校园网安全管理之分布式IDS模型构建

摘要：为提高校园网数字资源的安全管理，可构建一个通用的基于校园网网络环境下的分布式入侵检测系统框架结构，分布检测、协作分析、分布管理，这对提高整个校园网的防护性有着重要的意义。从被动管理到主动防御管理，安全管理的层次有了进一步的提高。随着网络应用的进一步深化，分布式入侵检测系统的普及和应用将会逐渐融入市场。

关键词：信息安全；入侵检测；框架结构；校园网

中图分类号：TP393.06 文献标识码：A 文章编号：1673-1573（2012）02-0110-05

引言

互联网的开放性为信息共享和交互提供了极大的便利，但随之而来的网络信息安全问题也日益严峻。作为计算机安全领域的一项重要技术，入侵检测技术的研究逐渐受到人们的重视，然而目前的传统集中式入侵检测系统由于固有的缺陷，即有效性、适应性和可扩展性方面都存在不足，已经不能适应目前的高速网络环境，尤其是面对分布式协同攻击时，它已显得力不从心。该领域的研究重点之一是如何建立具有分布式的入侵检测系统基本框架，并为检测系统的开发与实践提供理论依据。

一、设计思想

基于校园网的分布式入侵检测框架模型，其主要特征为“分布检测、协作分析、分布管理”。

各个监测域中的分析器互相平等协作，整个监测域内不存在单独的中心处理节点，目的是针对协同攻击的检测分析，有效地实现了检测任务的分布化。另外，在所设计的系统模型中，以层次式的体系结构为蓝本，针对层次式结构中分析器一旦出现问题，整个系统的运行将受到很大程度的影响，提出了备份分析器的策略，引入了主备分析器的概念。

主备分析器的关系是当“主分析器”失效时，由“备份分析器”代替行使控制权，避免了系统的失效。在“主分析器”受攻击后的修复期间，“备份分析器”按对等式方式工作。结构模型如图1所示。

由于各管理域的相对独立性，增加了学习器功能部件，目的是使各管理域中的特征库能够智能升级并且处理协同式攻击。

二、系统特点

该模型框架基于校园网，其主要特点及功能性模块表述如下：

1. 分布式结构。因校园网络的出口流量比较大，所以在网络出口处安装的IDS设备不仅成了网络出口的瓶颈，而且IDS本身也无法处理如此多的数据。因此必须采用分布式的IDS结构，各区域中的采集器单独收集相应区域的数据，由区域分析器进行分析处理，处理结果交学习器进一步学习。

2. 误用检测。应用误用检测的方式来匹配攻击特征，依然是IDS 应用的主要方向，误用检测性能的优劣主要取决于特征库是否完善。在高校网络的应用环境中，特征库中必须包含足够多的攻击特征样本，否则误用检测功能则大打折扣。特征库中的样本值可以通过学习器不断补充，更新。

误用检测的实现方式是采用协议分析，检测是否有入侵行为的存在。将所有的攻击事件表示为入侵规则，将其存入特征数据库中，当采集到的数据与特征库中某种规则匹配，就说明有某种入侵行为发生。

3. 异常检测。异常检测主要是针对网络的未知攻击，是对误用检测的缺失性补充。

该系统模型采用基于网络流量分析。引入统计的方法为网络流量建立相应的数据模型，并依据此模型检测网络流量的异常。因此，在采集网络流量数据的基础上，采用时间序列分析的方法为网络流量中的与时间相关的指标建立流量模型。其中，通过方差分析的方法消除由于作息时间而造成的网络流量的周期性波动，然后通过分析历史流量数据的特点为其建立合理的，流量模型。

4. 攻击源追踪。针对假冒源地址的分布式攻击，尤其针对恶意破坏等非法攻击时，攻击源追踪是必要的。通过攻击源追踪，可以有效锁定攻击者的来源，尤其对于内网攻击，应该能确定其大致物理位置。

伪造源地址来进行攻击是攻击者惯用的方法，因为路由器在转发数据包时，对源地址是不予检查的。比如，Dos攻击就时常伴随着源地址的伪造。该系统框架设计使用IP报文追踪的方式，利用路由器作为中间介质，逐步追踪到发送假冒源地址报文的攻击者位置。

