专利名称:一种分布式网络入侵检测系统的制作方法
技术领域:
本发明属于网络安全防护技术领域,具体涉及一种分布式网络入侵检测系统。
背景技术:
当今互联网的广泛应用极大的方便了人们的工作与生活,但网络所面临的安全威胁,也使人们的正常生活受到干扰,以往的网络安全防御措施主要是采用防火墙技术,但防火墙也有其自身的局限性,它不能检测出来自网络内部的攻击,所以入侵检测技术构成了继防火墙之后的又一道网络安全闸门。
现有的安全机制可通过访问控制使受保护的计算机和网络不被非法攻击和未经授权者使用,然而如果这些访问措施被泄漏或被绕过则一个滥用权力者将可能获得未经授权的访问,从而导致被攻击系统遭受巨大损失。因此,不能在所有情况下都依靠访问控制机制来防范入侵活动或来自内部的攻击行为,几乎所有的安全系统对内部人员的滥用权力行为都是脆弱的,并且审计记录痕迹几乎是检测授权用户的滥用行为的唯一手段。
入侵检测系统通过对计算机网络或计算机系统中的若干关键节点收集的信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,然后做出响应。网络入侵检测的核心部分是数据分析,它判断系统是否异常或遭到攻击。以往的入侵检测系统都是基于中心式的数据处理机制,由于网络规模小,通讯速度慢,因此可以做到信息的实时处理。随着高速网络的发展、网络范围的拓宽以及各种分布式网络技术的发展,分布式的攻击手段日益增多,现有简单的基于主机的或者基于网络的入侵检测手段对这些攻击方式的检测几乎无能为力,因此有必要把检测分析过程也设为分布式。分布式入侵检测系统的工作方式比较新,它检测的数据是来自网络中的数据包,采用分布式检测、集中管理的方法,检测其所在网段的数据流,根据安全管理中心制定的安全管理策略、响应规则等来分析检测网络数据,同时向安全管理中心发送安全事件信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测是继防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对外部攻击、内部攻击、误操作的实时保护。入侵检测系统根据网络数据包和协议分析来检测入侵活动。系统可以按照一定的规则从网络上获取与安全事件相关的数据包,然后传递给分析引擎模块进行安全分析判断,入侵分析引擎模块将根据接收到的数据包,并结合网络安全数据库进行分析,将分析结果传递给管理/配置模块,管理配置模块的主要功能是管理其它各模块的配置工作,并将分析引擎的结果以有效的方式通知网络管理员。
入侵检测核心技术至今已经历三代第一代技术是主机日志分析、模式匹配;第二代技术出现在上世纪90年代中期,技术突破包括网络数据包截获、主机网络数据和审计数据分析、基于网络的入侵检测系统和基于主机的入侵检测系统的明确分工和合作;第三代技术出现在2000年前后,代表性的突破有协议分析、行为异常分析。协议分析的出现极大减少了计算量,减少了误报率。行为异常分析技术的出现则赋予了第三代入侵检测系统识别未知攻击的能力。
目前,国际顶尖的入侵检测系统主要以模式发现技术为主。1991年,加州大学戴维斯分校的研究人员就提出了分布式入侵检测系统的概念,给出了一种分布式入侵检测系统的体系结构。该种体系结构将以往基于主机和基于网络的入侵检测系统结合起来。
发明内容
本发明目的是提供一种分布式网络入侵检测系统,该系统为中心式体系架构,可以检测大规模网络入侵,并具有良好的分布性和可扩展性。
本发明所采用的技术方案如下一种分布式网络入侵检测系统,该系统采用分层结构,分为数据采集层、通信层、通信层、控制层四层;所述数据采集层由数据采集器构成,主要负责截获本网断中的数据包,并根据数据包的不同类型做不同的格式化处理;所述通信层由通信装置构成,主要负责在IDS系统内部或IDS系统之间传送控制信息或数据信息,是各个部件之间通信的桥梁;所述分析层主要由分析引擎、日志集和存储器构成,主要负责对网络数据包的入侵判断,然后根据需要将分析结果写入日志集;所述控制层由控制中心构成,负责管理和配置系统中的各个部件,也可以启动或停止某部件的运行。
