淺談分布式入侵檢測系統(tǒng)

成汶洲 張亮

【摘 要】在當前互聯(lián)網(wǎng)信息數(shù)據(jù)安全問題備受業(yè)內(nèi)人士關(guān)注與重視的背景下，網(wǎng)絡(luò)計算機技術(shù)發(fā)展非常迅猛。互聯(lián)網(wǎng)已經(jīng)全面觸及人們工作、生活的方方面面，同時也導(dǎo)致信息安全面臨巨大威脅。互聯(lián)網(wǎng)平臺下的數(shù)據(jù)及各種應(yīng)用功能多以分布式方式部署于各個網(wǎng)絡(luò)與地區(qū)，承受的入侵攻擊呈現(xiàn)分散性、復(fù)雜性特點。為了應(yīng)對這一問題，必須嘗試構(gòu)建分布式入侵檢測系統(tǒng)，以達到保障系統(tǒng)安全的目的。文章在概述分布式入侵檢測系統(tǒng)產(chǎn)生背景的基礎(chǔ)上，重點探討該系統(tǒng)的設(shè)計與實現(xiàn)方案，希望有助于入侵檢測系統(tǒng)性能的優(yōu)化與提升，并為網(wǎng)絡(luò)信息安全提供可靠保障。

【關(guān)鍵詞】分布式；入侵檢測系統(tǒng)；技術(shù)

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1674-0688（2018）07-0093-02

0 引言

眾所周知，在計算機網(wǎng)絡(luò)迅速發(fā)展的背景下，網(wǎng)絡(luò)在各行業(yè)領(lǐng)域中的重要性不斷凸顯，網(wǎng)絡(luò)安全問題開始受到業(yè)內(nèi)人士的關(guān)注與重視。防火墻作為網(wǎng)絡(luò)安全的第一道關(guān)卡，屬于網(wǎng)絡(luò)安全的被動防御模式。對于典型的局域網(wǎng)網(wǎng)絡(luò)而言，防火墻設(shè)置于局域網(wǎng)邊界，可以對內(nèi)網(wǎng)與外網(wǎng)進行隔離，對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包進行訪問控制，但對于內(nèi)網(wǎng)而言，防火墻無法有效抵御來自內(nèi)網(wǎng)用戶的攻擊行為，而且還有部分攻擊行為可以繞過防火墻，對信息數(shù)據(jù)安全產(chǎn)生影響。為了彌補這一局限性，本文提出了在防火墻后部署入侵檢測技術(shù)的操作方法，利用入侵檢測的方式對流經(jīng)網(wǎng)卡的數(shù)據(jù)包信息進行實時性檢測，對所捕獲的數(shù)據(jù)包進行處理，與入侵數(shù)據(jù)特征庫信息進行對比分析，實現(xiàn)對各種入侵行為的合理檢測，并根據(jù)檢測結(jié)果及時報警響應(yīng)，通過這種方式確保網(wǎng)絡(luò)安全與可靠。

1 分布式入侵檢測系統(tǒng)概述

所謂入侵檢測是指在計算機系統(tǒng)或計算機網(wǎng)絡(luò)輔助下，利用若干關(guān)鍵點對信息進行收集與分析，以評估網(wǎng)絡(luò)或主機中是否存在對安全策略產(chǎn)生影響的行為，了解網(wǎng)絡(luò)或主機是否存在被攻擊的可能性。根據(jù)不同的分類方法，可以將入侵檢測技術(shù)分為多種不同類型：根據(jù)數(shù)據(jù)來源進行分類，有主機入侵檢測技術(shù)、混合型入侵檢測技術(shù)及網(wǎng)絡(luò)入侵檢測技術(shù)；根據(jù)時效性進行分類，有脫機分析入侵檢測技術(shù)、聯(lián)機分析入侵檢測技術(shù)；根據(jù)模塊運行方式進行分類，有分布式入侵檢測技術(shù)集中式入侵檢測技術(shù)。

