劉玉娜

（唐山港信科技發(fā)展有限公司， 河北 唐山 063000）

引言

隨著通信的擴展，交換的數(shù)據(jù)和信息引發(fā)的安全性的問題已經(jīng)得到了研究人員的廣泛關(guān)注。為此提出了各種方法，最重要的方法之一是入侵檢測系統(tǒng)。這些方法最大的弱點是，它們無法檢測到網(wǎng)絡(luò)內(nèi)的入侵和攻擊。為了消除這一弱點，人們提出了可以檢測內(nèi)部和外部攻擊和入侵的入侵檢測系統(tǒng)。這些系統(tǒng)監(jiān)控入站網(wǎng)絡(luò)流量，以檢測用戶的任何異常行為或濫用。

入侵檢測系統(tǒng)可以通過簽名識別方式檢測入侵，使用網(wǎng)絡(luò)中授權(quán)用戶和黑客執(zhí)行的操作和交易歷史相關(guān)的數(shù)據(jù)，創(chuàng)建正常行為和異常行為的模式。通過將這些模式或簽名與現(xiàn)有用戶的行為模式相匹配，可以從授權(quán)用戶中識別未授權(quán)用戶或黑客。該方法最重要的缺點是，如果用戶的簽名或模式是新的，并且以前數(shù)據(jù)庫中沒有類似的模式或簽名，則無法確定它是已授權(quán)的用戶還是未經(jīng)授權(quán)的用戶。

Liu Hua Yeo[1]提供了不同類型的入侵檢測系統(tǒng)的概述，提出了如何分類以及用于識別在入侵檢測系統(tǒng)中操作的異?；顒拥牟煌惴?。研究的主要重點是基于異常和基于簽名的入侵檢測系統(tǒng)，研究人員比較了不同的滲透技術(shù)方法，并描述了不同的方法和IDSs在信息安全中的重要性。Singh[2]提出了一種混合IDS，由包頭異常檢測（PH AD）和網(wǎng)絡(luò)流量異常檢測（NETAD）創(chuàng)建，名為混合IDSSnort，是一個基于異常檢測的系統(tǒng)。提出的混合入侵檢測系統(tǒng)使用麻省理工學(xué)院林肯實驗室存儲庫中提供的DARPA 入侵檢測評估數(shù)據(jù)集進行了模擬，評估結(jié)果表明，該系統(tǒng)在識別因造成異常和濫用而造成的入侵方面具有高效率[3]。

1 入侵檢測系統(tǒng)的解決方案

本文給出了網(wǎng)絡(luò)安全抵御各種類型攻擊的解決方案，在這些攻擊中，會考慮web 應(yīng)用程序、操作系統(tǒng)漏洞或任何軟件漏洞、結(jié)構(gòu)化查詢語言（SQL）注入攻擊、跨站點腳本（XSS）攻擊、中斷的身份驗證以及惡意軟件攻擊，大多都集中在這里。FreeBSD 12 Unix 操作系統(tǒng)被用作網(wǎng)關(guān)或防火墻，Suricata 被用作IDS/IPS。使用兩種類型的機器學(xué)習(xí)方法來創(chuàng)建Suricata 簽名，以阻止目標(biāo)網(wǎng)絡(luò)上的惡意流量[4]。本文對基于元啟發(fā)式的特征選擇、神經(jīng)網(wǎng)絡(luò)和基于異常的檢測，采用了模糊邏輯。最新穩(wěn)定的KaliLinux2020.3 版本被用作Web 應(yīng)用程序和不同類型的操作系統(tǒng)的攻擊系統(tǒng)。在這些客戶端系統(tǒng)中，正在使用Windows10/7 和Ubuntu20.04。為了訪問web 應(yīng)用程序，使用了Chrome、火狐和邊緣瀏覽器，實驗環(huán)境部署在VirtualBox 中。網(wǎng)絡(luò)安全組織的基本概述見圖1。

在提出的解決方案中，Suricata IDS/IPS 與NN 模型一起部署，用于元啟發(fā)式手動檢測目標(biāo)網(wǎng)絡(luò)中的惡意流量，IDS/IPS 內(nèi)部工作流程如下頁圖2 所示。利用該方法檢測惡意流量，識別了不同攻擊。NN 模型是廣泛使用的方法之一，在解決各種復(fù)雜的元啟發(fā)式簡化算法方面時卓有成效，因為它依賴于一個直接的開始，不難識別，其次，它不需要確切的信息，第三，它有能力避免鄰域最優(yōu)[5]。第四，它可以被廣泛地用于涉及對比學(xué)科的問題。基于ANN 的入侵檢測存在兩個方面的問題：一是揭露精度較低，特別是對于低訪問攻擊，例如客戶端到根的距離較遠，二是識別穩(wěn)定性更脆弱。

