《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 設(shè)計(jì)應(yīng)用 > 大型分布式入侵檢測(cè)系統(tǒng)
大型分布式入侵檢測(cè)系統(tǒng)
《信息技術(shù)與網(wǎng)絡(luò)安全》2020年第7期
楊瑞增1,陳天鷹2,李玉盼3
1.華北計(jì)算機(jī)系統(tǒng)工程研究所,北京100083; 2.中國(guó)鐵道科學(xué)研究院 研究生院,北京100081;3.北京交通大學(xué),北京100044
摘要: 提出一種大型分布式入侵檢測(cè)系統(tǒng)(Broad-scale Distributed Intrusion Detection System,BDIDS)的體系結(jié)構(gòu),以發(fā)現(xiàn)多手段多層次的攻擊。這些攻擊是分布式網(wǎng)絡(luò)中多個(gè)子網(wǎng)之間存在的異?,F(xiàn)象。BDIDS由兩個(gè)關(guān)鍵組件組成:大數(shù)據(jù)處理引擎和分析引擎。大數(shù)據(jù)處理是通過(guò)HAMR完成的,HAMR是下一代內(nèi)存MapReduce引擎。據(jù)報(bào)告,HAMR通過(guò)多種分析算法,使得現(xiàn)有大數(shù)據(jù)解決方案的速度大大提高。分析引擎包括一種新穎的集成算法,該算法從多個(gè)IDS警報(bào)的集群中提取訓(xùn)練數(shù)據(jù)。基于聚類與已知潛在攻擊的高度相似性,將聚類用作預(yù)處理步驟以重新標(biāo)記數(shù)據(jù)集??傮w目標(biāo)是預(yù)測(cè)分布在多個(gè)子網(wǎng)中的多手段多層次的攻擊,這些攻擊手段如果不以綜合方式進(jìn)行評(píng)估,極有可能會(huì)被忽略。
中圖分類號(hào): TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 楊瑞增,陳天鷹,李玉盼. 大型分布式入侵檢測(cè)系統(tǒng)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2020,39(7):31-35.

Broad-scale distributed intrusion detection system
Yang Ruizeng1,Chen Tianying2,Li Yupan3
1.National Computer System Engineering Research Institute of China,Beijing 100083,China; 2.Graduate School,China Academy of Railway Sciences,Beijing 100081,China; 3.Beijing Jiaotong University,Beijing 100044,China
Abstract: In this paper,a large-scale distributed intrusion detection system (broad-scale distributed intrusion detection system, BDIDS) architecture is proposed to discover multi-level and multi-means attacks. These attacks are anomalies that exist between multiple subnets in a distributed network. BDIDS consists of two key components: big data processing engine and analysis engine. Big data processing is done through HAMR, which is the next-generation in-memory MapReduce engine. According to reports, HAMR has greatly improved the speed of existing big data solutions through various analysis algorithms. The analysis engine includes a novel integrated algorithm that extracts training data from a cluster of multiple IDS alerts. Based on the high similarity between clustering and known potential attacks, clustering is used as a preprocessing step to relabel the data set. The overall goal is to predict multi-method, multi-level attacks distributed in multiple subnets. If these attacks are not evaluated in a comprehensive manner, they will most likely be ignored.
Key words : big data;distributed intrusion detection system;integrated learning

入侵檢測(cè)旨在使用已知的攻擊特征來(lái)識(shí)別未經(jīng)授權(quán)的訪問(wèn)。入侵檢測(cè)的重點(diǎn)是發(fā)現(xiàn)多手段多層次的攻擊,這些攻擊可能會(huì)隨著時(shí)間的流逝借助復(fù)雜網(wǎng)絡(luò)中各個(gè)點(diǎn)而傳播。特別是隨著數(shù)據(jù)集變得龐大,多手段多層次的攻擊檢測(cè)是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。

2011年7月在太平洋西北國(guó)家實(shí)驗(yàn)室曾經(jīng)發(fā)生過(guò)一次復(fù)雜的多手段網(wǎng)絡(luò)攻擊事件。盡管實(shí)驗(yàn)室的IT安全邊界得到了很好的保護(hù),但這些攻擊卻是在非常協(xié)調(diào)和長(zhǎng)期的過(guò)程中完成的。首先是對(duì)組織的攻擊,其次是對(duì)共享關(guān)鍵資源的合作伙伴的攻擊。在攻擊的第一部分中,入侵者利用了面向公眾的Web服務(wù)器中的漏洞。此外,黑客還秘密地從受攻擊的工作站中搜索了網(wǎng)絡(luò),這些工作站已作為長(zhǎng)期協(xié)調(diào)攻擊的一部分而被預(yù)先鎖定。攻擊的第二部分始于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú),第二組黑客對(duì)組織的主要業(yè)務(wù)合作伙伴發(fā)起了網(wǎng)絡(luò)釣魚(yú)攻擊,并與之共享網(wǎng)絡(luò)資源。黑客能夠獲得特權(quán)賬戶并破壞由組織及其合作伙伴共享的根域控制器。當(dāng)入侵者試圖重新創(chuàng)建和分配特權(quán)時(shí),警報(bào)最終被觸發(fā),以警告組織的網(wǎng)絡(luò)安全團(tuán)隊(duì)。



本文詳細(xì)內(nèi)容請(qǐng)下載http://ihrv.cn/resource/share/2000003216

作者信息:

楊瑞增1,陳天鷹2,李玉盼3

(1.華北計(jì)算機(jī)系統(tǒng)工程研究所,北京100083;

2.中國(guó)鐵道科學(xué)研究院 研究生院,北京100081;3.北京交通大學(xué),北京100044)

 


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。