分布式入侵检测系统结构设计案例
入侵检测系统在电力行业的应用案例
入侵检测系统在电力行业的应用案例电力行业关系到国计民生,是我国经济快速发展的重要基石。
电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平,随着电力系统网络规模的不断发展和信息化水平的不断提高,信息安全建设作为保障生产的一个重要组成部分,越来越多地受到重视并被提到议事日程上来。
据来自有关部门的资料,目前电力系统存在的一些信息安全问题已明显地威胁到电力系统的安全和稳定,,影响着“数字电力系统”的实现进程。
研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施,是电力行业当前信息化工作的重要内容。
电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。
榕基入侵检测系统(RJ-IDS)是榕基网安公司除了漏洞扫描系统外的一条全新产品线,该产品是一种动态的入侵检测与响应系统,除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外,还具有强大的行为和事件统计分析功能,能够自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接,帮助企业最大限度的保护公司内部的网络安全。
网络构架描述国内电力行业某省级公司,随着业务需求的进一步扩展,原有的网络及系统平台已经不能满足应用需求,从保障业务系统高效、稳定和安全运行等方面考虑,必须升级优化现有系统,其中提高网络的安全性是重中之重。
该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。
电力系统网络是承载该公司与各个子公司内部业务交流的核心平台,局域网是该公司内部日常办公的主要载体,外部信息的获取和发布通过互联网来完成。
该公司的局域网于2001年建成并投入运行,核心交换机为Cisco Catalyst 6509。
以千兆下联十多台设在各部门的百兆交换机,均为Cisco Catalyst 3524XL/3550系列交换机,并划分了多个VLAN;在网络出口处,该公司通过Cisco 7401交换机与Internet连接,Internet接入边界有最基本的安全设备,一台硬件防火墙和一台VPN设备。
一种基于Agent的并行分布式四层入侵检测系统体系结构
用的入侵检测模 型。
2 入 侵检 测 系统 的 四层 体 系结 构
这 里 设 计 了 另 一 种 机 制 来 实 现 入 侵 检 测 , 不 是 像 传 统 方 而
法 中一 个 大 型单 机 的 I S模 型 1 在 这 种 机 制 中使 用 了一 组 自 D 。 1 。
由运 行 的并 行 程 序 , 们 可 以独 立 于 其 它 程 序 来 运 行 。 这 些 独 它
维普资讯
一
种 基 于 Ag n 的并行分布 式 四层 et 入侵检 测 系统体 系结构
李 剑 王 佳楠 李春 玲
( 北京 理 工 大学信 息安 全研 究 中心 , 北京 1 0 8 ) 0 0 1
E— i : o t r 0 8 i a c r ma l d c o 2 0 @sn .o n
Ag n ) 现 理
文章 编 号 1 0 — 3 1 ( 0 2 1 - 0 9 0 文 献 标 识 码 A 0 2 8 3 - 20 )7 0 4 - 3 中 图 分 类 号 T 3 30 P 9 .8
A Fr m e r f r a wo k o Con t uc i Par le s rbu e Fo v l s r tng a ll Dit i t d ur Le e
M o es f r I t u i n De e to y t m s Ba e n Ag n d l n r so t c i n S se s d o e t o
L in iJa W a g Ja a L h n ̄ n in n iC u l
(n omain S c r y Re e r h C ne , p r n fC mp tr S in e, Ifr t e u i s ac e tr De at to o ue ce c o t me
基于环型结构的分布式入侵检测系统的设计与实现
tm.hs ae rpss ido ir u dIt s nD t t nSs m( I S o eb sdo n u r t c r n oe ’ e ti ppr ooe kn f s i t r i e c o yt DD )m l ae nan l r t eadT kn p a D tb e n u o ei e d a su u
