旦:业 Soience and Technology innovation Herald T技术 一种特征检测和异常检测相结合的分布式入侵检测模型 郭郁杰 张艳芳 (9591 3) 摘要:基于对入侵检测关键技术研究的基础上,这里给出了一种结合特征检飒4和异常检爰4的分布式入侵检洲模型。 关键词:检测技术 控制域 监测点 过滤 特征提取 中图分类号:TN9 7 文献标识码:A 文章编号:1 674—098X(201 0)1 O(c)-OO1 8-0l 传统的入侵检测系统大都采用集中式 的数据处理机制,通过在网络中部署多个 数据收集器收集数据,并经过简单过滤和 处理后将数据通过网络上传到检测中心进 了,因此控制域和IP地址范围可以绑定。 每个控制域中设置若干个监测点和一 个本域检测中心。各监测点为基于网络的 滥用检测点,完成分布式特征检测和数据 常两种检测技术,但又将两种检测技术分 离实现。特征检测的任务由各个检测点来 完成,可以实现对已知攻击的早期检测和 预警。这样就把部分检测功能由中心监测 行集中检测和处理。这种检测体系结构比 收集的任务。如果发现攻击,将产生本域级 较单一,收集的数据在上传时会占用大量 的报警。在进行特征检测的同时将未报警 网络带宽,影响网络本身的运行效率,所以 数据信息进行记录,存储到一个事先设置 只适用于层次简单,网络通信量不大的小 的数据包日志数据库中。本域检测控制中 规模网络。随着网络规模的不断扩大和结 心处于中间层,存在于每个控制域中,负责 构的日益复杂,而网络病毒又属于借助于 接收来自上层管理中心的命令并对下层各 互联网大规模传播的分布式攻击,攻击技 监测点进行控制和管理,还负责接收各检 术和手段在智能化、自动化方面不断更新 测点的报警并向上报管理中心。在完成控 和扩展,集中式的检测体系结构不能适应 制功能的同时,对它所控制的各个检测点 检测的需求。所以需要将分布式的检测技 的数据包日志数据库中的数据进行汇总和 术应用于入侵检测的分析过程。 分析,实现异常检测和未知攻击的特征提 取。 1三层分布式检测 管理中心完成对整个监测系统的统一 本文所提出的分布式入侵检测体系结 协调和管理。例如:协调各监测点改变安全 构如图l。 策略和接收本域控制检测中心发来的入侵 该体系结构可分为三个层次:管理中 事件,并将这些信息进行综合,根据安全策 心、本域检测控制中心和各个网络监测点。 略要求,通知响应部件采取必要措施。当提 将被保护网络划分为若干个受控区域,即 取新攻击特征之后,协调各个控制域的检 控制域,每个控制域可以包括多个网段。控 测点进行特征库的更新。 制域确定后,其包含的IP地址范围就确定 在该体系结构中,同时使用滥用和异 图1 分布式入侵检测体系结构 数据库\-—叫l l应I t 圣 藉 据∈ ,I异常检测上 #滞 盟 篓 弹 矗 萄云÷ 浩 广—L_1 T Ⅱ离 之} r淄婢 { 刚络监测点 本域检_坝Il 控制中心 图2分布式检测的实现原理 l 8 科技创新导报Science and Technology Innovation Herald 器下放到各监测点。同时将收集到的未报 警数据记录到本域控制监测点的数据包日 志数据库中,大量的事件数据不必在网络 上传输,大大降低了数据收集器与检测中 心之间由于相互通信而对网络带宽的大量 占用。 本体系结构易于扩展,通过扩展控制 域的数量,可以满足不同规模网络的需求。 当然,网络规模越大,收集的信息越充足, 越能及早发现攻击行为。同时,单独的各监 测点仍然能够进行本地检测,任何一 个检测点遭到攻击都不会影响其他监测点 的正常工作,增加了系统的健壮性。 2分布式检测的实现 分布于各个控制域的滥用监测点在完 成网络数据的采集,协议解析和数据的预 处理、特征检测与报警任务的同时,还完成 了分布式数据收集任务。具体实现原理如 图2。 对于从网络中捕获的每个数据包。在 经过协议解析和数据的预处理后,进行特 征匹配,如果发现攻击,则上报并记录报警 事件和采取响应,而未报警的数据包,可能 包含特征检测未检测到的未知攻击类型, 这部分数据将被记录到一个事先设置的数 据包日志数据库中,本域检测控制中心的 行为监测模块每隔一段时间访问各个检测 点的数据包日志数据库,读取其中的数据, 并进行异常分析,从而实现对特征检测漏 报的或者未知的新型攻击的检测。对行为 检测所得到的入侵数据进行分析,提取未 知攻击的特征,然后上报管理中心,在管理 中心的协调下对各控制域的检测点的规则 库进行更新,从而使各个监测点的规则库 保持一致,未发现该攻击的控制域的检测 点就可以使用新特征检测该类攻击。由于 行为监测是对来自多个网段的数据进行分 析,确保了数据收集的完整性,从而确保了 检测的准确性,也保证了所产生特征的精 确性。 参考文献 【l】杨宏字,谢丽霞.网络入侵诱骗技术一 蜜罐系统的应用[J1.计算机工程,2006 (1 3). 【2】刘文涛.Linux网络入侵检测系统【M].北 京:电子工业出版社,2004,2—1 9.
