校園網安全管理之分布式IDS模型構建

摘要：為提高校園網數字資源的安全管理，可構建一個通用的基于校園網網絡環境下的分布式入侵檢測系統框架結構，分布檢測、協作分析、分布管理，這對提高整個校園網的防護性有著重要的意義。從被動管理到主動防御管理，安全管理的層次有了進一步的提高。隨著網絡應用的進一步深化，分布式入侵檢測系統的普及和應用將會逐漸融入市場。

關鍵詞：信息安全；入侵檢測；框架結構；校園網

中圖分類號：TP393.06 文獻標識碼：A 文章編號：1673-1573（2012）02-0110-05

引言

互聯網的開放性為信息共享和交互提供了極大的便利，但隨之而來的網絡信息安全問題也日益嚴峻。作為計算機安全領域的一項重要技術，入侵檢測技術的研究逐漸受到人們的重視，然而目前的傳統集中式入侵檢測系統由于固有的缺陷，即有效性、適應性和可擴展性方面都存在不足，已經不能適應目前的高速網絡環境，尤其是面對分布式協同攻擊時，它已顯得力不從心。該領域的研究重點之一是如何建立具有分布式的入侵檢測系統基本框架，并為檢測系統的開發與實踐提供理論依據。

一、設計思想

基于校園網的分布式入侵檢測框架模型，其主要特征為“分布檢測、協作分析、分布管理”。

各個監測域中的分析器互相平等協作，整個監測域內不存在單獨的中心處理節點，目的是針對協同攻擊的檢測分析，有效地實現了檢測任務的分布化。另外，在所設計的系統模型中，以層次式的體系結構為藍本，針對層次式結構中分析器一旦出現問題，整個系統的運行將受到很大程度的影響，提出了備份分析器的策略，引入了主備分析器的概念。

主備分析器的關系是當“主分析器”失效時，由“備份分析器”代替行使控制權，避免了系統的失效。在“主分析器”受攻擊后的修復期間，“備份分析器”按對等式方式工作。結構模型如圖1所示。

由于各管理域的相對獨立性，增加了學習器功能部件，目的是使各管理域中的特征庫能夠智能升級并且處理協同式攻擊。

二、系統特點

該模型框架基于校園網，其主要特點及功能性模塊表述如下：

1. 分布式結構。因校園網絡的出口流量比較大，所以在網絡出口處安裝的IDS設備不僅成了網絡出口的瓶頸，而且IDS本身也無法處理如此多的數據。因此必須采用分布式的IDS結構，各區域中的采集器單獨收集相應區域的數據，由區域分析器進行分析處理，處理結果交學習器進一步學習。

2. 誤用檢測。應用誤用檢測的方式來匹配攻擊特征，依然是IDS 應用的主要方向，誤用檢測性能的優劣主要取決于特征庫是否完善。在高校網絡的應用環境中，特征庫中必須包含足夠多的攻擊特征樣本，否則誤用檢測功能則大打折扣。特征庫中的樣本值可以通過學習器不斷補充，更新。

誤用檢測的實現方式是采用協議分析，檢測是否有入侵行為的存在。將所有的攻擊事件表示為入侵規則，將其存入特征數據庫中，當采集到的數據與特征庫中某種規則匹配，就說明有某種入侵行為發生。

3. 異常檢測。異常檢測主要是針對網絡的未知攻擊，是對誤用檢測的缺失性補充。

該系統模型采用基于網絡流量分析。引入統計的方法為網絡流量建立相應的數據模型，并依據此模型檢測網絡流量的異常。因此，在采集網絡流量數據的基礎上，采用時間序列分析的方法為網絡流量中的與時間相關的指標建立流量模型。其中，通過方差分析的方法消除由于作息時間而造成的網絡流量的周期性波動，然后通過分析歷史流量數據的特點為其建立合理的，流量模型。

4. 攻擊源追蹤。針對假冒源地址的分布式攻擊，尤其針對惡意破壞等非法攻擊時，攻擊源追蹤是必要的。通過攻擊源追蹤，可以有效鎖定攻擊者的來源，尤其對于內網攻擊，應該能確定其大致物理位置。

偽造源地址來進行攻擊是攻擊者慣用的方法，因為路由器在轉發數據包時，對源地址是不予檢查的。比如，Dos攻擊就時常伴隨著源地址的偽造。該系統框架設計使用IP報文追蹤的方式，利用路由器作為中間介質，逐步追蹤到發送假冒源地址報文的攻擊者位置。

