基于四層過濾的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型

1、基于四層過濾的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型*    摘要文章在對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行分析的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)攻擊的特點(diǎn)和目前入侵檢測(cè)系統(tǒng)的不足,提出一種新的基于四層過濾的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型。這四層過濾分別是:協(xié)議分析、流量分析、狀態(tài)檢測(cè)和數(shù)據(jù)分析。四次過濾串并行同時(shí)進(jìn)行以提高效率,增強(qiáng)網(wǎng)絡(luò)的安全防護(hù)能力,保證網(wǎng)絡(luò)的實(shí)時(shí)性。同時(shí)利用集群的優(yōu)勢(shì)在一定程度上解決漏包問題。實(shí)驗(yàn)證明,該模型可以提高入侵檢測(cè)效率和準(zhǔn)確率。關(guān)鍵詞入侵檢測(cè);四層過濾;狀態(tài)檢測(cè);協(xié)議分析1引言入侵檢測(cè)系統(tǒng)(IDS)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施之后的新一代安全保障技術(shù),它是對(duì)入侵行為的檢

2、測(cè),通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象1?，F(xiàn)有的入侵檢測(cè)系統(tǒng)還存在若干的不足因素。對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)而言,目前存在的主要問題包括: 1)高速網(wǎng)絡(luò)環(huán)境下的檢測(cè)漏包問題; 2)漏報(bào)和誤報(bào)問題2。入侵檢測(cè)技術(shù)根據(jù)待檢數(shù)據(jù)來(lái)源的不同可分為兩類,分別是基于主機(jī)的入侵檢測(cè)系統(tǒng)(Hostbased Intrusion Detection System,簡(jiǎn)稱HIDS)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network2based Intrusion Detection System,簡(jiǎn)稱NIDS)3

3、。本文主要研究后者。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)以被檢測(cè)網(wǎng)段的所有數(shù)據(jù)包為檢測(cè)對(duì)象,通過把網(wǎng)卡設(shè)置為混雜模式,來(lái)抓取流經(jīng)網(wǎng)卡的所有數(shù)據(jù)包。隨著網(wǎng)路資源的豐富,網(wǎng)絡(luò)上出現(xiàn)了各種類型的攻擊。通過對(duì)攻擊分類方法的研究,發(fā)現(xiàn)有以下幾種攻擊分類: 1)基于基本網(wǎng)絡(luò)協(xié)議特征方面(如包頭特征)的攻擊; 2)基于負(fù)載內(nèi)容的攻擊; 3)基于網(wǎng)絡(luò)流量的攻擊。根據(jù)上述三種攻擊描述方法,把入侵檢測(cè)分為:包頭檢測(cè)、包數(shù)據(jù)檢測(cè)和流量檢測(cè)。文獻(xiàn)4設(shè)計(jì)了一種基于攻擊特征描述的網(wǎng)絡(luò)入侵檢測(cè)模型,對(duì)不同攻擊的數(shù)據(jù)包提出了分類入侵檢測(cè)和負(fù)載均衡技術(shù),但是在攻擊包的過濾上還可以有較大的發(fā)展空間,文獻(xiàn)5設(shè)計(jì)了分布式智能入侵檢測(cè)系統(tǒng)模型,但是忽略了

4、數(shù)據(jù)包的分類對(duì)入侵檢測(cè)的速度的影響。在此基礎(chǔ)上,本文提出了基于四層過濾模塊的入侵檢測(cè)模型:1)通過協(xié)議分析將檢測(cè)的數(shù)據(jù)包進(jìn)行分類和初步過濾,以便針對(duì)各類數(shù)據(jù)包進(jìn)行入侵檢測(cè)數(shù)據(jù)分析,可以提高檢測(cè)效率;2)并行流量分析能有效遏制基于高速數(shù)據(jù)流的攻擊,對(duì)數(shù)據(jù)包進(jìn)行第二次過濾,并行執(zhí)行也可以節(jié)省時(shí)間,保證效率。因?yàn)槟壳熬W(wǎng)絡(luò)攻擊中超過40%的攻擊都是基于流量的6;3)狀態(tài)檢測(cè)監(jiān)視每一個(gè)有效連接的狀態(tài),并根據(jù)這些狀態(tài)信息來(lái)決定在該連接上的數(shù)據(jù)包是否被允許通過,對(duì)數(shù)據(jù)包進(jìn)行第三次過濾;4)利用遺傳算法對(duì)包數(shù)據(jù)進(jìn)行分析,完成第四次過濾。最后利用集群負(fù)載均衡技術(shù)將高速數(shù)據(jù)流分流,由多臺(tái)低速設(shè)備聯(lián)合檢測(cè)可以在一定

