淺談分布式入侵檢測(cè)系統(tǒng)

成汶洲 張亮

【摘 要】在當(dāng)前互聯(lián)網(wǎng)信息數(shù)據(jù)安全問(wèn)題備受業(yè)內(nèi)人士關(guān)注與重視的背景下，網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)發(fā)展非常迅猛?；ヂ?lián)網(wǎng)已經(jīng)全面觸及人們工作、生活的方方面面，同時(shí)也導(dǎo)致信息安全面臨巨大威脅?；ヂ?lián)網(wǎng)平臺(tái)下的數(shù)據(jù)及各種應(yīng)用功能多以分布式方式部署于各個(gè)網(wǎng)絡(luò)與地區(qū)，承受的入侵攻擊呈現(xiàn)分散性、復(fù)雜性特點(diǎn)。為了應(yīng)對(duì)這一問(wèn)題，必須嘗試構(gòu)建分布式入侵檢測(cè)系統(tǒng)，以達(dá)到保障系統(tǒng)安全的目的。文章在概述分布式入侵檢測(cè)系統(tǒng)產(chǎn)生背景的基礎(chǔ)上，重點(diǎn)探討該系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)方案，希望有助于入侵檢測(cè)系統(tǒng)性能的優(yōu)化與提升，并為網(wǎng)絡(luò)信息安全提供可靠保障。

【關(guān)鍵詞】分布式；入侵檢測(cè)系統(tǒng)；技術(shù)

【中圖分類(lèi)號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-0688（2018）07-0093-02

0 引言

眾所周知，在計(jì)算機(jī)網(wǎng)絡(luò)迅速發(fā)展的背景下，網(wǎng)絡(luò)在各行業(yè)領(lǐng)域中的重要性不斷凸顯，網(wǎng)絡(luò)安全問(wèn)題開(kāi)始受到業(yè)內(nèi)人士的關(guān)注與重視。防火墻作為網(wǎng)絡(luò)安全的第一道關(guān)卡，屬于網(wǎng)絡(luò)安全的被動(dòng)防御模式。對(duì)于典型的局域網(wǎng)網(wǎng)絡(luò)而言，防火墻設(shè)置于局域網(wǎng)邊界，可以對(duì)內(nèi)網(wǎng)與外網(wǎng)進(jìn)行隔離，對(duì)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行訪(fǎng)問(wèn)控制，但對(duì)于內(nèi)網(wǎng)而言，防火墻無(wú)法有效抵御來(lái)自?xún)?nèi)網(wǎng)用戶(hù)的攻擊行為，而且還有部分攻擊行為可以繞過(guò)防火墻，對(duì)信息數(shù)據(jù)安全產(chǎn)生影響。為了彌補(bǔ)這一局限性，本文提出了在防火墻后部署入侵檢測(cè)技術(shù)的操作方法，利用入侵檢測(cè)的方式對(duì)流經(jīng)網(wǎng)卡的數(shù)據(jù)包信息進(jìn)行實(shí)時(shí)性檢測(cè)，對(duì)所捕獲的數(shù)據(jù)包進(jìn)行處理，與入侵?jǐn)?shù)據(jù)特征庫(kù)信息進(jìn)行對(duì)比分析，實(shí)現(xiàn)對(duì)各種入侵行為的合理檢測(cè)，并根據(jù)檢測(cè)結(jié)果及時(shí)報(bào)警響應(yīng)，通過(guò)這種方式確保網(wǎng)絡(luò)安全與可靠。

1 分布式入侵檢測(cè)系統(tǒng)概述

所謂入侵檢測(cè)是指在計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)輔助下，利用若干關(guān)鍵點(diǎn)對(duì)信息進(jìn)行收集與分析，以評(píng)估網(wǎng)絡(luò)或主機(jī)中是否存在對(duì)安全策略產(chǎn)生影響的行為，了解網(wǎng)絡(luò)或主機(jī)是否存在被攻擊的可能性。根據(jù)不同的分類(lèi)方法，可以將入侵檢測(cè)技術(shù)分為多種不同類(lèi)型：根據(jù)數(shù)據(jù)來(lái)源進(jìn)行分類(lèi)，有主機(jī)入侵檢測(cè)技術(shù)、混合型入侵檢測(cè)技術(shù)及網(wǎng)絡(luò)入侵檢測(cè)技術(shù)；根據(jù)時(shí)效性進(jìn)行分類(lèi)，有脫機(jī)分析入侵檢測(cè)技術(shù)、聯(lián)機(jī)分析入侵檢測(cè)技術(shù)；根據(jù)模塊運(yùn)行方式進(jìn)行分類(lèi)，有分布式入侵檢測(cè)技術(shù)集中式入侵檢測(cè)技術(shù)。

