基于數(shù)據(jù)流管理平臺(tái)的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)

1、基于數(shù)據(jù)流管理平臺(tái)的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)沈星星1，2 程學(xué)旗11（中國科學(xué)院計(jì)算技術(shù)研究所軟件室 北京 100080）2（中國科學(xué)院研究生院 北京）摘 要： 復(fù)雜而繁多的網(wǎng)絡(luò)攻擊要求監(jiān)控系統(tǒng)能夠在高速網(wǎng)絡(luò)流量下實(shí)時(shí)檢測發(fā)現(xiàn)各種安全事件。數(shù)據(jù)流管理系統(tǒng)是一種對(duì)高速、大流量數(shù)據(jù)的查詢請(qǐng)求進(jìn)行實(shí)時(shí)響應(yīng)的流數(shù)據(jù)庫模型。本文提出了一種將數(shù)據(jù)流技術(shù)應(yīng)用到網(wǎng)絡(luò)安全事件監(jiān)控中的框架模型。在這個(gè)模型中，數(shù)據(jù)流管理平臺(tái)有效地支持了對(duì)高速網(wǎng)絡(luò)數(shù)據(jù)流的實(shí)時(shí)查詢與分析，從而保證基于其上的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)能夠達(dá)到較高的處理性能。利用CQL作為接口語言，精確描述安全事件規(guī)則與各種監(jiān)控查詢，具有很強(qiáng)地靈活性與完整性。另外

2、，系統(tǒng)能夠整合入侵檢測、蠕蟲發(fā)現(xiàn)、網(wǎng)絡(luò)交通流量管理等多種監(jiān)控功能，具有良好的可擴(kuò)展性。關(guān)鍵詞 數(shù)據(jù)流管理系統(tǒng); 網(wǎng)絡(luò)安全; 入侵檢測; 監(jiān)控 中圖法分類號(hào) TP393 文獻(xiàn)標(biāo)識(shí)碼： 文章編號(hào)：An Internet Security Event Monitor Based on Data Stream Management SystemShen Xingxing, Cheng Xueqi(Software Division, Institute of Computing Technology, Chinese Academy of Sciences, Beijing, China, 10008

3、0)【Abstract】Complex and numerous network attacks require monitoring system to detect all kinds of security events under high speed internet traffic. Data stream management system is a stream database model which can respond to queries on high speed, huge volume streaming data on real time. This pape

4、r proposes a model framework which applies data stream technique to network security monitoring. In this model, data stream management system acts as a platform to support the efficient query and analysis of high speed network traffic. This guarantees the high performance of the monitoring system ba

5、sed on it. CQL language can describe numerous security event rules and monitoring queries exactly and flexibly. Such monitoring system can integrate the function of intrusion detection, worm detection and network traffic management, etc, which is well scalable. 【Key Words】data stream management syst

6、em; network security; intrusion detection; monitoring網(wǎng)絡(luò)安全事件監(jiān)控包括對(duì)各種諸如端口掃描、dos攻擊、大規(guī)模蠕蟲病毒等安全事件的實(shí)時(shí)監(jiān)控與發(fā)現(xiàn)。傳統(tǒng)的解決方法是利用入侵檢測技術(shù)（包括誤用檢測和異常檢測等），結(jié)合各種蠕蟲發(fā)現(xiàn)及網(wǎng)絡(luò)交通流量分析方法，完成安全事件的報(bào)警與防范?；ヂ?lián)網(wǎng)的發(fā)展為全球范圍內(nèi)實(shí)現(xiàn)高效的資源和信息共享提供了方便，同時(shí)也對(duì)網(wǎng)絡(luò)安全和入侵檢測系統(tǒng)提出了新的挑戰(zhàn)。日益復(fù)雜的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，廣泛采用的分布式應(yīng)用環(huán)境，海量存儲(chǔ)和高帶寬的傳輸技術(shù)，都使得傳統(tǒng)的入侵檢測越來越不能滿足系統(tǒng)的安全需求。在這種情況下，我們需要從系統(tǒng)模型、架構(gòu)