5. 学习模块。定时收集交换不同管理域中分析器发送的异常数据特征模式，并存储到数据库中。目的是完备不同管理域中的误用特征库。

6. 管理模块。管理员作为一个独立个体，采用B/S结构的方式登陆到管理服务器。系统内置一个公钥证书服务系统，对管理员进行身份认证，认证合格的用户使用Https安全协议与管理服务器进行通讯，保障了系统的安全。

三、物理结构

系统在物理上主要涉及到三种主机，分别是采集器（Sensor）、分析器（Analyzer）和管理器（Manager）。如图2所示。

从图2中可以看到，Manager控制并监测所有Sensor和Analyzer的运行状态（为了使上图看起来比较简洁，有些控制线没有给出）。由于考虑到Sensor的监测效率，所以在一个子网中可以安装多个Sensor，使其分别对不同类型的数据进行收集并做预处理工作。

通过被监测的子网网关端口映射的方法将子网的出入流量转发给Sensor，对于网络中存在的共享式拓扑结构环境，可以把网卡设为混杂模式来收集数据。同时可将校园网出入流量信息转发给另一台Sensor。监测的出入数据实时上传给主分析器，经过分析、筛选和统计，得到入侵检测结果，并发送给管理服务器。管理员可以通过管理服务器获得检测信息。各种主机的详细职能如下：

1. 管理服务器：管理服务器通过与分析器连接，获得警报信息，并且完成系统初始化配置管理。分析器和采集器的工作状态也由管理服务器负责监控。

2. 主分析器：主分析器接收到各区域采集器收集的警报信息，并对其进行聚合分析，而且分析器还可与其他管理域（这里我们把一个子网看作是一个管理域）中的分析器进行交互协作以检测大规模分布式攻击。

3. 备份分析器服务器：为主分析器服务器提供冗余功能，当主分析器由于各种原因不能正常工作时，自动切换到备份分析器。这样可以解决单点失效的问题。

4. 采集器：收集、过滤报文数据，并对其进行初步分析，将生成的安全事件报告给所属区域的分析器。采集器中，应具备数据采集和数据处理功能，采集器和分析器二者之间的关系是层次式的从属关系，不仅在一个管理域内可以对多个采集器进行管理，又便于分析器对多个分布式采集器所上传的数据进行提炼，以便及时地发现攻击行为。

5. 数据库：数据库主要用来存储各种数据，如入侵事件描述、入侵特征、检测规则等。数据库在入侵检测系统中扮演的角色，不仅涉及到事件之间的关联分析，还对入侵特征和规则库的更新起着重要的作用。

6. 学习器：管理并升级各个域中的特征库，处理协同式攻击。

四、分布式IDS模型框架

基于以上分析，提出了一种分布式入侵检测系统模型框架，如图3所示。该模型框架具有如下几个要点：

1. 不存在单点失效，基于网络的检测系统和基于主机的检测系统二者分离，但又各司其职，不会因为某个系统的异常，而导致整个系统瘫痪。

2. 多个采集器分散在不同位置（同一子网内），不仅可以检测内外网之间的通信，还可以检测内网与服务器之间的通信，提高了整个内网的安全性。

3. 采用基于网络的分析器报警，不仅可以加强入侵行为监测能力，还可以对主机起到一定保护作用。

4. 各管理域的分析器定时交换信息的学习功能能够有效地进行分布式入侵检测系统的自主学习。

五、分布式IDS关键组件实现

1. 设计标准。为了便于同一管理域或不同管理域功能部件之间的信息交互，采集器、分析器、学习器的接口要遵循统一的标准。一般而言，每个功能部件都包括输入接口、输出接口、互动接口等三类接口。为避免数据格式的转换，输入输出的数据格式应该保证一致。分布式IDS功能部件设计模型如图4所示。

2. 采集器的功能结构。采集器的功能结构如图5所示。

通过数据采集模块采集数据，数据筛选模块将无用的信息过滤掉，接着对数据进行分类，合并同类数据信息，在合并的过程中又可以去除一些冗余，之后判断数据是否符合要求，对不符合要求的数据要转换成统一的格式，最终生成事件传递给分析器。

