殷玥

摘要：復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，使傳統(tǒng)的防火墻與入侵檢測(cè)系統(tǒng)的實(shí)際效果大打折扣，無(wú)法滿足復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。在此背景下，設(shè)計(jì)并實(shí)現(xiàn)一種自學(xué)習(xí)方式入侵檢測(cè)防御系統(tǒng)，系統(tǒng)根據(jù)NDIS Passtru接口規(guī)范，自主開發(fā)了驅(qū)動(dòng)模塊，并基于BP神經(jīng)網(wǎng)絡(luò)算法設(shè)計(jì)了自學(xué)習(xí)模式，最終實(shí)現(xiàn)了入侵檢測(cè)防護(hù)目的。系統(tǒng)彌補(bǔ)了傳統(tǒng)防火墻與入侵檢測(cè)系統(tǒng)的不足，最大限度保證了服務(wù)器網(wǎng)絡(luò)的安全。

關(guān)鍵詞： 自學(xué)習(xí)；入侵檢測(cè)；入侵防御；BP神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）25-0030-02

Design and Implementation of A Self-learning Intrusion Detection Defense System

YIN Yue

（NanYang Institute of Technology， Nanyang 473000，China）

Abstract： Traditional firewall and intrusion detection systems will be compromised in complex network security environment. In this background， A self-learning IPS is designed in order to improve the overall network security of information systems. System is divided into six modules， such as， Passthru driver module， feature extraction module， rule base， feature matching module and the parser. This system overcomes disadvantages of traditional firewalls and ensures security information systems.

Key words：self-learning； intrusion detection； intrusion prevention； back propagation； network security

1 引言

近年來(lái)發(fā)展火熱的電子商務(wù)，和以此為依托眾多的網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的頻發(fā)。使得網(wǎng)絡(luò)安全開始走入大眾的視野。另外，各式各樣黑客技術(shù)的日益曝光，自動(dòng)化入侵及檢測(cè)工具的開放，使得網(wǎng)絡(luò)安全測(cè)試的門檻降低，進(jìn)一步加大了入侵事件的發(fā)生，使得網(wǎng)絡(luò)安全問(wèn)題呈現(xiàn)高發(fā)態(tài)勢(shì)。網(wǎng)絡(luò)安全作為一個(gè)系統(tǒng)的概念，提出了信息系統(tǒng)必須提供有效的安全策略，切實(shí)可行的安全加固方案，已達(dá)到保護(hù)信息系統(tǒng)不受非法入侵和影響的目的。因此，保護(hù)信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全穩(wěn)定，是現(xiàn)今信息安全的首要目標(biāo)。但是傳統(tǒng)的入侵檢測(cè)系統(tǒng)只能對(duì)入侵行為進(jìn)行識(shí)別與發(fā)現(xiàn)，不能有效的防御，因此，將入侵檢測(cè)系統(tǒng)與傳統(tǒng)防火墻的組合就形成了現(xiàn)在的入侵檢測(cè)防御系統(tǒng)（Intrusion Detection Protect System，簡(jiǎn)稱IDP）。

2 入侵檢測(cè)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

網(wǎng)絡(luò)入侵檢測(cè)防御系統(tǒng)作為一套綜合性的信息安全防護(hù)系統(tǒng)，需要兼顧入侵檢測(cè)系統(tǒng)與防火墻的雙重功能，通過(guò)有效的安全策略制定，有效的控制進(jìn)出信息系統(tǒng)流量。實(shí)現(xiàn)對(duì)用戶以及外部訪問(wèn)的控制，以及對(duì)異常流量的實(shí)時(shí)分析。

由于其特殊性，決定了網(wǎng)絡(luò)入侵防御系統(tǒng)，必須具有以下幾個(gè)特點(diǎn)：本身不受攻擊的影響；保證數(shù)據(jù)傳輸?shù)男?；采用安全加密等方式保證系統(tǒng)自身信息安全；良好的交互界面，以與管理員更加友好的交互；準(zhǔn)確且穩(wěn)定的防護(hù)效果。

