一個(gè)分布式入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)

1、一個(gè)分布式入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)安娜，吳曉南，陳曉江，房鼎益（西北大學(xué)計(jì)算機(jī)科學(xué)系，陜西西安710069）摘要：針對(duì)目前入侵檢測(cè)系統(tǒng)不能適應(yīng)異構(gòu)網(wǎng)絡(luò)環(huán)境、缺乏協(xié)同響應(yīng)的不足，提出了一種基于CORBA的分布式入侵檢測(cè)系統(tǒng)模型，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于該模型的入侵檢測(cè)系統(tǒng)（稱(chēng)為Aegis）。詳細(xì)討論了系統(tǒng)的體系結(jié)構(gòu)、特點(diǎn)和實(shí)現(xiàn)技術(shù)等。所設(shè)計(jì)的系統(tǒng)能夠?qū)Υ笮头植籍悩?gòu)網(wǎng)絡(luò)進(jìn)行有效的入侵檢測(cè)。對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)有一定參考價(jià)值，對(duì)綜合解決網(wǎng)絡(luò)安全問(wèn)題是一個(gè)有益的探索。關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵檢測(cè)；主機(jī)入侵檢測(cè)；入侵協(xié)同響應(yīng)；CORBA中圖分類(lèi)號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1000-27

2、4X（2004）0100-3隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，給網(wǎng)絡(luò)和信息系統(tǒng)帶來(lái)了嚴(yán)重威脅。究其原因，主要是網(wǎng)絡(luò)攻擊技術(shù)不斷發(fā)展變化，并呈現(xiàn)出一些新的特點(diǎn)，而原有的安全解決方案不能迅速地適應(yīng)這些新特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)的安全保障技術(shù)相對(duì)落后于網(wǎng)絡(luò)攻擊技術(shù)，從而出現(xiàn)防不勝防的尷尬局面。所以有必要引入新的技術(shù)和思想，來(lái)改進(jìn)原有的安全解決方案。1分布式入侵檢測(cè)入侵是指試圖破壞一個(gè)資源的完整性、機(jī)密性和可獲得性的活動(dòng)集合1。入侵檢測(cè)技術(shù)可被分為誤用入侵檢測(cè)和異常入侵檢測(cè)兩種，前者通過(guò)檢測(cè)固有的攻擊模式發(fā)現(xiàn)入侵，后者通過(guò)檢測(cè)系統(tǒng)或用戶(hù)行為是否偏離正常模式發(fā)現(xiàn)入侵；按照數(shù)據(jù)來(lái)源可分為主機(jī)

3、和網(wǎng)絡(luò)入侵檢測(cè)，主機(jī)入侵檢測(cè)主要收集其運(yùn)行主機(jī)的信息，例如CPU、內(nèi)存使用率，文件的訪問(wèn)控制等，網(wǎng)絡(luò)入侵檢測(cè)主要收集其所在局域網(wǎng)上傳輸?shù)乃袛?shù)據(jù)；按照入侵響應(yīng)可分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種：如果檢測(cè)出入侵后，能夠自動(dòng)重新配置防火墻、關(guān)閉適當(dāng)?shù)姆?wù)或反擊入侵者，那么就被稱(chēng)為主動(dòng)響應(yīng)，若檢測(cè)到入侵后僅給出警報(bào)或記錄日志，那就是被動(dòng)響應(yīng)2。入侵檢測(cè)系統(tǒng)是基于以上幾種模型相結(jié)合構(gòu)建出的計(jì)算機(jī)軟件，其作用就像一個(gè)防盜系統(tǒng)，能夠?qū)崟r(shí)地發(fā)現(xiàn)可能的入侵。目前的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和產(chǎn)品還很不成熟，基本上都是用來(lái)監(jiān)控單一網(wǎng)段，功能較為簡(jiǎn)單。此外，隨著網(wǎng)絡(luò)應(yīng)用的廣泛和互連網(wǎng)絡(luò)自身的分布異構(gòu)性，網(wǎng)絡(luò)入侵與攻擊的方式已經(jīng)變

