一种分布式IDS报警聚合模型设计与实现.docVIP

一种分布式IDS报警聚合模型的设计与实现 　　 (江西师范大学 计算机信息工程学院， 南昌 330022) 　　摘 要：提出了一种分布式报警聚合模型，由本地和网络组件构成，本地组件将传统IDS上报的原始报警转换为基于IDMEF模型的统一报警信息格式，网络组件接收统一格式的IDMEF报警，采用基于分类和属性相似度的报警聚合方法聚合重复报警信息为超报警，模型中设计了多种消息内容用于满足本地组件和网络组件间通信需求，使得整个网络可以信息共享，根据该模型可以较经济地搭建一个分布式入侵检测系统。 　　关键词：报警；聚合；相似度 　　中图分类号：TP39308 文献标志码：A 　　 文章编号：1001?B3695(2009)01?B0325?B05 　　 　　Design and implementation of distributed IDS alert aggregation model 　　GUO Fan,YE Jihua,YU Min 　　(College of Computer Information Engineering, Jiangxi Normal University, Nanchang 330022， China) 　　Abstract:The article proposed a distributed alert aggregation model, composed of local component and network component. Local components transform raw alerts originating from traditional IDS to IDMEFbased alerts with uniform format, which were sent to network components. Network components aggregate similar alerts into a metaalert, using an aggregation algorithm based on feature similarity computation. Multiple kinds of messages were proposed to meet the demands of the communication between the components and realized information share in the whole network. It′s economical to construct a distributed IDS under the model. 　　Key words:alert; aggregation; similarity 　　 　　随着网络的普及，入侵监测系统(intrusion detection systems，IDS)作为网络安全系统的一个重要组成部分，受到越来越多的人关注。IDS被认为是防火墙之后的第二道闸门，希望在无法完全阻止入侵时，能尽快实时检测出入侵，以便及时作出响应。传统的集中式IDS根据数据来源的不同分为基于主机和基于网络的IDS，如著名的免费软件Snort[1]等。但是随着网络攻击手段向分布式和协同方向发展，难以发现这些复杂的分布式协同攻击，分布式IDS可以发现整个网络范围内的入侵，因此成为目前的研究热点。?? 　　一次分布式协作攻击可能会引起多个采集单元同时产生报警（重复报警），大量的重复报警可能会湮没真正有用的信息。另外，不同采集单元的报警格式可能也并不相同。报警聚合的目的是将这些重复报警聚合成为一条超报警，从而减少报警的数量，使得安全管理员可以关注真正的安全威胁。所有的分布式IDS基本上遵循一个基本标准，即公共入侵检测框架模型[2](common intrusion detection framework，CIDF)，将IDS分为四个基本组件，即事件产生器(数据采集单元)、事件分析器(数据分析单元)、响应单元以及事件数据库。本文提出一种分布式IDS报警聚合模型，该模型将传统IDS看做是采集单元，通过增加格式转换模块，将上报的报警转换为基于IDMEF（intrusion detection message exchange format）模型的统一报警信息格式，该格式对模型中的alert类扩展而成。数据分析单元采用基于分类和属性相似度的报警聚合方法对各IDS上报的IDMEF信息汇聚。本文还设计了多种消息内容用于满足模型中采集单元和分析单元的通信需求。使用该模型能较为迅速并经济地搭建一个性能良好的分布式IDS系统。?? 　　1 相关工作??