周小松　劉帥

摘 要： 傳統(tǒng)的網(wǎng)絡(luò)入侵特征檢測(cè)方法，檢測(cè)準(zhǔn)確性低。因此，設(shè)計(jì)并實(shí)現(xiàn)基于Libnids分布式入侵檢測(cè)系統(tǒng)，該系統(tǒng)將多網(wǎng)絡(luò)環(huán)境分割為不同邏輯區(qū)域，各邏輯區(qū)域包含不同的分析節(jié)點(diǎn)，各分析節(jié)點(diǎn)由數(shù)據(jù)探測(cè)部件、分析檢測(cè)部件和管理控制部件組成。在系統(tǒng)實(shí)現(xiàn)方面，利用WinPcap函數(shù)庫完成數(shù)據(jù)包的采集，依據(jù)采集的數(shù)據(jù)包，通過WM模式匹配算法和協(xié)議分析匹配檢測(cè)模型，進(jìn)行差異化入侵特征的檢測(cè)。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)具有較高的檢測(cè)率、較低的虛警率和漏報(bào)率。

關(guān)鍵詞： 多網(wǎng)絡(luò)； 差異化入侵特征； WinPcap函數(shù)庫； 檢測(cè)平臺(tái)

中圖分類號(hào)： TN711?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）10?0149?04

Abstract： Since the traditional network intrusion feature detection method has low detection accuracy， a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes， and each node is composed of the data detection unit， analysis and detection unit， and management control unit. The WinPcap function library is used to acquire the data package， according to which， the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate， low false alarm rate and low missing report rate.

Keywords： multi?network； differentiation intrusion feature； WinPcap function library； detection platform

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊問題也逐漸增加，而當(dāng)前多網(wǎng)絡(luò)技術(shù)也成為快速發(fā)展的趨勢(shì)，多網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于不同的領(lǐng)域。因此，為了確保網(wǎng)絡(luò)信息系統(tǒng)的安全，尋求有效的多網(wǎng)絡(luò)入侵特征檢測(cè)方法，具有重要的應(yīng)用意義[1?3]。傳統(tǒng)的網(wǎng)絡(luò)入侵特征檢測(cè)方法，僅分析了不同網(wǎng)絡(luò)層間的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)檢測(cè)過程，未分析多網(wǎng)絡(luò)環(huán)境下各應(yīng)用層間的差異性較大產(chǎn)生的分類屬性差異模糊的問題，導(dǎo)致網(wǎng)絡(luò)入侵特征檢測(cè)準(zhǔn)確性降低[4?6]。

1 基于Libnids分布式入侵檢測(cè)系統(tǒng)的研究

1.1 系統(tǒng)總體邏輯結(jié)構(gòu)設(shè)計(jì)

本文采用具有開放性的可用于網(wǎng)絡(luò)入侵檢測(cè)開發(fā)的專業(yè)編程接口Libnids（Library Network Intrusion Detection System），在Windows 操作系統(tǒng)平臺(tái)下設(shè)計(jì)了分布式網(wǎng)絡(luò)入侵檢測(cè)平臺(tái)。通過網(wǎng)絡(luò)安全開發(fā)包Libnids提供的編程接口，可設(shè)計(jì)出結(jié)構(gòu)化強(qiáng)的分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)多網(wǎng)絡(luò)環(huán)境下的差異化入侵特征檢測(cè)，其邏輯結(jié)構(gòu)如圖1所示。

將總體、入侵檢測(cè)系統(tǒng)分割成三個(gè)不同的邏輯子網(wǎng)，各子網(wǎng)中設(shè)置不同的分析節(jié)點(diǎn)，各節(jié)點(diǎn)由數(shù)據(jù)探測(cè)部件、分析檢測(cè)部件和管理控制部件構(gòu)成。

1.2 分析節(jié)點(diǎn)的邏輯結(jié)構(gòu)設(shè)計(jì)

設(shè)計(jì)的入侵檢測(cè)系統(tǒng)是融合狀態(tài)檢測(cè)、入侵分析和檢測(cè)等功能的，適用于多網(wǎng)絡(luò)環(huán)境的差異化入侵特征的檢測(cè)系統(tǒng)。采用“分而自治”的思想將總體多網(wǎng)絡(luò)環(huán)境分割成不同區(qū)域，將各區(qū)域看成不同的分析節(jié)點(diǎn)，各節(jié)點(diǎn)中有一個(gè)管理控制部件、多個(gè)數(shù)據(jù)探測(cè)部件和多個(gè)分析檢測(cè)部件。數(shù)據(jù)探測(cè)部件采集網(wǎng)絡(luò)數(shù)據(jù)包，過濾其中的無價(jià)值數(shù)據(jù)，采集有價(jià)值數(shù)據(jù)，同時(shí)反饋給相應(yīng)的分析檢測(cè)部件。