4、得越來(lái)越隱蔽，且趨于多樣性、分布化和協(xié)同性3。因此，入侵檢測(cè)系統(tǒng)也需要滿(mǎn)足跨平臺(tái)、可復(fù)用、易擴(kuò)充、協(xié)同檢測(cè)等新的應(yīng)用需求。所以，研究利用分布計(jì)算技術(shù)，實(shí)現(xiàn)大型分布式入侵檢測(cè)系統(tǒng)（DIDS）是有意義的。CORBA是由對(duì)象管理國(guó)際組織OMG制定的一套分布式對(duì)象交互的規(guī)范4。CORBA與入侵檢測(cè)相結(jié)合具有許多優(yōu)點(diǎn)和特點(diǎn)：CORBA開(kāi)發(fā)語(yǔ)言獨(dú)立性和跨平臺(tái)性，使得能夠方便地集成多種多樣的監(jiān)測(cè)和安全程序；利用CORBA中間件所集成的下層軟件與上層應(yīng)用系統(tǒng)幾乎無(wú)關(guān)，即當(dāng)下層軟件發(fā)生改變時(shí)，只要CORBA對(duì)外的接口定義不變，上層應(yīng)用幾乎不需修改；CORBA具有好的擴(kuò)展性，能方便地進(jìn)行系統(tǒng)裁剪或組合，適應(yīng)不同的

5、具體需要和環(huán)境；CORBA本身就有很好的安全機(jī)制。它提供標(biāo)識(shí)與鑒別，授權(quán)與訪問(wèn)控制，對(duì)象間的安全通信、安全審計(jì)、安全管理等安全服務(wù)。將CORBA的優(yōu)點(diǎn)和DNIDS結(jié)合，不僅可以解決網(wǎng)絡(luò)平臺(tái)的復(fù)雜性和多樣性，還能適應(yīng)網(wǎng)絡(luò)異構(gòu)和動(dòng)態(tài)變化的特性。因此，我們?cè)O(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于CORBA的入侵檢測(cè)系統(tǒng)，稱(chēng)之為Aegis。2Aegis系統(tǒng)組成、結(jié)構(gòu)與特點(diǎn)Aegis系統(tǒng)是一個(gè)集狀態(tài)監(jiān)測(cè)，入侵檢測(cè)和入侵響應(yīng)于一體、網(wǎng)絡(luò)與主機(jī)檢測(cè)相結(jié)合、適于大型網(wǎng)絡(luò)結(jié)構(gòu)的DIDS。Aegis系統(tǒng)主要由管理點(diǎn)、網(wǎng)絡(luò)檢測(cè)點(diǎn)、主機(jī)檢測(cè)點(diǎn)和安全響應(yīng)點(diǎn)4部分組成5（見(jiàn)圖1）。在Aegis應(yīng)用環(huán)境中，用戶(hù)可將一個(gè)大型網(wǎng)絡(luò)劃分成多個(gè)域，每

6、個(gè)域中可部署一個(gè)網(wǎng)絡(luò)檢測(cè)點(diǎn)，多個(gè)安全響應(yīng)點(diǎn)和多個(gè)主機(jī)檢測(cè)點(diǎn)。整個(gè)系統(tǒng)只需部署一個(gè)管理點(diǎn)。網(wǎng)法檢甜點(diǎn)主及桂茂點(diǎn)圖積一系而+控制完圖1系統(tǒng)結(jié)構(gòu)圖Fig.1Aegissystemstructure網(wǎng)絡(luò)/主機(jī)檢測(cè)點(diǎn)的任務(wù)是采集原始數(shù)據(jù)，對(duì)原始數(shù)據(jù)按照用戶(hù)要求進(jìn)行過(guò)濾，并反饋給管理點(diǎn)，實(shí)現(xiàn)實(shí)時(shí)狀態(tài)監(jiān)測(cè)，或?qū)υ紨?shù)據(jù)進(jìn)行誤用入侵檢測(cè)，將結(jié)果報(bào)告給管理點(diǎn)。它由數(shù)據(jù)采集引擎、數(shù)據(jù)過(guò)濾器、誤用入侵檢測(cè)分析器和域管理器4部分組成。安全響應(yīng)點(diǎn)是網(wǎng)絡(luò)中除檢測(cè)點(diǎn)以外涉及網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的各種軟件資源，例如防火墻組件、文件備份組件以及負(fù)載均衡組件等。管理點(diǎn)的任務(wù)是管理和配置所有的網(wǎng)絡(luò)檢測(cè)點(diǎn)，負(fù)責(zé)它和檢測(cè)點(diǎn)的信息交流，匯

