淺談分布式入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)

淺談分布式入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)

　　摘要:文章首先提出了一個(gè)旨在提高分布式入侵檢測(cè)系統(tǒng)的擴(kuò)充性和適應(yīng)性的設(shè)計(jì)模型,然后分析本模型的特點(diǎn),最后對(duì)模型的3個(gè)組成部分給出簡(jiǎn)要的描述。
　　關(guān)鍵詞:分布式入侵檢測(cè)系統(tǒng);模型設(shè)計(jì)
　　Abstract: This article first proposed is enhancing the distributional invasion examination system’s extendibility and the compatible design model, then analyzes this model the characteristic, finally gives the brief description to the model three constituent.
　　Key words:distributional invasion examination system; pattern layout
　　
　　1分布式入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)
　　盡管一個(gè)大型分布式入侵檢測(cè)系統(tǒng)非常復(fù)雜,涉及各種算法和結(jié)構(gòu)設(shè)計(jì),但是如果仔細(xì)分析各種現(xiàn)存的入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)模型,可以抽象出下面一個(gè)簡(jiǎn)單的基本模型。這個(gè)基本模型描述了入侵檢測(cè)系統(tǒng)的基本輪廓和功能。該模型基本結(jié)構(gòu)主要由3部分構(gòu)成:探測(cè)部分、分析部分和響應(yīng)部分。
　　探測(cè)部分相當(dāng)于一個(gè)傳感器,它的數(shù)據(jù)源是操作系統(tǒng)產(chǎn)生的審計(jì)文件或者是直接來(lái)自網(wǎng)絡(luò)的網(wǎng)絡(luò)流量。分析部分利用探測(cè)部分提供的信息,探測(cè)攻擊。探測(cè)攻擊時(shí),使用的探測(cè)模型是異常探測(cè)和攻擊探測(cè)。響應(yīng)部分采取相應(yīng)的措施對(duì)攻擊源進(jìn)行處理,這里通常使用的技術(shù)是防火墻技術(shù)。
　　2系統(tǒng)模型設(shè)計(jì)
　　這個(gè)模型主要是入侵檢測(cè)系統(tǒng)基本結(jié)構(gòu)的具體化。主體框架仍然由3部分構(gòu)成:探測(cè)代理、系統(tǒng)控制決策中心、控制策略執(zhí)行代理。但是這3部分并不對(duì)應(yīng)于基本結(jié)構(gòu)中的3部分,因?yàn)檫@里探測(cè)代理和系統(tǒng)控制的分析功能。代理和系統(tǒng)控制決策中心采用標(biāo)準(zhǔn)的通信接口與系統(tǒng)控制決策中心通信,因此,它們的設(shè)計(jì)為系統(tǒng)的分布式部署和系統(tǒng)的擴(kuò)充性實(shí)現(xiàn)做了充分的考慮,同時(shí)使得各個(gè)代理的功能更加單一。功能的單一性有利于對(duì)某一種入侵行為的檢測(cè)趨于專業(yè)化。
　　3模型的特點(diǎn)
　　3.1分布性
　　從分布式入侵檢測(cè)系統(tǒng)的定義可知,只要系統(tǒng)的分析數(shù)據(jù)部分在系統(tǒng)的部署上是分布的,入侵檢測(cè)系統(tǒng)就可以認(rèn)為是分布式系統(tǒng)。本系統(tǒng)負(fù)責(zé)入侵行為檢測(cè)的代理是分布部署的,故整個(gè)系統(tǒng)具有分布性。
　　3.2標(biāo)準(zhǔn)性
　　從本系統(tǒng)的角度講,主要體現(xiàn)在代理的構(gòu)成和通信協(xié)議上。每個(gè)代理都按照4個(gè)層次進(jìn)行設(shè)計(jì)。從上到下,分別是通信接口、報(bào)告產(chǎn)生器、分析模塊和采集模塊。通信協(xié)議采用一套嚴(yán)格定義的通信規(guī)則和數(shù)據(jù)格式,同時(shí)將系統(tǒng)所必需的通信行為進(jìn)行了規(guī)范的定義。
　　3.3可擴(kuò)充性
　　本系統(tǒng)的各個(gè)部分采取標(biāo)準(zhǔn)化設(shè)計(jì),這樣系統(tǒng)各個(gè)部分的升級(jí)和新的代理部分的加入都變得相當(dāng)簡(jiǎn)單。代理和系統(tǒng)控制決策中心有著標(biāo)準(zhǔn)的協(xié)商協(xié)議,代理可以進(jìn)行動(dòng)態(tài)注冊(cè)。
　　3.4良好的系統(tǒng)降級(jí)性
　　當(dāng)系統(tǒng)某一個(gè)代理出現(xiàn)問(wèn)題,不能完成自己的檢測(cè)任務(wù)時(shí),網(wǎng)絡(luò)的檢測(cè)工作會(huì)受到有限的影響,但整個(gè)系統(tǒng)的檢測(cè)功能不會(huì)有明顯的下降。
　　3.5載荷最小性
　　系統(tǒng)的每個(gè)組成部分功能都是單一的,而且相互之間相對(duì)獨(dú)立,部署的時(shí)候可以幾個(gè)部署到一臺(tái)主機(jī)上。代理和控制決策中心之間利用標(biāo)準(zhǔn)協(xié)議通信,通信量較小;同時(shí)在傳遞數(shù)據(jù)時(shí),代理只傳輸控制中心請(qǐng)求的數(shù)據(jù),所以數(shù)據(jù)的傳輸量不大。

