基于无线网络的分布式入侵检测模型分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于无线网络的分布式入侵检测模型分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:文中首先对无线网络的分布式入侵检测模型完成了系统结构分析,接着分析了系统模型的分布性 、标准性、可扩充性、良好的系统降级性和载荷最小性的特点,最后就模型组成的探测、系统控制决策中心和探测策略执行完成了功能阐述,这一研究对于网络安全具有一定的参考价值。
关键词:无线网络;分布式;入侵检测;分布性;标准性
中图分类号:F224文献标识码: A
0 引言
在检测大规模、多管理域的入侵行为时,可以利用分布式入侵检测系统DIDS(Distributed Intrusion Detection System)实现,本文基于这一方向,对无线网络的分布式入侵检测模型完成了分析,这一研究对于网络安全具有一定的参考价值。
1 分布式入侵检测系统模型
1.1 系统结构
中心控制器、主机检测器、局域网检测器是构成DIDS的主要三个部分。中心控制器是用于对另外两个部分进行控制与管理。虽然规模较大的分布式入侵检测系统所涉及的算法与结构设计比较多,也比较负责,但若对当前的众多入侵检测系统的结构模型进行详细分析后,可提取出一个较为简单的基本模型。该模型对入侵检测系统的基本架构与功能进行了介绍,它主要由探测、分析以及响应这三个部分组成。
探测部分犹如传感器,其数据源要么是系统所生成的审计文件,要么是网络流量。分析部分根据探测部分所获得的信息来对攻击进行探测,在这个过程中,所采用的探测模型有两个,即异常探测与攻击探测。而响应部分则是通过措施来处理攻击源,防火墙是这里较为常用的一种技术。
图1 分布式入侵检测系统的结构
2 系统模型分析
体框架一样是由三个部分组成,包括:探测、系统控制决策中心以及控制策略执行。然而它们与基本结构的三个部分并不是对应的。前面两个部分所采用的是标准的通信接口和系统控制决策中心通信,所以,为了实现系统的分布式部署与扩充性,在设计过程中进行了相应的考虑,而且加强了所有功能的单一性,其优势在于可更加专业的检测某种入侵行。图2为系统模型图。
图2 分布式入侵检测系统模型
2.1 分布性
分布式入侵检测系统的概念指出,一旦系统中的分析数据部分是分布式部署的,那么入侵检测系统就为分布式系统。因此,该系统也具有分布性。
2.2 标准性
基于系统的角度,标准性主要表现在两个方面,即的形成与通信协议。的设计分为四个层次,由上往下依次是通信接口、报告产生器、分析模块以及采集模块。在通信协议中,涉及了一套定义比较严格的通信规则以及数据格式,另外,还对系统必不可少的通信行为进行标准化定义。
2.3 可扩充性
系统任何一个部分的设计都是标准的,以便于系统所有部分的升级以及添加新的部分。和系统控制决策中心的协商协议具有标准化,可实现注册的动态化。
2.4 良好的系统降级性和载荷最小性
如果系统中的某个由于某些原因而无法完成其检测工作,会在一定程度上影响着网络的检测工作,但并不会对系统的整体检测性能造成很大的影响。
系统各部分是相互独立的,其功能具有单一性,在部署时,可在一台主机上部署几个部分。和控制决策中心之间的通信量并不大,擦用的是标准协议通信;在数据传递的过程中,仅对控制中心所要求的数据进行传输,因此,数据传输量较小。
3 模型组成部分的功能描述
3.1 探测
探测的任务是获取网络上的初始数据,再通过相应的探测模型来分析数据,在数据存储设备中以相应的格式将想要保存的数据存储起来。经过与系统控制中心的交流,以相应的格式传送系统控制中心所要求的数据。
以上功能,探测要在四个层次的模块相互协作的情况下方可完成。按照数据传输的先后,这四个模块为采集模块、报告产生器、分析模块以及通信接口。
采集模块所获取的初始数据直接来自于网络。在数据获取过程中,采用了一个基于BSD的bpf思想的通用的libpcap库,以使可支持多个操作系统。分析模块可通过采集模块获取格式化的数据包信息。
在分析模块获取了数据包信息之后,入侵检测模型启动并处理数据。在此,入侵检测模型分为异常检测和入侵检测这两种模型。
异常检测模型会按照不同的功能进行相应级别的入侵检测。模型会进行基于包头和基于报文内容这两个级别的检查。前者检查的内容也就是链路层、IP层以及TCP层包头,在数据存储设备中保存异常数据。后者则是记录入侵检测过程中的异常信息。我们将基于包头级别的检查称为系统级探测,将基于报文内容的检查称为应用级探测。
入侵检测模型在检测的过程中会比较已经格式化的信息和已知的攻击模型特征。若经过对比之后发现两者完全相同,那么就可判断为一种攻击,在存储该攻击信息的同时,将其报告给系统控制决策中心,由控制决策中心来决策如何处理该攻击。
报告产生器就是从数据存储设备中将系统控制决策中心所要求的信息提取出来。提取出来的信息可形成攻击或异常视图,而它就包含了一部分存储信息。
3.2 系统控制决策中心
用户所发送的请求被系统控制决策中心所接收,当数据请求产生后,会由指定的入侵检测进行接收,当响应信息被接收后会被处理为用户视图。若有行为被用户认为是攻击行为,会将请求发送给探测策略执行,以对攻击行为进行相应的阻止。
用户接口的用途是为用户提供操作界面。该界面可帮助用户实现对系统进行控制以及请求数据。当用户发出请求后,用户接口会将其转换成系统的请求,接下来的处理则是由下层模块来完成。
控制与管理按照系统请求的不同类型来建立协议数据传输单元,再由下层协议通信接口来提出发送请求。
协议通信接口是用于对所发的协议数据进行识别和处理;并向所有发送系统控制决策中心的用户请求,从而实现管理与控制。
3.3 探测策略执行
探测策略执行主要是控制攻击者的行为以满足系统控制决策中心的要求,而所谓的控制主要包括以下三个方面:监控、访问权限的限制及取消。通信接口与控制执行是探测策略执行的两个主要组成部分,不过这两个部分要实现其对应的功能则还需一个配置模块的帮助。可通过这个模块进行控制接口的建立,该接口与控制系统没有任何关系。由于防火墙是现在使用的最多的一种网络控制系统,只有很少一部分的防火墙系统未设置系统命令接口。在此基础之上,在进行通用控制接口的设计时,先定义一组控制功能集合,再完成由系统功能集合到防火墙系统命令集合的映射的建立。
对比之前的通信模块,探测策略执行的通信接口功能并无任何区别。对于该类而言,控制执行是最为重要的一部分。通过接收到的来自通信接口的协议数据,对系统控制与决策中心的目的进行分析。再通过配置过程中所创建的映射关系来进行有关控制系统的控制规则的建立。
参考文献:
[1]马恒太,蒋建春,陈伟锋,卿斯汉. 基于Agent的分布式入侵检测系统模型[J]. 软件学报,2000,10:1312-1319.
[2]王晓煜. 基于遗传算法的分布式入侵检测模型研究[J]. 燕山大学学报,2004,03:257-261.
[3]欧雅捷,陈国龙. 基于免疫的分布式入侵检测模型研究[J]. 福建电脑,2004,08:7-8.
[4]彭春燕. 一种基于无线Mesh网络的分布式入侵检测模型[J]. 甘肃联合大学学报(自然科学版),2008,02:90-92.
[5]罗威丽. 基于分布式感应器的公安无线网络入侵检测模型[J]. 铁道警官高等专科学校学报,2008,02:110-113.