翁 垚（西安文理學院,西安,710065）

?

一種基于OpenFlow的入侵檢測評估系統(tǒng)

翁 垚
（西安文理學院,西安,710065）

摘要：文章提出了一種基于OpenFlow 網(wǎng)絡技術的入侵檢測評估系統(tǒng)，并基于OpenFlow 技術建立了入侵檢測評價模型，同時闡述了該模型的模型框架、設置方法和模型工作過程，并在該模型的基礎上設計了一個評測系統(tǒng)，該系統(tǒng)利用OpenFlow 靈活的網(wǎng)絡控制能力為IDS 測評搭建真實可控的網(wǎng)絡環(huán)境, 在為入侵檢測提供了網(wǎng)絡流量的同時還為測評提供了攻擊數(shù)據(jù)，最后以評測系統(tǒng)對模型進行了仿真實驗，并分析了實驗結果，得出基于OpenFlow的入侵檢測評估模型準確性與評測效果性能優(yōu)異的結論。

關鍵詞：OpenFlow; 入侵檢測; 評估系統(tǒng)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡安全防御中的重要關卡與計算機安全體系中的極重要環(huán)節(jié)，其作用主要是收集網(wǎng)絡與計算機系統(tǒng)內(nèi)的各種信息，并對所收集的信息進行分析，隨時監(jiān)測與記錄計算機系統(tǒng)和網(wǎng)絡中的不安全行為，并將不符合安全策略的一類行為快速報告給安全管理人員。對網(wǎng)絡管理人員來說入侵檢測系統(tǒng)的優(yōu)劣意義重大，對網(wǎng)絡運行安全的影響也不容忽視。當前我國評價入侵系統(tǒng)的方法較少，其手段也較為守舊落后，如何評價一個入侵評測系統(tǒng)的優(yōu)劣和如何提高入侵檢測系統(tǒng)性能成為業(yè)界研究方向，文章基于此提出了一種基于OpenFlow的入侵評價系統(tǒng)，并對該系統(tǒng)進行了實驗監(jiān)測，發(fā)現(xiàn)該系統(tǒng)各方面性能都較為優(yōu)越，對當前網(wǎng)絡安全作用較大，因此文章對入侵檢測系統(tǒng)進行分析研究與評測具有現(xiàn)實與理論雙重意義。

1　入侵評測系統(tǒng)現(xiàn)狀分析

隨著計算機通信技術的普及計算機系統(tǒng)中入侵檢測系統(tǒng)的作用與地位日趨重要，并越來越受到業(yè)界從業(yè)人員的重視。近年來開發(fā)入侵檢測系統(tǒng)的廠商繁多，其開發(fā)實力與技術參差不齊，開發(fā)出的入侵檢測系統(tǒng)也良莠不齊。加之廠商在不具備入侵檢測系統(tǒng)開發(fā)功能的情況下過度宣傳和包裝產(chǎn)品，使得普通消費者無從選擇。因此對入侵檢測系統(tǒng)進行科學的測試，并通過測試給予公正準確的評估是廣大業(yè)內(nèi)人士與消費者共同的要求，但由于入侵檢測技術發(fā)展較晚其相關評估工作也相對較少，當前要較好的實現(xiàn)對入侵檢測系統(tǒng)的準確評估所面臨的難點較多，單就評測中看似容易實現(xiàn)獲取的網(wǎng)絡流量方面而言就遇到不少問題。首先，對商業(yè)正常流量的獲取較難。商業(yè)流量通常涉及所謂的商業(yè)機密或者牽扯行業(yè)敏感數(shù)據(jù)，難以被獲準獲取，更何談以資研究。其次，流量有大小之分難以正確獲取。流量并非都相同均衡的，一些流量較大很可能產(chǎn)生擁堵情況，另一些流量則可能很小較為流暢，這種大小不一的流量會嚴重影響評測結果。再者，正常的流量難以控制。最后，攻擊流量難以識別。網(wǎng)絡攻擊可以說無處不在且隨時發(fā)生著，但即使是在如此頻繁廣泛的網(wǎng)絡攻擊情況下，要具體清晰的對攻擊流量進行識別還是難上加難，更難以將該部分流量當作評價標準實行。

