基于图表入侵检测系统.docVIP

基于图表入侵检测系统 　　摘#8195;要分析一般入侵检测系统在可配置性,可伸缩性,效率等方面的弱点,提出一个基于图表的入侵检测系统,介绍基于图表的入侵检测的基本概念、构图引擎、组件通信模块、组件层次架构及模块控制器和软件控制器,指出进一步的研究工作。 　　关键词入侵检测;图表;构图引擎;控制器 　　中图分类号TP393文献标识码A文章编号1673-9671-(2010)091-0039-02 　　 　　1入侵检测系统简介 　　入侵检测是指对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程,它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IDS)是完成入侵检测功能的软件和硬件组合,通常由以下一些基本组件构成:事件产生器、事件分析器、事件数据库、响应单元。按照体系结构,入侵检测系统可以分为集中式,等级式,分布式三种。集中式和等级式IDS都是采用一个主机分析数据,它们主要存在以下问题:数据分析部分会成为唯一的关键部位。系统可伸缩性受限。不易于配置和扩充。单纯地对网络数据进行分析有时会有缺陷。分布式IDS解决了以上的大部分问题,但是在连续运行、故障承受能力和适应性等方面还是存在着一些不足。基于上述情况,引发我们探索新的入侵检测模型,以解决现有IDS的不足 　　2基于图表的入侵检测系统 　　2.1基本概念 　　基于图表的入侵检测系统首先构建一个图表来表示目标网络内发生的活动情况,然后在此基础上进行分析工作。所构建的图表,由代表主机的结点和代表主机间的连接信息的边构成,其中结点和边都是以时间属性相互关联的。除了通过网络流量来构图,还允许用属性来注释图中结点和边。提供一套定义好的语法使用户能够编写自己的过滤器。为了检测各种类型的网络攻击行为,需要构建各种类型的图。图的具体类型由系统中的规则集合来决定,规则负责处理在何种情况下如何构图,当系统收到一个新的结点或连接信息的报告,就把这些信息提供给规则集以决定如何与已有的图表进行合并。如果报告信息与现存的图表相关,则这些信息会被加到一个或多个已存在的图表中,并且在一定条件下使得多个图表合并成一张图表,或者重新构建一张新的图表,之后,系统根据规则集中的检测规则来决定是否发生了可疑行为。 　　在系统中,目标网络被划分为多个不同层次的部门,每个部门内部有一个基于图表的入侵检测处理模块,负责收集本部门范围内的网络活动信息并将它们构建为图表的形式,然后加以分析处理。如果当前部门内发生的活动超越了部门范围,则该部门的处理模块会将这些活动向上一级的模块进行报告。上一级的处理模块在接到报告后,会构建对应的简化图表,并在此基础上进行分析工作。图1所示为一个跨越多个部门的活动图表,而图2为对应的简化图表。一般而言,在根据下层报告信息来构建简化图表的过程中,处理模块会将特定的属性信息附加到简化的图表的对应结点中,以说明结点所代表的下层部门特征信息。正是通过各个层次上的不同简化处理工作,基于图图表的入侵检测系统实现了可伸缩的分布式入侵检测架构的设计目标。 　　图1跨越多个部门的活动图表图2简化图表示意 　　2.2构图引擎 　　构图引擎是基于图表的入侵检测系统的最核心部分,所有构图引擎之间存在着等级关系,下一级构图引擎将该级的网络活动信息构造成为图表,并报告给上级引擎。构图引擎中包含用于检测不同类型的攻击行为的多张图表,图表的具体类型由图表的规则决定,在不同的规则集中规则彼此独立。 　　下面给出一个简单的用于检测攻击的规则集合例子。规则集的第一行指示新的规则集开始及指定具体名称,第二行指明缓冲区的长度,最后一项指明从最后一次修改开始计算需要等待多长时间就删除图表。 　　Ruleset Intrsion_detector; 　　#8195;#8195;Buffer 0; 　　#8195;#8195;Timeout 600; 　　接下来指定宏: 　　#8195;#8195;Macro{L=30;} 　　然后定义属性变量: 　　#8195;#8195;Attribute declarations{ 　　#8195;#8195;Time scalar; 　　#8195;#8195;Alert scalar; 　　#8195;#8195;} 　　以上是规则集合中必需的预备性声明,接下来就是具体的处理规则部分。 　　首先,设定规则集合的预处理条件: 　　Node precondition definer(new.node.time)defined(new.node.alert) 　　规则指定了结点的预处理条件,输入的结点信息必须定义了属性信息time和alert。如果