入侵检测系统的设计和实现.pdfVIP

·134· 第十八次全国计算机安全学术交流佘论文 入侵检测系统的设计与实现 李世林安力 黑龙江省公安厅公共信息网络安全监察处 摘要：当前，网络的安全问题日益突出。传统的网络安全产品很难满足动态网络安全的要 求，因此入侵检测成为了近年来网络安全研究的热点。本文首先介绍了入侵检测系 统的基本概念，详细分析了有关入侵检测方法、体系结构．提出了传统入侵检测系 统的缺点。在分析了传统入侵检测系统的基础上研究网络入侵检测的系统结构框架， 设计了分层的分布式入侵检测系统NETPolice—IDS，将系统分为主机探测响应单元、 网络探测响应单元、分级控制台、总控制台四个部分，各部分之间通过标准的网络 接口进行通信采取加密措施，提高通信的安全性。该系统具有良好的分布性、可扩 展性、安全性、与适应性，实现了对大规模网络攻击的反应。在文中给出了各个模 块的具体设计方案。 关键词：入侵手段 分布式入侵检测 入侵检测 网络安全 当前，网络已经成为社会和经济发展的姒赶动 入侵活动包括非授权用户试图存取数据，处理数据， 力，然而Intemet的共享性和开放性也使之存在着 或者妨碍计算机的正常运行。 严重的安全问题，TCP／IP协议族本身缺乏相应的安 1980年James 全机制，加上各种操作系统和应用软件存在的种种 (Intrusion 漏洞、后门，使整个网络的安全问题日益突出【1】。 过对审计踪迹中记录的活动的分析来描述，并且可 相对于安全技术的种种不足，黑客攻击技术却日新 以通过检测与所描述的正常行为显著偏离的活动来 月异[21。如：2001年，世界各地的计算机网络均不 同程度地遭到了Codered、Nimda的攻击。据FBI统 计，全球每10到20秒就有一起黑客攻击事件发 设计新的 生，造成的直接经济损失仅在美国就超过100亿美 活动记录 元／年。而在所有的上网企业中，超过900／0的企业 都发生过大的入侵事件。国内关于黑客袭击政府网 站、ISP／ICP，入侵银行、证券公司并造成经济损失 的事件也时有发生[31。因此，保障计算机系统、网 定义新规则 络系统以及整个信息基础设施的安全已经成为刻不 修改1日规则 容缓的重要课题。 1．入侵检测的基本概念 冈 入侵(Intrusion)指的就是试图破坏计算机保密 性，完整性，可用性或可控性的一系列活动集合MI。 图1 Denning的通用入侵检测模型 Denning提出r第一个通用人侵检测模型Ⅻ，见图l。主机型入侵检测系统往往以系统日志、应用程 该模型的三个主要的部件是事件产生器(Event 序日志等作为数据源，当然也可以通过其他手段 Profile)和规则 Generator)，活动记录器(Activity (如监督系统调用)从所在的主机收集信息进行分 集(Rule set)。事件产生器是模型中提供活动信息析。主机型入侵检测系统保护的一般是所在的系统。 的部分。活动记录器保存监视中的系统和网络的状 态。当事件在数据源中出现时，就改变了活动记录 分攻击的目标，这些服务器应该安装基于主机的入 器中的变量。规则集是一个普通的核查事件和状态 侵检测系统以提高整体安全性。 的检查器引擎，它使用模型，规则，模式和统计结