有关ASAS集群服务器中入侵检测系统的设计与应用分析2

的异常检测相结合的方法，学习代理从大量的正常记录中学习，产生规则，并根据规则合并原则与规则库中原有的规则进行合并，不断地更新规则库，直到规则库稳定，形成精确的模型（异常检测）。同时，它也可以学习入侵记录，形成入侵规则库（误用检测）。它有责任为程序和用户形成和维护规则集，它产生的规则库供基本检测代理和后检测代理使用。该结构可以显著降低检测系统的误报率，而对于层出不穷的攻击类型，模型和规则库的更新就尤为重要，除了不断地借鉴广为发布的规则库之外，还可以采用数据挖掘技术来解决规则的更新和合并这一难题。
　　检测代理是可扩展的，它从学习代理获得规则库（经周期性的学习修改而成）。一个基本检测代理和一个后检测代理的主要的区别是：前者使用预处理审计数据作为输入，而后者使用从所有基本检测代理来的证据。一个后检测代理可以合并从多个基本检测代理来的报告，最终形成全局状态的判定报告。
　　该系统中基本检测代理是并行工作的，因而可以获得很好的性能（efficiency）；同时它又是层次性的结构，因而具有良好的扩展性（scalability）；由于各个基本检测代理可以采取不同的算法来检测，因而系统可以综合多种方法的优点，从而检测更加准确（accuracy
）。
3.2  与ASAS平台的集成
　　为了增强主动式集群服务器的安全性，将基于数据挖掘的入侵检测系统与其集成，设计出具有强大信息安全保障和高可用服务质量管理功能的产品。集成方案有二种，即单集中器方式和双集中器方式。
　　单集中器方式中，IDS驻留在前端集中器，入侵检测系统可以直接从缓冲池中获取网络信息，一发现攻击行为，便可以删除该服务请求，使该请求不能得到服务，并且封闭该用户对服务器的访问。该方案检测速度快，但入侵检测需要消耗集中器的宝贵资源，特别是在高负载条件下，对整个系统影响很大。而且当主集中器与备份集中器进行切换时，入侵检测系统不再工作。
　　我们利用ASAS系统的双机热备份（前端有两个集中器即主集中器和备份集中器以达到高可用，当主集中器出现故障的时候备份集中器可以接替工作，当主集中器正常工作时备份集中器则可以作一些辅助工作）的特点，采用双集中器方式。其结构如图3所示：

 

 

图3 双集中器方式
 
　　双集中器方式中，整个入侵检测系统分两块，一块驻留在主集中器，一块驻留在备份集中器。由于ASAS系统要支持高达2000个的连接数，因此在高负载的环境下，主集中器计算任务很重，此时不能把IDS的主要工作交由主集中器来做，这样会加重主集中器负载，影响整个服务器系统的整体性能。但是也没必要把IDS的全部任务交给备份集中器来做，因为在主集中器上保存大量的数据信息可以很方便的拿来让主集中器作入侵检测用，检测速度比在备份集中器上要快。我们提出一种折中的办法，即在主集中器上作粗粒度的入侵检测，而在备份集中器上作细粒度的入侵检测。在主集中器上，计算资源宝贵，于是我们只利用很少的资源来做粗粒度的检测，以较小的付出得到较大的回报；而在备份集中器上，有大量富余的资源，因而可以进行细粒度的检测（细粒度检测比粗粒度检测需要的计算量大得多）。
　　服务输入队列中的客户服务请求首先保存在审记日志数据库中以用于规则的自学习，同时由入侵检测和防御模块处理，与模型或规则库进行匹配以判断是否进行过滤或其它防御处理，然后再经服务分析模块分析处理，按照请求的类型和级别缓存在服务请求服务池的多个缓存队列中，执行服务器通过集群内部互联网络从服务请求缓冲池中取请求。定时优先级调整模块定时启动请求优先级调度机制调整请求缓存队列。执行服务器返回的结果缓存在应答报文缓冲池中，经服务输出队列将结果返回给客户端。连接管理模块完成网络连接的管理，使得应答报文能够通过正确的网络连接返回给正确的客户，并且定时扫描所管理的网络连接，释放已经断开或超时的网络连接。
　　服务器上的原始日志等数据不能直接用来进行数据挖掘，需要一个数据预处理过程。数据预处理主要任务是将网络层tcpdump数据转换成可以被数据挖掘算法处理的输入数据。它在整个数据挖掘过程中的工作量占50％～90％，本系统的原始训练数据来自美国国防高级计划研究署（DARPA）的tcpdump数据，该数据是为了验证和研究入侵检测系统的性能而提供的标准原始数据。
　　预处理模块首先对网络层数据进行报文捕获、报文协议分析和网络行为分析，将应用层FTP、Telnet和HTTP协议会话进行重组，通过对比、筛选和整合，提取出满足入侵检测系统要求的应用层协议属性，创建一个具有六个维度、四个度量的ROLAP星型模式的数据仓库，对应用层协议属性进行存储，作为数据挖掘的训练数据和检测数据。本文来自范文中国网www.。
　　数据预处理之后就可以对处理过的数据进行挖掘了。挖掘算法的选择对检测的效率有很大的影响，在我们的系统中，应用于入侵检测的数据挖掘算法主要包括关联规则算法(Apriori、AprioriTid、AprioriHybrid)、频繁片断算法、序列模式挖掘算法(AprioriAll、AprioriSome、SPADE、PrefixSpan、SPAM)、分类算法(C4.5、RIPPER)和聚类算法。
　　该方案的优势在于可以充分利用空闲的备份集中器资源，并且当主集中器与备份集中器进行切换时，入侵检测系统仍然能够工作。
 
4  结束语
　　ASAS系统由我国自主开发，通过国家有关部门的鉴定，处于国际领先水平。文中在ASAS平台上，提出了一种基于数据挖掘的分布式代理协作层次化的入侵检测系统解决方案，由文章的分析可见，该方案是一个很好的选择。但是还有许多地方尚待研究和改进，如主集中器和备份集中器中粗细粒度的界定等。