基于校园网的入侵检测的研究
- 格式:pdf
- 大小:113.67 KB
- 文档页数:1
4分布式入侵检测原型系统
针对传统分布 式入侵检测系统存在 的问题和缺陷, 根据实 际网 络 的特点和安全需求 , 研究 了一个分布式入侵检测原型系统 , 它将 不 同的检 测模块分布到被保护网络的不 同位置, 并且针对相应的数 据源进行处理 , 在一定程度上弥补了 以往入侵检测 系统 的不足 。 该 检测系统宏观上分为与用户交互的管理中心子系统 以及位于各个 检测网络段 中的检测子系统两个部分 , 每个部分 由相 应的功能模块 组成 , 用来完成特定的系统功能 , 检测子系统可以根据 实际的网络 情 况 进 行 部署 。 5结 语 最后 , 在设计的分布式结 构中, 管理 中心首先负责对分布在网 络 中的检 测子系统进行配置与管理 , 如配置各个检测子系统的规则 库 以及启动和停止检测子系统的检测分析活动等 ; 其次 , 它接收各 检测子系统上传来 的各种数据信息 , 对入侵攻击行为进行响应 , 最 后, 管理 中心还要把某一检测子系统上发生的入侵攻击信息所触发 的响应情况 , 实时 的送往其他各检测子系统 , 使系统具 有全局响应 能力 。 这 种分布 式结构减轻 了管理 中心的负担 , 提高了入 侵检测系 统 的可扩展性 。
了一 个分 布 式入侵 检 测原 型 系统 的模 型, 并 对该模 型 给 予 实现 验证 其 可行 性 。 关键 词 : 入侵 检 测 分 布式 系统 C I DF 中图分 类号 : T P 3 9 3 . 0 8 文献标 识码 : A 文章 编号 : 1 0 0 7 — 9 4 1 6 ( 2 0 1 3 ) 0 9 — 0 0 9 3 一 O l
了。
2入 侵 检测 系 统 的设 计
在设计 的时候 , 我首先考 虑其 应用 环境 。 我们 的应用环境 是校 园局域 网, 那么入侵检测系统 的设计相对 来说就变得简单些 , 不 需 要考虑可伸 缩性 、 系 统内部通 信等很多 问题。 其次需要考虑到分析 对象 的问题 。 入侵检 测系统分 析的对象可 以是用户 , 也可 以是系 统 的服务。 入侵检测系统所采集的数据, 可 以是系统 日志、 网络捕获 的 数据包 , 应 用程序 的 日志等 。 而人 侵检测系统只需要其 中的一小部 分。 为了设计一个高 效率 的入 侵检 测系统 , 必须首先设计一个高 效 率 的e v e n t 过滤器 , 让入侵检测系统直接面对所需要 的、 经过了大量 压缩后 的数据。 E v e n t 采集部分 的设计必须要提供一个统一 的接 口, 方便系统的模块化设计 。 可以有各种各样的分析算法来进行入侵行 为的检 测。 不 同的分析 引擎 能够解决 不同的 问题 。 检测规则 的描述对分析引擎有着很重要的影响。 复杂 的规则描 述能清 晰地表达 出入 侵过程 的各个 阶段 , 多个事件的前后关系 , 能 减少系统 的误 报 、 漏 报。 但是复杂 的规则需要保 存各个阶段的很多 状态信息 , 影响了分 析引擎 的处理 时间, 而简单的规则描述 , 只需要 较少的分析时间和较轻 的状态管理负担 , 在事件分析 中能提供更好 的可伸缩性和 效率。 但是 简单的规则可能产生误报和漏报 。 这两者 之 间需 要有一个 平衡 。 研究发现 , 攻击者在攻击一个装有入 侵检测系统的网络或者计 算机系统 时, 首先考虑到的是对付该入侵 检测系统 , 入侵检测系统 是一个有机的整体结构 , 任何一部分 的脆弱性或是缺陷将导致整个 系统的失效 。 对于入侵检 测系统而言 , 它 的核心部件是其数据分析 部分 , 如果系统的分析部分失去作用 , 那么它就 形同虚设 。 所 以入侵
} 数 J 争技术
1 _ I
应 用 研 究
基于校园网的入侵检测的研究
侯 研
( 长春工业大学人文信 息学院 吉林长春 1 3 0 1 2 2 )
摘 要: 本 文对 当前 校 园 网络 实际状 况进行 了细致 分析 的基础 上, 参照公 共入侵 检 测框 架( C o m mo n I n t r u s i o n De t e c t i o n F r a me w o r k, C I DF ) , 设 计
检测系统在检测 攻击的同时 , 必 须 首先 保 护 好 自 己 , 能 够 保 证 自身 的稳健性 。
过滤 后 , 才将 其他 数据 传送 给事件分析器和事件数据库 。 预处理 的 主要 目的是为了防止对入侵检测系统本身构成严重威胁 的攻击 , 如 拒绝服务 攻击 。 预处理器相当于一个简化了的分析器 , 它只对拒绝 服务 攻击感兴趣, 具有检测 拒绝服务攻击 的能力 。 预处理器采用特 征分析 的方式 , 对拒绝服务攻击进行分析、 拦截和过滤 , 并可直接促 使响应单元发生特定的响应动作 , 而对于其它数据包则不作处理直 接交给事件分析器。 同时 , 在对原有C I D F 模型分析 的基础上 , 又对模 型进行 了适度 的简化 , 目的是为 了降低系统 的复杂度 。 简化 的部分位于事件产生 器, 它不再直接向事件 数据库和响应单元提供原始 的数据 , 而是只 起 到数据收集 的作用 , 将功能重新 清晰的划分。 由于预处理器分担 了数据分析器的部分处理任务 , 入侵检测系 统的处理能力会有所提高 。 预处理器的增加并不能影响系统本身的 检测性能 , 因为我们先将产生器获得的数据包 中的一部分在预处理 器 中预先进行 了分析处理, 如果检测到攻击 , 直接报警 , 这些数据包 并不 发送 给事件分析器进行二次分析 ; 如果未检测到攻击 , 数据包 会发到分析器 , 将这些数据包与除了拒绝服务攻击之外的规则进行 匹配 检 测 , 因而 也 不 存 在 二 次 匹 配 的 问题 。
1本文 研 究背 景
随着校园网络规模 的不断扩大和校 园网应用的普及 , 网络设备 和 网络用户不断增多 , 校园网的网络安全 问题也变得 日益复杂和突 出。 在这种情 况下, 校 园 网 络 与信 息 的 安 全 问题 就 越 来 越 引起 人 们 的注 意 , 研究校 园网络信息 安全 的入 侵检测技术就 显得非常 重要