基于以上幾個(gè)特點(diǎn)，要求系統(tǒng)，必須采用穩(wěn)定且可靠的架構(gòu)。加之采用模式匹配的方式進(jìn)行數(shù)據(jù)分析與規(guī)則處理，因此，也決定了，必須采用效率較高的算法，進(jìn)行相關(guān)規(guī)則匹配與提取。在功能上要求系統(tǒng)對(duì)常見(jiàn)的SQL注入、XSS、DDOS攻擊、ARP欺騙以及木馬入侵等常規(guī)Web攻擊手段進(jìn)行防護(hù)，從而達(dá)到保護(hù)服務(wù)器不受攻擊。

2.1 系統(tǒng)總體設(shè)計(jì)

為了更好地實(shí)現(xiàn)對(duì)數(shù)據(jù)流量的監(jiān)控，穩(wěn)定且高效的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的獲取，系統(tǒng)采用NDIS中間層Passthru框架作為基本數(shù)據(jù)獲取框架。通過(guò)監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲得必要的數(shù)據(jù)來(lái)源，依托協(xié)議分析，匹配，統(tǒng)計(jì)分析等手段，實(shí)時(shí)發(fā)現(xiàn)處理攻擊行為。數(shù)據(jù)過(guò)濾部分，采用自我編寫的數(shù)據(jù)過(guò)濾模塊，對(duì)壞數(shù)據(jù)進(jìn)行及時(shí)處理，做出相應(yīng)響應(yīng)。規(guī)則庫(kù)方面，為了加強(qiáng)知識(shí)庫(kù)的健壯性，系統(tǒng)引用BP神經(jīng)網(wǎng)絡(luò)算法，在處理前，處理中進(jìn)行自學(xué)習(xí)，最大限度的擴(kuò)充知識(shí)庫(kù)的健壯性。使整體的檢測(cè)與防御效果得到增強(qiáng)。系統(tǒng)構(gòu)架如圖1所示。

系統(tǒng)各部分功能如下：

1）Passthu底層框架：實(shí)現(xiàn)的是防火墻的功能，對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾并對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行解析。模塊采用Microsoft提供的PassThru擴(kuò)展驅(qū)動(dòng)框架，通過(guò)對(duì)下層物理網(wǎng)卡驅(qū)動(dòng)，與上層協(xié)議驅(qū)動(dòng)的連接。獲取完整的網(wǎng)絡(luò)流量數(shù)據(jù)包，通過(guò)實(shí)時(shí)對(duì)數(shù)據(jù)包的攔截處理，已達(dá)到檢測(cè)網(wǎng)絡(luò)流量的目的。

2）特征提?。簲?shù)據(jù)包指紋特征提取。在常規(guī)網(wǎng)絡(luò)攻擊過(guò)程，通過(guò)分析，從中發(fā)現(xiàn)很多特征可以標(biāo)明為何種攻擊行為。特征提取模塊，就是通過(guò)模式匹配的方式，對(duì)解析器提取出的相關(guān)數(shù)據(jù)，進(jìn)行進(jìn)一步的分析。

3）規(guī)則庫(kù)：用于存放攻擊特征碼的數(shù)據(jù)庫(kù)。

4）規(guī)則匹配：采用BM和KMP算法對(duì)提取的特征和規(guī)則庫(kù)里的特征碼進(jìn)行兩次比對(duì)，確保準(zhǔn)確性。

5）解析器：對(duì)比對(duì)后的結(jié)果產(chǎn)生操作行為。解析器分為TCP，UDP，HTTP，ARP等多個(gè)部分，通過(guò)對(duì)不同協(xié)議的不同分析，將不同的數(shù)據(jù)域交給特征提取模塊。已達(dá)到更加準(zhǔn)確穩(wěn)定的處理。

6）短信預(yù)警：對(duì)遠(yuǎn)程登錄的IP告知通過(guò)管理員。

7）特征自學(xué)習(xí)：對(duì)于所提取的未知特征進(jìn)行自學(xué)習(xí)。

2.2系統(tǒng)關(guān)鍵技術(shù)實(shí)現(xiàn)

在系統(tǒng)總體設(shè)計(jì)的基礎(chǔ)上，對(duì)系統(tǒng)部分模塊的實(shí)現(xiàn)過(guò)程進(jìn)行簡(jiǎn)單的介紹。

