协同网络入侵检测CIDS

news2024/12/24 21:26:55

协同网络入侵检测CIDS

  • 1、概念
  • 2、CIDS的分类
  • 3、解决办法
  • 4、CIDS模型
  • 5、挑战与不足

⚠申明: 未经许可,禁止以任何形式转载,若要引用,请标注链接地址。 全文共计2598字,阅读大概需要3分钟
🌈更多学习内容, 欢迎👏关注👀【文末】我的个人微信公众号:不懂开发的程序猿
个人网站:https://jerry-jy.co/

1、概念

协同入侵检测技术( collaborative intrusion detection system,CIDS) 以分布式入侵检测系统 DIDS ( distributed intrusion detection system,DIDS) 结构为基础,能够结合其他技术,通过多种协同方式检测出大规模协同攻击,是一种能够提高检测精度、可以部署在大规模网络的入侵检测技术。
协同概念引入到 IDS 中,旨在通过多源数据采集、多方协同处理来提高整体 IDS 的检测率。目前研究人员普遍将 CIDS 定义为: 两个及以上具备一定独立检测能力的个体,通过数据收集、检测分析、告警响应三个方面的协同工作,共同达到入侵检测目的的综合入侵检测系统。

2、CIDS的分类

分层式 CIDS 即子系统协同 IDS,是集中式 CIDS 的改进。它将整个 IDS 分成若干个小的子系统,子系统能够对收集的数据进行过滤和关联,并反馈给上级的处理节点,最终交付到顶层处理中心,实现以顶层处理中心为根节点的树状层次检测模型。在分层式 CIDS 中,通过子处理器对数据的过滤和聚合缓解了中心处理器的数据处理压力,提高了系统处理性能和处理效率,但是数据在每一层都被聚合处理,存在数据损失的情况,一些隐蔽性强的攻击可能会被忽略; 此外,基于上下级的协同关系容易因为单点故障而使检测路径中断,进而影响整体检测能力; 最后,系统安全性仍然受限于根节点,对根节点的安全要求较高。
对等式 CIDS 是在分层式 CIDS 基础上的进一步改进,节点的自主性得到进一步加强。在对等式 CIDS 中,各个节点地位平等,具有完整的入侵检测能力,因此可以并行处理数据,通过节点间的数据共享和聚合检测出复杂协同攻击,提高了系统检测能力,同时可以有效避免单点故障,提高了系统的健壮性。在基于机器学习的对等式CIDS 中,各节点通过与其他节点共享学习经验,能够不断提高自己的检测能力,进而有效提高系统的检测水平。
CIDS 相较于传统 IDS 的优势在于可以检测出大规模的分布式攻击和协同攻击,如网络扫描、蠕虫病毒与分布式拒绝服务攻击(DDoS) 等,还可以通过数据的共享改善检测方法,提高入侵检测精度,这就涉及到数据聚合的问题。在 CIDS 中,数据聚合是指将各分布式节点收集的数据进行聚合处理后,再综合分析攻击行为的方法。

3、解决办法

解决协作入侵检测问题的一种有前途的方法是通过用于消息通信的基于内容的关联方案,即用于警报关联的发布-订阅模型。发布-订阅模型已广泛应用于事件通知、移动支持服务等任务的文献中以及 Java 消息服务中。在协作入侵检测的背景下,当参与者 IDS 检测到其受监控子网中可能存在攻击时,它会生成警报,并将该警报报告给 CIDS。这称为订阅,即IDS 向 CIDS 注册其兴趣,以确认警报是否是大规模协同攻击的一部分。CIDS 的作用是关联参与 IDS 订阅的警报。如果收到足够的订阅警报来确认攻击,则 CIDS会向订阅该攻击的参与 IDS 发布已确认攻击的通知。

4、CIDS模型

一般来说,CIDS中分布计算的协作模型有3种,如图所示。第一种方法是集中式协作(图(a)),其中所有关联都在集中式节点上执行。警报由参与的 IDS 订阅到集中节点。所有警报都在集中节点处关联,该节点会通知相关 IDS 任何已确认的攻击。与其他模型相比,这种集中式协作架构具有最高的整体准确性,因为所有信息都可以在单个位置获取。关键的研究问题之一是如何在这种 CIDS 中找到灵敏度和误报率之间的权衡。


