周小松　劉帥

摘 要： 傳統(tǒng)的網(wǎng)絡(luò)入侵特征檢測方法，檢測準(zhǔn)確性低。因此，設(shè)計并實現(xiàn)基于Libnids分布式入侵檢測系統(tǒng)，該系統(tǒng)將多網(wǎng)絡(luò)環(huán)境分割為不同邏輯區(qū)域，各邏輯區(qū)域包含不同的分析節(jié)點，各分析節(jié)點由數(shù)據(jù)探測部件、分析檢測部件和管理控制部件組成。在系統(tǒng)實現(xiàn)方面，利用WinPcap函數(shù)庫完成數(shù)據(jù)包的采集，依據(jù)采集的數(shù)據(jù)包，通過WM模式匹配算法和協(xié)議分析匹配檢測模型，進行差異化入侵特征的檢測。實驗結(jié)果表明，該系統(tǒng)具有較高的檢測率、較低的虛警率和漏報率。

關(guān)鍵詞： 多網(wǎng)絡(luò)； 差異化入侵特征； WinPcap函數(shù)庫； 檢測平臺

中圖分類號： TN711?34； TP393 文獻標(biāo)識碼： A 文章編號： 1004?373X（2017）10?0149?04

Abstract： Since the traditional network intrusion feature detection method has low detection accuracy， a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes， and each node is composed of the data detection unit， analysis and detection unit， and management control unit. The WinPcap function library is used to acquire the data package， according to which， the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate， low false alarm rate and low missing report rate.

Keywords： multi?network； differentiation intrusion feature； WinPcap function library； detection platform

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊問題也逐漸增加，而當(dāng)前多網(wǎng)絡(luò)技術(shù)也成為快速發(fā)展的趨勢，多網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于不同的領(lǐng)域。因此，為了確保網(wǎng)絡(luò)信息系統(tǒng)的安全，尋求有效的多網(wǎng)絡(luò)入侵特征檢測方法，具有重要的應(yīng)用意義[1?3]。傳統(tǒng)的網(wǎng)絡(luò)入侵特征檢測方法，僅分析了不同網(wǎng)絡(luò)層間的點對點數(shù)據(jù)檢測過程，未分析多網(wǎng)絡(luò)環(huán)境下各應(yīng)用層間的差異性較大產(chǎn)生的分類屬性差異模糊的問題，導(dǎo)致網(wǎng)絡(luò)入侵特征檢測準(zhǔn)確性降低[4?6]。

1 基于Libnids分布式入侵檢測系統(tǒng)的研究

1.1 系統(tǒng)總體邏輯結(jié)構(gòu)設(shè)計

本文采用具有開放性的可用于網(wǎng)絡(luò)入侵檢測開發(fā)的專業(yè)編程接口Libnids（Library Network Intrusion Detection System），在Windows 操作系統(tǒng)平臺下設(shè)計了分布式網(wǎng)絡(luò)入侵檢測平臺。通過網(wǎng)絡(luò)安全開發(fā)包Libnids提供的編程接口，可設(shè)計出結(jié)構(gòu)化強的分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)，實現(xiàn)多網(wǎng)絡(luò)環(huán)境下的差異化入侵特征檢測，其邏輯結(jié)構(gòu)如圖1所示。

將總體、入侵檢測系統(tǒng)分割成三個不同的邏輯子網(wǎng)，各子網(wǎng)中設(shè)置不同的分析節(jié)點，各節(jié)點由數(shù)據(jù)探測部件、分析檢測部件和管理控制部件構(gòu)成。

1.2 分析節(jié)點的邏輯結(jié)構(gòu)設(shè)計

設(shè)計的入侵檢測系統(tǒng)是融合狀態(tài)檢測、入侵分析和檢測等功能的，適用于多網(wǎng)絡(luò)環(huán)境的差異化入侵特征的檢測系統(tǒng)。采用“分而自治”的思想將總體多網(wǎng)絡(luò)環(huán)境分割成不同區(qū)域，將各區(qū)域看成不同的分析節(jié)點，各節(jié)點中有一個管理控制部件、多個數(shù)據(jù)探測部件和多個分析檢測部件。數(shù)據(jù)探測部件采集網(wǎng)絡(luò)數(shù)據(jù)包，過濾其中的無價值數(shù)據(jù)，采集有價值數(shù)據(jù)，同時反饋給相應(yīng)的分析檢測部件。

