郎振紅

(天津電子信息職業(yè)技術(shù)學(xué)院，天津 300132)

據(jù)不完全統(tǒng)計，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)于2008年7月發(fā)布的《第22次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2008年6月底，僅我國網(wǎng)民數(shù)量就高達(dá) 2.53億。而且，截至2004年12月底，我國上網(wǎng)的計算機總數(shù)達(dá)到4160萬臺，從1997年到2004年，僅在七年之內(nèi)，計算機上網(wǎng)總數(shù)增長了139倍。并且網(wǎng)絡(luò)的應(yīng)用領(lǐng)域已由最早的信息瀏覽發(fā)展到網(wǎng)絡(luò)銀行、電子商務(wù)、電話會議等應(yīng)用服務(wù)。因此，隨著日益龐大的網(wǎng)絡(luò)規(guī)模以及多樣化的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)的安全機制受到新的挑戰(zhàn)。由于網(wǎng)絡(luò)中惡意或無意的攻擊手段變得越來越隱蔽，對系統(tǒng)的破壞威力越來越大，就目前網(wǎng)絡(luò)用戶經(jīng)常使用的防火墻、防病毒軟件、加密技術(shù)以及數(shù)字簽名技術(shù)等安全防護(hù)措施在應(yīng)用中表現(xiàn)出各自的弊端。為了彌補以往安全防護(hù)措施的不足，誕生了一種嶄新的安全保護(hù)機制——即網(wǎng)絡(luò)入侵檢測技術(shù)。將網(wǎng)絡(luò)安全的防護(hù)手段由消極被動的防御變?yōu)榉e極主動的檢測與預(yù)防，在不影響網(wǎng)絡(luò)性能的前提下，可以實時保護(hù)系統(tǒng)免受來自于內(nèi)部的攻擊或外部的攻擊。

1 入侵檢測系統(tǒng)模型的分析

所謂入侵檢測(Intrusion Detection)是指對入侵行為的發(fā)覺，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其加以分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象[1]。為了更好地對網(wǎng)絡(luò)入侵行為進(jìn)行有效地檢測與分析，自從1984年喬治敦大學(xué)的Dorothy Denning和SR/ICSL(SRI公司計算機科學(xué)實驗室)的PeterNeumann研究出一個實時入侵檢測系統(tǒng)模型，命名為IDES(入侵檢測專家系統(tǒng))以來，相繼開發(fā)出大量的入侵檢測系統(tǒng)(Intrusion Detection System，IDS)，將入侵檢測的相關(guān)軟件與硬件設(shè)備進(jìn)行有效的結(jié)合，即防火墻之后的第二道安全屏障，是防火墻系統(tǒng)的有利補充。

通常根據(jù)IDS檢測對象及檢測方法的不同，可以細(xì)分為：基于主機的IDS、基于網(wǎng)絡(luò)的IDS、混合方式的IDS、基于誤用檢測的IDS和基于異常檢測的 IDS等。目前使用最廣泛的是由 Sourcefire公司MartinRoesch等人開發(fā)的Snort入侵檢測系統(tǒng)，它是一個免費開放源代碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)。Snort以其發(fā)展速度、檢測功能、結(jié)構(gòu)簡單、高效的代碼、多樣化的插件機制等優(yōu)勢受到業(yè)界人士及眾多學(xué)者的親昧。而且許多公司為了滿足不同網(wǎng)絡(luò)的安全需求，已經(jīng)在Snort系統(tǒng)的基礎(chǔ)之上進(jìn)行了二次開發(fā)，本文就是一個基于Snort系統(tǒng)的二次開發(fā)應(yīng)用實例。

Snort系統(tǒng)主要有6個組件構(gòu)成，分別是：包嗅探器、解碼器、預(yù)處理器、檢測引擎、輸出插件和規(guī)則庫等。其系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 Snort系統(tǒng)結(jié)構(gòu)Fig.1 Snort system structure

Snort系統(tǒng)的基本工作過程是，利用包嗅探器捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包將其送到解碼器，把特殊的協(xié)議元素轉(zhuǎn)換成特定的數(shù)據(jù)結(jié)構(gòu)；經(jīng)過預(yù)處理器調(diào)用預(yù)處理函數(shù)完成數(shù)據(jù)包的預(yù)處理操作，改進(jìn)的Snort系統(tǒng)可以嵌入某些外部的預(yù)處理程序，提高系統(tǒng)的檢測功能；隨后將數(shù)據(jù)包傳遞到檢測引擎組件，與事先設(shè)置好的規(guī)則庫進(jìn)行模式配合，如果匹配成功，則說明發(fā)生了入侵行為；及時將報警信息及審計日志提交輸出插件，利用輸出函數(shù)輸出相關(guān)信息。由此可見，Snort是一個基于誤用檢測的NIDS，系統(tǒng)運行成功與否的關(guān)鍵點就是規(guī)則庫的信息實時更新與擴(kuò)展機制問題，這也是本文所要探討的問題。