7、總和存儲(chǔ)檢測(cè)點(diǎn)上報(bào)的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)歸類(lèi)分析，進(jìn)行異樣入侵檢測(cè)和分布式誤用入侵的檢測(cè)。它包含了圖形用戶(hù)界面、數(shù)據(jù)庫(kù)、異常入侵檢測(cè)與誤用入侵分析器和頂級(jí)管理器4個(gè)部分。與其他現(xiàn)有的DIDS相比，Aegis的一個(gè)特色在于實(shí)現(xiàn)了誤用和異常的入侵檢測(cè)的分離。前者放在檢測(cè)點(diǎn)中，而后者放在管理點(diǎn)中。這是因?yàn)榕c計(jì)算機(jī)病毒相似，誤用入侵攻擊也具有明顯的特征，這些特征也可被轉(zhuǎn)化為規(guī)則，形成規(guī)則庫(kù)，而且易于用編程語(yǔ)言實(shí)現(xiàn)。當(dāng)前危害較大的洪水攻擊和蠕蟲(chóng)病毒攻擊的共同特點(diǎn)都是在短時(shí)間內(nèi)發(fā)送大量的數(shù)據(jù)包，擁塞網(wǎng)絡(luò)或主機(jī)，從而造成設(shè)備癱瘓。如果將攻擊數(shù)據(jù)照原樣傳送給管理點(diǎn)，不亞于將攻擊的目標(biāo)轉(zhuǎn)移到管理結(jié)點(diǎn)。因此檢測(cè)點(diǎn)在

8、檢測(cè)出誤用入侵后只需和防火墻組件連動(dòng)，切斷有害連接，再將攻擊的來(lái)源和特征報(bào)告給管理點(diǎn)。由管理點(diǎn)匯集這些信息進(jìn)行進(jìn)一步的分布式入侵檢測(cè)分析，從而大大減少了檢測(cè)點(diǎn)和管理點(diǎn)的數(shù)據(jù)通信，實(shí)現(xiàn)了局部與全局的監(jiān)測(cè)的有機(jī)結(jié)合和對(duì)管理點(diǎn)的保護(hù)。Aegis的另一個(gè)特色是使用分布式計(jì)算和面向?qū)ο笥?jì)算完美結(jié)合的CORBA技術(shù)，實(shí)現(xiàn)了檢測(cè)和響應(yīng)分離。用戶(hù)可按照需要，選擇檢測(cè)點(diǎn)及不同安全組件之間的協(xié)作關(guān)系，建立了安全組件之間的相互通信和聯(lián)動(dòng)，提高了系統(tǒng)的可擴(kuò)展性，實(shí)現(xiàn)整體安全防護(hù)。例如，當(dāng)檢測(cè)引擎檢測(cè)到某種攻擊后，會(huì)自動(dòng)通知防火墻修改安全策略。從信息安全系統(tǒng)防御的角度出發(fā)，這種聯(lián)動(dòng)是必要的。聯(lián)動(dòng)包括了檢測(cè)引擎與防火墻的

