1、 分布式入侵检测系统 1 分布式入侵检测系统设计 摘要 随着黑客入侵事件的日益猖獗,只从防御的角度构造安全系统是不够的。入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。 本文所设计的入侵检测系统,具有良好的分布性能和扩展性。他将多种入侵检测技术有机地结合在一起,能够 提供集成化的检测、报告和 响应 功能 。 在网络引擎的实现上,使用了协议分析和模式匹配相结合的方法,有效减小目标的匹配范 围,提高了检测速度。同时改进了匹配算法,使得网络引擎具有更好的
2、实时性能。 关键词 入侵检测 模式匹配 协议分析 分布式入侵检测系统 2 Abstract With more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as fi
3、rewall and data crypt. IDS watch the computer and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Ext ranet hacker, but also the intranet users. We design a component-based Intrusion Detection System, which has good distribute and scalable ability
4、. It combine various intrusion detection technology into a system, and provide detection, report and respond together. In the implement of the network engine, the combination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match
5、algorithm, the network engine can search intrusion signal more quickly. Keyword IDS pattern match protocol analyze 分布式入侵检测系统 3 目 录 摘要 .1 Abstract .2 第一章 引言 . . . 4 1.1 项目背景 . . .4 1.2 系统介绍 . . 4 1.3 工作内容 . . .5 1.4 组织结构 . . .5 第二章 系统功能概述 . . .6 2.1 系统工作流程 . 7 2.2 系统功能特点 . . 8 2.3 本章小结 12 第三章 系统体系结构
6、. .13 3.1 系统架构设计 13 3.2 系统开发环境 14 3.3 系统功能结构设计 14 3.4 公用构件设计 15 3.5 系统辅助功能模块 . 16 3.6 本章小结 .18 第四章 系统关键模块设计 . .19 4.1 入侵检测引擎 19 4.2 数据存储模块 .22 4.3 安全通讯 . .23 4.4 本章小结 23 第五章 结束语 . .24 致谢 . . .25 参考文献 . . 26 分布式入侵检测系统 4 第一章 引 言 1.1 项目背景 本课题是博华科技有限公司网龙入侵检测系统项目的一部分,该系统的目标是设计一个分布式的入侵检测系统。该系统融合了目前入侵检测领域中
7、多种先进技术,具有可扩展性、跨平台性、安全性和开放 性。并且可以作为网帅系列芯片级主动式保障系统的一部分来充分保障网络安全。 1.2 系统介绍 本系统采用流行的 WEB 浏览器模式,在专用的 安全操作系统 开发平台上进行项目开发。 分布式 IDS 通过分布于各个节点的 传感器 对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图 。 系统属于三层架构,分为前端业务操作控制台,数据处理和后台数据存储。 数 据 采 集数 据 分 析 与 处理警 报 生 成数据库日 志 管 理 警 报 信 息 查 询 探 测 器 管 理用 户 / 权 限 管理规 则 库
8、管 理 统 计 与 报 表审 计 管 理图 1.1 系统架构 项目性能指标: 分布式入侵检测系统 5 规则库在线升级:支持 自定义规则库:管理员可自定义新的规则 状态检测:支持 IP 碎片重组和 TCP 流重组 变形攻击的检测:支持 自动响应方式:阻断特定 自定义响应方式:电子邮件通知,实时报警等 事件风暴处理:采用智能算法,可在大量的伪造攻击中检测出真正的攻击 传感器的分组管理:可将传感器分组,统一配置规则,也可单独配置 多用户管理:支持不同权限用户管理 入侵记录方式:实时记录数据库或文件 1.3 工作内容 该论文是在博华网龙入侵检测系统开发项目的基础上完成的,该系统是在原有老系统架构的基础
9、上 参照入侵检测的最新技术和公司整体性的功能要求设计的。目前系统的大体功能都已经实现,目前正在进行附加模块的开发设计工作。整个项目的开发设计中,我负责了规则预处理和协议分析模块的开发,目前正负责漏洞扫描模块的设计。 1.4 组织结构 本文共分四章,以下是后面三章的基本内容介绍。 第二章 系统功能概述 该部分系统介绍了网龙分布式入侵检测系统的功能特点。 第三章 系统体系结构 该部分介绍了整个系统的体系结构以及系统的各个功能模块。 第四章 系统关键技术 该部分着重介绍了系统中的几个功 能模块所采用的关键实现技术。 分布式入侵检测系统 6 第二章 系统功能概述 网龙入侵检测系统是基于部件的分布式入侵
10、检测系统。能够部署在网络的各个位置并且和网络中的其他设备进行交互来监控网络中的数据流,对每一数据包进行分析、匹配以发现违反网络安全策略的行为。 一个典型的网龙入侵检测系统部署图如下: 图 2.1 IDS 在网络中的部署图 分布式入侵检测系统 7 图 2.2 IDS 与其他网络设备的交互图 2.1 系统工作流程 首先 ,由规则预处理模块对规则文件进行预处理,生成规则链表。参数预处理模块初始化用户输入的命令参数,确定系统的工作状态。数据包捕获模块将网卡设置为混杂模式后开始捕捉所有流经的数据包,交由协议分析模块进行数据包处理。然后与先前生成的规则链表进行匹配。如果匹配成功,就将该数据包的关键内容(源
11、、目的 ip 地址,源、目的端口,协议类型,攻击匹配类型,攻击时间)交数据存储模块进行存储,然后报警输出。若不匹配,则将其按照原路由转发。流程图如下: P ar se p ar am et erCa tc h d at aP r o to co l an al y zem at chP r o ce ss r u le f il esD at a sto r ag eA le r t o u tp u tr o u teYN图 2.3 系统工作流程 分布式入侵检测系统 8 2.2 系统功能特点 2.2.1 分布式检测,集中式管理 采用分布式的体系结构,以旁路监听的方式采集网络上的数据包,不影响
12、现有网络的任何性能。分布在网络各处的传感器,可以通过控制中心进行统一管理。 2.2.2 丰富和友好的管理界面 该 IDS 采用 WEB 的管理方式,使得管理员易于操作和管理整个入侵监测系统。采用可视的管理、监视、控制和分析操作界面,方便使用。不需要安装任何客户端软件,只要有一台能访问控制中心,并且带有浏览器的主机就可以对其进行控制、管理。 系统登陆界面如图 2.4所示: 图 2.4 系统登录界面 2.2.3 实时的动态检测 对来自网络内部和外部的数据流进行实时动态的监测,能够检测出包括端口扫描、碎片攻击、 DOS 攻击及缓冲区攻击等在内的 46 种攻击类型,共 1700 多种攻击模式。 分布式
13、入侵检测系统 9 图 2.5 系统所涉及的 46 种攻击类型 图 2.6 系统所涉及攻击模式 2.2.4 日志处理与事件监控能力 精确的记录系统日志,按照当前的日期、时间、攻击者、攻击对象、攻击方法等生成报告;能根据入侵检测传感器提供的日志进行多样查询,并能以各种图表的形式显示出来。 有三种日志模式: 分布式入侵检测系统 10 a. 总体分析 图 2.7 总体分析 b. 报表中心 主要根据最近的、今天的、最后 24 小时的、最后 72 小时的、经常发生的等条件,生成各种统计报表。例如“今天的警告信息”如图 2.8 所示: 图 2.8 警告信息 c. 图表中心 系统可以根据“时间”、“源 IP 地址”、“目的 IP 地址”、“源端口”、“目的端口”、“攻击种类”和“传感器”按指定的大小和形状以图表的形式显示所有的警告信息 执行“系统报告图表中心警告数据”将出现如图 2.9 所示界面:
