(基于英特网安全的入侵检测.docVIP

基于英特网安全的入侵检测 入侵检测系统通过检测恶意攻击行为来监控计算机网络，由于网络是个复杂的系统，一个有效的入侵检测必须能够处理不同内容、不同速率、不同抽象和可行性级别的事件序列。因此，必须将入侵检测传感器放置在多种受保护的网络中，当网络安全状况发生变化的时候，能够及时更改设置，将处理分析结果提交给管理员，使他能够掌握一个安全级别很高的网络全景图。本论文阐述了Hi-DRA，一个集监控、分析、应答功能为一身的适合广域网的系统。该系统提供了一个在异构和高速环境中入侵检测感应器变化模型的整体框架。另外，它的一个基本功能就是支持感应器的动态设置以及收集和分析结果。整体上，它能够保证广域网监控的良好运行，与此同时，它也能将不同感应器的分析结果综合到一个高质量的安全入侵分析。 I.简介 近些年，互联网的规模越来越大、速度越来越快并且动态变化，尤为重要的是，英特网这个世界级的TCP/IP网络，已经成为了政府、企业、金融机构和每天成千上万使用者至关重要的基础设施。国家权威机构管理（至少规范）这些大规模基础设施提供的全国范围的服务，例如美国国家电网。但是，企业、组织和政府管理和建设互联网及其子系统，它们目的不同，有时候甚至相悖。因此，网络的关键部分必须能够在一个不可信和复杂的环境中运转。 此模型表明网络保护基础设施必须依靠本地监控和全局范围的协调与控制，本地监控通过事前安全保护措施、大范围的监控以及实时响应来解决保护域的安全问题，但是只有本地监控是远远不够的。蠕虫和分布式拒绝服务（DoS）攻击表明未来对网络基础设施的威胁将会牵涉到大量受保护区域内无意的主机。因此，有必要建立全国范围内的安全网络基础设施，能够收集来自不同子系统的安全信息，建立全局安全视图，并且能够接受集中或者分布式控制中心的命令和控制。 当基础设施进行被当做整体攻击的时候，分析和重新调整单个网络的组件的安全状态十分重要，例如网络恐怖主义。在这些例子中，整合来自不网络不同部分的信息，需要协调、对抗和反击。不幸的是，现有的网络监控方法受着各方面的制约： ?现有的网络监控和入侵检测技术无法与日益增长的网速相适应，而且只重视端到端的攻击 ?当发现新的威胁时，监控工具无法动态实时调整，而且无法更改安全级别。 ?网络监控也无法顾及受保护的网络拓扑结构和部署等方面的服务。 ?还没有一个庞大的协调和控制设施能够在网络中将监控报告与控制的类型和级别联系起来。 在位于圣巴巴拉市Hi-DRA（高速广域网监测、响应和分析）的系统，工作在高速广域网环境中，网络监控、分析和响应功能得到改进。图Fig. 1.展示的是Hi-DRA的结构。图中画出了三个安装有Hi-DRA监控组件的网络，它们由Hi-DRA的广域通信和控制设施相连接。 这三个网络分别叫做、、，网络监控工具在网络中描述的很详细，通过高速交换机（图片中的粗黑线）连接到了英特网（图片中的椭圆）上。交换机把传输分成了几个子部分，并分配专用连接，位于每个连接上的网络传感器进行网络分析。第二部分描述了划分网络流量以及分配网络分析任务的过程，除了配置有监控网络上行流量的传感器，网络还配置了基于主机以及基于网络的传感器。这些传感器由网络监控设备配置和控制，第三部分详细阐述了网络监控设备的细节特点。传感器的配置和划分网络流量的算法都与被保护网络相适应，这由网络模型组件保证，它存储了网络的关键安全信息。[1]图中描述的是此模型的结构和发现验证工具。此模型的一个实例是由一系列网络工具组成，它们收集到的信息是配置系统的基础。另外，同样的工具也可以用来校验实际网络与存储在此模型中的信息，安全管理员可以利用它来发现网络中错误的配置以及潜在的薄弱环节。最后，本地网络的监控器将通过Hi-DRA基于Siena的广域通信和控制设备相互协调，每个网络通过叫做aggregator（图片中用六边形表示）的组件连接到基础设备上。信息由一系列内部相互连接的协调服务器管理，这些服务器部署在互联网（在椭圆形互联网内部的圆形）的各个部分，它们利用Siena配备上易伸缩和适应性好的通信设备。它由全局指令或者控制器控制，接受网络发来的预警，执行高级别情况分析和过程决策，利用基础通信设备向网络发送控制信息。 由于篇幅有限，上面我们只能对Hi-DRA的一部分组件进行介绍，因此，没有详细阐述用于网络流量划分的技术、配置高效网络传感器方法和入侵检测发出预警的技术。论文的其它部分如下：第二部分是划分高速网络流量方法的概述，第三部分讨论了管理和配置网络和基于主机传感器的方法，我们称之为网站传感器法，第四部分是对相互关联的组件的概述以及讨论了在此过程中使用的工具。第五部分写了相关的网络。最后，第六部分是结论和对未来工作的描绘。 II 监控高速连接 传统的基于网络的入侵检测系统(NIDSs)通过分析侦听到的网络连接数