基于分布式数据库的入侵检测系统
时间:2021-04-09 07:53:48 来源:达达文档网 本文已影响 人 
摘要:入侵检测系统是当前计算机界研究的热点,但众多的设计方案更多偏重于算法上的改进,在实际应用中入侵检测技术还不成熟,面临瓶颈。分布式数据库由于其自身特性使得系统存取数据效率大大提高,所以如果将分布式数据库与入侵检测系统结合将可以有效提高入侵检测系统的性能。基于分布式数据库的入侵检测系统就是根据这种思想解决了从设计方法、存储模式、数据处理到实际应用的一系列问题,由此可以看出入侵检测系统的应用发展前景相当广阔,尝试通过局部的优化可以有效提高其应用效果。
关键词:入侵检测;入侵检测系统;事件数据库;分布式数据库
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6618-02
Intrusion Detection System Based on Distributed Database
ZHAO Liang, WANG Guo-an
(Henan University, Kaifeng 475004, China)
Abstract: Intrusion Detection System (IDS) is a research hotspot in the current computer world, but the numerous design proposals emphasis on improvements in the algorithm, in the practical applications IDS technology is still immature which is facing a bottleneck. Distributed database (DDB) makes the system greatly enhanced in the efficiency of access to data because of its characteristics, so if combining DDB with IDS will be able to improve the performance of IDS effectively. According to this thinking, IDS based on DDB resolves a range of issues from design method, storage pattern, data processing to practical application, and this shows the development prospects of IDS is very broad, and attempts through the partial optimization may enhance its application effect effectively.
Key words:intrusion detection; IDS; event database; DDB
入侵检测作为有效的网络安全技术已经发展了二十多年,一直以来它都倍受关注,如今已经发展成为计算机界研究的热点问题之一。在当前计算机每时每刻都有遭受攻击的危险下,如何避免系统崩溃、数据丢失已经成为关系企业利益和国家安全的重要课题,因此围绕入侵检测不断涌现出许多新思维、新方法和新技术。本文在入侵检测系统的基础上,把分布式数据库技术运用于事件数据库中,改善入侵检测系统的性能,提高入侵检测系统响应的及时性和准确率。
1 入侵检测与入侵检测系统
入侵检测(Intrusion Detection)指对入侵行为的发现、报警和响应,它通过收集计算机网络或计算机系统中若干关键点的信息,并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆[1]。
入侵检测系统(Intrusion Detection System,IDS)是完成入侵检测功能的软件、硬件的集合。它作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。
入侵检测系统可以分为四个组件:事件产生器(Event generators)、事件分析器(Event analyzers)、响应单元(Response units)和事件数据库(Event databases)。事件产生器的功能是从整个计算环境中捕捉事件信息,并向系统的其他组件提供该事件数据。事件分析器的功能是分析得到的事件数据,并产生分析结果。响应单元的功能是对分析结果作出反应,可以是切断连接、改变文件属性,也可以只是报警。事件数据库是存放各种中间和最终数据的设备统称,功能是指导事件的分析及反应。
2 分布式数据库技术
分布式数据库是数据库技术和网络技术的高级紧密结合,是物理上分散在计算机网络各节点上,而逻辑上属于同一个系统的数据集合。网络中的每个节点具有独立处理数据的能力,可以执行局部应用,同时也能通过网络执行全局应用。分布式数据库系统具有物理分布性、逻辑整体性、站点自治性、数据独立性、集中与自制相结合的控制机制、适当增加数据冗余等特点。因此分布式数据库提高了系统的可靠性、可用性和改善了系统的性能。
在分布式数据库中,数据存储通过以下三种途径实现:
1) 复制系统维护关系的几个完全相同的副本,各个副本存储在不同的节点上。
2) 分片关系被划分为几个片段,各个片段存储在不同的节点上。
3) 复制和分片关系被划分为几个片段,系统为每个片段维护几个副本[2]。
