譚　寧

[摘要]設(shè)計(jì)一種可視化入侵檢測(cè)系統(tǒng)，將可視化入侵檢測(cè)系統(tǒng)劃分為兩個(gè)子系統(tǒng)：入侵檢測(cè)數(shù)據(jù)管理子系統(tǒng)和入侵檢測(cè)數(shù)據(jù)分析子系統(tǒng)，并對(duì)各個(gè)功能模塊進(jìn)行闡述。

[關(guān)鍵詞]可視化 入侵檢測(cè) 系統(tǒng) 子系統(tǒng)

中圖分類號(hào)：TP2文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0120045－01

一、一種可視化入侵檢測(cè)模型

為了保證局域網(wǎng)的安全，本文研究的可視化入侵檢測(cè)模型共有兩個(gè)系統(tǒng)，即目標(biāo)系統(tǒng)與可視化入侵檢測(cè)系統(tǒng)。目標(biāo)系統(tǒng)即被保護(hù)的系統(tǒng)，可視化入侵檢測(cè)系統(tǒng)由四個(gè)過(guò)程構(gòu)成：

1．歷史數(shù)據(jù)可視化過(guò)程：從目標(biāo)系統(tǒng)獲得用戶歷史行為信息，將歷史行為信息采用可視化算法轉(zhuǎn)換為圖像信息，傳遞給安全專家。

2．創(chuàng)建行為輪廓過(guò)程：通過(guò)與安全專家的交互，創(chuàng)建正常用戶行為輪廓，傳遞給當(dāng)前數(shù)據(jù)可視化過(guò)程，用以指導(dǎo)檢測(cè)異常過(guò)程的執(zhí)行。

3．檢測(cè)異常過(guò)程：從目標(biāo)系統(tǒng)獲得用戶當(dāng)前行為信息，以正常用戶行為輪廓作為檢測(cè)基準(zhǔn)，采用自動(dòng)化的檢測(cè)方法檢測(cè)當(dāng)前用戶活動(dòng)是否背離正常行為輪廓。如果發(fā)現(xiàn)背離，則認(rèn)為當(dāng)前用戶活動(dòng)異常，發(fā)出入侵警報(bào)，傳遞給當(dāng)前數(shù)據(jù)可視化過(guò)程。

4．當(dāng)前數(shù)據(jù)可視化過(guò)程：將正常用戶行為輪廓、當(dāng)前用戶行為信息與入侵警報(bào)信息轉(zhuǎn)化為可視圖像信息，傳遞給安全管理員，以便安全管理員根據(jù)組織的安全策略做出決策。

為了實(shí)現(xiàn)可視化入侵檢測(cè)模型中的描述的入侵檢測(cè)的四個(gè)過(guò)程，將可視化入侵檢測(cè)系統(tǒng)劃分為兩個(gè)子系統(tǒng)：入侵檢測(cè)數(shù)據(jù)管理子系統(tǒng)和入侵檢測(cè)數(shù)據(jù)分析子系統(tǒng)。

二、入侵檢測(cè)數(shù)據(jù)管理子系統(tǒng)

入侵檢測(cè)數(shù)據(jù)管理子系統(tǒng)是可視化入侵檢測(cè)系統(tǒng)(VIDS)的數(shù)據(jù)基礎(chǔ)，也為入侵檢測(cè)數(shù)據(jù)分析子系統(tǒng)提供數(shù)據(jù)支持。其主要包括三個(gè)部分：數(shù)據(jù)包捕獲模塊、數(shù)據(jù)提取模塊和數(shù)據(jù)事件分析庫(kù)。

（一）數(shù)據(jù)包捕獲模塊。該模塊捕獲的數(shù)據(jù)包括網(wǎng)絡(luò)中的原始數(shù)據(jù)包和目標(biāo)系統(tǒng)日志。

1．原始數(shù)據(jù)包：可視化入侵檢測(cè)系統(tǒng)(VIDS)利用Libpcap的庫(kù)函數(shù)進(jìn)行原始數(shù)據(jù)包的采集，這些庫(kù)函數(shù)可以為應(yīng)用程序提供直接從數(shù)據(jù)鏈路層捕獲數(shù)據(jù)包的接口函數(shù)。網(wǎng)絡(luò)數(shù)據(jù)的解析機(jī)制是整個(gè)系統(tǒng)實(shí)現(xiàn)的基礎(chǔ)，其中最關(guān)鍵的是要保證抓包的高效率和較低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關(guān)。