5. 學習模塊。定時收集交換不同管理域中分析器發送的異常數據特征模式，并存儲到數據庫中。目的是完備不同管理域中的誤用特征庫。

6. 管理模塊。管理員作為一個獨立個體，采用B/S結構的方式登陸到管理服務器。系統內置一個公鑰證書服務系統，對管理員進行身份認證，認證合格的用戶使用Https安全協議與管理服務器進行通訊，保障了系統的安全。

三、物理結構

系統在物理上主要涉及到三種主機，分別是采集器（Sensor）、分析器（Analyzer）和管理器（Manager）。如圖2所示。

從圖2中可以看到，Manager控制并監測所有Sensor和Analyzer的運行狀態（為了使上圖看起來比較簡潔，有些控制線沒有給出）。由于考慮到Sensor的監測效率，所以在一個子網中可以安裝多個Sensor，使其分別對不同類型的數據進行收集并做預處理工作。

通過被監測的子網網關端口映射的方法將子網的出入流量轉發給Sensor，對于網絡中存在的共享式拓撲結構環境，可以把網卡設為混雜模式來收集數據。同時可將校園網出入流量信息轉發給另一臺Sensor。監測的出入數據實時上傳給主分析器，經過分析、篩選和統計，得到入侵檢測結果，并發送給管理服務器。管理員可以通過管理服務器獲得檢測信息。各種主機的詳細職能如下：

1. 管理服務器：管理服務器通過與分析器連接，獲得警報信息，并且完成系統初始化配置管理。分析器和采集器的工作狀態也由管理服務器負責監控。

2. 主分析器：主分析器接收到各區域采集器收集的警報信息，并對其進行聚合分析，而且分析器還可與其他管理域（這里我們把一個子網看作是一個管理域）中的分析器進行交互協作以檢測大規模分布式攻擊。

3. 備份分析器服務器：為主分析器服務器提供冗余功能，當主分析器由于各種原因不能正常工作時，自動切換到備份分析器。這樣可以解決單點失效的問題。

4. 采集器：收集、過濾報文數據，并對其進行初步分析，將生成的安全事件報告給所屬區域的分析器。采集器中，應具備數據采集和數據處理功能，采集器和分析器二者之間的關系是層次式的從屬關系，不僅在一個管理域內可以對多個采集器進行管理，又便于分析器對多個分布式采集器所上傳的數據進行提煉，以便及時地發現攻擊行為。

5. 數據庫：數據庫主要用來存儲各種數據，如入侵事件描述、入侵特征、檢測規則等。數據庫在入侵檢測系統中扮演的角色，不僅涉及到事件之間的關聯分析，還對入侵特征和規則庫的更新起著重要的作用。

6. 學習器：管理并升級各個域中的特征庫，處理協同式攻擊。

四、分布式IDS模型框架

基于以上分析，提出了一種分布式入侵檢測系統模型框架，如圖3所示。該模型框架具有如下幾個要點：

1. 不存在單點失效，基于網絡的檢測系統和基于主機的檢測系統二者分離，但又各司其職，不會因為某個系統的異常，而導致整個系統癱瘓。

2. 多個采集器分散在不同位置（同一子網內），不僅可以檢測內外網之間的通信，還可以檢測內網與服務器之間的通信，提高了整個內網的安全性。

3. 采用基于網絡的分析器報警，不僅可以加強入侵行為監測能力，還可以對主機起到一定保護作用。

4. 各管理域的分析器定時交換信息的學習功能能夠有效地進行分布式入侵檢測系統的自主學習。

五、分布式IDS關鍵組件實現

1. 設計標準。為了便于同一管理域或不同管理域功能部件之間的信息交互，采集器、分析器、學習器的接口要遵循統一的標準。一般而言，每個功能部件都包括輸入接口、輸出接口、互動接口等三類接口。為避免數據格式的轉換，輸入輸出的數據格式應該保證一致。分布式IDS功能部件設計模型如圖4所示。

2. 采集器的功能結構。采集器的功能結構如圖5所示。

通過數據采集模塊采集數據，數據篩選模塊將無用的信息過濾掉，接著對數據進行分類，合并同類數據信息，在合并的過程中又可以去除一些冗余，之后判斷數據是否符合要求，對不符合要求的數據要轉換成統一的格式，最終生成事件傳遞給分析器。