3. 分析器的功能结构。分析器的功能结构如图6所示。分析模块是分布式入侵检测系统的核心组建，借助特征库完成对事件的分析和处理。

特征库是否完备直接影响到分析结果。为了弥补误用检测的不足，这里引入了基于流量分析的数据检测模型。如果被检测的事件认定是攻击，则产生报警，否则，给出怀疑度。分析模块是否将怀疑的数据给关联模块进行数据融合，要根据分析的结果来决定。数据融合模块是要集中各分析传送上来的可疑事件来判断是否存在分布式攻击。最后分析器将所分析结果送至管理器。

4. 学习器的功能结构。分析器首先对进入网络的数据进行分析，一旦发现异常，则报告给学习器。学习器应具有不同管理域的特征标识，通过学习，自动更新各个管理域的特征库。下面是学习器的功能结构，如图7所示。

5. 管理器的功能结构。管理决策模块是非常重要的一个模块，尤其在分布式协同工作时，该模块负责相关组件的有序运行，检测分布式攻击，进行入侵追踪。管理决策模块处理分析器送来的警报事件，根据制定的策略做出响应，如果对事件不做出响应，则将其传递给管理员。用户可以通过用户界面进行系统的配置和管理，并且可以查看系统的运行状态，必要时，可以做出手工的响应。管理器的功能结构如图8所示。

6. 攻击源追踪的功能结构。攻击源追踪子系统分为追踪控制模块、报文记录模块和追踪执行模块，其整体框架如图9所示。

追踪控制模块是整个子系统的核心，配置和指挥报文记录模块和追踪执行模块的行为。报文记录模块对数据报文进行记录，追踪执行模块执行追踪功能。要完成攻击源的追踪任务，三者之间必须要协调工作。

尽管网络攻击者可以通过伪造IP源地址对目标来实施攻击，但是有一个基本的事实，那就是一个数据报的发送者很难改变数据报经过一系列中间转发节点。然而追踪子系统恰恰就是利用这点找到攻击源的。

结语

对于整个网络和网络资源来说，网络安全管理是至关重要的，分布式入侵检测系统的研究对提高整个校园网的防护性有着重要的意义。从被动管理到主动防御管理使得安全管理层次有了进一步的提高。关于分布式入侵检测系统的实际应用目前还没有达到一定的普及程度，但随着网络应用的进一步深化，伴随着用户安全意识的进一步增强，分布式入侵检测系统的普及和应用会逐渐融入市场。

参考文献：

[1]罗守山.入侵检测[M].北京：北京邮电大学出版社，2004.

[2]唐正军.入侵检测技术[M].北京：清华大学出版社，2004.

[3]安宁，杨义先.大规模分布式入侵检测系统框架结构研究.[D].北京：北京邮电大学，2004.

[4]史卫军，马建峰.基于入侵检测理论的系统安全机制研究.[D].西安：西安电子科技大学，2003：14-39.

[5]puter Security Threat Monitoring and Surveillance.Technical report，James P Anderson Co.，Fort Washington，Pennsylvania，April 1980.

[6]D.E.DENNING，“An Intrusion Detection Model ”，IEEE Transaction on Software Engineering.1987，SE-13；（2）：222-232.

[7]王强，蒋天发.分布式入侵检测系统模型研究[J].计算机工程，2007，（8）：154-156.

[8]胡大辉.一种分布式入侵检测系统的研究与设计[D].西安：西安电子科技大学，2004.

[9]宋继军.校园网中分布式入侵检测系统模型的设计[J].铁路计算机应用，2006，（3）：40-43.

[10]黄梅珍，邱志宏.分布式入侵检测系统在校园网络的应用[J].柳州职业技术学院学报，2007，（2）：71-75.

[11]赵宣.基于对等结构的分布式入侵检测系统的设计与实现[D].长沙：中南大学，2007：24-32.

[12]林龙涛.高速网络环境下入侵检测系统研究[D].青岛：青岛大学，2007.

[13]温世强.校园网分布式入侵检测系统的设计与实现[D].北京：清华大学，2001.

[14]孙君生.分布式入侵检测系统的研究与部署[D].西安：西安电子科技大学，2006.