论文部分内容阅读
摘要: 主要阐述对等网的概念及其IDS的基本理论的历史、发展和主要种类。
关键词: 对等网;入侵检测;探讨
中图分类号:TB 文献标识码:A 文章编号:1671-7597(2011)0310009-01
1 对等网
P2P即Peer to Peer,称作对等网,随着近年来网络条件的优化,上网人数的增加,以及资源共享方式的增多,P2P已经是互联网中一个比较成熟的概念。非常著名的网络下载工具迅雷,利用的也是P2P的原理。P2P网络其主要优点是能够提高网络中单个节点的利用率,进而进一步提升设备、网络、服务和协同工作的效能。
P2P与传统的C/S的主要差别在于,每个单独的节点所扮演的角色可以是多重的,并不只限于单纯的服务器端或者节点端。每个节点既可以是命令方或者控制方,也可以是接受命令方或者是被控制端,并且在网络中的大多数节点是平等的,拥有同样的义务和权利。
P2P结构的主要优点:首先,在P2P网络中,整个系统和单个节点的效率相比于其他结构而言要更高,因为网络中空闲和零散的资源能够得到有效利用,任务能够被更平均和合理的方式分布。相比而言C/S结构纵使有大量的闲置资源,也无法有效的发挥作用。其次,随着网络中节点数目的增加,C/S模式下的服务器将负责越来越多的命令任务,当服务器负载过高时,容易形成整个网络的瓶颈,导致出现危机。而在P2P结构中,每个节点的接入和脱离,并不会对整个网络造成太大的影响,每个对等节点的进入,都能为网络提供一定的资源,理论上节点越多,网络性能和能力越优越。再次,传统C/S网络由于依靠中心服务器调度,其中转成本过高。而P2P网络中,服务器的作用很大程度上的被弱化了,在很多网络中服务器甚至被取消了,取而代之的添加一个网络内部的资源监控器来负责整个网内的资源情况。最后是P2P网络环境下的负载均衡。因为每个节点即能起到服务器,也能起到客户机的作用,且资源分布在多个节点,整个网络在运行任务时,尤其是可以分散运行的任务例如入侵检测时,具有很好的调节作用。
2 入侵检测系统
2.1 引入。入侵检测系统(IDS)是执行入侵检测工作的硬件或软件产品。IDS从多种计算机系统及网络中搜集信息,在从这些信息中分析入侵及误用特征;其中入侵由系统外部发起的攻击;误用是由系统内部发起的攻击。所有的IDS的本质都是基于分析一系列离散的、按先后顺序发生的事件,这些事件用于误用模式进行匹配,入侵检测源都是连接的记录,他们反映了特定的操作,间接反映了运转状态。IDS一般包括三部分:信息的搜集和预处理、入侵检测分析引擎以及响应和恢复系统。
2.2 IDS分类。按入侵检测的技术基础可分为两类:一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测
(Anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现,这有些类似杀毒软件的工作原理。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何精确定义所谓的“正常”情况。
往往两种检测方法所得出的结论会有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛、甚至未发觉的攻击。在条件允许的情况下,两种技术的结合可以提供更好的检测结果。
3 分布式入侵检测
分布式入侵检测系统可以被理解为是由分布在一个大型网络中的多个入侵检测系统所构成的有机系统,该系统中的ids通过彼此间的通信和协调来协同展开各种数据采集、分析和事件检测活动,共同实现对整个网络全面有效的监控。是现代入侵检测系统的主要发展方向之一,它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势,其设计模型也具有很大的灵活性。
国外一些研究机构已经开发出了应用于不同操作系统的几种典型的分布式入侵检测系统(D-IDS)。
主要的IDS生产商与产品有:国外Cisco公司的 NetRanger;Internet
Security System公司的Real Secure;国内的有紫光网络的UnisIDS;重庆爱思软件技术有限公司的ODD_NIDS;上海金诺网络安全技术发展股份有限公司的KIDS。下面简单介绍其中的一种。
Cisco公司的Net Ranger。Net Ranger产品分为两部分:监测网络包和发告警的传感器,以及接收并分析告警和启动对策的控制器。Net Ranger以其高性能而闻名,而且它还非常易于组合。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。Net Ranger的最大的特点在于其是针对企业而设计的。 Net Ranger在全球广域网上运行很成功。例如,它有一个路径备份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径上传过来。它还可以做到从一个点上监测全网或把监测权转给第三方。Net Ranger的另一个强项是其在检测问题时不仅观察单个包的内容,而且还根据上下文进行综合判断,即从多个包中得到线索。这是很重要的一点,因为入侵者可能以字符模式存取一个端口,然后在每个包中只放一个字符。如果一个监测器只观察单个包,它就永远不会发现完整的信息。可以说Net Ranger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。
但是,Net Ranger 的强项也可能正好是其不足。它被设计为集成在 Open View 或Net View下在网络运行中心(NOC)使用,并且在配置该系统时需要对UNIX有详细的了解。另外,Net Ranger相对较昂贵,这对于一般的局域网来讲未必很适合。
Network Associates公司的Cyber Cop Network Associates从Cisco
那里取得授权,将Net Ranger的引擎和攻击模式数据库用在Cyber Cop中,然后Cyber Cop被设计成一个网络应用程序,该程序在20分钟内就可以安装完毕。它预设了6种通常的配置模式,分别适用于WindowsNT和UNIX的混合子网、UNIX子网、NT子网、远程访问、前沿网和骨干网。不过与Net Ranger相比,Cyber Cop缺乏一些企业应用的特征,如路径备份功能等。
参考文献:
[1]邹宁,主动防御系统的研究和设计[D].山东大学,2008.6,5-15.
