面向大规模网络的入侵检测和预警系统研究.pdfVIP

西向大规模网络的人侵检测与预警系统研究-， 胡华平张怡辕海涛 宣蕾 (豳防科技大学计算机学院．跃沙。410073) (E·mail：nphu@nudt．edu．cn) 摘要开展面向太规模网络的入侵检测与癞警系统的研究，对于提高我国网 络系统的应急响应能力、缓解鹣络攻击所造成的危害、提高系统秘轰击能力等其 有十分重要妁意义。文章首先挂国内外的磺究现状进行综述，然暮，提出了蕊向 大规模网络的入侵检测与预警系统韵体系结构与组成．最后，着重对与本系统研 制相关的关键技术与难点进行了论述。在国家863计划的资助下，饿项目在原型 系统酌搭建、基于入侵裣潮的颓警模型的建立、分布式入侵验澜协簿模型酶研 完、数据融舍技采辑宽、通用羁络通售霹辑磺制等方面哥最j事骞成效的I传。 关键调入侵捡测 战略预警数据融合数据挖掘 威胁评测 一、荸l 言 IDS的研究始予20世纪80年代，主要包括基于主机的入侵检测系统和基于网络的 入侵检测系统。因为基于主机的入侵检测需要在所有受保护的主机上均安装检测系统，配 置费用高，所以实际碰用较多的是网络獬的入侵检测系统，僵燕高带宽阏络、交换式丽络、 VlAN、擒密传辖懿发爱都辩蕊子瓣络瓣入侵检测造成7缀太限制，爨戳最好熬繁珞是亵 者相结合。现有的主流的基于网络的商业入侵检测系统都准备或已经增加了基于主机的 检测功能。目前的燕要研究为适用于大弛网络的入侵检测系统，主要有已经实现的 Monitoring toAnomalousLiveDisturbances)褒籍稃AAFIDTheAutonomous EnablingResponses 展开了研究。而相应有关预警技术的研究就较少口]。 国外早已开展了早期预警系统及入侵检测技术的研究，在～些重要的政治、军事和经 济闻络上对菲法入侵实蕊监控。这些系统在保障信惫网络安垒、尽翠发现入侵攻击迹象、 分辑入镘攻击瓣技术手段方嚣发挥善囊要的俸援。美星爨家安全魈设有国家计算机安全 中心／系统与网络攻击中心，负责网络信息战的战略情报预警、网络攻防技术开发和网络 倍息战指导，国防信息系统局成立了网络战战术预警中心。自1997年以来，美、夔等闰一 宣在进行网络爱垒预警技术的研究，t998华，美国针对各个信意基础设施掇出了分三簖 段、长达15年的实壤疆警系统静诗翔。美国战旗司令部已经手1999年9胃弹发了耘一代 的入侵检测系统愿塑的“先期概念技术演示(ACTD)”，它能为美网国防部提供信息战的 London学院战争研究系的国际安全分析中心ICSA 早期预警。英国King’sCollege 嗣家863漾籍(2001AA{{2030) (International Centrefor Ana SecurityLysis)在信息战攻击威胁i平测和预警方面进行了深 入的研究，提出r智能化的预警决策支持系统o]。 目前我国还只具备适用于局域网的入侵检测系统与预警系统，还没有适用于大规模 州络的入侵检测与预警系统。为r保障我国信息系统支持和适应信息战的要求，开展网络 入侵检测与预警系统的研究是十分必要的，它对于提高网络系统的应急响应能力、缓解网 络攻击所造成的危害、提高系统的反击能力等均具有十分重要的意迁。在现代信息战与维 护闰家信息安全中，它是有效抵御敌方的信息攻击，维护自身网络体系的正常运作，亍f=进 {i追踪和反击所必不可少的31。 二、面向大规模网络的人侵检测与预警系统 面向大规模网络的入侵检测与预警系统的组成如图1所示(图中所画的应急响应中 心不在本文讨论范围之内)，它主要由基于网络的入侵检测系统、区域预警中心、总预警中 心等二部分组成。入侵检测代理是分布于不同网段的攻击检测程序．在检测到可疑事件或 入侵后，立即向中心服务器报告。当中心服务器收到从各个代理上报的可疑事件或入侵 时，除采用一定的响应策略(如发出警报、切断TCP连接等)外，立即将可疑事件或入侵上 报给区域预警中心，以便对