7、、實(shí)現(xiàn)技術(shù)等各個(gè)方面提出并實(shí)現(xiàn)新的入侵檢測方法，以適應(yīng)日益復(fù)雜的網(wǎng)絡(luò)安全事件監(jiān)控需求。近年來，在很多應(yīng)用領(lǐng)域出現(xiàn)了一種新型數(shù)據(jù)模式數(shù)據(jù)流【1】。與傳統(tǒng)的數(shù)據(jù)庫模型中靜態(tài)存儲(chǔ)的表不同，這種模型中數(shù)據(jù)不再是永久的關(guān)系形式，而是大量、連續(xù)、快速、隨時(shí)間變化的數(shù)據(jù)流，諸如金融數(shù)據(jù)，傳感器數(shù)據(jù)，網(wǎng)絡(luò)交通數(shù)據(jù)等。相對(duì)于數(shù)據(jù)庫模型，數(shù)據(jù)流模型主要有如下幾方面特征：l 流中的數(shù)據(jù)元素在線到達(dá)；l 系統(tǒng)無法控制將要處理的新到達(dá)數(shù)據(jù)的順序；l 一旦數(shù)據(jù)流中的某個(gè)元素經(jīng)過處理，則要么被丟棄，要么被歸檔存儲(chǔ)。針對(duì)這些特性，一種處理連續(xù)數(shù)據(jù)流的策略模型被提出來持續(xù)查詢【2】。在這個(gè)模型中，數(shù)據(jù)以不斷追加的形式到達(dá)，從而

8、驅(qū)動(dòng)注冊查詢的持續(xù)執(zhí)行。另外，由于流的不斷追加性，不能將所有數(shù)據(jù)一次全部讀入內(nèi)存處理，對(duì)于阻塞操作符（如各種聚集函數(shù)，包括sum、count和avg等）的執(zhí)行，必需通過某種方式實(shí)現(xiàn)非阻塞化【3】?；瑒?dòng)窗口技術(shù)【4】關(guān)注最近一段時(shí)間內(nèi)的數(shù)據(jù)，同時(shí)也是一種符合查詢語義的近似操作，通過這個(gè)方式能執(zhí)行阻塞操作符。目前已開發(fā)了許多數(shù)據(jù)流的原型系統(tǒng)，例如Stanford 大學(xué)的STREAM 系統(tǒng)、加州大學(xué)Berkeley 分校的TelegraphCQ 系統(tǒng)和布朗大學(xué)Aurora 原型系統(tǒng)等。其中STREAM【1】是一個(gè)通用的數(shù)據(jù)流管理系統(tǒng)（Data Stream Management System），目標(biāo)

9、是支持傳感器網(wǎng)絡(luò)，電信網(wǎng)絡(luò)，金融交易等多種應(yīng)用。該項(xiàng)目提出了一個(gè)通用的流查詢語言CQL(continous query language)【4】。它以SQL語言為基礎(chǔ)，增加了流操作符和窗口操作符。 安全方面的很多應(yīng)用表現(xiàn)為典型的數(shù)據(jù)流應(yīng)用，尤其是網(wǎng)絡(luò)安全事件監(jiān)控和分析系統(tǒng)。這些安全應(yīng)用必須不間斷無延遲地處理在線、持續(xù)的高速網(wǎng)絡(luò)數(shù)據(jù)流，且網(wǎng)絡(luò)數(shù)據(jù)不可能全都保存在外部存儲(chǔ)器中。我們的研究就是基于持續(xù)查詢模型與滑動(dòng)窗口技術(shù)，采用數(shù)據(jù)流管理系統(tǒng)作為流數(shù)據(jù)處理平臺(tái)，將其應(yīng)用到網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中去。我們實(shí)現(xiàn)了一個(gè)基于數(shù)據(jù)流處理模型的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)DrisM（Data River Internet S