所述分析引擎是用来判断是否发生入侵的大脑中枢,存储器中保存着各种入侵方式的特征库,分析引擎在进行特征匹配的时候需要调用特征库中的信息来进行比较。
所述数据采集器负责截获网络中的原始数据包,将收集到的信息传给分析引擎进行安全判断,能够从收集到的信息中发掘出可能的入侵或其它敏感信息,然后将数据包中的数据传递给分析引擎做二次处理;通过分析以太包头、TCP、UDP、和IP包头中的信息,选出用户感兴趣的数据包,然后进行相应的应用层协议级的数据解释,把原始数据转化为相应格式化的事件,通过通信部件传给分析引擎做进一步分析;如果在解释过程中发现有分段报文,则将它们交给报文重组器进行处理,各个数据采集器之间也可以通过通信部件相互交换信息,当某个数据采集器某个活动可疑时则通知其它数据采集器,后续数据采集器分析后,也可以向相邻的数据采集器发送可疑通知,最终在可信级别上超过设定的阈值时,向主控制系统和响应系统发出报警;如果某个数据采集器收到可疑通知后,将提升可疑级别,如果没有收到可疑通知,将逐渐恢复到正常状态。
所述数据采集器中包括事件产生器,所述事件产生器对收集到的数据进行初步分析和过滤,可以减少需要系统处理的数据量,提高系统的处理速度。
所述通信装置负责在不同的入侵检测单元之间交换各自所需的信息或在不同的IDS之间交换各自相关信息,通信装置通过SOCKET机制来完成与其它部件进行交换信息的功能,同时,通信部件通过交换信息,把检测入侵的任务合理地分担给各个检测单元,提升了整个IDS的运行效率。
所述分析引擎是整个入侵检测系统的大脑,对捕获的原始数据、系统信息、其它入侵检测系统提供的可疑信息进行统一分析和处理,分析引擎具有预处理、分类和后处理的功能,所述分析引擎的构造方法是首先要收集事件信息,在接收到从数据采集器传来的格式化事件信息后,通过入侵检测方法来判定入侵是否发生,由于分析引擎和存储系统是利用统一的接口交换数据,所以一个IDS中可能有多个分析引擎,每个分析引擎采用的检测方法也不一定相同,即使是同一个分析引擎中也可以同时使用几种检测方法,对相同的数据采用不同的检测方法进行分析,然后对各自的检测结果进行比较,可以提高检测的准确度。
所述日志集负责记录系统发生过的事情,把用户所感兴趣的事件都记录下来,这将有利于用户对入侵事件做进一步的调查和分析,一方面可以分析入侵者所采取的入侵技术,另一方面也可以掌握入侵者的行为踪迹。
所述响应系统负责接收分析引擎发来的入侵报警信息,然后采取相应的措施阻止入侵者继续进行入侵活动。
所述控制中心是IDS与用户交互的接口,通过它管理员可以管理和配置系统中的各个部件,查询IDS中各部件的运行情况。
本发明系统的特点如下1.它具有一个统一完整的架构,使得整个系统具有模块化、分层处理、便于合并的特点。我们将系统模块化后可以容易的对系统进行添加或删除某个部件,同时也便于部件的重复使用,从而增强了系统的扩展能力。同时也加强对系统的整体把握能力;再者,我们借鉴TCP/IP协议的分层处理的方式,建立一些中间层,使得上、下层的相互调用透明化;最后我们尽量使各模块可以方便的进行合并起来组成一个工程。这就对各个模块的独立性要求较高。
2.采用中心式体系架构,以利于检测大规模网络入侵。而对于中心式体系结构可能带来的缺点,则采用主从结构来解决这个问题。控制系统对每一个部件能够精确的控制。每个部件在系统中是一个独立的实体。部件管理还包括部件的添加、删除以及启动、停止某个部件等。控制系统给用户提供了一个关于整个系统运行状况的视图,以及进行控制查询日志的功能。分析引擎在被监测的主机上负责入侵事件的分析,并把消息发送给自己的上级控制系统。整个入侵检测系统由一个中央控制系统统一控制。所有的信息经中央控制系统处理判断后,根据情况产生不同报警信息,如果中央控制系统瘫痪,从控制系统可以担当起中央控制系统的重任,这样不仅可以保证整个IDS系统的正常运作,也可以提高系统自身的安全性。
