《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 設(shè)計(jì)應(yīng)用 > 大型分布式入侵檢測(cè)系統(tǒng)
大型分布式入侵檢測(cè)系統(tǒng)
《信息技術(shù)與網(wǎng)絡(luò)安全》2020年第7期
楊瑞增1,,陳天鷹2,,李玉盼3
1.華北計(jì)算機(jī)系統(tǒng)工程研究所,,北京100083,; 2.中國(guó)鐵道科學(xué)研究院 研究生院,,北京100081,;3.北京交通大學(xué),,北京100044
摘要: 提出一種大型分布式入侵檢測(cè)系統(tǒng)(Broad-scale Distributed Intrusion Detection System,,BDIDS)的體系結(jié)構(gòu),,以發(fā)現(xiàn)多手段多層次的攻擊,。這些攻擊是分布式網(wǎng)絡(luò)中多個(gè)子網(wǎng)之間存在的異常現(xiàn)象,。BDIDS由兩個(gè)關(guān)鍵組件組成:大數(shù)據(jù)處理引擎和分析引擎,。大數(shù)據(jù)處理是通過(guò)HAMR完成的,HAMR是下一代內(nèi)存MapReduce引擎,。據(jù)報(bào)告,,HAMR通過(guò)多種分析算法,使得現(xiàn)有大數(shù)據(jù)解決方案的速度大大提高,。分析引擎包括一種新穎的集成算法,,該算法從多個(gè)IDS警報(bào)的集群中提取訓(xùn)練數(shù)據(jù)?;诰垲?lèi)與已知潛在攻擊的高度相似性,,將聚類(lèi)用作預(yù)處理步驟以重新標(biāo)記數(shù)據(jù)集??傮w目標(biāo)是預(yù)測(cè)分布在多個(gè)子網(wǎng)中的多手段多層次的攻擊,,這些攻擊手段如果不以綜合方式進(jìn)行評(píng)估,極有可能會(huì)被忽略,。
中圖分類(lèi)號(hào): TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 楊瑞增,,陳天鷹,李玉盼. 大型分布式入侵檢測(cè)系統(tǒng)[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2020,,39(7):31-35.

Broad-scale distributed intrusion detection system
Yang Ruizeng1,Chen Tianying2,Li Yupan3
1.National Computer System Engineering Research Institute of China,,Beijing 100083,,China; 2.Graduate School,,China Academy of Railway Sciences,,Beijing 100081,China,; 3.Beijing Jiaotong University,,Beijing 100044,China
Abstract: In this paper,,a large-scale distributed intrusion detection system (broad-scale distributed intrusion detection system, BDIDS) architecture is proposed to discover multi-level and multi-means attacks. These attacks are anomalies that exist between multiple subnets in a distributed network. BDIDS consists of two key components: big data processing engine and analysis engine. Big data processing is done through HAMR, which is the next-generation in-memory MapReduce engine. According to reports, HAMR has greatly improved the speed of existing big data solutions through various analysis algorithms. The analysis engine includes a novel integrated algorithm that extracts training data from a cluster of multiple IDS alerts. Based on the high similarity between clustering and known potential attacks, clustering is used as a preprocessing step to relabel the data set. The overall goal is to predict multi-method, multi-level attacks distributed in multiple subnets. If these attacks are not evaluated in a comprehensive manner, they will most likely be ignored.
Key words : big data,;distributed intrusion detection system;integrated learning

入侵檢測(cè)旨在使用已知的攻擊特征來(lái)識(shí)別未經(jīng)授權(quán)的訪問(wèn),。入侵檢測(cè)的重點(diǎn)是發(fā)現(xiàn)多手段多層次的攻擊,,這些攻擊可能會(huì)隨著時(shí)間的流逝借助復(fù)雜網(wǎng)絡(luò)中各個(gè)點(diǎn)而傳播。特別是隨著數(shù)據(jù)集變得龐大,,多手段多層次的攻擊檢測(cè)是一項(xiàng)具有挑戰(zhàn)性的任務(wù),。

2011年7月在太平洋西北國(guó)家實(shí)驗(yàn)室曾經(jīng)發(fā)生過(guò)一次復(fù)雜的多手段網(wǎng)絡(luò)攻擊事件。盡管實(shí)驗(yàn)室的IT安全邊界得到了很好的保護(hù),,但這些攻擊卻是在非常協(xié)調(diào)和長(zhǎng)期的過(guò)程中完成的,。首先是對(duì)組織的攻擊,其次是對(duì)共享關(guān)鍵資源的合作伙伴的攻擊,。在攻擊的第一部分中,,入侵者利用了面向公眾的Web服務(wù)器中的漏洞。此外,,黑客還秘密地從受攻擊的工作站中搜索了網(wǎng)絡(luò),,這些工作站已作為長(zhǎng)期協(xié)調(diào)攻擊的一部分而被預(yù)先鎖定。攻擊的第二部分始于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú),,第二組黑客對(duì)組織的主要業(yè)務(wù)合作伙伴發(fā)起了網(wǎng)絡(luò)釣魚(yú)攻擊,,并與之共享網(wǎng)絡(luò)資源。黑客能夠獲得特權(quán)賬戶(hù)并破壞由組織及其合作伙伴共享的根域控制器,。當(dāng)入侵者試圖重新創(chuàng)建和分配特權(quán)時(shí),,警報(bào)最終被觸發(fā),以警告組織的網(wǎng)絡(luò)安全團(tuán)隊(duì),。



本文詳細(xì)內(nèi)容請(qǐng)下載http://forexkbc.com/resource/share/2000003216

作者信息:

楊瑞增1,,陳天鷹2,李玉盼3

(1.華北計(jì)算機(jī)系統(tǒng)工程研究所,,北京100083,;

2.中國(guó)鐵道科學(xué)研究院 研究生院,,北京100081;3.北京交通大學(xué),,北京100044)

 


此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。