基于防火墙的分布式网络入侵检测模型设计
合集下载
分布式入侵检测框架
维普资讯
第 2 卷 第 1 期 9 0
Vo . 1 29
计 算 机 工程 与设 计
Co u e g n ei ga dDe in mp trEn i e rn n sg
20 年 5 08 月
M a 0 y 2 08
N O. 0 1
Ab t a t T ec r e t ewo k s c rt se r l y e in d wi p c a c n l g n n t n i n —o d I i d f c l t s r c : h u r n t r e u i s tmsa eawa s sg e t s e i l e h o o y a d f c i o e f l . t s i u t o n y y d h t u o s i
中图法分类号 : P 9 T 33
文献标 识码 : A
文章编 号 :0 07 2 (0 8 1—570 10 —0 4 2 0 ) 02 0 .3
Ditiu e tu in d t cin fa wo k sr t di r so ee to me r b n r
F NG Ln Y Qu E ig, U n
攻 击 的 发 现 和 对 攻 击 的 处 理 ( 应 )这 3个 方 面 是 彼 此 相 关 、 响 。 紧 密 相 连 的有 机 整 体 。 目前 的 网 络 安 全 产 品往 往 功 能 比较 但 单 一 , 能 满 足 网 络 对 安 全 功 能 的 综 合 需 求 ,即 使 有 全 套 解 不
c n tue e ui c i cu eta a n a e n, p oe t n d tcina drs o s bl is o si tsas c r a ht tr t s t y tr e h h ma g me t r tci , ee t n ep n ea it . o o ie Ke r s n t oksc r ; e oks c rt a a e e t i e l itu ind tcin a e t ywo d : e r u i n t r eu i m n g w e y t w y m n; rwal nr so ee t ; g n f ; o
第 2 卷 第 1 期 9 0
Vo . 1 29
计 算 机 工程 与设 计
Co u e g n ei ga dDe in mp trEn i e rn n sg
20 年 5 08 月
M a 0 y 2 08
N O. 0 1
Ab t a t T ec r e t ewo k s c rt se r l y e in d wi p c a c n l g n n t n i n —o d I i d f c l t s r c : h u r n t r e u i s tmsa eawa s sg e t s e i l e h o o y a d f c i o e f l . t s i u t o n y y d h t u o s i
中图法分类号 : P 9 T 33
文献标 识码 : A
文章编 号 :0 07 2 (0 8 1—570 10 —0 4 2 0 ) 02 0 .3
Ditiu e tu in d t cin fa wo k sr t di r so ee to me r b n r
F NG Ln Y Qu E ig, U n
攻 击 的 发 现 和 对 攻 击 的 处 理 ( 应 )这 3个 方 面 是 彼 此 相 关 、 响 。 紧 密 相 连 的有 机 整 体 。 目前 的 网 络 安 全 产 品往 往 功 能 比较 但 单 一 , 能 满 足 网 络 对 安 全 功 能 的 综 合 需 求 ,即 使 有 全 套 解 不
c n tue e ui c i cu eta a n a e n, p oe t n d tcina drs o s bl is o si tsas c r a ht tr t s t y tr e h h ma g me t r tci , ee t n ep n ea it . o o ie Ke r s n t oksc r ; e oks c rt a a e e t i e l itu ind tcin a e t ywo d : e r u i n t r eu i m n g w e y t w y m n; rwal nr so ee t ; g n f ; o
