分布式入侵检测系统结构设计案例

分布式入侵检测系统结构设计案例
本章主要介绍网龙入侵检测系统的体系结构和功能模块。

1系统架构设计
整个系统采用如下图所示的三层体系结构，分别为传感器，控制中心和数据中心
图1 IDS体系结构
传感器（Sensor）:
1、监听网络数据包，对其进行分析，根据分析结果，产生警报，并发送给数据中心进行存储，以备用户进行安全审计。

2、对系统进行漏洞扫描，提供给用户系统安全参考数据。

3、记录网内机器的网络访问行为，需要时进行网络访问行为内容回放。

4、提供与交换机、路由器进行通讯的接口，收集其日志信息，使用户能更有效地进行网络安全审计。

控制中心(Control Center):
1、传感器控制
控制中心检查数据中心的运行状态，当检测到数据中心出现异常时，控制中心将控制传感器，把警报信息写入到指定的内存，当数据中心恢复正常情况时，再把内存中的警报数据传送给数据中心。

2、日志报表
统计分析警报及行为日志信息，以图表、列表的形式显示给用户。

3、规则库管理
对规则进行查找、添加、删除、修改等操作，对规则进行升级。

数据中心(Data Center)
警告信息的存储，用户通过操作控制中心间接到数据中心进行警报查询及分析，从而产生用户所需的报表，方便用户进行安全审计。

2系统开发环境
入侵检测引擎(Sensor)：
操作系统为公司自行研制的linux系统：NetDragon。

编译平台为：gcc 3.2。

主要语言：C语言。

ControlCenter(控制中心)：
基于Windows 2000、XP操作系统。

编译平台为：Visual C++ 6.0。

主要语言：C、C++语言。

支持库：MFC类库。

DataCenter(数据中心)：
1、采用Mysql数据库系统：为开源软件，详情请见，支持在各主流linux平台，及Windows2000、XP操作系统上运行。

2、采用MS Sql Server数据库：支持在Windows2000、XP操作系统上运行。

3软件功能结构设计
软件功能结构如下图所示：
图2软件功能结构
图中主要功能内容如下：
User\Popedom Manager：
功能：添加、删除用户、用户属性修改、密码管理、验证码管理、权限显示。

Alert/Behavior Log：
功能：警告日志显示、警告日志导入、警告日志导出、警告日志备份、警告日志归并、警告日志清空。

Background Process
功能：警报输出、防火墙联动、参数配置、网络流量检测。

Database Manager
功能：数据库备份、数据库恢复、数据库备份的配置管理、设置数据库保存天数Rule Manager：
功能：规则修改、规则增加、规则删除、规则查找、规则分组、恢复缺省设置、定义触发响应动作、规则升级。

Sensor Manager：
功能：增加、删除、查看、配置、启动、停止。

Addition Feature
功能：内容回放、漏洞扫描及相关性分析、与网络设备的日志收集接口
4公用构件设计
加密解密程序库：作为公用的构件，用公共头文件进行声明，其它程序模块只需要调用就可以了。

IDS发送会话密钥,指定加密方法(当前加密方法支持3DES)，此时的通信使
用共有的密钥加密，经Base64编码后，附加结尾字符’\0’发送；
5系统辅助功能模块
参数配置模块
本模块主要是针对传感器配置文件进行重写，使传感器能以适当的方式对网络数据包进行处理。

1、用户操作Console通过Backgroud Server对Config File中的一些传感器参数进行更改。

2、修改Config File后，Console通过Backgroud Server控制Sensor重新启
动。

Sensor在重新启动的过程中，读取Config File中各参数，根据这些参数对网络数据包进行处理。

图3参数配置模块结构图
2报警输出模块
在入侵检测引擎检测到了攻击以后，由报警输出模块负责将警告信息以不同的方式发送。

以达到向管理员报警的作用。

图4报警输出流程
3防火墙联动模块
在IDS发现入侵行为以后，根据入侵行为的严重程度，可以通过此模块与防火墙联动达到对来自于某些IP地址的数据包进行阻断的作用。

IDS与防火墙的关联图如下所示：
入侵侦测系统防火墙系统
图5入侵检测系统与防火墙的关联图。