談分布式入侵檢測系統(tǒng)模型設(shè)計(jì)

摘要:文章首先提出了一個(gè)旨在提高分布式入侵檢測系統(tǒng)的擴(kuò)充性和適應(yīng)性的設(shè)計(jì)模型,然后分析本模型的特點(diǎn),最后對(duì)模型的3個(gè)組成部分給出簡要的描述。

關(guān)鍵詞:分布式入侵檢測系統(tǒng);模型設(shè)計(jì)
　　
　　1分布式入侵檢測系統(tǒng)的基本結(jié)構(gòu)
　　盡管一個(gè)大型分布式入侵檢測系統(tǒng)非常復(fù)雜,涉及各種算法和結(jié)構(gòu)設(shè)計(jì),但是如果仔細(xì)分析各種現(xiàn)存的入侵檢測系統(tǒng)的結(jié)構(gòu)模型,可以抽象出下面一個(gè)簡單的基本模型。這個(gè)基本模型描述了入侵檢測系統(tǒng)的基本輪廓和功能。該模型基本結(jié)構(gòu)主要由3部分構(gòu)成:探測部分、分析部分和響應(yīng)部分。
　　探測部分相當(dāng)于一個(gè)傳感器,它的數(shù)據(jù)源是操作系統(tǒng)產(chǎn)生的審計(jì)文件或者是直接來自網(wǎng)絡(luò)的網(wǎng)絡(luò)流量。分析部分利用探測部分提供的信息,探測攻擊。探測攻擊時(shí),使用的探測模型是異常探測和攻擊探測。響應(yīng)部分采取相應(yīng)的措施對(duì)攻擊源進(jìn)行處理,這里通常使用的技術(shù)是防火墻技術(shù)。
　　2系統(tǒng)模型設(shè)計(jì)
　　這個(gè)模型主要是入侵檢測系統(tǒng)基本結(jié)構(gòu)的具體化。主體框架仍然由3部分構(gòu)成:探測代理、系統(tǒng)控制決策中心、控制策略執(zhí)行代理。但是這3部分并不對(duì)應(yīng)于基本結(jié)構(gòu)中的3部分,因?yàn)檫@里探測代理和系統(tǒng)控制的分析功能。代理和系統(tǒng)控制決策中心采用標(biāo)準(zhǔn)的通信接口與系統(tǒng)控制決策中心通信,因此,它們的設(shè)計(jì)為系統(tǒng)的分布式部署和系統(tǒng)的擴(kuò)充性實(shí)現(xiàn)做了充分的考慮,同時(shí)使得各個(gè)代理的功能更加單一。功能的單一性有利于對(duì)某一種入侵行為的檢測趨于專業(yè)化。
　　3模型的特點(diǎn)
　　3.1分布性
　　從分布式入侵檢測系統(tǒng)的定義可知,只要系統(tǒng)的分析數(shù)據(jù)部分在系統(tǒng)的部署上是分布的,入侵檢測系統(tǒng)就可以認(rèn)為是分布式系統(tǒng)。本系統(tǒng)負(fù)責(zé)入侵行為檢測的代理是分布部署的,故整個(gè)系統(tǒng)具有分布性。
　　3.2標(biāo)準(zhǔn)性
　　從本系統(tǒng)的角度講,主要體現(xiàn)在代理的構(gòu)成和通信協(xié)議上。每個(gè)代理都按照4個(gè)層次進(jìn)行設(shè)計(jì)。從上到下,分別是通信接口、報(bào)告產(chǎn)生器、分析模塊和采集模塊。通信協(xié)議采用一套嚴(yán)格定義的通信規(guī)則和數(shù)據(jù)格式,同時(shí)將系統(tǒng)所必需的通信行為進(jìn)行了規(guī)范的定義。
　　3.3可擴(kuò)充性
　　本系統(tǒng)的各個(gè)部分采取標(biāo)準(zhǔn)化設(shè)計(jì),這樣系統(tǒng)各個(gè)部分的升級(jí)和新的代理部分的加入都變得相當(dāng)簡單。代理和系統(tǒng)控制決策中心有著標(biāo)準(zhǔn)的協(xié)商協(xié)議,代理可以進(jìn)行動(dòng)態(tài)注冊。
　　3.4良好的系統(tǒng)降級(jí)性
