一種基于CORBA的分布式入侵防御系統(tǒng).pdf

1、本文提出一種基于CORBA(Common Object Request Broker Agent)的分布式入侵防御系統(tǒng)(DIPS,Distributed Intrusion Protection System),較之傳統(tǒng)的入侵監(jiān)測(cè)系統(tǒng),具有實(shí)時(shí)、易擴(kuò)展、能預(yù)先防御入侵的性能,能適應(yīng)大規(guī)模和寬帶高速網(wǎng)絡(luò)的入侵防御.該系統(tǒng)中的嗅探器以分布對(duì)象的方式實(shí)現(xiàn),采用協(xié)議分析和針對(duì)規(guī)則匹配而改進(jìn)的匹配算法預(yù)先分析處理數(shù)據(jù)包,改善了網(wǎng)絡(luò)阻塞,能實(shí)時(shí)預(yù)報(bào)

2、所在網(wǎng)絡(luò)環(huán)境中的入侵事件.網(wǎng)絡(luò)分流器的加入有效防止了交換式網(wǎng)絡(luò)中因數(shù)據(jù)量過(guò)大引起的數(shù)據(jù)丟失;IPS部件通過(guò)主動(dòng)和被動(dòng)響應(yīng)方式,發(fā)送報(bào)警日志給管理員、切斷攻擊者的連接等手段來(lái)阻止其它部件檢測(cè)到的攻擊,該部件中的蜜罐系統(tǒng)能識(shí)別加密和IPV6攻擊,并向系統(tǒng)提供詳細(xì)的攻擊者信息,對(duì)攻擊者的攻擊行為提供證掘;分析器產(chǎn)生的新檢測(cè)規(guī)則要經(jīng)由控制臺(tái)的人工識(shí)別進(jìn)行更新,才能進(jìn)入規(guī)則庫(kù),避免了由機(jī)器學(xué)習(xí)產(chǎn)生的高誤警;本地控制臺(tái)負(fù)責(zé)本地各分布部件的協(xié)調(diào)配置工

3、作,及時(shí)處理本地嗅探器和分析器檢測(cè)到的入侵事件及分析器產(chǎn)生的新檢測(cè)規(guī)則,產(chǎn)生報(bào)警,通知響應(yīng)部件實(shí)時(shí)響應(yīng).有效改善了集中式結(jié)構(gòu)產(chǎn)生的系統(tǒng)瓶頸,提高了系統(tǒng)的健壯性;各部件通過(guò)CORBA3.0提供的安全服務(wù)和IDWG(Intrusion Detection Working Group)發(fā)布的即將成為RFC的入侵檢測(cè)交換協(xié)議(IDXP,Intrusion Detection Exchange Protocol)進(jìn)行通信,保證了系統(tǒng)安全和通信協(xié)議