分布式 , 系统分成若干层 次 , 把 上层部件控制下层部件 , 由控制
1 引言
随着 网络技术 的不断发展 , 布式计算 环境 广泛采用海量 分 存储和高带宽传输技术 的普及 , 网络系统 结构 的 日益复 杂 , 使
得 传 统 的基 于 单 机 的集 中式 入侵 检 测 系 统 遇 到 了极 大 的挑 战 。
构 复杂 、 负载 不均衡 等缺 陷。 关 键词 :分 布式入侵 检 测 ;环 型协作 ;系统框 架
中图法分 类号 :T 330 P9 .8
文 献标 识码 :A
文章编 号 :10—65 20 )800 —3 0 139 (06 0 — 170
De in a d Re l ain o srb td I tu in Dee to y tm sg n ai to fDiti ue nr so tcin S se z Ba e n Ri g Sr cu e s d o n tu t r
的分 布式 入侵 检测 系统 的设 计 与实现 基
・17・ 0
基于环型结构 的分布式入侵检测 系统 的设计与实现
姜华斌 ,江 文 谢冬青 ,
( . 南大 学 计算机 与通 信 学院 ,湖 南 长 沙 4 0 8 2 湖 南商务职 业技 术学 院 ,湖 南 长 沙 4 0 0 ) 1湖 10 2; . 1 2 5 摘 要 :分 析 了 目前 的分布 式入侵 检测 系统 的特 点和协 作 方式 , 出 了一 种基 于环型 结构 分布 式入 侵检 测 系统 提
一种高速网络下分布式入侵检测体系结构的设计与实现
探测 、动 态 响 应 、 易 于 配 置 等 特 点 。 由于 入 侵 检 测 所需 要 的 分 析 数 据 源 仅 是记 录 系 统 活 动 轨 迹 的 审计 数据 ,使 其 几 乎 适 用 于 所 有 的计 算 机 系 统 。
收 稿 日期 :2 O一 O — 2 O6 2 1
误 报 和漏报 ,以及相 应 的响应 协 作机制 都 是 当前 我
作 为信 息 安 全 保 障 的一 个 重 要 环 节 ,它很 好 地 弥 补 了访 问控 制 、身份 认 证 等 传 统保 护 机制 的不 足 ,
入 侵 检 测 系 统 ( nr s n Dee t n S se Itu i tci y tm o o 成 为 目前动 态安全 工具 的主要研 究 和开发 方 向 。
明 ,而 是依 赖于 已有 的经 验 。2 尽 管 有许 多 的 入 ) 侵 检测 方 法 ,但 是 如 何 将 这 些 方 法 成 熟 地 用 于 入 侵 检测 是一 个难 点 ,也是 值得 研究 的热 点 。 随着高 速 网 络 的快 速 发 展 ,入 侵 检 测 面 临 着
更 大 的挑 战 ,如 何 有 效 采 集 高 速 大 流 量 的 数 据 , 并 对 这些 数 据 进 行 正 确 快 速 识 别 攻 击 特 征 而 减 少
作 者 简 介 :李 浪 (9 1 ) 1 7 一 ,男 ,衡 阳师 范学 院 计 算 机 系 讲 师 , 湖 南 大 学 计 算 机 与 通 信 学 院 硕 士 研 究 生 。 主要 研 究 方 向 ;计 算 机 网络 安 全 与 计 算 机辅 助教 学.
维普资讯
J n .2 u e 006
一
种高速网络下分布式入侵检测体系结构的设计与实现
网络入侵检测系统的设计与实现
受保护的主机
图 1 系 统 实 现 图
算
机
^
通信采 用 H r ̄ 安全加密 协议 传输 。 T[
3 系统 的模 块 设 计 和 分 析
() 1 网络数 据 引擎模块 在本 系统 中 . 了使 网络 数据 引擎模块 能够接 受 为
网络 中 的 所 有 数 据 .一 般 是 将 网 卡 置 为 混 杂 模 式 , 混 杂 模 式 下 计 算 机 能 够 接 受 所 有 流 经 该 网段 的 信 息 。 这 部 分 开 发 时 利 用 了 在 Ln x中 比 较 成 熟 的 伯 克 利 包 iu
( 通 用 入 侵 检 测 框 CI 2) DF
服务 器 的用 户身 份验 证 和访 问控 制并结 合 S L以保 S
证 系 统 的访 问 安 全 。 系 统 所 用 的 实 验 平 台 是 R d a eht
Ln x90以 及 A ah , iu . p c e MM, d slA I Mo_s, C D, P po, hl t
本系统 根据 网络数 据包 , 利用 协议分析 和模式 匹 配来进行 入侵检测 。通 用入侵检 测框架 C D I F组件 之 间通 过 实时 数据 流模 型相 互 交换 数据 , 且 采用 “ 并 通
MyQ S L等多种 软件 。系统实现 如图 1 所示 。
用入 侵检测 对象( I O 作为 系统各 种数据 交换 、 G D 1” 存
维普资讯
.