對于集中式或分布式入侵檢測技術(shù)而言，集中式入侵檢測系統(tǒng)集中在一個檢測點上完成所有的數(shù)據(jù)分析工作，導(dǎo)致單一檢測點的工作壓力巨大。若檢測點對處理速度或儲存能力存在較高要求，或出現(xiàn)數(shù)據(jù)量較大的情況，就會導(dǎo)致集中檢測點的處理壓力巨大，甚至發(fā)生丟包，無法對入侵行為進行可靠檢測。換言之，集中式入侵檢測系統(tǒng)無法完全滿足網(wǎng)絡(luò)安全發(fā)展的要求。在這一背景下，提出了更具適應(yīng)性的分布式入侵檢測系統(tǒng)建設(shè)方案。面向網(wǎng)絡(luò)數(shù)據(jù)安全所構(gòu)建的分布式入侵檢測系統(tǒng)是指：策略定義與管理由控制臺統(tǒng)一實現(xiàn)，在分發(fā)協(xié)議原則支持基礎(chǔ)之上，通過控制臺實現(xiàn)Agent客戶端對策略的接收，并根據(jù)所接收信息由客戶端展開實施操作。通過這種方式能夠很好地解決集中式入侵檢測系統(tǒng)運行中存在的問題，因此逐步發(fā)展成為當前計算機網(wǎng)絡(luò)系統(tǒng)入侵檢測領(lǐng)域的研究熱點。

2 分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)

整套分布式入侵檢測系統(tǒng)采用C/S結(jié)構(gòu)模式，通過配置服務(wù)器端的方式，實現(xiàn)對局域網(wǎng)范圍內(nèi)全部客戶機的控制，入侵檢測的覆蓋范圍包括DoS、特洛伊木馬等多種入侵與攻擊行為，根據(jù)檢測結(jié)果對入侵行為進行合理檢測與控制，以確保網(wǎng)絡(luò)信息安全可靠。一旦客戶機檢測到入侵行為，可以及時將該事件上報至服務(wù)器端，也可通過發(fā)送郵件的方式進行報警，以確保服務(wù)器端能夠?qū)崿F(xiàn)面向整個局域網(wǎng)網(wǎng)絡(luò)的實時性監(jiān)控，系統(tǒng)結(jié)構(gòu)如圖1所示。

2.1 服務(wù)器端設(shè)計方案

整個分布式入侵檢測系統(tǒng)服務(wù)器端主要由全局策略設(shè)置模塊、客戶機通信模塊、身份認證模塊3個部分構(gòu)成。全局策略設(shè)置模塊是指自控制臺實現(xiàn)對整個分布式入侵檢測系統(tǒng)全局策略的設(shè)置功能；客戶機通信模塊是搭建與客戶端之間的連接載體，并根據(jù)分布式入侵檢測系統(tǒng)全局配置策略，將相應(yīng)操作指令下達至客戶機中；身份認證模塊是指面向分布式入侵檢測系統(tǒng)管理員用戶提供身份認證功能，為不同用戶分配相應(yīng)權(quán)限，在數(shù)據(jù)庫表中包含用戶名、用戶登錄密碼2個字段，管理員在登錄分布式入侵檢測系統(tǒng)服務(wù)器終端時與數(shù)據(jù)庫表中信息建立匹配關(guān)系，當匹配關(guān)系成立后，可允許該用戶對分布式入侵檢測系統(tǒng)服務(wù)器端進行訪問與相應(yīng)操作。

2.2 客戶端技術(shù)實現(xiàn)

首先，通過Windows系統(tǒng)進程與端口映射，結(jié)合木馬端口庫來檢測特洛伊木馬。參考計算機TCP/IP協(xié)議定義端口，在定義過程中明確規(guī)定以端口及IP地址作為套接字，與TCP/IP協(xié)議方式連接下連接端呈對應(yīng)關(guān)系，可將其簡稱為“Socket”。換言之，在計算機系統(tǒng)客戶端模塊中，每個端口均與某個應(yīng)用程序或服務(wù)保持對應(yīng)關(guān)系，主機運行過程中的計算操作進程可以通過搭載[IP：端口]的方式實現(xiàn)，其主要目的是方便兩臺計算機能夠搜尋對方進程并展開相應(yīng)的通信。本文構(gòu)建的分布式入侵檢測系統(tǒng)，搭載Windows系統(tǒng)操作平臺，在計算機操作進程與端口之間形成對應(yīng)的匹配關(guān)系，并匹配系統(tǒng)正常進程狀態(tài)下的數(shù)據(jù)庫信息，以對比發(fā)現(xiàn)進程中存在的問題，當檢測發(fā)現(xiàn)可疑進程后，需要立即終止該進程的運行，從而實現(xiàn)對入侵攻擊行為的防范。

