淺談分布式協(xié)同入侵檢測

摘要：網(wǎng)絡技術(shù)的不斷發(fā)展，分布式計算環(huán)境的廣泛采用海量存儲和高帶寬傳輸技術(shù)的普及，網(wǎng)絡系統(tǒng)結(jié)構(gòu)的日益復雜，都使得傳統(tǒng)的基于單機的集中式入侵檢測系統(tǒng)遇到了極大的挑戰(zhàn)。傳統(tǒng)的入侵檢測技術(shù)通過在網(wǎng)絡中放置多個傳感器（探測器）收集網(wǎng)絡狀態(tài)信息，然后再把這些信息送到一個中央控制臺分析處理。中央控制臺的工作負荷過大，成為系統(tǒng)運行的瓶頸，在加上由于網(wǎng)絡傳輸?shù)难舆t，探測器送給中央控制臺的網(wǎng)絡狀態(tài)信息有可能不及時，這種模型在面對大規(guī)模、異構(gòu)網(wǎng)絡環(huán)境以及分布式協(xié)同攻擊的情況下顯得力不從心。在這樣的情況下，分布式入侵檢測系統(tǒng)（Distributed Intrusion Detection System，DIDS）應運而生，并成為目前入侵檢測研究領域的一個研究熱點。

關鍵詞：分布式計算；協(xié)同技術(shù)；入侵檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)31-0877-02

Cooperative Distributed Intrusion Detection

HU Xiao-lu

(Information Technology School of Nanjing Xiaozhuang College， Nanjing 211171， China)

Abstract: With the continuous development of the network technology， extensive use of Distributed Computing Environment， popularity of mass storage devices and high-bandwidth transmission technology， and increasingly complex network structure， all made traditional host-based Intrusion Detection System encountered a big challenge. By numbers of sensor set in network Host-based IDS， the system collect network status which is transferred and analyzed in center console. Because of the overload of center console which becomes bottleneck at runtime， network transmission delay， and the network status which is transferred to center console may be not timely， Host-based IDS looks incompetence as it confronts the distributed collaborative attack in large-scale heterogeneous network environment. Under such circumstances， DIDS (Distributed Intrusion Detection System) emerges as the times require， and becomes a hot field in Intrusion detection research.

Key words: Distributed Computing; Collaborative Technology; Intrusion Detection

1 入侵檢測技術(shù)

根據(jù)發(fā)現(xiàn)入侵行為的檢測方法的不同，入侵檢測技術(shù)中主要采用兩類檢測方法：異常檢測技術(shù)和誤用檢測技術(shù)，兩者各有所長，技術(shù)上互補。異常檢測技術(shù)又稱為基于行為的入侵檢測技術(shù)，它假定了所有的入侵行為都有異常特性，通過發(fā)現(xiàn)系統(tǒng)使用行為模式中的改變來進行檢測。首先，它為每一個單元建立一個正常行為的描述，這個正常行為描述記錄了每個單元正常行為的狀態(tài)信息。通過判斷主機或用戶的當前行為描述和正常行為描述得到二者的差異是否超過了預先設定的閾值來判定用戶和計算機的行為是否屬于入侵行為。誤用檢測系統(tǒng)一般方法是將己知的攻擊特征和系統(tǒng)弱點進行編碼，存入知識特征庫中，檢測系統(tǒng)將所監(jiān)視的事件與知識特征庫中的攻擊模式進行匹配，從而觸發(fā)相應機制。

入侵檢測系統(tǒng)一般位于系統(tǒng)中的某個位置，監(jiān)控整個系統(tǒng)的資源和信息的使用狀況來檢測是否存在入侵行為，根據(jù)入侵檢測系統(tǒng)的位置和信息來源，可以將其分為三類：一、主機型入侵檢測系（Host based IDS，HIDS），是以主機的審計記錄為主要數(shù)據(jù)來源，通過對其進行分析來檢測入侵行為。基于主機的IDS是對系統(tǒng)日志提供的大量數(shù)據(jù)進行整理和分析；二、網(wǎng)絡型入侵檢測系統(tǒng)（Network based IDS，NIDS），主要用于防御外部入侵攻擊。它通過監(jiān)控出入網(wǎng)絡的通信數(shù)據(jù)流進行分析做出入侵攻擊判斷。同時它以網(wǎng)絡數(shù)據(jù)作為信息源，而網(wǎng)絡傳輸?shù)臄?shù)據(jù)源都是形式統(tǒng)一的IP報文；三、分布式入侵檢測系統(tǒng)（Distributed IDS，DIDS），它在網(wǎng)絡中不同位置安放若干個探測節(jié)點，按照制定的規(guī)則搜集、整理信息，然后統(tǒng)一提交給中央主控節(jié)點，由中央主控節(jié)點按照規(guī)則對信息進行分析判斷，從而做出攻擊入侵的判斷。