10、ecurity Monitor）。在這個(gè)系統(tǒng)中，數(shù)據(jù)流管理平臺(tái)通過優(yōu)化執(zhí)行注冊于系統(tǒng)中的大量持續(xù)查詢，對(duì)連續(xù)網(wǎng)絡(luò)流進(jìn)行過濾、連接、聚集等操作，完成各種安全事件的監(jiān)測與報(bào)警，從而有效的支持了監(jiān)控系統(tǒng)的實(shí)時(shí)性，準(zhǔn)確性與靈活性要求。1系統(tǒng)結(jié)構(gòu)DrisM系統(tǒng)的結(jié)構(gòu)如圖1所示。DrisM的輸入數(shù)據(jù)源是由分布在多個(gè)采集點(diǎn)的網(wǎng)絡(luò)包探測器，通過包捕獲的方式（利用libpcap函數(shù)庫）采集的網(wǎng)絡(luò)包。將原始的網(wǎng)絡(luò)包進(jìn)行流預(yù)處理，形成符合格式的數(shù)據(jù)流。系統(tǒng)預(yù)先定義3條流：PacketStream，KeywordStream和FlowStream。通過這3條流，可以完成大部分的網(wǎng)絡(luò)安全事件監(jiān)控功能。具體的流格式說明在

11、后面的數(shù)據(jù)預(yù)處理模塊部分進(jìn)行討論。如果用戶需要其他特定應(yīng)用的流，可以根據(jù)相應(yīng)的流格式注冊。各種監(jiān)控要求是利用CQL語言書寫的持續(xù)查詢，例如類似IDS攻擊規(guī)則的入侵檢測語句，蠕蟲檢測規(guī)則語句，以及對(duì)應(yīng)于各種相關(guān)網(wǎng)絡(luò)監(jiān)控的統(tǒng)計(jì)值維護(hù)語句等。DrisM將持續(xù)查詢作用于連續(xù)不斷到來的數(shù)據(jù)流，產(chǎn)生連續(xù)的流形式的查詢結(jié)果。查詢結(jié)果可以實(shí)時(shí)轉(zhuǎn)發(fā)到一個(gè)觸發(fā)器模塊，對(duì)檢測到的入侵行為進(jìn)行報(bào)警，也可以緩存在系統(tǒng)中，當(dāng)需要時(shí)提交用戶查看。 圖1 系統(tǒng)結(jié)構(gòu)圖 Drism包括3個(gè)模塊：網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊，查詢引擎模塊，用戶交互模塊（用戶提交查詢與結(jié)果反饋）。下面分別介紹各個(gè)模塊的功能與結(jié)構(gòu)。1.1 網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊

12、網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理模塊將原始網(wǎng)絡(luò)數(shù)據(jù)格式化為平臺(tái)能夠處理的流格式。用戶向系統(tǒng)提交流格式注冊語句，通過create stream語句對(duì)流模式（stream schema）進(jìn)行注冊。流模式類似于數(shù)據(jù)庫中的表模式（table schema），描述了流的各個(gè)屬性域的名字，類型等信息。通過預(yù)處理，系統(tǒng)將捕獲的數(shù)據(jù)包根據(jù)流模式提取相應(yīng)字段信息，并生成滿足格式的流元組插入數(shù)據(jù)流平臺(tái)。系統(tǒng)為用戶預(yù)定義了3條流：PacketStream（包頭信息流），KeywordStream（用戶數(shù)據(jù)段關(guān)鍵字流），F(xiàn)lowStream（傳輸層拼接流）。這些流的層次處于網(wǎng)絡(luò)層或傳輸層。下面分別分析每一個(gè)流的格式信息。（1） Pac

