返回
一个分布式入侵检测系统的研究与设计

一个分布式入侵检测系统的研究与设计

ID:18439726

大小:241.00 KB

页数:6页

时间:2018-09-17

一个分布式入侵检测系统的研究与设计_第1页
一个分布式入侵检测系统的研究与设计_第2页
一个分布式入侵检测系统的研究与设计_第3页
一个分布式入侵检测系统的研究与设计_第4页
一个分布式入侵检测系统的研究与设计_第5页
资源描述:

《一个分布式入侵检测系统的研究与设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、一个分布式入侵检测系统的研究与设计安娜,吴晓南,陈晓江,房鼎益(西北大学计算机科学系,陕西西安710069)摘要:针对目前入侵检测系统不能适应异构网络环境、缺乏协同响应的不足,提出了一种基于CORBA的分布式入侵检测系统模型,设计并实现了一个基于该模型的入侵检测系统(称为Aegis)。详细讨论了系统的体系结构、特点和实现技术等。所设计的系统能够对大型分布异构网络进行有效的入侵检测。对网络入侵检测系统的设计有一定参考价值,对综合解决网络安全问题是一个有益的探索。关键词:网络安全;网络入侵检测;主机入侵检测;入侵协同响应;CORBA中图分类号:TP393.08文献标识码:A文

2、章编号:1000-274X(2004)0100-3随着网络技术的发展和网络应用的深入,网络安全问题日益严重,给网络和信息系统带来了严重威胁。究其原因,主要是网络攻击技术不断发展变化,并呈现出一些新的特点,而原有的安全解决方案不能迅速地适应这些新特点,导致网络的安全保障技术相对落后于网络攻击技术,从而出现防不胜防的尴尬局面。所以有必要引入新的技术和思想,来改进原有的安全解决方案。1分布式入侵检测入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合[1]。入侵检测技术可被分为误用入侵检测和异常入侵检测两种,前者通过检测固有的攻击模式发现入侵,后者通过检测系统或用户行为

3、是否偏离正常模式发现入侵;按照数据来源可分为主机和网络入侵检测,主机入侵检测主要收集其运行主机的信息,例如CPU、内存使用率,文件的访问控制等,网络入侵检测主要收集其所在局域网上传输的所有数据;按照入侵响应可分为主动响应和被动响应两种:如果检测出入侵后,能够自动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应,若检测到入侵后仅给出警报或记录日志,那就是被动响应[2]。入侵检测系统是基于以上几种模型相结合构建出的计算机软件,其作用就像一个防盗系统,能够实时地发现可能的入侵。目前的网络入侵检测系统和产品还很不成熟,基本上都是用来监控单一网段,功能较为简单。此外

4、,随着网络应用的广泛和互连网络自身的分布异构性,网络入侵与攻击的方式已经变得越来越隐蔽,且趋于多样性、分布化和协同性[3]。因此,入侵检测系统也需要满足跨平台、可复用、易扩充、协同检测等新的应用需求。所以,研究利用分布计算技术,实现大型分布式入侵检测系统(DIDS)是有意义的。CORBA是由对象管理国际组织OMG制定的一套分布式对象交互的规范[4]。CORBA与入侵检测相结合具有许多优点和特点:①CORBA开发语言独立性和跨平台性,使得能够方便地集成多种多样的监测和安全程序;②6利用CORBA中间件所集成的下层软件与上层应用系统几乎无关,即当下层软件发生改变时,只要COR

5、BA对外的接口定义不变,上层应用几乎不需修改;③CORBA具有好的扩展性,能方便地进行系统裁剪或组合,适应不同的具体需要和环境;④CORBA本身就有很好的安全机制。它提供标识与鉴别,授权与访问控制,对象间的安全通信、安全审计、安全管理等安全服务。将CORBA的优点和DNIDS结合,不仅可以解决网络平台的复杂性和多样性,还能适应网络异构和动态变化的特性。因此,我们设计并实现了一个基于CORBA的入侵检测系统,称之为Aegis。2Aegis系统组成、结构与特点Aegis系统是一个集状态监测,入侵检测和入侵响应于一体、网络与主机检测相结合、适于大型网络结构的DIDS。Aegis

6、系统主要由管理点、网络检测点、主机检测点和安全响应点4部分组成[5](见图1)。在Aegis应用环境中,用户可将一个大型网络划分成多个域,每个域中可部署一个网络检测点,多个安全响应点和多个主机检测点。整个系统只需部署一个管理点。图1系统结构图Fig.1Aegissystemstructure网络/主机检测点的任务是采集原始数据,对原始数据按照用户要求进行过滤,并反馈给管理点,实现实时状态监测,或对原始数据进行误用入侵检测,将结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管理器4部分组成。安全响应点是网络中除检测点以外涉及网络安全和网络管理的各种软件

7、资源,例如防火墙组件、文件备份组件以及负载均衡组件等。管理点的任务是管理和配置所有的网络检测点,负责它和检测点的信息交流,汇总和存储检测点上报的数据,并对这些数据归类分析,进行异样入侵检测和分布式误用入侵的检测。它包含了图形用户界面、数据库、异常入侵检测与误用入侵分析器和顶级管理器4个部分。6与其他现有的DIDS相比,Aegis的一个特色在于实现了误用和异常的入侵检测的分离。前者放在检测点中,而后者放在管理点中。这是因为与计算机病毒相似,误用入侵攻击也具有明显的特征,这些特征也可被转化为规则,形成规则库,而且易于用编程语言实现

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。