在这里插入图片描述


第二种方法是单级分层协作,如图(b)所示。在这种方法中,一些关联可以由参与的IDS在本地执行,因此并非所有警报都需要订阅到中央关联节点。这可以减少集中式节点上的计算负载,以便支持可用于寻找更具表现力(即,计算成本昂贵)的警报模式的更复杂的算法。

第三种方法是消除对集中式关联节点的需要,从而可以以分散的方式在参与的IDS之间分配关联负载如图©。特别地,该方法支持对等(P2P)通信方案。为了以可扩展的方式工作,需要一种方法将订阅的警报自动路由到负责的对等点以进行关联,以便对等点不需要跟踪哪些对等点负责哪些攻击实例。

5、挑战与不足

CIDS 有可能解决孤立 IDS 的问题,因为它们能够识别网络范围的攻击,并通过结合来自多个网络的攻击证据来减少误报。
然而,CIDS 带来了如下新挑战。

  • 系统架构:CIDS本质上是一个分布式入侵检测系统。因此,该架构决定了如何共享和处理来自各个检测传感器的警报。检测单元和关联单元放置在哪里将影响CIDS的可扩展性和性能。
    •警报关联:CIDS的主要目标是检测网络范围的攻击并减少不相关的警报,这是通过警报关联(即数据关联单元)来实现的。来自各个传感器的警报如何关联决定了 CIDS 的检测准确性。

  • 数据隐私:如果组织之间共享信息,数据隐私是实践中的一个重要问题。如果 CIDS 没有提供适当的隐私措施,那么个体参与者一开始就不太可能分享他们的警报。

  • 安全和信任:与其他分布式系统一样,安全和信任是任何 CIDS 的一个重要方面。由于CIDS的整体检测准确性取决于每个参与的IDS提供的警报信息的正确性,因此验证警报的可信度非常重要。

–end–

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1150835.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Spring Security授权架构介绍

授权架构重点在于从 Authentication 中获得该认证所具有的权限 GrantedAuthority,以及对请求或路径设置访问所需权限。 GrantedAuthority 在之前的Spring Security:认证架构中,我们已经介绍了在 Authentication 中存储 GrantedAuthority 的…

21. 合并两个有序链表、Leetcode的Python实现

博客主页:🏆看看是李XX还是李歘歘 🏆 🌺每天不定期分享一些包括但不限于计算机基础、算法、后端开发相关的知识点,以及职场小菜鸡的生活。🌺 💗点关注不迷路,总有一些📖知…

自相矛盾的LLM幻觉:评估、检测、缓解10.30

自相矛盾的LLM幻觉:评估、检测、缓解 摘要引言相关工作定义和激励自我矛盾4 触发、检测和减轻自相矛盾的行为5 实例化到开放文本生成6 实验 摘要 大型语言模型(Large LMs)容易产生包含虚构内容的文本。其中一个重要问题是自相矛盾&#xff0…

windows server 2016-IIS静态服务器-设置详细过程

文章目录 1.打开仪表盘新建角色2.iis功能模块3.启动服务器4.优点 1.打开仪表盘新建角色 2.iis功能模块 能选上的尽量选上,除非知道自己用不上。 然后确认,下一步,安装。 3.启动服务器 搜索IIS,启动IIS管理器。 启动网站。 右…

【杂记】Filter过滤器和Interceptor拦截器的区别

过滤器Filter与拦截器Interception区别? 包的位置不同。 filter位于tomcat里面,interception位于Spring-webmvc filter位置: interceptor位置: 实现方式不同。在自定义的时候,filter我们可以实现Filter接口&#xf…

精品Python产品销售数据可视化大屏系统-仓库出入库进销存储

《[含文档PPT源码等]精品基于Python的产品销售数据可视化系统的设计与实现》该项目含有源码、文档、PPT、配套开发软件、软件安装教程、项目发布教程、包运行成功! 软件开发环境及开发工具: 开发语言:python 使用框架:Django …

组学数据上传(六)|GEO数据库数据上传实操

最近有些老师反馈文章发表时要求提供GEO登录号,如:GSEXXXX,问要怎么获取这种登录号?这时就需要把数据上传至GEO数据库了。还在等什么,跟着小编了解下GEO数据库,手把手教您上传数据至GEO数据库。 GEO数据库全称GENE EXPRESSION OMNIBUS&…

