一种强健的入侵检测系统方案的研究和设计.pdfVIP

大会论文 ．钌． 一种强健的入侵检测系统方案的研究与设计 张红斌 郭渊博 马建峰 张红斌 西安电子科技大学计算机学院 河北科技大学计算中心 摘 要：通过对入侵检测系统一般模型的分析，针对当前入侵检测系统在关键进程，数据源、 运行平台等方面容易受到攻击者破坏和扰乱等弱点，提出了一种强健的入侵检测系 统方案来加强入侵检测系统本身的安全。该方案采用基于容错计算的容忍入侵技 术、动态变换的强制访问控制技术和物理隔离技术，构建了一个具有防御入侵、容 忍入侵能力的分布式入侵检测系统，从入侵检测系统的多个方面加强了系统的安 全。最后对系统的性能进行了分析，并讨论了关键系统参数的设定。 关键词：入侵检测 容忍入侵强制访问控制 物理隔离 1、引言 数据 目前关于入侵检测的研究大部分都集中于研究 视监测事件源 检测方法，追求检测效率的提高和对新型攻击的自 动检测，而入侵检测系统本身的安全却未能受到足 够重视，往往使得入侵检测系统在入侵者面前暴露 无疑。而现在的攻击者在攻击网络上的关键服务时， 如果发现此服务有入侵检测保护，往往首先攻击入 侵检测系统，使之停止其保护作用，再攻击被入侵检 测系统保护的对象。 图1 入侵检测系统的一般模型 当入侵者攻入了入侵检测系统(IDS)，并成功地 对新方案的性能和关键参数进行了分析。 扰乱了入侵检测工作，那么入侵检测系统对关键服 务的保护就形同虚设了。因此作为整个系统安全的 2、入侵检测系统面临的安全威胁 一个重要方面，我们必须重视入侵检测系统本身的 安全。 图l给出了“入侵检测系统的一般模型”，我们从 为解决入侵检测系统的安全问题，本文提出了 图中可以看出入侵检测系统工作时的数据处理流程： 一种强健的入侵检测系统的设计方案。首先我们在 数据收集模块从被监测事件源处收集检测数据，经简 第2节分析了入侵检测系统面临的安全威胁；然后 单加工后交由分析系统的数据分析模块作进一步的 在第3节针对这些安全威胁提出了“强健的入侵检 检测，若发现入侵则交给报警模块处理。 测系统”的设计方案，并对这个方案的各个部件的工 通过对入侵检测系统的数据处理流程分析可知， 作原理及处理流程进行了详细分析；最后在第4节 入侵检测系统的安全问题主要集中在运行平台、数据 ．44． 第十九次全国计算机安全学术交流会论文 源、关键进程等三个方面，如图2所示，这_Zea任意一个受到 攻击、破坏都会导致入侵检测系统不能正常工作，进 3、强健的入侵检测系统设计方案 而引起整个系统的防御失败。 针对上述IDS所面I临的安全威胁，我们研究了保 ， 、 护入侵检测系统的若干方法，并根据这些理论方法， 设计和实现了一个强健的入侵检测系统：采用动态变 ≥1 换的强制访问控制加强入侵检测系统关键进程、数据