安全防护中的网络入侵检测系统设计与效果评估
安全防护中的网络入侵检测系统设计与效果评估网络入侵检测系统是一种有助于保护计算机网络免受网络攻击和恶意活动的一种安全防护工具。
设计和评估一套高效可靠的网络入侵检测系统是网络安全领域的重要研究内容。
本文将探讨网络入侵检测系统的设计原则和方法,并对其效果评估进行讨论。
一、网络入侵检测系统的设计原则网络入侵检测系统的设计应遵循以下原则:1. 实时监测:网络入侵检测系统应能够实时监测网络中的各种传输数据和通信行为,以及对异常行为及时作出反应。
2. 多层次防护:网络入侵检测系统应该采用多层次、多种方式的防护机制,包括网络层、主机层和应用层等多个层次。
3. 自适应学习:网络入侵检测系统应能够根据网络环境和威胁行为的变化调整检测策略和算法,并且具备学习和自适应能力。
4. 高性能和低误报率:网络入侵检测系统应具备高性能的检测能力,同时尽量降低误报率,减少误报给管理员带来的困扰。
二、网络入侵检测系统的设计方法1. 基于签名的检测方法:签名是一种用于表示特定入侵行为的模式或规则,基于签名的检测方法通过与已知的入侵行为进行对比,检测到相应的恶意活动。
2. 基于异常行为的检测方法:异常行为检测是通过分析网络中的行为模式,识别出异常行为来判断是否存在入侵。
3. 基于机器学习的检测方法:机器学习技术可以通过对网络流量数据进行训练和学习,从而识别出恶意行为和入侵行为。
4. 分布式检测方法:分布式检测方法可以部署多个检测节点,在不同的网络位置进行检测,提高检测的准确性和效率。
三、网络入侵检测系统效果评估的指标1. 检测率:检测率是指网络入侵检测系统检测出的真实入侵行为的比例,评估检测系统的敏感性和准确性。
2. 误报率:误报率是指网络入侵检测系统错误地将正常行为误判为入侵行为的比例,评估检测系统的准确性和可用性。
3. 响应时间:响应时间是指网络入侵检测系统从检测到入侵行为到采取相应措施的时间,评估系统的实时性和敏捷性。
4. 可扩展性:可扩展性是指网络入侵检测系统能否适应网络规模不断增大和新的威胁形式的变化,评估系统的适应能力和扩展性。
基于多代理的分布式入侵检测系统模型设计
度 安 全 摹统 。
关键 词 : 入侵检测 系统 多代理 分布式 入侵检 测 中 图分 类 号 : T P 3 文献 标 识 码 : A
文章 编号 : 1 6 7 2 - 3 7 9 1 ( 2 0 1 3 ) 0 2 ( c ) 一 o 0 3 4 - 0 2
2 1 世纪以来 , 计算机网络迅猛发展, 实 现 实时 高 速 网络 入侵 检 测 已 经 成 为 当前 计 算机安全技 术不得不面 临的残酷事 实。 本 文 提 出 一 个 分 布 式 环 境 下 的 多Ag e n t 模型 的 入侵 检 测 模型 , 没 有主 次 之 分的 各 Ag e n t 之间, 通过 不 同分 工协 同工作 。 各 级 独 立 Ag e n t 发 挥 不 同 独 立性 入侵 检 测 单 元 功能 , 同时 联 合 协 作 检 测 着 网络 的 各 个方 面 的 安 全 情 况 和 主 机 系统 安 全 信 息 。 多 代 理 系统 是一 个 由 多个 代 理 组 成 的 比 较 松散 的 代理 联盟 , 各 个 代 理 为 了 完 成 一 个 共 同的 目的 相互 协 作 、 相 互服 务 。 M AS结构 的使 用 , 更
2 Q 3
Q: 蛆
ห้องสมุดไป่ตู้SOI ENOE & TE CHNOLOGY I N FORMAnON
信 息 技 术
① 基 于 多 代 理 的分 布 式 入 侵 检测 系统 模 型 设 计
雷 文 彬 ( 广东工 程职业 技术学 院 广 东广州 5 1 0 5 2 0)