5、程度上解決漏包問題。2模型詳細(xì)設(shè)計(jì)結(jié)合目前網(wǎng)絡(luò)攻擊的特點(diǎn)和現(xiàn)有入侵檢測(cè)系統(tǒng)在結(jié)構(gòu)上的不足,本設(shè)計(jì)提出一個(gè)新的入侵檢測(cè)系統(tǒng)模型,如圖1所示。2.1四層過濾2.1.1協(xié)議分析過濾協(xié)議分析是一種新的入侵檢測(cè)技術(shù),通過協(xié)議分析,可以有效地提高入侵檢測(cè)的分析速度。將經(jīng)過的數(shù)據(jù)包進(jìn)行分流,根據(jù)TCP/IP協(xié)議,可分為TCP、UDP、ICMP協(xié)議等,然后針對(duì)各種協(xié)議進(jìn)行分析,這些協(xié)議具有高度有序性,而且雖然網(wǎng)絡(luò)攻擊類型千差萬(wàn)別,但是基本上每種攻擊都是基于同一類型的數(shù)據(jù)包,使用這些知識(shí)在對(duì)包進(jìn)行分流后各自單獨(dú)檢測(cè)可以快速確認(rèn)某個(gè)攻擊特征的存在。這種高效的技術(shù),使得所需的計(jì)算量大大減小,即使在高負(fù)載的高速網(wǎng)絡(luò)上

6、,仍可逐個(gè)分析所有的數(shù)據(jù)包。協(xié)議分析模塊實(shí)現(xiàn)數(shù)據(jù)包的第一次過濾,針對(duì)的是網(wǎng)絡(luò)攻擊中的基本網(wǎng)絡(luò)協(xié)議特征方面(如包頭特征)的攻擊。此模塊主要有兩個(gè)作用:1)對(duì)捕獲到的數(shù)據(jù)包進(jìn)行協(xié)議分析,對(duì)數(shù)據(jù)包進(jìn)行分類并檢測(cè)出每個(gè)數(shù)據(jù)包的類型和特征,使后續(xù)每個(gè)檢測(cè)模塊只用針對(duì)同一種數(shù)據(jù)包進(jìn)行檢測(cè),減輕數(shù)據(jù)分析的負(fù)擔(dān);2)對(duì)各個(gè)類型的數(shù)據(jù)包的包頭進(jìn)行規(guī)則檢測(cè),實(shí)現(xiàn)數(shù)據(jù)包的過濾,減輕后期狀態(tài)檢測(cè)和數(shù)據(jù)分析的負(fù)擔(dān)。在TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)中,網(wǎng)絡(luò)數(shù)據(jù)包是高度規(guī)則結(jié)構(gòu)化的。數(shù)據(jù)包頭的各位屬性是確定的,因此對(duì)于包頭的解析和規(guī)則檢測(cè)變得相對(duì)快速和簡(jiǎn)單。工作流程,如圖2所示。2.1.2流量分析過濾流量分析實(shí)現(xiàn)數(shù)據(jù)包的第二次過

7、濾,針對(duì)的是網(wǎng)絡(luò)攻擊中的基于網(wǎng)絡(luò)流量特征的攻擊。流量統(tǒng)計(jì)對(duì)于檢測(cè)拒絕服務(wù)攻擊具有重要意義。DOS特別是DDOS其最根本的特征就是大流量數(shù)據(jù)包。攻擊者為了增強(qiáng)攻擊效果,往往千方百計(jì)加大攻擊流量,遠(yuǎn)遠(yuǎn)高于正常流量,這在客觀上為我們檢測(cè)拒絕服務(wù)攻擊提供了有利因素。網(wǎng)絡(luò)流量具有很強(qiáng)的突發(fā)性和不穩(wěn)定性,在不同時(shí)刻網(wǎng)絡(luò)流量情況具有很大不同。因此,對(duì)經(jīng)過此模型的包的目的IP進(jìn)行統(tǒng)計(jì)是有必要的。對(duì)各類型的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)計(jì)數(shù),如果在一個(gè)小的時(shí)間段內(nèi)出現(xiàn)具有符合某些攻擊特征的大量鏈接,超過某個(gè)閾值,就視為可疑流量,調(diào)用相應(yīng)DDOS或者掃描檢測(cè)的算法進(jìn)行深入的檢測(cè)分析。在檢測(cè)出是惡意攻擊后,阻斷此類數(shù)據(jù)包進(jìn)入后端檢

