分布式入侵檢測(cè)系統(tǒng)的模型設(shè)計(jì)

摘 要：介紹了標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)構(gòu)建模型，分析了模型特點(diǎn)和對(duì)模型三個(gè)組成部分進(jìn)行了描述。

關(guān)鍵詞：分布式入侵檢測(cè)系統(tǒng)；設(shè)計(jì)模型

中圖分類號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2013） 20-0000-01

一、引言

入侵檢測(cè)是一項(xiàng)既維持現(xiàn)有網(wǎng)絡(luò)開放模式，又為網(wǎng)絡(luò)提供安全的新技術(shù)。其目標(biāo)是識(shí)別系統(tǒng)內(nèi)部人員和外部入侵者的非法使用、濫用計(jì)算機(jī)系統(tǒng)的行為。不斷增加的計(jì)算機(jī)系統(tǒng)服務(wù)，為外部使用者提供了更多的訪問(wèn)計(jì)算機(jī)系統(tǒng)機(jī)會(huì)，也為內(nèi)部人員逃避系統(tǒng)識(shí)別提供了便利手段，入侵檢測(cè)已變成一項(xiàng)極具挑戰(zhàn)性的任務(wù)。入侵檢測(cè)系統(tǒng)（IDS）是基于下面原理設(shè)計(jì)的：入侵者的行為與合法用戶的行為具有明顯差別，多數(shù)非法訪問(wèn)行為是可探測(cè)的。本文介紹一個(gè)分布式入侵檢測(cè)系統(tǒng)模型，該模型具有優(yōu)越的系統(tǒng)擴(kuò)充性和抗攻擊性，并適應(yīng)高速網(wǎng)絡(luò)的安全需求。

二、分布式入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)

一個(gè)大型分布式入侵檢測(cè)系統(tǒng)非常復(fù)雜，涉及各種算法和結(jié)構(gòu)設(shè)計(jì)，但仔細(xì)分析各種現(xiàn)存的入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)模型，可以抽象出一個(gè)簡(jiǎn)單的基本模型。該模型描述了入侵檢測(cè)系統(tǒng)的基本輪廓和功能，模型基本結(jié)構(gòu)主要由探測(cè)、分析和響應(yīng)三部分構(gòu)成。探測(cè)部分相當(dāng)于一個(gè)傳感器，它的數(shù)據(jù)源是操作系統(tǒng)產(chǎn)生的審計(jì)文件或直接來(lái)自網(wǎng)絡(luò)的網(wǎng)絡(luò)流量。分析部分利用探測(cè)部分提供的信息，探測(cè)攻擊；探測(cè)攻擊時(shí)，使用的探測(cè)模型是異常探測(cè)和攻擊探測(cè)。響應(yīng)部分采取相應(yīng)措施對(duì)攻擊源進(jìn)行處理，通常使用技術(shù)是防火墻技術(shù)。

三、系統(tǒng)設(shè)計(jì)模型

該模型是入侵檢測(cè)系統(tǒng)基本結(jié)構(gòu)的具體化。主體框架由探測(cè)代理、系統(tǒng)控制決策中心、控制策略執(zhí)行代理構(gòu)成。這3部分并不對(duì)應(yīng)于基本結(jié)構(gòu)中的3部分，探測(cè)代理和系統(tǒng)控制的分析功能，代理和系統(tǒng)控制決策中心，采用標(biāo)準(zhǔn)的通信接口與系統(tǒng)控制決策中心通信，它們的設(shè)計(jì)為系統(tǒng)的分布式部署和系統(tǒng)的擴(kuò)充性實(shí)現(xiàn)，做了充分的考慮，使得各個(gè)代理的功能更加單一。功能的單一性帶來(lái)的好處是，使得對(duì)某一種入侵行為的檢測(cè)趨于專業(yè)化。每一個(gè)代理功能的加強(qiáng)都不會(huì)影響系統(tǒng)的其他部分。由于各個(gè)代理有著標(biāo)準(zhǔn)的通信協(xié)議接口，大大減小了系統(tǒng)各個(gè)部分間的通信量。