3 分布式数据库在入侵检测系统中的应用
3.1 引入分布式数据库的背景
入侵检测技术的两大类,不管是异常入侵检测(Anomaly Detection),还是误用入侵检测(Misuse Detection)都需要强大的数据库系统随时记录主体特征,描述主体活动,然后再根据记录的数据和信息进行后续操作。特别是误用入侵检测,它主要是通过将网络采集的数据与特征模式库中的特征进行匹配,来判断是否有入侵行为发生,因此采集的数据是否准确、完整就直接影响判断结果。尽管异常入侵检测受构建的模型不同会采取不同的检测方法,但其核心(构造异常活动集并从中发现入侵性活动子集)仍然脱离不了数值的运算,而加快数值存取的速度可以减少系统响应时间。因此,在入侵检测系统中引入分布式数据库技术有不错的应用前景。
3.2 分布式事件数据库的设计
从全局应用的角度考虑,可以将入侵检测系统的事件数据库自上而下构成分布式数据库,实现全局数据的完整性和一致性,各计算机存放本地数据。另设一台服务器存放所有事件数据,并对数据进行完整性和一致性检查,这样虽有一定的数据冗余,但在不同计算机上存储同一数据的多个副本可以提高系统的稳定性和可用性,同时提高局部应用的效率,减少通讯代价。
3.3 分布式事件数据库中数据的存储
因为各个数据库之间存在一定的数据冗余和差异,所以采用复制+分片的方法进行数据存储。各计算机之间由于都是服务器事件数据的子集,将采用水平分片的方式,通过运算实现关系的重构。
数据同步方式则根据系统需求使用事务复制(transaction replication),由于各计算机只存放本地数据,数据管理和分析功能是由服务器的数据库来完成,各计算机只需将更新的数据发送到服务器即可。可以使用事务复制进行事件数据的同步,把各计算机的数据库作为上传者,服务器的数据库作为下载者,对各计算机的数据建立快照代理,并记录下同步状态的信息。这样每一个使用事务复制的计算机数据库均有自己的日志读取代理。事务复制可以支持两种类型的对象复制:表和存储过程。在上传者中定义数据库的部分或全部数据,选择多个存储过程作为复制。当各计算机的数据发生更新时,日志读取代理将及时的把更新信息上传到服务器的数据库中。基于存储过程的复制使应用具有更好的性能,可以大大减少网络的通讯量。
3.4 分布式事件数据库中事务的处理
分布式事件数据库中数据的分布使得系统中事务具有了分布性。一个全局事务的执行被划分为在许多子事务的执行。我们可以使用事务管理器来协调各个服务器对事物的处理操作,为了避免分布式事务造成不同服务器间数据的不一致,可以把分布式事务的处理过程分为准备阶段和提交阶段两步进行。
在系统设计的过程中,为了减少网络通讯量,我们可以根据应用的功能将数据关系进行分片存放在各个数据库中,因此大部分的应用是面向局部数据的操作,但全局性的查询仍需要多个数据库的数据支持。
3.5 分布式事件数据库运行测试
首先在服务器端用Transact SQL脚本程序BEGIN DISRIBUTED TRANSCATION语句启动一个分布式事务,将该服务器作为分布式事件管理服务器,然后脚本程序执行分布式查询或远程服务器的存储过程,分布式事件管理服务器能够自动调用MS DTC,将远程服务器加入分布式事件处理。当脚本程序执行COMMIT TRANSACTION、COMMIT WORK、ROLIBACK TRANSACTION或ROLLBACK WORK语句时,分布式事件管理服务器将调用MS DTC,用它来管理提交进程,使连接服务器和远程服务器提交或回滚事件。在入侵检测系统中,如果事件管理服务器发现计算机提交的是异常或误用记录,则将该记录插入事件记录表中,同时在对应的事件数据库中将该记录的状态设为禁止,这样就有效解决了数据分散和集中管理的矛盾,实现了数据的共享和交换。经在校园ARP入侵检测系统中试运行,响应时间由原来的5ms降为4ms,大大提高了系统性能。
3.6 分布式事件数据库的优点
在对入侵检测系统的事件数据库进行了分布式的改进后,可以明显感到以下变化:
1) 功能分配趋于合理。数据和任务被赋予最适合处理它们的地点,从而减少了网络传输延迟;分布在网上的多个数据库不仅可以并行操作,而且还可以减少集中式数据库所引起的CPU或I/O瓶颈。
2) 系统可靠性提高。分布式的数据库通过数据复制技术,增加数据副本,以减少通信代价,改善系统性能,提高系统可用性,即不会因网络上某个节点的故障而引起全系统的瘫痪。
3) 可扩展性好。因为一个数据库可以分布在多台计算机上,单台计算机的最大容量不至于限制数据库的大小和吞吐量。
4) 数据访问透明。数据逻辑结构和存储结构无关,故在任意节点上都可以透明地访问其他节点上的数据库,如同所有数据库都在本地节点上一样[3]。
4 结论
以上是利用分布式数据库技术对入侵检测系统中事件数据库的改造,由于它要求硬件配置高,费用投入大,所以它主要适用于检测交换技术和高带宽环境下,大流量冲击、多IP分片情况形成的攻击,可以为规模较大的组织、企事业单位或安全要求较高的部门使用。在入侵检测技术出现瓶颈,入侵检测系统仅仅停留在研究和实验样品,而防火墙中仅集成了较为初级的入侵检测模块的情势下,尝试对入侵检测系统的事件分析器以外的其他组成部分进行改进完全可以取得一定进展。入侵检测系统有着很好的应用前景,有待进一步研究开发。
参考文献:
[1] 罗守山.入侵检测[M].北京:北京邮电大学出版社,2004:89-92.
[2] 盖九宇,张忠能,肖鹤.分布式数据库数据复制技术的分析与应用[J].计算机应用与软件,2005,22(7):36.
[3] 叶塞蓬,刘瑾,谈理.基于网络的数据库共享方式和技术[J].机电一体化,2005(6):48-49.
