基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型_第1頁
基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型_第2頁
基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型_第3頁
基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型_第4頁
基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型*    摘要文章在對網(wǎng)絡(luò)入侵檢測技術(shù)進行分析的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)攻擊的特點和目前入侵檢測系統(tǒng)的不足,提出一種新的基于四層過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型。這四層過濾分別是:協(xié)議分析、流量分析、狀態(tài)檢測和數(shù)據(jù)分析。四次過濾串并行同時進行以提高效率,增強網(wǎng)絡(luò)的安全防護能力,保證網(wǎng)絡(luò)的實時性。同時利用集群的優(yōu)勢在一定程度上解決漏包問題。實驗證明,該模型可以提高入侵檢測效率和準確率。關(guān)鍵詞入侵檢測;四層過濾;狀態(tài)檢測;協(xié)議分析1引言入侵檢測系統(tǒng)(IDS)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護措施之后的新一代安全保障技術(shù),它是對入侵行為的檢

2、測,通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象1?,F(xiàn)有的入侵檢測系統(tǒng)還存在若干的不足因素。對網(wǎng)絡(luò)入侵檢測技術(shù)而言,目前存在的主要問題包括: 1)高速網(wǎng)絡(luò)環(huán)境下的檢測漏包問題; 2)漏報和誤報問題2。入侵檢測技術(shù)根據(jù)待檢數(shù)據(jù)來源的不同可分為兩類,分別是基于主機的入侵檢測系統(tǒng)(Hostbased Intrusion Detection System,簡稱HIDS)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network2based Intrusion Detection System,簡稱NIDS)3

3、。本文主要研究后者。網(wǎng)絡(luò)入侵檢測系統(tǒng)以被檢測網(wǎng)段的所有數(shù)據(jù)包為檢測對象,通過把網(wǎng)卡設(shè)置為混雜模式,來抓取流經(jīng)網(wǎng)卡的所有數(shù)據(jù)包。隨著網(wǎng)路資源的豐富,網(wǎng)絡(luò)上出現(xiàn)了各種類型的攻擊。通過對攻擊分類方法的研究,發(fā)現(xiàn)有以下幾種攻擊分類: 1)基于基本網(wǎng)絡(luò)協(xié)議特征方面(如包頭特征)的攻擊; 2)基于負載內(nèi)容的攻擊; 3)基于網(wǎng)絡(luò)流量的攻擊。根據(jù)上述三種攻擊描述方法,把入侵檢測分為:包頭檢測、包數(shù)據(jù)檢測和流量檢測。文獻4設(shè)計了一種基于攻擊特征描述的網(wǎng)絡(luò)入侵檢測模型,對不同攻擊的數(shù)據(jù)包提出了分類入侵檢測和負載均衡技術(shù),但是在攻擊包的過濾上還可以有較大的發(fā)展空間,文獻5設(shè)計了分布式智能入侵檢測系統(tǒng)模型,但是忽略了

4、數(shù)據(jù)包的分類對入侵檢測的速度的影響。在此基礎(chǔ)上,本文提出了基于四層過濾模塊的入侵檢測模型:1)通過協(xié)議分析將檢測的數(shù)據(jù)包進行分類和初步過濾,以便針對各類數(shù)據(jù)包進行入侵檢測數(shù)據(jù)分析,可以提高檢測效率;2)并行流量分析能有效遏制基于高速數(shù)據(jù)流的攻擊,對數(shù)據(jù)包進行第二次過濾,并行執(zhí)行也可以節(jié)省時間,保證效率。因為目前網(wǎng)絡(luò)攻擊中超過40%的攻擊都是基于流量的6;3)狀態(tài)檢測監(jiān)視每一個有效連接的狀態(tài),并根據(jù)這些狀態(tài)信息來決定在該連接上的數(shù)據(jù)包是否被允許通過,對數(shù)據(jù)包進行第三次過濾;4)利用遺傳算法對包數(shù)據(jù)進行分析,完成第四次過濾。最后利用集群負載均衡技術(shù)將高速數(shù)據(jù)流分流,由多臺低速設(shè)備聯(lián)合檢測可以在一定

