谈分布式入侵检测系统模型设计

摘要:文章首先提出了一个旨在提高分布式入侵检测系统的扩充性和适应性的设计模型,然后分析本模型的特点,最后对模型的3个组成部分给出简要的描述。

关键词:分布式入侵检测系统;模型设计
　　
　　1分布式入侵检测系统的基本结构
　　尽管一个大型分布式入侵检测系统非常复杂,涉及各种算法和结构设计,但是如果仔细分析各种现存的入侵检测系统的结构模型,可以抽象出下面一个简单的基本模型。这个基本模型描述了入侵检测系统的基本轮廓和功能。该模型基本结构主要由3部分构成:探测部分、分析部分和响应部分。
　　探测部分相当于一个传感器,它的数据源是操作系统产生的审计文件或者是直接来自网络的网络流量。分析部分利用探测部分提供的信息,探测攻击。探测攻击时,使用的探测模型是异常探测和攻击探测。响应部分采取相应的措施对攻击源进行处理,这里通常使用的技术是防火墙技术。
　　2系统模型设计
　　这个模型主要是入侵检测系统基本结构的具体化。主体框架仍然由3部分构成:探测代理、系统控制决策中心、控制策略执行代理。但是这3部分并不对应于基本结构中的3部分,因为这里探测代理和系统控制的分析功能。代理和系统控制决策中心采用标准的通信接口与系统控制决策中心通信,因此,它们的设计为系统的分布式部署和系统的扩充性实现做了充分的考虑,同时使得各个代理的功能更加单一。功能的单一性有利于对某一种入侵行为的检测趋于专业化。
　　3模型的'特点
　　3.1分布性
　　从分布式入侵检测系统的定义可知,只要系统的分析数据部分在系统的部署上是分布的,入侵检测系统就可以认为是分布式系统。本系统负责入侵行为检测的代理是分布部署的,故整个系统具有分布性。
　　3.2标准性
　　从本系统的角度讲,主要体现在代理的构成和通信协议上。每个代理都按照4个层次进行设计。从上到下,分别是通信接口、报告产生器、分析模块和采集模块。通信协议采用一套严格定义的通信规则和数据格式,同时将系统所必需的通信行为进行了规范的定义。
　　3.3可扩充性
　　本系统的各个部分采取标准化设计,这样系统各个部分的升级和新的代理部分的加入都变得相当简单。代理和系统控制决策中心有着标准的协商协议,代理可以进行动态注册。
　　3.4良好的系统降级性
　　当系统某一个代理出现问题,不能完成自己的检测任务时,网络的检测工作会受到有限的影响,但整个系统的检测功能不会有明显的下降。
　　3.5载荷最小性
　　系统的每个组成部分功能都是单一的,而且相互之间相对独立,部署的时候可以几个部署到一台主机上。代理和控制决策中心之间利用标准协议通信,通信量较小;同时在传递数据时,代理只传输控制中心请求的数据,所以数据的传输量不大。
　4模型组成部分的功能描述
　　4.1探测代理
　　探测代理主要的功能是从网络捕获原始数据,然后利用一定的探测模型对数据进行分析,将感兴趣的数据按照一定的格式存入数据存储设备中。与系统控制中心通信协商,将系统控制决策中心请求的数据按照一定的传输格式传送出去。
　　要完成上面的功能,探测代理需要4个层次的模块共同协作才能完成。这4个模块根据数据传输的顺序分别为:采集模块、分析模块、报告产生器、通信接口。
　　采集模块直接从网络上捕获原始数据。为了使代理能够对多个操作系统提供支持,这里的捕获过程使用一个通用的数据包捕获库(libpcap库),这个库使用BSD的bpf思想。采集模块向分析模块提供格式化的数据包信息。
　　当分析模块收到格式化的数据包信息后,启动相应的入侵检测模型过程,对数据进行处理。这里的入侵检测模型有2种:一种是异常检测模型,另一种是入侵检测模型。