大型分布式入侵检测系统
《信息技术与网络安全》2020年第7期
杨瑞增1,陈天鹰2,李玉盼3
1.华北计算机系统工程研究所,北京100083; 2.中国铁道科学研究院 研究生院,北京100081;3.北京交通大学,北京100044
摘要: 提出一种大型分布式入侵检测系统(Broad-scale Distributed Intrusion Detection System,BDIDS)的体系结构,以发现多手段多层次的攻击。这些攻击是分布式网络中多个子网之间存在的异常现象。BDIDS由两个关键组件组成:大数据处理引擎和分析引擎。大数据处理是通过HAMR完成的,HAMR是下一代内存MapReduce引擎。据报告,HAMR通过多种分析算法,使得现有大数据解决方案的速度大大提高。分析引擎包括一种新颖的集成算法,该算法从多个IDS警报的集群中提取训练数据。基于聚类与已知潜在攻击的高度相似性,将聚类用作预处理步骤以重新标记数据集。总体目标是预测分布在多个子网中的多手段多层次的攻击,这些攻击手段如果不以综合方式进行评估,极有可能会被忽略。
中图分类号: TP393
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2020.07.005
引用格式: 杨瑞增,陈天鹰,李玉盼. 大型分布式入侵检测系统[J].信息技术与网络安全,2020,39(7):31-35.

Broad-scale distributed intrusion detection system
Yang Ruizeng1,Chen Tianying2,Li Yupan3
1.National Computer System Engineering Research Institute of China,Beijing 100083,China; 2.Graduate School,China Academy of Railway Sciences,Beijing 100081,China; 3.Beijing Jiaotong University,Beijing 100044,China
Abstract: In this paper,a large-scale distributed intrusion detection system (broad-scale distributed intrusion detection system, BDIDS) architecture is proposed to discover multi-level and multi-means attacks. These attacks are anomalies that exist between multiple subnets in a distributed network. BDIDS consists of two key components: big data processing engine and analysis engine. Big data processing is done through HAMR, which is the next-generation in-memory MapReduce engine. According to reports, HAMR has greatly improved the speed of existing big data solutions through various analysis algorithms. The analysis engine includes a novel integrated algorithm that extracts training data from a cluster of multiple IDS alerts. Based on the high similarity between clustering and known potential attacks, clustering is used as a preprocessing step to relabel the data set. The overall goal is to predict multi-method, multi-level attacks distributed in multiple subnets. If these attacks are not evaluated in a comprehensive manner, they will most likely be ignored.
Key words : big data;distributed intrusion detection system;integrated learning

入侵检测旨在使用已知的攻击特征来识别未经授权的访问。入侵检测的重点是发现多手段多层次的攻击,这些攻击可能会随着时间的流逝借助复杂网络中各个点而传播。特别是随着数据集变得庞大,多手段多层次的攻击检测是一项具有挑战性的任务。

2011年7月在太平洋西北国家实验室曾经发生过一次复杂的多手段网络攻击事件。尽管实验室的IT安全边界得到了很好的保护,但这些攻击却是在非常协调和长期的过程中完成的。首先是对组织的攻击,其次是对共享关键资源的合作伙伴的攻击。在攻击的第一部分中,入侵者利用了面向公众的Web服务器中的漏洞。此外,黑客还秘密地从受攻击的工作站中搜索了网络,这些工作站已作为长期协调攻击的一部分而被预先锁定。攻击的第二部分始于鱼叉式网络钓鱼,第二组黑客对组织的主要业务合作伙伴发起了网络钓鱼攻击,并与之共享网络资源。黑客能够获得特权账户并破坏由组织及其合作伙伴共享的根域控制器。当入侵者试图重新创建和分配特权时,警报最终被触发,以警告组织的网络安全团队。



本文详细内容请下载http://www.chinaaet.com/resource/share/2000003216

作者信息:

杨瑞增1,陈天鹰2,李玉盼3

(1.华北计算机系统工程研究所,北京100083;

2.中国铁道科学研究院 研究生院,北京100081;3.北京交通大学,北京100044)

 


通知公告
编辑观点
理事会
参考资料
版权声明

凡《网络安全与数据治理》(原《信息技术与网络安全》)录用的文章,如作者没有关于汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权等版权的特殊声明,即视作该文章署名作者同意将该文章的汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权授予本刊,本刊有权授权本刊合作数据库、合作媒体等合作伙伴使用。同时,本刊支付的稿酬已包含上述使用的费用,特此声明。

《网络安全与数据治理》(原《信息技术与网络安全》)编辑部
Copyright © 2005-2024 《网络安全与数据治理》(原《信息技术与网络安全》)版权所有 京ICP备10017138号-3