摘 要: 在 目前计算机 同络 高速发展 的环境 下 , 针对 广泛应 用的基 于静 态防护措施 的安 全体 系存在 的不足 , 提 出能在高速度 , 高流量 . 协 同攻 击 . 分 布 式 攻 击 的 分 布 式 入侵 检 测 系统模 型MA DI D s ( ( D i s t r i b u t e d I n t r u s i o n D e t e c t i o n s y s t e m B a s e d o n M u l t i Ag e n t s ) 设计I 够 能 集 成分 布 式 . 智 能化 , 整体 化 的技术优 势, 融 八 入 侵 检 测 和 实 时 响 应 分 布 的 分 布 式检 测 的 技 术 , 真 正 的 实 现 一 个 有 效 的 网络 安 全 防 御 的 深
关键 词 : 入侵检测 系统 多代理 分布式 入侵检 测 中 图分 类 号 : T P 3 文献 标 识 码 : A
文章 编号 : 1 6 7 2 - 3 7 9 1 ( 2 0 1 3 ) 0 2 ( c ) 一 o 0 3 4 - 0 2
2 1 世纪以来 , 计算机网络迅猛发展, 实 现 实时 高 速 网络 入侵 检 测 已 经 成 为 当前 计 算机安全技 术不得不面 临的残酷事 实。 本 文 提 出 一 个 分 布 式 环 境 下 的 多Ag e n t 模型 的 入侵 检 测 模型 , 没 有主 次 之 分的 各 Ag e n t 之间, 通过 不 同分 工协 同工作 。 各 级 独 立 Ag e n t 发 挥 不 同 独 立性 入侵 检 测 单 元 功能 , 同时 联 合 协 作 检 测 着 网络 的 各 个方 面 的 安 全 情 况 和 主 机 系统 安 全 信 息 。 多 代 理 系统 是一 个 由 多个 代 理 组 成 的 比 较 松散 的 代理 联盟 , 各 个 代 理 为 了 完 成 一 个 共 同的 目的 相互 协 作 、 相 互服 务 。 M AS结构 的使 用 , 更
2 Q 3
Q: 蛆
ห้องสมุดไป่ตู้SOI ENOE & TE CHNOLOGY I N FORMAnON
信 息 技 术
① 基 于 多 代 理 的分 布 式 入 侵 检测 系统 模 型 设 计
雷 文 彬 ( 广东工 程职业 技术学 院 广 东广州 5 1 0 5 2 0)
摘 要: 在 目前计算机 同络 高速发展 的环境 下 , 针对 广泛应 用的基 于静 态防护措施 的安 全体 系存在 的不足 , 提 出能在高速度 , 高流量 . 协 同攻 击 . 分 布 式 攻 击 的 分 布 式 入侵 检 测 系统模 型MA DI D s ( ( D i s t r i b u t e d I n t r u s i o n D e t e c t i o n s y s t e m B a s e d o n M u l t i Ag e n t s ) 设计I 够 能 集 成分 布 式 . 智 能化 , 整体 化 的技术优 势, 融 八 入 侵 检 测 和 实 时 响 应 分 布 的 分 布 式检 测 的 技 术 , 真 正 的 实 现 一 个 有 效 的 网络 安 全 防 御 的 深
网络入侵检测系统的设计与实现
受保护的主机
图 1 系 统 实 现 图
算
机
^
通信采 用 H r ̄ 安全加密 协议 传输 。 T[
3 系统 的模 块 设 计 和 分 析
() 1 网络数 据 引擎模块 在本 系统 中 . 了使 网络 数据 引擎模块 能够接 受 为
网络 中 的 所 有 数 据 .一 般 是 将 网 卡 置 为 混 杂 模 式 , 混 杂 模 式 下 计 算 机 能 够 接 受 所 有 流 经 该 网段 的 信 息 。 这 部 分 开 发 时 利 用 了 在 Ln x中 比 较 成 熟 的 伯 克 利 包 iu
( 通 用 入 侵 检 测 框 CI 2) DF
服务 器 的用 户身 份验 证 和访 问控 制并结 合 S L以保 S
证 系 统 的访 问 安 全 。 系 统 所 用 的 实 验 平 台 是 R d a eht
Ln x90以 及 A ah , iu . p c e MM, d slA I Mo_s, C D, P po, hl t
本系统 根据 网络数 据包 , 利用 协议分析 和模式 匹 配来进行 入侵检测 。通 用入侵检 测框架 C D I F组件 之 间通 过 实时 数据 流模 型相 互 交换 数据 , 且 采用 “ 并 通
MyQ S L等多种 软件 。系统实现 如图 1 所示 。
用入 侵检测 对象( I O 作为 系统各 种数据 交换 、 G D 1” 存
维普资讯
.
