IDS數(shù)據(jù)的收集與過濾.pdf

1、該文分析了多種來源的、不同結構的數(shù)據(jù),將其總結成登錄信息、事件信息和網(wǎng)絡數(shù)據(jù)包信息三種類型,并為每種類型的數(shù)據(jù)設計了固定的格式;為了與將來可能出現(xiàn)的新型數(shù)據(jù)兼容,采用了配置文件與模式字符串相結合的方法,設計并實現(xiàn)了數(shù)據(jù)格式標準化算法;由于收集到的數(shù)據(jù)中存在冗余的信息和對入侵檢測影響不大的信息,該文分別討論了冗余數(shù)據(jù)辨別規(guī)則和安全數(shù)據(jù)辨別規(guī)則,并建立起數(shù)據(jù)過濾規(guī)則庫;數(shù)據(jù)收集系統(tǒng)采用分布式設計,收集器以黑盒形式提供,對新的數(shù)據(jù)源只需設計一

2、個新的模式字符串,即可得到過濾后的、具有標準格式的數(shù)據(jù),各收集器間獨立工作;在收集點即對數(shù)據(jù)進行過濾,只向分析中心報告可疑數(shù)據(jù),以減少傳輸和存儲的數(shù)據(jù)量,降低對網(wǎng)絡性能的影響.IDS數(shù)據(jù)收集系統(tǒng)是在Linux下利用C語言編寫完成的,對Linux的系統(tǒng)日志、Apache日志、網(wǎng)絡數(shù)據(jù)包進行收集并加以過濾,過濾后的數(shù)據(jù)傳給分析中心,存入MySQL數(shù)據(jù)庫中.目前的入侵檢測研究主要集中在分析哪些數(shù)據(jù)能揭露入侵行為,該文從減少數(shù)據(jù)量的角度對數(shù)據(jù)進

3、行分析,過濾掉冗余的和安全的數(shù)據(jù),只上報可疑的數(shù)據(jù),降低了網(wǎng)絡傳輸量.冗余規(guī)則有:1.某一用戶退出時間與下一次登錄時間間隔小于一分鐘,這兩條登錄記錄并為一條;2.從主機登錄的用戶登錄記錄有兩條,只保留一條;3.Messages中的登錄信息,略去.4.單位時間內(nèi)源IP:端口→目的IP:端口的相同協(xié)議的包,合并為一條記錄,保留時間范圍和包的數(shù)目.安全規(guī)則有:1.root用戶的所有活動記錄;2.指定用戶的特定活動;3.reboot事件;4.系