浅谈分布式协同入侵检测

摘要：网络技术的不断发展，分布式计算环境的广泛采用海量存储和高带宽传输技术的普及，网络系统结构的日益复杂，都使得传统的基于单机的集中式入侵检测系统遇到了极大的挑战。传统的入侵检测技术通过在网络中放置多个传感器（探测器）收集网络状态信息，然后再把这些信息送到一个中央控制台分析处理。中央控制台的工作负荷过大，成为系统运行的瓶颈，在加上由于网络传输的延迟，探测器送给中央控制台的网络状态信息有可能不及时，这种模型在面对大规模、异构网络环境以及分布式协同攻击的情况下显得力不从心。在这样的情况下，分布式入侵检测系统（Distributed Intrusion Detection System，DIDS）应运而生，并成为目前入侵检测研究领域的一个研究热点。

关键词：分布式计算；协同技术；入侵检测

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)31-0877-02

Cooperative Distributed Intrusion Detection

HU Xiao-lu

(Information Technology School of Nanjing Xiaozhuang College, Nanjing 211171, China)

Abstract: With the continuous development of the network technology, extensive use of Distributed Computing Environment, popularity of mass storage devices and high-bandwidth transmission technology, and increasingly complex network structure, all made traditional host-based Intrusion Detection System encountered a big challenge. By numbers of sensor set in network Host-based IDS, the system collect network status which is transferred and analyzed in center console. Because of the overload of center console which becomes bottleneck at runtime, network transmission delay, and the network status which is transferred to center console may be not timely, Host-based IDS looks incompetence as it confronts the distributed collaborative attack in large-scale heterogeneous network environment. Under such circumstances, DIDS (Distributed Intrusion Detection System) emerges as the times require, and becomes a hot field in Intrusion detection research.

Key words: Distributed Computing; Collaborative Technology; Intrusion Detection

1 入侵检测技术

根据发现入侵行为的检测方法的不同，入侵检测技术中主要采用两类检测方法：异常检测技术和误用检测技术，两者各有所长，技术上互补。异常检测技术又称为基于行为的入侵检测技术，它假定了所有的入侵行为都有异常特性，通过发现系统使用行为模式中的改变来进行检测。首先，它为每一个单元建立一个正常行为的描述，这个正常行为描述记录了每个单元正常行为的状态信息。通过判断主机或用户的当前行为描述和正常行为描述得到二者的差异是否超过了预先设定的阈值来判定用户和计算机的行为是否属于入侵行为。误用检测系统一般方法是将己知的攻击特征和系统弱点进行编码，存入知识特征库中，检测系统将所监视的事件与知识特征库中的攻击模式进行匹配，从而触发相应机制。

入侵检测系统一般位于系统中的某个位置，监控整个系统的资源和信息的使用状况来检测是否存在入侵行为，根据入侵检测系统的位置和信息来源，可以将其分为三类：一、主机型入侵检测系（Host based IDS，HIDS），是以主机的审计记录为主要数据来源，通过对其进行分析来检测入侵行为。基于主机的IDS是对系统日志提供的大量数据进行整理和分析；二、网络型入侵检测系统（Network based IDS，NIDS），主要用于防御外部入侵攻击。它通过监控出入网络的通信数据流进行分析做出入侵攻击判断。同时它以网络数据作为信息源，而网络传输的数据源都是形式统一的IP报文；三、分布式入侵检测系统（Distributed IDS，DIDS），它在网络中不同位置安放若干个探测节点，按照制定的规则搜集、整理信息，然后统一提交给中央主控节点，由中央主控节点按照规则对信息进行分析判断，从而做出攻击入侵的判断。

2 入侵检测管理器

入侵检测管理器由通信模块、决策与统计模块和响应与测试工具组成。通信模块接收分析器的告警事件，在管理员控制下，向分析器发送配置和控制命令。决策与统计模块一方面根据网络的配置知识和既定的响应策略来决定告警事件的响应动作，包括忽略、报警、向其他管理器转发、终止当前的连接、自动配置防火墙或路由器访问控制链表等，并可以执行用户配置的响应程序；另一方而，从分析器中获取原始的数据信急，整理、归并到关系数据库中，并定期分析，将分析结果以图形化的形式提交管理员，生成新的网络轮廓，经管理员确认后更新分析器中的特征库。

入侵检测管理器是DCIDS的决策与响应部件，管理员通过管理器配置DCIDS。管理器的任务包括分布式入侵特征的处理、入侵检测组件、协同检测分析器、谓词库以及响应库的配置。初始化期间，管理器远程将相关的扩展有限状态机载入各个检测点，并将相应的谓词库和响应库也载入各个检测点。为了便于远程管理和控制，DCIDS采用了基于Web浏览器的管理界面。用户界面以直观的形式显示告警事件，并且指示入侵事件类型和侵害程度；反映当前的网络活动和被检测对象的当前状态，并给管理员相应的处理意见。

