分布式入侵检测技术的实现.pdfVIP

《冶金 自动化》2004年增刊 分布式入侵检测技术的实现 李天智，孙海波，魏永红 (河北省机电一体化中试基地，河北石家庄050081) [摘 要」人侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资 源上的恶意使用行为进行识别和响应，它不仅检测来自外部的人侵行为，同时也监督内部用户的未授权活动。本文提出 一种基于部件的人侵检测系统，具有良好的分布性能和可扩展性。他将基于网络和基于主机的人侵检测系统有机地结合 在一起，提供集成化的检测、报告和响应功能。 关〔键词」网络安全;人侵检测;网络引擎;主机代理 0 概述 信息系统的安全问题是一个十分复杂的问题，可以说信息系统有多复杂，信息系统安全问题就有多 复杂;信息系统有什么样的特性，信息系统安全就同样具有类似的特性。 信息安全是一种很难量化的概念，我们可以把信息系统的“性能”与“安全”做一个简单的对比。 针对网络吞叶量、主机的运算速度、数据库的TPC指标等这类性能问题，用户可以根据自己的业务 要求、资金条件等方面考虑取舍。系统性能的高低在一定程度上可以通过量化指标来表现。换句话说， 系统性能的提高，用户虽然摸不到，但却是可以看到的。 而 “安全”是一个非常难于量化的指标，真正是一个看不见摸不着的东西。因此安全问题很容易表面 上受到重视，而实际上没有真正得到重视。“什么事情也没有”实际上就是安全的最高境界。但是，“什么 事情也没有”也正是导致忽视安全问题的原因所在。实际上，安全就是防范潜在的危机。 按获得原始数据的方法可以分为基于网络的人侵检测和基于主机的人侵检测系统。 (1)基于主机的人侵检测系统 基于主机的人侵检测出现在20世纪80年代初期，那时网络还没有今天这样普遍、复杂，且网络之间 也没有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录是很常见的操作。由于入侵在当 时是相当少见的，在对攻击的事后分析就可以防止今后的攻击。 (2)基于网络的人侵检测系统 基于网络的人侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机 模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常 用技术来识别攻击标志: 1)模式、表达式或字节匹配; 2)频率或穿越阀值; 3)次要事件的相关性; 4)统计学意义上的非常规现象检测。 1分布式入侵检测技术 1.1 系统构成 分布式人侵检测系统(DistributedIntrusionDetectionSystemDIDS)是基于部件的人侵检测系统。 系统中的部件(Component)是具有特定功能的独立的应用程序、小型的系统或者仅仅是一个非独立的应 用程序的功能模块。在部署时，这些部件可能在同一台计算机上，也可以各自分布在一个大型网络的不 同地点。总之，部件能够完成某一特定的功能，并且是DIDS的一部分。部件之间通过统一的网络接口 仁收稿日期j2004-06-16 [作者简介〕李天智(196。一)，男，河北昌黎人，副研究员，主要从事计算机控制、网络工程及信息安全产品的研究与开发工作。 389 《冶金 自动化》2004年增刊 进行信息交换，这样既简化了部件之间的数据交换的复杂性，使得部件非常容易地分布在不同主机上，也 给系统提供了一个扩展的接口。 DIDS的主要部件有:网络引擎(NetworkEngine)、主机代理(HostAgent)、存储系统(StorageSys- tem)、分析系统(Analyzer)、响应系统(ResponseSystem)、控制台(ManagerConsole). 网络引擎和主机代理属于事件产生器。网络引擎截获网络中的原始数据包，并从其中寻找可能的人 侵信息或其他敏感信息。主机代理在所在主机以各种方法收集信息，包括分析日志、监视用户行为、分析 系统调用、分析该主机的网络通信等。但他们也具有数据分析功能，对于已知的攻击，在这些部件中所用 模式匹配的方法来检测可以大大提高系统的处理速度，也可以减少分析部件的