CMDIDS系统组成、结构与特点

CMDIDS 系统是一个集状态监测，入侵检测和入侵响应于一体、网络与主

机检测相结合、适于大型网络结构的DIDS。CMDIDS 系统主要由管理点、网络检测

点、主机检测点和安全响应点 4 部分组成 [5] (见图 1)。在 CMDIDS 应用环境中，

用户可将一个大型网络划分成多个域，每个域中可部署一个网络检测点，多个安全

响应点和多个主机检测点。整个系统只需部署一个管理点。

网络/主机检测点的任务是采集原始数据，对原始数据按照用户要求进行

过滤，并反馈给管理点，实现实时状态监测，或对原始数据进行误用入侵检测，将

结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管

理器 4 部分组成。

安全响应点是网络中除检测点以外涉及网络安全和网络管理的各种软件资

源，例如防火墙组件、文件备份组件以及负载均衡组件等。

管理点的任务是管理和配置所有的网络检测点，负责它和检测点的信息交

流，汇总和存储检测点上报的数据，并对这些数据归类分析，进行异样入侵检测和

分布式误用入侵的检测。它包含了图形用户界面、数据库、异常入侵检测与误用入

侵分析器和顶级管理器 4 个部分。

与其他现有的 DIDS 相比，CMDIDS 的一个特色在于实现了误用和异常的入

侵检测的分离。前者放在检测点中，而后者放在管理点中。这是因为与计算机病毒

相似，误用入侵攻击也具有明显的特征，这些特征也可被转化为规则，形成规则

库，而且易于用编程语言实现。当前危害较大的洪水攻击和蠕虫病毒攻击的共同特

点都是在短时间内发送大量的数据包，拥塞网络或主机，从而造成设备瘫痪。如果

将攻击数据照原样传送给管理点，不亚于将攻击的目标转移到管理结点。因此检测

点在检测出误用入侵后只需和防火墙组件连动，切断有害连接，再将攻击的来源和

特征报告给管理点。由管理点汇集这些信息进行进一步的分布式入侵检测分析，从

而大大减少了检测点和管理点的数据通信，实现了局部与全局的监测的有机结合和

对管理点的保护。 CMDIDS 的另一个特色是使用分布式计算和面向对象计算完美结

合的 CORBA

技术，实现了检测和响应分离。用户可按照需要，选择检测点及不同安全组件之间

的协作关系，建立了安全组件之间的相互通信和联动，提高了系统的可扩展性，实

现整体安全防护。例如，当检测引擎检测到某种攻击后，会自动通知防火墙修改安

全策略。从信息安全系统防御的角度出发，这种联动是必要的。联动包括了检测引

擎与防火墙的联动，可封堵源自外部网络的攻击; 检测引擎与网络管理系统的联

动，可封堵被利用的网络设备和主机; 检测引擎与操作系统的联动，可封堵有恶意

的用户帐号；检测引擎和备份服务器联动，可以进行灾难恢复。