吳冬妮+周長敏+王長青

摘要：入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全防御的一個(gè)重要安全工具，提高檢測效率一直是研究的重點(diǎn)。該文針對網(wǎng)絡(luò)攻擊的三個(gè)主要特征描述來建立分層的入侵檢測模型，提高了系統(tǒng)的檢測效率。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；攻擊特征；入侵檢測

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）27-0017-02

隨著網(wǎng)絡(luò)的快速發(fā)展，Web服務(wù)早已滲透到人們的日常生活之中，網(wǎng)絡(luò)顯得越來越重要，在此同時(shí)，伴隨著網(wǎng)絡(luò)發(fā)展的網(wǎng)絡(luò)攻擊行為也在不斷層出新招，令人們防不勝防。為了提高網(wǎng)絡(luò)使用的安全效率，入侵檢測系統(tǒng)成為了網(wǎng)絡(luò)安全防御的一個(gè)重要工具，提高系統(tǒng)的檢測率，降低誤報(bào)率一直是研究的重點(diǎn)，本文通過對網(wǎng)絡(luò)攻擊特征的分類，從特征差異方面入手提出一種新的檢測模型。

1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)IDS（Intrusion Detection System）作為網(wǎng)絡(luò)安全最有效的方法之一，是一種硬件或者軟件系統(tǒng)，是主動(dòng)保護(hù)系統(tǒng)不會受到網(wǎng)絡(luò)非法攻擊的一種安全技術(shù)。入侵檢測能檢測出系統(tǒng)中的非授權(quán)活動(dòng)行為并及時(shí)作出正確判斷報(bào)警的機(jī)制[1]。入侵檢測系統(tǒng)對系統(tǒng)行為進(jìn)行檢測時(shí)，通過對其行為的可疑程度做出判斷，確定其行為是否正常，對非正常的行為發(fā)出警告，從而來保障系統(tǒng)的安全。

入侵檢測系統(tǒng)根據(jù)入侵檢測信息來源的差異，可以把入侵檢測系統(tǒng)分為兩種，一種是基于主機(jī)的入侵檢測系統(tǒng)，一種是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)[2]?；谥鳈C(jī)的入侵檢測系統(tǒng)主要是對關(guān)鍵應(yīng)用的服務(wù)器進(jìn)行保護(hù)，對主機(jī)的審計(jì)記錄和日志文件進(jìn)行監(jiān)視與分析，從而來檢測入侵行為?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要是對網(wǎng)絡(luò)關(guān)鍵路徑的信息進(jìn)行實(shí)時(shí)監(jiān)控，它采集網(wǎng)絡(luò)上的所有分組數(shù)據(jù)并進(jìn)行監(jiān)聽，分析可疑現(xiàn)象，從而檢測出可疑行為。

入侵檢測系統(tǒng)的作用是實(shí)時(shí)的檢測系統(tǒng)活動(dòng)發(fā)出警告，因此檢測步驟有三個(gè)步驟：數(shù)據(jù)信息的收集、數(shù)據(jù)信息的分析和響應(yīng)[3]，檢測步驟如圖1所示，

入侵檢測系統(tǒng)通過對原數(shù)據(jù)的收集并進(jìn)行分析后，對非法行為進(jìn)行警告阻攔，在檢測過程中如何判斷行為的正常與否是整個(gè)檢測過程的核心，本文從攻擊行為特征入手，通過對攻擊特征的描述來建立檢測模型。