8、測(cè)設(shè)備,并產(chǎn)生告警。2.1.3狀態(tài)檢測(cè)過濾狀態(tài)檢測(cè)實(shí)現(xiàn)數(shù)據(jù)包的第三次過濾。狀態(tài)檢測(cè)的思想來(lái)源于狀態(tài)檢測(cè)防火墻,它能監(jiān)視每一個(gè)有效連接的狀態(tài),并根據(jù)這些狀態(tài)信息來(lái)決定在該連接上的數(shù)據(jù)包是否被允許通過,通過分析各個(gè)狀態(tài)保證正常的數(shù)據(jù)包順利通過以及不正常的,帶有威脅性的數(shù)據(jù)包被過濾掉,以保護(hù)網(wǎng)絡(luò)以及數(shù)據(jù)的安全。在進(jìn)行包數(shù)據(jù)分析之前進(jìn)行狀態(tài)檢測(cè),過濾掉不正常的數(shù)據(jù)包,可以有效的減輕包數(shù)據(jù)檢測(cè)的負(fù)擔(dān),提高檢測(cè)速率和效率。在狀態(tài)檢測(cè)機(jī)制里,信息包被截取后,模塊從接收到的數(shù)據(jù)包中提取與安全策略相關(guān)的狀態(tài)信息,將這些信息保存在一個(gè)動(dòng)態(tài)狀態(tài)表中,其目的是為了驗(yàn)證后續(xù)的連接請(qǐng)求。截取到數(shù)據(jù)包時(shí),首先檢查其是否屬于

9、狀態(tài)表中某一有效連接,若是,則說(shuō)明該包正常,則按照節(jié)點(diǎn)負(fù)載最小分配原則發(fā)送到后端數(shù)據(jù)分析模塊上。當(dāng)數(shù)據(jù)包不屬于任何有效連接或狀態(tài)不匹配時(shí)便被過濾掉,減輕后期數(shù)據(jù)分析的負(fù)擔(dān)。各種類型的數(shù)據(jù)包分別被輸入到各自的狀態(tài)檢測(cè)模塊中,每個(gè)模塊都有規(guī)則表和狀態(tài)表。規(guī)則表表示了過濾規(guī)則,由六元組(sa,da,sp,dp,protocol_type,direction)構(gòu)成,分別代表源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型、數(shù)據(jù)流方向。狀態(tài)表表示了數(shù)據(jù)包連接的屬性,由(sa,da,sp,dp,protocol_type,state,sequence_number,Timeout,N)九元組構(gòu)成,其中sa

10、,da,sp,dp意義同規(guī)則表,protocol_type是協(xié)議類型,分為TCP,UDP,ICMP及其他協(xié)議類型,state是該次連接的狀態(tài),sequence_number是TCP連接中的數(shù)據(jù)包的序列號(hào)(UDP及其他協(xié)議均為空),Timeout是指該次連接的超時(shí)值,N表示該次連接已經(jīng)通過的數(shù)據(jù)包的數(shù)目。對(duì)于狀態(tài)檢測(cè)內(nèi)部來(lái)說(shuō)主要規(guī)則匹配模塊、狀態(tài)檢測(cè)模塊等。規(guī)則匹配模塊主要是根據(jù)用戶事先配置的信息進(jìn)行數(shù)據(jù)包過濾;狀態(tài)檢測(cè)模塊是核心模塊,主要是分析協(xié)議的工作原理和流程,針對(duì)現(xiàn)有的和可能會(huì)出現(xiàn)的網(wǎng)絡(luò)攻擊設(shè)計(jì)出安全性能高、處理速度快的結(jié)構(gòu)處理流程7。TCP數(shù)據(jù)包狀態(tài)轉(zhuǎn)換流程,見圖3及表1。2.1.4數(shù)

