理论教育 分布式入侵检测技术-信息安全基础

分布式入侵检测技术-信息安全基础

时间:2023-11-24 理论教育 版权反馈
【摘要】:虽然每台主机上都可以安装一个单机入侵检测系统,但是通过网络入侵检测系统的协作,可使主机获得更有效的防护。分布式入侵检测系统设计中存在下述一些主要问题:分布式入侵检测系统可能要处理不同格式的审计记录。如果还装有入侵检测系统,则可能还要收集与安全性相关的其他格式的审计记录。现有的一些分布式入侵检测系统的整体结构,主要有3个部分:主机代理模块:审计收集模块作为后台进程运行在监测系统上。

分布式入侵检测技术-信息安全基础

传统意义上,入侵检测的研究都集中在独立的单机系统设施上。然而,一个典型的组织需要保护局域网或互联网络内主机群的安全。虽然每台主机上都可以安装一个单机入侵检测系统,但是通过网络入侵检测系统的协作,可使主机获得更有效的防护。

分布式入侵检测系统设计中存在下述一些主要问题:

(1)分布式入侵检测系统可能要处理不同格式的审计记录。在异构环境中,不同的系统会使用不同的原始审计记录收集系统。如果还装有入侵检测系统,则可能还要收集与安全性相关的其他格式的审计记录。

(2)网络中一个或多个节点负责收集和分析网络中各系统的数据。这样,未加工的数据或汇总性数据将在网络之间传递。因此,有必要保证数据的完整性和保密性。要求完整性是为了防止入侵者通过篡改传输的审计信息掩饰其行为。保证保密性是因为审计信息是有价值的。

(3)可使用集中式结构和非集中式结构。在集中式结构中,所有审计数据的收集和分析由一个节点负责。此结构减轻了对输入报告综合处理的任务,但也产生了一个潜在的瓶颈和单点失败问题。对于非集中式结构,有多个分析中心,但它们之间必须协调活动和交换信息。(www.daowen.com)

现有的一些分布式入侵检测系统的整体结构,主要有3个部分:

(1)主机代理模块:审计收集模块作为后台进程运行在监测系统上。它的作用是收集有关主机安全事件的数据,并将这些数据传至中心管理员。

(2)局域网监视器代理模块:其运作方式与主机代理模块相同,但它还分析局域网的流量,将结果报告给中心管理员。

(3)中心管理机模块:接收局域网监视模块和主机代理模块送来的报告,分析报告,并对其进行综合处理用以判断是否存在入侵。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