《電子技術(shù)應用》
您所在的位置:首頁 > 模拟设计 > 设计应用 > 大型分布式入侵检测系统
大型分布式入侵检测系统
《信息技术与网络安全》2020年第7期
杨瑞增1,陈天鹰2,李玉盼3
1.华北计算机系统工程研究所,北京100083; 2.中国铁道科学研究院 研究生院,北京100081;3.北京交通大学,北京100044
摘要: 提出一种大型分布式入侵检测系统(Broad-scale Distributed Intrusion Detection System,BDIDS)的体系结构,以发现多手段多层次的攻击。这些攻击是分布式网络中多个子网之间存在的异常现象。BDIDS由两个关键组件组成:大数据处理引擎和分析引擎。大数据处理是通过HAMR完成的,HAMR是下一代内存MapReduce引擎。据报告,HAMR通过多种分析算法,使得现有大数据解决方案的速度大大提高。分析引擎包括一种新颖的集成算法,该算法从多个IDS警报的集群中提取训练数据。基于聚类与已知潜在攻击的高度相似性,将聚类用作预处理步骤以重新标记数据集。总体目标是预测分布在多个子网中的多手段多层次的攻击,这些攻击手段如果不以综合方式进行评估,极有可能会被忽略。
中圖分類號: TP393
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 楊瑞增,陳天鷹,李玉盼. 大型分布式入侵檢測系統(tǒng)[J].信息技術(shù)與網(wǎng)絡安全,2020,39(7):31-35.

Broad-scale distributed intrusion detection system
Yang Ruizeng1,Chen Tianying2,Li Yupan3
1.National Computer System Engineering Research Institute of China,Beijing 100083,China; 2.Graduate School,China Academy of Railway Sciences,Beijing 100081,China; 3.Beijing Jiaotong University,Beijing 100044,China
Abstract: In this paper,a large-scale distributed intrusion detection system (broad-scale distributed intrusion detection system, BDIDS) architecture is proposed to discover multi-level and multi-means attacks. These attacks are anomalies that exist between multiple subnets in a distributed network. BDIDS consists of two key components: big data processing engine and analysis engine. Big data processing is done through HAMR, which is the next-generation in-memory MapReduce engine. According to reports, HAMR has greatly improved the speed of existing big data solutions through various analysis algorithms. The analysis engine includes a novel integrated algorithm that extracts training data from a cluster of multiple IDS alerts. Based on the high similarity between clustering and known potential attacks, clustering is used as a preprocessing step to relabel the data set. The overall goal is to predict multi-method, multi-level attacks distributed in multiple subnets. If these attacks are not evaluated in a comprehensive manner, they will most likely be ignored.
Key words : big data;distributed intrusion detection system;integrated learning

入侵檢測旨在使用已知的攻擊特征來識別未經(jīng)授權(quán)的訪問。入侵檢測的重點是發(fā)現(xiàn)多手段多層次的攻擊,這些攻擊可能會隨著時間的流逝借助復雜網(wǎng)絡中各個點而傳播。特別是隨著數(shù)據(jù)集變得龐大,多手段多層次的攻擊檢測是一項具有挑戰(zhàn)性的任務。

2011年7月在太平洋西北國家實驗室曾經(jīng)發(fā)生過一次復雜的多手段網(wǎng)絡攻擊事件。盡管實驗室的IT安全邊界得到了很好的保護,但這些攻擊卻是在非常協(xié)調(diào)和長期的過程中完成的。首先是對組織的攻擊,其次是對共享關鍵資源的合作伙伴的攻擊。在攻擊的第一部分中,入侵者利用了面向公眾的Web服務器中的漏洞。此外,黑客還秘密地從受攻擊的工作站中搜索了網(wǎng)絡,這些工作站已作為長期協(xié)調(diào)攻擊的一部分而被預先鎖定。攻擊的第二部分始于魚叉式網(wǎng)絡釣魚,第二組黑客對組織的主要業(yè)務合作伙伴發(fā)起了網(wǎng)絡釣魚攻擊,并與之共享網(wǎng)絡資源。黑客能夠獲得特權(quán)賬戶并破壞由組織及其合作伙伴共享的根域控制器。當入侵者試圖重新創(chuàng)建和分配特權(quán)時,警報最終被觸發(fā),以警告組織的網(wǎng)絡安全團隊。



本文詳細內(nèi)容請下載http://www.ihrv.cn/resource/share/2000003216

作者信息:

楊瑞增1,陳天鷹2,李玉盼3

(1.華北計算機系統(tǒng)工程研究所,北京100083;

2.中國鐵道科學研究院 研究生院,北京100081;3.北京交通大學,北京100044)

 


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。