11、據(jù)分析過濾數(shù)據(jù)分析實(shí)現(xiàn)數(shù)據(jù)包的第四次過濾。針對(duì)的是網(wǎng)絡(luò)攻擊中的基于負(fù)載內(nèi)容的攻擊。采用遺傳算法對(duì)數(shù)據(jù)進(jìn)行深入地分析,遺傳算法求解實(shí)際問題時(shí),首行對(duì)優(yōu)化問題的所有參數(shù)進(jìn)行編碼,一個(gè)字符串就是一個(gè)個(gè)體,所有個(gè)體的集合稱之為種群。在種群中,每個(gè)個(gè)體都表示一個(gè)可行解;其次,根據(jù)優(yōu)化問題,構(gòu)造評(píng)價(jià)個(gè)體適應(yīng)能力的適應(yīng)度函數(shù);最后,以隨機(jī)方式產(chǎn)生一群初始解(即初始種群)為開始,通過使用遺傳算子對(duì)每個(gè)個(gè)體進(jìn)行操作組合,使初始種群一代一代地向最優(yōu)解進(jìn)化?；镜倪z傳算子有:復(fù)制(reproduction,亦稱selection)、交換(crossover)、變異(mutation)8。在本設(shè)計(jì)中把一個(gè)數(shù)據(jù)包記錄當(dāng)

12、做一個(gè)個(gè)體。數(shù)據(jù)包包括正常數(shù)據(jù)包和攻擊數(shù)據(jù)包。對(duì)于特定的個(gè)體,適應(yīng)度函數(shù)如式(1):F(di)=aA-bB(1)式中,a是正確檢測(cè)到的攻擊數(shù)目,A為總的攻擊數(shù)目,b為檢測(cè)模型把正常的連接誤認(rèn)為攻擊的數(shù)目即誤報(bào)警率,B為總的正常的連接數(shù)。該適應(yīng)度函數(shù)的值在-1,1之間,-1指最差的適應(yīng)度函數(shù)而1則是指最好的適應(yīng)度函數(shù)。對(duì)模型中的一個(gè)個(gè)體來(lái)說(shuō),高的正確的檢測(cè)率和低的誤報(bào)警率會(huì)產(chǎn)生大的函數(shù)值,而低檢測(cè)率和高的誤報(bào)警率會(huì)產(chǎn)生小的函數(shù)值。進(jìn)行多次遺傳后就能得出適合模型環(huán)境的各個(gè)攻擊特征的權(quán)重系數(shù)。每一個(gè)攻擊特征值與其權(quán)重系數(shù)相乘便得出權(quán)重,這些權(quán)重相加所得的值表示特定的記錄是攻擊的可能性程度。給定一個(gè)閾

13、值,超過這個(gè)閾值的記錄就被認(rèn)為是攻擊5。2.2負(fù)載均衡在數(shù)據(jù)分析的過程中,雖然前期已經(jīng)對(duì)數(shù)據(jù)包按協(xié)議進(jìn)行分流,但是如果某個(gè)狀態(tài)檢測(cè)模塊傳下來(lái)的數(shù)據(jù)太多,數(shù)據(jù)分析模塊檢測(cè)處理速度還是可能跟不上前端數(shù)據(jù)流,產(chǎn)生丟包,漏掉可疑的數(shù)據(jù),從而對(duì)系統(tǒng)和網(wǎng)絡(luò)造成危害。采用均衡分配技術(shù)由多臺(tái)低速數(shù)據(jù)分析節(jié)點(diǎn)設(shè)備聯(lián)合檢測(cè)可以在一定程度上解決此問題1。在數(shù)據(jù)包分配過程中,采用動(dòng)態(tài)反饋的方法,根據(jù)后端檢測(cè)設(shè)備實(shí)際負(fù)載情況來(lái)分配數(shù)據(jù)流,如以鏈接數(shù)目為負(fù)載指標(biāo),將新來(lái)的數(shù)據(jù)流分配到鏈接數(shù)目最少的檢測(cè)設(shè)備上。動(dòng)態(tài)負(fù)載均衡很好地解決了在網(wǎng)絡(luò)突發(fā)數(shù)據(jù)流時(shí)對(duì)數(shù)據(jù)包的控制問題。不至于使有的節(jié)點(diǎn)重載,而有的節(jié)點(diǎn)輕載或處于空閑狀態(tài),