四、模型組成部分的功能描述

（一）探測(cè)代理。探測(cè)代理主要功能是從網(wǎng)絡(luò)捕獲原始數(shù)據(jù)，后利用一定的探測(cè)模型對(duì)數(shù)據(jù)進(jìn)行分析，將感興趣的數(shù)據(jù)按照一定的格式存入數(shù)據(jù)存儲(chǔ)設(shè)備中。與系統(tǒng)控制中心通信協(xié)商，將系統(tǒng)控制決策中心請(qǐng)求的數(shù)據(jù)按照一定傳輸格式傳送出去。探測(cè)代理需要4個(gè)層次的模塊，共同協(xié)作才能完成上面的功能。這4個(gè)模塊根據(jù)數(shù)據(jù)傳輸?shù)捻樞蚍謩e為：采集模塊、分析模塊、報(bào)告產(chǎn)生器、通信接口。

采集模塊直接從網(wǎng)絡(luò)上捕獲原始數(shù)據(jù)。為使代理能夠?qū)Χ鄠€(gè)操作系統(tǒng)提供支持，這里的捕獲過(guò)程使用一個(gè)通用的數(shù)據(jù)包捕獲庫(kù)，采集模塊向分析模塊提供格式化的數(shù)據(jù)包信息。當(dāng)分析模塊收到格式化的數(shù)據(jù)包信息后，啟動(dòng)相應(yīng)的入侵檢測(cè)模型過(guò)程，對(duì)數(shù)據(jù)進(jìn)行處理。入侵檢測(cè)模型為異常檢測(cè)和入侵檢測(cè)2種模型。

對(duì)于異常檢測(cè)模型，入侵檢測(cè)過(guò)程會(huì)根據(jù)代理功能的不同，進(jìn)行不同級(jí)別的檢查。該模型會(huì)進(jìn)行2個(gè)級(jí)別的檢查：一是基于包頭檢查，即對(duì)鏈路層包頭、IP層包頭、TCP層包頭進(jìn)行檢查分析，將異常存入數(shù)據(jù)存儲(chǔ)設(shè)備。二是基于報(bào)文內(nèi)容檢查，入侵檢測(cè)過(guò)程將異常信息進(jìn)行記錄。這2個(gè)級(jí)別的探測(cè)分別被稱為系統(tǒng)級(jí)探測(cè)和應(yīng)用級(jí)探測(cè)。

對(duì)于入侵檢測(cè)模型，入侵檢測(cè)過(guò)程將格式化的信息與已知的攻擊模型特征進(jìn)行比對(duì)。如果格式化信息與攻擊模式特征一樣，可認(rèn)定是一種攻擊，將這種攻擊信息存儲(chǔ)，并向系統(tǒng)控制決策中心報(bào)告，請(qǐng)求控制決策中心對(duì)攻擊進(jìn)行處理。

報(bào)告產(chǎn)生器，是根據(jù)系統(tǒng)控制決策中心請(qǐng)求，從數(shù)據(jù)存儲(chǔ)設(shè)備中提取請(qǐng)求信息。這些信息構(gòu)成異?；蚬粢晥D，它是存儲(chǔ)信息的子集合。對(duì)于實(shí)時(shí)性要求不強(qiáng)的系統(tǒng)，數(shù)據(jù)存儲(chǔ)可以采用審計(jì)文件的形式。而對(duì)于實(shí)時(shí)性較強(qiáng)的，可以采用數(shù)據(jù)庫(kù)系統(tǒng)。當(dāng)視圖產(chǎn)生后，按照協(xié)議規(guī)定的格式將數(shù)據(jù)發(fā)送給系統(tǒng)控制決策中心。

通信接口，根據(jù)協(xié)議標(biāo)準(zhǔn)規(guī)定要求，負(fù)責(zé)與系統(tǒng)控制決策中心進(jìn)行通信。該系統(tǒng)對(duì)這里的通信接口進(jìn)行了簡(jiǎn)化，不允許各個(gè)代理之間進(jìn)行直接通信，代理只能與系統(tǒng)控制中心進(jìn)行雙向通信。