2 基于網(wǎng)絡(luò)攻擊特征差異的入侵檢測模型

2.1 網(wǎng)絡(luò)攻擊特征的描述

網(wǎng)絡(luò)攻擊特征是對已知攻擊行為的描述，現(xiàn)在網(wǎng)絡(luò)攻擊行為都具有自身的特征，那么就可以對攻擊特征的不同規(guī)律來進(jìn)修阻攔。對于每種網(wǎng)絡(luò)攻擊都應(yīng)該對其數(shù)據(jù)包進(jìn)行分析，提取出攻擊的特征數(shù)據(jù)，這個(gè)特征可能是一個(gè)數(shù)據(jù)包也可能是一個(gè)數(shù)據(jù)包序列，不管是哪種類型的數(shù)據(jù)包都會具有自身數(shù)據(jù)的特點(diǎn)，通過對數(shù)據(jù)包特征進(jìn)行分析，就可以發(fā)現(xiàn)具有相同特征的數(shù)據(jù)包對應(yīng)的惡意攻擊行為，檢測到此類特征的數(shù)據(jù)包就會對其報(bào)警。通常對網(wǎng)絡(luò)攻擊行為特征的分類方法主要介紹這三種 [4]：一、從基本網(wǎng)絡(luò)協(xié)議特征方面描述攻擊。網(wǎng)絡(luò)互連協(xié)議TCP/ IP 協(xié)議已經(jīng)得到了廣泛的應(yīng)用， 但由于自身在設(shè)計(jì)時(shí)存在著的安全問題， 從而給黑客們提供了機(jī)會，TCP/ IP 協(xié)議存在的漏洞常常會被黑客們利用，發(fā)出攻擊行為，它們通常會改變數(shù)據(jù)包頭的屬性值來進(jìn)行攻擊，破壞系統(tǒng)安全。通過攻擊行為來對網(wǎng)絡(luò)協(xié)議TCP/ IP 協(xié)議進(jìn)行分析，利用協(xié)議包頭的特殊字段值來標(biāo)示網(wǎng)絡(luò)攻擊的特征。例如，DNS Flood攻擊，它是不斷向DNS服務(wù)器發(fā)送大量的請求信息，從而導(dǎo)致DNS服務(wù)器任務(wù)過大，無法提供正常的服務(wù)。面對這種攻擊特征進(jìn)行描述時(shí)，通過攻擊的數(shù)據(jù)包對網(wǎng)絡(luò)協(xié)議進(jìn)行分析，發(fā)現(xiàn)這類攻擊UDP包頭的目標(biāo)端口是53，這就是這種攻擊的特征，那么就可以通過對端口是53的這個(gè)特征描述來拒絕此類攻擊。二、從負(fù)載內(nèi)容描述攻擊。有些攻擊對它的數(shù)據(jù)包頭是檢測不到的，這就要通過對其數(shù)據(jù)內(nèi)容進(jìn)行檢測， 對于這類攻擊，要解析數(shù)據(jù)包的 IP、TCP 及UDP等類型信息， 并且要提取數(shù)據(jù)包中的負(fù)載數(shù)據(jù)進(jìn)行分析， 才能發(fā)現(xiàn)是否出現(xiàn)攻擊的代碼。三、從網(wǎng)絡(luò)流量特征描述攻擊?，F(xiàn)實(shí)應(yīng)用中很多網(wǎng)絡(luò)攻擊有時(shí)是通過發(fā)送一定數(shù)量的數(shù)據(jù)包實(shí)現(xiàn)的，而不是發(fā)送幾個(gè)數(shù)據(jù)包就能夠檢測出的， 面對此類攻擊行為，通過對數(shù)據(jù)流量的分析，就會發(fā)現(xiàn)一定時(shí)間內(nèi)的網(wǎng)絡(luò)流量是攻擊行為所具有的特征。如常見的網(wǎng)絡(luò)攻擊端口掃描攻擊和DDOS攻擊， 就需要經(jīng)過多個(gè)數(shù)據(jù)流才能檢測到。

