吳冬惠　楊印根　李成林　吳菲

摘要： 為了提高入侵檢測率，降低誤檢率，提出了一種基于狀態(tài)協議分析技術的擴展有窮狀態(tài)自動機（EFSA）入侵檢測模型，該模型通過構建一個EFSA來描述攻擊的狀態(tài)轉移和變化，EFSA模型可用一個六元組表示，即M=（P，Q，Σ，W，q0，F）。通過建立該模型，一方面將接受到的數據包映射為協議狀態(tài)的轉換從而建立有窮狀態(tài)自動機，根據被檢測數據是否被自動機接受來判斷攻擊的存在。另一方面將待檢測數據按協議分流，從而提升檢測精度，減小模式匹配計算量，提高檢測率。實驗選取KDD CUP99做測試數據集，經測試結果表明基于EFSA模型的入侵檢測方法較之基于五元組自動機檢測模型具有更好的檢測率和更低的誤檢率。

關鍵詞：EFSA模型；狀態(tài)協議分析；模式匹配；誤檢率

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）01-0038-04

Application and Study of Extended Finite Automata Model in Intrusion Detection

WU Dong-hui，YANG Yin-gen，LI Cheng-lin，WU Fei

（College of computer information engineering， Jiangxi Normal University， Nanchang 330022， China）

Abstract： In order to improve intrusion detection rate and reduce false positives rate， an extended finite state automata （EFSA） intrusion detection model is proposed， which is based on state protocol analysis technology.This model is constructed by a EFSA to describe attack state transition and change， and EFSA model can be used a six tuple that said， M= （P， Q，Σ，W， q0，F）. Through the establishment of the model， on the one hand， it will receive the data packet mapping for the conversion of protocol state in order to establish the finite state automata， according to the detected data is accepted by the automaton to judge the existence of an attack. On the other hand， the data to be detected according to the protocol of shunt， so as to enhance the detection accuracy， reduce the pattern matching calculation amount， and improve the detection rate. The experiment selected KDD CUP99 test data sets，and the test results show that the method of Intrusion Detection Based on EFSA model comparing with five tuple automaton detection model has a better detection rate and lower false positives rate.

Key words： EFSA model； State protocol analysis； Pattern matching； False positives rate

傳統的入侵檢測技術主要利用模式匹配技術檢測攻擊的存在，其存在很多缺點，如模式匹配計算量大，檢測率低，很容易產生丟包現象[1]。隨著互聯網用戶的日益增多，數據傳輸量呈現指數級遞增，數據傳輸速率也不斷增大，另一方面黑客攻擊的手段日益復雜，因此傳統的基于模式匹配技術的入侵檢測系統無法實時檢測攻擊，滿足不了用戶的需求。近年來各種智能技術應用到入侵檢測研究中，如基于神經網絡[2]、遺傳算法[3]、數據挖掘[4]、人工免疫技術[5]的入侵檢測研究，但實際檢測性能都不夠理想，文獻[6]中的劉恩軍提出一種包匹配技術檢測入侵，這種方法實現簡單，但檢測能力和靈活性較差，對未知攻擊以及使用躲避檢測技術的變體攻擊無能為力；文獻[7]中周楊提出利用協議分析技術對單個數據包進行分析，雖然它很大程度上能夠有效阻止攻擊行為，但其孤立的檢測單個數據包使得這種方法無法發(fā)現碎片攻擊和分布式協作攻擊；文獻[8]中殷超等提出利用一個五元組構建有窮自動機模型檢測入侵，雖然它能夠將數據包前后信息聯系起來發(fā)現攻擊，但它只能利用單一的固定模式來檢測TCP協議缺陷型攻擊，導致檢測不夠精確不夠全面，容易造成誤檢和漏檢。針對這些問題提出一種利用狀態(tài)協議分析技術構建擴展有窮自動機模型檢測入侵，該模型用一個六元組表示，它不僅能夠發(fā)現碎片攻擊，還能將數據按協議分流，對數據按協議的不同來構建相應的有窮自動機模型，從而更加精確地檢測攻擊，達到提高檢測率，降低誤報率的目的。

1 協議分析技術

協議分析技術是一種新興的入侵檢測方法，它與數據包捕獲及其命令解析相結合進行入侵檢測。在捕獲到所需要的數據包后，協議分析首先判斷相應協議字段的值是否在協議預定義的值的范圍內，然后根據不同的攻擊特征跳轉到需要檢測的協議字段來判斷其合法性[9]。協議分析技術主要是利用了網絡協議的高度規(guī)則性快速探測攻擊的存在，避免了模式匹配所做的大量計算，從而提高入侵檢測的效率。