分析檢測部件對數(shù)據(jù)探測部件反饋的數(shù)據(jù)進行模式匹配以及協(xié)議研究，明確是否存在差異化入侵特征將結(jié)果反饋給管理控制部件進行存儲。管理控制部件同其他分析節(jié)點進行信息的溝通，采用圖像界面顯示出數(shù)據(jù)包信息和差異化入侵特征信息。各分析結(jié)點的邏輯結(jié)構(gòu)如圖2所示。

2 基于Libnids分布式入侵檢測系統(tǒng)的功能實現(xiàn)

2.1 數(shù)據(jù)探測部件利用WinPcap實現(xiàn)數(shù)據(jù)包的采集

數(shù)據(jù)探測部件是總體系統(tǒng)的基礎(chǔ)，其由數(shù)據(jù)包采集模塊和過濾器模塊構(gòu)成，采集多網(wǎng)絡(luò)環(huán)境中的差異化網(wǎng)絡(luò)數(shù)據(jù)包，并刪除其中的無價值數(shù)據(jù)，將有價值數(shù)據(jù)反饋給所屬的分析檢測部件。設(shè)計的數(shù)據(jù)探測部件在Windows平臺下利用WinPcap函數(shù)庫實現(xiàn)了數(shù)據(jù)包的監(jiān)測和采集，并進行初步過濾，為網(wǎng)絡(luò)差異化入侵特征的檢測提供基礎(chǔ)。

多網(wǎng)絡(luò)環(huán)境能夠分割成不同的區(qū)域，各區(qū)域也就是一個局域網(wǎng)，這些局域網(wǎng)間采用廣播信道通信途徑進行通信，該通信方法確保多網(wǎng)絡(luò)環(huán)境匯總傳遞的數(shù)據(jù)包，可被相同區(qū)域中的全部站點接收，并且不同站點的網(wǎng)卡能夠?qū)崿F(xiàn)數(shù)據(jù)包的發(fā)送以及接收。在Windows平臺下網(wǎng)絡(luò)數(shù)據(jù)包采集程序的結(jié)構(gòu)如圖3所示。

采集到的海量數(shù)據(jù)包中含有較多的不必檢測的數(shù)據(jù)包。為了提高入侵檢測分析模塊的分析效率，需要采用過濾器模塊過濾出制定種類的數(shù)據(jù)包。過濾器模塊調(diào)用WinPcap的函數(shù)，對HTTP，TCP，UDP，KMP，ARP以及IP數(shù)據(jù)包進行過濾，完成網(wǎng)絡(luò)數(shù)據(jù)包的采集，具體的流程如圖4所示。

2.2 分析檢測部件的設(shè)計和實現(xiàn)

2.2.1 入侵檢測分析模塊的設(shè)計

入侵檢測分析模塊是系統(tǒng)的關(guān)鍵部分，系統(tǒng)通過協(xié)議分析技術(shù)和模式匹配技術(shù)，對網(wǎng)絡(luò)數(shù)據(jù)包進行分析，進而判斷多網(wǎng)絡(luò)環(huán)境中是否存在差異化入侵特征，入侵檢測分析模塊的基本結(jié)構(gòu)如圖5所示。

2.2.2 模式匹配算法的選擇

WM算法包括預(yù)操作和檢索兩個過程，預(yù)操作過程對模式串L進行操作后，形成SHIFT表、HASH表和PREFIX表。其中SHIFT為無價值字符表，可保存文本中全部塊字符的移動距離；HASH可保存同匹配窗口中末位塊字符散列值一致的模式串；PREFIX表包括同匹配窗口中第一塊字符散列值一致的模式串。檢索過程采用上述三個表對匹配串T進行遍歷分析，完成差異化入侵特征的檢測，具體的實現(xiàn)流程如圖6所示。

2.2.3 分析匹配檢測基本流程與實現(xiàn)

完成數(shù)據(jù)包的解析后，需要對網(wǎng)絡(luò)協(xié)議進行分析和匹配檢測，具體的流程如圖7所示。

通過上述描述的協(xié)議分析匹配檢測方法，對獲取的網(wǎng)絡(luò)數(shù)據(jù)包進行檢測時，可通過Libnids關(guān)聯(lián)的函數(shù)對不同的網(wǎng)絡(luò)入侵特征進行檢測，具體的流程見圖8。

