面向大规模网络的分布式入侵检测系统, 隶属“十五”211工程“CERNET高速地区网和重点学科信息服务体系建设项目”专题三“CERNET主干网运行安全基本保障系统”。该系统在每个CERNET主节点可实现对地区网接入路由器的入侵检测与报警以及对省网或校园网边界的入侵检测与报警;在CERNET国际/国内互联点也可实现入侵检测与报警。目前,全国共有28个主要节点正在使用该系统,已稳定运行四个月。
系统架构
分布式入侵检测系统采用了基于通用硬件平台的分布式体系结构,可通过单控制台、多检测器的方式对大规模网络的主干网信道进行入侵检测和宏观安全监测,具有良好的可扩展性和灵活的可配置性。其网络拓扑如图所示:
分布式入侵检测系统的拓扑图
主要功能
通过分布式入侵检测系统中报文检测模块、入侵检测模块、响应模块和管理模块的通力合作,系统能够提供两大主要功能:入侵检测功能、入侵事件冗余消除和响应功能。
入侵检测功能
本系统按攻击的时间和空间覆盖范围将检测分为三个层次:分别是SPA(Single Packet Analysis)单报文检测、CSA(Context Sensitive Analysis)多报文检测、SOA(Session Oriented Analysis)基于会话的检测。这三个层次的区别体现在对被检测攻击的时间与空间的约束不同以及检测的难度和强度不同。
单报文检测使用的是基于攻击特征串匹配的滥用检测模型,为了提高检测速度,采用多模式串匹配算法,根据情况选择调用。
多报文检测利用了部分攻击产生的报文集合存在某种统计分布这一特点,采用了基于异常的检测算法,能够较好地抗击DOS攻击、Scan攻击,并有一定程度的未知攻击检测能力。
面向会话的检测技术SOA的引入原因之一是入侵检测系统一般从信道上截获网络报文,而网络报文最终是由宿主机的协议栈进行解释以决定是否可用。目前IDS一般不做这样的分析,也就是说IDS和宿主机对报文的理解存在偏差。SOA试图解决上述问题,它通过重构客户端和服务器端的会话,缩短了IDS与端系统对报文理解的偏差。SOA的会话重构分界能力用于将网络上杂乱无序的报文重构为会话,并且将一个TCP会话通过句子分界,重构为多个客户端和服务器端之间交互的句子。句子是会话的基本单位,是SOA分析的最小粒度,也是客户端和服务器端之间通信的基本会话单元。SOA算法立足于句子,不仅仅分析单个句子,而且把句子放在会话的特定环境中,考察句子与句子之间、上下文之间的相关性。句子之间的相关性分析就是试图发现那些异常的句子和对话,从而发现网络攻击。总之,入侵检测模块从面向单个句子和面向会话环境两种不同的角度出发,最大程度地减少攻击者通过构造攻击序列对IDS产生的影响,提高检测精度。
入侵事件冗余消除以及响应功能
入侵检测输出的原始事件与发生的攻击并非一一对应,而是存在很多冗余事件,这会造成很多重复的不必要的响应,而且给管理员对安全事件的查询造成了很大困难。因此有必要在系统响应冗余的原始事件之前进行一次预处理,通过合并一次攻击产生的多个事件,使系统能够做出更准确的响应。
本系统所采用的冗余消除方法首先对冗余事件的关联特征进行系统的分析,包括攻击类型关联特征、空间关联特征、时间关联特征。对于空间关联特征,采取枚举的方法进行分析;对于时间关联特征,通过对大量的攻击实例进行分析,使用了相对均方差模型来刻画其特征。在提取这些关联特征的基础上,使用基于规则的方法描述每种可能的冗余情况,并采用了基于实时聚类的冗余消除算法,根据冗余消除规则集,实时接收安全事件进行冗余消除。
响应决策问题主要解决的是如何对发生的每个攻击做出合理、及时的响应。目前的自动入侵响应系统均采用传统的基于分类的响应决策模型。该模型的缺点在于没有统一的响应目标,并且响应政策对环境变化的适应性不理想。本系统采用了基于代价的最优响应决策模型,综合考虑攻击的危害和响应的付出,从而选择最优的响应方式。该模型涉及三种代价:攻击残留损失代价、响应操作代价、负面响应代价。系统量化了攻击残留损失代价,并将其它两种代价转换为攻击残留损失代价的计算,从而实现这三种类型代价的统一量化。该决策方法综合考虑了各种因素,能够对攻击的所有可行响应方式进行排序,并以系统期望总代价最小化为目标来选择最合理的响应方式,而且响应政策能够根据环境的变化灵活地进行调整,对响应方式也有着良好的可扩展性。
技术特色
与国内外同类技术比较,本系统使用DMA数据传输技术和PCI地址映射技术提高捕获速度,利用高速报文分类过滤算法来降低后续攻击检测压力,改进检测算法提高效率,能运行在独立的小型服务器上,较之国内外较为流行的并行集群的GIDS降低了硬件成本和维护的复杂度。目前系统的运行情况良好,表明系统具有很好的实用性和应用前景。
利用CERNET华东北地区网络中心课题组开发的NIDS评估工具AOLES系统对本系统评估的结果表明,系统能够稳定处理200kpps左右的网络流量(约合600M以上的实际流量)。即使在并发流数超过500k、会话到达率达到110k/sec的极限情况下系统仍然能够正常运作。在会话重组检测领域中,目前已知的测试报告没有更高的数据记录。
结束语
随着互联网逐渐成为我国重要的基础设施,网络安全对于我国信息化建设的影响也越来越大。网络攻击是危及网络安全的重要因素,也是许多其它信息安全威胁的前提,为企业网和校园网配置入侵检测系统往往是提高网络安全水平的重要手段,入侵检测使网络安全管理员能够对所管理网络的安全状况有比较清楚的了解,能够及时采取相应的响应措施来抵御和消除网络安全威胁,降低网络威胁对系统的危害及造成的损失。同时,本系统具有检测事件冗余消除和聚类分析功能,可以大大减少对无效事件的报告数量,提高警报的准确性,降低管理员的无谓劳动开销,提高对真实入侵和攻击事件的响应效率,因此系统的研制和推广应用具有很好的社会效益。