分析檢測(cè)部件對(duì)數(shù)據(jù)探測(cè)部件反饋的數(shù)據(jù)進(jìn)行模式匹配以及協(xié)議研究，明確是否存在差異化入侵特征將結(jié)果反饋給管理控制部件進(jìn)行存儲(chǔ)。管理控制部件同其他分析節(jié)點(diǎn)進(jìn)行信息的溝通，采用圖像界面顯示出數(shù)據(jù)包信息和差異化入侵特征信息。各分析結(jié)點(diǎn)的邏輯結(jié)構(gòu)如圖2所示。

2 基于Libnids分布式入侵檢測(cè)系統(tǒng)的功能實(shí)現(xiàn)

2.1 數(shù)據(jù)探測(cè)部件利用WinPcap實(shí)現(xiàn)數(shù)據(jù)包的采集

數(shù)據(jù)探測(cè)部件是總體系統(tǒng)的基礎(chǔ)，其由數(shù)據(jù)包采集模塊和過濾器模塊構(gòu)成，采集多網(wǎng)絡(luò)環(huán)境中的差異化網(wǎng)絡(luò)數(shù)據(jù)包，并刪除其中的無價(jià)值數(shù)據(jù)，將有價(jià)值數(shù)據(jù)反饋給所屬的分析檢測(cè)部件。設(shè)計(jì)的數(shù)據(jù)探測(cè)部件在Windows平臺(tái)下利用WinPcap函數(shù)庫實(shí)現(xiàn)了數(shù)據(jù)包的監(jiān)測(cè)和采集，并進(jìn)行初步過濾，為網(wǎng)絡(luò)差異化入侵特征的檢測(cè)提供基礎(chǔ)。

多網(wǎng)絡(luò)環(huán)境能夠分割成不同的區(qū)域，各區(qū)域也就是一個(gè)局域網(wǎng)，這些局域網(wǎng)間采用廣播信道通信途徑進(jìn)行通信，該通信方法確保多網(wǎng)絡(luò)環(huán)境匯總傳遞的數(shù)據(jù)包，可被相同區(qū)域中的全部站點(diǎn)接收，并且不同站點(diǎn)的網(wǎng)卡能夠?qū)崿F(xiàn)數(shù)據(jù)包的發(fā)送以及接收。在Windows平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包采集程序的結(jié)構(gòu)如圖3所示。

采集到的海量數(shù)據(jù)包中含有較多的不必檢測(cè)的數(shù)據(jù)包。為了提高入侵檢測(cè)分析模塊的分析效率，需要采用過濾器模塊過濾出制定種類的數(shù)據(jù)包。過濾器模塊調(diào)用WinPcap的函數(shù)，對(duì)HTTP，TCP，UDP，KMP，ARP以及IP數(shù)據(jù)包進(jìn)行過濾，完成網(wǎng)絡(luò)數(shù)據(jù)包的采集，具體的流程如圖4所示。

2.2 分析檢測(cè)部件的設(shè)計(jì)和實(shí)現(xiàn)

2.2.1 入侵檢測(cè)分析模塊的設(shè)計(jì)

入侵檢測(cè)分析模塊是系統(tǒng)的關(guān)鍵部分，系統(tǒng)通過協(xié)議分析技術(shù)和模式匹配技術(shù)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，進(jìn)而判斷多網(wǎng)絡(luò)環(huán)境中是否存在差異化入侵特征，入侵檢測(cè)分析模塊的基本結(jié)構(gòu)如圖5所示。

2.2.2 模式匹配算法的選擇

WM算法包括預(yù)操作和檢索兩個(gè)過程，預(yù)操作過程對(duì)模式串L進(jìn)行操作后，形成SHIFT表、HASH表和PREFIX表。其中SHIFT為無價(jià)值字符表，可保存文本中全部塊字符的移動(dòng)距離；HASH可保存同匹配窗口中末位塊字符散列值一致的模式串；PREFIX表包括同匹配窗口中第一塊字符散列值一致的模式串。檢索過程采用上述三個(gè)表對(duì)匹配串T進(jìn)行遍歷分析，完成差異化入侵特征的檢測(cè)，具體的實(shí)現(xiàn)流程如圖6所示。

2.2.3 分析匹配檢測(cè)基本流程與實(shí)現(xiàn)

完成數(shù)據(jù)包的解析后，需要對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行分析和匹配檢測(cè)，具體的流程如圖7所示。

