控制台进行整个系统的全局策略的设置 本系统瘦服务器端按照全局策略模块中的设置, 向已建立 连接的网络代理端下达命令 网络代理端发现入侵事件后, 将 其写入远程瘦服务器端数据库, 同时写入本地日志文件 2. 4 分布式木马检测系统的工作流程 本系统各网络代理端与服务器端建立连接后, 服务器端与 部署在各个位置的多个客户端就可以对整个局域网进行实时监 控 网络代理端根据配置, 实时监控本地主机, 当检测到入侵事 件后直接写入本系统服务器端的数据库( 如图3 所示)。  结果 本系统采用分布式结构, 解决了集中式入侵检测系统存在 的因单检测点压力大而导致频繁丢包的问题; 采用多线程技术, 将捕包与解析包分离开来, 也大大减少了系统的丢包率; 通过服 务器端的统一全局策略配置, 实现了各代理端协同一致, 从服务 器端的入侵事件数据库中可以对整个局域网络的攻击有一个总 体的把握, 加强了网络安全 本系统在某大学校园网环境中进行测试, 该大学校园网采 用 核心-汇聚-接入 的三层网络结构 在校园网络各汇聚交换 机上采用端口镜像技术将本汇聚交换机主干链路数据同步到同 一台汇聚交换机的另外一个物理端口上 安装了本分布式系统 各个 AGENT 端的服务器就通过双绞线连接在此物理端口上, 籍此实现对本汇聚交换机的所有进出数据在旁路进行实时监 控 整个分布式系统通过部署在校园网各个网段的各个代理端 的实时通信, 能够对整个校园网的木马通信进行监控, 效果良 好 通过 DPI 技术对数据包负载进行深度包检测, 能够发现 灰鸽子 木马等常见木马程序的通信行为, 进而检测到校园网 内存在的僵尸网络木马程序 实验结果如图4 所示 因为使用 DPI 技术, 本系统具有检测精确度高 检测效率高的优点; 但因 木马特征库的完备问题, 存在对于未知木马无法检测的缺点。  4 结 语 本系统通过服务器端与校园网络各个位置的 Agent 网络代 理端进行通信, 实时监控校园网的网络状态, 检测局域网络的木 马程序等网络攻击, 加强了校园网络的安全 本系统在木马的 特征库的完备性方面需要进一步扩充, 同时减少对木马程序的 误报和漏报问题, 这都是下一步继续开展的研究工作 道高一尺, 魔高一丈 , 网络入侵与防御的对抗会长期持 续下去 随着入侵检测技术的发展, 新问题会不断出现 一句 话, 网络安全任重道远。 |
