周夢玲 魏東平 葛明珠 堯時茂

摘要：入侵檢測方法在網(wǎng)絡(luò)安全防線中承擔監(jiān)測網(wǎng)絡(luò)異常流量、識別主機內(nèi)部潛在威脅等至關(guān)重要的任務(wù)。然而，現(xiàn)有的入侵檢測方法仍然面臨一些挑戰(zhàn)，如在收集和分析數(shù)據(jù)時對系統(tǒng)性能的損耗過大，導致許多入侵檢測系統(tǒng)性能不高。此外，網(wǎng)絡(luò)擁塞等導致的數(shù)據(jù)丟包問題，使得數(shù)據(jù)完整性受到影響，間接影響入侵檢測的效率和檢測結(jié)果的準確性。為了應(yīng)對這一挑戰(zhàn)，有效提高系統(tǒng)效率和檢測的準確性，文章提出一種基于規(guī)則匹配的入侵檢測方法。該方法由數(shù)據(jù)收集、特征提取、異常檢測3個步驟組成。模擬實驗表明，該入侵檢測方法能準確地監(jiān)測和識別網(wǎng)絡(luò)中的異常行為和潛在的安全威脅，并且實時監(jiān)控流量行為，提高系統(tǒng)安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全；規(guī)則匹配；入侵檢測

中圖分類號：TP311? 文獻標志碼：A

0 引言

隨著計算機與互聯(lián)網(wǎng)在生活中的普及，人們對互聯(lián)網(wǎng)的依賴性越來越強，這也意味著人們面對日益嚴重的網(wǎng)絡(luò)安全威脅。過去的幾十年以來，黑客入侵現(xiàn)象日益突出，網(wǎng)絡(luò)攻擊事件在世界各地頻繁發(fā)生。不法分子為了牟取暴利，利用各種攻擊手段，繞過網(wǎng)絡(luò)安全體系的防護機制，攻破邊界防御，入侵政府、企業(yè)的計算機系統(tǒng)，對重要的用戶數(shù)據(jù)和內(nèi)部信息進行竊取破壞，危害著個人、企業(yè)甚至整個國家的利益。比如，全球臭名昭著的WannaCry勒索病毒［1］，曾造成國家級網(wǎng)絡(luò)安全事故，此次事件爆發(fā)范圍涵蓋了全國范圍內(nèi)的各大基礎(chǔ)設(shè)施——學校、銀行、機場、車站等。如今，新型勒索病毒仍是黑客組織牟取暴利的主要手段。2021年年底曝出的Apache Log4j2遠程代碼執(zhí)行漏洞［2］，該漏洞造成各大電商平臺緊急關(guān)閉的安全事件。

為應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全形勢，許多計算機廠商和安全廠商將目光放在以防火墻、殺毒軟件為代表的設(shè)備上。這些設(shè)備盡管種類多樣，防御方式不一，但大多是一種被動的防御方式，無法進行實時監(jiān)控，不能防御未知的攻擊和異常行為。入侵檢測技術(shù)可以記錄和分析攻擊事件的細節(jié)和特征［3］，幫助安全人員對安全事件進行調(diào)查和分析［4］，其不僅可以幫助防范潛在的安全威脅，還可以追蹤和記錄入侵者的行為，為事故發(fā)生后的溯源和審計提供重要依據(jù)。然而，入侵檢測方法也面臨著一系列的挑戰(zhàn)。一方面入侵者使用越來越復雜的攻擊方法，如欺騙、掩蓋和隱藏攻擊行為。另一方面，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，入侵檢測技術(shù)需要處理更多的數(shù)據(jù)，需要更快的響應(yīng)速度。為此，本文提出一種基于規(guī)則匹配的入侵檢測方法提高入侵檢測的效率和準確性，具有一定的研究意義和應(yīng)用價值。

1 入侵檢測方法

本文提出的入侵檢測方法實施步驟如下：首先收集需要進行檢測的數(shù)據(jù)，將采集到的原始數(shù)據(jù)傳輸?shù)椒?wù)器端。其次，服務(wù)器端從數(shù)據(jù)中提取特征，對提取出的特征值進行異常檢測。最后，將特征值和入侵檢測的結(jié)果形成匹配規(guī)則存儲到數(shù)據(jù)庫中。Web端控制面板對系統(tǒng)進行配置和管理，利用存儲在數(shù)據(jù)庫中的匹配規(guī)則對數(shù)據(jù)進行交互匹配后，顯示檢測結(jié)果。

