《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > 設(shè)計應(yīng)用 > 大型分布式入侵檢測系統(tǒng)
大型分布式入侵檢測系統(tǒng)
《信息技術(shù)與網(wǎng)絡(luò)安全》2020年第7期
楊瑞增1,陳天鷹2,李玉盼3
1.華北計算機系統(tǒng)工程研究所,北京100083; 2.中國鐵道科學(xué)研究院 研究生院,北京100081;3.北京交通大學(xué),北京100044
摘要: 提出一種大型分布式入侵檢測系統(tǒng)(Broad-scale Distributed Intrusion Detection System,BDIDS)的體系結(jié)構(gòu),以發(fā)現(xiàn)多手段多層次的攻擊。這些攻擊是分布式網(wǎng)絡(luò)中多個子網(wǎng)之間存在的異?,F(xiàn)象。BDIDS由兩個關(guān)鍵組件組成:大數(shù)據(jù)處理引擎和分析引擎。大數(shù)據(jù)處理是通過HAMR完成的,HAMR是下一代內(nèi)存MapReduce引擎。據(jù)報告,HAMR通過多種分析算法,使得現(xiàn)有大數(shù)據(jù)解決方案的速度大大提高。分析引擎包括一種新穎的集成算法,該算法從多個IDS警報的集群中提取訓(xùn)練數(shù)據(jù)?;诰垲惻c已知潛在攻擊的高度相似性,將聚類用作預(yù)處理步驟以重新標(biāo)記數(shù)據(jù)集。總體目標(biāo)是預(yù)測分布在多個子網(wǎng)中的多手段多層次的攻擊,這些攻擊手段如果不以綜合方式進(jìn)行評估,極有可能會被忽略。
中圖分類號: TP393
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 楊瑞增,陳天鷹,李玉盼. 大型分布式入侵檢測系統(tǒng)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2020,39(7):31-35.

Broad-scale distributed intrusion detection system
Yang Ruizeng1,Chen Tianying2,Li Yupan3
1.National Computer System Engineering Research Institute of China,Beijing 100083,China; 2.Graduate School,China Academy of Railway Sciences,Beijing 100081,China; 3.Beijing Jiaotong University,Beijing 100044,China
Abstract: In this paper,a large-scale distributed intrusion detection system (broad-scale distributed intrusion detection system, BDIDS) architecture is proposed to discover multi-level and multi-means attacks. These attacks are anomalies that exist between multiple subnets in a distributed network. BDIDS consists of two key components: big data processing engine and analysis engine. Big data processing is done through HAMR, which is the next-generation in-memory MapReduce engine. According to reports, HAMR has greatly improved the speed of existing big data solutions through various analysis algorithms. The analysis engine includes a novel integrated algorithm that extracts training data from a cluster of multiple IDS alerts. Based on the high similarity between clustering and known potential attacks, clustering is used as a preprocessing step to relabel the data set. The overall goal is to predict multi-method, multi-level attacks distributed in multiple subnets. If these attacks are not evaluated in a comprehensive manner, they will most likely be ignored.
Key words : big data;distributed intrusion detection system;integrated learning

入侵檢測旨在使用已知的攻擊特征來識別未經(jīng)授權(quán)的訪問。入侵檢測的重點是發(fā)現(xiàn)多手段多層次的攻擊,這些攻擊可能會隨著時間的流逝借助復(fù)雜網(wǎng)絡(luò)中各個點而傳播。特別是隨著數(shù)據(jù)集變得龐大,多手段多層次的攻擊檢測是一項具有挑戰(zhàn)性的任務(wù)。

2011年7月在太平洋西北國家實驗室曾經(jīng)發(fā)生過一次復(fù)雜的多手段網(wǎng)絡(luò)攻擊事件。盡管實驗室的IT安全邊界得到了很好的保護(hù),但這些攻擊卻是在非常協(xié)調(diào)和長期的過程中完成的。首先是對組織的攻擊,其次是對共享關(guān)鍵資源的合作伙伴的攻擊。在攻擊的第一部分中,入侵者利用了面向公眾的Web服務(wù)器中的漏洞。此外,黑客還秘密地從受攻擊的工作站中搜索了網(wǎng)絡(luò),這些工作站已作為長期協(xié)調(diào)攻擊的一部分而被預(yù)先鎖定。攻擊的第二部分始于魚叉式網(wǎng)絡(luò)釣魚,第二組黑客對組織的主要業(yè)務(wù)合作伙伴發(fā)起了網(wǎng)絡(luò)釣魚攻擊,并與之共享網(wǎng)絡(luò)資源。黑客能夠獲得特權(quán)賬戶并破壞由組織及其合作伙伴共享的根域控制器。當(dāng)入侵者試圖重新創(chuàng)建和分配特權(quán)時,警報最終被觸發(fā),以警告組織的網(wǎng)絡(luò)安全團(tuán)隊。



本文詳細(xì)內(nèi)容請下載http://ihrv.cn/resource/share/2000003216

作者信息:

楊瑞增1,陳天鷹2,李玉盼3

(1.華北計算機系統(tǒng)工程研究所,北京100083;

2.中國鐵道科學(xué)研究院 研究生院,北京100081;3.北京交通大學(xué),北京100044)

 


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。