楊忠明　梁本來　秦勇　蔡昭權(quán)

摘要：

在集群環(huán)境中，入侵者攻擊特定目標(biāo)是提高攻擊效率一種常規(guī)手段，有針對性地調(diào)度計算資源可有效提高檢測效率。提出一種基于攻擊目標(biāo)預(yù)判的網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）的檢測頻率自調(diào)整算法DFSATP，檢測分析采集到的數(shù)據(jù)，將發(fā)往潛在被攻擊目標(biāo)范圍的數(shù)據(jù)列為高危數(shù)據(jù)，其余數(shù)據(jù)為低危數(shù)據(jù)，指引網(wǎng)絡(luò)入侵檢測系統(tǒng)高頻檢測發(fā)往預(yù)測目標(biāo)的高危數(shù)據(jù)包，低頻檢測低危數(shù)據(jù)包，從而提高NIDS的檢測效率，保障在有限的計算資源情況下提高異常數(shù)據(jù)的檢出率。模擬實驗結(jié)果表明，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP對NIDS檢測頻率的調(diào)整，使得異常數(shù)據(jù)的檢出率得到了一定程度的提升。

關(guān)鍵詞：

入侵檢測；檢測頻率；攻擊目標(biāo)預(yù)判；檢出率；高危數(shù)據(jù)；低危數(shù)據(jù)

中圖分類號：

TP393

文獻標(biāo)志碼：A

Abstract：

In cluster， it is a conventional method to increase attack efficiency for intruder by attacking the specific target， so it is effective to improve the detection efficiency by scheduling the computing resource contrapuntally. A frequency selfadjusting algorithm for Network Intrusion Detection System （NIDS） based on target prediction， named DFSATP， was proposed. By detecting and analyzing the collected data packets， the data packets sent to potentially attacked targets were marked as high risk data and the other packets were marked as low risk data. The efficiency of NIDS was improved by high frequency detection of high risk data packets and low frequency detection of low risk packets， thus the detection rate of abnormal data was also increased to some extent in limited computing resource circumstances. The simulation results show that the detection rate of abnormal data packets is increased because of the detection frequency adjustment of NIDS by using DFSATP.

英文關(guān)鍵詞Key words：

intrusion detection； detection frequency； target predetection； detection rate； high risk data； low risk data

0引言

入侵檢測（Intrusion Detection）是指通過網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵節(jié)點采集大規(guī)模數(shù)據(jù)，從中分析是否存在違反安全策略的行為[1]。從采集數(shù)據(jù)的對象區(qū)分，入侵檢測系統(tǒng)（Intrusion Detection System， IDS）可分為基于主機的入侵檢測系統(tǒng)（Host Intrusion Detection System， HIDS）和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network Intrusion Detection System， NIDS），HIDS以主機系統(tǒng)作為檢測對象，而NIDS通過采集網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進行協(xié)議分析和特征匹配。近年來，NIDS成為學(xué)者的研究熱點。

隨著計算機網(wǎng)絡(luò)的高速發(fā)展，局域網(wǎng)已進入千兆速率時代，主干網(wǎng)絡(luò)中也早已實現(xiàn)萬兆速率。高速網(wǎng)絡(luò)的特征是數(shù)據(jù)流量大，要求入侵檢測系統(tǒng)的數(shù)據(jù)處理性能高，處理能力的缺乏必然會導(dǎo)致入侵事件的漏報，國外學(xué)者Schaelicke等[2]就提出當(dāng)今網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）的主要問題就是處理性能跟不上網(wǎng)絡(luò)帶寬的快速增長。為提高NIDS的處理性能，國內(nèi)外學(xué)者近年來進行了深入研究，主要研究方向可分為兩類：一種方法是采用可擴展的多引擎并行處理技術(shù)，另一種方法是提高單個檢測引擎的處理能力和提高入侵檢測算法的效率[3]。本文研究的方法為提高入侵檢測算法的效率。