2.3 通信模塊的設(shè)計與實現(xiàn)

連接申請后塑造連接和遠程通信接口，完成信息交互。通信模塊進行通信的工作流程如圖9所示。通過SSL協(xié)議完成多網(wǎng)絡(luò)環(huán)境下的信息傳遞，可確保不同分析節(jié)點的通信模塊間通信的安全性。

SSL為安全協(xié)議，其具備信息加密、數(shù)字簽到等功能，可依據(jù)TCP協(xié)議中提供的穩(wěn)定端到端安全服務(wù)，確保客戶/服務(wù)器應(yīng)用間通信的安全性。系統(tǒng)要求程序間的通信，在SSL協(xié)議進行完數(shù)據(jù)加密、會話密銷的控制后，再進行通信，并且對程序通信傳輸?shù)臄?shù)據(jù)進行加密，進而提升總體通信的安全性。

3 實驗分析

實驗采用不同的攻擊工具進行相應(yīng)數(shù)量的攻擊模擬，分析本文系統(tǒng)的入侵檢測系統(tǒng)在多網(wǎng)絡(luò)環(huán)境下的入侵檢測效果，并設(shè)置在40 Mb/s網(wǎng)絡(luò)流量下的入侵檢測虛警率應(yīng)小于2%，漏報率小于1.8%。本文系統(tǒng)的測試結(jié)果，如表1所示。

分析表1可以看出，本文設(shè)計的入侵檢測系統(tǒng)的檢測率高于95%，并且虛警率以及漏報率都符合設(shè)置的規(guī)范要求，說明本文系統(tǒng)能夠?qū)崿F(xiàn)多網(wǎng)絡(luò)環(huán)境下的差異化入侵特征的準(zhǔn)確檢測。實驗對基于關(guān)聯(lián)規(guī)則的入侵檢測系統(tǒng)，在相同的網(wǎng)絡(luò)環(huán)境下，通過相應(yīng)的攻擊工具進行同數(shù)量的攻擊模擬的檢測結(jié)果如表2所示。

對比分析表1和表2 可以看出，本文系統(tǒng)的入侵檢測率高于關(guān)聯(lián)規(guī)則方法，并且本文系統(tǒng)的虛警率和漏報率均低于關(guān)聯(lián)規(guī)則方法。因此說明，本文系統(tǒng)的入侵檢測性能較高，具有較高的應(yīng)用價值。

4 結(jié) 論

本文設(shè)計并實現(xiàn)了基于Libnids分布式入侵檢測系統(tǒng)，在該系統(tǒng)實現(xiàn)方面，利用WinPcap函數(shù)庫完成數(shù)據(jù)包的采集，依據(jù)采集的數(shù)據(jù)包，通過WM模式匹配算法和協(xié)議分析匹配檢測模型，進行差異化入侵特征的檢測。實驗結(jié)果表明，該系統(tǒng)具有較高的檢測率、較低的虛警率和漏報率。

表2 基于關(guān)聯(lián)規(guī)則的入侵檢測系統(tǒng)測試結(jié)果

參考文獻

[1] 王輝，陳泓予，劉淑芬.基于改進樸素貝葉斯算法的入侵檢測系統(tǒng)[J].計算機科學(xué)，2014，41（4）：111?115.

[2] 程建，張明清，劉小虎，等.基于人工免疫的分布式入侵檢測模型[J].計算機應(yīng)用，2014，34（1）：86?89.

[3] 張雙雙，王延年.節(jié)點分布不均勻的無線傳感網(wǎng)絡(luò)低功耗算法[J].西安工程大學(xué)學(xué)報，2015，29（6）：720?723.

[4] 譚愛平，陳浩，吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測集成學(xué)習(xí)算法[J].計算機科學(xué)，2014，41（2）：197?200.

[5] 吳瓊.云計算環(huán)境下的聯(lián)合網(wǎng)絡(luò)入侵檢測方法仿真[J].計算機仿真，2015，32（6）：276?279.

[6] 劉增鎖.云計算環(huán)境下海量數(shù)據(jù)中入侵檢測挖掘模型[J].計算機仿真，2015，32（6）：289?291.