（二）系統(tǒng)控制決策中心。系統(tǒng)控制決策中心接收用戶請(qǐng)求，產(chǎn)生數(shù)據(jù)請(qǐng)求，將數(shù)據(jù)請(qǐng)求發(fā)送給特定的入侵檢測(cè)代理，等待接收響應(yīng)信息，后將響應(yīng)信息加工成用戶視圖。如果用戶認(rèn)定某些行為屬于攻擊行為，就向探測(cè)策略執(zhí)行代理發(fā)出請(qǐng)求，阻止或限制攻擊行為進(jìn)一步發(fā)展。系統(tǒng)控制決策中要用戶接口、控制和管理、視圖產(chǎn)生器和通信接口4部分協(xié)作完成。

用戶接口，給用戶提供操作界面。用戶通過(guò)這個(gè)界面完成系統(tǒng)控制和數(shù)據(jù)請(qǐng)求功能。用戶接口將用戶請(qǐng)求翻譯成系統(tǒng)請(qǐng)求，后交給下層模塊進(jìn)行處理。

控制和管理，依據(jù)系統(tǒng)請(qǐng)求類別，構(gòu)造協(xié)議數(shù)據(jù)傳輸單元，后遞交給下層協(xié)議通信接口，請(qǐng)求發(fā)送；還要完成新代理配置工作。新代理在安裝時(shí)，已知道系統(tǒng)控制決策中心位置。當(dāng)該中心收到注冊(cè)請(qǐng)求后，控制和管理模塊就將注冊(cè)信息填寫到代理注冊(cè)表中，便于以后管理。

協(xié)議通信接口，識(shí)別代理發(fā)出的協(xié)議數(shù)據(jù)，對(duì)協(xié)議數(shù)據(jù)進(jìn)行處理；將系統(tǒng)控制決策中心的用戶意圖發(fā)送各個(gè)代理，完成管理和控制功能。

（三）探測(cè)策略執(zhí)行代理。探測(cè)策略執(zhí)行代理主要功能是，根據(jù)系統(tǒng)控制決策中心要求對(duì)攻擊者的攻擊行為進(jìn)行控制，這里控制包括監(jiān)控、限制訪問(wèn)權(quán)限、取消訪問(wèn)權(quán)限等。探測(cè)策略執(zhí)行代理主要由通信接口和控制執(zhí)行2部分構(gòu)成，還有一個(gè)小的配置模塊輔助它們完成各自功能。

配置模塊幫助代理建立一個(gè)與控制系統(tǒng)無(wú)關(guān)的控制接口。最常用的網(wǎng)絡(luò)控制系統(tǒng)是防火墻系統(tǒng)，大部分防火墻系統(tǒng)都給出系統(tǒng)的命令接口。在設(shè)計(jì)通用控制接口時(shí)，自己定義一組功能完備的控制功能集合，建立一種從代理系統(tǒng)功能集合，向具體防火墻系統(tǒng)命令集合的映射。

探測(cè)策略執(zhí)行代理的通信接口，和前面幾部分通信模塊功能一樣?？刂茍?zhí)行是這種代理的核心部分。它根據(jù)通信接口送來(lái)的協(xié)議數(shù)據(jù)，分析系統(tǒng)控制和決策中心意圖。后根據(jù)代理配置時(shí)建立起來(lái)的控制系統(tǒng)映射關(guān)系，構(gòu)造與具體控制系統(tǒng)相關(guān)控制規(guī)則。

五、結(jié)束語(yǔ)

為解決入侵檢測(cè)系統(tǒng)升級(jí)性和擴(kuò)充性，標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)了一個(gè)通用的標(biāo)準(zhǔn)通信接口，保證負(fù)責(zé)具體入侵檢測(cè)任務(wù)的代理能夠動(dòng)態(tài)加入到系統(tǒng)中。當(dāng)代理需要升級(jí)時(shí)，只要新的代理在設(shè)計(jì)時(shí)，遵守模型設(shè)計(jì)要求，新代理可以透明的加入到系統(tǒng)中。這兩個(gè)特性大大提高了分布式入侵系統(tǒng)的適應(yīng)性。

參考文獻(xiàn)：

[1]羅卓君，歐陽(yáng)煒昊.無(wú)線網(wǎng)絡(luò)的分布式入侵檢測(cè)模型研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（03）.