淺談分布式入侵檢測系統模型設計

　　摘要:文章首先提出了一個(gè)旨在提高分布式入侵檢測系統的擴充性和適應性的設計模型,然后分析本模型的特點(diǎn),最后對模型的3個(gè)組成部分給出簡(jiǎn)要的描述。
　　關(guān)鍵詞:分布式入侵檢測系統;模型設計
　　Abstract: This article first proposed is enhancing the distributional invasion examination system’s extendibility and the compatible design model, then analyzes this model the characteristic, finally gives the brief description to the model three constituent.
　　Key words:distributional invasion examination system; pattern layout
　　
　　1分布式入侵檢測系統的基本結構
　　盡管一個(gè)大型分布式入侵檢測系統非常復雜,涉及各種算法和結構設計,但是如果仔細分析各種現存的入侵檢測系統的結構模型,可以抽象出下面一個(gè)簡(jiǎn)單的基本模型。這個(gè)基本模型描述了入侵檢測系統的基本輪廓和功能。該模型基本結構主要由3部分構成:探測部分、分析部分和響應部分。
　　探測部分相當于一個(gè)傳感器,它的數據源是操作系統產(chǎn)生的審計文件或者是直接來(lái)自網(wǎng)絡(luò )的網(wǎng)絡(luò )流量。分析部分利用探測部分提供的信息,探測攻擊。探測攻擊時(shí),使用的探測模型是異常探測和攻擊探測。響應部分采取相應的措施對攻擊源進(jìn)行處理,這里通常使用的技術(shù)是防火墻技術(shù)。
　　2系統模型設計
　　這個(gè)模型主要是入侵檢測系統基本結構的具體化。主體框架仍然由3部分構成:探測代理、系統控制決策中心、控制策略執行代理。但是這3部分并不對應于基本結構中的3部分,因為這里探測代理和系統控制的分析功能。代理和系統控制決策中心采用標準的通信接口與系統控制決策中心通信,因此,它們的設計為系統的分布式部署和系統的擴充性實(shí)現做了充分的考慮,同時(shí)使得各個(gè)代理的功能更加單一。功能的單一性有利于對某一種入侵行為的檢測趨于專(zhuān)業(yè)化。
　　3模型的特點(diǎn)
　　3.1分布性
　　從分布式入侵檢測系統的定義可知,只要系統的分析數據部分在系統的部署上是分布的,入侵檢測系統就可以認為是分布式系統。本系統負責入侵行為檢測的代理是分布部署的,故整個(gè)系統具有分布性。
　　3.2標準性
　　從本系統的角度講,主要體現在代理的構成和通信協(xié)議上。每個(gè)代理都按照4個(gè)層次進(jìn)行設計。從上到下,分別是通信接口、報告產(chǎn)生器、分析模塊和采集模塊。通信協(xié)議采用一套嚴格定義的通信規則和數據格式,同時(shí)將系統所必需的通信行為進(jìn)行了規范的定義。
　　3.3可擴充性
　　本系統的各個(gè)部分采取標準化設計,這樣系統各個(gè)部分的升級和新的代理部分的加入都變得相當簡(jiǎn)單。代理和系統控制決策中心有著(zhù)標準的協(xié)商協(xié)議,代理可以進(jìn)行動(dòng)態(tài)注冊。
　　3.4良好的系統降級性
　　當系統某一個(gè)代理出現問(wèn)題,不能完成自己的檢測任務(wù)時(shí),網(wǎng)絡(luò )的檢測工作會(huì )受到有限的影響,但整個(gè)系統的檢測功能不會(huì )有明顯的下降。
　　3.5載荷最小性
　　系統的每個(gè)組成部分功能都是單一的,而且相互之間相對獨立,部署的時(shí)候可以幾個(gè)部署到一臺主機上。代理和控制決策中心之間利用標準協(xié)議通信,通信量較小;同時(shí)在傳遞數據時(shí),代理只傳輸控制中心請求的數據,所以數據的傳輸量不大。

