文章编号:1001-2486(2001)05-0098-05分布式网络攻击检测系统(DIDS)!
张权,张森强,高峰(国防科技大学电子科学与工程学院,湖南长沙410073)摘要:介绍了网络攻击检测系统(IDS)的运作机理,分析了IDS的优缺点.
针对传统IDS的问题提出了分布式IDS(DIDS)的概念,比较了DIDS的设计目标与目前一些IDS产品的性能.
最后从功能模块设计、攻击特征的获取和更新、提高攻击行为的检测和反应速度、攻击行为关联性分析和更加主动的反应策略五个方面详细阐述了DIDS的具体设计思路,为进一步完善网络攻击检测系统的性能提供了可行的解决方案.
关键词:IDS!
DIDS;分布式检测分析;集中式管理维护中图分类号:TP393.
06文献标识码:ADistributedlntrusionDetectionSystem(DlDS)Z~ANGGuan,Z~ANGSen-Ciang,GAOFeng(CollegeofElectronicScienceandEngineering,NationalUniv.
ofDefenseTechnology,Changsha410073,China)Abstract:Theprincipleofintrusiondetectionsystem(DIDS)isintroduced,anditsadvantagesanddisadvantagesareana-lyZed.
~ence,WebringouttheconceptofDistributedIDS,comparingthedesigngoalWiththeperformanceofsomeIDSprod-ucts.
Intheend,thedesignationofDIDSisdiscussedindetailinregardtotheaspectsofthefunctionalitymoduledesignation,theretrieveandupdateofattackcharacteristics,theenhancingoftheattackdetectionandreactivity,thecorrelatedattackanal-ysis,andthemoreactivereactionpolicy.
Keywords:IDS!
DIDS;distributeddetectionanalysis;centraliZedmanagementandmaintenance随着互联网络的普及,信息安全问题成为各界关注的焦点问题.
各国政府,各相关行业和部门以及一些科研机构也愈来愈重视网络安全与网络防攻击技术.
计算机网络攻击检测[1,2,3](ComputerNet-WorkIntrusionDetection)是最近几年才兴起的一种网络安全增强技术,它的出现有助于网络安全专家把精力集中到那些新的真正具有较大危险性的网络攻击行为上,很大程度上改变了专家们疲于应付各种攻击行为的被动局面;同时攻击检测提供了自动检测和响应机制,使安全专家彻底摆脱了手工分析和反应的不利局面.
为此,许多专家认为攻击检测是解决网络安全问题最具价值和潜力的技术之一[2].
本文介绍了IDS的运作机理,分析了IDS的优缺点,然后针对传统IDS的问题提出了分布式IDS(DistributedIntrusionDetectionSystem,简称DIDS)的概念,比较了DIDS的设计目标与目前一些现有IDS系统的性能;最后从功能模块设计、攻击特征的获取和更新、提高攻击行为的检测和反应速度、攻击行为关联性分析和更加主动的反应策略等几个方面阐述了DIDS的具体设计问题.
1IDS原理1.
1IDS工作机制攻击检测(IntrusionDetection)是一种自动识别对于计算机和网络资源的恶意行为并采取相应的保护措施以避免系统遭到侵害或进行适当的记录,以便在遭到侵害后快速恢复系统功能的过程.
图1给出了一个通用的攻击检测模型,该模型包括事件产生器、活动记录单元、规则集和检查引擎等几部分.
其中,事件产生器是模型中提供系统活动信息的部分.
事件来源于系统审计记录、网络通信或者防火墙等应用子系统.
规则集的定义来源于专家系统,用来决定是否发生攻击事件的检查引擎.
活动记录是按照系统状态机模型建立的系统运行参数集,实时改变系统的状态参数;它根据从规则集中检查出的行国防科技大学学报第23卷第5期JOURNALOFNATIONALUNIVERSITYOFDEFENSETEC~NOLOGYVol.
23No.
52001!
收稿日期:2001-03-17基金项目:国家863基金资助项目(863-307-7-5)作者简介:张权(1974-),男,博士生.
为创建新的状态记录.
活动记录和规则集的反馈表示系统的学习机制,学习规则可以采用人工智能的方法,使系统实现自学,也可以人工干预进行微调;一般两种方法联合使用.
图1通用攻击检测模型Fig.
1Generalintrusiondetectionmodel从攻击检测的定义不难看出,其功能模型包括四个方面:观测(Observe),定位(Orient),决策(De-cide)和响应(Act),这四个方面构成了一个OODA环[2],环中的前一级输出成为了后一级的输入.
图2为简化的IDS功能模型示意图.
图2IDS功能模型!
OODA环Fig.
2IDSfunctionmodel!
OODAloop!
"#IDS的优点IDS的最大优点就是减轻了网络安全管理人员的压力.
通过集中的、标准化的信息搜集和过滤,实时或定期地生成网络和系统遭受攻击的报告.
管理员们就可以从手工分析海量系统日志中解脱出来.
gcorelabs提供美国阿什本数据中心的GPU服务器(显卡服务器),默认给8路RTX2080Ti,服务器网卡支持2*10Gbps(ANX),CPU为双路Silver-4214(24核48线程),256G内存,1Gbps独享带宽仅需150欧元、10bps带宽仅需600欧元,不限流量随便跑吧。 官方网站 :https://gcorelabs.com/hosting/dedicated/gpu/ ...
提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...
目前舍利云服务器的主要特色是适合seo和建站,性价比方面非常不错,舍利云的产品以BGP线路速度优质稳定而著称,对于产品的线路和带宽有着极其严格的讲究,这主要表现在其对母鸡的超售有严格的管控,与此同时舍利云也尽心尽力为用户提供完美服务。目前,香港cn2云服务器,5M/10M带宽,价格低至30元/月,可试用1天;;美国cera云服务器,原生ip,低至28元/月起。一、香港CN2云服务器香港CN2精品线...