9、聯(lián)動(dòng)，可封堵源自外部網(wǎng)絡(luò)的攻擊;檢測(cè)引擎與網(wǎng)絡(luò)管理系統(tǒng)的聯(lián)動(dòng)，可封堵被利用的網(wǎng)絡(luò)設(shè)備和主機(jī)檢測(cè)引擎與操作系統(tǒng)的聯(lián)動(dòng)，可封堵有惡意的用戶(hù)帳號(hào)；檢測(cè)引擎和備份服務(wù)器聯(lián)動(dòng)，可以進(jìn)行災(zāi)難恢復(fù)。3Aegis的設(shè)計(jì)和實(shí)現(xiàn)Aegis是一個(gè)基于CORBA的應(yīng)用，那么系統(tǒng)設(shè)計(jì)的第一步就應(yīng)該將系統(tǒng)中用到的CORBA對(duì)象提煉出來(lái)。CORBA對(duì)象與我們平常所說(shuō)的（本地）對(duì)象一樣，也包含了對(duì)象屬性和對(duì)象操作。但區(qū)別在于CORBA對(duì)象必須用IDL語(yǔ)言定義。IDL定義了應(yīng)用程序構(gòu)件之間可互操作的接口。有了這個(gè)接口才使對(duì)象之間的遠(yuǎn)程調(diào)用成為可能。而ORB又保證了對(duì)象調(diào)用對(duì)用戶(hù)的透明性。換句話(huà)說(shuō)，CORBA對(duì)象提供遠(yuǎn)程調(diào)用的接

10、口，而本地對(duì)象則不可以。3.1 Aegis對(duì)象模型Aegis在物理上由管理點(diǎn)、檢測(cè)點(diǎn)和安全響應(yīng)點(diǎn)3部分組成，因此管理點(diǎn)的頂級(jí)管理者需要和檢測(cè)點(diǎn)的域管理者以及安全響應(yīng)點(diǎn)的安全部件管理者通信。所以首先要將這3個(gè)管理者抽象為CORBA對(duì)象。然而在Aegis中存在多個(gè)檢測(cè)點(diǎn)和響應(yīng)點(diǎn)，如果多個(gè)域管理者和安全部件管理者同時(shí)向頂級(jí)管理者返回?cái)?shù)據(jù)，那么就會(huì)使頂級(jí)管理者成為系統(tǒng)瓶頸，易造成單點(diǎn)故障。因此，我們?cè)诠芾睃c(diǎn)設(shè)置一些和檢測(cè)點(diǎn)與響應(yīng)點(diǎn)相對(duì)應(yīng)的通信對(duì)象，即檢測(cè)點(diǎn)管理者和安全響應(yīng)點(diǎn)管理者，由它們負(fù)責(zé)和檢測(cè)點(diǎn)進(jìn)行數(shù)據(jù)交換、解析檢測(cè)點(diǎn)返回的數(shù)據(jù)、執(zhí)行安全響應(yīng)任務(wù)。這樣頂級(jí)管理點(diǎn)的任務(wù)就簡(jiǎn)化為通過(guò)檢測(cè)點(diǎn)管理者向相應(yīng)

11、的檢測(cè)點(diǎn)和安全響應(yīng)點(diǎn)發(fā)布命令，進(jìn)行任務(wù)管理。從而將頂級(jí)管理點(diǎn)原有的任務(wù)管理和數(shù)據(jù)交互的功能分散在兩類(lèi)對(duì)象中。頂級(jí)管理點(diǎn)要能夠?qū)z測(cè)點(diǎn)和響應(yīng)點(diǎn)進(jìn)行管理，它首先必須獲得檢測(cè)點(diǎn)和響應(yīng)點(diǎn)的對(duì)象引用。在Aegis中是通過(guò)注冊(cè)來(lái)實(shí)現(xiàn)的。檢測(cè)點(diǎn)或響應(yīng)點(diǎn)啟動(dòng)后主動(dòng)向管理點(diǎn)報(bào)告，管理點(diǎn)接到檢測(cè)點(diǎn)或響應(yīng)點(diǎn)的注冊(cè)請(qǐng)求后，為它生成一個(gè)檢測(cè)點(diǎn)管理者或和響應(yīng)點(diǎn)管理者，并記錄它們的對(duì)應(yīng)關(guān)系。3.2 Aegis系統(tǒng)的實(shí)現(xiàn)3.2.1 誤用入侵檢測(cè)點(diǎn)Aegis利用專(zhuān)家系統(tǒng)進(jìn)行誤用入侵的檢測(cè)。在系統(tǒng)實(shí)現(xiàn)時(shí)，先將有關(guān)入侵的特征轉(zhuǎn)化為IFTHEN蘊(yùn)含規(guī)則，其中IF部分是對(duì)入侵特征的描述，即判斷攻擊是否出現(xiàn)的必然條件，THEN部分是系統(tǒng)

