摘 要:以入侵检测技术为研究对象,提出一个基于宽带网的入侵检测系统模型,给出了其设计方案,采用协议分析和模式匹配相结合的方法,设计并实现一个基于网络的入侵检测系统TcpIDS,实现对已知攻击的检测,并可以检测出违反协议规范的、可能是新的未知攻击的可疑活动。
关键词:入侵检测;分布式;数据分流;协议分析
1.引言 入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。随着宽带网络的应用,传统的网络入侵检测系统显得力不从心。本文的作者试图在Linux环境下设计一个比较有效的基于宽带网的入侵检测系统。的系统结构 BNIDS(Broad Network-based Intrusion Detection System),即基于宽带网的入侵检测系统,是为带宽在1G以上的网络设计的。传统的网络入侵检测系统一般应用在带宽不超过100M的网络上,对于超过100M的网络,漏报率高,实时性差,甚至无能为力。因此,BNIDS很好地适应了网络带宽的发展。 BNIDS框架由数据采集整理agent、数据检测agent、监控agent和响应agent组成。这些agent可以分布在不同的机器上,甚至不同的网络上。整个系统采用集中一分布式的控制结构,部件之间相互独立,以通过消息相互防作,完成对分布式攻击的检测和处理。BNIDS的结构如图1所示。
图1 BNIDS的结构 ①数据采集整理agent 数据采集整理agent,具有智能负载均衡功能,可以放置在要检测的主干网的网段上,用来收集网络上的数据包,并对来自网络的数据包进行数据分流以及约简等预处理。数据采集整理agent采用了零拷贝技术,数据报从网络设备到数据采集整理agent空间传递的过程中,减少数据拷贝次数,减少系统调用,实现CPU的零参与,彻底消除CPU在这方面的负载。 ②检测agent 检测agent是执行入侵检测功能的部件,可以独立运行。但通常在监控agent的管理下运行,它可以采用任何入侵检测技术。通常,对来自主机的数据采用专家系统检测技术,对来自网络的数据采用防议分析和模式匹配相结合的检测技术。检测agent实时检测来自于数据采集整理agent处理过的数据,对其进行监视、统计、分析,发现可疑行为,对于自己可以确定为攻击的行为作出处理,进行记录并作为各地区信息报告给监控agent,自己无法确定性质的异常行为,则转化推诱上,进行记录,并及时与其它监控agent联系,交流信息。 ③监控agent 监控agent是整个系统的控制决策中心。安全管理员通过它来配置系统的安全策略、设定运行参数、更新模式库、观察系统的运行、监督系统的安全状态。当安全策略改变,监控agent就请求检测agent和响应agent改变其安全策略。它还接收各代理的事件和告警消息,并将这些信息进行综合,根据安全策略要求,通知响应agent采取必要措施。 ④响应agent 响应agent将受保护网络和外部网络分离并对入侵行为进行制止和反击,对入侵事件进行日记或发邮件给管理员,是防火墙技术和响应技术综合的部件。它可以独立运行,也可以接受监控agent发来的响应命令和改变配置的消息,执行必要操作,如改变安全策略、对攻击行为进行反击等。的工作流程 BNIDS的工作流程如下图所示。