2．目標(biāo)系統(tǒng)日志：用戶在目標(biāo)系統(tǒng)中的活動(dòng)被以日志形式記錄下來(lái)，日志數(shù)據(jù)反映了用戶的主要活動(dòng)信息。由于Web日志易于獲得，因此對(duì)以Web應(yīng)用系統(tǒng)為目標(biāo)系統(tǒng)的入侵檢測(cè)系統(tǒng)而言，常采用Web日志作為入侵檢測(cè)的數(shù)據(jù)源。

（二）數(shù)據(jù)提取模塊。該模塊采集數(shù)據(jù)包捕獲模塊獲取的數(shù)據(jù)作為來(lái)源，進(jìn)行簡(jiǎn)單的處理，生成統(tǒng)一格式的安全審計(jì)事件，然后將經(jīng)過(guò)處理的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。數(shù)據(jù)提取過(guò)程主要包括如下步驟：

1．協(xié)議分析：數(shù)據(jù)包捕獲模塊把捕獲的數(shù)據(jù)提交給協(xié)議分析模塊后，協(xié)議分析模塊必須對(duì)這些數(shù)據(jù)進(jìn)行分析，根據(jù)相應(yīng)的協(xié)議把這些分析后的數(shù)據(jù)放到指定的數(shù)據(jù)結(jié)構(gòu)中，供上層模塊調(diào)用。同時(shí)協(xié)議分析模塊還要對(duì)這些數(shù)據(jù)包進(jìn)行一些基本的校驗(yàn)，如出現(xiàn)錯(cuò)誤的數(shù)據(jù)包，及時(shí)丟棄。

2．規(guī)則匹配：根據(jù)源IP、目標(biāo)IP，源端口范圍和目標(biāo)端口范圍等屬性分類組織成為規(guī)則集的。當(dāng)一個(gè)數(shù)據(jù)包被檢測(cè)時(shí)，從左向右檢測(cè)每個(gè)規(guī)則集的上述四個(gè)參數(shù)以決定是檢測(cè)該規(guī)則集還是轉(zhuǎn)移到下一個(gè)規(guī)則集。然后根據(jù)已經(jīng)建立的規(guī)則中查找匹配發(fā)現(xiàn)入侵。

3．?dāng)?shù)據(jù)預(yù)處理：預(yù)處理模塊的作用就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)先處理，從而方便隨后的檢測(cè)分析。另外，我們可以發(fā)現(xiàn)，基于規(guī)則的檢測(cè)引擎并不能檢測(cè)所有的入侵，尤其是針對(duì)有效載荷的檢測(cè)，而像端口掃描、SYN Flooding等攻擊，按照前面所述的方法很難對(duì)它們的特征進(jìn)行提取。因此，需要特殊情況特殊處理，而預(yù)處理就是一個(gè)很好的選擇。

（三）事件分析數(shù)據(jù)庫(kù)模塊。一個(gè)好的入侵檢測(cè)系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息，還應(yīng)詳細(xì)地記錄實(shí)時(shí)數(shù)據(jù)，以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫(kù)管理的前端程序通常與控制臺(tái)模塊集合在一起。

三、入侵檢測(cè)數(shù)據(jù)分析子系統(tǒng)

入侵檢測(cè)數(shù)據(jù)分析子系統(tǒng)是整個(gè)可視化入侵檢測(cè)系統(tǒng)(VIDS)的核心，主要完成用戶行為輪廓?jiǎng)?chuàng)建、當(dāng)前和歷史數(shù)據(jù)可視化和異常檢測(cè)四個(gè)過(guò)程。該系統(tǒng)主要完成對(duì)前面的數(shù)據(jù)管理子系統(tǒng)中的當(dāng)前、歷史數(shù)據(jù)信息，采用可視化入侵檢測(cè)算法（主要是基于散亂點(diǎn)的算法）實(shí)現(xiàn)可視化建模，然后利用直觀的圖形來(lái)顯示入侵分析的結(jié)果，并根據(jù)結(jié)果進(jìn)行異常檢測(cè)，給出警報(bào)信息。為完成上述檢測(cè)過(guò)程，將該子系統(tǒng)劃分為：用戶行為建模、可視化建模、異常檢測(cè)、數(shù)據(jù)繪制與顯示和安全響應(yīng)模塊等五個(gè)模塊。