　　當(dāng)系統(tǒng)某一個(gè)代理出現(xiàn)問題,不能完成自己的檢測任務(wù)時(shí),網(wǎng)絡(luò)的檢測工作會(huì)受到有限的影響,但整個(gè)系統(tǒng)的檢測功能不會(huì)有明顯的下降。
　　3.5載荷最小性
　　系統(tǒng)的每個(gè)組成部分功能都是單一的,而且相互之間相對(duì)獨(dú)立,部署的時(shí)候可以幾個(gè)部署到一臺(tái)主機(jī)上。代理和控制決策中心之間利用標(biāo)準(zhǔn)協(xié)議通信,通信量較小;同時(shí)在傳遞數(shù)據(jù)時(shí),代理只傳輸控制中心請(qǐng)求的數(shù)據(jù),所以數(shù)據(jù)的傳輸量不大。
　4模型組成部分的功能描述
　　4.1探測代理
　　探測代理主要的功能是從網(wǎng)絡(luò)捕獲原始數(shù)據(jù),然后利用一定的探測模型對(duì)數(shù)據(jù)進(jìn)行分析,將感興趣的數(shù)據(jù)按照一定的格式存入數(shù)據(jù)存儲(chǔ)設(shè)備中。與系統(tǒng)控制中心通信協(xié)商,將系統(tǒng)控制決策中心請(qǐng)求的數(shù)據(jù)按照一定的傳輸格式傳送出去。
　　要完成上面的功能,探測代理需要4個(gè)層次的模塊共同協(xié)作才能完成。這4個(gè)模塊根據(jù)數(shù)據(jù)傳輸?shù)捻樞蚍謩e為:采集模塊、分析模塊、報(bào)告產(chǎn)生器、通信接口。
　　采集模塊直接從網(wǎng)絡(luò)上捕獲原始數(shù)據(jù)。為了使代理能夠?qū)Χ鄠�(gè)操作系統(tǒng)提供支持,這里的捕獲過程使用一個(gè)通用的數(shù)據(jù)包捕獲庫(libpcap庫),這個(gè)庫使用BSD的bpf思想。采集模塊向分析模塊提供格式化的數(shù)據(jù)包信息。
　　當(dāng)分析模塊收到格式化的數(shù)據(jù)包信息后,啟動(dòng)相應(yīng)的入侵檢測模型過程,對(duì)數(shù)據(jù)進(jìn)行處理。這里的入侵檢測模型有2種:一種是異常檢測模型,另一種是入侵檢測模型。
　　(1)對(duì)于異常檢測模型,入侵檢測過程會(huì)根據(jù)代理功能的不同,進(jìn)行不同級(jí)別的檢查。我們的模型會(huì)進(jìn)行2個(gè)級(jí)別的檢查。一個(gè)是基于包頭的檢查,即對(duì)鏈路層包頭、IP層包頭、TCP層包頭進(jìn)行檢查分析,將異常存入數(shù)據(jù)存儲(chǔ)設(shè)備。另外一個(gè)級(jí)別的檢查是基于報(bào)文內(nèi)容的檢查,入侵檢測過程將異常信息進(jìn)行記錄。這2個(gè)級(jí)別的探測分別被稱為系統(tǒng)級(jí)探測和應(yīng)用級(jí)探測。
　　(2)對(duì)于入侵檢測模型,入侵檢測過程將格式化的信息與已知的攻擊模型的特征進(jìn)行比對(duì)。如果格式化信息與攻擊模式的特征完全一樣,則可以認(rèn)定是一種攻擊,將這種攻擊的信息一方面進(jìn)行存儲(chǔ),一方面向系統(tǒng)控制決策中心進(jìn)行報(bào)告,請(qǐng)求控制決策中心對(duì)攻擊進(jìn)行處理。
　　報(bào)告產(chǎn)生器是根據(jù)系統(tǒng)控制決策中心的請(qǐng)求,從數(shù)據(jù)存儲(chǔ)設(shè)備中提取請(qǐng)求信息。這些信息構(gòu)成一張異�；蛘吖�擊視圖,它是存儲(chǔ)信息的子集合。
　　4.2系統(tǒng)控制決策中心