网络 纵 横
王 相 林 . 景 志 刚
( . 州 电 子 科 技 大 学 ,杭 州 3 0 1 ;2 中 国人 民 银 行 征 信 服 务 中 心 , 京 10 0 1杭 10 8 . 北 0 8 0)
浅谈分布式入侵检测系统模型设计
c t o en m e f e t d r s n ir i ee c e e e l t a a a tdt te c n mi d v lp n n l i r r e n i t u b r w s n ad damao f rn e t nt dc e , d pe o o c e eo me t da ot i sh on a a d b we h o r r i i oh e a s o
科学之友
Fi d f c ne m tus r n i c ae r e oS e A
2 1 年 0 月 (2) 00 4 1
浅谈分布式入侵检测 系统模型设计
赵金 考 ,吕润桃
( 包头轻工职业技术学 院,内蒙古 包头 0 4 3 ) 10 5 摘 要 :文章首先提 出了一个 旨在提 高分布式入侵检测 系统的扩 充性和适应性的设计模 型 ,然后分析本模型的特 点,最后对模 型的 3个组成部 分给 出简要的描述。
关键 词 :分 布 式 入 侵检 测 系统 ;模 型 设 计 中图分类号:T 3 3 8 文献标识码:A 文章编号:10 —83 2 1 2 16 0 P 9. 0 0 0 16( 00)1 —0 0 — 2
1 分布 式入侵 检测 系统 的基 本结构
尽管一个大型分布式入侵检测 系统非常复杂 ,涉及各种算 法和结构设计 ,但是如果仔细分析各种现存 的入侵检测系统的 结构模型 ,可以抽象 出下面一个简单的基本模型 。这个基本模 型描述了入侵检测系统 的基本轮廓和功能。该模型基本结构主 要由3 部分构成 :探测部分 、分析部分和响应部分。 探测部分相 当于一个传感 器 ,它的数据源是操作系统产生 的审计文件 或者是直接来 自网络的网络流量 。分析部分利用探 测部分提供 的信息 ,探测攻击。探测攻击时 ,使用的探测模型 是异常探测 和攻击探测。响应 部分采取相应 的措施对攻击源进 行处理 ,这里通常使 用的技术是防火墙技术 。
基于人工智能技术的轻量级网络入侵检测系统设计
现代电子技术Modern Electronics Technique2024年3月1日第47卷第5期Mar. 2024Vol. 47 No. 50 引 言在网络日益发达的现在,网络入侵现象时有发生,给网络用户信息安全带来严重威胁。
网络入侵检测则是通过采集和分析网络信息,发现网络入侵的一种网络保护技术[1⁃2],其主要功能是对网络和用户计算机系统进行实时监控,检测网络和用户计算机系统遭受的入侵行为并向用户发出告警。
但在网络日益发达,网络用户和设备激增的情况下,针对网络入侵检测过程中会出现漏警、延迟告警等现象,面对该情况[3],研究轻量级网络入侵检测系统是该领域研究关注的重点。
现在也有很多基于人工智能技术的轻量级网络入侵检测系统设计董卫魏1, 王 曦2, 钟昕辉3, 冯世杰4, 王美虹5(1.海南大学 信息科学技术学院, 海南 海口 570100; 2.中国传媒大学 信息与通信工程学院, 北京 100024;3.重庆大学 微电子与通信工程学院, 重庆 400044; 4.华北电力大学 计算机科学与技术学院, 北京 100000;5.海南大学 网络空间安全学院(密码学院), 海南 海口 570100)摘 要: 以提升网络入侵检测技术水平为目的,设计基于人工智能技术的轻量级网络入侵检测系统。
该系统数据采集层利用若干个用户探针连接IDS 检测服务器后,使用网络数据包捕获模块捕获用户网络运行数据,再通过传输层内防火墙、核心交换机和MQTT/CoAP 通信协议将用户网络运行数据发送到逻辑运算层内,该层利用数据预处理模块对用户网络运行数据进行去噪预处理后,将其输入到基于人工智能的网络入侵检测模块内,通过该模块输出轻量级网络入侵检测结果,然后将检测结果发送到展示层,通过入侵告警信息、数据可视化展示等模块实现人机交互。
实验表明:该系统运行较为稳定,可有效检测不同类型网络入侵的同时,其检测及时性和入侵告警能力较好,应用效果良好。
一种分布式入侵检测系统体系结构
文章 编号 :0 9 6 2 0 )7 0 4 — 3 10 — 7 X( 0 8 0 — 0 7 0 1
一
种分布式入侵检测 系统体 系结构
钟 玉峰
( 黑龙江工程学院 计算机科学与技术 系, 黑龙 江 哈 尔滨 10 5 ) 50 0
摘
要: 按照入侵检测系统的设计 目标 , 已有的分 布式入侵检测系统及其结构进行 了分析和对 比, 对 提出了一种新的
d srb e n r in-dee to y t m — —— MADI s p tf r r n t a i fc mp r tv n l ss o iti utd i tuso t c in s se —— —I —— DS wa u o wa d o he b ss o o a ai e a ay i t dit bu e n r so — e e to y t msc r e tya a lb ea dt e r r hi c u e . sr td i tu in d t ci ns se u r n l v ia l n i c t t r s i h a e