1.1簡單協議分析

簡單協議分析首先對捕獲到的數據包進行協議解析，同時提取數據的協議特征。通過數據解析可以丟棄一些不符合協議規(guī)則的數據包，還能檢測出一些使用躲避檢測技術的變體攻擊和未知攻擊。然后利用規(guī)則庫對解析后的數據進行規(guī)則匹配，從而檢測攻擊。這種方法較之傳統的基于模式匹配的入侵檢測技術，減少了計算量，提高了檢測效率。

簡單協議分析技術可以檢測出單個數據包攜帶的攻擊，但現如今很多攻擊都是分片進行的，比如有些網絡攻擊行為包含在多個請求中，所以孤立地檢測單個數據包并不能夠發(fā)現攻擊[10]。如果能把整個完整的會話前后聯系起來，那么攻擊才有可能被發(fā)現。

1.2狀態(tài)協議分析

在簡單協議分析技術的基礎上，狀態(tài)協議分析技術應運而生。它不再像簡單協議分析技術一樣孤立地看待每個數據包，而是通過對解析后的數據包進行IP分片重組和TCP流還原，把分段后的整個數據包聯系起來，來檢測出多步驟碎片攻擊以及分布式協作攻擊[11]。

在狀態(tài)協議分析的基礎上本文提出一種基于擴展的有窮狀態(tài)機模型，該模型用一個六元組表示。它充分利用協議的高度規(guī)則性，來檢測跟蹤任何可能的網絡入侵攻擊。

2 擴展有窮狀態(tài)自動機模型（EFSA）的構建

在狀態(tài)協議分析的基礎上，文獻[12-14]根據有關自動機理論給出的四個定理[15]，證明了有窮自動機與正則表達式是等價的。他們利用有窮自動機和正則表達式這種等價的特性確定網絡的正常狀態(tài)及其轉移過程，創(chuàng)建了基于五元組的有窮狀態(tài)自動機模型（FSA）。

在基于五元組有窮自動機模型（FSA）的基礎上，該文提出擴展的基于六元組的有窮狀態(tài)自動機模型（EFSA）。

2.1六元組模型的建立

根據自動機理論，將擴展的有窮狀態(tài)自動機（EFSA）模型應用到狀態(tài)協議分析中，創(chuàng)建一個六元組M=（P，Q，Σ，W，q0，F），其中：

P是EFSA模型擴展（extended）部分，它表示網絡數據采用的協議類型的集合。通過此項可以過濾數據包，達到按協議分流的目的，例如P={TCP}，表示只允許TCP協議數據流入狀態(tài)自動機；

Q是EFSA模型的有窮狀態(tài)集，表示協議進程正常運行狀態(tài)下所有可能的狀態(tài)集合；

Σ是EFSA模型中觸發(fā)狀態(tài)轉換的動作集合；

W：Q×Σ→Q是狀態(tài)轉移函數集合；

q0是EFSA模型的初始狀態(tài)；

F是EFSA模型中的結束狀態(tài)。

2.2 EFSA模型的創(chuàng)建

下面以TCP協議分析為例創(chuàng)建EFSA模型，根據建立一個TCP連接需要通過三次握手過程，有如下步驟：

1） 創(chuàng)建TCP協議會話連接狀態(tài)自動機M，

W是狀態(tài)轉移函數，定義如下：

W（q0，SYN）=q1；W（q1，）=q2；W（q2，ACK）=q3。

2） 當服務器接受到一個來自客戶端的SYN數據包，它就會創(chuàng)建一個狀態(tài)列表去記錄當前連接狀態(tài)的情況，直到連接成功或超時，該列表才會被刪除。

3） 當一個TCP連接正處于q2狀態(tài)時，狀態(tài)序列s被添加到狀態(tài)序列S，將t設置成該狀態(tài)序列的加入時間，同時設置時間間隔ΔT和報警閾值N，當S=φ，那么初始時間t0被設置成當前狀態(tài)序列連接時間。此時檢查q2狀態(tài)下的連接個數|S|是否大于等于閾值N，判斷|t-t0|是否小于或等于預先設定的時間間隔ΔT，如果兩者都滿足，則生成報警并且設置S=φ[16]。當一個TCP連接處于q3狀態(tài)時，狀態(tài)序列s將會從狀態(tài)序列集S中刪除。因此ΔT與N值的選取尤為重要，一般情況下根據統計和訓練得到N與ΔT的值[17]。