模糊邏輯用于檢測基于異常的攻擊，對帶有附件文件或未知協(xié)議的流量，進行基于模糊邏輯的流量異常檢測處理。與Web 應(yīng)用、操作系統(tǒng)（OS）和任何移動應(yīng)用相關(guān)的各種類型攻擊的簽名模式，將在NN 模型中進行訓(xùn)練。在處理來自NN 方法的訓(xùn)練數(shù)據(jù)之后，將創(chuàng)建各種類型的惡意流量，如SQL 注入攻擊、XSS攻擊、中斷規(guī)則集的身份驗證、不安全流量、操作系統(tǒng)以及移動應(yīng)用程序的任何已知的漏洞。NN 模型的輸出將被輸入到Suricata IDS/IPS，以防止對目標(biāo)網(wǎng)絡(luò)的攻擊，為了提高該解決方案的有效性能，本方案使用了開源的黑名單互聯(lián)網(wǎng)協(xié)議（IP）地址源[6]。黑名單IP地址源以每4 小時的頻率更新這些IP 地址，并存儲在數(shù)據(jù)庫中。

2 實現(xiàn)與結(jié)果

Metasploit 工具已用于開發(fā)Windows10 客戶端，本文的主要目標(biāo)是利用簡單消息塊（SM B）CVE-2018-0749 漏洞。CVE 和SMB 用于研究Windows 客戶端系統(tǒng)的常見漏洞，目標(biāo)系統(tǒng)安裝在虛擬環(huán)境中，以避免傷害任何真實的客戶端。對目標(biāo)系統(tǒng)的攻擊啟動如圖3 所示，攻擊由于部署的防火墻作為安全功能，同時使用機器學(xué)習(xí)方法生成Suricata 簽名，因此攻擊失敗[7]。

本文的核心工作是實現(xiàn)可靠的IDS/IPS，以實現(xiàn)任何組織網(wǎng)絡(luò)的安全。本文的新穎之處在于，它被部署在FreeBSD12.1 上，這是防火墻中最好的Unix 操作系統(tǒng)，它本身具有最好的數(shù)據(jù)包過濾器（PF）防火墻功能。PF 將用于網(wǎng)絡(luò)級過濾惡意流量，利用該元啟發(fā)式神經(jīng)網(wǎng)絡(luò)方法生成了已知的攻擊特征。在這種方法中，有關(guān)Web 應(yīng)用程序和操作系統(tǒng)攻擊的數(shù)據(jù)將被訓(xùn)練到NN 中進行簽名，并且這些數(shù)據(jù)將被輸入到Suricata 中。其次，將模糊邏輯用于網(wǎng)絡(luò)上的匿名流量。在此過程中，模糊邏輯系統(tǒng)將對未知攻擊或任何附件進行分析。經(jīng)分析，該系統(tǒng)將決定流量是惡意的還是合法[8]。如果是惡意的，則將生成IDS/IPS 的簽名，以保護目標(biāo)組織的客戶端。如圖4 所示，惡意類型的數(shù)據(jù)以下劃線突出顯示。

混淆矩陣被稱為統(tǒng)計數(shù)據(jù)分析的誤差矩陣，混合推理系統(tǒng)被用于Suricata 入侵檢測系統(tǒng)，或用于入侵預(yù)防系統(tǒng)的簽名生成和基于異常的流量分析。在本地開發(fā)的實驗室中已經(jīng)啟動了各種類型的攻擊，如SQLi、XSS、開發(fā)Windows 操作系統(tǒng)漏洞和對目標(biāo)網(wǎng)絡(luò)的分布式拒絕服務(wù)（DDoS）攻擊，所提出的系統(tǒng)可以防止目標(biāo)網(wǎng)絡(luò)的攻擊[9]。對于評估結(jié)果，使用了表1中定義的混淆矩陣。

表1 IDS 混合推理系統(tǒng)的混淆矩陣

準(zhǔn)確率計算公式為：

其中：TP是指“真陽性”（True Positives）；FP是指“假陽性”（Positives），F(xiàn)N是指“假陰性”（Negatives）。

總體精確度可以達到96.11%，由于Suricata IDS/IPS 檢測到的網(wǎng)絡(luò)流量的假陽性率，在一些攻擊情況下，系統(tǒng)準(zhǔn)確率未達到96.11%。作為該方案的結(jié)果，對目標(biāo)網(wǎng)絡(luò)的檢測或預(yù)防具有良好的總體精度。該算法的運行時間在該系統(tǒng)的預(yù)期響應(yīng)范圍內(nèi)。對于大數(shù)據(jù)集，該系統(tǒng)可能會面臨延遲，但它可以在未來進行優(yōu)化，以在要求的時間限制內(nèi)提高響應(yīng)時間[10]。

3 結(jié)語

文中提出了一種新的部署Suricata IDS/IPS 的方法，利用NN 模型幫助元啟發(fā)式檢測目標(biāo)網(wǎng)絡(luò)中的惡意流量。在所提出的解決方案中，具有附件文件或未知協(xié)議的流量將由基于檢測為異常流量的模糊邏輯進行處理。為了使用機器學(xué)習(xí)方法實現(xiàn)IDS/IPS，部署了一個虛擬環(huán)境。結(jié)果表明，本文提出的方法可以檢測到Web 應(yīng)用程序登錄時的不同類型的攻擊（包括這些攻擊、SM B 攻擊、SQL 注入攻擊、XSS 和暴力破解）。當(dāng)在特定數(shù)據(jù)集上進行實驗時，方案的總體精度約為96.11%，數(shù)據(jù)可用性和支持本研究結(jié)果的模擬數(shù)據(jù)。