协同网络入侵检测CIDS

1、概念
2、CIDS的分类
3、解决办法
4、CIDS模型
5、挑战与不足

⚠申明：未经许可，禁止以任何形式转载，若要引用，请标注链接地址。全文共计2598字，阅读大概需要3分钟
🌈更多学习内容，欢迎👏关注👀【文末】我的个人微信公众号：不懂开发的程序猿
个人网站：https://jerry-jy.co/

1、概念

协同入侵检测技术( collaborative intrusion detection system，CIDS) 以分布式入侵检测系统 DIDS ( distributed intrusion detection system，DIDS) 结构为基础，能够结合其他技术，通过多种协同方式检测出大规模协同攻击，是一种能够提高检测精度、可以部署在大规模网络的入侵检测技术。
协同概念引入到 IDS 中，旨在通过多源数据采集、多方协同处理来提高整体 IDS 的检测率。目前研究人员普遍将 CIDS 定义为: 两个及以上具备一定独立检测能力的个体，通过数据收集、检测分析、告警响应三个方面的协同工作，共同达到入侵检测目的的综合入侵检测系统。

2、CIDS的分类

分层式 CIDS 即子系统协同 IDS，是集中式 CIDS 的改进。它将整个 IDS 分成若干个小的子系统，子系统能够对收集的数据进行过滤和关联，并反馈给上级的处理节点，最终交付到顶层处理中心，实现以顶层处理中心为根节点的树状层次检测模型。在分层式 CIDS 中，通过子处理器对数据的过滤和聚合缓解了中心处理器的数据处理压力，提高了系统处理性能和处理效率，但是数据在每一层都被聚合处理，存在数据损失的情况，一些隐蔽性强的攻击可能会被忽略; 此外，基于上下级的协同关系容易因为单点故障而使检测路径中断，进而影响整体检测能力; 最后，系统安全性仍然受限于根节点，对根节点的安全要求较高。
对等式 CIDS 是在分层式 CIDS 基础上的进一步改进，节点的自主性得到进一步加强。在对等式 CIDS 中，各个节点地位平等，具有完整的入侵检测能力，因此可以并行处理数据，通过节点间的数据共享和聚合检测出复杂协同攻击，提高了系统检测能力，同时可以有效避免单点故障，提高了系统的健壮性。在基于机器学习的对等式CIDS 中，各节点通过与其他节点共享学习经验，能够不断提高自己的检测能力，进而有效提高系统的检测水平。
CIDS 相较于传统 IDS 的优势在于可以检测出大规模的分布式攻击和协同攻击，如网络扫描、蠕虫病毒与分布式拒绝服务攻击(DDoS) 等，还可以通过数据的共享改善检测方法，提高入侵检测精度，这就涉及到数据聚合的问题。在 CIDS 中，数据聚合是指将各分布式节点收集的数据进行聚合处理后，再综合分析攻击行为的方法。

3、解决办法

解决协作入侵检测问题的一种有前途的方法是通过用于消息通信的基于内容的关联方案，即用于警报关联的发布-订阅模型。发布-订阅模型已广泛应用于事件通知、移动支持服务等任务的文献中以及 Java 消息服务中。在协作入侵检测的背景下，当参与者 IDS 检测到其受监控子网中可能存在攻击时，它会生成警报，并将该警报报告给 CIDS。这称为订阅，即IDS 向 CIDS 注册其兴趣，以确认警报是否是大规模协同攻击的一部分。CIDS 的作用是关联参与 IDS 订阅的警报。如果收到足够的订阅警报来确认攻击，则 CIDS会向订阅该攻击的参与 IDS 发布已确认攻击的通知。

4、CIDS模型

一般来说，CIDS中分布计算的协作模型有3种，如图所示。第一种方法是集中式协作（图（a）），其中所有关联都在集中式节点上执行。警报由参与的 IDS 订阅到集中节点。所有警报都在集中节点处关联，该节点会通知相关 IDS 任何已确认的攻击。与其他模型相比，这种集中式协作架构具有最高的整体准确性，因为所有信息都可以在单个位置获取。关键的研究问题之一是如何在这种 CIDS 中找到灵敏度和误报率之间的权衡。

在这里插入图片描述

第二种方法是单级分层协作，如图（b）所示。在这种方法中，一些关联可以由参与的IDS在本地执行，因此并非所有警报都需要订阅到中央关联节点。这可以减少集中式节点上的计算负载，以便支持可用于寻找更具表现力（即，计算成本昂贵）的警报模式的更复杂的算法。

第三种方法是消除对集中式关联节点的需要，从而可以以分散的方式在参与的IDS之间分配关联负载如图©。特别地，该方法支持对等（P2P）通信方案。为了以可扩展的方式工作，需要一种方法将订阅的警报自动路由到负责的对等点以进行关联，以便对等点不需要跟踪哪些对等点负责哪些攻击实例。

5、挑战与不足

CIDS 有可能解决孤立 IDS 的问题，因为它们能够识别网络范围的攻击，并通过结合来自多个网络的攻击证据来减少误报。
然而，CIDS 带来了如下新挑战。

系统架构：CIDS本质上是一个分布式入侵检测系统。因此，该架构决定了如何共享和处理来自各个检测传感器的警报。检测单元和关联单元放置在哪里将影响CIDS的可扩展性和性能。
•警报关联：CIDS的主要目标是检测网络范围的攻击并减少不相关的警报，这是通过警报关联（即数据关联单元）来实现的。来自各个传感器的警报如何关联决定了 CIDS 的检测准确性。
数据隐私：如果组织之间共享信息，数据隐私是实践中的一个重要问题。如果 CIDS 没有提供适当的隐私措施，那么个体参与者一开始就不太可能分享他们的警报。
安全和信任：与其他分布式系统一样，安全和信任是任何 CIDS 的一个重要方面。由于CIDS的整体检测准确性取决于每个参与的IDS提供的警报信息的正确性，因此验证警报的可信度非常重要。

–end–