Scorpio：遵循IDWG規(guī)范的分布式入侵檢測(cè)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、而在大規(guī)模網(wǎng)絡(luò)中,可能需要多個(gè)入侵檢測(cè)系統(tǒng)共同協(xié)作,以處理各種復(fù)雜的分布式攻擊,達(dá)到最佳的檢測(cè)效果.對(duì)于分布式入侵檢測(cè)系統(tǒng)而言,進(jìn)一步需要解決的關(guān)鍵問(wèn)題是檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息提取.入侵檢測(cè)的協(xié)同分析,主要就是指入侵檢測(cè)的數(shù)據(jù)交換格式和交換協(xié)議,這些主要是為了解決在安全實(shí)現(xiàn)在各個(gè)IDS實(shí)體之間的數(shù)據(jù)交換,從而達(dá)到協(xié)同分析的目的.現(xiàn)在多數(shù)系統(tǒng)都是封閉的,而且原始數(shù)據(jù)的來(lái)源單一,具有不同的用戶(hù)界面、通信機(jī)制與配置方法,無(wú)法實(shí)

2、現(xiàn)與其他系統(tǒng)的通信與協(xié)作.互聯(lián)網(wǎng)工程任務(wù)組(IETF)的入侵檢測(cè)工作組(IDWG)發(fā)起制訂的相關(guān)標(biāo)準(zhǔn)化建議草案,是從CIDF的基礎(chǔ)上發(fā)展起來(lái)并于2000年初正式頒布.IDWG的最終目的是創(chuàng)立一種包括數(shù)據(jù)交換格式和交換協(xié)議在內(nèi)的IETF標(biāo)準(zhǔn),以便不同類(lèi)型的入侵檢測(cè)系統(tǒng)或者不同的檢測(cè)組件之間能夠進(jìn)行互相通信.Scorpio多層架構(gòu)的分布式入侵檢測(cè)系統(tǒng),采用多層分析的方式來(lái)有效辨識(shí)入侵事件.用于采集并分析原始網(wǎng)絡(luò)、主機(jī)數(shù)據(jù)的傳感器分布在分布式

3、系統(tǒng)中的各個(gè)關(guān)鍵點(diǎn)處,負(fù)責(zé)及時(shí)獲取最新系統(tǒng)訊息.傳感器內(nèi)部處理模塊同時(shí)采用異常檢測(cè)和誤用檢測(cè)分析的方法分析數(shù)據(jù),發(fā)現(xiàn)網(wǎng)絡(luò)異常數(shù)據(jù)流量,并辨認(rèn)具有明顯特征的入侵事件.在整個(gè)系統(tǒng)架構(gòu)中引入事件收集器概念,接收各個(gè)傳感器生成的事件消息作為輸入信息,并在此基礎(chǔ)上進(jìn)一步分析各事件之間的內(nèi)在聯(lián)系以識(shí)別跨越多個(gè)傳感器范圍內(nèi)的分布式攻擊活動(dòng).為了遵循統(tǒng)一的國(guó)際標(biāo)準(zhǔn),使系統(tǒng)具有良好的可擴(kuò)展性,Scorpio系統(tǒng)的數(shù)據(jù)通信格式采用IDWG規(guī)定的IDMEF格