2.2.1 解析器

解析器通過(guò)利用協(xié)議分析技術(shù)，對(duì)所有經(jīng)過(guò)的協(xié)議數(shù)據(jù)，進(jìn)行分解，獲取其中重要的數(shù)據(jù)域，從而獲取第一手?jǐn)?shù)據(jù)，最大限度地保證數(shù)據(jù)的真實(shí)性、完整性，保證特征提取模塊能夠獲取最完整的數(shù)據(jù)。解析器分為TCP，UDP，HTTP，ARP等多個(gè)部分，通過(guò)對(duì)不同協(xié)議的不同分析，將不同的數(shù)據(jù)域交給特征提取模塊，以達(dá)到更加準(zhǔn)確穩(wěn)定的處理。另外，由于解析器所獲取的數(shù)據(jù)包結(jié)構(gòu)已知，保證了整個(gè)數(shù)據(jù)包處于完整狀態(tài)，在可控的范圍內(nèi)，大大增加了后續(xù)數(shù)據(jù)分析的準(zhǔn)確性。并且能快速檢測(cè)攻擊特征，從而大大減少了搜索所需的計(jì)算量。

解析器分為HTTP，TCP，UDP，ARP等部分，由于協(xié)議本身的差異，在對(duì)不同的協(xié)議進(jìn)行解析時(shí)，方式方法不同，這里不再一一介紹。

2.2.2 特征提取

在常規(guī)網(wǎng)絡(luò)攻擊過(guò)程中，通過(guò)分析可以從中發(fā)現(xiàn)很多特征可以標(biāo)明為何種攻擊行為。特征提取模塊，就是通過(guò)模式匹配的方式，對(duì)解析器提取出的相關(guān)數(shù)據(jù)，進(jìn)行進(jìn)一步的分析。在分析過(guò)程中，主要包括兩種方式：一種是基于標(biāo)識(shí)（signature-based），另一種是基于異常（anomaly-based）。由于這些提取特征提供了整個(gè)網(wǎng)絡(luò)數(shù)據(jù)流的完整信息，將所有選項(xiàng)組合后，能夠分析出相關(guān)攻擊的具體行為。因此，能夠準(zhǔn)確、穩(wěn)定而且高效地完成特征提取。如果將這些選項(xiàng)組合，就可得到網(wǎng)絡(luò)數(shù)據(jù)包以及典型攻擊行為的描述。

下面給出網(wǎng)絡(luò)數(shù)據(jù)包的元組表示：

Attack（packet）=（P-id，H-len，C-sum，S-port，D-port，Icmp-Type，Icmp-Code，F(xiàn)lag，P-len，P-data）對(duì)元組里的特征元素不同的取值組合就構(gòu)成了對(duì)不同攻擊行為的描述，下面給出用于描述 CGI 攻擊、FTP 攻擊、Redirect 攻擊和 UDP 攻擊的元組描述：

Attack（CGI）=（Tcp，32，0，2345，80，null，null，A，421，get cgi-bin）

Attack（FTP）=（Tcp，24，16，21，21，null，null，PA，256，ROOT）

Attack（Redirect）=（Icmp，20，null，null，8，3，null，192，1a）

Attack（UDP）=（Udp，16，10，138，126，null，null，null，448，3c）

自學(xué)習(xí)入侵檢測(cè)系統(tǒng)提取特征的根本目的在于對(duì)每一類攻擊類型可得到多個(gè)這樣的元組描述，將這些元組作為神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本，對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，就可在神經(jīng)網(wǎng)絡(luò)內(nèi)部建立起對(duì)不同攻擊行為的識(shí)別模型。

2.2.3 匹配規(guī)則

特征匹配模塊，是本系統(tǒng)較為重要的組成部分。當(dāng)數(shù)據(jù)由上層解析器解析，提取模塊提取出相關(guān)特征后，匹配模塊開始正式工作。模塊通過(guò)對(duì)每一個(gè)規(guī)則鏈提取，規(guī)則鏈包括：Dynamic（記錄網(wǎng)絡(luò)流量的日志）、Alert（產(chǎn)生報(bào)警并記錄這個(gè)數(shù)據(jù)包）、Pass（忽略這個(gè)數(shù)據(jù)包）、Rule（規(guī)則）四個(gè)部分組成，每一個(gè)都有獨(dú)立的協(xié)議鏈表。構(gòu)成一個(gè)完整的規(guī)則樹節(jié)點(diǎn)。