网络 纵 横
王 相 林 . 景 志 刚
( . 州 电 子 科 技 大 学 ,杭 州 3 0 1 ;2 中 国人 民 银 行 征 信 服 务 中 心 , 京 10 0 1杭 10 8 . 北 0 8 0)
基于分布式防火墙的网络安全系统研究
T 33 P 9
实时检测并 动态地 响应 网络安全事件 , 可以很好 地满足网络安全 的需求 。 关键词 分布式入侵检测 专家系统
中图 分 类 号
1 引言
防火 墙 的基 本功 能是 通 过对 网络外 部 和 内部 用户 的区分和 访 问授 权机制来 防止 非法 访 问 , 而 从 实现保 护网络 安全 的 目的。
式 入侵检 测 DD I S利用 多个检 测 主 体 , 用 多 种 检 采
对网络安全状况 , 实时、 智能地调整系统其他各个
部 件的安 全策 略 , 对这 个 部 件 的一 个 基 本要 求 。 是 对此 , 理决策 部件 应用专 家 系统 作 为实施 方案 。 管 如 图 3所示 , 虚线 框 内部分是 采用 了专 家系统 的管理决 策部 件的结 构 图 , 中知识库 中存 储 的是 其 关 于入侵 事件 一 一响应 对 的知 识 。知 识 库 中的知 识可 以预先 通过 系统 提供 的人机界 面来 手工设 定 , 而后根 据实 际 网络 安全 状 况 以及 组 织 安 全政 策 的
它 的网络拓 扑结构 如 图 1 示 : 所
由图 1可 以看 出 , 际上 网络防火 墙扮演 的就 实
系统在网络防御上能力有限 , 必须结合其他的网络
安全技 术 。 Leabharlann 是传统边界防火墙的角色。
收 到 本 文 时 间 :06年 7月 1 日 20 7
作者简介 : 吴 , , 郦 女 实验师 , 究方 向: 计算机 网络 。
维普资讯
第3 8卷( 07 第 6期 20 )
. 计算机与数字工程
17 0
入侵检测系统 IS是为保证 网络系统 的安全 D 而设计 与配置 的一 种 能 够及 时 发现 并报 告 网络 中 的系统末 授权 或 异 常 现象 的 动态 发 现 系统 。分 布
实时检测并 动态地 响应 网络安全事件 , 可以很好 地满足网络安全 的需求 。 关键词 分布式入侵检测 专家系统
中图 分 类 号
1 引言
防火 墙 的基 本功 能是 通 过对 网络外 部 和 内部 用户 的区分和 访 问授 权机制来 防止 非法 访 问 , 而 从 实现保 护网络 安全 的 目的。
式 入侵检 测 DD I S利用 多个检 测 主 体 , 用 多 种 检 采
对网络安全状况 , 实时、 智能地调整系统其他各个
部 件的安 全策 略 , 对这 个 部 件 的一 个 基 本要 求 。 是 对此 , 理决策 部件 应用专 家 系统 作 为实施 方案 。 管 如 图 3所示 , 虚线 框 内部分是 采用 了专 家系统 的管理决 策部 件的结 构 图 , 中知识库 中存 储 的是 其 关 于入侵 事件 一 一响应 对 的知 识 。知 识 库 中的知 识可 以预先 通过 系统 提供 的人机界 面来 手工设 定 , 而后根 据实 际 网络 安全 状 况 以及 组 织 安 全政 策 的
它 的网络拓 扑结构 如 图 1 示 : 所
由图 1可 以看 出 , 际上 网络防火 墙扮演 的就 实
系统在网络防御上能力有限 , 必须结合其他的网络
安全技 术 。 Leabharlann 是传统边界防火墙的角色。
收 到 本 文 时 间 :06年 7月 1 日 20 7
作者简介 : 吴 , , 郦 女 实验师 , 究方 向: 计算机 网络 。
维普资讯
第3 8卷( 07 第 6期 20 )
. 计算机与数字工程
17 0
入侵检测系统 IS是为保证 网络系统 的安全 D 而设计 与配置 的一 种 能 够及 时 发现 并报 告 网络 中 的系统末 授权 或 异 常 现象 的 动态 发 现 系统 。分 布
浅谈分布式入侵检测系统模型设计
c t o en m e f e t d r s n ir i ee c e e e l t a a a tdt te c n mi d v lp n n l i r r e n i t u b r w s n ad damao f rn e t nt dc e , d pe o o c e eo me t da ot i sh on a a d b we h o r r i i oh e a s o