2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘(Data Mining，DM)的定義有廣義與狹義之分[2]，從廣義的觀點上講，數(shù)據(jù)挖掘是從大型數(shù)據(jù)庫(可能是不完全的、有噪聲的、不確定性的、各種存儲形式的)中，挖掘隱含在其中的人們事先不知道的對決策有用的知識的過程。從狹義的觀點上講，可以定義數(shù)據(jù)挖掘是從特定形式的數(shù)據(jù)集中提煉知識的過程。因此，數(shù)據(jù)挖掘的功能是從大量的數(shù)據(jù)信息中進(jìn)行高度智能化的分析與推測，挖掘出潛在的知識與數(shù)據(jù)模型，預(yù)測未來對象的行為模式。

WenkeLee在1999年首次將數(shù)據(jù)挖掘技術(shù)引入到了網(wǎng)絡(luò)入侵檢測系統(tǒng)中，可以在入侵檢測過程中實施智能化的信息分析以及動態(tài)更新規(guī)則庫，實現(xiàn)對于未知入侵行為的有效檢測。在數(shù)據(jù)挖掘算法中應(yīng)用廣泛的算法有：關(guān)聯(lián)分析算法，可以用于挖掘關(guān)聯(lián)模式，描述入侵行為并進(jìn)行異常檢測[3]；序列分析算法，通過描述發(fā)現(xiàn)數(shù)據(jù)的先后關(guān)系，挖掘出序列模式[4]；分類分析算法，該算法可以用于構(gòu)造分類器[5]，分類器經(jīng)過大量的入侵?jǐn)?shù)據(jù)集訓(xùn)練之后可以用于入侵檢測；聚類分析算法，可以用于構(gòu)造網(wǎng)絡(luò)正常行為模式或入侵行為模式[6]，進(jìn)行異常檢測。本文著重介紹如何利用數(shù)據(jù)挖掘技術(shù)對捕獲信息進(jìn)行二次檢驗，以便減少系統(tǒng)漏報率，提升對新入侵行為的檢測效率。

3 基于數(shù)據(jù)挖掘的 Snort系統(tǒng)模型的設(shè)計

通過上述分析可以得出如下的結(jié)論，Snort系統(tǒng)存在的最大問題是，無法檢測到未知類型的入侵行為，系統(tǒng)的檢測能力受到規(guī)則庫信息量大小的限制，因而造成系統(tǒng)出現(xiàn)極大的漏報率與誤報率，影響系統(tǒng)的整體性能。

針對已存在的Snort系統(tǒng)進(jìn)行多方面的改進(jìn)，所提出的基于數(shù)據(jù)挖掘技術(shù)的Snort檢測系統(tǒng)模型如圖2所示，該系統(tǒng)的具體設(shè)計思想如下：

(1)利用嗅探器捕獲正在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，并且嗅探IP網(wǎng)絡(luò)的流量，該系統(tǒng)利用libpcap捕包程序庫函數(shù)實現(xiàn)數(shù)據(jù)信息的采集，該庫函數(shù)的最大功能之一就是將網(wǎng)卡設(shè)置為混雜模式后，就可以直接從數(shù)據(jù)鏈路層捕獲數(shù)據(jù)包，或直接從網(wǎng)卡獲取數(shù)據(jù)包，為下一步的解碼操作提供了數(shù)據(jù)信息。

(2)將利用嗅探器獲取的數(shù)據(jù)包送入解碼器進(jìn)行數(shù)據(jù)解析，在解碼器中根據(jù) TCP/IP的層次，有針對性地對數(shù)據(jù)包進(jìn)行分析、解碼等操作，將進(jìn)行解析后的數(shù)據(jù)包信息傳入到預(yù)處理器。

圖2 基于數(shù)據(jù)挖掘的Snort系統(tǒng)模型結(jié)構(gòu)圖Fig.2 Based on data mining Snort system model

