欢迎来到天天文库
浏览记录
ID:882752
大小:551.01 KB
页数:13页
时间:2017-09-23
《基于关系数据流模型的网络入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于关系数据流模型的网络入侵检测系统谭建龙沈星星王映摘要:数据流管理系统(datastreammanagementsystemDSMS)是处理动态数据集合的一种数据管理技术,采用数据流模型对网络入侵检测系统(NetworkIntrusionDetectionSystem-NIDS)进行设计,可以利用数据流中多持续查询优化的技术,提高网络入侵检测系统的性能。同时使用关系数据流模型可以让入侵检测系统结构更加清晰,扩展性更好。文章描述网络数据的关系结构化,入侵检测特征的关系查询表示以及过滤型多持续查询优化技术。这个系统可以认为是数据流管理系统的一个应用系统,体现了一些数据流管理的概念和核心技
2、术,对设计和实现通用的数据流管理系统具有一定借鉴意义。本文将重点围绕数据流查询(continuequery)的编译优化、数据流管理技术和网络安全应用的关系进行分析。1.数据流管理系统的功能数据流管理技术是处理相对固定不变的大量查询和源源不断的流动数据的技术。而网络信息安全是解决对网络信息的分发、通讯、管理的问题。由于网络信息是典型的源源不断的数据流,同时有很多网络信息安全应用系统是采用大量查询方式,对这些网络数据流进行处理。所以网络信息安全是数据流管理研究的一个很好的典型应用。这个安全应用必须不间断无延迟地处理在线、持续的高速网络数据流,且网络数据不可能全都保存在外部存储器中。我们的研
3、究就是基于持续查询概念,采用数据流管理系统作为流数据处理平台,将其应用到网络安全监控系统中去。我们实现了一个基于数据流处理模型的网络安全事件监控系统IceNetwork。在这个系统中,数据流管理平台通过优化执行注册于系统中的大量持续查询,对连续网络流进行过滤等操作,完成各种安全事件的监测与报警,从而有效地支持了监控系统的实时性,准确性与灵活性要求。本文以建立一个网络入侵检测技术系统为案例,采用基于数据流管理技术的思想,来开展数据流核心技术的研究。希望能把工程中的核心问题,转换为数据流管理研究领域的通用问题。1.1.数据流管理系统的功能数据流管理系统[1]是为流动数据管理建立的统一平台。
4、在数据库管理中,数据是相对静态的,查询是动态的;而在数据流管理中,查询是相对静态的,数据是动态的。也就是说数据库技术主要研究对数据在外存(磁盘)上的存储索引和一次查询的执行技术,而数据流管理技术主要研究数据在内存中的存储索引和多个执行查询(continuequery)[2]的执行技术。数据库管理的一个核心问题是为了高效的查询,如何建立数据对象的索引,而数据流管理技术的核心问题是如何管理这些检索条件和操纵程序,研究如何为实现高效的大量查询进行编译的技术。1.2.网络入侵检测系统为了防范计算机被入侵,入侵检测系统应运而生。所谓入侵检测,就是通过从计算机网络或计算机系统中的若干关键点收集信息
5、并对其进行分析,发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,并对此做出适当反应的过程。根据入侵检测系统部署的位置以及网络数据的来源,入侵检测系统可以分为两类:主机入侵检测系统(HIDSHostIntrusionDetectionSystem)和网络入侵检测系统(NIDS)。其中HIDS部署于单个主机,收集所有进入本主机的数据,加以分析检测。而NIDS部署于一个子网的出入口,以进出子网的网络包做为分析数据源。通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为,NIDS的响应模块就
6、作出适当的响应,比如报警、切断相关用户的网络连接等。由于NIDS采用在关键节点集中监测的方式,能够监控整个子网,并且对于子网内单个主机来说是透明的,因此部署起来比HIDS方便得多。随着越来越多的单位和企业采用以太网的局域网组网方式,NIDS得到了广泛的应用。NIDS的主要检测手段是模式匹配,这里说的“模式”是指,网络数据包的头部信息或者载荷中的数据满足的特定条件,网络安全领域把能够判定一个入侵的一组特征条件叫做“特征(Signature)”。Snort[3]是一个成熟的、被广泛使用的、开放源代码网络入侵检测系统,它的有效性已经得到时间的验证。它具有一个可配置的特征库(因为它的每一个特征
7、对应于一条规则,我们也把它的特征库称为规则库),最新版本的Snort规则库包含了约2300条常见网络入侵的检测规则。图1为Snort2.0中检测引擎的工作流程图。图1snort2.0包数据和特征(处理图)典型情况是包通过且仅通过多特征过滤引擎一次,所以设计高效的多特征过滤引擎是入侵检测系统的核心问题之一。对于一个在监控整个子网的入侵检测系统来说,网络数据捕获,TCP组包、应用协议分析、特征设计方、多特征过滤引擎是决定效率的主要方面,也是研究的重
此文档下载收益归作者所有