3 基于EFSA模型的入侵檢測

3.1模型總體框架結構

將EFSA模型應用到網絡入侵檢測中，如圖2所示。

EFSA模型由FSA模型與協議分流模型構成，也就是說EFSA模型是在FSA模型的基礎上增加了一個協議分流模型，這樣便于減小之后規(guī)則匹配時的計算量，提高了檢測效率和精度。

通過對捕獲到的數據包首先進行協議確認到達過濾的效果。其次利用EFSA模型對數據包按協議類型的不同進行分流，該文以網絡攻擊中最普遍的TCP SYN flood攻擊為例，來說明EFSA模型檢測入侵的原理與步驟。

3.2協議確認

協議確認模塊的功能是為了過濾數據包，這里利用WinPcap在以太網中采用端口鏡像的方式捕獲數據包，然后WinPcap中的BPF過濾機制對捕獲到的數據包進行選擇性過濾，而BFP過濾器是通過WinPcap調用相應函數來實現，這樣有效地提高了系統的檢測率、降低了系統的丟包率，同時也提高了系統本身安全性，減輕了IDS的負載[18]。

3.3利用EFSA模型檢測入侵

1） TCP SYN flood攻擊原理

TCP SYN flood攻擊者利用傀儡機向受害主機發(fā)送大量SYN請求，受害主機回應請求，則會向源地址主機發(fā)送SYN+ACK應答，然而源地址主機并不會發(fā)送ACK以表示要建立連接，而受害主機會開辟一個內存列表用于存儲和記錄每個連接請求的狀態(tài)，當處于如圖1中所示的q2狀態(tài)時稱為半開連接[19]。攻擊者通過發(fā)送大量的半開連接請求來耗費CPU和內存資源已達到拒絕服務攻擊。

2） 檢測入侵

為了避免此類攻擊，規(guī)定當半開連接個數大于或等于N，并且滿足請求從q0到達q2狀態(tài)的時間小于或等于預先設定好的閾值ΔT時就認定為一次攻擊，于是產生報警，并記錄審計[20]，如圖3所示。

3.4規(guī)則匹配

通過EFSA模塊檢測之后的數據流將與規(guī)則庫中被解析過的規(guī)則進行匹配，從而發(fā)現攻擊。這里的規(guī)則匹配與模式匹配不同之處在于，規(guī)則匹配事先對規(guī)則庫中的規(guī)則進行了解析，把規(guī)則解析成一個由規(guī)則頭和規(guī)則選項構成的規(guī)則鏈表，待檢測數據利用函數快速遍歷規(guī)則鏈表，這樣有利于快速匹配攻擊[21]。規(guī)則匹配采用的算法與模式匹配相同，例如BM算法等。

4 實驗結果及分析

為了驗證本文提出的基于EFSA模型的入侵檢測系統的性能，實驗選取了四種常見網絡攻擊，它們分別為TCP SYN攻擊，Ping of death攻擊，ARP攻擊，Probe攻擊，同時選取基于BM模式匹配（snort）和基于FSA模型[22]的入侵檢測方法作為對照。

4.1實驗環(huán)境和數據

實驗環(huán)境為實驗室所在的以太網，實驗中用到的兩臺裝有操作系統為Windows XP的主機：主機A1和A2 均為臺式機作為攻擊方，IP 地址分別為10.3.136.159，10.3.136.158；主機D為筆記本作為被攻擊方，安裝有Windows 7系統，IP地址為10.3.136.182。

本實驗的數據來自MIT林肯實驗室（ Lincoln Laboratory，Massachusetts Institute of Technology） 的DARPA入侵檢測測評數據集KDD CUP99，分別抽取TCP SYN攻擊，Ping of death攻擊，ARP攻擊，Probe攻擊各1000次，利用Ostinato發(fā)包工具構造10000個連接正常的數據流，并將這些攻擊摻雜在其中。

4.2實驗結果及分析

通過搭建以上測試平臺，測試結果如表1和表2所示。

由實驗結果可知，針對TCP SYN flood 拒絕服務攻擊，以snort為例的基于BM模式匹配的協議分析入侵檢測系統，檢測率為53.4%，誤檢率為16.1%；而文獻[22]給出的基于FSA模型的入侵檢測方法檢測率為83.1%，誤檢率為10.1%；本文提出的基于EFSA（擴展有窮狀態(tài)自動機）模型的入侵檢測方法，檢測率為96.5%，誤檢率為6.8%。其它三種攻擊的檢測，除了檢測ping probe中誤檢率較之FSA模型提高了0.3%以外，其它指標均具有更好的性能。因此本文提出的基于FFSA模型的協議分析入侵檢測方法較之BM算法和基于FSA模型的入侵檢測方法各項性能指標基本都得到提高，尤其是對TCP SYN flood和Ping Probe等網絡攻擊的檢測。

