一种分布式IDS报警聚合模型的设计与实现.doc
《一种分布式IDS报警聚合模型的设计与实现.doc》由会员分享,可在线阅读,更多相关《一种分布式IDS报警聚合模型的设计与实现.doc(16页珍藏版)》请在三一文库上搜索。
1、一种分布式报警聚合模型的设计与实现Design and implementation of distributed IDS alert aggregation model GUO Fan,YE Jihua,YU Min (College of Computer Information Engineering, Jiangxi Normal University, Nanchang 330022, China) Abstract:The article proposed a distributed alert aggregation model, composed of local compon
2、ent and network component. Local components transform raw alerts originating from traditional IDS to IDMEFbased alerts with uniform format, which were sent to network components. Network components aggregate similar alerts into a metaalert, using an aggregation algorithm based on feature similarity
3、computation. Multiple kinds of messages were proposed to meet the demands of the communication between the components and realized information share in the whole network. Its economical to construct a distributed IDS under the model. Key words:alert; aggregation; similarity 随着网络的普及,入侵监测系统(intrusion
4、detection systems,IDS)作为网络安全系统的一个重要组成部分,受到越来越多的人关注。IDS被认为是防火墙之后的第二道闸门,希望在无法完全阻止入侵时,能尽快实时检测出入侵,以便及时作出响应。传统的集中式IDS根据数据来源的不同分为基于主机和基于网络的IDS,如著名的免费软件Snort1等。但是随着网络攻击手段向分布式和协同方向发展,难以发现这些复杂的分布式协同攻击,分布式IDS可以发现整个网络范围内的入侵,因此成为目前的研究热点。 一次分布式协作攻击可能会引起多个采集单元同时产生报警(重复报警),大量的重复报警可能会湮没真正有用的信息。另外,不同采集单元的报警格式可能也并不相同
5、。报警聚合的目的是将这些重复报警聚合成为一条超报警,从而减少报警的数量,使得安全管理员可以关注真正的安全威胁。所有的分布式IDS基本上遵循一个基本标准,即公共入侵检测框架模型2(common intrusion detection framework,CIDF),将IDS分为四个基本组件,即事件产生器(数据采集单元)、事件分析器(数据分析单元)、响应单元以及事件数据库。本文提出一种分布式IDS报警聚合模型,该模型将传统IDS看做是采集单元,通过增加格式转换模块,将上报的报警转换为基于IDMEF(intrusion detection message exchange format)模型的统一报
6、警信息格式,该格式对模型中的alert类扩展而成。数据分析单元采用基于分类和属性相似度的报警聚合方法对各IDS上报的IDMEF信息汇聚。本文还设计了多种消息内容用于满足模型中采集单元和分析单元的通信需求。使用该模型能较为迅速并经济地搭建一个性能良好的分布式IDS系统。 1 相关工作 本文引用穆成坡等人3提出的一些术语,报警聚合指将由同一安全事件产生的大量性质相同或者相近的报警合并成一个报警。原始报警指直接由IDS产生没有经过处理的报警。超报警指综合多个原始报警所产生的报警。报警聚合可有效减少报警数量,使得攻击事件可以清晰呈现。报警聚合可认为是报警关联的一个预处理过程。 基于分层的分布式IDS体
7、系结构最早由EMERALD4系统提出,整个系统物理上分为三层,每层可接受更高一层的管理和控制。AAFID5也对网络分层,但是其基于自治代理的分布式IDS框架分别定义了三个重要的部件,即代理(agent)、收发器(transceiver)和监视器(monitor)。每台主机上的惟一收发器负责监督和控制该主机上所有的代理,对代理上报的分析结果和报警信息进行关联和汇聚,向一个或多个监视器报告结果以避免由于单个监视器故障导致的单点失效,监视器负责检测整个网络范围的入侵。AAFID和EMERALD这两种系统的数据采集单元采用软件代理的思想,每个代理对应某类行为的检测,即使某个代理不工作,那么也仅仅是损失
8、了一部分功能而已,可以认为是微模式。马恒太等人6提出了一种基于agent的分布式IDS框架,它与AAFID不同在于没有中央控制节点,实现了数据收集、入侵检测以及实时响应的分布化。由于该模型没有信息融合汇聚点,很难检测出攻击者的分布式协同攻击。 本文提出的分布式报警聚合架构是一种巨模式,即充分利用基于网络的传统集中式IDS(它们已经能比较好地检测出中小型网络的入侵行为),通过对它们产生的报警信息进行关联和汇聚并及时传播给网络中相关节点。在分析单元部分依据AAFID的思想采用自治代理汇聚节点的模式作为关联和汇聚组件。一种自治代理负责处理一种集中式IDS的数据关联和汇聚(相当于该IDS的后台),不能