通過上述描述的協(xié)議分析匹配檢測(cè)方法，對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)時(shí)，可通過Libnids關(guān)聯(lián)的函數(shù)對(duì)不同的網(wǎng)絡(luò)入侵特征進(jìn)行檢測(cè)，具體的流程見圖8。

2.3 通信模塊的設(shè)計(jì)與實(shí)現(xiàn)

連接申請(qǐng)后塑造連接和遠(yuǎn)程通信接口，完成信息交互。通信模塊進(jìn)行通信的工作流程如圖9所示。通過SSL協(xié)議完成多網(wǎng)絡(luò)環(huán)境下的信息傳遞，可確保不同分析節(jié)點(diǎn)的通信模塊間通信的安全性。

SSL為安全協(xié)議，其具備信息加密、數(shù)字簽到等功能，可依據(jù)TCP協(xié)議中提供的穩(wěn)定端到端安全服務(wù)，確?？蛻?服務(wù)器應(yīng)用間通信的安全性。系統(tǒng)要求程序間的通信，在SSL協(xié)議進(jìn)行完數(shù)據(jù)加密、會(huì)話密銷的控制后，再進(jìn)行通信，并且對(duì)程序通信傳輸?shù)臄?shù)據(jù)進(jìn)行加密，進(jìn)而提升總體通信的安全性。

3 實(shí)驗(yàn)分析

實(shí)驗(yàn)采用不同的攻擊工具進(jìn)行相應(yīng)數(shù)量的攻擊模擬，分析本文系統(tǒng)的入侵檢測(cè)系統(tǒng)在多網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)效果，并設(shè)置在40 Mb/s網(wǎng)絡(luò)流量下的入侵檢測(cè)虛警率應(yīng)小于2%，漏報(bào)率小于1.8%。本文系統(tǒng)的測(cè)試結(jié)果，如表1所示。

分析表1可以看出，本文設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的檢測(cè)率高于95%，并且虛警率以及漏報(bào)率都符合設(shè)置的規(guī)范要求，說明本文系統(tǒng)能夠?qū)崿F(xiàn)多網(wǎng)絡(luò)環(huán)境下的差異化入侵特征的準(zhǔn)確檢測(cè)。實(shí)驗(yàn)對(duì)基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)系統(tǒng)，在相同的網(wǎng)絡(luò)環(huán)境下，通過相應(yīng)的攻擊工具進(jìn)行同數(shù)量的攻擊模擬的檢測(cè)結(jié)果如表2所示。

對(duì)比分析表1和表2 可以看出，本文系統(tǒng)的入侵檢測(cè)率高于關(guān)聯(lián)規(guī)則方法，并且本文系統(tǒng)的虛警率和漏報(bào)率均低于關(guān)聯(lián)規(guī)則方法。因此說明，本文系統(tǒng)的入侵檢測(cè)性能較高，具有較高的應(yīng)用價(jià)值。

4 結(jié) 論

本文設(shè)計(jì)并實(shí)現(xiàn)了基于Libnids分布式入侵檢測(cè)系統(tǒng)，在該系統(tǒng)實(shí)現(xiàn)方面，利用WinPcap函數(shù)庫完成數(shù)據(jù)包的采集，依據(jù)采集的數(shù)據(jù)包，通過WM模式匹配算法和協(xié)議分析匹配檢測(cè)模型，進(jìn)行差異化入侵特征的檢測(cè)。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)具有較高的檢測(cè)率、較低的虛警率和漏報(bào)率。

表2 基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)系統(tǒng)測(cè)試結(jié)果

參考文獻(xiàn)

[1] 王輝，陳泓予，劉淑芬.基于改進(jìn)樸素貝葉斯算法的入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2014，41（4）：111?115.

[2] 程建，張明清，劉小虎，等.基于人工免疫的分布式入侵檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用，2014，34（1）：86?89.

[3] 張雙雙，王延年.節(jié)點(diǎn)分布不均勻的無線傳感網(wǎng)絡(luò)低功耗算法[J].西安工程大學(xué)學(xué)報(bào)，2015，29（6）：720?723.

[4] 譚愛平，陳浩，吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測(cè)集成學(xué)習(xí)算法[J].計(jì)算機(jī)科學(xué)，2014，41（2）：197?200.

[5] 吳瓊.云計(jì)算環(huán)境下的聯(lián)合網(wǎng)絡(luò)入侵檢測(cè)方法仿真[J].計(jì)算機(jī)仿真，2015，32（6）：276?279.

[6] 劉增鎖.云計(jì)算環(huán)境下海量數(shù)據(jù)中入侵檢測(cè)挖掘模型[J].計(jì)算機(jī)仿真，2015，32（6）：289?291.