3 协同技术

计算机的应用领域已从科学计算领域扩展到社会生活的各个方面，把人们带入了信息时代。计算机处理的信息已不仅仅是科学计算数据，而包含了更丰富的信息。计算机网络技术的发展，尤其是广域网技术的发展为人们提供了快速、性能稳定的信息服务。网络给人们提供了一种廉价的异地通信手段，使人们有可能利用网络来完成一些需要异地协同的工作。随着网络应用分布计算趋势的加剧，如何协调网络中多台计算机共同完成一项任务成为近几年网络应用技术中研究的热点。协同技术的出现为在分布计算环境下，多个独立的主体为完成共同的任务而协同工作，提供了一种有效地解决方法。具体到入侵检测系统，协作的意义在于多个检测组件通过协作能获得同样数量的相互独立的多个入侵检测系统所不能获知的信息，并在此基础上对信息进行进一步的提炼和取舍，从而达到更好的检测效果。

协同管理器是为检测点提供整个系统范围信息的关键组件。协同管理器提供两类信息：各个检测点所能提供的基本检测事件的类型和各个检测点的IP地址。DCIDS启动后，部署的各个检测点向协同管理器注册本检测点所配置的检测组件所能检测到的基本检测事件类型、本检测点的IP地址；随后各检测点检索协同管理器，将其他检测点的IP地址和所能检测到的基本检测事件类型保存在本地，以便在协同检测入侵的过程中使用。因为分布式入侵通常是由涉及多个系统的多个会话构成的，从单个节点很难可靠地检测到这种入侵，因此分析器就需要安装在多个地方，有可能跨越多个管理域。协同管理器是DCIDS具有彻底的分布式特性、可伸缩性的关键组件，但它并不会造成单点失效问题。

4 分布式入侵检测中的协同

协同技术的基木功能是给出各个组件互操作的对象及其属性之间的依赖关系，通过各组件之间的信息共享、并发控制协调，实现分布式入侵检测有序、自动、高效地进行。协同的目的就是如何通过 IDS和其他安全系统间以及 IDS 内部各对象或实体间的协作共同来建立和维护一个安全的网络环境。对于一个分布式IDS来说，它由很多个分布在不同地方的入侵检测器也可称为入侵检测子系统组成，要建立一个内部协同工作的IDS系统可以采用状态转换分析技术纷STAT――State Transition Analysis Technique来建立一个这样的框架。该框架结构对于它的入侵检测组件可以根据需要任意采用基于网络的入侵检测器、基于主机的入侵检测器以及基于应用的入侵检测器等等。

由于入侵行为的相互关联性，有时单纯使用一个安全系统很难将入侵行为检测出来或进步说有时很难做出相应的响应。目前网络上配置的各个系统基本上都是互不相关的。与其他安全系统协同的目的是让入侵检测充分考虑攻击行为的特征和网络安全的整体性与动态性，以提高入侵检测能力和网络系统的安全防护能力。同样IDS和其他安全系统之间也有三种协同方式。数据采集协同、入侵分析协同和响应协同。

5 结束语

面对实际应用中网络信息系统的分布式发展，以及多元化、复杂化和智能化的攻击技术的不断出现，应用各种系统安全组件的信息，共同维护系统的信息安全。目前入侵检测技术研究中发展较成熟的是基于模式匹配和协议分析的入侵检测。分布式入侵检测的协同是一种系统化的方法。它强调了以群体工作目标为核心，有机组织各个检测组件进行协同检测。检测过程中有效的数据共享是分布式入侵检测的前提；而检测工程中用于交流、协调、决策等的数据和知识的协同管理是分布式入侵检测成功的基本保证。因而各个组件间的相互沟通与协调显得尤为的重要。

参考文献：

[1] 吴晓南,房鼎益.一个分布式拒绝服务攻击检测系统的设计[J].计算机工程,2004,30(5):139-141.

[2] 徐漫江，曹元大.分布协作式入侵检测系统.计算机工程，2005, 31(2):146-148.

[3] Lee S C,Heinbuch D V.Training a Neural network Based Intrusion Detector to Recognize Novel Attacks[M].NY:IEEE Workshop Information Assurance Security,West Point,2000.

[4] Ryan J,Lin M,Miikkulainen R.Intrusion Detection with Neural Networks[M].Jordan M,1998

[5] 吴作顺,新思维.基于免疫学的IDS[N].计算机世界:周刊,2002-10.

[6] Ning P,Wang X,Jajodias.Modeling requests among cooperating intrusion detection system[J].Computer Communications,2002,23 (7):702-1715.