其次，當檢測到入侵行為后需要立即面向分布式入侵檢測系統(tǒng)客戶端發(fā)送報警指令，以郵件方式發(fā)送至指定郵箱，同時需要將檢測所得入侵行為數(shù)據(jù)信息寫入分布式入侵檢測系統(tǒng)遠程服務(wù)器端數(shù)據(jù)庫中。本文構(gòu)建的分布式入侵檢測系統(tǒng)，客戶端若檢測到掃描，需要對入侵事件進行及時記錄，并將其記錄于數(shù)據(jù)庫中備份保管，入侵事件記錄參數(shù)按照一定的時間間隔發(fā)送至指定郵箱地址并進行保存。

2.3 入侵檢測流程

整套分布式入侵檢測系統(tǒng)參考特洛伊木馬通信中的主動連接技術(shù)模式，展開對網(wǎng)絡(luò)入侵行為的監(jiān)測與防范工作，在主機安裝分布式入侵檢測系統(tǒng)客戶端后，一旦上線會直接按照服務(wù)器端要求進行配置，讀取指定參數(shù)，并獲取管理端IP地址列表，與分布式入侵檢測系統(tǒng)服務(wù)器端進行連接，可以通過服務(wù)器端與客戶端所建立的對應(yīng)關(guān)系，在局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)中展開實時性監(jiān)督控制。客戶機方面，可以通過靈活配置的方式實現(xiàn)對主機運行狀態(tài)的實時性監(jiān)督控制，及時將所檢出的入侵事件寫入服務(wù)器端數(shù)據(jù)中，以作為計算機系統(tǒng)防范攻擊行為的重要標準。

3 結(jié)語

現(xiàn)階段計算機網(wǎng)絡(luò)入侵行為與攻擊開始呈現(xiàn)多樣化、復(fù)雜化的發(fā)展特點，網(wǎng)絡(luò)安全形勢是非常嚴峻的。為了有效預(yù)防入侵行為對網(wǎng)絡(luò)安全產(chǎn)生影響，本文簡述了一種基于分布式入侵檢測系統(tǒng)的網(wǎng)絡(luò)入侵行為防御工作機制。在概述分布式入侵檢測系統(tǒng)產(chǎn)生背景的基礎(chǔ)上，重點探討該系統(tǒng)的設(shè)計與實現(xiàn)方案，希望能優(yōu)化與提升入侵檢測系統(tǒng)性能，并為網(wǎng)絡(luò)信息安全提供可靠保障。

參 考 文 獻

[1]王秀英.分布式網(wǎng)絡(luò)時序關(guān)聯(lián)入侵攻擊行為檢測系統(tǒng)設(shè)計[J].現(xiàn)代電子技術(shù)，2018，41（3）：107-110.

[2]莊夏.基于局部參數(shù)模型共享的分布式入侵檢測系統(tǒng)[J].計算機工程與設(shè)計，2017，38（11）：2935-2939.

[3]劉萍萍，周求湛，徐昊，等.混合型分布式入侵檢測系統(tǒng)模型[J].吉林大學(xué)學(xué)報：工學(xué)版，2004（4）：666-670.

[4]彭國星.基于分布式數(shù)據(jù)入侵檢測模型研究[J].中南林業(yè)科技大學(xué)學(xué)報，2010，30（3）：147-151.

[5]吉根林，凌霄漢，程學(xué)云.神經(jīng)網(wǎng)絡(luò)集成的分布式入侵檢測方法[J].南京航空航天大學(xué)學(xué)報，2007（2）：231-235.

[責任編輯：鐘聲賢]