2 入侵檢測管理器

入侵檢測管理器由通信模塊、決策與統(tǒng)計模塊和響應與測試工具組成。通信模塊接收分析器的告警事件，在管理員控制下，向分析器發(fā)送配置和控制命令。決策與統(tǒng)計模塊一方面根據(jù)網(wǎng)絡的配置知識和既定的響應策略來決定告警事件的響應動作，包括忽略、報警、向其他管理器轉(zhuǎn)發(fā)、終止當前的連接、自動配置防火墻或路由器訪問控制鏈表等，并可以執(zhí)行用戶配置的響應程序；另一方而，從分析器中獲取原始的數(shù)據(jù)信急，整理、歸并到關系數(shù)據(jù)庫中，并定期分析，將分析結(jié)果以圖形化的形式提交管理員，生成新的網(wǎng)絡輪廓，經(jīng)管理員確認后更新分析器中的特征庫。

入侵檢測管理器是DCIDS的決策與響應部件，管理員通過管理器配置DCIDS。管理器的任務包括分布式入侵特征的處理、入侵檢測組件、協(xié)同檢測分析器、謂詞庫以及響應庫的配置。初始化期間，管理器遠程將相關的擴展有限狀態(tài)機載入各個檢測點，并將相應的謂詞庫和響應庫也載入各個檢測點。為了便于遠程管理和控制，DCIDS采用了基于Web瀏覽器的管理界面。用戶界面以直觀的形式顯示告警事件，并且指示入侵事件類型和侵害程度；反映當前的網(wǎng)絡活動和被檢測對象的當前狀態(tài)，并給管理員相應的處理意見。

3 協(xié)同技術(shù)

計算機的應用領域已從科學計算領域擴展到社會生活的各個方面，把人們帶入了信息時代。計算機處理的信息已不僅僅是科學計算數(shù)據(jù)，而包含了更豐富的信息。計算機網(wǎng)絡技術(shù)的發(fā)展，尤其是廣域網(wǎng)技術(shù)的發(fā)展為人們提供了快速、性能穩(wěn)定的信息服務。網(wǎng)絡給人們提供了一種廉價的異地通信手段，使人們有可能利用網(wǎng)絡來完成一些需要異地協(xié)同的工作。隨著網(wǎng)絡應用分布計算趨勢的加劇，如何協(xié)調(diào)網(wǎng)絡中多臺計算機共同完成一項任務成為近幾年網(wǎng)絡應用技術(shù)中研究的熱點。協(xié)同技術(shù)的出現(xiàn)為在分布計算環(huán)境下，多個獨立的主體為完成共同的任務而協(xié)同工作，提供了一種有效地解決方法。具體到入侵檢測系統(tǒng)，協(xié)作的意義在于多個檢測組件通過協(xié)作能獲得同樣數(shù)量的相互獨立的多個入侵檢測系統(tǒng)所不能獲知的信息，并在此基礎上對信息進行進一步的提煉和取舍，從而達到更好的檢測效果。

協(xié)同管理器是為檢測點提供整個系統(tǒng)范圍信息的關鍵組件。協(xié)同管理器提供兩類信息：各個檢測點所能提供的基本檢測事件的類型和各個檢測點的IP地址。DCIDS啟動后，部署的各個檢測點向協(xié)同管理器注冊本檢測點所配置的檢測組件所能檢測到的基本檢測事件類型、本檢測點的IP地址；隨后各檢測點檢索協(xié)同管理器，將其他檢測點的IP地址和所能檢測到的基本檢測事件類型保存在本地，以便在協(xié)同檢測入侵的過程中使用。因為分布式入侵通常是由涉及多個系統(tǒng)的多個會話構(gòu)成的，從單個節(jié)點很難可靠地檢測到這種入侵，因此分析器就需要安裝在多個地方，有可能跨越多個管理域。協(xié)同管理器是DCIDS具有徹底的分布式特性、可伸縮性的關鍵組件，但它并不會造成單點失效問題。