1．用戶行為建模：鑒于歷史行為建模與當(dāng)前行為建模的過(guò)程較類似，因此在本節(jié)中統(tǒng)一闡述行為建模過(guò)程。行為建模過(guò)程主要將前面數(shù)據(jù)庫(kù)管理子系統(tǒng)中數(shù)據(jù)提取的結(jié)果進(jìn)行分析，以審計(jì)事件為輸入，建立描述目標(biāo)系統(tǒng)用戶行為的數(shù)學(xué)模型，并輸出用戶行為模型作為可視化建模、異常檢測(cè)過(guò)程的輸入。

2．可視化建模：可視化建模過(guò)程是將由應(yīng)用數(shù)據(jù)表示的行為模型映射為由幾何數(shù)據(jù)表示的可視化模型的過(guò)程。

可視化建模過(guò)程采用可視化入侵檢測(cè)算法實(shí)現(xiàn)?？梢暬肭謾z測(cè)算法的輸入為用戶行為模型，輸出為散亂點(diǎn)可視化模型。

3．異常檢測(cè)：異常檢測(cè)過(guò)程是將用戶當(dāng)前活動(dòng)與正常用戶行為作比較，比較過(guò)程可選用不同的數(shù)學(xué)分析工具，例如：聚類分析、T2測(cè)試等，即可評(píng)價(jià)當(dāng)前用戶活動(dòng)與正常行為之間的背離程度。如果發(fā)現(xiàn)當(dāng)前用戶活動(dòng)背離正常行為輪廓，則發(fā)出入侵警報(bào)。入侵警報(bào)信息傳遞給可視化建模過(guò)程，可視化后最終傳遞給安全管理員。

4．?dāng)?shù)據(jù)繪制與顯示：本文主要研究基于散亂點(diǎn)的可視化入侵檢測(cè)算法。該算法將行為模型及相關(guān)信息轉(zhuǎn)換為散亂點(diǎn)可視化模型。

在可視化建模過(guò)程完成后，將依次進(jìn)行數(shù)據(jù)繪制過(guò)程與數(shù)據(jù)顯示過(guò)程。數(shù)據(jù)繪制過(guò)程負(fù)責(zé)將由點(diǎn)、線、面等幾何數(shù)據(jù)構(gòu)成的散亂點(diǎn)等可視化模型轉(zhuǎn)換成像素點(diǎn)構(gòu)成的圖像數(shù)據(jù)。

5．安全響應(yīng)模塊：由于入侵警報(bào)可能是誤報(bào)，安全管理員接收到入侵警報(bào)后，首先利用可視化控制臺(tái)深入調(diào)查入侵警報(bào)產(chǎn)生的原因，然后根據(jù)組織的安全策略決定是否啟動(dòng)安全響應(yīng)過(guò)程。

本可視化入侵檢測(cè)系統(tǒng)，將可視化入侵檢測(cè)系統(tǒng)劃分為兩個(gè)子系統(tǒng)：入侵檢測(cè)數(shù)據(jù)管理子系統(tǒng)和入侵檢測(cè)數(shù)據(jù)分析子系統(tǒng)，并對(duì)各個(gè)功能模塊進(jìn)行了闡述。

參考文獻(xiàn)：

[1]薛靜鋒、寧宇鵬、閻慧編著,入侵檢測(cè)技術(shù),北京:機(jī)械工業(yè)出版社,2004.

[2]戴英俠、連一峰等編著,系統(tǒng)安全與入侵檢測(cè),北京:清華大學(xué)出版社,2002.

[3]唐澤圣,三維數(shù)據(jù)場(chǎng)可視化,北京:清華大學(xué)出版社,1999.

作者簡(jiǎn)介：

譚寧，男，漢，淄博職業(yè)學(xué)院信息工程系，副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。