高速網(wǎng)絡(luò)下的大規(guī)模數(shù)據(jù)，致使傳統(tǒng)的NIDS捕獲全部數(shù)據(jù)包并進行詳細(xì)分析存在相當(dāng)大的難度[4]。在數(shù)據(jù)采集后，要對其進行協(xié)議解析并提取出特征（如源、目的IP地址及協(xié)議類型、端口號等），然后采用模式匹配等方法對提取的特征進行分析，不同的分析方法對NIDS的效率影響不同。對于基于規(guī)則的NIDS，模式匹配過程是NIDS中最耗時的部分[5]。

在NIDS硬件處理性能及入侵檢測算法效率有限的情況下，需要采用有效手段在流量高峰期保證符合要求的異常數(shù)據(jù)檢出率。學(xué)者們提出通過對數(shù)據(jù)采樣的方法降低檢測系統(tǒng)的數(shù)據(jù)處理量以解決入侵檢測算法效率不高的問題，典型的有隨機采樣、等距采樣、變長采樣、分層采樣、周期采樣等策略[6]。如文獻[7]提出了一種過采樣方法，通過生成人工樣本來對小類樣本向上采樣；文獻[8]提出了一種降采樣方法，利用Kmeans方法對大類樣本進行聚類并提取聚類中心，獲得與較小樣本集樣本數(shù)目近似的樣本，組成新的樣本集用以訓(xùn)練；文獻[9]對這些經(jīng)典采樣算法進行了對比實驗，已知攻擊的檢出率在35%～70%，檢出率受數(shù)據(jù)源及算法策略影響較大，檢出率穩(wěn)定性較低；文獻[10]引入風(fēng)險管理思想對建立在博弈模型上的采樣策略進行優(yōu)化，有效克服單一采樣策略的不足，但在保護節(jié)點較多的情況下不可用。

采樣策略的檢出率欠缺穩(wěn)定性，文獻[11]從攻擊行為模式上分析，得出90%以上攻擊信息集中在數(shù)據(jù)流的前30個包，設(shè)置當(dāng)流量過載發(fā)生的時候只檢測數(shù)據(jù)流的前30個包。這樣的規(guī)則設(shè)定雖避免了采樣的漏檢可能性，但只適用于已知的部分攻擊行為，具有應(yīng)用的一定局限性。文獻[12]提出了感知威脅后啟動對網(wǎng)絡(luò)流量進行異常識別的思路，雖然該文討論的是無線傳感器節(jié)點的入侵檢測，但其中根據(jù)受保護目標(biāo)的威脅情況啟動更高級別安全檢測的思想值得借鑒。

利用云計算架構(gòu)也是提高入侵檢測效率的手段之一。文獻[13]提出一種云架構(gòu)的入侵檢測系統(tǒng)，將待檢測數(shù)據(jù)預(yù)處理后生成樣本空間傳輸?shù)皆贫诉M行建模分析，該方法提高了入侵檢測的效率和精度，但未討論樣本空間傳輸?shù)皆贫诉M行計算所帶來的額外流量消耗及計算時間的增加；文獻[14]提出基于人工免疫理論的分布式入侵檢測模型，在提高入侵檢測效率的同時解決了單點失效問題，證明了分布式檢測的有效性，但僅針對TCPSYN洪泛攻擊作了對比實驗。

在服務(wù)器集群環(huán)境中，通過攻擊特定目標(biāo)是提高攻擊效率一種常規(guī)手段，本文借鑒NIDS的采樣思路，提出一種基于攻擊目標(biāo)預(yù)判的NIDS檢測頻率自調(diào)整算法（Detection Frequency Selfadjusting Algorithm for NIDS based on Target Predetection， DFSATP），通過采集大規(guī)模數(shù)據(jù)流量，匯總分析大規(guī)模數(shù)據(jù)，將發(fā)往潛在被攻擊目標(biāo)范圍的數(shù)據(jù)列為高危數(shù)據(jù)，其余數(shù)據(jù)為低危數(shù)據(jù)，指引NIDS高頻檢測高危數(shù)據(jù)，低頻檢測低危數(shù)據(jù)，從而提高NIDS的檢測效率。

