分布式入侵检测系统技术地研究.pdfVIP

AnInsightofDistributedIntrusionDetection SystemTechnology WangGang QuJunhua (NorthChinaElectricPowerUniversity 102206) ABSTRACT Inthisessay,wegiveanintroductionofRIDSonitsbasicconcept,itscompo- nents,anditswayofdetectingintrusions.DIDStakesthemeansofdistributeddetectingandcen. tralizedstrategizinginfindingoutthenastyincursions.Thekeydatastructure一goaltree一is adoptedinDIDSspatternmatchingandintrusionpredicting.Tomakethetheoriesclear,we provideascenarioinwhichtheIPSpoofingisdetectedbythecoordinationofthecomponentsof DIDS.Somerelatedworkstillneedstobedonewithsomementionsgiven. KEYWORDS DIDS Goaltree AgentController Intrusionbase 分布式人侵检测系统技术的研究 王 纲 曲俊华 (华北电力大学 102206) 抽 要 本文介绍了分布式入侵检测系统的墓本组成，各组成部分的功能和入侵位测的方法。分布式入侵检 测系统在对攻击事件位测和报警时采用分散一集中方式，所采用的数据结构— 目标树 被用来进行入侵预 测。文中使用了IPSpoofing攻击来描述入侵位侧的全过程。最后提及了分布式入侵检测系统所要着重考虑 的几个问题。 关镇词 分布式入怪检测系统 目标树 代理 控制器 入怪教据库 360 一、入侵检测系统概述 计算机网络安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损 失达数百亿美元。据权威机构估计，进入新世纪之后，上述损失将达2000亿美元以上。计算机网络安 全技术主要有:认证授权(Authentication)、数据加密(Encryption)、访问控制(AccessControl),安全审计 (Auditing)等。入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。 入侵检测的基础是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计 算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，信息一般来自以下四个方面: 1、系统日志文件和网络数据包; 2、目录和文件中的不期望的改变; 3、程序执行中的不期望行为; 4、未授权的对网络硬件的连接和对物理资源的访问。 根据信息收集的来源和相应的处理方式，入侵检测模型可以分为基于主机和基于网络两种。基于 主机的IDS也称基于系统的IDS，它通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化 等。其信息来源主要是系统的审计日志，一般只能检测该主机上发生的入侵行为。这也是最早出现的 IDS, 基于网络的IDS通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以 此来判别是否有入侵行为发生，当发现某些可疑的现象时会产生报警，而且向一个中心管理站点发出 “报警”信息。 大多数基于主机的IDS则要依靠对最近几分钟内审计记录的分析，这将带来一定的延迟，同时基 于主机的IDS在宿主机上运行时还要消耗宿主机的资源。基于网络的IDS主要依靠共享式网络的广 播特性来获取网络信息，然而，随着网络技术的发展，共享式网络正在向交换式网络演变，这将大大限制 基于网络的IDS获取网络信息。 二、分布式入侵检测系统(DIDS)的组成 为了将上述两种IDS的优势结合起来以取长补短，并且为了应付更加复杂的入侵方式，分布式入 侵监测系统DIDS(DistributedIntrusionDetectionSystem)被提了出来