14、從而提高整體資源利用率,減少數(shù)據(jù)檢測(cè)的時(shí)間。3性能測(cè)試3.1測(cè)試方法測(cè)試系統(tǒng)示意圖如圖4,采用思博倫通信公司的SmartBits 600B作為包發(fā)送器和包接收器,它有兩個(gè)網(wǎng)口,均可以發(fā)包和收包;使用SmartWindow軟件控制包從SmartBits 600B的網(wǎng)口1(2)輸出,通過四層過濾網(wǎng)絡(luò)入侵檢測(cè)模型的網(wǎng)口1(2)進(jìn)入后進(jìn)行處理,處理之后的包經(jīng)過四層過濾網(wǎng)絡(luò)入侵檢測(cè)模型的網(wǎng)口2(1)輸出,通過SmartBits 600B的網(wǎng)口2(1)進(jìn)入SmartBits 600B,用SmartWindow軟件觀察檢測(cè)之后輸出的包。工作步驟如下:1)運(yùn)行SmartWindow進(jìn)行編包。為了進(jìn)行性能測(cè)試,

15、要編兩種不同系列的包:第一種系列是包數(shù)據(jù)中包含各種攻擊的,改變包間隔時(shí)間,使包傳輸速率從20Mbps上升至200Mbps,第二種系列是包連接中出現(xiàn)很多不應(yīng)該出現(xiàn)的狀態(tài)的包,同時(shí)有很多重復(fù)發(fā)送的對(duì)狀態(tài)轉(zhuǎn)換無(wú)促進(jìn)作用的相同的包。2)通過SmartBits 600B發(fā)包到網(wǎng)絡(luò)入侵檢測(cè)模型。3)通過SmartWindow軟件觀察檢測(cè)之后輸出的包。3.2測(cè)試結(jié)果圖5是上面介紹的第一種系列的包在此網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和網(wǎng)上搜尋的某常規(guī)入侵檢測(cè)系統(tǒng)之間報(bào)警數(shù)的數(shù)據(jù)對(duì)比,表明當(dāng)發(fā)包速度超過100Mbps時(shí),常規(guī)入侵檢測(cè)系統(tǒng)報(bào)警數(shù)急劇下降。報(bào)警數(shù)越少說(shuō)明丟包越嚴(yán)重,相對(duì)準(zhǔn)確率就較低。反之則準(zhǔn)確率較高,檢測(cè)入侵的效率

16、就較高。圖6是上面介紹的第二種系列的包在此網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和網(wǎng)上搜尋的某常規(guī)入侵檢測(cè)系統(tǒng)之間的數(shù)據(jù)對(duì)比。表明當(dāng)發(fā)包狀態(tài)重復(fù)或者出現(xiàn)不該出現(xiàn)的包時(shí),常規(guī)入侵檢測(cè)系統(tǒng)無(wú)法判斷,照常檢測(cè)。而四層過濾入侵檢測(cè)系統(tǒng)則能夠主動(dòng)判斷狀態(tài),并不予檢測(cè),這樣就減少了檢測(cè)包數(shù),節(jié)省時(shí)間,提高了效率,也防止了攻擊。4結(jié)語(yǔ)本文在對(duì)網(wǎng)絡(luò)攻擊特征進(jìn)行了分析的基礎(chǔ)上,提出了基于四層過濾的網(wǎng)絡(luò)入侵檢測(cè)詳細(xì)模型,并采用了集群負(fù)載均衡技術(shù)。經(jīng)性能測(cè)試驗(yàn)證,該模型提高了入侵檢測(cè)速度和準(zhǔn)確率,保證了網(wǎng)絡(luò)的安全性,具有一定的實(shí)用性。參考文獻(xiàn)1楊宏宇.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究D.天津:天津大學(xué)博士學(xué)位論文,2003,62李志清.基于模式匹配和協(xié)議分析的入侵檢測(cè)系統(tǒng)研究D.廣州:廣東工業(yè)大學(xué)學(xué)位論文,2007,43袁榮亮.基于入侵檢測(cè)系統(tǒng)的多模匹配算法的研究D.西安:西安科技大學(xué)碩士學(xué)位論文,2008,44劉慶俞,葉震,尹