5 結束語

本文在狀態(tài)協議分析和有窮自動機理論的基礎上設計了一個EFSA模型，該模型較之基于五元組的FSA模型和基于BM模式匹配算法的入侵檢測方法具有更高的檢測率和更低的誤檢率。下一步將研究如何利用該模型檢測其他網絡協議攻擊，以及對規(guī)則庫中的規(guī)則采用算法進行動態(tài)排序，從而讓IDS有次序地使用頻率高的特征規(guī)則，進一步提高入侵檢測率、降低誤檢率。

參考文獻：

[1] 李畢祥.基于協議分析的入侵檢測模塊設計與實現[J].計算機與數字工程，2013，42（10） ：1654-1657.

[2] 汪潔.基于神經網絡的入侵檢測系統的設計與實現[J].計算機應用與軟件，2013，30（5）：320-322.

[3] 朱紅萍，鞏青歌，雷戰(zhàn)波.基于遺傳算法的入侵檢測特征選擇[J].計算機應用研究，2012，29（4） ：1417-1419，1426.

[4] 梁飛，閆宏印.基于聚類分析的動態(tài)自適應入侵檢測模式研究[J].計算機工程與設計，2013，34（3） ：814-820.

[5] 王波，劉久君.改進的人工免疫入侵檢測模型[J].計算機應用，2012，32（6） ：1627-1631

[6] 劉恩軍.網絡入侵檢測技術的研究[J].齊齊哈爾大學學報，2013，29（4） ：52-55.

[7] 周楊.協議分析技術在入侵檢測系統中的應用[J].計算機系統應用，2011，21（6） ：161-164.

[8] 殷超，李大興.基于改進BM算法的確定型有窮自動機的設計[J].微計算機信息，2008，24（3-1） ：215-216.

[9] 鄧全才.基于模式匹配與協議分析的分布式入侵檢測研究[D].天津：天津理工大學，2011.

[10]于志宏，張闊，胡亮.基于協議分析的入侵檢測規(guī)則智能匹配[J].吉林大學學報（信息科學版），2008，26（2） ：156-162.

[11] 朱映映，吳錦峰，朱艷艷.網絡入侵檢測中的深度協議分析方法[J].計算機應用研究，2012，29（5） ：1891-1895.

[12] 鄧文達.基于有限狀態(tài)機協議分析模型的入侵檢測系統[J].計算機應用，2006，25（6） ：48-50，82.

[13] 宋江春，徐家樹，陳文林.利用有窮自動機描述網絡傳輸層協議的研究[J].計算機與信息技術，2005，13（6） ：32-34.

[14] 吳建勝，戰(zhàn)學剛.基于TCP 狀態(tài)有限自動機的入侵檢測研究[J].鞍山科技大學學報，2005，28（5） ：368-371.

[15] 陳有祺.形式語言與自動機[M].天津：南開大學出版社，1999：45-75.

[16] 王慶生，張秀榮.基于狀態(tài)協議分析的網絡入侵檢測技術[J].電腦開發(fā)與應用，2007，20（4） ：55-57.

[17] Chundong Wang，Quancai Deng.A New Intrusion Detection System Based on Protocol Acknowledgement[A].In：Multimedia Technology （ICMT）， 2010 International Conference on[C].New York：IEEE，2010：1-4.

[18] 劉坤燦，鄭康峰.一種基于確定型有窮自動機的入侵檢測模式匹配算法[A].見：2012年全國網絡與數字內容安全學術年會論文集[C].AU：Science and Education Press，2012，21-25.

[19] Haining Wang，Danlu Zhang，Kang G. Shin.Detecting SYN Flooding Attacks[J].IEEE Computer and Communications Societies，2002，1530-1539.

[20] 郝耀輝，郭淵博，劉偉.基于有限自動機的密碼協議入侵檢測方法[J].計算機應用研究，2008，31（1）：230-234.

[21] 冉占軍.基于模式匹配和協議分析的入侵檢測系統研究[D].西安：西安理工大學，2008.

[22] 李秀婷.基于Snort的網絡入侵檢測系統實現及其改進研究[D].西安：西安電子科技大學，2008.