白 茹 孔令治

(長春中醫(yī)藥大學現(xiàn)代教育技術中心，長春 130117)

0 引言

隨著網絡的普及與計算機技術的發(fā)展，高校普遍建立自己的校園網絡并進一步實施數(shù)字校園的發(fā)展計劃.網絡應用系統(tǒng)的不斷投入使用方便了廣大師生日常的科研工作和學習，提高了工作效率和辦公數(shù)字化程度，但同時也帶來了相應的安全隱患.數(shù)字校園進一步發(fā)展的基礎是如何保障整個校園網絡的安全運行，防范日益增加的網絡攻擊和異常的網絡行為，確保校園網內數(shù)據(jù)安全.為此，高校普遍部署了入侵檢測或入侵防御系統(tǒng)來和傳統(tǒng)的防火墻技術進行聯(lián)動，對網絡進行多層深層的防護.

入侵檢測和防御系統(tǒng)基本上包含監(jiān)控或采集數(shù)據(jù)、數(shù)據(jù)的檢測分析、檢測結果的處理(報警、相應)等3個部分，其中數(shù)據(jù)檢測分析是整個檢測防御系統(tǒng)的核心.目前，大多數(shù)系統(tǒng)采用的是比較傳統(tǒng)基于規(guī)則模式匹配方式，這種方式在今天網絡數(shù)據(jù)量不斷增大，攻擊方式多樣的情況下存在匹配計算量大、誤報漏報率增加的問題.如果結合網絡協(xié)議的高度規(guī)則性，快速檢測已知或未知的攻擊存在將能進一步優(yōu)化入侵檢測和防御系統(tǒng)的性能，提高檢測的準確性和及時性.

1 模式匹配和協(xié)議分析在檢測引擎中的應用

傳統(tǒng)模式匹配方法的工作過程，是對進入檢測引擎的數(shù)據(jù)包從頭部開始與規(guī)則庫中的一條攻擊特征進行匹配，如果比較結果相同則報警，不同則從下一個字段進行重新比較，直到對攻擊特征庫中所有規(guī)則匹配完畢，在網絡應用逐漸增加的今天，該方法不對網絡數(shù)據(jù)進行按協(xié)議的歸類，而只是機械性地逐一匹配造成兩個問題［1］:

(1)數(shù)據(jù)量大規(guī)則多的情況下計算量大;

(2)只能完成滿足特定特征的攻擊檢測，對特征不明顯多樣化特征的攻擊檢測效率低下.

協(xié)議分析的方法是，首先要對收集到的攻擊的特征按照TCP/IP協(xié)議進行分類，并把攻擊特征的邏輯結構用數(shù)型結構表示稱之為協(xié)議樹［2］;其次，把捕獲的報文在解析的過程中與各個協(xié)議的攻擊特征相比較，此過程將依次分析出各層協(xié)議的首部，然后確定上一層次的協(xié)議直到解析到應用層協(xié)議為止，解析一層協(xié)議就遍歷協(xié)議樹與相應的入侵特征進行匹配，這種分類按協(xié)議匹配方法克服了原有檢測整個數(shù)據(jù)包盡心匹配的過程，大大減少了計算量，可以有效地檢測攻擊的效率和準確性.協(xié)議樹詳見圖1.

圖1 協(xié)議樹

2 結合協(xié)議分析的數(shù)據(jù)處理和匹配過程

2.1 協(xié)議分析種類和檢測數(shù)據(jù)

由于高校校園網中環(huán)境相對封閉，面臨的攻擊行為基本上是針對常用協(xié)議實行的.為了提高效率，主要對以下常用協(xié)議進行分析和檢測匹配即可防止絕大數(shù)網絡攻擊行為:

(1)IP協(xié)議數(shù)據(jù)包檢測版本、報頭長度、服務類型、標示、分割偏移、源地址及目的地址.在檢測過程中如果發(fā)現(xiàn)異常情況則報警，如源地址目的地址一致，偏移量和長度不符等很有可能是偽造IP地址的land攻擊或者碎片攻擊;

(2)在TCP協(xié)議的數(shù)據(jù)報文中，檢測TCP源端口、目的端口及TCP標志，這樣可以匹配諸如非法TCP連接無數(shù)據(jù)交換的TCP會話等非法報文;

(3)在ICMP分組中檢查IP源地址和IP目的地址、類型及序號字段.通過對比APR和ICMP的響應次數(shù)發(fā)現(xiàn)Smurf、DOS攻擊; (4)UDP協(xié)議檢測IP源地址和IP目的地址、端口號等信息; (5)HTTP協(xié)議報文可以檢測報文內容、報文相應代碼等信息.

2.2 協(xié)議分析檢測的算法

以IP協(xié)議為例，對snort協(xié)議規(guī)則庫添加如下協(xié)議分析檢測算法，在程序中把網卡設置成混雜模式可以從鏈路層通過數(shù)據(jù)包捕獲函數(shù)庫提供的函數(shù)直接抓取數(shù)據(jù)包，檢測相應攻擊模式如sumf，land攻擊的協(xié)議分析偽語言算法如下:

(1)數(shù)據(jù)包捕獲;

(2)提取數(shù)據(jù)報報頭信息;

(3)if IP數(shù)據(jù)報文.

上述算法可以看出，比如land攻擊是在源地址與目的地址一致的情況下發(fā)生的.只有當檢測到IP協(xié)議的時候才去提取相關源地址目的地址數(shù)據(jù)判斷，而不是IP數(shù)據(jù)包就不檢測，提高了檢測的效率，為了提高檢測攻擊的效率，我們可以結合實際情況對相應攻擊產生的次數(shù)進行統(tǒng)計，從而針對校園里容易發(fā)生的常用攻擊行為的檢測規(guī)則進行歸納以形成活躍規(guī)則集合;當檢測數(shù)據(jù)包的時候首先在活躍規(guī)則集合中進行匹配，可以進一步提高檢測效率.

2.3 性能測試

在搭建的實驗環(huán)境下，利用自定義的攻擊測試數(shù)據(jù)和規(guī)則庫，背景流量采用tcpreplay制造并可以調節(jié)流量強度.實驗結果表明，融合了協(xié)議分析的網絡安全系統(tǒng)在實驗室測試過程中并不影響誤報率，但可以有效降低漏報率，檢測匹配時間隨背景流量增加，同傳統(tǒng)模式匹配方法相比大幅降低，從而提升了網絡安全的系統(tǒng)檢測性能，能夠有效地解決網絡流量增加情況下的安全檢測和防御系統(tǒng)性能下降的問題.

3 結語

在網絡日益融入師生工作中的同時，高校校園網絡安全也面臨著越來越多的挑戰(zhàn).結合協(xié)議分析的網絡入侵檢測和防御系統(tǒng)，將能提高檢測攻擊的可靠性，提高攻擊特征的分析速度以減少虛警和誤判，解決由于網絡的高速發(fā)展而帶來的性能瓶頸，我們可以進一步采用數(shù)據(jù)融合攻擊聚類分類的方法來提升檢測引擎的性能.

［1］周 揚.協(xié)議分析技術在入侵檢測系統(tǒng)中的應用［J］.計算機系統(tǒng)應用，2011(6):162-163.

［2］朱海霞，劉 廉.模式匹配和協(xié)議分析方法比較［J］.網絡安全，2005(7):54-55.