科学之友
Fi d f c ne m tus r n i c ae r e oS e A
2 1 年 0 月 (2) 00 4 1
浅谈分布式入侵检测 系统模型设计
赵金 考 ,吕润桃
( 包头轻工职业技术学 院,内蒙古 包头 0 4 3 ) 10 5 摘 要 :文章首先提 出了一个 旨在提 高分布式入侵检测 系统的扩 充性和适应性的设计模 型 ,然后分析本模型的特 点,最后对模 型的 3个组成部 分给 出简要的描述。
关键 词 :分 布 式 入 侵检 测 系统 ;模 型 设 计 中图分类号:T 3 3 8 文献标识码:A 文章编号:10 —83 2 1 2 16 0 P 9. 0 0 0 16( 00)1 —0 0 — 2
1 分布 式入侵 检测 系统 的基 本结构
尽管一个大型分布式入侵检测 系统非常复杂 ,涉及各种算 法和结构设计 ,但是如果仔细分析各种现存 的入侵检测系统的 结构模型 ,可以抽象 出下面一个简单的基本模型 。这个基本模 型描述了入侵检测系统 的基本轮廓和功能。该模型基本结构主 要由3 部分构成 :探测部分 、分析部分和响应部分。 探测部分相 当于一个传感 器 ,它的数据源是操作系统产生 的审计文件 或者是直接来 自网络的网络流量 。分析部分利用探 测部分提供 的信息 ,探测攻击。探测攻击时 ,使用的探测模型 是异常探测 和攻击探测。响应 部分采取相应 的措施对攻击源进 行处理 ,这里通常使 用的技术是防火墙技术 。
一种分布式入侵检测系统模型研究
检测 系统 (nrs nD t tnS s m,D ) 说 是 无 It i e c o yt I S 来 uo ei e 法承 受 的。在这 种情况 下 , 我们 需要从 系统结 构 、 策
HD ) I S 的优 点 。整 个 系统 由 以下 四个 子 系 统 组 成 :
用户 接 口子系统 ( I) 网络 子 系 统 ( I ) 主机 子 US , NS ,
2 2 1 用 户 接 口子 系统 . .
管 理 员之 间 的人 机 接 口, 主要 包 括 通 信 、 警 、 它 报 系 统 状 态监 测和 日志 管理 四个 子模 块 。系统 流程 如 图
2所 示 。
用 户接 口子 系统 是 整个人 侵 检测 子 系统 与系 统
检测…。 2 分 布 式 入 侵 检 测 系统 的模 型 设 计
2 1 框 架 结 构 .
在 此所 设 计 的分 布式 人 侵检 测 系统 , 检 测方 在
式 上既使 用 了基 于 特 征 的入 侵 检 测 , 又使 用 了基 于
异 常行为 的检 测 ; 而在 配 置上 则 综 合 了 网络 入 侵检
作者 简 介 : 凤 山 ( 9 1 , , 司 18 一) 男 山东 滕 州 人 , 师 , 士 , 究 方 向 : 讲 硕 研 网络 信 息 安 全
21 0 1丘
司凤 山 : 一种分 布 式入侵 检 测 系统模 型研 究
第 2期
图 1 分 布 式 入 侵 检 测 系统 框 图
2 2 各子 系统 的详 细设 计 .
测 系统 ( e okIt s nD tc o ytm, I S 和 N t r nr i e t nS s w uo ei e ND ) 主机 入侵 检测 系统 ( ot nrs n D t t nSs m, H s It i ee i yt uo co e
HD ) I S 的优 点 。整 个 系统 由 以下 四个 子 系 统 组 成 :
用户 接 口子系统 ( I) 网络 子 系 统 ( I ) 主机 子 US , NS ,
2 2 1 用 户 接 口子 系统 . .
管 理 员之 间 的人 机 接 口, 主要 包 括 通 信 、 警 、 它 报 系 统 状 态监 测和 日志 管理 四个 子模 块 。系统 流程 如 图
2所 示 。
用 户接 口子 系统 是 整个人 侵 检测 子 系统 与系 统
检测…。 2 分 布 式 入 侵 检 测 系统 的模 型 设 计
2 1 框 架 结 构 .