3.设计分析引擎体系结构时充分考虑了系统的开放性可以向系统中添加任何一种分析方法,也可以把多种分析方法同时运用到系统中。分析引擎和存储系统是利用统一的接口交换数据,所以IDS中可能有多个分析引擎,每个分析引擎采用的检测方法也不一定相同,即使是同一个分析引擎中,也可以同时使用几种检测方法,对相同的数据采用不同的检测方法进行分析,然后对各自的检测结果进行比较,可以提高检测准确度。动态添加数据分析功能是通过添加新的数据分析函数来实现的。对于已经有的分析方法,可以在入侵特征数据库中添加新的入侵特征,以争强现有模式匹配分析方法的检测能力。
图1是本发明系统的结构示意图;图2是系统的层次结构图;图3是系统的运行流程图;图4是主从控制结构系统流程图。
具体实施例方式
下面结合附图和实施例对本发明作进一步说明。
如图1、2所示,在系统总体结构方面,本专利参考TCP/IP协议中所采用的分层机制,将系统分为以下四个层次。分层结构易于管理。系统管理员在任何时候若要对入侵检测系统进行管理,只需在一台机器上进行,各层次为1)数据采集层数据采集层由数据采集器1构成。它主要负责截获本网断中的数据包,并根据数据包的不同类型做不同的格式化处理。
2)通信层通信层由通信装置2构成。主要负责在IDS系统内部或IDS系统之间传送控制信息或数据信息,是各个部件之间通信的桥梁。
3)分析层分析层主要由分析引擎5、日志集3和存储器4构成。它主要负责对网络数据包的入侵判断,然后根据需要将分析结果写入日志集3。分析引擎5是判断是否发生入侵的大脑中枢,存储器4中保存着各种入侵方式的特征库,分析引擎5在进行特征匹配的时候需要调用特征库中的信息来进行比较。
4)控制层控制层由控制中心7构成。管理和配置系统中的各个部件,也可以启动或停止某部件的运行。
数据采集器1负责截获网络中的原始数据包,将收集到的信息传给分析引擎进行安全判断。数据采集器1能够从收集到的信息中发掘出可能的入侵或其它敏感信息,然后将数据包中的数据传递给分析引擎做二次处理。事件产生器是数据采集器中的重要组件,它对收集到的数据进行初步分析和过滤,减少了需要系统处理的数据量,提高了系统的处理速度。通过分析以太包头、TCP、UDP、和IP包头中的信息,选出用户感兴趣的数据包,然后进行相应的应用层协议级的数据解释,把原始数据转化为相应格式化的事件,通过通信部件传给分析引擎做进一步分析。如果在解释过程中发现有分段报文,则将它们交给报文重组器进行处理。各个数据采集器之间也可以通过通信部件相互交换信息。当某个数据采集器某个活动可疑时则通知其它数据采集器,后续数据采集器分析后,也可以向相邻的数据采集器发送可疑通知,最终在可信级别上超过设定的阈值时,向主控制系统和响应系统发出报警。如果某个数据采集器收到可疑通知后,将提升可疑级别,如果没有收到可疑通知,将逐渐恢复到正常状态。
通信装置2负责在不同的入侵检测单元之间交换各自所需的信息或在不同的IDS之间交换各自相关信息。通信装置2通过SOCKET机制来完成与其它部件进行交换信息的功能。同时,通信装置2通过交换信息,把检测入侵的任务合理地分担给各个检测单元,提升了整个IDS的运行效率。分析引擎是整个入侵检测系统的大脑。对捕获的原始数据、系统信息、其它入侵检测系统提供的可疑信息进行统一分析和处理。
日志集3负责记录系统发生过的事情,把用户所感兴趣的事件都记录下来,这将有利于用户对入侵事件做进一步的调查和分析,一方面可以分析入侵者所采取的入侵技术,另一方面也可以掌握入侵者的行为踪迹。
