中科院《入侵检测技术》课件9：分布式入侵检测.ppt

* * * * * * * * * DIDS的基本思想就是在多个物理节点（主机或者局部网络出口）上布置IDS，通过这些节点之间共享信息，提高整个IDS的检测率，降低虚警概率。但是，利用分布式思想实现的许多IDS，大都只是做到了分布式的数据采集[7][8]，少数几个系统实现了分布式的分析代理[9][10][11][12]。 DIDS在体系结构和检测方法上都存在许多不足和需要进一步解决的问题，首先这类系统只适于布置在一个局部网络，但不能直接在Internet上大规模配置；其次，DIDS存在单点失效问题[26][27][28]，即存在某一控制中心，该中心节点的失效必然导致整个系统的失效；再次，由于Internet上的数据量十分巨大，层次结构必然会造成系统本身数据过载，造成数据处理的计算压力；最后，DIDS在扩展性方面存在困难，一般而言系统检测任务分工是静态的，例如在哪个节点收集什么样的数据，向上层节点提交什么的数据，在哪个节点汇总检测结果等。这种静态的任务和功能配置必然导致系统缺乏可扩展性，增加或者删除任何一个节点，必然会影响整个系统。 * * 它将一个网络中所有可信节点组成一个P2P 覆盖网，通过这个覆盖网在节点之间共享信息，从而能够使整个网络能够抵抗入侵企图。Indra主要采用主机端检测，在主机监测到攻击试探行为后，将这些试探信息在P2P网络的节点中间发布，那么整个系统就会针对性的采取一些措施（例如打补丁，关闭服务，断开网络链接）。 * * 当IDS中分布式的节点数量很多时，一对一的通信代价太大，所以节点之间主要采用应用层组播（Multicast，也称多播）来进行通信，一个节点可以利用组播功能将信息一次性的发送到所有感兴趣的节点，而不需要向每个感兴趣的节点都发送一份。当节点数量很多时，应用层组播可以极大地提高节点之间的通信效率。应用层组播[18]屏蔽了底层物理网络的拓扑细节，将组成员节点直接自组织成一个逻辑覆盖网，并在应用层提供组播路由协议来构建和维护该网络。 Indra是最早使用应用层组播策略的P2PIDS系统，Indra的节点安装在一个网络的所有主机上，节点之间利用P2P覆盖网络逻辑连接在一起。每个节点上的入侵检测软件检测攻击者试探漏洞的行为，并将试探信息通过应用层组播在P2P网络的节点中间发布，整个系统随即会针对性的采取一些措施，例如打补丁，关闭服务等等。Indra可以采用两种应用层组播方式，一种是在Pastry DHT P2P网络中，利用Scribe进行组通信，一种是在Tapestry DHT P2P网络中，利用Bayeux进行组通信。 应用层组播策略的优点在于在不减少节点之间通信内容的情况下，大大减少了节点之间通信消息的数量，提高了节点之间的通信效率。 * * * DOMINO引入了一种称为“Active-sink”的技术捕获网络攻击中对某些保留IP地址的探测信息。Active-sink节点能够响应和监测那些发往保留IP地址的网络连接，如果探测主机发送回应消息，则表明该主机很有可能是攻击者，可以列入黑名单发布给其它节点，如果没有任何回应，说明该数据包的源IP是伪造的。Active-sink技术是一种主动检测技术，与Honeypot技术的原理相似，利用它可以有效检测伪造IP地址的攻击，从而降低虚警概率、实现攻击分类和产生IP地址黑名单。 * Netbait系统的主要目的是提供一种检索或者查询机制，可以获得互联网上的哪些主机感染了蠕虫病毒。它将互联网上不同位置的多个节点组成一个P2P 覆盖网，每个节点都能够检测蠕虫，通过覆盖网将检测到的结果发布。 * 感染蠕虫的主机会在短时间内扫描大量的别的主机，以试图感染这些主机，Netbait利用蠕虫的这一特性，检测那些短时间内发出大量连接请求的主机，这些主机很有可能感染了蠕虫。 基于攻击特征的检测就是根据已知攻击数据包的特征来检测攻击，这种检测技术在Snort以及很多商用的入侵检测系统中经常使用。它首先从已知的蠕虫，DDoS等攻击中分析得到能够定位攻击数据包的特征，然后将这个攻击特征加载到一个特征检测引擎中对进行检测，一旦特征检测引擎发现符合攻击特征的数据包，就马上发出报警。 这种检测技术是目前最常用的入侵检测技术一种，其优点是基本上没有误警率，而且检测效率很高。Netbait系统就利用这种方法检测已知的Code Red I、Code Red II和Nimda蠕虫 * 集中式信息共享是指将来自不同节点的一些检测规则、攻击特征或者本地发现的可疑特征、报警等信息逻辑集中存储并分析，其目的主要是通过集中分析这些分布式采集的信息获得Internet范围内网络入侵的情况。 Netbait就是一种集中式共享系统，它实现了分布式的数据采集、存储和处理，并利用Tapestry P2P网络构建了