大型分布式入侵檢測系統
《信息技術與網絡安全》2020年第7期
楊瑞增1,陳天鷹2,李玉盼3
1.華北計算機系統工程研究所,北京100083; 2.中國鐵道科學研究院 研究生院,北京100081;3.北京交通大學,北京100044
摘要: 提出一種大型分布式入侵檢測系統(Broad-scale Distributed Intrusion Detection System,BDIDS)的體系結構,以發現多手段多層次的攻擊。這些攻擊是分布式網絡中多個子網之間存在的異常現象。BDIDS由兩個關鍵組件組成:大數據處理引擎和分析引擎。大數據處理是通過HAMR完成的,HAMR是下一代內存MapReduce引擎。據報告,HAMR通過多種分析算法,使得現有大數據解決方案的速度大大提高。分析引擎包括一種新穎的集成算法,該算法從多個IDS警報的集群中提取訓練數據。基于聚類與已知潛在攻擊的高度相似性,將聚類用作預處理步驟以重新標記數據集。總體目標是預測分布在多個子網中的多手段多層次的攻擊,這些攻擊手段如果不以綜合方式進行評估,極有可能會被忽略。
中圖分類號: TP393
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 楊瑞增,陳天鷹,李玉盼. 大型分布式入侵檢測系統[J].信息技術與網絡安全,2020,39(7):31-35.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 楊瑞增,陳天鷹,李玉盼. 大型分布式入侵檢測系統[J].信息技術與網絡安全,2020,39(7):31-35.
Broad-scale distributed intrusion detection system
Yang Ruizeng1,Chen Tianying2,Li Yupan3
1.National Computer System Engineering Research Institute of China,Beijing 100083,China; 2.Graduate School,China Academy of Railway Sciences,Beijing 100081,China; 3.Beijing Jiaotong University,Beijing 100044,China
Abstract: In this paper,a large-scale distributed intrusion detection system (broad-scale distributed intrusion detection system, BDIDS) architecture is proposed to discover multi-level and multi-means attacks. These attacks are anomalies that exist between multiple subnets in a distributed network. BDIDS consists of two key components: big data processing engine and analysis engine. Big data processing is done through HAMR, which is the next-generation in-memory MapReduce engine. According to reports, HAMR has greatly improved the speed of existing big data solutions through various analysis algorithms. The analysis engine includes a novel integrated algorithm that extracts training data from a cluster of multiple IDS alerts. Based on the high similarity between clustering and known potential attacks, clustering is used as a preprocessing step to relabel the data set. The overall goal is to predict multi-method, multi-level attacks distributed in multiple subnets. If these attacks are not evaluated in a comprehensive manner, they will most likely be ignored.
Key words : big data;distributed intrusion detection system;integrated learning
入侵檢測旨在使用已知的攻擊特征來識別未經授權的訪問。入侵檢測的重點是發現多手段多層次的攻擊,這些攻擊可能會隨著時間的流逝借助復雜網絡中各個點而傳播。特別是隨著數據集變得龐大,多手段多層次的攻擊檢測是一項具有挑戰性的任務。
2011年7月在太平洋西北國家實驗室曾經發生過一次復雜的多手段網絡攻擊事件。盡管實驗室的IT安全邊界得到了很好的保護,但這些攻擊卻是在非常協調和長期的過程中完成的。首先是對組織的攻擊,其次是對共享關鍵資源的合作伙伴的攻擊。在攻擊的第一部分中,入侵者利用了面向公眾的Web服務器中的漏洞。此外,黑客還秘密地從受攻擊的工作站中搜索了網絡,這些工作站已作為長期協調攻擊的一部分而被預先鎖定。攻擊的第二部分始于魚叉式網絡釣魚,第二組黑客對組織的主要業務合作伙伴發起了網絡釣魚攻擊,并與之共享網絡資源。黑客能夠獲得特權賬戶并破壞由組織及其合作伙伴共享的根域控制器。當入侵者試圖重新創建和分配特權時,警報最終被觸發,以警告組織的網絡安全團隊。
本文詳細內容請下載:http://www.xxav2194.com/resource/share/2000003216
作者信息:
楊瑞增1,陳天鷹2,李玉盼3
(1.華北計算機系統工程研究所,北京100083;
2.中國鐵道科學研究院 研究生院,北京100081;3.北京交通大學,北京100044)
此內容為AET網站原創,未經授權禁止轉載。