用M. 南京:东南大学出版社,1999.5 吴晓南. 基于智能的分布式网络入侵监测系统D. 西安:西北大学计算机科学系, 2023.6 龚 俭, 董 庆, 陆 晟. 面向入侵检测的网络安全检测实现模型J. 小型微型计算机系统, 2023, 22(2): 145-1487 ADBELAZIZ M. Rule-based dis

20、tributed intrusion detectionD. University of Namur, Belgium, 1997.(编辑 曹大刚)Research on a distributed network intrusion detection systemAN Na, WU Xiao-nan, CHEN Xiao-jiang, FANG Ding-yi(Department of Computer Science, Northwest University, Xian 710069)Abstract: A CORBA-based distributed network intrus

21、ion detection system model is proposed to overcome problems existing in the current network intrusion detection systems, such as inadaptability to the heterogeneous network environment, and short of the cooperable response to the attacks. From the model, a distributed intrusion detection system, cal

22、led Aegis, is designed and implemented. The related issues, such as the system organization and architecture, features, and implementation methods, are discussed in detail. The initial application of Aegis shows that it can effectively monitor network statues and detect intrusions in a large heterogeneous network.Key Words: Network Security,Network Intrusion Detection, CORBA作 者 简 介安娜(1959-),女,陕西西安人,西北大学计算机系工程师,重要从事计算机应用与计算机网络教学和研究工作,先后参与过“基于Internet的计算机考试系统”、“基于构件的分布式系统设计环境”和“大型网络监测与入侵检测系统”的研制和开发任务。

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服