5、程度上解決漏包問題。2模型詳細設(shè)計結(jié)合目前網(wǎng)絡(luò)攻擊的特點和現(xiàn)有入侵檢測系統(tǒng)在結(jié)構(gòu)上的不足,本設(shè)計提出一個新的入侵檢測系統(tǒng)模型,如圖1所示。2.1四層過濾協(xié)議分析是一種新的入侵檢測技術(shù),通過協(xié)議分析,可以有效地提高入侵檢測的分析速度。將經(jīng)過的數(shù)據(jù)包進行分流,根據(jù)TCP/IP協(xié)議,可分為TCP、UDP、ICMP協(xié)議等,然后針對各種協(xié)議進行分析,這些協(xié)議具有高度有序性,而且雖然網(wǎng)絡(luò)攻擊類型千差萬別,但是基本上每種攻擊都是基于同一類型的數(shù)據(jù)包,使用這些知識在對包進行分流后各自單獨檢測可以快速確認某個攻擊特征的存在。這種高效的技術(shù),使得所需的計算量大大減小,即使在高負載的高速網(wǎng)絡(luò)上,仍可逐個分析所有的數(shù)

6、據(jù)包。協(xié)議分析模塊實現(xiàn)數(shù)據(jù)包的第一次過濾,針對的是網(wǎng)絡(luò)攻擊中的基本網(wǎng)絡(luò)協(xié)議特征方面(如包頭特征)的攻擊。此模塊主要有兩個作用:1)對捕獲到的數(shù)據(jù)包進行協(xié)議分析,對數(shù)據(jù)包進行分類并檢測出每個數(shù)據(jù)包的類型和特征,使后續(xù)每個檢測模塊只用針對同一種數(shù)據(jù)包進行檢測,減輕數(shù)據(jù)分析的負擔;2)對各個類型的數(shù)據(jù)包的包頭進行規(guī)則檢測,實現(xiàn)數(shù)據(jù)包的過濾,減輕后期狀態(tài)檢測和數(shù)據(jù)分析的負擔。在TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)中,網(wǎng)絡(luò)數(shù)據(jù)包是高度規(guī)則結(jié)構(gòu)化的。數(shù)據(jù)包頭的各位屬性是確定的,因此對于包頭的解析和規(guī)則檢測變得相對快速和簡單。工作流程,如圖2所示。流量分析實現(xiàn)數(shù)據(jù)包的第二次過濾,針對的是網(wǎng)絡(luò)攻擊中的基于網(wǎng)絡(luò)流量特征的攻

7、擊。流量統(tǒng)計對于檢測拒絕服務(wù)攻擊具有重要意義。DOS特別是DDOS其最根本的特征就是大流量數(shù)據(jù)包。攻擊者為了增強攻擊效果,往往千方百計加大攻擊流量,遠遠高于正常流量,這在客觀上為我們檢測拒絕服務(wù)攻擊提供了有利因素。網(wǎng)絡(luò)流量具有很強的突發(fā)性和不穩(wěn)定性,在不同時刻網(wǎng)絡(luò)流量情況具有很大不同。因此,對經(jīng)過此模型的包的目的IP進行統(tǒng)計是有必要的。對各類型的數(shù)據(jù)包進行統(tǒng)計計數(shù),如果在一個小的時間段內(nèi)出現(xiàn)具有符合某些攻擊特征的大量鏈接,超過某個閾值,就視為可疑流量,調(diào)用相應(yīng)DDOS或者掃描檢測的算法進行深入的檢測分析。在檢測出是惡意攻擊后,阻斷此類數(shù)據(jù)包進入后端檢測設(shè)備,并產(chǎn)生告警。狀態(tài)檢測實現(xiàn)數(shù)據(jù)包的第三

8、次過濾。狀態(tài)檢測的思想來源于狀態(tài)檢測防火墻,它能監(jiān)視每一個有效連接的狀態(tài),并根據(jù)這些狀態(tài)信息來決定在該連接上的數(shù)據(jù)包是否被允許通過,通過分析各個狀態(tài)保證正常的數(shù)據(jù)包順利通過以及不正常的,帶有威脅性的數(shù)據(jù)包被過濾掉,以保護網(wǎng)絡(luò)以及數(shù)據(jù)的安全。在進行包數(shù)據(jù)分析之前進行狀態(tài)檢測,過濾掉不正常的數(shù)據(jù)包,可以有效的減輕包數(shù)據(jù)檢測的負擔,提高檢測速率和效率。在狀態(tài)檢測機制里,信息包被截取后,模塊從接收到的數(shù)據(jù)包中提取與安全策略相關(guān)的狀態(tài)信息,將這些信息保存在一個動態(tài)狀態(tài)表中,其目的是為了驗證后續(xù)的連接請求。截取到數(shù)據(jù)包時,首先檢查其是否屬于狀態(tài)表中某一有效連接,若是,則說明該包正常,則按照節(jié)點負載最小分配

