分布式网络病毒检测机制分析与系统实现.pdfVIP

!! Q： Science and Technology Jnnovation Herald T技 术 分布式网络病毒检测机制分析与系统实现 瞿 小 宁 (湖南长沙商贸旅游职业技术学院 湖南长沙 410004) 摘 要：针对 目前入侵检测系统不能适应异构网络环境，缺乏协同响应的不足，给出了一种分布式入侵检测与响应协作模型，基于此模型 分析 了分布式网络病毒检测系t~Snort，并详细讨论 了系统的相关特性和功能架构。所设计的系统能够对大型分布异构网络进行有效的入 侵检测 。对网络入侵检测系统的设计有一定参考价值 ，对分布式网络安全 问题是一个有益的探索。 关键词：病毒检测 分布式 分布式网络 机制分析 系统实现 中图分类号：TP3 文献标识码 ：A 文章编号：1674—098X(2011)02(b)一0029—02 1引言 感染。(2)扩散面广 。由于病毒在网络中扩散 入侵检测一般分为三个步骤 ：信息收集、数 随着信 息技术 的发展 ，计算机成为社 非常快 ，扩散范围很大 ，不但能迅速传染局 据分析、响应 。分布式网络病毒检测 目的： 会活动 中的必不可少的工具，大量重要 的 域 网内所有计算机 ，还能通过远程工作站 (1)识别入侵者 ·(2)识别入侵行为。(3)检测和 信息存储在系统中，同时，计算机病毒形式 将病毒在一瞬 间传播到千里之外。(3)传播 监视 以实施的入侵行为，(4)为对抗入侵提 及传播途径 日趋多样化 ，网络防病毒工作 的形式复杂多样 。计算机病毒在网络上一 供信息 ，阻止入侵的发生和事态的扩大l在 已不再是简单的单台计算机病毒的检测及 般是通过 “工作站 服务器 工作站”的途径 分布式入侵检测 中，各部件 间有时需要互 清除，需要建立 多层次的、立体的病毒 防护 进行传播的，但传播的形式复杂多样 。(4)难 相协作来完成较复杂的检测任务 ，因此需 体系，这些都使得信息安全问题 日益严重。 干彻底清除 。单机上 的计算机病毒有时可 要一种通用且高效 的入侵检测协作机制 。 究其原 因，主要是 网络攻击技术不断发展 通过删 除带毒文件 。低级格式化硬盘等措 本文提 出了一个分布式入侵检测与响应协 变化，并呈现出一些新的特点，而原有 的安 施将病毒彻底清除，而 网络 中只要有一 台 作模型(图1)。 全解决方案不能迅速地适应这些新特点， 工作站未能消毒干净就可使整个网络重新 分布式入侵检测 的通用模型有四个组 导致网络 的安全保障技术相对落后于 网络 被病毒感染 ，甚至 刚刚完成清除工作 的一 件 ：事件产生器、事件分析器、响应单元、事 攻击技术 ，从而出现防不胜 防的尴尬局面。 台工作站就有可能被 网上另一台带毒工作 件数据库 。 所以有必要 引入新的技术和思想 ，来改进 站 所感 染 。因此 ，仅 对工作 站进 行病 毒杀 (1)事件产生器 负责原始数据采集 ，对 原有的安全解决方案 。因为 ，在 网络 中防止 除，并不能解决病毒对网络的危害。(5)破坏 数据流和 日志文件进行追踪 ，将搜集到 的 病毒的攻击并不是保护某一 台服务器或客 性大 。网络上病毒将直接影 响网络 的工作 ， 原始数据转 换为事 件 ，提供给 系统其他部 户端计算机 ，而是从客户端计算机到服务 轻则降低速度 ，影响工作效率 ，重则使网络 分 。(2)事件分析器接收事件并进行分析，判 器到网关以至 于每 台不 同业 务应用服务器 崩溃，破坏服务器信息 ，使多年工作毁于一 断为人侵行为或异常现象后转换为警告信 的全面保护 ，保证整个 网络不受计算机病 旦。(6)可激发性 ：网络病毒激发的条件 多样 息 。(3)事件数据库存放各种中间和最终数 毒的侵害 。 化 ，可以是