12、的防范措施。推理機(jī)根據(jù)特征庫(kù)中的規(guī)則，對(duì)待判別數(shù)據(jù)進(jìn)行模式匹配，只有當(dāng)規(guī)則左邊的條件都滿(mǎn)足時(shí)，規(guī)則右邊的動(dòng)作才會(huì)執(zhí)行。知識(shí)庫(kù)中的規(guī)則按照與上下文的關(guān)系可以分為兩類(lèi)。第一類(lèi)規(guī)則具有上下文無(wú)關(guān)性，也就是說(shuō)入侵分析無(wú)需知道其它數(shù)據(jù)包的信息，僅根據(jù)當(dāng)前數(shù)據(jù)包中提供的信息就能分辨出是否有入侵出現(xiàn)。另一類(lèi)則具有上下文相關(guān)性，當(dāng)從一個(gè)數(shù)據(jù)包中無(wú)法判斷出是否存在攻擊時(shí)，需要綜合與之相關(guān)的其它數(shù)據(jù)包的信息。也就是說(shuō)對(duì)當(dāng)前安全事件的分析要與過(guò)去所了解的相關(guān)歷史信息聯(lián)系起來(lái)，使結(jié)果更加準(zhǔn)確可信。負(fù)責(zé)第一類(lèi)規(guī)則匹配的推理機(jī)一直處于工作狀態(tài)，每當(dāng)捕獲到一個(gè)數(shù)據(jù)包時(shí)，它都要使用上下文無(wú)關(guān)規(guī)則進(jìn)行匹配分析，匹配成功就報(bào)警，

13、否則就先將數(shù)據(jù)存儲(chǔ)在特定的數(shù)據(jù)結(jié)構(gòu)中，作為第二個(gè)推理機(jī)的輸入；負(fù)責(zé)第二類(lèi)規(guī)則匹配的推理機(jī)處于睡眠狀態(tài)，間隔一段時(shí)間被喚醒一次。喚醒后，使用上下文相關(guān)規(guī)則對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行匹配分析。匹配成功則報(bào)警，否則將數(shù)據(jù)傳遞到管理點(diǎn)進(jìn)行下一步分析。攻擊模式庫(kù)作為系統(tǒng)的插件，能進(jìn)行動(dòng)態(tài)配置和更新，因此系統(tǒng)靈活，擴(kuò)展性好。這種方法的優(yōu)點(diǎn)是對(duì)已知特征的攻擊檢測(cè)準(zhǔn)確率和效率高、實(shí)時(shí)性好。缺點(diǎn)是防范入侵的有效性取決于專(zhuān)家系統(tǒng)知識(shí)庫(kù)的完備性。為了能最大限度的保證系統(tǒng)的安全性，安全管理員需經(jīng)常了解誤用入侵的最新動(dòng)態(tài)，提取新的入侵特征，并用規(guī)則表示之，最后加入知識(shí)庫(kù)6。3.2.2 異常入侵檢測(cè)點(diǎn)為了提高Aegis對(duì)未知攻擊的