對(duì)于集中式或分布式入侵檢測(cè)技術(shù)而言，集中式入侵檢測(cè)系統(tǒng)集中在一個(gè)檢測(cè)點(diǎn)上完成所有的數(shù)據(jù)分析工作，導(dǎo)致單一檢測(cè)點(diǎn)的工作壓力巨大。若檢測(cè)點(diǎn)對(duì)處理速度或儲(chǔ)存能力存在較高要求，或出現(xiàn)數(shù)據(jù)量較大的情況，就會(huì)導(dǎo)致集中檢測(cè)點(diǎn)的處理壓力巨大，甚至發(fā)生丟包，無(wú)法對(duì)入侵行為進(jìn)行可靠檢測(cè)。換言之，集中式入侵檢測(cè)系統(tǒng)無(wú)法完全滿(mǎn)足網(wǎng)絡(luò)安全發(fā)展的要求。在這一背景下，提出了更具適應(yīng)性的分布式入侵檢測(cè)系統(tǒng)建設(shè)方案。面向網(wǎng)絡(luò)數(shù)據(jù)安全所構(gòu)建的分布式入侵檢測(cè)系統(tǒng)是指：策略定義與管理由控制臺(tái)統(tǒng)一實(shí)現(xiàn)，在分發(fā)協(xié)議原則支持基礎(chǔ)之上，通過(guò)控制臺(tái)實(shí)現(xiàn)Agent客戶(hù)端對(duì)策略的接收，并根據(jù)所接收信息由客戶(hù)端展開(kāi)實(shí)施操作。通過(guò)這種方式能夠很好地解決集中式入侵檢測(cè)系統(tǒng)運(yùn)行中存在的問(wèn)題，因此逐步發(fā)展成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)入侵檢測(cè)領(lǐng)域的研究熱點(diǎn)。

2 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

整套分布式入侵檢測(cè)系統(tǒng)采用C/S結(jié)構(gòu)模式，通過(guò)配置服務(wù)器端的方式，實(shí)現(xiàn)對(duì)局域網(wǎng)范圍內(nèi)全部客戶(hù)機(jī)的控制，入侵檢測(cè)的覆蓋范圍包括DoS、特洛伊木馬等多種入侵與攻擊行為，根據(jù)檢測(cè)結(jié)果對(duì)入侵行為進(jìn)行合理檢測(cè)與控制，以確保網(wǎng)絡(luò)信息安全可靠。一旦客戶(hù)機(jī)檢測(cè)到入侵行為，可以及時(shí)將該事件上報(bào)至服務(wù)器端，也可通過(guò)發(fā)送郵件的方式進(jìn)行報(bào)警，以確保服務(wù)器端能夠?qū)崿F(xiàn)面向整個(gè)局域網(wǎng)網(wǎng)絡(luò)的實(shí)時(shí)性監(jiān)控，系統(tǒng)結(jié)構(gòu)如圖1所示。

2.1 服務(wù)器端設(shè)計(jì)方案

整個(gè)分布式入侵檢測(cè)系統(tǒng)服務(wù)器端主要由全局策略設(shè)置模塊、客戶(hù)機(jī)通信模塊、身份認(rèn)證模塊3個(gè)部分構(gòu)成。全局策略設(shè)置模塊是指自控制臺(tái)實(shí)現(xiàn)對(duì)整個(gè)分布式入侵檢測(cè)系統(tǒng)全局策略的設(shè)置功能；客戶(hù)機(jī)通信模塊是搭建與客戶(hù)端之間的連接載體，并根據(jù)分布式入侵檢測(cè)系統(tǒng)全局配置策略，將相應(yīng)操作指令下達(dá)至客戶(hù)機(jī)中；身份認(rèn)證模塊是指面向分布式入侵檢測(cè)系統(tǒng)管理員用戶(hù)提供身份認(rèn)證功能，為不同用戶(hù)分配相應(yīng)權(quán)限，在數(shù)據(jù)庫(kù)表中包含用戶(hù)名、用戶(hù)登錄密碼2個(gè)字段，管理員在登錄分布式入侵檢測(cè)系統(tǒng)服務(wù)器終端時(shí)與數(shù)據(jù)庫(kù)表中信息建立匹配關(guān)系，當(dāng)匹配關(guān)系成立后，可允許該用戶(hù)對(duì)分布式入侵檢測(cè)系統(tǒng)服務(wù)器端進(jìn)行訪(fǎng)問(wèn)與相應(yīng)操作。

2.2 客戶(hù)端技術(shù)實(shí)現(xiàn)