13、ketStream對(duì)于捕獲的ip數(shù)據(jù)報(bào)，進(jìn)行ip包的重組，以對(duì)付ip碎片攻擊。對(duì)于每一個(gè)完整的TCP/IP包，提取出包頭中與攻擊事件檢測有關(guān)的相應(yīng)字段。組合成一條流元組記錄，插入到PacketStream中。這條流相當(dāng)于抽取出了網(wǎng)絡(luò)層與傳輸層的包頭信息，形成包層次的數(shù)據(jù)流。對(duì)包層次的數(shù)據(jù)流進(jìn)行處理，相對(duì)于傳輸層拼接的流層次的流來說，缺點(diǎn)是數(shù)據(jù)量較大，流元組生成速度快，這對(duì)于流輸入接口的處理速度提出了較高的要求，優(yōu)點(diǎn)是對(duì)包特征有更詳細(xì)的描述。所以，對(duì)于基于包的攻擊檢測規(guī)則，包層次的流是不可缺少的。PacketStream的格式為：CREATE STREAM PacketStream（Packet

14、StreamID long; / 標(biāo)識(shí)流中每一個(gè)元組TOS int; / 服務(wù)類型PacketLength int; / IP數(shù)據(jù)報(bào)文總長， Dsize int;/ ip包凈荷尺寸 TTL int;/ 生存期 Protocol char; / ip頭的協(xié)議字段。SourceIP long; / 源地址DestIP long; / 目的地址TCPFlags char; / tcp包中Flags字段SEQ int; / tcp包中SEQ字段ACK int; / tcp包中ACK字段SourcePort int; / 源端口DestPort int; / 目的端口TimeStamp date; /

15、時(shí)間戳RelationWithTcpFlow int; /指向拼成FlowStream流后/所屬的Flow iD.此域是生成FlowStream之后回填的）（2） KeywordStream在抽取包頭信息的同時(shí)，對(duì)于包數(shù)據(jù)字段的內(nèi)容，利用快速多關(guān)鍵詞匹配算法進(jìn)行關(guān)鍵詞掃描。關(guān)鍵詞對(duì)應(yīng)于IDS規(guī)則庫中描述各攻擊特征的數(shù)據(jù)包載荷部分字符串內(nèi)容，類似于Snort中的content選項(xiàng)。例如對(duì)于DNS exploit named overflow attempt攻擊，在tcp包用戶數(shù)據(jù)載荷部分包含字符串“|CD 80 E8 D7 FF FF FF|/bin/sh”，我們將“|CD 80 E8 D7 F

16、F FF FF|/bin/sh”填入預(yù)先定義在系統(tǒng)中的關(guān)鍵詞表。需要說明的是，將關(guān)鍵詞匹配的掃描放在這個(gè)處理階段，是基于效率的考慮。相對(duì)來說，其他規(guī)則選項(xiàng)部分的匹配速度是非?？斓?，所以關(guān)鍵詞匹配是影響入侵檢測系統(tǒng)性能的決定性因素。傳統(tǒng)的IDS將關(guān)鍵詞匹配的工作放在規(guī)則匹配之后完成。也就是，對(duì)于包頭字段符合規(guī)則的數(shù)據(jù)包再進(jìn)行數(shù)據(jù)字段的檢查。在我們的系統(tǒng)中，采取了不同的方法。對(duì)于捕獲的ip包，在拼成完整的TCP/IP包后,馬上進(jìn)行所有關(guān)鍵詞掃描。對(duì)于數(shù)據(jù)字段出現(xiàn)了預(yù)定義關(guān)鍵詞的包，系統(tǒng)生成一條流元組，包含此包的id號(hào)以及匹配的關(guān)鍵詞號(hào)（在預(yù)定義關(guān)鍵詞表中的序號(hào)），并將其插入流KeywordStre