存储器4为各部件提供其所需的数据。其中的规则库记录着丰富的入侵特征,这是分析引擎进行判断的重要依据。
分析引擎5具有预处理、分类和后处理的功能。构造分析引擎6首先要收集事件信息,在接收到从数据采集器1传来的格式化事件信息后,通过入侵检测方法来判定入侵是否发生。由于分析引擎6和存储器4是利用统一的接口交换数据,所以一个IDS中可能有多个分析引擎,每个分析引擎采用的检测方法也不一定相同,即使是同一个分析引擎中也可以同时使用几种检测方法,对相同的数据采用不同的检测方法进行分析,然后对各自的检测结果进行比较,可以提高检测的准确度。
响应器6负责接收分析引擎发来的入侵报警信息,然后采取相应的措施阻止入侵者继续进行入侵活动。
控制中心7是IDS与用户交互的接口,通过它管理员可以管理和配置系统中的各个部件,查询IDS中各部件的运行情况。
本系统采用多线程处理方式,在主线程上运行数据采集器目的是为了提高分析引擎的速度,它采用了多个匹配线程同时进行不同的匹配处理如果有控制信息产生,则有一个独立的控制线程来负责控制功能,系统运行流程如图3所示。首先,IDS系统进行一些必要的初始化配置,接着将规则库中的逻辑链表调入内存,然后判断是否有控制信息,如果有则对控制信息进行相应的控制信息处理,否则进行网络包捕获,紧接着判断捕获到的网络包包头是否合法,如不合法则回到上一个判断看是否有控制信息,否则对合法的数据包进行格式化处理以及与规则库里的规则进行匹配,如果与规则链表不匹配,则同样返回到控制信息判断,否则对匹配的数据包进行相应的处理以及将相关的规则写进日志集。
图4是本发明的一个应用实例,控制系统采用主/从结构是本专利的又一特色之处。整个IDS系统由一个中央控制器系统统一控制。所有的信息经中央控制系统处理判断后,根据情况产生不同报警信息。如果中央控制系统瘫痪,从控制系统可以担当起中央控制系统的重任,这样不仅可以保证整个IDS系统的正常运作,也可以提高系统自身的安全性能,其运行流程如图4所示。控制系统运行流程为首先,中央控制系统会将从控制系统的信息传给区域内所有下级部件。然后,下级部件与中央控制系统进行正常的通讯。当中央控制系统出现问题时,它将发送转交信号给所有的下级部件,下级部件接收到信号后先切断与中央控制系统的连接,然后再与从控制系统建立新的连接。建立连接之后,从控制系统将取代中央控制系统的地位来控制整个系统的运行。中央控制系统在给区域内所有部件发转交信号的同时,将会和从控制系统进行通信,把一些状态信息发送给从控制系统,当中央控制系统恢复工作时,其工作过程与上述过程相反。
权利要求
1.一种分布式网络入侵检测系统,该系统采用分层结构,其特征是该系统分为数据采集层、通信层、通信层、控制层四层;所述数据采集层由数据采集器构成,主要负责截获本网断中的数据包,并根据数据包的不同类型做不同的格式化处理;所述通信层由通信装置构成,主要负责在IDS系统内部或IDS系统之间传送控制信息或数据信息,是各个部件之间通信的桥梁;所述分析层主要由分析引擎、日志集和存储器构成,主要负责对网络数据包的入侵判断,然后根据需要将分析结果写入日志集;所述控制层由控制中心构成,负责管理和配置系统中的各个部件,也可以启动或停止某部件的运行。
2.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述分析引擎是用来判断是否发生入侵的大脑中枢,存储器中保存着各种入侵方式的特征库,分析引擎在进行特征匹配的时候需要调用特征库中的信息来进行比较。