9、处理的数据发给汇聚节点进一步分析,处理后的数据也通过汇聚节点传播到其他汇聚点。一个汇聚节点管理多个自治代理,通过一个子网内放置若干不同集中式IDS做数据采集单元可以综合各个IDS的优点。汇聚节点之间的信息传播使用基于订阅的方式来减少通信负载。分析单元采用自治代理的好处在于可以比较方便地与底层各种集中式IDS进行接口,同时可以将通信功能与分析功能逻辑上分离开来,具有很强的自适应性和灵活性,同时具备AAFID5提到的其他优点。 报警聚合算法用于比较不同报警信息的部分属性值,将具有相似属性的报警组合为一条超报警。Valdes等人7提出了报警聚合需要比较的通用报警属性为源IP和端口,目标IP和端口,以
10、及报警时间等,它将每类属性的比较结果赋予01的一个小数,属性值的比较依赖预定义的配置。通过为每类属性赋予不同权重并结合属性相似度值,最终判断两个报警是否可聚合。其主要贡献在于提出了一种报警聚合算法框架,但并未就具体的属性比较和权重赋值展开讨论。Debar等人8提出的ACC算法中包含了属性相似度的计算,但是其仅考虑完全匹配的属性,也没有考虑时间属性,因此其聚合算法很不完善。Aurel等人9在MIRADOR项目中提出的CRIM框架中包含了报警聚合算法,提出的属性分类法可对各属性进行分类,并将所有属性值分为四大类,但是并未对每类属性的具体计算方法进行深入讨论。穆成坡等人10提出一种基于模糊综合评判的
11、方法,该方法实际也是基于文献7提出的框架,但是在最终判决时引入了模糊矩阵,并且将从事件中提取的特征也作为待比较的属性之一,实验结果较好,但是实验模型中计算的属性仅包括报警时间和源IP。Oliver等人11提出基于攻击者的攻击意图来对报警进行分类,在此基础上进行报警聚合与关联,从而可最终发现攻击者的攻击意图乃至各种分布式协同攻击。本文综合文献7,9,11的思想,设计并实现了一种基于分类和相似度的报警聚合算法,并在DARPA99数据集上获得了较好的实验结果。 2 模型体系结构 整个系统可以划分为两大组件,即本地组件和网络组件(汇聚节点),如图1所示。本地组件包括:a)传统IDS指已经存在的基于网络
12、的IDS如Snort,网络组件可管辖多个不同传统IDS,因为各个IDS的检测能力以及偏重方向不同,有的入侵可能Snort检测不出来,其他IDS却能检测出来,所以在单个网络组件管辖的网络内放置多个不同IDS将综合各IDS的优点,获得最大的性能;b) 后台转换模块负责将报警信息转换为标准的IDMEF格式信息,每种IDS均有自己的后台转换模块;c) 本地聚合模块负责对单一IDS上报的报警进行聚合,因为基于网络的IDS可能有大量的伪报警和重复报警,在上报至网络组件之前在本地先作预处理,可以提高网络组件的性能,使其专注于发现网络上的协同攻击,而简单的攻击检测就尽量放到本地完成;d)响应模块接收网络组件发
13、来的响应动作命令,可修改目标主机的配置,对攻击作出及时响应;e)通信模块主要完成与网络组件的信息交换,包括控制命令和报警信息。 网络组件主要包括:a) 聚合模块从通信模块中得到经过预处理的超报警信息,应用基于分类和属性相似度的报警聚合方法,检测其所管辖范围内的网络入侵行为,将得到的检测结果以及产生的响应动作传递给本地组件或其他网络; b)通信模块不仅与本地组件进行通信,还与其他网络组件进行信息共享;c) 响应模块根据报警分析结果,作出整个网络范围内的相应决策。 图1中有一虚线框起来的备份单元,该单元与网络组件的模块相同,即作为汇聚节点信息的冗余备份,避免单点失效,实时备份汇聚节点的所有需要存储
14、的信息,一旦汇聚节点因物理故障或安全问题导致崩溃,则备份单元将成为新的汇聚节点,管理所有本地组件并与其他汇聚点通信,增加了整个分布式系统的可靠性和健壮性。 21 通信模块 本模型通信的需求主要体现在报警信息、响应动作、配置命令的传播上。在汇聚点通信agent中采用基于订阅(subscription)模式的通信模型来完成多个agent的通信和协作,使用事件管理服务模块(EMS)来实现基于订阅的通信方式。在这种模式中,事件管理服务模块相当于消息的发送方,而订阅者(subscriber) 相当于接收方,在该模型中提供了一个事件管理服务(event manage service,EMS)。 订阅者将感
15、兴趣的事件向EMS 申请注册,EMS 用一张注册/订阅信息表专门维护这些订阅的事件信息。EMS 在注册信息表中查找对该信息感兴趣的订阅者,然后将消息发送给它们。图2描述了该通信模式的逻辑结构。 通信agent中的消息发布采用多播方式,对所有注册/订阅同一事件,通知每一位subscriber。事件服务模块(EMS)是不同agent间通信和协作的基础。由于网络agent接收不同本地agent的消息,同时又要与汇聚点agent相互协调,事件的注册和发布需要遵循一定的协议来满足通用性要求。EMS需要处理以下五种消息:a)注册/注销。Subscriber 需要提供自己的IP 和注册/注销的事件。EMS收
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一种 分布式 IDS 报警 聚合 模型 设计 实现
链接地址:https://www.31doc.com/p-1591960.html