　　系統(tǒng)控制決策中心接收用戶請(qǐng)求,產(chǎn)生數(shù)據(jù)請(qǐng)求,然后將數(shù)據(jù)請(qǐng)求發(fā)送給特定的入侵檢測代理,等待接收響應(yīng)信息,最后將響應(yīng)信息加工成用戶視圖。如果用戶認(rèn)定某些行為屬于攻擊行為,就向探測策略執(zhí)行代理發(fā)出請(qǐng)求,阻止或者限制攻擊行為的進(jìn)一步發(fā)展。
　　(1)用戶接口,即給用戶提供操作界面。用戶通過這個(gè)界面完成系統(tǒng)控制和數(shù)據(jù)請(qǐng)求功能。用戶接口將用戶請(qǐng)求翻譯成系統(tǒng)請(qǐng)求,然后交給下層模塊進(jìn)行處理。
　　(2)控制和管理,即依據(jù)系統(tǒng)請(qǐng)求的類別,構(gòu)造協(xié)議數(shù)據(jù)傳輸單元,然后遞交給下層協(xié)議通信接口,請(qǐng)求發(fā)送。
　　(3)協(xié)議通信接口,即識(shí)別代理發(fā)出的協(xié)議數(shù)據(jù),對(duì)協(xié)議數(shù)據(jù)進(jìn)行處理;同時(shí)將系統(tǒng)控制決策中心的用戶意圖發(fā)送給各個(gè)代理,完成管理和控制功能。
　　4.3探測策略執(zhí)行代理
　　探測策略執(zhí)行代理的主要功能是根據(jù)系統(tǒng)控制決策中心的要求對(duì)攻擊者的攻擊行為進(jìn)行控制,這里控制包括監(jiān)控、限制訪問權(quán)限、取消訪問權(quán)限等。探測策略執(zhí)行代理主要由2部分構(gòu)成:通信接口和控制執(zhí)行,但是還有一個(gè)小的配置模塊輔助它們完成各自的功能。
　　配置模塊幫助代理建立一個(gè)與控制系統(tǒng)無關(guān)的控制接口。因?yàn)槟壳白畛Ｓ玫木W(wǎng)絡(luò)控制系統(tǒng)是防火墻系統(tǒng),大部分的防火墻系統(tǒng)都給出系統(tǒng)的命令接口�；�于這一點(diǎn),我們在設(shè)計(jì)通用控制接口時(shí),自己定義一組功能完備的控制功能集合,然后建立一種從代理系統(tǒng)功能集合向具體防火墻系統(tǒng)命令集合的映射。
　　探測策略執(zhí)行代理的通信接口和前面幾個(gè)部分的通信模塊的功能是一樣的�？刂茍�(zhí)行是這種代理的核心部分。它根據(jù)通信接口送來的協(xié)議數(shù)據(jù),分析系統(tǒng)控制和決策中心的意圖。然后根據(jù)代理配置時(shí)建立起來的控制系統(tǒng)映射關(guān)系,構(gòu)造與具體控制系統(tǒng)相關(guān)的控制規(guī)則。
yjbys原創(chuàng)論文 http://www.yjbyslw.com/

本文選自yjbys原創(chuàng)論文網(wǎng)代寫畢業(yè)論文

【談分布式入侵檢測系統(tǒng)模型設(shè)計(jì)】相關(guān)文章：

淺談分布式入侵檢測系統(tǒng)模型設(shè)計(jì)03-09

基于VB的分布式監(jiān)控系統(tǒng)通信設(shè)計(jì)03-18

基于DSP芯片的分級(jí)分布式管理系統(tǒng)設(shè)計(jì)03-18

基于OSI參考模型的測井系統(tǒng)互連設(shè)計(jì)03-07

分布式網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)訪問設(shè)計(jì)與優(yōu)化03-18

分布式發(fā)電機(jī)勵(lì)磁監(jiān)控系統(tǒng)的設(shè)計(jì)03-18

分布式發(fā)電系統(tǒng)的應(yīng)用及前景03-18

帶鋼表面缺陷智能檢測系統(tǒng)的設(shè)計(jì)與研究03-16

談住宅建筑排水系統(tǒng)設(shè)計(jì)03-18

談機(jī)電一體化系統(tǒng)中的軟件系統(tǒng)設(shè)計(jì)03-12