论文部分内容阅读
随着涉及大规模网络的蔓延攻击(widespreadattack)变得更加普遍,着眼于解决此类问题的基于信息共享的协同入侵检测在近几年内逐渐成为入侵检测研究领域的热点。本研究结合入侵检测与协同工作两个不同的技术领域,尝试在入侵检测中引入协同工作的概念与方法,建立了一个协同入侵检测模型。在此模型的指导下设计并实现了一个协同入侵检测系统的原型CoIDS,并就入侵检测系统的负载问题设计了一种静态分配与动态调整结合的负载平衡算法。通过与相关工作比较,我们认为本研究的贡献在于:
从研究如何在入侵检测中引入协作着手,建立了一个协同入侵检测模型。通过与相关工作的比较可知:基于该模型构造的协同入侵检测系统的能有效地检测蔓延攻击,能更准确地检测入侵事件,有更好的可伸缩性。协同入侵检测模型将入侵检测划分为四个子过程:数据采集、事件记录提取、事件序列匹配与结论验证。协同入侵检测模型有别于传统入侵检测模型的特点主要有以下三点:1、在协作服务的支持下,协同入侵检测模型可以综合来自多个主机/网络的数据,可以有效地检测涉及多个主机/网络的蔓延攻击。2、协同入侵检测的每一子过程都可借助于协作服务来完善数据集,从而可以更准确地检测入侵事件。3、通过划分数据采集任务,调节检测组件的负载,在协同入侵检测系统内部进行负载平衡,从而获得更好的可伸缩性。
基于上述检测模型,设计并实现了一个协同入侵检测系统的原型CoIDS。在此过程中,基于协作服务实现了CoIDS内部的负载平衡,在一定程度上提高了整个系统的负载承受能力,从而能够有效地防范针对CoIDS自身的DoS攻击。
在上述检测模型的基础上,详细研究其协作机制,总结了在CSCW支持下的协同入侵检测相对于传统入侵检测的改进,指出为了支持协同入侵检测需要改进CSCW系统的设计和实现。在此过程中,详细分析了CSCW用于协同入侵检测时需要注意的问题,解决这些问题有利于CSCW更好地应用于安全领域,从而扩展了CSCW的应用领域。