论文部分内容阅读
1.引言
随着网络的迅速普及以及社会对网络的依赖程度的增加,网络安全问题变得越来越迫在眉睫。
防范网络攻击,常用的方法是防火墙,但防火墙不是万能的,通常也不能提供实时的入侵检测能力。入侵检测系统就是在这种背景下产生的新型网络安全技术。然而,传统的入侵检测系统远远不能满足网络安全的需求。在此,我们提出一种新型的混合型分布式入侵检测模型,供业内人士研究探讨。
2.分布式入侵检测系统
入侵检测就是对入侵行为的发觉,除了发现对系统的破坏行为,还要为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
传统的入侵检测技术通过在网络中放置多个探测器,将收集到的网络状态信息送到中央控制台分析处理。这种模型在面对大规模、异质网络环境以及分布式协同攻击的情况下显得力不从心。在这样的情况下,分布式入侵检测系统DIDS应运而生,并成为目前入侵检测研究领域的一个研究热点。
分布式入侵检测系统的数据来源于网络中的数据包和主机中的数据,采用的是分布式检测、集中管理的方法,具有检测攻击行为范围大、检测准确度高、检测效率高、具有协调响应措施等优势。它的系统模型如图1所示。
3.混合型分布式入侵检测系统
3.1系统逻辑结构
本文在综合借鉴了基于组件的分布式入侵检测系统模型以及基于自治代理的分布式入侵检测系统模型,提出了一种混合型的分布式入侵检测系统,由探测代理,监视代理,策略执行代理3类代理组成。
3.2 分布式入侵检测系统分布、协作特点:
(1)数据来源的分布化:检测的审计数据源多层次,涵盖了网络数据包以及系统日志等主机数据源。
(2)分析检测的分布化:在受保护网络内划分多个安全管理区,每个管理区内包含一个唯一的监视代理和多个探测代理。探测代理负责收集安全审计数据,检测安全事件,并向所属的监视代理汇报,同时还具备初级响应功能。监视代理对探测代理上报的信息进行聚合分析。在管理区内部,探测代理与监视代理是层次型的从属关系。
(3)多区域检测的协作化:在整个受保护网络中,分布有多个监视代理,它们之间是平等协作的关系。每个监视代理可以与其它监视进行交互完成检测任务。
3.3 分布式入侵检测系统的重要组成部分:
(1)消息表示及通信模块:是代理之间相互交换信息的基础,它的作用在于定义一种各个代理都可以理解的消息格式表示信息,并使用一种安全有效的方式传递信息。
(2)探测代理:在这里是指一种低级的入侵检测系统,可以脱离整个系统独立运行。而在作为分布式入侵检测系统的探测代理时,通过消息及通信模块可以与系统的其他代理交换信息。
(3)监视代理:是综合处理探测代理提交信息的地方。为了提高可靠性,监视代理应该有多个,甚至可以再次分级。这种冗余使得系统可以避免单点失效的致命漏洞。监视代理把最终的报警信息可以发送给其他监视代理,或者利用消息模块发送响应指令给策略执行代理。监视代理关注的是大范围异常事件的检测。
(4)策略执行代理:响应是系统安全策略的最终体现。最简单的自动响应是自动通知。比较主动的响应是阻止正在进行的攻击,使得攻击者不能够继续访问。
(5)用户界面:是用户与整个系统交互的可视化窗口。应该具备配置系统、图形化的结果输出界面及查询的功能。
3.4 系统部署
在小型网络中,一般把监视代理、策略执行代理安装在同一个计算机上,这样既节约了系统成本,也加快了系统的反应速度。图2所示,是网络探测代理(N1,N2,N3)、主机探测代理(H1,H2,H3)、监视代理(A1,A2,A3)和策略执行代理(M1,M2,M3)在一个典型的小型网络上的部署。
4. 结语
入侵检测是一个很新的领域,没有统一的模式可以遵循。在这里,我们提出了一种基于多代理机制的分布式入侵检测系统方案,并对方案进行了详细分析和设计。在设计中,提出了基于多代理的检测方法,解决了传统入侵检测系统中存在的一些问题。随着研究的深入,基于多代理机制的分布式入侵检测系统将得到进一步完善。