2.2 基于網(wǎng)絡(luò)攻擊特征描述的入侵檢測模型

以上通過對這三種攻擊行為特征的描述，提出了一種針對這三種攻擊行為的分層式入侵檢測模型，如圖2所示。

入侵檢測模型采用分層檢測來檢測攻擊數(shù)據(jù)， 通過一層一層的過濾數(shù)據(jù)包， 對數(shù)據(jù)包進(jìn)行細(xì)化， 以便后端更好的進(jìn)行檢測，來提高檢測的效率。入侵檢測模型主要分為三層，第一層主要對數(shù)據(jù)包頭進(jìn)行檢測，根據(jù)包頭檢測規(guī)律進(jìn)行，包頭規(guī)則匹配，就丟棄數(shù)據(jù)包。包頭規(guī)則不匹配分兩種情況，一是沒有包含數(shù)據(jù)則丟棄，一是包含有數(shù)據(jù)則傳遞給下層節(jié)點(diǎn)進(jìn)行檢測[5]。第二層通過對數(shù)據(jù)包進(jìn)行分流之后，那么各支流都屬于同一類型的數(shù)據(jù)，具有相似的特征，比如常見的掃描攻擊行為，在短時(shí)間內(nèi)能夠聚集大量的數(shù)據(jù)是這類攻擊的共同特點(diǎn)，聚集的巨大數(shù)據(jù)通常是發(fā)往同一個(gè)目的IP， 或者來自同一個(gè)IP來增加系統(tǒng)的負(fù)擔(dān)，破壞系統(tǒng)安全。面對這類攻擊，可以對各屬性進(jìn)行統(tǒng)計(jì)， 如果存在這類現(xiàn)象，在某一時(shí)間段內(nèi)出現(xiàn)具有巨大數(shù)據(jù)量的特點(diǎn)， 或者說是超過某個(gè)設(shè)定的閾值，那么就可以作為可疑行為來處理。第三層是對數(shù)據(jù)負(fù)載內(nèi)容進(jìn)行檢測，通過前兩層的檢測，大大減輕了這層的檢測負(fù)擔(dān)，針對數(shù)據(jù)負(fù)載內(nèi)容進(jìn)行檢測報(bào)警，提高了檢測的效率。

3 性能測試

系統(tǒng)測試采用了Snort2.0.0， 測試數(shù)據(jù)采用的是MIT林肯實(shí)驗(yàn)室的DARPA 1999IDS測試數(shù)據(jù)集 [6]。測試計(jì)算機(jī)處理器為Inter i5， 2.5GHz，內(nèi)存為 4GM。檢測的數(shù)據(jù)是分別對帶有頭部檢測規(guī)則的Snort和常規(guī)的Snort數(shù)據(jù)進(jìn)行檢測對比，檢測的時(shí)間對比如圖3所示。

從圖中可以看出，帶有頭部規(guī)則的Snort的檢測時(shí)間比常規(guī)的Snort的檢測時(shí)間短，這就表明，通過對原始數(shù)據(jù)信息進(jìn)行特征描述分類細(xì)化后，減少了被檢測的數(shù)據(jù)，提高了檢測的效率，此模型是有效的。

4 結(jié)束語

網(wǎng)絡(luò)安全是保障網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，安全問題一直是學(xué)者們研究的重點(diǎn)問題。本文提出了一種基于網(wǎng)絡(luò)攻擊特征描述的入侵檢測模型，在一定的程度上提高了檢測效率，對檢測算法的改進(jìn)，將是以后繼續(xù)研究的內(nèi)容。

參考文獻(xiàn)：

[1] 凌云.基于多層加權(quán)聚類的網(wǎng)絡(luò)攻擊檢測方法研究[J].蘇州大學(xué)學(xué)報(bào)，2011（12）：65-69.

[2] 吳冬妮，唐型基，楊建菊.關(guān)聯(lián)規(guī)則Apriori算法在入侵檢測中的應(yīng)用分析[J].凱里學(xué)院學(xué)報(bào)，2011（12）：86-88.

[3] 張濤，董占球.網(wǎng)絡(luò)攻擊行為分類技術(shù)的研究[J].計(jì)算機(jī)應(yīng)用，2004（4）：115-118.

[4] 蒲天銀，饒正嬋，秦拯.網(wǎng)絡(luò)攻擊特征數(shù)據(jù)自動(dòng)提取技術(shù)綜述[J].計(jì)算機(jī)與數(shù)字工程，2013（4）：611-614.

[5] 劉慶俞，葉震，尹才榮.一種基于攻擊特征描述的網(wǎng)絡(luò)入侵檢測模型[J].合肥工業(yè)大學(xué)學(xué)報(bào)：自然科學(xué)版，2010（2）：238-241.

[6] 李冠楠，趙艷麗，李強(qiáng).一種基于攻擊特征變異預(yù)測的網(wǎng)絡(luò)入侵檢測方法[J].科技通報(bào)，2012（6）：112-116.endprint