　　4模型組成部分的功能描述
　　4.1探測(cè)代理
　　探測(cè)代理主要的功能是從網(wǎng)絡(luò)捕獲原始數(shù)據(jù),然后利用一定的探測(cè)模型對(duì)數(shù)據(jù)進(jìn)行分析,將感興趣的數(shù)據(jù)按照一定的格式存入數(shù)據(jù)存儲(chǔ)設(shè)備中。與系統(tǒng)控制中心通信協(xié)商,將系統(tǒng)控制決策中心請(qǐng)求的數(shù)據(jù)按照一定的傳輸格式傳送出去。
　　要完成上面的功能,探測(cè)代理需要4個(gè)層次的模塊共同協(xié)作才能完成。這4個(gè)模塊根據(jù)數(shù)據(jù)傳輸?shù)捻樞蚍謩e為:采集模塊、分析模塊、報(bào)告產(chǎn)生器、通信接口。
　　采集模塊直接從網(wǎng)絡(luò)上捕獲原始數(shù)據(jù)。為了使代理能夠?qū)Χ鄠�(gè)操作系統(tǒng)提供支持,這里的捕獲過(guò)程使用一個(gè)通用的數(shù)據(jù)包捕獲庫(kù)(libpcap庫(kù)),這個(gè)庫(kù)使用BSD的bpf思想。采集模塊向分析模塊提供格式化的數(shù)據(jù)包信息。
　　當(dāng)分析模塊收到格式化的數(shù)據(jù)包信息后,啟動(dòng)相應(yīng)的入侵檢測(cè)模型過(guò)程,對(duì)數(shù)據(jù)進(jìn)行處理。這里的入侵檢測(cè)模型有2種:一種是異常檢測(cè)模型,另一種是入侵檢測(cè)模型。
　　(1)對(duì)于異常檢測(cè)模型,入侵檢測(cè)過(guò)程會(huì)根據(jù)代理功能的不同,進(jìn)行不同級(jí)別的檢查。我們的模型會(huì)進(jìn)行2個(gè)級(jí)別的檢查。一個(gè)是基于包頭的檢查,即對(duì)鏈路層包頭、IP層包頭、TCP層包頭進(jìn)行檢查分析,將異常存入數(shù)據(jù)存儲(chǔ)設(shè)備。另外一個(gè)級(jí)別的檢查是基于報(bào)文內(nèi)容的檢查,入侵檢測(cè)過(guò)程將異常信息進(jìn)行記錄。這2個(gè)級(jí)別的探測(cè)分別被稱為系統(tǒng)級(jí)探測(cè)和應(yīng)用級(jí)探測(cè)。
　　(2)對(duì)于入侵檢測(cè)模型,入侵檢測(cè)過(guò)程將格式化的信息與已知的攻擊模型的特征進(jìn)行比對(duì)。如果格式化信息與攻擊模式的特征完全一樣,則可以認(rèn)定是一種攻擊,將這種攻擊的信息一方面進(jìn)行存儲(chǔ),一方面向系統(tǒng)控制決策中心進(jìn)行報(bào)告,請(qǐng)求控制決策中心對(duì)攻擊進(jìn)行處理。
　　報(bào)告產(chǎn)生器是根據(jù)系統(tǒng)控制決策中心的請(qǐng)求,從數(shù)據(jù)存儲(chǔ)設(shè)備中提取請(qǐng)求信息。這些信息構(gòu)成一張異�；蛘吖�擊視圖,它是存儲(chǔ)信息的子集合。
　　4.2系統(tǒng)控制決策中心
　　系統(tǒng)控制決策中心接收用戶請(qǐng)求,產(chǎn)生數(shù)據(jù)請(qǐng)求,然后將數(shù)據(jù)請(qǐng)求發(fā)送給特定的入侵檢測(cè)代理,等待接收響應(yīng)信息,最后將響應(yīng)信息加工成用戶視圖。如果用戶認(rèn)定某些行為屬于攻擊行為,就向探測(cè)策略執(zhí)行代理發(fā)出請(qǐng)求,阻止或者限制攻擊行為的進(jìn)一步發(fā)展。
