一种分布式入侵检测系统分析.docVIP

一种分布式入侵检测系统的分析 　　摘要　从分布式入侵检测系统的概念与结构切入，对分布式入侵检测系统的性能需求进行分析。 　　关键词　分布式　入侵检测　系统　结构　性能 　　中图分类号：TP3　文献标识码：A　文章编号：1671―7597(2009)0410064―01 　　 　　Snort是一种基于libpcap的轻量级入侵检测系统，它作为世界上应用最为广泛的开源入侵检测系统。就工作原理而言，Snort是一个基于网络的入侵检测系统，利用工具包]Jbpcap(在Windows平台上使用winpcap)从网络中采集数据井进行分析，从而判断是否存在可疑的网络活动；就检测技术而言，Snort基本上是基于误用检测的入侵检测系统，对数据进行最直接最简单的搜索匹配。 　　 　　一、分布式入侵检测系统概述 　　 　　(一)概念。分布式入侵检测系统可以被理解为是由分布在一个大型网络中的多个入侵检测系统所构成的有机系统，该系统中的IDS通过彼此间的通信和协调来协同展开各种数据采集、分析和事件检测活动，共同实现对整个网络全面有效的监控。是现代入侵检测系统的主要发展方向之一，它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势，其设计模型也具有很大的灵活性。 　　(二)结构。构成分布式入侵检测系统的多个子IDS单元在系统中的角色可以比较类似或不尽相同，且构成系统的方式是通过协作而非简单的堆叠。一个分布式结构的入侵检测系统通常可有四个部分组成。 　　1　事件产生器：负责从网络流量中提取与安全有关的数据，并按照预先确定的方法和机制进行数据的处理、分析和事件检测。 　　2　信息收发器：负责为事件产生器与管理控制器之间的数据通信提供服务，同时也可以完成一定的信息处理和管理控制功能。 　　3　管理控制器：负责在信息收发器所提交数据的基础上，按照预先确定的方法和机制完成数据分析、事件检测和事件响应，同时也负责对其所辖的信息收发器和事件产生器实施管理和控制。 　　4　事件规则库：主要负责生成和提供与入侵特征相关的事件描述和安全规则。 　　在基于分布式结构的入侵检测系统中，任何一个被检测的网段或节点上都可以包含一组事件产生器，它们分别独立的处理、分析和检测网络流量中的不同方面，是系统中最基本的单元。通常，事件产生器之间并不直接进行数据通信，而是将各自的数据处理结果分别传递到处于该网段或节点上的信息收发器中。在每个被检测的网段或节点上一般有一个信息收发器，它收集各个事件产生器输出的信息并上报给管理控制器，同时也接收来自管理控制器的信息并分发给各个事件产生器。信息收发器可以对其所处网段或节点上的所有事件产生器实施一定的管理和控制，同时也能够按照事先制定的策略对来自各个事件产生器的信息进行相应的分析和检测。 　　管理控制器是系统中数据分析、事件检测和系统服务的管理控制中心，它一方面综合来自多个信息收发器的数据，按照预先制定的方法和策略尽心更高层次的分析和处理，来发现其他单元由于所处位置的局限而未能察觉到的入侵，从而能对网络安全状况有一个全局性的把握，并在此基础上对入侵事件做出响应：另一方面，管理控制器还负责管理和控制系统中多个被检测网段或节点上的信息收发器，同时也通过它们对所辖的事件产生器实施控制和管理，同时还为用户提供与系统进行交互的界面。 　　 　　二、分布式入侵检测系统的性能需求 　　 　　相对于集中式的入侵检测系统，分布式入侵检测系统的性能要求是非常明确的，主要有以下几点：每秒能够处理的网络数据包的数量、每秒能够监控的网络连接数、每秒能够处理的事件数、攻击特征库的更新速度、可扩展性、协作性、适应性等。 　　(一)每秒数据流量及每秒数据包捕获数。每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反应网络入侵检测系统性能的重要指标，一般用Mbps来衡量。如果每秒数据流量超过网络传感器的处理能力，系统可能会出现丢包现象，从而不能正常检测攻击。而入侵检测系统是否会丢包，不只取决于每秒数据流量，还取决于每秒数据包捕获数。 　　每秒数据包捕获数是反映网络入侵检测系统性能最重要的指标。由于系统不停地从网络上捕获数据包，然后对数据包进行处理和分析，每秒处理数据包的数量便直接反映了系统的性能。人们往往把每秒网络流量作为判断网络入侵检测系统的决定性指标，这种认识是错误的。每秒网络流量等于每秒数据包捕获数乘以网络数据包的平均大小，因此当网络数据包的平均大小差异很大时，在相同数据包捕获率的情况下，每秒网络流量的差异也会很大。例如，若网络数据包的平均大小为i024字节左右，系统的性能支持10000pps的每秒数据包捕获数，那么系统每秒能够处理的数据流量可达到78Mbps，当数据流量超过781fops时，系统会因为处理不过来