2　基于Openflow的入侵檢測評估模型

由于網(wǎng)絡真實流量難以準確獲取、網(wǎng)絡不可控因素太多等，一般入侵監(jiān)測系統(tǒng)工作都在仿真環(huán)境下進行。然而仿真環(huán)境畢竟不是真實的網(wǎng)絡環(huán)境，利用仿真環(huán)境得出的評估結果與真實網(wǎng)絡環(huán)境可能的評估結果會有較大差異，這也說明了評估中數(shù)據(jù)來源的作用重大?？梢娨岣叻抡姝h(huán)境下評估準確性和可信心就必須加大真是網(wǎng)絡數(shù)據(jù)的引入，或在仿真網(wǎng)絡環(huán)境的基礎上開發(fā)基于真實網(wǎng)絡環(huán)境的評測技術。而當前軟件定義網(wǎng)絡（Software Defined Network, SDN ）中OpenFlow技術的產(chǎn)生在大大增加了網(wǎng)絡數(shù)據(jù)控制的靈活性與準確性的同時提高了網(wǎng)絡環(huán)境的可控性，使基于真實網(wǎng)絡環(huán)境的評測技術實現(xiàn)的可能性大大提高?；诖?，文章搭建了基于Openflow的入侵檢測評估模型。

3　基于Openflow 的入侵評測系統(tǒng)評估系統(tǒng)框架

3.1系統(tǒng)框架

文章提出的基于OpenFlow 的入侵檢測評估系統(tǒng)在真實的局域網(wǎng)環(huán)境下運行，其研究對象主要是基于網(wǎng)絡的入侵檢測?；贠penflow 的入侵評測系統(tǒng)評估系統(tǒng)框架（如圖1所示）需要由控制器、Openflow 交換機、被測入侵評測系統(tǒng)、普通交換機、攻擊流量發(fā)生器等組成。該框架的參數(shù)設置模塊包括流量控制、時間控制、自定義測試腳本這三個主要子模塊，具有對參數(shù)的自定義測試功能。通過參數(shù)設置模塊中的流量控模塊可以為用戶提供一個監(jiān)測網(wǎng)絡流量不同狀態(tài)的窗口，幫助用戶自主選擇合適的網(wǎng)絡流量狀態(tài)進行測試。一般情況下內(nèi)外網(wǎng)流量大小、流速、攻擊流量大小、攻擊頻率等都是能監(jiān)測到的流量狀態(tài)，但以上流量狀態(tài)的參數(shù)都不夠完備，在用戶對流量參數(shù)進行自定義設置后，系統(tǒng)才會依據(jù)用戶設置的參數(shù)進行全面測試。同樣對該框架中的時間控制模塊用戶也可以進行自定義設置，例如選擇設置測試的開始時間和系統(tǒng)提供的高中低三個等級和自定義等。該評估框架性能測試參數(shù)包括抗攻擊力、檢測率、攻擊數(shù)、誤警率等多種可選性能指標，性能測試參數(shù)用以定義當前的測試主要測試性能的選擇，用戶可以選擇適用于被測入侵檢測系統(tǒng)特征的性能指標進行測試。OpenFlow 交換機的規(guī)則設置需要特別關注，本模型中一個至為關鍵的部分是OpenFlow 交換機，OpenFlow 交換機以OpenFlow 的轉發(fā)功能的靈活性和可控行為基礎對本模型作用巨大。因此，設置OpenFlow的規(guī)則對本模型來說也至關重要，總體來說OpenFlow交換機轉發(fā)規(guī)則的設置與OpenFlow的數(shù)據(jù)流息息相關。第一，測試時從攻擊主機等特定網(wǎng)絡中主機發(fā)送來的數(shù)據(jù)傳送到控制處理中心而不轉發(fā)。第二，對一般的網(wǎng)絡流量照常轉發(fā)。此外，設計中防火墻、路由器、Web 服務器、局域網(wǎng)中正常使用的主機、OpenFlow 控制器等模塊也是框架的核心組成部分，此處不一一贅述。

圖1　基于Openflow 的入侵評測系統(tǒng)評估系統(tǒng)框架

3.2基于Openflow 的入侵評測系統(tǒng)評估模型工作原理

基于Openflow的入侵評測系統(tǒng)評估模型突破使用模擬流量的各種傳統(tǒng)限制, 基于真實網(wǎng)絡環(huán)境對入侵評測系統(tǒng)進行多方面性能進行評測，其工作過程較為復雜具體如下所述：