在 此所 设 计 的分 布式 人 侵检 测 系统 , 检 测方 在
式 上既使 用 了基 于 特 征 的入 侵 检 测 , 又使 用 了基 于
异 常行为 的检 测 ; 而在 配 置上 则 综 合 了 网络 入 侵检
作者 简 介 : 凤 山 ( 9 1 , , 司 18 一) 男 山东 滕 州 人 , 师 , 士 , 究 方 向 : 讲 硕 研 网络 信 息 安 全
21 0 1丘
司凤 山 : 一种分 布 式入侵 检 测 系统模 型研 究
第 2期
图 1 分 布 式 入 侵 检 测 系统 框 图
2 2 各子 系统 的详 细设 计 .
测 系统 ( e okIt s nD tc o ytm, I S 和 N t r nr i e t nS s w uo ei e ND ) 主机 入侵 检测 系统 ( ot nrs n D t t nSs m, H s It i ee i yt uo co e
分布式入侵检测系统的设计
了自己相 应的产品 ,而 国内在这方面 的研究刚起步 ,基本上还 没有实用 的产品[。 2 1
1 入侵检测系统的通用模型 . 2
入 侵检 测系统 的通用 模型(rF将 一个 人侵检 测系统分 为事件产生 器 、事件分析器 、响应单 CD ) 元 、事件 数据库 五个组件 l 3 I 。 CD 将入 侵检 测系统需要分析 的数据统称为事件 ,是 网络 入侵 检测系统 中的数据包 也是 主 IF
电子科技大学机械电子工程学院 成都 60 5 1 4 0
【 要 】入侵检 测是 网络安奎 的一个新 方向 ,算 重点是 有效 地提 取特征数据 井准确地分析 出非 正常 网 摘
络行 为。该 文在深 凡研 究分析 公共入侵检测框 架理论 和现有入侵检测 系统 实现策喀 的基础 上 提 出一种基于
Ch nLig e n
Co lg fM e h n c l e t r e h nc l l eo e c a ia cm a c a ia El g 【碡 T o Ch n Ch n du 6l 0 4 J f ia e g 5 0
A b ta t I t inDee t ni e y d v lp d a e f ewo ks c r y Th i su nt i s r e n r o rc i san wl e eo e rao n t r e u i . eman is ei s us o t h ae j o ra s h w t p c . D n a ay e h if r t n o ik u a d n lz t e no ma i wh c c na n a n r 1 e o k e a ir o ih o t is b o ma n t r b h v o w c aa trsi .I hs p p r a ig o h e e rh o h rce it c n t i a e.b sn n te r s c fCⅡ) d te i pe n tae y o n r so a F a h m lme ts tg f itu in n r Dee t n S se , e in a c mp n n -a e nr so tc in S tm , t ci y t m we d sg o o e t s d I tu in Dee t ys o b o e whc a o d d s iu e ih h g o i rb t s t a d saa l b ls.I c m bn h e o k b e D S a d h s- a e DS jt y tm .a d p o ie n c lb e a ii' t o i ie te n t r — a d I n o tb sd I no a s se w s n r vd d tc o , e o t n e p n g te . ee t n r p r a d rs o dt eh r i o Ke v w0r s isr so ee t n c mmo s u in d tci nfa ; p t r th e e t d n tu in d tci ; o o n i t so ee t me n r o r at n mac ; v n e
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机 和网络 部分 , 实体 问相互 协 作 完成 检测 任务 。 各
2 2 分布 式 网络 入侵 检 测 系统 的 结构 .
块、 预处 理模 块 、 测 分 析 模 块 和 人 侵 检 测 模 块 组 检
成
分布式 网络人 侵 检测 系 统 ( N D ) 一 种新 型 D IS是 的 现代检 测 系统 , 其能 够 对 多个 主机 、 多个 网段 上 的 数据 和信 息进 行检 测 , 对 这 些 信 息 关 联 和综 合 分 并 析, 发挥 系统 资源 的优 势 , 现 可能 存在 的分 布式 网 发
d tc in s se tg t e o p o e tn t r e e t y tm o e h rt r tc ewo k. o
Ke y wor ds:n r so ee to y tm ; srb t d i tuso ee to y tm ; r wal I t i n d tcin s se Diti u e n r in d t cin s se Fie l u
2 DN D I S模 型
3 1 防火墙 管 理模 块 .
