浅谈分布式入侵检测系统模型设计网络毕(2)
2014-05-04 01:04
导读:4.1探测代理 探测代理主要的功能是从网络捕获原始数据,然后利用一定的探测模型对数据进行分析,将感兴趣的数据按照一定的格式存入数据存储设备中。与
4.1探测代理
探测代理主要的功能是从网络捕获原始数据,然后利用一定的探测模型对数据进行分析,将感兴趣的数据按照一定的格式存入数据存储设备中。与系统控制中心通信协商,将系统控制决策中心请求的数据按照一定的传输格式传送出去。
要完成上面的功能,探测代理需要4个层次的模块共同协作才能完成。这4个模块根据数据传输的顺序分别为:采集模块、分析模块、报告产生器、通信接口。
采集模块直接从网络上捕获原始数据。为了使代理能够对多个操作系统提供支持,这里的捕获过程使用一个通用的数据包捕获库(libpcap库),这个库使用BSD的bpf思想。采集模块向分析模块提供格式化的数据包信息。
当分析模块收到格式化的数据包信息后,启动相应的入侵检测模型过程,对数据进行处理。这里的入侵检测模型有2种:一种是异常检测模型,另一种是入侵检测模型。
(1)对于异常检测模型,入侵检测过程会根据代理功能的不同,进行不同级别的检查。我们的模型会进行2个级别的检查。一个是基于包头的检查,即对链路层包头、IP层包头、TCP层包头进行检查分析,将异常存入数据存储设备。另外一个级别的检查是基于报文内容的检查,入侵检测过程将异常信息进行记录。这2个级别的探测分别被称为系统级探测和应用级探测。
(2)对于入侵检测模型,入侵检测过程将格式化的信息与已知的攻击模型的特征进行比对。如果格式化信息与攻击模式的特征完全一样,则可以认定是一种攻击,将这种攻击的信息一方面进行存储,一方面向系统控制决策中心进行报告,请求控制决策中心对攻击进行处理。
报告产生器是根据系统控制决策中心的请求,从数据存储设备中提取请求信息。这些信息构成一张异常或者攻击视图,它是存储信息的子集合。
(科教范文网http://fw.ΝsΕΑc.com编辑)
4.2系统控制决策中心
系统控制决策中心接收用户请求,产生数据请求,然后将数据请求发送给特定的入侵检测代理,等待接收响应信息,最后将响应信息加工成用户视图。如果用户认定某些行为属于攻击行为,就向探测策略执行代理发出请求,阻止或者限制攻击行为的进一步发展。
(1)用户接口,即给用户提供操作界面。用户通过这个界面完成系统控制和数据请求功能。用户接口将用户请求翻译成系统请求,然后交给下层模块进行处理。
(2)控制和管理,即依据系统请求的类别,构造协议数据传输单元,然后递交给下层协议通信接口,请求发送。
(3)协议通信接口,即识别代理发出的协议数据,对协议数据进行处理;同时将系统控制决策中心的用户意图发送给各个代理,完成管理和控制功能。
4.3探测策略执行代理
探测策略执行代理的主要功能是根据系统控制决策中心的要求对攻击者的攻击行为进行控制,这里控制包括监控、限制访问权限、取消访问权限等。探测策略执行代理主要由2部分构成:通信接口和控制执行,但是还有一个小的配置模块辅助它们完成各自的功能。
配置模块帮助代理建立一个与控制系统无关的控制接口。因为目前最常用的网络控制系统是防火墙系统,大部分的防火墙系统都给出系统的命令接口。基于这一点,我们在设计通用控制接口时,自己定义一组功能完备的控制功能集合,然后建立一种从代理系统功能集合向具体防火墙系统命令集合的映射。
探测策略执行代理的通信接口和前面几个部分的通信模块的功能是一样的。控制执行是这种代理的核心部分。它根据通信接口送来的协议数据,分析系统控制和决策中心的意图。然后根据代理配置时建立起来的控制系统映射关系,构造与具体控制系统相关的控制规则。