随着网络的迅速普及以及社会对网络的依赖程度的增加,网络安全问题变得越来越迫在眉睫。
防范网络攻击,常用的方法是防火墙,但防火墙不是万能的,通常也不能提供实时的入侵检测能力。入侵检测系统就是在这种背景下产生的新型网络安全技术。然而,传统的入侵检测系统远远不能满足网络安全的需求。在此,我们提出一种新型的混合型分布式入侵检测模型,供业内人士研究探讨。
2.分布式入侵检测系统
入侵检测就是对入侵行为的发觉,除了发现对系统的破坏行为,还要为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
传统的入侵检测技术通过在网络中放置多个探测器,将收集到的网络状态信息送到中央控制台分析处理。这种模型在面对大规模、异质网络环境以及分布式协同攻击的情况下显得力不从心。在这样的情况下,分布式入侵检测系统DIDS应运而生,并成为目前入侵检测研究领域的一个研究热点。
分布式入侵检测系统的数据来源于网络中的数据包和主机中的数据,采用的是分布式检测、集中管理的方法,具有检测攻击行为范围大、检测准确度高、检测效率高、具有协调响应措施等优势。它的系统模型如图1所示。
3.混合型分布式入侵检测系统
3.1系统逻辑结构
本文在综合借鉴了基于组件的分布式入侵检测系统模型以及基于自治代理的分布式入侵检测系统模型,提出了一种混合型的分布式入侵检测系统,由探测代理,监视代理,策略执行代理3类代理组成。
3.2 分布式入侵检测系统分布、协作特点:
(1)数据来源的分布化:检测的审计数据源多层次,涵盖了网络数据包以及系统日志等主机数据源。
(2)分析检测的分布化:在受保护网络内划分多个安全管理区,每个管理区内包含一个唯一的监视代理和多个探测代理。探测代理负责收集安全审计数据,检测安全事件,并向所属的监视代理汇报,同时还具备初级响应功能。监视代理对探测代理上报的信息进行聚合分析。在管理区内部,探测代理与监视代理是层次型的从属关系。
(3)多区域检测的协作化:在整个受保护网络中,分布有多个监视代理,它们之间是平等协作的关系。每个监视代理可以与其它监视进行交互完成检测任务。
3.3 分布式入侵检测系统的重要组成部分:
(1)消息表示及通信模块:是代理之间相互交换信息的基础,它的作用在于定义一种各个代理都可以理解的消息格式表示信息,并使用一种安全有效的方式传递信息。
(2)探测代理:在这里是指一种低级的入侵检测系统,可以脱离整个系统独立运行。而在作为分布式入侵检测系统的探测代理时,通过消息及通信模块可以与系统的其他代理交换信息。
(3)监视代理:是综合处理探测代理提交信息的地方。为了提高可靠性,监视代理应该有多个,甚至可以再次分级。这种冗余使得系统可以避免单点失效的致命漏洞。监视代理把最终的报警信息可以发送给其他监视代理,或者利用消息模块发送响应指令给策略执行代理。监视代理关注的是大范围异常事件的检测。
(4)策略执行代理:响应是系统安全策略的最终体现。最简单的自动响应是自动通知。比较主动的响应是阻止正在进行的攻击,使得攻击者不能够继续访问。
(5)用户界面:是用户与整个系统交互的可视化窗口。应该具备配置系统、图形化的结果输出界面及查询的功能。
3.4 系统部署
在小型网络中,一般把监视代理、策略执行代理安装在同一个计算机上,这样既节约了系统成本,也加快了系统的反应速度。图2所示,是网络探测代理(N1,N2,N3)、主机探测代理(H1,H2,H3)、监视代理(A1,A2,A3)和策略执行代理(M1,M2,M3)在一个典型的小型网络上的部署。
4. 结语
入侵检测是一个很新的领域,没有统一的模式可以遵循。在这里,我们提出了一种基于多代理机制的分布式入侵检测系统方案,并对方案进行了详细分析和设计。在设计中,提出了基于多代理的检测方法,解决了传统入侵检测系统中存在的一些问题。随着研究的深入,基于多代理机制的分布式入侵检测系统将得到进一步完善。