14、適應(yīng)，我們采用數(shù)據(jù)挖掘技術(shù)7,如圖2所示。先將二進(jìn)制表示的原始審計(jì)數(shù)據(jù)用ASCII碼表示，原始數(shù)據(jù)可以是網(wǎng)絡(luò)數(shù)據(jù)包、操作系統(tǒng)的系統(tǒng)調(diào)用過(guò)程或用戶(hù)的操作行為。然后進(jìn)行數(shù)據(jù)預(yù)處理工作，例如將原始數(shù)據(jù)歸納為T(mén)CP鏈接、Telnet會(huì)話(huà)過(guò)程、用戶(hù)執(zhí)行命令集和用戶(hù)使用系統(tǒng)時(shí)的等。將整理好的數(shù)據(jù)插入訓(xùn)練數(shù)據(jù)集后，作為某種數(shù)據(jù)挖掘算法的輸入，就可從這個(gè)訓(xùn)練數(shù)據(jù)集中得到提取到的模式或特征。然后同樣執(zhí)行數(shù)據(jù)收集和預(yù)處理過(guò)程，得到評(píng)估數(shù)據(jù)集,用來(lái)評(píng)估新得到的模式或特征的準(zhǔn)確率。若評(píng)估結(jié)果令人滿(mǎn)意，則可將當(dāng)前的模式或特征加入特征庫(kù)，若不滿(mǎn)意，則重新選取數(shù)據(jù)、挖掘算法，或重新設(shè)置算法中的參數(shù)。最后，就可用模式或特征庫(kù)

15、中已有的知識(shí)來(lái)處理的預(yù)言數(shù)據(jù)，得到預(yù)言結(jié)果。Aegis系統(tǒng)使用分類(lèi)算法和聚類(lèi)算法可以發(fā)現(xiàn)未知的攻擊形式，使用關(guān)聯(lián)規(guī)則可以發(fā)現(xiàn)越權(quán)用戶(hù)和假冒用戶(hù)，同時(shí)還能在未知攻擊的特征趨于穩(wěn)定后，自動(dòng)將攻擊特征轉(zhuǎn)化為規(guī)則，下發(fā)到檢測(cè)點(diǎn)中，從而實(shí)現(xiàn)自動(dòng)維護(hù)專(zhuān)家系統(tǒng)中的規(guī)則庫(kù)。3.2.3 安全響應(yīng)點(diǎn)安全響應(yīng)點(diǎn)由一系列組件組成:1)防火墻組件。當(dāng)檢測(cè)點(diǎn)檢測(cè)出入侵時(shí)，它在向管理點(diǎn)報(bào)告入侵事件的發(fā)生時(shí)間和攻擊源的同時(shí),會(huì)通知本域中的防火墻組件。防火墻組件修改防火墻的策略，過(guò)濾掉攻擊源的地址。然后，防火墻組件再將該消息發(fā)送給管理點(diǎn)中的安全響應(yīng)點(diǎn)管理者，由它再轉(zhuǎn)發(fā)給其他的防火墻組件，相應(yīng)調(diào)整各自的防火墻策略，保護(hù)網(wǎng)絡(luò)中的其

16、它結(jié)點(diǎn)不受攻擊，起到預(yù)警的作用。2)負(fù)載均衡組件。Aegis采用地址轉(zhuǎn)換作為實(shí)現(xiàn)負(fù)載均衡的方法。具體采用Linux下的防火墻軟件iptables作為地址轉(zhuǎn)換器NAT,同時(shí)根據(jù)性能監(jiān)測(cè)引擎所監(jiān)測(cè)到每臺(tái)內(nèi)部主機(jī)的性能數(shù)據(jù)作為挑選內(nèi)部地址的依據(jù)。負(fù)載均衡組件每隔一段時(shí)間會(huì)輪詢(xún)每個(gè)提供相同服務(wù)的服務(wù)器的負(fù)載情況，從中挑選出一個(gè)負(fù)載最輕的主機(jī)，同時(shí)會(huì)向防火墻組件發(fā)送消息，告知這個(gè)負(fù)載最輕的地址。當(dāng)防火墻組件接到這個(gè)消息后，立即增加NAT地址轉(zhuǎn)換策略。當(dāng)有服務(wù)請(qǐng)求發(fā)送到防火墻時(shí)，就可以根據(jù)策略將請(qǐng)求目的地址轉(zhuǎn)換為那個(gè)負(fù)載最輕的主機(jī)地址，這樣就完成了負(fù)載均衡。3)災(zāi)難恢復(fù)組件。為了完成災(zāi)難恢復(fù)，需要將主機(jī)檢