DFSATP算法通過實時檢測數(shù)據(jù)的發(fā)送目標(biāo)，與潛在被攻擊目標(biāo)范圍作匹配，利用式（10）和（11），每間隔時間周期tj重新計算高危或低危數(shù)據(jù)的檢測頻率atcpratei和sfcpratei，指導(dǎo)NIDS調(diào)整相應(yīng)的檢測頻率。對單個被檢數(shù)據(jù)包而言，DDFSATP算法的時間復(fù)雜度為O（n），空間復(fù)雜度O（k*n）。其中n為服務(wù)器群數(shù)量，k為算法中出現(xiàn)的變量參數(shù)個數(shù)，本算法中k為7。

由于NIDS檢測數(shù)據(jù)具有實時性和連續(xù)性的特點，DFSATP算法是每間隔周期tj重新計算并調(diào)整NIDS的檢測頻率。因此，分析NIDS的實際性能，空間時間的消耗應(yīng)是與數(shù)據(jù)包的數(shù)量直接相關(guān)，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP算法的計算頻率也會增加。因此，算法復(fù)雜度的數(shù)學(xué)分析僅具有一定的理論參考價值，具體的算法運行性能還需要真實實驗環(huán)境的綜合驗證。

4模擬實驗與結(jié)果分析

4.1實驗環(huán)境

本實驗采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)架構(gòu)，將NIDS部署到核心交換機上，Attacker在外網(wǎng)模擬發(fā)起攻擊，NIDS可以采集到所有經(jīng)過核心交換機的數(shù)據(jù)。模擬實驗拓?fù)淙鐖D1所示。

實驗采用KDD CUP99 DATA完整數(shù)據(jù)集進行測試，該數(shù)據(jù)集是對Lincoln實驗室1998年提出的DARPA入侵檢測評估數(shù)據(jù)集的擴充。完整集有近500萬條記錄，包含22種攻擊類型，所有攻擊行為基本上被分為四大類：DoS，U2R，R2L和Probe。模擬實驗過程根據(jù)測試數(shù)據(jù)量要求從數(shù)據(jù)集內(nèi)抽取。模擬實驗已經(jīng)提前對實驗數(shù)據(jù)進行了分類，將正常類數(shù)據(jù)及監(jiān)視和其他探測活動類數(shù)據(jù)定義為低危數(shù)據(jù)，遠(yuǎn)程設(shè)備的非法訪問及普通用戶對超級用戶特權(quán)的非法訪問定義為高危數(shù)據(jù)。

4.2DFSATP對NIDS檢測頻率的調(diào)整

基于上述實驗環(huán)境，設(shè)定模擬實驗參數(shù)值見表1，DFSATP對NIDS檢測頻率的調(diào)整過程如圖2所示。

從圖2中可以看出，一開始所有數(shù)據(jù)均為低危數(shù)據(jù)，發(fā)往三個不同目標(biāo)的數(shù)據(jù)檢測頻率均為8000；隨后在10～20s檢測出發(fā)往S1的數(shù)據(jù)存在異常數(shù)據(jù)，將發(fā)往S1的數(shù)據(jù)列為高危數(shù)據(jù)，則在下一個時間段20～30s將高危數(shù)據(jù)的檢測頻率提升為10000，而低危數(shù)據(jù)的檢測頻率則降低為7000；隨著發(fā)往S2的數(shù)據(jù)在30～40s檢測出異常，也被列為高危數(shù)據(jù)，并且在下一個時間段40～50s，將發(fā)往S1和S2的數(shù)據(jù)檢測頻率都提升為105000，發(fā)往S3的低危數(shù)據(jù)的檢測頻率則降到受檢測頻率最低值30000。綜上可以發(fā)現(xiàn)，前一時間段的異常數(shù)據(jù)檢測率，直接關(guān)系到下一個時間段發(fā)往該目標(biāo)的數(shù)據(jù)的檢出率，具體調(diào)整關(guān)系參見式（10）和（11），通過實驗結(jié)果可以看到FSATP對NIDS檢測頻率的動態(tài)調(diào)整效果。

4.3DFSATP與傳統(tǒng)NIDS的實驗結(jié)果對比

采用上述網(wǎng)絡(luò)環(huán)境，分別采用傳統(tǒng)NIDS和DFSATP進行模擬實驗，將目標(biāo)S1、S2的實驗結(jié)果列入表2。