(3)在預(yù)處理器中，將采用不同網(wǎng)絡(luò)協(xié)議的原始數(shù)據(jù)包進(jìn)行預(yù)處理，可以實現(xiàn)應(yīng)用層協(xié)議的某些附加操作以及數(shù)據(jù)包再次被分析等功能，以便提高檢測引擎的處理速度。預(yù)處理器通常是由功能各異的多個模塊組成，在實際的應(yīng)用中，可以將其以插件的方式友好地集成到Snort系統(tǒng)中。本文所討論基于數(shù)據(jù)挖掘的Snort檢測系統(tǒng)，將預(yù)處理后的數(shù)據(jù)包信息在送入異常檢測的同時，存儲到信息待處理數(shù)據(jù)庫，主要目的是為了與正常數(shù)據(jù)信息庫中的內(nèi)容配合進(jìn)行異常數(shù)據(jù)挖掘操作。

(4)異常檢測引擎

異常檢測的依據(jù)主要來源于正常行為模式規(guī)則庫，該模式庫的信息是在正常數(shù)據(jù)庫的信息基礎(chǔ)上利用關(guān)聯(lián)數(shù)據(jù)挖掘算法、序列數(shù)據(jù)挖掘算法和聚類數(shù)據(jù)挖掘算法進(jìn)行正常行為模式的數(shù)據(jù)挖掘，實時更新正常行為模式規(guī)則庫。因此，Snort檢測系統(tǒng)實施檢查之前，已知檢測規(guī)則全部設(shè)定好，可以用于檢測用戶所有的正常行為，但是對于正常行為模式規(guī)則庫中沒有的規(guī)則項，在此無法檢測出來，為了避免系統(tǒng)的漏報率，將未知入侵的數(shù)據(jù)傳輸?shù)秸`用檢測引擎模塊。

(5)誤用檢測引擎

誤用檢測引擎又稱Snort檢測引擎，它是該系統(tǒng)的設(shè)計核心，在進(jìn)行檢測過程中，將Snort檢測規(guī)則組織成鏈表形式，其中將每一個鏈表項細(xì)分為規(guī)則頭和規(guī)則選項。在進(jìn)行規(guī)則模式匹配時，誤用檢測與Snort規(guī)則數(shù)據(jù)庫中的內(nèi)容進(jìn)行模式匹配，起初只檢測Snort規(guī)則數(shù)據(jù)庫中設(shè)定好的規(guī)則項，如果檢測結(jié)果出現(xiàn)規(guī)則匹配，則將其檢測結(jié)果輸入已知入侵?jǐn)?shù)據(jù)庫，入侵信息被記錄后，直接送入報警系統(tǒng)，提示用戶；否則，沒有檢測到匹配的模式，系統(tǒng)并沒有將入侵信息進(jìn)行簡單的丟棄，而是從信息待處理數(shù)據(jù)庫與正常數(shù)據(jù)信息庫中提取數(shù)據(jù)，進(jìn)行異常數(shù)據(jù)信息挖掘，將數(shù)據(jù)挖掘的結(jié)果直接輸入到異常數(shù)據(jù)信息庫，根據(jù)信息庫中的頻繁項集再次進(jìn)行數(shù)據(jù)信息挖掘，生成新的入侵規(guī)則，更新Snort規(guī)則數(shù)據(jù)庫，然后再進(jìn)行誤用檢測，與此同時，將入侵檢測的新規(guī)則送入正常數(shù)據(jù)信息庫，與該信息庫中的頻繁項集再次進(jìn)行正常行為的數(shù)據(jù)挖掘，從而更新正常行為規(guī)則模式庫，為下次檢測做準(zhǔn)備，此時就實現(xiàn)了入侵信息的二次檢測，可以大大減少漏報率與誤報率。

4 基于數(shù)據(jù)挖掘的 Snort系統(tǒng)模型的實現(xiàn)