ZHONG Yu—e g fn
( eat n o ue c ne H i nj n stt o T cn l y abn10 0 , hn ) D pr t f mp t S i c , el ga gI tue f eh o g ,H ri 5 0 1 C ia me o C r e o i ni o
A s a tA c rigt ted s nojc o t s nd tc o ytm, e rhtc r m d l f g n - ae b t c : codn ei bet f nr i e t nss r oh g i uo ei e an w ac i t e o e o e t b sd eu A
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分布式入侵检测系统结构设计案例
本章主要介绍网龙入侵检测系统的体系结构和功能模块。
1系统架构设计
整个系统采用如下图所示的三层体系结构,分别为传感器,控制中心和数据中心
图1 IDS体系结构
传感器(Sensor):
1、监听网络数据包,对其进行分析,根据分析结果,产生警报,并发送给数据中心进行存储,以备用户进行安全审计。
2、对系统进行漏洞扫描,提供给用户系统安全参考数据。
3、记录网内机器的网络访问行为,需要时进行网络访问行为内容回放。
4、提供与交换机、路由器进行通讯的接口,收集其日志信息,使用户能更有效地进行网络安全审计。
控制中心(Control Center):
1、传感器控制
控制中心检查数据中心的运行状态,当检测到数据中心出现异常时,控制中心将控制传感器,把警报信息写入到指定的内存,当数据中心恢复正常情况时,再把内存中的警报数据传送给数据中心。
2、日志报表
统计分析警报及行为日志信息,以图表、列表的形式显示给用户。
3、规则库管理
对规则进行查找、添加、删除、修改等操作,对规则进行升级。
数据中心(Data Center)
警告信息的存储,用户通过操作控制中心间接到数据中心进行警报查询及分析,从而产生用户所需的报表,方便用户进行安全审计。
2系统开发环境
入侵检测引擎(Sensor):
操作系统为公司自行研制的linux系统:NetDragon。
编译平台为:gcc 3.2。
主要语言:C语言。
ControlCenter(控制中心):
基于Windows 2000、XP操作系统。
编译平台为:Visual C++ 6.0。
主要语言:C、C++语言。
支持库:MFC类库。
DataCenter(数据中心):
1、采用Mysql数据库系统:为开源软件,详情请见,支持在各主流linux平台,及Windows2000、XP操作系统上运行。
2、采用MS Sql Server数据库:支持在Windows2000、XP操作系统上运行。
3软件功能结构设计
软件功能结构如下图所示:
图2软件功能结构
图中主要功能内容如下:
User\Popedom Manager:
功能:添加、删除用户、用户属性修改、密码管理、验证码管理、权限显示。
Alert/Behavior Log:
功能:警告日志显示、警告日志导入、警告日志导出、警告日志备份、警告日志归并、警告日志清空。
Background Process
功能:警报输出、防火墙联动、参数配置、网络流量检测。
Database Manager
功能:数据库备份、数据库恢复、数据库备份的配置管理、设置数据库保存天数Rule Manager:
功能:规则修改、规则增加、规则删除、规则查找、规则分组、恢复缺省设置、定义触发响应动作、规则升级。
Sensor Manager:
功能:增加、删除、查看、配置、启动、停止。
Addition Feature
功能:内容回放、漏洞扫描及相关性分析、与网络设备的日志收集接口
4公用构件设计
加密解密程序库:作为公用的构件,用公共头文件进行声明,其它程序模块只需要调用就可以了。
IDS发送会话密钥,指定加密方法(当前加密方法支持3DES),此时的通信使
用共有的密钥加密,经Base64编码后,附加结尾字符’\0’发送;
5系统辅助功能模块
参数配置模块
本模块主要是针对传感器配置文件进行重写,使传感器能以适当的方式对网络数据包进行处理。
1、用户操作Console通过Backgroud Server对Config File中的一些传感器参数进行更改。
2、修改Config File后,Console通过Backgroud Server控制Sensor重新启
动。
Sensor在重新启动的过程中,读取Config File中各参数,根据这些参数对网络数据包进行处理。
图3参数配置模块结构图
2报警输出模块
在入侵检测引擎检测到了攻击以后,由报警输出模块负责将警告信息以不同的方式发送。
以达到向管理员报警的作用。
图4报警输出流程
3防火墙联动模块
在IDS发现入侵行为以后,根据入侵行为的严重程度,可以通过此模块与防火墙联动达到对来自于某些IP地址的数据包进行阻断的作用。
IDS与防火墙的关联图如下所示:
入侵侦测系统防火墙系统
图5入侵检测系统与防火墙的关联图。