分析表2可以看出，異常數(shù)據(jù)包數(shù)目在2000左右時，傳統(tǒng)NIDS與DFSATP的性能相差不大，但隨著異常數(shù)據(jù)包數(shù)目的增加，兩種方法的異常數(shù)據(jù)包的檢出率開始不同：比如10～20s，對發(fā)往S1的異常數(shù)據(jù)，傳統(tǒng)NIDS的檢出率為95.9%，但DFSATP仍能完全檢測出；再隨著異常數(shù)據(jù)包的增加，比如20～30s階段，發(fā)往目標(biāo)S1的異常數(shù)據(jù)達到4613時，傳統(tǒng)NIDS與DFSATP的性能均出現(xiàn)較明顯的下降，但DFSATP仍能保持80.2%的檢出率，而傳統(tǒng)NIDS的檢出率則降到了60.5%。

總體來看，在6個階段總共10次異常數(shù)據(jù)檢測的實驗對比中，傳統(tǒng)NIDS只有2次達到了100%的檢出率，有6次達到了90%以上的檢出率，有2次60%以上的檢出率，平均的檢出率為87.65%；而DFSATP有6次達到了100%的檢出率，2次90%以上的檢出率，2次80%以上的檢出率，平均檢出率為94.9%。實驗結(jié)果表明，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP對NIDS檢測頻率的調(diào)整，使得NIDS對異常數(shù)據(jù)的檢出率得到了一定程度的提升。

5結(jié)語

在集群環(huán)境中，攻擊特定目標(biāo)是提高攻擊效率一種常規(guī)手段，本文借鑒NIDS的采樣思路，提出一種基于攻擊目標(biāo)預(yù)判的NIDS檢測頻率自調(diào)整算法DFSATP，動態(tài)調(diào)整高危數(shù)據(jù)和低危數(shù)據(jù)的檢測頻率。模擬實驗結(jié)果表明，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP對NIDS檢測頻率的調(diào)整，使得NIDS的檢測性能得到了一定程度的提升，本文的算法思想為實際NIDS的性能優(yōu)化提供了理論參考價值。但網(wǎng)絡(luò)入侵檢測是一個系統(tǒng)復(fù)雜的過程，攻擊者的攻擊行為趨向于隱蔽化和多樣化，如何智能地識別出這些異常數(shù)據(jù)，并進行分類和推理，是作者今后的研究重點。

參考文獻：

[1]

楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經(jīng)網(wǎng)絡(luò)模型的入侵檢測研究[J].計算機學(xué)報， 2014， 37（5）： 1216-1224.（YANG Y H， HUANG H Z， SHEN Q N， et al. Research on intrusion detection based on incremental GHSOM [J]. Chinese Journal of Computers， 2014， 37（5）： 1216-1224.）

[2]

SCHAELICKE L， WHEELER K， FREELAND C. SPANIDS： a scalable network intrusion detection load balancer [C] //CF 05： Proceedings of the 2nd Conference on Computing Frontiers. New York： ACM， 2005：315- 322.

[3]

史志才，夏永祥.高速網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)研究綜述[J].計算機應(yīng)用研究，2010，27（5）：1606-1610.（SHI Z C， XIA Y X. Survey on intrusion detection techniques for highspeed networks [J]. Application Research of Computers， 2010， 27（5）： 1606-1610.）

[4]

IHEAGWARA C， BLYTH A， SINGHAL M. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment [J]. Journal of Computer Security， 2003， 11（1）： 1-33.

[5]

唐謙，張大方.入侵檢測中模式匹配算法的性能分析[J].計算機工程與應(yīng)用， 2005， 41（17）： 136-138.（TANG Q， ZHANG D F. Performance analysis of pattern matching algorithms for intrusion detection [J]. Computer Engineering and Applications， 2005， 41（17）： 136-138.）

[6]

PATCHA A， PARK J M. An overview of anomaly detection techniques： existing solutions and latest technological trends [J]. Computer Networks， 2007， 51（12）： 3448-3470.