图2 BNIDS的工作流程 BNIDS可运用在超过1G的网络上,应用范围是传统入侵检测系统无法比拟的。BNIDS采用了协议分析和模式匹配相结合的检测技术,误报率大大降低;采用了数据分流和数据约简技术,漏报率几乎为零,做到了实时性。BNIDS的设计采用了很多复杂技术,实现BNIDS需要较高的软硬件条件。下面研究利用协议分析的入侵检测技术设计并实现的基于TCP/IP协议分析的网络入侵检测系统(TcpIDS)。BNIDS和TcpIDS都运用了协议分析的入侵检测技术,但两者的应用场合不一样,BNIDS适用于带宽在1G以上的主干网络,而TcpIDS适用于带宽在不超过100M的网络。的设计与实现 本论文采用高速包捕获、协议议分析与模式匹配相结合的方法检测攻击,设计并实现了一个协议分析与模式匹配相结合的网络入侵检测系统TcpIDS,实现对攻击的实时检测,并可识别出违反协议规范的、可能是新的未知攻击的可疑活动。 TcpIDSs的工作原理是:在一个共享网段上捕获、分析原始的IP数据包,根据协议规范对数据包进行解码、组合,形成各种协议的分组结构;对各种协议的分组结构进行分析,判别数据包是否合理,并从中分解出特征信息;将分解出来的特征与攻击特征库中的特征进行模式匹配,以发现可疑的攻击;对无效、违反协议规范及带有攻击性的数据包进行实时地记录和报警。 TcpIDS是一个在Linux9.0系统下运行的基于协议分析与模式匹配相结合的网络入侵检测系统,它的主要功能是网络监视、数据包的记录、检测违反协议规范的数据包和攻击行为。从功能实现的角度将该系统划分为以下五个模块:数据收集模块、数据分析模块、入侵检测模块、响应模块和数据存储及日志模块,符合CIDF的规范。 数据收集模块一该模块完成系统所需要数据的收集工作,根据所要检测的对象,设置网络包截取,并把数据传送到数据分析模块。由于数据量大,该模块还应具有数据过滤、数据分类、数据简化等预处理功能。该模块是TcpIDS系统的最底层部分,是TcpIDS实现的基础,其中最关键的是要保证高速和很低的丢包率,而且它对于保证整个入侵检测系统的效率和可移植性是至关重要的。数据收集部分还需做的一项工作就是将网片置于混杂模式,这样可以监听到整个网段的数据。 数据分析模块一通过对网络协议进行分析,判断数据包的协议类型,以便使用相应的数据分析程序来检测数据包,检测出违反协议标准的或不应该在网络中出现的数据包,对可能的攻击特征,将其交给入侵检测模块进行进一步的检测。在数据分析的过程中,首先对数据包进行协议分析、过滤,根据协议、端口等信息将数据包送到不同的检测流程(如只有HTTP协议的包才进行CGI检查),这样可以使检查的过程尽量缩短,提高程序的工作效率。 入侵检测模块一通过对网络包特征及已知攻击进行分析,检测网络入侵。该模块完成具体的检测任务,也是入侵检测系统的核心部分。该模块使用了快速的模式匹配算法,将所有已知的攻击方法表示为模式信号存放在攻击特征库中。从网络活动中寻找预先定义的攻击模式,一旦发现当前数据和攻击特征库中的某种特征相匹配,就认为检测出了攻击,即将此事件提交给“响应模块”。检测过程中还涉及到攻击特征表示技术及特征知识库的建立与维护。 响应模块一根据“检测模块”提交的事件种类,根据预先定义的响应行为执行相应的反应动作。目前实现了对非法操作行为提出警告,并显示出来。数据存储及日志模块一日志数据及检测结果需要长久地保存,以便查询和分析, 该模块应具有数据的存储、分析功能(如:总结、归类、查询和统计分析等)。 TcpIDS系统的数据流程图如图3所示。
图3 TcpIDS系统的数据流程图5.结束语 基于宽带网的入侵检测技术还是一个较新的研究领域,它的研究不但对入侵检测技术自身的发展和应用起到有意义的丰富和推动作用,也能为入侵检测系统的研究、开发提出宝贵经验,促进入侵检测技术的发展和应用。同时,对我国跟踪国际入侵检测系统先进技术具有重要的意义。参考文献:[1]马恒太,蒋建春,等.基于Agent的分布式入侵检测系统模型.软件学报,2000,11(10):1312-1319.[2]张毅,王凤琴.网络安全的关键技术——入侵检测.吉林粮食高等专科学校学报,2001, 16(2):58-64.
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。