模塊啟動(dòng)前，提取規(guī)則庫(kù)的規(guī)則，先對(duì)特征進(jìn)行一次匹配，如果未發(fā)現(xiàn)威脅。對(duì)數(shù)據(jù)進(jìn)行放行。另外，為了最大限度地保證檢測(cè)過(guò)程的準(zhǔn)確性，未知規(guī)則會(huì)通過(guò)BP神經(jīng)網(wǎng)絡(luò)算法，進(jìn)行相關(guān)學(xué)習(xí)，并對(duì)學(xué)習(xí)出的樣本進(jìn)行記錄，以便發(fā)現(xiàn)攻擊行為時(shí)，記錄其變種形式，達(dá)到更加準(zhǔn)確，更加有效的防御效果。在整個(gè)規(guī)則匹配過(guò)程采用比較著名的匹配算法BM（Boyer-Moore）算法和KMP（Knuth-Morris-Pratt）兩種不同的匹配算法進(jìn)行兩次規(guī)則匹配，來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)包行為信息的判斷，并將結(jié)果傳遞給操作模塊，以供下一步操作。

2.2.4 BP神經(jīng)網(wǎng)絡(luò)

BP（Back Propagation）神經(jīng)網(wǎng)絡(luò)是1986年由Rumelhart和McCelland為首的科學(xué)家小組提出，是一種按誤差逆?zhèn)鞑ニ惴ㄓ?xùn)練的多層前饋網(wǎng)絡(luò)，是目前應(yīng)用最廣泛的神經(jīng)網(wǎng)絡(luò)模型之一。BP網(wǎng)絡(luò)能學(xué)習(xí)和存貯大量的輸入-輸出模式映射關(guān)系，而無(wú)需事前揭示描述這種映射關(guān)系的數(shù)學(xué)方程。BP神經(jīng)網(wǎng)絡(luò)模型包括其輸入輸出模型、作用函數(shù)模型、誤差計(jì)算模型和自學(xué)習(xí)模型。

算法基本流程就是：

1）初始化網(wǎng)絡(luò)權(quán)值和神經(jīng)元的閾值（最簡(jiǎn)單的辦法就是隨機(jī)初始化）

2）前向傳播：按照公式一層一層的計(jì)算隱層神經(jīng)元和輸出層神經(jīng)元的輸入和輸出。

3）后向傳播：根據(jù)公式修正權(quán)值和閾值直到滿足終止條件。

3 結(jié)束語(yǔ)

經(jīng)過(guò)測(cè)試，系統(tǒng)可以實(shí)現(xiàn)對(duì)預(yù)期的sql注入、xss跨站、arp攻擊和cookie注入等多種類型的攻擊手段的防御，并且取得了不錯(cuò)的效果，最大限度地保證了服務(wù)器的安全。但是由于防御系 （下轉(zhuǎn)第33頁(yè)）

（上接第31頁(yè)）

統(tǒng)由于自身也是攻擊者的重要目標(biāo)，因此下一步需要做的工作主要是，如何避免 IDP 系統(tǒng)受到攻擊，或者如何將 IDP 隱藏，以使黑客檢測(cè)不到 IDP 的存在，這也是一個(gè)重要的研究課題。

參考文獻(xiàn)：

[1] 王景新.基于神經(jīng)網(wǎng)絡(luò)技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].長(zhǎng)沙：國(guó)防科技大學(xué)，2002.

[2] 唐正軍等.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：電子工業(yè)出版社，2002.

[3] 王曉程.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究[N].計(jì)算機(jī)工程與科學(xué)，2000（1）.

[4] 朱雁輝.Windows 防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京：電子工業(yè)出版社，2002（7）.

[5] 付澤宇，余鎮(zhèn)危.一種主機(jī)防火墻的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2002.

[6] 王英紅.分布式防火墻堵住內(nèi)部網(wǎng)漏洞[N].計(jì)算機(jī)世界報(bào)，2002（4）.

[7] 戴云，泛平志.入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2002，38（4）.

[8] 崔偉，競(jìng)艷，蔡圣聞等.基于 IPSec 的分布式防火墻安全體系框架[J].計(jì)算機(jī)工程，2004.