9、原則發(fā)送到后端數(shù)據(jù)分析模塊上。當數(shù)據(jù)包不屬于任何有效連接或狀態(tài)不匹配時便被過濾掉,減輕后期數(shù)據(jù)分析的負擔。各種類型的數(shù)據(jù)包分別被輸入到各自的狀態(tài)檢測模塊中,每個模塊都有規(guī)則表和狀態(tài)表。規(guī)則表表示了過濾規(guī)則,由六元組(sa,da,sp,dp,protocol_type,direction)構(gòu)成,分別代表源地址、目的地址、源端口號、目的端口號、協(xié)議類型、數(shù)據(jù)流方向。狀態(tài)表表示了數(shù)據(jù)包連接的屬性,由(sa,da,sp,dp,protocol_type,state,sequence_number,Timeout,N)九元組構(gòu)成,其中sa,da,sp,dp意義同規(guī)則表,protocol_type是協(xié)議類

10、型,分為TCP,UDP,ICMP及其他協(xié)議類型,state是該次連接的狀態(tài),sequence_number是TCP連接中的數(shù)據(jù)包的序列號(UDP及其他協(xié)議均為空),Timeout是指該次連接的超時值,N表示該次連接已經(jīng)通過的數(shù)據(jù)包的數(shù)目。對于狀態(tài)檢測內(nèi)部來說主要規(guī)則匹配模塊、狀態(tài)檢測模塊等。規(guī)則匹配模塊主要是根據(jù)用戶事先配置的信息進行數(shù)據(jù)包過濾;狀態(tài)檢測模塊是核心模塊,主要是分析協(xié)議的工作原理和流程,針對現(xiàn)有的和可能會出現(xiàn)的網(wǎng)絡(luò)攻擊設(shè)計出安全性能高、處理速度快的結(jié)構(gòu)處理流程7。TCP數(shù)據(jù)包狀態(tài)轉(zhuǎn)換流程,見圖3及表1。數(shù)據(jù)分析實現(xiàn)數(shù)據(jù)包的第四次過濾。針對的是網(wǎng)絡(luò)攻擊中的基于負載內(nèi)容的攻擊。采用遺

11、傳算法對數(shù)據(jù)進行深入地分析,遺傳算法求解實際問題時,首行對優(yōu)化問題的所有參數(shù)進行編碼,一個字符串就是一個個體,所有個體的集合稱之為種群。在種群中,每個個體都表示一個可行解;其次,根據(jù)優(yōu)化問題,構(gòu)造評價個體適應(yīng)能力的適應(yīng)度函數(shù);最后,以隨機方式產(chǎn)生一群初始解(即初始種群)為開始,通過使用遺傳算子對每個個體進行操作組合,使初始種群一代一代地向最優(yōu)解進化?;镜倪z傳算子有:復(fù)制(reproduction,亦稱selection)、交換(crossover)、變異(mutation)8。在本設(shè)計中把一個數(shù)據(jù)包記錄當做一個個體。數(shù)據(jù)包包括正常數(shù)據(jù)包和攻擊數(shù)據(jù)包。對于特定的個體,適應(yīng)度函數(shù)如式(1):F(

12、di)=aA-bB(1)式中,a是正確檢測到的攻擊數(shù)目,A為總的攻擊數(shù)目,b為檢測模型把正常的連接誤認為攻擊的數(shù)目即誤報警率,B為總的正常的連接數(shù)。該適應(yīng)度函數(shù)的值在-1,1之間,-1指最差的適應(yīng)度函數(shù)而1則是指最好的適應(yīng)度函數(shù)。對模型中的一個個體來說,高的正確的檢測率和低的誤報警率會產(chǎn)生大的函數(shù)值,而低檢測率和高的誤報警率會產(chǎn)生小的函數(shù)值。進行多次遺傳后就能得出適合模型環(huán)境的各個攻擊特征的權(quán)重系數(shù)。每一個攻擊特征值與其權(quán)重系數(shù)相乘便得出權(quán)重,這些權(quán)重相加所得的值表示特定的記錄是攻擊的可能性程度。給定一個閾值,超過這個閾值的記錄就被認為是攻擊5。2.2負載均衡在數(shù)據(jù)分析的過程中,雖然前期已經(jīng)對