4 分布式入侵檢測中的協(xié)同

協(xié)同技術(shù)的基木功能是給出各個組件互操作的對象及其屬性之間的依賴關系，通過各組件之間的信息共享、并發(fā)控制協(xié)調(diào)，實現(xiàn)分布式入侵檢測有序、自動、高效地進行。協(xié)同的目的就是如何通過 IDS和其他安全系統(tǒng)間以及 IDS 內(nèi)部各對象或?qū)嶓w間的協(xié)作共同來建立和維護一個安全的網(wǎng)絡環(huán)境。對于一個分布式IDS來說，它由很多個分布在不同地方的入侵檢測器也可稱為入侵檢測子系統(tǒng)組成，要建立一個內(nèi)部協(xié)同工作的IDS系統(tǒng)可以采用狀態(tài)轉(zhuǎn)換分析技術(shù)紛STAT——State Transition Analysis Technique來建立一個這樣的框架。該框架結(jié)構(gòu)對于它的入侵檢測組件可以根據(jù)需要任意采用基于網(wǎng)絡的入侵檢測器、基于主機的入侵檢測器以及基于應用的入侵檢測器等等。

由于入侵行為的相互關聯(lián)性，有時單純使用一個安全系統(tǒng)很難將入侵行為檢測出來或進步說有時很難做出相應的響應。目前網(wǎng)絡上配置的各個系統(tǒng)基本上都是互不相關的。與其他安全系統(tǒng)協(xié)同的目的是讓入侵檢測充分考慮攻擊行為的特征和網(wǎng)絡安全的整體性與動態(tài)性，以提高入侵檢測能力和網(wǎng)絡系統(tǒng)的安全防護能力。同樣IDS和其他安全系統(tǒng)之間也有三種協(xié)同方式。數(shù)據(jù)采集協(xié)同、入侵分析協(xié)同和響應協(xié)同。

5 結(jié)束語

面對實際應用中網(wǎng)絡信息系統(tǒng)的分布式發(fā)展，以及多元化、復雜化和智能化的攻擊技術(shù)的不斷出現(xiàn)，應用各種系統(tǒng)安全組件的信息，共同維護系統(tǒng)的信息安全。目前入侵檢測技術(shù)研究中發(fā)展較成熟的是基于模式匹配和協(xié)議分析的入侵檢測。分布式入侵檢測的協(xié)同是一種系統(tǒng)化的方法。它強調(diào)了以群體工作目標為核心，有機組織各個檢測組件進行協(xié)同檢測。檢測過程中有效的數(shù)據(jù)共享是分布式入侵檢測的前提；而檢測工程中用于交流、協(xié)調(diào)、決策等的數(shù)據(jù)和知識的協(xié)同管理是分布式入侵檢測成功的基本保證。因而各個組件間的相互溝通與協(xié)調(diào)顯得尤為的重要。

參考文獻：

[1] 吳曉南，房鼎益.一個分布式拒絕服務攻擊檢測系統(tǒng)的設計[J].計算機工程，2004，30(5):139-141.

[2] 徐漫江，曹元大.分布協(xié)作式入侵檢測系統(tǒng).計算機工程，2005， 31(2):146-148.

[3] Lee S C，Heinbuch D V.Training a Neural network Based Intrusion Detector to Recognize Novel Attacks[M].NY:IEEE Workshop Information Assurance Security，West Point，2000.

[4] Ryan J，Lin M，Miikkulainen R.Intrusion Detection with Neural Networks[M].Jordan M，1998

[5] 吳作順，新思維.基于免疫學的IDS[N].計算機世界:周刊，2002-10.

[6] Ning P，Wang X，Jajodias.Modeling requests among cooperating intrusion detection system[J].Computer Communications，2002，23 (7):702-1715.