　　(1)用戶接口,即給用戶提供操作界面。用戶通過(guò)這個(gè)界面完成系統(tǒng)控制和數(shù)據(jù)請(qǐng)求功能。用戶接口將用戶請(qǐng)求翻譯成系統(tǒng)請(qǐng)求,然后交給下層模塊進(jìn)行處理。
　　(2)控制和管理,即依據(jù)系統(tǒng)請(qǐng)求的類別,構(gòu)造協(xié)議數(shù)據(jù)傳輸單元,然后遞交給下層協(xié)議通信接口,請(qǐng)求發(fā)送。
　　(3)協(xié)議通信接口,即識(shí)別代理發(fā)出的協(xié)議數(shù)據(jù),對(duì)協(xié)議數(shù)據(jù)進(jìn)行處理;同時(shí)將系統(tǒng)控制決策中心的用戶意圖發(fā)送給各個(gè)代理,完成管理和控制功能。
　　4.3探測(cè)策略執(zhí)行代理
　　探測(cè)策略執(zhí)行代理的主要功能是根據(jù)系統(tǒng)控制決策中心的要求對(duì)攻擊者的攻擊行為進(jìn)行控制,這里控制包括監(jiān)控、限制訪問(wèn)權(quán)限、取消訪問(wèn)權(quán)限等。探測(cè)策略執(zhí)行代理主要由2部分構(gòu)成:通信接口和控制執(zhí)行,但是還有一個(gè)小的配置模塊輔助它們完成各自的功能。
　　配置模塊幫助代理建立一個(gè)與控制系統(tǒng)無(wú)關(guān)的控制接口。因?yàn)槟壳白畛Ｓ玫木W(wǎng)絡(luò)控制系統(tǒng)是防火墻系統(tǒng),大部分的防火墻系統(tǒng)都給出系統(tǒng)的命令接口。基于這一點(diǎn),我們?cè)谠O(shè)計(jì)通用控制接口時(shí),自己定義一組功能完備的控制功能集合,然后建立一種從代理系統(tǒng)功能集合向具體防火墻系統(tǒng)命令集合的映射。
　　探測(cè)策略執(zhí)行代理的通信接口和前面幾個(gè)部分的通信模塊的功能是一樣的�？刂茍�(zhí)行是這種代理的核心部分。它根據(jù)通信接口送來(lái)的協(xié)議數(shù)據(jù),分析系統(tǒng)控制和決策中心的意圖。然后根據(jù)代理配置時(shí)建立起來(lái)的控制系統(tǒng)映射關(guān)系,構(gòu)造與具體控制系統(tǒng)相關(guān)的控制規(guī)則。

【淺談分布式入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)】相關(guān)文章：

基于VB的分布式監(jiān)控系統(tǒng)通信設(shè)計(jì)03-18

基于DSP芯片的分級(jí)分布式管理系統(tǒng)設(shè)計(jì)03-18

基于OSI參考模型的測(cè)井系統(tǒng)互連設(shè)計(jì)03-07

分布式網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)訪問(wèn)設(shè)計(jì)與優(yōu)化03-18

分布式發(fā)電機(jī)勵(lì)磁監(jiān)控系統(tǒng)的設(shè)計(jì)03-18

淺談線損管理系統(tǒng)的設(shè)計(jì)及開發(fā)03-19

變風(fēng)量空調(diào)系統(tǒng)的優(yōu)化設(shè)計(jì)淺談03-19

分布式發(fā)電系統(tǒng)的應(yīng)用及前景03-18

帶鋼表面缺陷智能檢測(cè)系統(tǒng)的設(shè)計(jì)與研究03-16