| 网络系统结构的复杂化和大型化,带来许多新的入侵检测问题。
|
|
|
| (1)系统的漏洞分散在网络中的各个主机上,这些弱点有可能被攻击者一起用来攻击网络,仅依靠基于主机或网络的IDS不会发现入侵行为。
|
|
|
| (2)入侵行为不再是单一的行为,而是相互协作的入侵行为。
|
|
|
| (3)入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。如交换型网络使监听网络数据包受到限制。
|
|
|
| (4)网络传输速度加快,网络的流量增大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
|
|
|
| 面对这些新的入侵检测问题,分布式入侵检测系统应运而生,它可以跨越多个子网检测攻击行为,特别是大型网络。分布式入侵检测系统可以分成两种类型,即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。
|
|
|
|
|
| 基于主机检测的分布式入侵检测系统,简称为HDIDS,其结构分为两个部分:主机探测器和入侵管理控制器。HDIDS将主机探测器按层次、分区域地配置、管理,把它们集成为一个可用于监控、保护分布在网络区域中的主机系统。HDIDS用于保护网络的关键服务器或其他具有敏感信息的系统,利用主机的系统资源、系统调用、审计日志等信息,判断主机系统的运行是否遵循安全规则。在实际工作过程中,主机探测器多以安全代理(Agent)的形式直接安装在每个被保护的主机系统上,并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式,便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS的典型配置如下图所示。
|
|
|
|
|
|
|
|
|
| HDIDS只能保护主机的安全,而且要在每个受保护主机系统上配置一个主机的探测器,如果当网络中需要保护的主机系统比较多时,其安装配置的工作量非常大。此外,对于一些复杂攻击,主机探测器无能为力。因此,需要使用基于网络的分布式入侵检测系统,简称为NDIDS。NDIDS的结构分为两部分:网络探测器和管理控制器。网络探测器部署在重要的网络区域,如服务器所在的网段,用于收集网络通信数据和业务数据流,通过采用异常和误用两种方法对收集到的信息进行分析,若出现攻击或异常网络行为,就向管理控制器发送报警信息。网络入侵检测系统功能模块的分布式配置及管理如下图所示。
|
|
|
|
|
|
|
| NDIDS一般适用于大规模网络或者是地理区域分散的网络,采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。
|
|
|
| 综上所述,分布式IDS的系统结构能够将基于主机和网络的系统结构结合起来,检测所用到的数据源丰富,可以克服前两者的弱点。但是,由于是分布式的结构,所以也带来了新的弱点。例如,传输安全事件过程中增加了通信的安全问题处理,安全管理配置复杂度增加等。
|
|
|