该模块 采用分 布式 防火 墙 , 即把包过 滤和代理 服
务等 功能结合 起来 , 主机 称 为堡 垒 主机 , 负责 代理 服
务 。为防止入 侵者修 改防火墙 日志记 录 , 特在此模 块
中增 加一 个存 储 系统 来存 储 防火 墙 的 日志 信 息 , 定
N . o 3
微
处
理
机
J n. 2 1 u , 0l
MI CROPR 0C S I ES CRS
第 3期 2 1 年 6月 01
基 于 防火 墙 的分 布式 网络入 侵 检 测 模 型设 计
杨 婷 婷 杨 大全 贾树 文 刘 小 飞 , , ,
( . 南大 学 三亚学 院理 工分 院 , 1海 三亚 5 2 2 2 海 南大 学三亚 学 院教 务处 , 7 0 2;. 三亚 5 2 2 ) 70 2 摘 要 : 随着 网络安 全 问题 日趋 突 出, 入侵 检测 系统 作 为 一 门新 兴技 术 成 为广 泛 关注 的焦 点 ,
是 否被允 许 , 而达 到保 护 内部 网络 的信 息 不 被外 从 部 非授权 用 户访 问和过 滤不 良信 息 的 目的。防火墙
可 分为包 过 滤型 防火 墙 、 用 代 理 防 火墙 及 屏 蔽 主 应 机 型防 火墙 三类 。
完全分 布方式 或分 层 方式 进 行 协 作 。随着 网络 结 构 的 多层 化 、 杂 化 , 络 资 源 一 般都 是 分 布 的 , 复 网 而入 侵 活动也 逐渐 具 有 协 作 性 , 此集 中 式 的 I S就 暴 因 D 露 出其局 限性 。建 立 分布 式 的 网络 I S成 为人侵 检 D
在整 个庞 大 的网 络安 全 体 系 中 , 仅有 人 侵检 测 系统 是不够 的 , 因为 人 侵 检 测 系统 具 有 较 高 的漏 报 率和误 报率 , 管理 和维 护 较 难 , 只能 检 测攻 击 , 不 而 能及 时阻止 攻击 。所 以 , 采用 动 静结 合 的方式 , 利用
络 攻击行 为 并进 行及 时 的 响应 处理 。
沈 超 提 出一 个 基 于 组 件 的 系统 构 建 方 法 , 并
考 虑到 分布 式协 同检 测 的 需 要 , 入 侵 检 测 系 统 的 以
一
般结 构为 基础 的分 布 式协 同入侵 检 测 系统 。系统
如图 1 示 , 所 包括 三 大组 件 : 干 个 检 测 组 件 、 若 一个 协 同管理 器 和 一个人 侵 检测 管 理器 。
防火墙 技术 和分 布式 网络 入 侵 检 测 技 术相 结 合 , 构
建 一个新 的模 型 。该模 型可 以更 大 限度 的实现 网络 安全 : 防火墙控 制入 侵检 测 系统 的数据 量 , 提供对 入
人侵 检测 系统 可根据 系统 结构 分为集 中式入侵 检测 系统 和分布 式 入 侵检 测 系统 : 集 中式 人 侵检 ①
3期
杨 婷 婷 等 : 于 防 火 墙 的 分 布 式 网络 入 侵 检 测 模 型设 计 基
・
43 -
无论 监视 的 网络 有 多少 主 机 , 据 分 析 都 在 一个 固 数
定 的位置 进行 , 括 基 于 主机 的 和基 于 网 络 的人 侵 包 检测 系统 。基 于 主机 的 I S分 析 主 机 的审 计 数 据 , D 直接 监视 一 台主 机 , 与操 作 系 统 相 结 合 。基 于 网 常 络 的 I S被动 地监 视 主 机 问 的 通 信 , 据 网络 上 数 D 根
火 墙被 动保 护 的不足 , 网络提供 实时 监控 , 以在 为 可 发 现入侵 的初 期 采取保 护手 段 。
2 相 关 技 术
2 1 入侵 检 测 系统 .