北京新一代信息技术产教联合体成立,360以ISC安全课助力建设工作

10月29日,北京新一代信息技术产教联合体(简称联合体)成立大会在北京360大厦A座报告厅成功举行。本次大会在中关村科技园区朝阳园管理委员会、北京市教委职业教育与成人教育处的指导下,由360数字安全集团、北京电子城高科技集团股份…

产品经理如何写好互联网产品说明书

互联网产品说明书是产品经理在产品开发过程中必不可少的文档之一。它起到了明确产品的功能和特性的作用,帮助团队成员更好地理解和掌握产品的核心功能。因此,作为产品经理,应该重视互联网产品说明书。那么产品经理该如何写好互联网产品说明书…

Mac电脑VS Code配置Flutter开发环境(图文超详细)

一、安装Android Studio 官网地址: https://developer.android.google.cn/ 历史版本下载地址: https://developer.android.com/studio/archive?hlzh-cn 二、安装Xcode 到App Store下载安装最新版本,如果MacOS更新不到13.0以上就无法安装…

【多线程面试题十四】、说一说synchronized的底层实现原理

文章底部有个人公众号:热爱技术的小郑。主要分享开发知识、学习资料、毕业设计指导等。有兴趣的可以关注一下。为何分享? 踩过的坑没必要让别人在再踩,自己复盘也能加深记忆。利己利人、所谓双赢。 面试官:说一说synchronized的底…

三分钟带你了解JS、原型、原型链

1.什么是JS? JavaScript是一种基于对象的脚本语言,它不仅可以创建对象,也能使用现有的对象; 它是基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式、声明式、函数式编程范式; 白话一点说就是…

算法的时间复杂度及空间复杂度

目录 一、前言 二、时间复杂度 1.时间复杂度定义 2.时间复杂度描述方法 三、实例代码 实例1(取影响最大的项) 实例2(舍去系数) 实例3(不确定大小关系的用max函数取最大) 实例4(常数次的…

【IDEA】每个方法之间如何设置分隔线

修改后效果: 各个方法之间出现了分隔线

大模型LLMs 部分常见面试题答案-基础面

题库来源:GitHub - km1994/LLMs_interview_notes: 该仓库主要记录 大模型(LLMs) 算法工程师相关的面试题 目录 1. Prefix Decoder、Causal Decoder和Encoder-Decoder的区别 1.1 Prefix Decoder 1.2 Causal Decoder 1.3 Encoder-Decoder …

前端包管理工具详解

一、npm包管理工具 1.代码共享方案 我们已经学习了在JavaScript中可以通过模块化的方式将代码划分成一个个小的结构: 在以后的开发中我们就可以通过模块化的方式来封装自己的代码,并且封装成一个工具;这个工具我们可以让同事通过导入的方式…

【多线程面试题十八】、说一说Java中乐观锁和悲观锁的区别

文章底部有个人公众号:热爱技术的小郑。主要分享开发知识、学习资料、毕业设计指导等。有兴趣的可以关注一下。为何分享? 踩过的坑没必要让别人在再踩,自己复盘也能加深记忆。利己利人、所谓双赢。 面试官:说一说Java中乐观锁和悲…

单元化架构的思考

银行业“多活”的发展历程 受监管政策的要求,银行一般会在同城、异地或者多地进行数据中心建设,以保证系统的稳定运行,但从目前实际情况来看,“同城双活”目前仍是很多银行采用的主要形式。银行业的“多活”架构在发展过程中存在三…

文件管理怎么清内存?效率提升一倍

定期清理文件管理可以释放存储空间和提高系统性能。随着时间的推移,手机中可能会存储大量无用的数据,例如缓存、垃圾文件等,导致系统运行缓慢。那么如何清理文件管理的内存呢?下面介绍三种方法。 一、搜索无用的文件夹进行清理 1…

钛虎机械臂移植

安装软件 1 安装fcl git clone https://gitee.com/xjEzekiel/fcl.git cd fcl mkdir build cd build cmake .. make sudo make install2 安装octomap sudo apt install ros-melodic-octomap-ros3 其他 sudo apt install ros-melodic-eigen-stl-containers sudo apt install r…