13、數(shù)據(jù)包按協(xié)議進行分流,但是如果某個狀態(tài)檢測模塊傳下來的數(shù)據(jù)太多,數(shù)據(jù)分析模塊檢測處理速度還是可能跟不上前端數(shù)據(jù)流,產(chǎn)生丟包,漏掉可疑的數(shù)據(jù),從而對系統(tǒng)和網(wǎng)絡(luò)造成危害。采用均衡分配技術(shù)由多臺低速數(shù)據(jù)分析節(jié)點設(shè)備聯(lián)合檢測可以在一定程度上解決此問題1。在數(shù)據(jù)包分配過程中,采用動態(tài)反饋的方法,根據(jù)后端檢測設(shè)備實際負載情況來分配數(shù)據(jù)流,如以鏈接數(shù)目為負載指標,將新來的數(shù)據(jù)流分配到鏈接數(shù)目最少的檢測設(shè)備上。動態(tài)負載均衡很好地解決了在網(wǎng)絡(luò)突發(fā)數(shù)據(jù)流時對數(shù)據(jù)包的控制問題。不至于使有的節(jié)點重載,而有的節(jié)點輕載或處于空閑狀態(tài),從而提高整體資源利用率,減少數(shù)據(jù)檢測的時間。3性能測試3.1測試方法測試系統(tǒng)示意圖如圖4

14、,采用思博倫通信公司的SmartBits 600B作為包發(fā)送器和包接收器,它有兩個網(wǎng)口,均可以發(fā)包和收包;使用SmartWindow軟件控制包從SmartBits 600B的網(wǎng)口1(2)輸出,通過四層過濾網(wǎng)絡(luò)入侵檢測模型的網(wǎng)口1(2)進入后進行處理,處理之后的包經(jīng)過四層過濾網(wǎng)絡(luò)入侵檢測模型的網(wǎng)口2(1)輸出,通過SmartBits 600B的網(wǎng)口2(1)進入SmartBits 600B,用SmartWindow軟件觀察檢測之后輸出的包。工作步驟如下:1)運行SmartWindow進行編包。為了進行性能測試,要編兩種不同系列的包:第一種系列是包數(shù)據(jù)中包含各種攻擊的,改變包間隔時間,使包傳輸速率從

15、20Mbps上升至200Mbps,第二種系列是包連接中出現(xiàn)很多不應(yīng)該出現(xiàn)的狀態(tài)的包,同時有很多重復(fù)發(fā)送的對狀態(tài)轉(zhuǎn)換無促進作用的相同的包。2)通過SmartBits 600B發(fā)包到網(wǎng)絡(luò)入侵檢測模型。3)通過SmartWindow軟件觀察檢測之后輸出的包。3.2測試結(jié)果圖5是上面介紹的第一種系列的包在此網(wǎng)絡(luò)入侵檢測系統(tǒng)和網(wǎng)上搜尋的某常規(guī)入侵檢測系統(tǒng)之間報警數(shù)的數(shù)據(jù)對比,表明當發(fā)包速度超過100Mbps時,常規(guī)入侵檢測系統(tǒng)報警數(shù)急劇下降。報警數(shù)越少說明丟包越嚴重,相對準確率就較低。反之則準確率較高,檢測入侵的效率就較高。圖6是上面介紹的第二種系列的包在此網(wǎng)絡(luò)入侵檢測系統(tǒng)和網(wǎng)上搜尋的某常規(guī)入侵檢測系統(tǒng)

16、之間的數(shù)據(jù)對比。表明當發(fā)包狀態(tài)重復(fù)或者出現(xiàn)不該出現(xiàn)的包時,常規(guī)入侵檢測系統(tǒng)無法判斷,照常檢測。而四層過濾入侵檢測系統(tǒng)則能夠主動判斷狀態(tài),并不予檢測,這樣就減少了檢測包數(shù),節(jié)省時間,提高了效率,也防止了攻擊。4結(jié)語本文在對網(wǎng)絡(luò)攻擊特征進行了分析的基礎(chǔ)上,提出了基于四層過濾的網(wǎng)絡(luò)入侵檢測詳細模型,并采用了集群負載均衡技術(shù)。經(jīng)性能測試驗證,該模型提高了入侵檢測速度和準確率,保證了網(wǎng)絡(luò)的安全性,具有一定的實用性。參考文獻1楊宏宇.網(wǎng)絡(luò)入侵檢測技術(shù)的研究D.天津:天津大學博士學位論文,2003,62李志清.基于模式匹配和協(xié)議分析的入侵檢測系統(tǒng)研究D.廣州:廣東工業(yè)大學學位論文,2007,43袁榮亮.基于入侵檢測系統(tǒng)的多模匹配算法的研究D.西安:西安科技大學碩士學位論文,2008,44劉慶俞,葉震,尹才

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論