[2]黎利辉,入侵防御系统研究[J].计算机安全,2008.9,68-69.
关键词: 对等网;入侵检测;探讨
中图分类号:TB 文献标识码:A 文章编号:1671-7597(2011)0310009-01
1 对等网
P2P即Peer to Peer,称作对等网,随着近年来网络条件的优化,上网人数的增加,以及资源共享方式的增多,P2P已经是互联网中一个比较成熟的概念。非常著名的网络下载工具迅雷,利用的也是P2P的原理。P2P网络其主要优点是能够提高网络中单个节点的利用率,进而进一步提升设备、网络、服务和协同工作的效能。
P2P与传统的C/S的主要差别在于,每个单独的节点所扮演的角色可以是多重的,并不只限于单纯的服务器端或者节点端。每个节点既可以是命令方或者控制方,也可以是接受命令方或者是被控制端,并且在网络中的大多数节点是平等的,拥有同样的义务和权利。
P2P结构的主要优点:首先,在P2P网络中,整个系统和单个节点的效率相比于其他结构而言要更高,因为网络中空闲和零散的资源能够得到有效利用,任务能够被更平均和合理的方式分布。相比而言C/S结构纵使有大量的闲置资源,也无法有效的发挥作用。其次,随着网络中节点数目的增加,C/S模式下的服务器将负责越来越多的命令任务,当服务器负载过高时,容易形成整个网络的瓶颈,导致出现危机。而在P2P结构中,每个节点的接入和脱离,并不会对整个网络造成太大的影响,每个对等节点的进入,都能为网络提供一定的资源,理论上节点越多,网络性能和能力越优越。再次,传统C/S网络由于依靠中心服务器调度,其中转成本过高。而P2P网络中,服务器的作用很大程度上的被弱化了,在很多网络中服务器甚至被取消了,取而代之的添加一个网络内部的资源监控器来负责整个网内的资源情况。最后是P2P网络环境下的负载均衡。因为每个节点即能起到服务器,也能起到客户机的作用,且资源分布在多个节点,整个网络在运行任务时,尤其是可以分散运行的任务例如入侵检测时,具有很好的调节作用。
2 入侵检测系统
2.1 引入。入侵检测系统(IDS)是执行入侵检测工作的硬件或软件产品。IDS从多种计算机系统及网络中搜集信息,在从这些信息中分析入侵及误用特征;其中入侵由系统外部发起的攻击;误用是由系统内部发起的攻击。所有的IDS的本质都是基于分析一系列离散的、按先后顺序发生的事件,这些事件用于误用模式进行匹配,入侵检测源都是连接的记录,他们反映了特定的操作,间接反映了运转状态。IDS一般包括三部分:信息的搜集和预处理、入侵检测分析引擎以及响应和恢复系统。
2.2 IDS分类。按入侵检测的技术基础可分为两类:一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测
(Anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现,这有些类似杀毒软件的工作原理。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何精确定义所谓的“正常”情况。
往往两种检测方法所得出的结论会有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛、甚至未发觉的攻击。在条件允许的情况下,两种技术的结合可以提供更好的检测结果。
3 分布式入侵检测
分布式入侵检测系统可以被理解为是由分布在一个大型网络中的多个入侵检测系统所构成的有机系统,该系统中的ids通过彼此间的通信和协调来协同展开各种数据采集、分析和事件检测活动,共同实现对整个网络全面有效的监控。是现代入侵检测系统的主要发展方向之一,它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势,其设计模型也具有很大的灵活性。
国外一些研究机构已经开发出了应用于不同操作系统的几种典型的分布式入侵检测系统(D-IDS)。
主要的IDS生产商与产品有:国外Cisco公司的 NetRanger;Internet
Security System公司的Real Secure;国内的有紫光网络的UnisIDS;重庆爱思软件技术有限公司的ODD_NIDS;上海金诺网络安全技术发展股份有限公司的KIDS。下面简单介绍其中的一种。
Cisco公司的Net Ranger。Net Ranger产品分为两部分:监测网络包和发告警的传感器,以及接收并分析告警和启动对策的控制器。Net Ranger以其高性能而闻名,而且它还非常易于组合。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。Net Ranger的最大的特点在于其是针对企业而设计的。 Net Ranger在全球广域网上运行很成功。例如,它有一个路径备份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径上传过来。它还可以做到从一个点上监测全网或把监测权转给第三方。Net Ranger的另一个强项是其在检测问题时不仅观察单个包的内容,而且还根据上下文进行综合判断,即从多个包中得到线索。这是很重要的一点,因为入侵者可能以字符模式存取一个端口,然后在每个包中只放一个字符。如果一个监测器只观察单个包,它就永远不会发现完整的信息。可以说Net Ranger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。
但是,Net Ranger 的强项也可能正好是其不足。它被设计为集成在 Open View 或Net View下在网络运行中心(NOC)使用,并且在配置该系统时需要对UNIX有详细的了解。另外,Net Ranger相对较昂贵,这对于一般的局域网来讲未必很适合。
Network Associates公司的Cyber Cop Network Associates从Cisco
那里取得授权,将Net Ranger的引擎和攻击模式数据库用在Cyber Cop中,然后Cyber Cop被设计成一个网络应用程序,该程序在20分钟内就可以安装完毕。它预设了6种通常的配置模式,分别适用于WindowsNT和UNIX的混合子网、UNIX子网、NT子网、远程访问、前沿网和骨干网。不过与Net Ranger相比,Cyber Cop缺乏一些企业应用的特征,如路径备份功能等。
参考文献:
[1]邹宁,主动防御系统的研究和设计[D].山东大学,2008.6,5-15.
[2]黎利辉,入侵防御系统研究[J].计算机安全,2008.9,68-69.