17、測(cè)的文件監(jiān)測(cè)引擎和文件備份協(xié)同起來(lái)。文件監(jiān)測(cè)主要是通過(guò)對(duì)文件完整性的監(jiān)測(cè)來(lái)完成的，其主要技術(shù)主要是根據(jù)文件內(nèi)容提取一個(gè)數(shù)字摘要，通過(guò)對(duì)比兩次的計(jì)算的數(shù)字摘要是否相同來(lái)發(fā)現(xiàn)文件是否被修改。進(jìn)一步結(jié)合用戶(hù)行為的檢測(cè)，判斷當(dāng)前的修改是否非法。若是非法的，就選擇一個(gè)文件備份組件對(duì)指定文件以流的形式還原。4結(jié)語(yǔ)Aegis將CORBA、人工智能、協(xié)同和IDS技術(shù)相結(jié)合，有效的解決了當(dāng)前入侵檢測(cè)系統(tǒng)面臨的平臺(tái)異構(gòu)、無(wú)統(tǒng)一通信機(jī)制和安全策略等問(wèn)題。Aegis已經(jīng)被實(shí)現(xiàn)，通過(guò)在校園網(wǎng)環(huán)境的初步應(yīng)用表明，它基本能滿(mǎn)足大型網(wǎng)絡(luò)在性能、狀態(tài)監(jiān)控和入侵檢測(cè)等方面的要求。當(dāng)然，要使系統(tǒng)能夠大范圍推廣應(yīng)用，還有待完善和改進(jìn)

18、，例如，應(yīng)完善對(duì)異常入侵的檢測(cè)，增強(qiáng)系統(tǒng)的智能性，減少誤報(bào)率；增加系統(tǒng)的容錯(cuò)能力與抗攻擊能力；加強(qiáng)安全響應(yīng)部件之間工作的協(xié)同性。參考文獻(xiàn)：1 SPAFFORDE.CrisisandAfterMathJ.CommunicationsoftheACM,1989,32(6):678-7862 STEFANA.IntrusionDetectionSystems:ASurveyandTaxonomyOL.http:www.cs.chalmers.se/sax/pub/,2004-6-9.3 段海新，吳建平.分布式協(xié)同入侵檢測(cè)一系統(tǒng)結(jié)構(gòu)設(shè)計(jì)與實(shí)現(xiàn)問(wèn)題J.小型微型計(jì)算機(jī)系統(tǒng)，2001,22(6):646-5

19、604 汪蕓.CORBA技術(shù)及其應(yīng)用M.南京：東南大學(xué)出版社，1999.5吳曉南.基于智能的分布式網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)D.西安：西北大學(xué)計(jì)算機(jī)科學(xué)系，2003.6 龔儉，董慶，陸晟.面向入侵檢測(cè)的網(wǎng)絡(luò)安全檢測(cè)實(shí)現(xiàn)模型J.小型微型計(jì)算機(jī)系統(tǒng)，2001,22(2):145-1487 ADBELAZIZM.Rule-baseddistributedintrusiondetectionD.UniversityofNamur,Belgium,1997.(編輯曹大剛)ResearchonadistributednetworkintrusiondetectionsystemANNa,WUXiao-nan,CHENXiao-jiang,FANGDing-yi(DepartmentofComputerScience,NorthwestUniversity,Xi'an710069)Abstract:ACORBA-baseddistributednetworkintrusiondetectionsystemmodelisproposedtoovercomeproblemsex