3.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述数据采集器负责截获网络中的原始数据包,将收集到的信息传给分析引擎进行安全判断,能够从收集到的信息中发掘出可能的入侵或其它敏感信息,然后将数据包中的数据传递给分析引擎做二次处理;通过分析以太包头、TCP、UDP、和IP包头中的信息,选出用户感兴趣的数据包,然后进行相应的应用层协议级的数据解释,把原始数据转化为相应格式化的事件,通过通信部件传给分析引擎做进一步分析;如果在解释过程中发现有分段报文,则将它们交给报文重组器进行处理,各个数据采集器之间也可以通过通信部件相互交换信息,当某个数据采集器某个活动可疑时则通知其它数据采集器,后续数据采集器分析后,也可以向相邻的数据采集器发送可疑通知,最终在可信级别上超过设定的阈值时,向主控制系统和响应系统发出报警;如果某个数据采集器收到可疑通知后,将提升可疑级别,如果没有收到可疑通知,将逐渐恢复到正常状态。
4.根据权利要求3所述的分布式网络入侵检测系统,其特征是所述数据采集器中包括事件产生器,所述事件产生器对收集到的数据进行初步分析和过滤,可以减少需要系统处理的数据量,提高系统的处理速度。
5.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述通信装置负责在不同的入侵检测单元之间交换各自所需的信息或在不同的IDS之间交换各自相关信息,通信装置通过SOCKET机制来完成与其它部件进行交换信息的功能,同时,通信部件通过交换信息,把检测入侵的任务合理地分担给各个检测单元,提升了整个IDS的运行效率。
6.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述分析引擎是整个入侵检测系统的大脑,对捕获的原始数据、系统信息、其它入侵检测系统提供的可疑信息进行统一分析和处理,分析引擎具有预处理、分类和后处理的功能,所述分析引擎的构造方法是首先要收集事件信息,在接收到从数据采集器传来的格式化事件信息后,通过入侵检测方法来判定入侵是否发生,由于分析引擎和存储系统是利用统一的接口交换数据,所以一个IDS中可能有多个分析引擎,每个分析引擎采用的检测方法也不一定相同,即使是同一个分析引擎中也可以同时使用几种检测方法,对相同的数据采用不同的检测方法进行分析,然后对各自的检测结果进行比较,可以提高检测的准确度。
7.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述日志集负责记录系统发生过的事情,把用户所感兴趣的事件都记录下来,这将有利于用户对入侵事件做进一步的调查和分析,一方面可以分析入侵者所采取的入侵技术,另一方面也可以掌握入侵者的行为踪迹。
8.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述响应系统负责接收分析引擎发来的入侵报警信息,然后采取相应的措施阻止入侵者继续进行入侵活动。
9.根据权利要求1所述的分布式网络入侵检测系统,其特征是所述控制中心是IDS与用户交互的接口,通过它管理员可以管理和配置系统中的各个部件,查询IDS中各部件的运行情况。
全文摘要
本发明公开一种分布式网络入侵检测系统。该系统采用分层结构,分为数据采集层、通信层、通信层、控制层四层;数据采集层由数据采集器构成,主要负责截获本网断中的数据包,并根据数据包的不同类型做不同的格式化处理;通信层由通信装置构成,主要负责在IDS系统内部或IDS系统之间传送控制信息或数据信息,是各个部件之间通信的桥梁;分析层主要由分析引擎、日志集和存储器构成,主要负责对网络数据包的入侵判断,然后根据需要将分析结果写入日志集;控制层由控制中心构成,负责管理和配置系统中的各个部件,也可以启动或停止某部件的运行。该系统采用中心式体系架构,可以检测大规模网络入侵,并具有良好的分布性和可扩展性。
文档编号H04L12/26GK1949720SQ20061003759
公开日2007年4月18日 申请日期2006年9月8日 优先权日2006年9月8日
发明者彭斌斌, 罗笑南 申请人:中山大学