2018网络入侵检测模型的分析与设计

4918550

　　摘 要：本文分析了网络环境中入侵行为的特点，对入侵检测模型能进行需求分析，根据网格环境的特殊性详细设计了入侵检测系统主要功能模块，在此基础上提出了基于虚拟组织的网格入侵检测模型。
http://
　　关键词：入侵检测 网格 模型
　　
　　一、行为分析
　　网络环境常常遭受到一些意外的和蓄意的安全威胁，包括对网格环境中的资源、数据以及基础设施的完整性、保密性和可利用性的安全威胁。网络的入侵行为有以下几种情况：
　　（一）非授权访问入侵者通过窃取、猜测或者在用户不注意时得到密码，伪装成合法的网格用户而进行攻击。当攻击授权的网格服务时，攻击日志将保留在服务器端。
　　（二）误用或滥用当发生非授权访问或网格合法用户滥用权限时，就会出现违反网格安全策略的误用或滥用的异常行为。这要根据网格的安全策略来判断对网格资源的滥用行为，这种行为可能是一种具有侵略性的网格资源使用、用户的误操作或恶意的资源利用。
　　（三）网格漏洞攻击入侵者通过软件工具或开发程序攻击网格协议、服务和应用程序中存在的弱点。它们出现的形式可能是拒绝服务攻击、蠕虫等入侵行为，这些行为的踪迹会分布于网格设施的多个位置。
　　（四）基于主机或基于网络的攻击非授权访问、误用或滥用、网格漏洞攻击是网格环境中所特有的入侵行为，而基于主机或基于网络的攻击，是网络中普遍存在的攻击行为。
　　二、需求分析
　　网络环境中的入侵检测模型同样应包括一般入侵检测模型所必须的组成部分，即由数据采集模块、数据分析模块、知识库以及报警功能模块组成。但是由于网格环境的特殊性，它们又与一般的入侵检测模型有所区别。以下给出各模块具体的需求：
　　（一）数据采集模块的分析
　　为了检测网格上的攻击行为，应采取既基于主机又基于网络的混和型入侵检测模型。一般说来，入侵检测的两大信息源是主机系统中的各类数据和网络中传输的数据包。基于网络的IDS在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。它们在关键的网段或交换部位侦听，一般监控流经该网段多个主机的网络通信流量，从而达到保护网络和主机不受入侵的目的。
　　（二）数据分析模块的分析
　　用户在使用网格资源的过程中，必然会产生大量的审计数据，为了减轻网格用户分析审计数据的负担，将充分发挥网格资源共享的优势，设置多个分析服务端，而不是采用集中式分析结构。然而，客户端与分析服务器端之间海量审计数据的传输，将导致网络拥塞。另外，如果采用单个分析服务器，将产生负载不均衡问题，并且任务繁忙的分析服务器无法满足用户实时的审计需求。因此，运用分而治之的思想，采用分层式的多个分析节点来处理海量的审计数据，并且当某一分析节点发生意外情况(如设备故障)和负载过大时，应有其他分析节点接替其任务，保证整个系统的工作进行。
　　（三）知识库
　　知识库存放入侵检测系统的全部入侵行为特征以及资源的正常行为轮廓，并且对各分析节点上传的数据进行分析、挖掘、训练来获取未知的入侵攻击行为，及时更新各分析节点入侵模式集以便对新发现的入侵行为进行检测。将数据挖掘技术引入入侵检测系统，对网格系统局部或整体的审计信息、网络数据进行分析挖掘，可以为能有效的发现用户的行为模式，产生新的入侵模式，并实时更新各分析节点的模式集，以解决自适应差、误报、漏报等问题。
　　（四）响应模块
　　IDS在发现入侵以后应根据预定的策略及时做出响应。包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或者影响攻击进程)和被动响应(记录和报告新检测出的入侵事件)两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动(如断开连接)、修正系统环境或收集有用信息。被动响应则包括报警、设置SNMP(简单网络管理协议)陷阱等。根据各资源的实际需要，相应的采用不同的响应方式。
　　三、模型设计
　　网格入侵检测系统是一个采集信息、分析信息以及识别攻击发出警报的过程。在提出的网格入侵检测模型中，审计的数据源是结合基于主机和基于网络的IDS技术的，采集各个主机结点的审计数据以及网络数据包；基于虚拟组织内部各成员遵守共同的资源共享规则和限定条件的规范，设置一个资源目录服务器，虚拟组织内的资源在目录服务器端进行注册，用户通过目录服务器来发现最佳的可用资源，从而充分利用了虚拟组织内丰富的资源来分析审计数据；最后，在及时的响应用户数据分析需求之后，各个分析节点将审计数据传送给的数据分析服务器，以综合分析整个虚拟组织范围内的基于主机和基于网络的数据，发现网格特有的攻击，发现网格范围内的攻击。因此，基于虚拟组织的网格入侵检测模型VOGIDS可表示为Model=(VO,Collection,Analysis,Dispatch,Database,IO)，其中VO为网格虚拟组织，Collection为数据采集模块，Analysis为分析模块，Dispatch为资源调度模块，Database为知识库模块，IO为检测对象。
　　四、服务部署
　　（一）VOGIDS为申请服务的虚拟组织建立VOM，将该虚拟组织中提供入侵检测相关服务的设备进行注册，并将相关工作任务部署到注册设备上。
　　（二）VOGIDS控制器通过代理部署功能将负责数据采集的代理部署到申请检测服务的主机上，在VOM中添加该主机的相关信息。
　　（三）根据申请服务主机的自身情况，由VOGIDS通过相关算法为其分配系统中最合适的检测资源。
　　（四）被检测主机数据采集后传输至系统分配的分析节点进行分析。若发现入侵行为则报警。
　　（五）分析节点将分析数据过滤后，传输至中心分析服务器。中心分析服务器结合其他分析节点的分析数据，来分析虚拟组织间的入侵行为。同时将这些数据传输到知识库，进行数据挖掘，以得到最新的入侵行为特征。
　　
　　
　　参考文献：
　　[1]饶鲜.基于支持向量机的入侵检测系统[J].软件学报,2008(3).
　　[2]李学军.新一代分布式入侵检测系统机制[J].舰船电子工程,2005(4).