　　4模型組成部分的功能描述
　　4.1探測代理
　　探測代理主要的功能是從網(wǎng)絡(luò )捕獲原始數據,然后利用一定的探測模型對數據進(jìn)行分析,將感興趣的數據按照一定的格式存入數據存儲設備中。與系統控制中心通信協(xié)商,將系統控制決策中心請求的數據按照一定的傳輸格式傳送出去。
　　要完成上面的功能,探測代理需要4個(gè)層次的模塊共同協(xié)作才能完成。這4個(gè)模塊根據數據傳輸的順序分別為:采集模塊、分析模塊、報告產(chǎn)生器、通信接口。
　　采集模塊直接從網(wǎng)絡(luò )上捕獲原始數據。為了使代理能夠對多個(gè)操作系統提供支持,這里的捕獲過(guò)程使用一個(gè)通用的數據包捕獲庫(libpcap庫),這個(gè)庫使用BSD的bpf思想。采集模塊向分析模塊提供格式化的數據包信息。
　　當分析模塊收到格式化的數據包信息后,啟動(dòng)相應的入侵檢測模型過(guò)程,對數據進(jìn)行處理。這里的入侵檢測模型有2種:一種是異常檢測模型,另一種是入侵檢測模型。
　　(1)對于異常檢測模型,入侵檢測過(guò)程會(huì )根據代理功能的不同,進(jìn)行不同級別的檢查。我們的模型會(huì )進(jìn)行2個(gè)級別的檢查。一個(gè)是基于包頭的檢查,即對鏈路層包頭、IP層包頭、TCP層包頭進(jìn)行檢查分析,將異常存入數據存儲設備。另外一個(gè)級別的檢查是基于報文內容的檢查,入侵檢測過(guò)程將異常信息進(jìn)行記錄。這2個(gè)級別的探測分別被稱(chēng)為系統級探測和應用級探測。
　　(2)對于入侵檢測模型,入侵檢測過(guò)程將格式化的信息與已知的攻擊模型的特征進(jìn)行比對。如果格式化信息與攻擊模式的特征完全一樣,則可以認定是一種攻擊,將這種攻擊的信息一方面進(jìn)行存儲,一方面向系統控制決策中心進(jìn)行報告,請求控制決策中心對攻擊進(jìn)行處理。
　　報告產(chǎn)生器是根據系統控制決策中心的請求,從數據存儲設備中提取請求信息。這些信息構成一張異�；蛘吖�擊視圖,它是存儲信息的子集合。
　　4.2系統控制決策中心
　　系統控制決策中心接收用戶(hù)請求,產(chǎn)生數據請求,然后將數據請求發(fā)送給特定的入侵檢測代理,等待接收響應信息,最后將響應信息加工成用戶(hù)視圖。如果用戶(hù)認定某些行為屬于攻擊行為,就向探測策略執行代理發(fā)出請求,阻止或者限制攻擊行為的進(jìn)一步發(fā)展。
　　(1)用戶(hù)接口,即給用戶(hù)提供操作界面。用戶(hù)通過(guò)這個(gè)界面完成系統控制和數據請求功能。用戶(hù)接口將用戶(hù)請求翻譯成系統請求,然后交給下層模塊進(jìn)行處理。
　　(2)控制和管理,即依據系統請求的類(lèi)別,構造協(xié)議數據傳輸單元,然后遞交給下層協(xié)議通信接口,請求發(fā)送。
　　(3)協(xié)議通信接口,即識別代理發(fā)出的協(xié)議數據,對協(xié)議數據進(jìn)行處理;同時(shí)將系統控制決策中心的用戶(hù)意圖發(fā)送給各個(gè)代理,完成管理和控制功能。
　　4.3探測策略執行代理
　　探測策略執行代理的主要功能是根據系統控制決策中心的要求對攻擊者的攻擊行為進(jìn)行控制,這里控制包括監控、限制訪(fǎng)問(wèn)權限、取消訪(fǎng)問(wèn)權限等。探測策略執行代理主要由2部分構成:通信接口和控制執行,但是還有一個(gè)小的配置模塊輔助它們完成各自的功能。
　　配置模塊幫助代理建立一個(gè)與控制系統無(wú)關(guān)的控制接口。因為目前最常用的網(wǎng)絡(luò )控制系統是防火墻系統,大部分的防火墻系統都給出系統的命令接口�；�于這一點(diǎn),我們在設計通用控制接口時(shí),自己定義一組功能完備的控制功能集合,然后建立一種從代理系統功能集合向具體防火墻系統命令集合的映射。
　　探測策略執行代理的通信接口和前面幾個(gè)部分的通信模塊的功能是一樣的�？刂茍绦惺沁@種代理的核心部分。它根據通信接口送來(lái)的協(xié)議數據,分析系統控制和決策中心的意圖。然后根據代理配置時(shí)建立起來(lái)的控制系統映射關(guān)系,構造與具體控制系統相關(guān)的控制規則。

【淺談分布式入侵檢測系統模型設計】相關(guān)文章：

基于VB的分布式監控系統通信設計03-18

基于DSP芯片的分級分布式管理系統設計03-18

基于OSI參考模型的測井系統互連設計03-07

分布式網(wǎng)絡(luò )系統中的數據訪(fǎng)問(wèn)設計與優(yōu)化03-18

分布式發(fā)電機勵磁監控系統的設計03-18

淺談線(xiàn)損管理系統的設計及開(kāi)發(fā)03-19

變風(fēng)量空調系統的優(yōu)化設計淺談03-19

分布式發(fā)電系統的應用及前景03-18

帶鋼表面缺陷智能檢測系統的設計與研究03-16