第一，在外部網(wǎng)絡和內(nèi)容網(wǎng)絡均利用流量發(fā)生器產(chǎn)生攻擊流量。在真實網(wǎng)絡環(huán)境下進行入侵評測系統(tǒng)評估時考慮到網(wǎng)絡中同一時間內(nèi)網(wǎng)絡攻擊流量產(chǎn)生無法保障與控制以及同一時間內(nèi)網(wǎng)絡攻擊的多樣性無法保證與控制，因此在外部網(wǎng)絡和內(nèi)容網(wǎng)絡均利用流量發(fā)生器產(chǎn)生攻擊流量，以便于保證評測的全面性與有效性。第二，內(nèi)外部攻擊流量通過防火墻進入內(nèi)部網(wǎng)絡，同時防火墻同樣是外部網(wǎng)絡的真實流量進入內(nèi)部網(wǎng)絡的必經(jīng)之路。內(nèi)網(wǎng)內(nèi)部署的被測入侵檢測系統(tǒng)檢測攻擊流量并生成檢測報告發(fā)給OpenFlow 控制器，經(jīng)過防火墻進入內(nèi)網(wǎng)的內(nèi)外部攻擊流量和外網(wǎng)真實流量經(jīng)由OpenFlow 交換機轉發(fā)，正常流量被按OpenFlow 交換機的定義規(guī)則（源MAC 符合被轉發(fā)、源IP 地址符合被轉發(fā)、源端口符合被轉發(fā)等）被照常轉發(fā)，攻擊流量則被OpenFlow 交換機攔截并發(fā)送給控制處理中心。第三，控制處理

中心統(tǒng)計接收到的攻擊流量并以其與入侵評測系統(tǒng)的報告進行對比，基于對比結果給出被測入侵評測系統(tǒng)評測結果。

4　測試結果及分析

系統(tǒng)模型完成后，本文以該模型對選定了對象進行了實驗測試，發(fā)現(xiàn)當閾值較高時，本模型和傳統(tǒng)測評方法得出的結果差別較小，在0誤報率的情況下，檢測率皆為100%。當檢測要求增高時（比如閾值降低）本模型檢測率要比傳統(tǒng)方法的檢測率要低。對實驗評測結果進行分析后得出，本文提出的模型對入侵評測系統(tǒng)的評價結果比傳統(tǒng)方式要苛刻，也顯示出入侵評測系統(tǒng)在真實網(wǎng)絡環(huán)境中檢測攻擊行為的能力比模擬網(wǎng)絡環(huán)境要低。這一結果說明基于OpenFlow 的入侵評測系統(tǒng)評測模型對入侵評測系統(tǒng)的實際檢測能力測評更真實、更精確。

5　結語

本文在當前入侵評測系統(tǒng)生產(chǎn)紊亂，對入侵評測系統(tǒng)測評方式有限、評測能力低下的情況下提出了一種基于OpenFlow 的入侵評測系統(tǒng)評測系統(tǒng)模型，從模型框架與軟硬件配備以及運行環(huán)境方面對模型構建、工作流程等方面行進了詳述，并通過實驗對該模型測評真實網(wǎng)絡環(huán)境與模擬網(wǎng)絡環(huán)境下的入侵評測系統(tǒng)的真實評測力進行了測評，發(fā)現(xiàn)該測評模型系統(tǒng)與傳統(tǒng)測評系統(tǒng)對比作其評測結果更準確全面，為入侵評測系統(tǒng)的測評與選擇提供了新的思路與途徑。

參考文獻

[1] 廖大強,鄭海清. 基于OpenFlow的入侵檢測評估模型[J].計算機系統(tǒng)應用,2014,12:82-87.

[2] 邵國林,陳興蜀,尹學淵,張峰偉. 基于OpenFlow的虛擬機流量檢測系統(tǒng)的設計與實現(xiàn)[J]. 計算機應用,2014,04:1034-1037+1041.

[3] 田慶,朱俊嶺. Openflow在入侵檢測評估中的應用研究[J].硅谷,2014,17:111-112.

An intrusion detection evaluation system based on OpenFlow

Weng Yao
(Xi'an University of Arts and Science, Xi'an,710065)

Abstract：This paper proposes an intrusion detection evaluation system based on OpenFlow network technology,and based on the OpenFlow technology to establish the intrusion detection evaluation model, and elaborated the model framework,the model method and model of the working process, and on the basis of the model to design a performance evaluation system, the system uses the ability of network OpenFlow control of flexible controllable IDS evaluation to build the real network environment,provides the network traffic but also provides data for the evaluation of attack for intrusion detection,and finally to the evaluation system of the model were simulated,and the result is analyzed,the OpenFlow intrusion detection evaluation model and evaluation conclusion performance accuracy is excellent based on

Keywords：OpenFlow;intrusion detection;evaluation system