17、am中。研究證明，關(guān)鍵詞匹配的速度不是由關(guān)鍵詞表的規(guī)模（及關(guān)鍵詞的總個(gè)數(shù)）所決定，即關(guān)鍵詞數(shù)目的增長倍數(shù)不會(huì)導(dǎo)致匹配速度相應(yīng)倍數(shù)的降低。所以，將關(guān)鍵詞匹配的工作放在捕包，拼包后統(tǒng)一進(jìn)行，一次性匹配所有的關(guān)鍵詞，并不會(huì)影響匹配效率。而相對(duì)于在上層的持續(xù)查詢執(zhí)行過程中再對(duì)每個(gè)包分別進(jìn)行關(guān)鍵詞匹配的方法，這種處理方式有更高的效率，提高了規(guī)則檢測性能。KeywordStream的格式為：CREATE STREAM KeywordStream（KeywordStreamID int; / 標(biāo)識(shí)流中每一個(gè)元組KeyId int; / 此字段表示,對(duì)ip包的載荷部分進(jìn)行關(guān)/ 鍵詞匹配后,若其中出現(xiàn)了關(guān)鍵詞表

18、中的若干關(guān)鍵/詞則將其關(guān)鍵詞序號(hào)記錄下來. IdInPacketStream int; /對(duì)應(yīng)于PacketStream中的序號(hào)TimeStamp date; /時(shí)間戳）（3） FlowStream 另外，我們將數(shù)據(jù)包還原為基于傳輸層的連接記錄，形成傳輸層連接流FlowStream。因?yàn)榇蟛糠志W(wǎng)絡(luò)安全事件都是基于tcp和udp協(xié)議的，我們對(duì)這兩種協(xié)議的數(shù)據(jù)包進(jìn)行傳輸層流格式化處理。對(duì)于tcp協(xié)議，一次連接（connection）形成一條流記錄；對(duì)于udp協(xié)議，因?yàn)闆]有連接的概念，我們?yōu)槊恳粋€(gè)udp包生成一條記錄。拼接的傳輸層流信息，相對(duì)于ip層的包信息來說，相當(dāng)于將包進(jìn)行聚集，減少了數(shù)據(jù)量；同

19、時(shí)還包含了連接狀態(tài)信息，對(duì)于許多攻擊的檢測是一種較有效率的輸入源。FlowStream的格式為：CREATE STREAM FlowStream（ FlowStreamIDint; / 標(biāo)識(shí)流中每一個(gè)元組FlowStartTimedate; / 流起始時(shí)間FlowEndTimedate; / 流結(jié)束時(shí)間(對(duì)于udp,起始/ 時(shí)間和結(jié)束時(shí)間均為生成當(dāng)前元組時(shí)間)SourceIp long; / 源ip地值DestIplong; / 目的ip地址SourcePort int; / 源端口DestPort int; / 目的端口 PacketCountint; / 流中包的個(gè)數(shù)TotalBytes

20、double; / 流中總字節(jié)數(shù)ProtocolType int; / 協(xié)議類型 tcp or udpTimeStamp date; / 生成流中此元組的時(shí)間）基于上述3個(gè)流，查詢引擎可計(jì)算出完成各種網(wǎng)絡(luò)安全事件監(jiān)控功能的持續(xù)查詢，并進(jìn)行相關(guān)統(tǒng)計(jì)值維護(hù)。例如維護(hù)交通量在前5的源和目的ip地址對(duì)，維護(hù)某個(gè)特定源ip地址的流量在整個(gè)交通流量中的百分比和維護(hù)每個(gè)源ip地址的http流量大小等。1.2查詢引擎模塊這是數(shù)據(jù)流管理平臺(tái)的核心模塊。我們的原型系統(tǒng)以一個(gè)關(guān)系對(duì)象型內(nèi)存數(shù)據(jù)庫FastDB為緩沖區(qū)管理模塊，完成流注冊，流刪除，流元組插入的管理。我們對(duì)傳統(tǒng)的SQL關(guān)系操作符進(jìn)行窗口操作的改造，支持基