系統(tǒng)主要是在 Snort系統(tǒng)的基礎(chǔ)之上進(jìn)行改進(jìn)的，通過互聯(lián)網(wǎng)下載了一個最新版的 Snort入侵檢測系統(tǒng)Snort2.8.1，部署到Windows2003操作系統(tǒng)的平臺上，進(jìn)行系統(tǒng)的開發(fā)與檢測運行。在開發(fā)的過程中用到的組件有：(1)WinPcap：網(wǎng)絡(luò)數(shù)據(jù)包的捕獲工具，其主要功能為Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力，隨時監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息，以更高的效率捕獲數(shù)據(jù)包。(2)MySQL：本系統(tǒng)中用于存儲各種數(shù)據(jù)信息的數(shù)據(jù)庫采用MySQL數(shù)據(jù)庫，連接技術(shù)采用ADODB技術(shù)，從技術(shù)可行性和經(jīng)濟(jì)可行性上講，該數(shù)據(jù)庫都可以有效地支持快速、穩(wěn)定的分布式檢測操作。(3)Visual C++：該系統(tǒng)的開發(fā)設(shè)計語言與數(shù)據(jù)挖掘規(guī)則算法語言采用的是面向?qū)ο蟪绦蛟O(shè)計語言 VC++，通過編輯信息更新函數(shù)、連接用戶函數(shù)、檢測入侵信息函數(shù)等實現(xiàn)Snort的二次入侵檢測操作。(4)ACID：主要是用來分析入侵?jǐn)?shù)據(jù)是已知規(guī)則還是未知規(guī)則，從而將正常數(shù)據(jù)與可疑數(shù)據(jù)分離，進(jìn)行數(shù)據(jù)信息的挖掘和生成新的規(guī)則信息，在實現(xiàn)過程中主要利用php語言所編輯的動態(tài)網(wǎng)頁形式反映給用戶，實現(xiàn)人機互動。(5)Apriori：該算法是數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則挖掘算法，本系統(tǒng)是在Apriori算法的基礎(chǔ)上進(jìn)行了必要的改進(jìn)，使之實現(xiàn)對原始數(shù)據(jù)、正常數(shù)據(jù)、異常數(shù)據(jù)等信息的規(guī)則挖掘。(6)Apache：該系統(tǒng)服務(wù)器軟件采用的是基于Web的Apache，它以其簡單、快速、兼容、穩(wěn)定、安全等特點而著稱。

5 結(jié)束語

系統(tǒng)是在構(gòu)建了一個C/S模式的局域網(wǎng)中進(jìn)行結(jié)果檢測，為了能夠更好的說明系統(tǒng)的檢測效果，采取了對比的方式進(jìn)行測試。先用普通的Snort系統(tǒng)進(jìn)行檢測，并記錄相應(yīng)的檢測結(jié)果，然后安裝并配置基于數(shù)據(jù)挖掘技術(shù)的Snort檢測系統(tǒng)，同樣記錄檢測結(jié)果。通過數(shù)據(jù)的逐一對比，不難發(fā)現(xiàn)，系統(tǒng)檢測的總耗時有所減少，檢測的正確率卻大幅度地提高，并且系統(tǒng)的漏報率也有明顯地下降。在實驗中還有一個更有意義的發(fā)現(xiàn)，隨著檢測數(shù)據(jù)量的增大，上述的檢測結(jié)果更為明顯。

本文是在已有檢測系統(tǒng)的基礎(chǔ)上，通過應(yīng)用數(shù)據(jù)挖掘技術(shù)，增加了新功能，實現(xiàn)了實時更新規(guī)則信息和對未知數(shù)據(jù)的二次檢測，從而降低了系統(tǒng)的漏報率與誤報率。但是，在檢測效率及進(jìn)一步減少漏報率與誤報率的數(shù)據(jù)挖掘算法上還有待于改進(jìn)。

[1]唐正軍，李建華.入侵檢測技術(shù)[M].北京：清華大學(xué)出版社，2004.

[2]毛國軍，段立娟，王實.數(shù)據(jù)挖掘原理與算法[M].北京：清華大學(xué)出版社，2005.

[3]陳耿，朱玉全，孫志輝.一種基于異常檢測的關(guān)聯(lián)模式挖掘模型[J].計算機工程與應(yīng)用，2004，40(12)：158-198.

[4]宋世杰，胡化平，胡笑蕾.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)型異常入侵檢測系統(tǒng)中的應(yīng)用[J].計算機應(yīng)用，2003，23(12)：20-23.

[5]宋世杰，胡化平，胡笑蕾.數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)型異常入侵檢測系統(tǒng)中的應(yīng)用[J].計算機應(yīng)用，2003，30(16)：126-127.

[6]張博，李偉華，布日古德.數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則在入侵檢測系統(tǒng)中的應(yīng)用[J]. 航空計算技術(shù)，2004，34(4)：124-127.

[7]孫振龍，宋廣軍，李曉曄，等.基于數(shù)據(jù)挖掘技術(shù)的Snort入侵檢測系統(tǒng)的研究[J].微計算機信息，2006，33：16-22.

[8]崔冬霞.基于數(shù)據(jù)挖掘技術(shù)的分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)[D].西安交通大學(xué)碩士研究生學(xué)位論文，2005.

[9]王艷春，郭小利，陳鴻，等.基于數(shù)據(jù)挖掘算法的教學(xué)評測系統(tǒng)研究[J].長春理工大學(xué)學(xué)報，2006，29(4)：73-76.