首先，通過(guò)Windows系統(tǒng)進(jìn)程與端口映射，結(jié)合木馬端口庫(kù)來(lái)檢測(cè)特洛伊木馬。參考計(jì)算機(jī)TCP/IP協(xié)議定義端口，在定義過(guò)程中明確規(guī)定以端口及IP地址作為套接字，與TCP/IP協(xié)議方式連接下連接端呈對(duì)應(yīng)關(guān)系，可將其簡(jiǎn)稱(chēng)為“Socket”。換言之，在計(jì)算機(jī)系統(tǒng)客戶(hù)端模塊中，每個(gè)端口均與某個(gè)應(yīng)用程序或服務(wù)保持對(duì)應(yīng)關(guān)系，主機(jī)運(yùn)行過(guò)程中的計(jì)算操作進(jìn)程可以通過(guò)搭載[IP：端口]的方式實(shí)現(xiàn)，其主要目的是方便兩臺(tái)計(jì)算機(jī)能夠搜尋對(duì)方進(jìn)程并展開(kāi)相應(yīng)的通信。本文構(gòu)建的分布式入侵檢測(cè)系統(tǒng)，搭載Windows系統(tǒng)操作平臺(tái)，在計(jì)算機(jī)操作進(jìn)程與端口之間形成對(duì)應(yīng)的匹配關(guān)系，并匹配系統(tǒng)正常進(jìn)程狀態(tài)下的數(shù)據(jù)庫(kù)信息，以對(duì)比發(fā)現(xiàn)進(jìn)程中存在的問(wèn)題，當(dāng)檢測(cè)發(fā)現(xiàn)可疑進(jìn)程后，需要立即終止該進(jìn)程的運(yùn)行，從而實(shí)現(xiàn)對(duì)入侵攻擊行為的防范。

其次，當(dāng)檢測(cè)到入侵行為后需要立即面向分布式入侵檢測(cè)系統(tǒng)客戶(hù)端發(fā)送報(bào)警指令，以郵件方式發(fā)送至指定郵箱，同時(shí)需要將檢測(cè)所得入侵行為數(shù)據(jù)信息寫(xiě)入分布式入侵檢測(cè)系統(tǒng)遠(yuǎn)程服務(wù)器端數(shù)據(jù)庫(kù)中。本文構(gòu)建的分布式入侵檢測(cè)系統(tǒng)，客戶(hù)端若檢測(cè)到掃描，需要對(duì)入侵事件進(jìn)行及時(shí)記錄，并將其記錄于數(shù)據(jù)庫(kù)中備份保管，入侵事件記錄參數(shù)按照一定的時(shí)間間隔發(fā)送至指定郵箱地址并進(jìn)行保存。

2.3 入侵檢測(cè)流程

整套分布式入侵檢測(cè)系統(tǒng)參考特洛伊木馬通信中的主動(dòng)連接技術(shù)模式，展開(kāi)對(duì)網(wǎng)絡(luò)入侵行為的監(jiān)測(cè)與防范工作，在主機(jī)安裝分布式入侵檢測(cè)系統(tǒng)客戶(hù)端后，一旦上線(xiàn)會(huì)直接按照服務(wù)器端要求進(jìn)行配置，讀取指定參數(shù)，并獲取管理端IP地址列表，與分布式入侵檢測(cè)系統(tǒng)服務(wù)器端進(jìn)行連接，可以通過(guò)服務(wù)器端與客戶(hù)端所建立的對(duì)應(yīng)關(guān)系，在局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)中展開(kāi)實(shí)時(shí)性監(jiān)督控制?？蛻?hù)機(jī)方面，可以通過(guò)靈活配置的方式實(shí)現(xiàn)對(duì)主機(jī)運(yùn)行狀態(tài)的實(shí)時(shí)性監(jiān)督控制，及時(shí)將所檢出的入侵事件寫(xiě)入服務(wù)器端數(shù)據(jù)中，以作為計(jì)算機(jī)系統(tǒng)防范攻擊行為的重要標(biāo)準(zhǔn)。

3 結(jié)語(yǔ)

現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)入侵行為與攻擊開(kāi)始呈現(xiàn)多樣化、復(fù)雜化的發(fā)展特點(diǎn)，網(wǎng)絡(luò)安全形勢(shì)是非常嚴(yán)峻的。為了有效預(yù)防入侵行為對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響，本文簡(jiǎn)述了一種基于分布式入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)入侵行為防御工作機(jī)制。在概述分布式入侵檢測(cè)系統(tǒng)產(chǎn)生背景的基礎(chǔ)上，重點(diǎn)探討該系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)方案，希望能優(yōu)化與提升入侵檢測(cè)系統(tǒng)性能，并為網(wǎng)絡(luò)信息安全提供可靠保障。

參 考 文 獻(xiàn)

[1]王秀英.分布式網(wǎng)絡(luò)時(shí)序關(guān)聯(lián)入侵攻擊行為檢測(cè)系統(tǒng)設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2018，41（3）：107-110.

[2]莊夏.基于局部參數(shù)模型共享的分布式入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2017，38（11）：2935-2939.

[3]劉萍萍，周求湛，徐昊，等.混合型分布式入侵檢測(cè)系統(tǒng)模型[J].吉林大學(xué)學(xué)報(bào)：工學(xué)版，2004（4）：666-670.

[4]彭國(guó)星.基于分布式數(shù)據(jù)入侵檢測(cè)模型研究[J].中南林業(yè)科技大學(xué)學(xué)報(bào)，2010，30（3）：147-151.

[5]吉根林，凌霄漢，程學(xué)云.神經(jīng)網(wǎng)絡(luò)集成的分布式入侵檢測(cè)方法[J].南京航空航天大學(xué)學(xué)報(bào)，2007（2）：231-235.

[責(zé)任編輯：鐘聲賢]