21、于滑動(dòng)窗口的持續(xù)查詢語句。在FastDB的基礎(chǔ)上擴(kuò)展了對(duì)于單流的選擇操作（select），投影操作(project)，多流連接操作(join)，各種聚集（aggregate）操作等。系統(tǒng)接收源源不斷到來的流數(shù)據(jù)，基于推的（push_based）的查詢執(zhí)行方式，由流元組的追加推動(dòng)查詢的執(zhí)行，并且以流的形式增量式產(chǎn)生查詢結(jié)果。因?yàn)槌掷m(xù)查詢都是在流到來之前事先注冊在系統(tǒng)中的，可以進(jìn)行充分的查詢預(yù)處理，即查詢優(yōu)化。目前我們的查詢優(yōu)化主要針對(duì)公共子表達(dá)式的共享。在查詢數(shù)量很大的情況下，如果對(duì)于每一個(gè)到達(dá)的流元組都用最原始的查詢計(jì)劃順次對(duì)每一個(gè)查詢單獨(dú)計(jì)算，則效率是極低的，無法滿足高速網(wǎng)絡(luò)流量的實(shí)時(shí)處理要

22、求。查詢優(yōu)化過程識(shí)別并提取出大量注冊查詢中的公共子表達(dá)式，在多個(gè)查詢中實(shí)現(xiàn)共享，從而節(jié)省了計(jì)算空間和時(shí)間。查詢引擎結(jié)構(gòu)圖如圖2所示。1.3 用戶提交查詢與結(jié)果反饋模塊此模塊相當(dāng)于安全事件監(jiān)控系統(tǒng)的控制臺(tái)部分，完成用戶與系統(tǒng)的交互。用戶與Drism之間采用客戶端服務(wù)器模式，遵循ODBC接口規(guī)范。首先，用戶與Drism建立連接，向服務(wù)器提交命令。如果是第一次進(jìn)入系統(tǒng)，需注冊流語句與持續(xù)查詢語句。注冊的語句可以保存在系統(tǒng)中，當(dāng)用戶下一次登陸時(shí)直接加載，不需重新書寫提交。對(duì)加載的注冊語句，用戶可以靈活的增刪與修改。結(jié)果反饋功能可以采取兩種方式完成，一種是將結(jié)果實(shí)時(shí)轉(zhuǎn)發(fā)至一個(gè)報(bào)警觸發(fā)器模塊，記錄日志，并

23、根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作，以阻止非法入侵行為，類似于IDS的報(bào)警模塊。另一種是根據(jù)用戶提交的結(jié)果查詢語句，系統(tǒng)將用戶關(guān)注的查詢結(jié)果通過友好，便于分析的方式展現(xiàn)給用戶。 圖2 查詢引擎結(jié)構(gòu)圖2 應(yīng)用示例Drism是一個(gè)可擴(kuò)展的網(wǎng)絡(luò)安全監(jiān)控平臺(tái)。它靈活而強(qiáng)大的用戶接口語言CQL可以精確地描述各種簡單或復(fù)雜的規(guī)則。相對(duì)于傳統(tǒng)IDS的規(guī)則描述語言， CQL語言具有直觀易定義，描述精確的特點(diǎn)。對(duì)于IDS所處理的網(wǎng)絡(luò)入侵，蠕蟲發(fā)現(xiàn)，網(wǎng)絡(luò)交通管理，流量統(tǒng)計(jì)值維護(hù)等都可以書寫出相應(yīng)的CQL語句。CQL區(qū)別于SQL的主要部分是增加了對(duì)流的基于滑動(dòng)窗口的操作。例如streamnow表示對(duì)流stream的當(dāng)

24、前元組操作，stream2 minute表示對(duì)流stream最近兩分鐘內(nèi)的元組進(jìn)行操作。下面分別舉例說明Drism的應(yīng)用。2.1 網(wǎng)絡(luò)攻擊對(duì)于基于規(guī)則的IDS所處理的各種攻擊和探測，例如：緩沖區(qū)溢出、秘密端口掃描、CGI攻擊等等，Drism可以將規(guī)則改寫成相應(yīng)的CQL語句，作為持續(xù)查詢提交系統(tǒng)。例如Snort規(guī)則中對(duì)于FINGER bomb attempt的攻擊可敘述為：如果發(fā)現(xiàn)tcp包中，目的端口是79，數(shù)據(jù)載荷部分包含字符串“”，則報(bào)警（假設(shè)關(guān)鍵字“”在系統(tǒng)預(yù)設(shè)的關(guān)鍵字表中序號(hào)是20）。其cql語句如下：SELECT SourceIp FROM PacketStreamnow, Keywo

