一種可視化入侵檢測系統結構設計

譚　寧

[摘要]設計一種可視化入侵檢測系統，將可視化入侵檢測系統劃分為兩個子系統：入侵檢測數據管理子系統和入侵檢測數據分析子系統，并對各個功能模塊進行闡述。

[關鍵詞]可視化 入侵檢測 系統 子系統

中圖分類號：TP2文獻標識碼：A文章編號：1671－7597（2009）0120045－01

一、一種可視化入侵檢測模型

為了保證局域網的安全，本文研究的可視化入侵檢測模型共有兩個系統，即目標系統與可視化入侵檢測系統。目標系統即被保護的系統，可視化入侵檢測系統由四個過程構成：

1．歷史數據可視化過程：從目標系統獲得用戶歷史行為信息，將歷史行為信息采用可視化算法轉換為圖像信息，傳遞給安全專家。

2．創建行為輪廓過程：通過與安全專家的交互，創建正常用戶行為輪廓，傳遞給當前數據可視化過程，用以指導檢測異常過程的執行。

3．檢測異常過程：從目標系統獲得用戶當前行為信息，以正常用戶行為輪廓作為檢測基準，采用自動化的檢測方法檢測當前用戶活動是否背離正常行為輪廓。如果發現背離，則認為當前用戶活動異常，發出入侵警報，傳遞給當前數據可視化過程。

4．當前數據可視化過程：將正常用戶行為輪廓、當前用戶行為信息與入侵警報信息轉化為可視圖像信息，傳遞給安全管理員，以便安全管理員根據組織的安全策略做出決策。

為了實現可視化入侵檢測模型中的描述的入侵檢測的四個過程，將可視化入侵檢測系統劃分為兩個子系統：入侵檢測數據管理子系統和入侵檢測數據分析子系統。

二、入侵檢測數據管理子系統

入侵檢測數據管理子系統是可視化入侵檢測系統(VIDS)的數據基礎，也為入侵檢測數據分析子系統提供數據支持。其主要包括三個部分：數據包捕獲模塊、數據提取模塊和數據事件分析庫。

（一）數據包捕獲模塊。該模塊捕獲的數據包括網絡中的原始數據包和目標系統日志。

1．原始數據包：可視化入侵檢測系統(VIDS)利用Libpcap的庫函數進行原始數據包的采集，這些庫函數可以為應用程序提供直接從數據鏈路層捕獲數據包的接口函數。網絡數據的解析機制是整個系統實現的基礎，其中最關鍵的是要保證抓包的高效率和較低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關。

2．目標系統日志：用戶在目標系統中的活動被以日志形式記錄下來，日志數據反映了用戶的主要活動信息。由于Web日志易于獲得，因此對以Web應用系統為目標系統的入侵檢測系統而言，常采用Web日志作為入侵檢測的數據源。

（二）數據提取模塊。該模塊采集數據包捕獲模塊獲取的數據作為來源，進行簡單的處理，生成統一格式的安全審計事件，然后將經過處理的數據提交給數據分析模塊。數據提取過程主要包括如下步驟：

1．協議分析：數據包捕獲模塊把捕獲的數據提交給協議分析模塊后，協議分析模塊必須對這些數據進行分析，根據相應的協議把這些分析后的數據放到指定的數據結構中，供上層模塊調用。同時協議分析模塊還要對這些數據包進行一些基本的校驗，如出現錯誤的數據包，及時丟棄。

2．規則匹配：根據源IP、目標IP，源端口范圍和目標端口范圍等屬性分類組織成為規則集的。當一個數據包被檢測時，從左向右檢測每個規則集的上述四個參數以決定是檢測該規則集還是轉移到下一個規則集。然后根據已經建立的規則中查找匹配發現入侵。

3．數據預處理：預處理模塊的作用就是對網絡數據進行預先處理，從而方便隨后的檢測分析。另外，我們可以發現，基于規則的檢測引擎并不能檢測所有的入侵，尤其是針對有效載荷的檢測，而像端口掃描、SYN Flooding等攻擊，按照前面所述的方法很難對它們的特征進行提取。因此，需要特殊情況特殊處理，而預處理就是一個很好的選擇。

（三）事件分析數據庫模塊。一個好的入侵檢測系統不僅僅應當為管理員提供實時、豐富的警報信息，還應詳細地記錄實時數據，以便于日后需要取證時重建某些網絡事件。數據庫管理的前端程序通常與控制臺模塊集合在一起。

三、入侵檢測數據分析子系統

入侵檢測數據分析子系統是整個可視化入侵檢測系統(VIDS)的核心，主要完成用戶行為輪廓創建、當前和歷史數據可視化和異常檢測四個過程。該系統主要完成對前面的數據管理子系統中的當前、歷史數據信息，采用可視化入侵檢測算法（主要是基于散亂點的算法）實現可視化建模，然后利用直觀的圖形來顯示入侵分析的結果，并根據結果進行異常檢測，給出警報信息。為完成上述檢測過程，將該子系統劃分為：用戶行為建模、可視化建模、異常檢測、數據繪制與顯示和安全響應模塊等五個模塊。

1．用戶行為建模：鑒于歷史行為建模與當前行為建模的過程較類似，因此在本節中統一闡述行為建模過程。行為建模過程主要將前面數據庫管理子系統中數據提取的結果進行分析，以審計事件為輸入，建立描述目標系統用戶行為的數學模型，并輸出用戶行為模型作為可視化建模、異常檢測過程的輸入。

2．可視化建模：可視化建模過程是將由應用數據表示的行為模型映射為由幾何數據表示的可視化模型的過程。

可視化建模過程采用可視化入侵檢測算法實現?？梢暬肭謾z測算法的輸入為用戶行為模型，輸出為散亂點可視化模型。

3．異常檢測：異常檢測過程是將用戶當前活動與正常用戶行為作比較，比較過程可選用不同的數學分析工具，例如：聚類分析、T2測試等，即可評價當前用戶活動與正常行為之間的背離程度。如果發現當前用戶活動背離正常行為輪廓，則發出入侵警報。入侵警報信息傳遞給可視化建模過程，可視化后最終傳遞給安全管理員。

4．數據繪制與顯示：本文主要研究基于散亂點的可視化入侵檢測算法。該算法將行為模型及相關信息轉換為散亂點可視化模型。

在可視化建模過程完成后，將依次進行數據繪制過程與數據顯示過程。數據繪制過程負責將由點、線、面等幾何數據構成的散亂點等可視化模型轉換成像素點構成的圖像數據。

5．安全響應模塊：由于入侵警報可能是誤報，安全管理員接收到入侵警報后，首先利用可視化控制臺深入調查入侵警報產生的原因，然后根據組織的安全策略決定是否啟動安全響應過程。

本可視化入侵檢測系統，將可視化入侵檢測系統劃分為兩個子系統：入侵檢測數據管理子系統和入侵檢測數據分析子系統，并對各個功能模塊進行了闡述。

參考文獻：

[1]薛靜鋒、寧宇鵬、閻慧編著,入侵檢測技術,北京:機械工業出版社,2004.

[2]戴英俠、連一峰等編著,系統安全與入侵檢測,北京:清華大學出版社,2002.

[3]唐澤圣,三維數據場可視化,北京:清華大學出版社,1999.

作者簡介：

譚寧，男，漢，淄博職業學院信息工程系，副教授，研究方向：計算機網絡。