一、引 言
随着网络技术的不断发展,黑客攻击的目标已不仅仅是一些安全性很高的计算机网络系统,而逐渐转向包括家庭计算机在内的所有联网的计算机系统。这些攻击拥有手段复杂化、规模化、组织化、系统化等特点,意味着对目标网络或目标主机所造成的破坏是灾难性的。在黑客攻击破坏性大大增加的前提下,人们不仅需要对系统中的所有入侵行为进行检测与报警,更需要对系统中可能发生的入侵行为实现预警及预测。目前,人们只在IDS体系结构、入侵技术和网络安全策略等方面展开了研究,而相应有关预警技术的研究则较少。
自1997年以来,美、英等国一直在进行网络安全预警技术的研究,1998年,美国针对信息基础设施提出了分三个阶段、长达15年的实现预警系统的计划。我国目前还只具备适用于局域网的预警系统,还没有适用于大规模分布式网络的预警系统。为保障我国的信息系统安全,开展网络入侵检测与预警系统的研究十分必要,它是有效抵御敌方的信息攻击,维护自身网络体系的正常运作,并进行追踪和反击所必不可少的工具,对于提高网络系统的应急能力、缓解网络攻击所造成的危害、提高系统反击能力等均具有重要的意义。
二、系统总体结构
面向大规模分布式计算机网络的入侵检测与预警系统的总体结构如图1所示:它通过总预警中心和区域预警中心的联合,建成一个可靠的、快速的、对广阔领域的威胁产生预警的系统。预警过程是基于收集和分析从开放信息资源而获得的数据来判断是否有大规模的攻击倾向和潜在的威胁。
入侵检测代理广泛分布在计算机网络的各个不同的网段中,进行数据采集与入侵检测,将经过预处理的数据向上汇总到区域预警中心,区域预警中心经过威胁评测判断是否需要发出预警,同时向总预警中心汇总,总预警中心将把各个区域预警中心传来的分散数据融合在一起,进行全面的威胁评测,判断是否需要发出预警,并通知所有的区域预警中心。两级预警中心要做到可靠、精确、实时预警,预测未来的威胁,进行高效的信息交流。
图中自上而下的箭头表示从总中心向下进行的数据库、知识库与系统的更新维护。预警系统必须尽可能的建立在全部攻击可能性的基础上,而且必须有一个组织实时对这些可能性加以观察,以便在适当的时候把那些正在走向成熟和变为事实的可能性同那些正在消失的可能性区分开。一个不能更新的预警系统只会落后,从而导致失败。必须不断的判断现实情况,不断的应用最新入侵检测技术与预警技术,运行的系统须不断被更新、完善。因此,入侵检测与预警系统必须具备完善的组织管理机构和实时更新机制,以此具有强大的生命力。
三、系统组成及工作原理
分布式入侵检测与预警系统是一个关于开放性信息源的决策支持系统,它针对网络攻击提供威胁评测和预警,主要有三个目的:
■评测由不同角色引发的网络安全威胁;
■对网络攻击提供预警;
■预测敌方的行动路线。
(责任编辑:adminadmin2008)