25、rdStreamnow WHERE PacketStream.PacketStreamId =KeywordStream.IdInPacketStream andPacketStream.DestPort = 21 andKeyWordStream.KeyId = 202.2 蠕蟲發(fā)現(xiàn)對(duì)于已知模式的蠕蟲，可以采取與已知規(guī)則的網(wǎng)絡(luò)攻擊相同的處理方式，將蠕蟲特征改寫為CQL語句的持續(xù)查詢。如sql slammer worm的特征描述為為UDP flows of size 404 bytes to port 1434，其cql語句如下：SELECT SourceIp FROM FlowStream

26、nowWHERE DestPort = 1434 and TotalBytes = 404 and ProtocolType = udp2.3 網(wǎng)絡(luò)狀態(tài)監(jiān)控對(duì)網(wǎng)路流量數(shù)值的統(tǒng)計(jì)與異常的發(fā)現(xiàn)是檢測網(wǎng)絡(luò)攻擊的重要手段。網(wǎng)絡(luò)管理員通過監(jiān)控網(wǎng)絡(luò)狀態(tài)信息，輔助發(fā)現(xiàn)異常與攻擊。例如找出20分鐘之內(nèi)，總交通量的所有tcp連接中，按每個(gè)連接的發(fā)送字節(jié)數(shù)排序，前5%的源和目的IP地址對(duì)。其cql語句如下：SELECT SourceIp, DestIp, TotalBytesFROM FlowStream20 minute as L1WHERE L1.ProtocolType = tcp AND (SELECT

27、Count(*)FROM FlowStream 20 minute as L2WHERE L2.ProtocolType = tcp ANDL2. TotalBytes (SELECT 0.95 * Count(*) FROM FlowStream 20 minuteWHERE ProtocolType = tcp) Order By TotalBytes3系統(tǒng)測試為檢驗(yàn)Drism處理引擎的功能與性能，我們設(shè)計(jì)如下測試方案。測試環(huán)境為由一臺(tái)發(fā)包機(jī)（CPU P4 1.3G,內(nèi)存256M,Linux6.2）發(fā)送攻擊包，一臺(tái)服務(wù)器(CPU P4 1.3G,內(nèi)存256M,WinXP)運(yùn)行監(jiān)控系統(tǒng), 一

28、個(gè)百兆交換機(jī)組成的一個(gè)小型局域網(wǎng)。采用將Snort規(guī)則轉(zhuǎn)換的CQL語句作為入侵檢測規(guī)則庫。因?yàn)闇y試目的是驗(yàn)證處理引擎對(duì)攻擊檢測的正確性與效率，采用集中發(fā)送攻擊包的方法。攻擊包為由按照Snort規(guī)則組包發(fā)送，用tcpdump記錄下來再重放的方式，這樣可以調(diào)整發(fā)包速率，測試不同流量壓力下檢測引擎性能。Drism與Snort的對(duì)比實(shí)驗(yàn)結(jié)果如表一。發(fā)包速率(MB/s)漏報(bào)率CPU使用率(峰值)內(nèi)存使用(k)Snort3.00%603609636.828%100%3832669.360%100%38569Drism3.00%40%4201336.816%60%4786569.330%70%48534表1 檢測引擎性能測試實(shí)驗(yàn)結(jié)果 實(shí)驗(yàn)結(jié)果顯示，在純攻擊包流量壓力較小時(shí)，兩者均有較好的處理效率。當(dāng)流量壓力加大時(shí)，Snort漏報(bào)率明顯增大，而Drism在漏報(bào)率，CPU使用率峰值方面都優(yōu)于Snort，顯示出較好的檢測引擎執(zhí)行效率與抗壓能力。內(nèi)存使用稍多于Snort，但這