3. 分析器的功能結構。分析器的功能結構如圖6所示。分析模塊是分布式入侵檢測系統的核心組建，借助特征庫完成對事件的分析和處理。

特征庫是否完備直接影響到分析結果。為了彌補誤用檢測的不足，這里引入了基于流量分析的數據檢測模型。如果被檢測的事件認定是攻擊，則產生報警，否則，給出懷疑度。分析模塊是否將懷疑的數據給關聯模塊進行數據融合，要根據分析的結果來決定。數據融合模塊是要集中各分析傳送上來的可疑事件來判斷是否存在分布式攻擊。最后分析器將所分析結果送至管理器。

4. 學習器的功能結構。分析器首先對進入網絡的數據進行分析，一旦發現異常，則報告給學習器。學習器應具有不同管理域的特征標識，通過學習，自動更新各個管理域的特征庫。下面是學習器的功能結構，如圖7所示。

5. 管理器的功能結構。管理決策模塊是非常重要的一個模塊，尤其在分布式協同工作時，該模塊負責相關組件的有序運行，檢測分布式攻擊，進行入侵追蹤。管理決策模塊處理分析器送來的警報事件，根據制定的策略做出響應，如果對事件不做出響應，則將其傳遞給管理員。用戶可以通過用戶界面進行系統的配置和管理，并且可以查看系統的運行狀態，必要時，可以做出手工的響應。管理器的功能結構如圖8所示。

6. 攻擊源追蹤的功能結構。攻擊源追蹤子系統分為追蹤控制模塊、報文記錄模塊和追蹤執行模塊，其整體框架如圖9所示。

追蹤控制模塊是整個子系統的核心，配置和指揮報文記錄模塊和追蹤執行模塊的行為。報文記錄模塊對數據報文進行記錄，追蹤執行模塊執行追蹤功能。要完成攻擊源的追蹤任務，三者之間必須要協調工作。

盡管網絡攻擊者可以通過偽造IP源地址對目標來實施攻擊，但是有一個基本的事實，那就是一個數據報的發送者很難改變數據報經過一系列中間轉發節點。然而追蹤子系統恰恰就是利用這點找到攻擊源的。

結語

對于整個網絡和網絡資源來說，網絡安全管理是至關重要的，分布式入侵檢測系統的研究對提高整個校園網的防護性有著重要的意義。從被動管理到主動防御管理使得安全管理層次有了進一步的提高。關于分布式入侵檢測系統的實際應用目前還沒有達到一定的普及程度，但隨著網絡應用的進一步深化，伴隨著用戶安全意識的進一步增強，分布式入侵檢測系統的普及和應用會逐漸融入市場。

參考文獻：

[1]羅守山.入侵檢測[M].北京：北京郵電大學出版社，2004.

[2]唐正軍.入侵檢測技術[M].北京：清華大學出版社，2004.

[3]安寧，楊義先.大規模分布式入侵檢測系統框架結構研究.[D].北京：北京郵電大學，2004.

[4]史衛軍，馬建峰.基于入侵檢測理論的系統安全機制研究.[D].西安：西安電子科技大學，2003：14-39.

[5]J.P.ANDERSON.Computer Security Threat Monitoring and Surveillance.Technical report，James P Anderson Co.，Fort Washington，Pennsylvania，April 1980.

[6]D.E.DENNING，“An Intrusion Detection Model ”，IEEE Transaction on Software Engineering.1987，SE-13；（2）：222-232.

[7]王強，蔣天發.分布式入侵檢測系統模型研究[J].計算機工程，2007，（8）：154-156.

[8]胡大輝.一種分布式入侵檢測系統的研究與設計[D].西安：西安電子科技大學，2004.

[9]宋繼軍.校園網中分布式入侵檢測系統模型的設計[J].鐵路計算機應用，2006，（3）：40-43.

[10]黃梅珍，邱志宏.分布式入侵檢測系統在校園網絡的應用[J].柳州職業技術學院學報，2007，（2）：71-75.

[11]趙宣.基于對等結構的分布式入侵檢測系統的設計與實現[D].長沙：中南大學，2007：24-32.

[12]林龍濤.高速網絡環境下入侵檢測系統研究[D].青島：青島大學，2007.

[13]溫世強.校園網分布式入侵檢測系統的設計與實現[D].北京：清華大學，2001.

[14]孫君生.分布式入侵檢測系統的研究與部署[D].西安：西安電子科技大學，2006.

責任編輯、校對：焦世玲