一读个分布式入侵文检测系统的研究与设计.doc

一读个分布式入侵文检测系统的研究与设计.doc

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
一个分布式入侵检测系统的研究与设计 安 娜,吴晓南,陈晓江,房鼎益 (西北大学 计算机科学系,陕西 西安 710069) 摘要:针对目前入侵检测系统不能适应异构网络环境、缺乏协同响应的不足,提出了一种基于CORBA的分布式入侵检测系统模型,设计并实现了一个基于该模型的入侵检测系统(称为Aegis)。详细讨论了系统的体系结构、特点和实现技术等。所设计的系统能够对大型分布异构网络进行有效的入侵检测。对网络入侵检测系统的设计有一定参考价值,对综合解决网络安全问题是一个有益的探索。 关 键 :网络安全;网络入侵检测;主机入侵检测;入侵协同响应;CORBA 中图分类号: 文献标识码:A 文章编号:1000-274X(2004)0100-3 随着网络技术的发展和网络应用的深入,网络安全问题日益严重,给网络和信息系统带来了严重威胁。究其原因,主要是网络攻击技术不断发展变化,并呈现出一些新的特点,而原有的安全解决方案不能迅速地适应这些新特点,导致网络的安全保障技术相对落后于网络攻击技术,从而出现防不胜防的尴尬局面。所以有必要引入新的技术和思想,来改进原有的安全解决方案。 1 分布式入侵检测 入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合[1]。入侵检测技术可被分为误用入侵检测和异常入侵检测两种,前者通过检测固有的攻击模式发现入侵,后者通过检测系统或用户行为是否偏离正常模式发现入侵;按照数据来源可分为主机和网络入侵检测,主机入侵检测主要收集其运行主机的信息,例如CPU、内存使用率,文件的访问控制等,网络入侵检测主要收集其所在局域网上传输的所有数据;按照入侵响应可分为主动响应和被动响应两种:如果检测出入侵后,能够自动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应,若检测到入侵后仅给出警报或记录日志,那就是被动响应[2]。 入侵检测系统是基于以上几种模型相结合构建出的计算机软件,其作用就像一个防盗系统,能够实时地发现可能的入侵。目前的网络入侵检测系统和产品还很不成熟,基本上都是用来监控单一网段,功能较为简单。此外,随着网络应用的广泛和互连网络自身的分布异构性,网络入侵与攻击的方式已经变得越来越隐蔽,且趋于多样性、分布化和协同性[3]因此,入侵检测系统也需要满足跨平台、可复用、易扩充、协同检测等新的应用需求。所以,研究利用分布计算技术,实现大型分布式入侵检测系统(DIDS)是有意义的。 CORBA是由对象管理国际组织OMG制定的一套分布式对象交互的规范[]。CORBA与入侵检测相结合具有许多优点和特点:CORBA开发语言独立性和跨平台性,使得能够方便地集成多种多样的监测和安全程序利用CORBA中间件所集成的下层软件与上层应用系统几乎无关,即当下层软件发生改变时,只要CORBA对外的接口定义不变,上层应用几乎不需修改CORBA具有好的扩展性,能方便地进行系统裁剪或组合,适应不同的具体需要和环境CORBA本身就有很好的安全机制。它提供标识与鉴别,授权与访问控制,对象间的安全通信、安全审计、安全管理等安全服务。 将CORBA的优点和DNIDS结合,不仅可以解决网络平台的复杂性和多样性,还能适应网络异构和动态变化的特性。因此,我们设计并实现了一个基于CORBA的入侵检测系统,称之为Aegis。 2Aegis系统组成、结构与特点 Aegis系统是一个集状态监测,入侵检测和入侵响应于一体、网络与主机检测相结合、适于大型网络结构的DIDS。Aegis系统主要由管理点、网络检测点、主机检测点和安全响应点部分组成。在Aegis应用环境中,用户可将一个大型网络划分成多个域,每个域中可部署一个网络检测点,多个安全响应点和多个主机检测点。整个系统只需部署一个管理点。 1 系统结构图 Fig. 1 Aegis system structure 网络/主机检测点的任务是采集原始数据,对原始数据按照用户要求进行过滤,反馈给管理点,实现实时状态监测,或对原始数据进行误用入侵检测,将结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管理器部分组成。 安全响应点是网络中除检测点以外涉及网络安全和网络管理的各种软件资源,例如防火墙组件、文件备份组件以及负载均衡组件等。 管理点的任务是管理和配置所有的网络检测点,负责它和检测点的信息交流,汇总和存储检测点上报的数据,并对这些数据归类分析,进行异样入侵检测和分布式误用入侵的检测。它包含了图形用户界面、数据库、异常入侵检测与误用入侵分析器和顶级管理器个部分。 与其他现有的DIDS相比,Aegis的一个特色在于实现了误用和异常的入侵检测的分离。前者放在检测点中,而后者放在管理点中。这是因为与计算机病毒相似,误用入侵攻击也具有明显的特征,这些特征也可被

文档评论(0)

zzabc001 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档