基于信息共享的协同入侵检测模型研究(3)

ε邻域，记作I = t(ε)。       定义2.2：如果事件i的ε邻域内，存在M个事件i₁，i₂，…，i_M，满足条件i₁，i₂，…，i_M∈I，则称事件i为核，且事件i到事件i_j（1≤j≤M）是直接密度可达的。       定义2.3：事件i与事件i_m密度可达，当且仅当存在n个事件i₁，i₂，…，i_n，满足条件i到i₁直接密度可达，i_j到i_j+1（1≤j≤n-1）直接密度可达，i_n到i_m直接密度可达。       假设系统实时处理警报的时间间隔为T₀，通常取警报聚合半径ε为ε =T₀。图3给出了DBTCAN算法的描述。                                                  图3 DBTCAN算法描述       在聚合算法中，c_l为常数系数，h_l为属性聚合函数，包括优先级，时间戳等属性的更新和合并。PRIORITY是警报进入关联分析队列的阈值。当遇到突发情况大量重复事件警报增加时，在警报聚合计算优先级时会除以该时间内连续重复警报的数量降低优先级，以免淹没正常的警报。在聚合警报的基础上，对进入关联队列的警报进行关联分析。图4给出警报关联分析算法的描述。 图4 关联分析算法描述 3  原型系统实现

3.1 体系结构

       以IDS的一般结构为基础，考虑到协同检测的需要，原型系统采用基于组件的系统构建方法，图5给出了体系结构示意图，系统主要包括下述组件： •       检测组件（Intrusion Detection Component，IDC）； •       协作管理器（Cooperative Manager，CM）； •       入侵检测管理器（Intrusion Detection Manager，IDM）； •       用户接口（User Interface，UI）。 图5 原型系统体系结构

 

3.2   入侵检测组件

      检测组件IDC是协同检测系统最基本的工作单位，它实际上对IDS提供了一种封装，通过封装，提供了与协作管理器的统一接口。以SNORT为例，通过一个Wrapper程序将SNORT封装成一个IDC，这个IDC既可以完成与SNORT一样的检测功能，也可以与协作管理器交互，参与协作。原型系统使用的检测组件主要封装了BRO^[3]、SNORT^[4]和LERAD^[5]三种IDS，以下对各个检测组件稍作介绍。

3.2.1 BRO

      从检测方法分类来看，BRO是基于网络的误用检测系统。BRO的核心是事件的生成和处理机制。事件的生成和处理机制与MFC比较相似。BRO系统预定义了一系列的基本事件，包括TCP连接的建立、结束等，同时也对这些事件注册了基本的事件处理函数。BRO提供一种类似于C++的编程语言，用户可以利用这种语言定义新的事件和相应的事件处理函数，同时也可以扩充预定义的事件处理函数。BRO本身有一些针对不同协议的事件处理插件，用户可以编写自己的事件处理插件。