是静 态 的网络安 全 , 能 适 应 当前 动 态 变 化 的 网络 不 环境 , 因此 网络入 侵 检 测 技术 作 为一 种 动 态 的 网络
测 系统 的发展 方 向 , 由多 个 检 测 实 体 监 控 不 同 的 主
3 模 型 设 计
在分 布式 网络人 侵检 测 的模 型框 架下设计 一个 ND I S和 防火 墙集 成 的模 型 。如 图 2中 D I S模 型 ND
所示 , 模 型 主 要 由 防 火 墙 管 理 模 块 、 据 捕 获 模 该 数
安全 技术 已引起 人们 的重 视 。
入侵 检 测顾 名 思 义 , 是 对 人 侵 行 为 的 识别 。 便
它 通过对 计算 机 网络或 计算 机 系统 中的若干关键 点 收 集信息 并对 其进 行 分 析 , 中发 现 网络 或 系统 中 从 是 否有违 反安 全策 略 的行为 和被 攻击 的迹象 。进行 入 侵检测 的软 件 与硬 件 的 组 合 便 是 入 侵 检 测 系统 (nrs nD tc o yt 简 称 I S … 。 It i e t nS s m, u o ei e D)
1 引 言
随 着互 联 网 的发 展 和普 及 , 算 机 网络安 全 问 计
题成 为人 们 日益 关注 的热 点 问题 。传统 的 网络安全 技术 如 防火墙 、 据加 密 、 证 授 权 、 数 认 安全 审 计 等 只
侵检测 系统 的安 全保 护 ; 侵检 测 系统 可 以弥补 防 入
Mo e f sr ue t r nr s n Dee t n S se De in d I t b td Newo k It i tci y t m sg o Di i u o o
Bas ed — on fr wal i e l
YANG T n i g—t g , i YAN Da—q a J A S u—we 。 L U X a n G u n ,I h n , I i o—fi e
据包 的内容 和格 式 来 推 断 其 行 为 , 析 对 敏感 信 息 分 的公开请 求 和 重 复 失 败 的 违 反 系 统 安 全 策 略 的企 图 。② 分布 式 人 侵 检 测 系 统 ( ir ue nrs n D s i t It i tb d uo
D t t iS s m, ee il yt 简称 D D ) 将 数 据 分析 任 务分 配 c O e IS 则 给 多个处 于不 同位 置 的数 据分析 组 件 , 些组 件采 用 这
tc n lg ffr wal h a e r vd sa n w mo lo o i i g t r wala iti u e nr so e h o o y o e l,t e p p rp o i e e de fc mb n n he f e l nd d srb td it i n i i u
Absr c W i e wo k s c rt c mig mo e a d mo e i o tnt n r so ee to y tm sa t a t: t n t r e u i be o n r n r mp ra ,i tu in d t cin s se i h y knd o o e e hn l g a d be o s h o US o ewo k e u iy. whih a d tc te cin o i f n v lt c oo y n c me t e f C f n t r s c rt c c n e e t h a t f o i t dig a d r s o s a i y,b ti h s s me we k s e ,s c s p e e tn t c . T e eo e b s d n r n n e p n e r p dl u u t a o a ne s s u h a r v n i g at k a h r fr a e
它能够及 时检测 入侵 行 为 , 迅速 做 出响 应 , 但仍 存在 不 能 阻止攻 击 等缺 点。 因此 , 分 析入 侵检 测 在
系统、 分布 式入侵 检 测 系统 的结构及 防火墙技术 基础 上 , 出了一个分 布 式 网络入 侵检 测 与防火墙 提
技术 集成 的模 型实现 网络 安全 。 关键 词 : 入侵检 测 系统 ; 分布 式网络入 侵检测 系统 ; 防火墙
( . 。 16
o c ne n eh o g , a a n e i naclg , na5 2 2 ,hn ; fSi c dTcnl y H i nu i rt s y oees y 70 2 C i e a o n v sy a l a a
2 D a ’ fc o annui rt naclg , na5 2 2 ,hn ) . en Sf e fH ia n e i s y o ees y 7 0 2 C i o i v sy a l a a