1.1 數(shù)據(jù)收集

數(shù)據(jù)收集負責收集數(shù)據(jù)并進行適當?shù)臄?shù)據(jù)預處理，以便后續(xù)對數(shù)據(jù)進行過濾提取。本文利用eBPF（Extended Berkeley Packet Filter）［5］進行數(shù)據(jù)收集，具體過程如下：通過將eBPF程序附加到XDP （eXpress Data Path）［5］ Hooks上來實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲，利用XDP鉤子能夠讓數(shù)據(jù)包在到達網(wǎng)絡(luò)協(xié)議棧之前就被捕獲，這種方式可以實現(xiàn)高效的數(shù)據(jù)包過濾和處理。在eBPF程序中定義XDP鉤子，數(shù)據(jù)包從網(wǎng)卡驅(qū)動中到傳輸至內(nèi)核協(xié)議棧之前，XDP鉤子截獲數(shù)據(jù)包觸發(fā)事件。然后，eBPF程序?qū)?shù)據(jù)包進行數(shù)據(jù)包過濾、修改、統(tǒng)計等處理，將其存儲在eBPF Maps中。用戶空間程序通過系統(tǒng)調(diào)用訪問eBPF Maps中的數(shù)據(jù)，既可以對數(shù)據(jù)進行進一步處理也可以直接輸出到位于用戶空間的終端或文件中［6］。網(wǎng)絡(luò)數(shù)據(jù)捕獲部分流程如圖1所示。

1.2 特征提取

特征提取負責從收集到的數(shù)據(jù)中提取有效的特征。對于網(wǎng)絡(luò)流量數(shù)據(jù)的特征提取，主要從IP地址、端口、協(xié)議和數(shù)據(jù)包這幾個方面入手。對于主機內(nèi)部的異常行為特征主要對系統(tǒng)調(diào)用的使用頻率，文件系統(tǒng)的打開、讀取、寫入、刪除等行為，異常進程的創(chuàng)建、終止、系統(tǒng)占用資源等幾個方面提取特征。

首先，將原始數(shù)據(jù)進行一定的數(shù)據(jù)過濾操作，清除無關(guān)的數(shù)據(jù)并將數(shù)據(jù)格式化。其次，對其進行特征選擇，去除無關(guān)的數(shù)據(jù)信息和冗余數(shù)據(jù)，保留能夠直接作用于后續(xù)入侵檢測工作的特征，對這些特征數(shù)據(jù)統(tǒng)一進行數(shù)據(jù)轉(zhuǎn)換，將其轉(zhuǎn)換為用于規(guī)則匹配的數(shù)據(jù)。最后，用這些特征數(shù)據(jù)和入侵檢測結(jié)果生成Maps匹配規(guī)則庫。特征提取流程如圖2所示。

1.3 異常檢測

異常檢測是根據(jù)提取的特征值進行入侵檢測判斷和分類，本文采取的是規(guī)則匹配方法。首先對收集到的數(shù)據(jù)進行規(guī)則匹配，通過預先設(shè)定好的規(guī)則庫對數(shù)據(jù)進行篩選和分類，可以有效地發(fā)現(xiàn)已知的攻擊手段和異常行為。規(guī)則匹配完成后，接著對未匹配的數(shù)據(jù)進行統(tǒng)計分析。統(tǒng)計分析的目的是通過對數(shù)據(jù)的數(shù)量、頻率等特征進行分析，以發(fā)現(xiàn)潛在的異常行為和未知的攻擊手段。統(tǒng)計分析可以找出規(guī)則匹配無法識別的新型攻擊和異常。因此，通過規(guī)則匹配與統(tǒng)計分析相結(jié)合的方法，既可以有效地檢測已知的異常行為，又能發(fā)現(xiàn)潛在的未知攻擊，從而提高系統(tǒng)的安全性和穩(wěn)定性。

完成異常檢測后，結(jié)合規(guī)則匹配結(jié)果和統(tǒng)計分析結(jié)果，生成最后的入侵檢測結(jié)果。有了入侵檢測結(jié)果，系統(tǒng)將根據(jù)具體的攻擊手段，第一時間進行入侵響應(yīng)處理，確保將告警信息及時傳送到網(wǎng)絡(luò)管理員手中。異常檢測流程如圖3所示。

2 實驗分析

本文在主機上部署一個滲透測試靶場，模擬一個在Apache服務(wù)器默認路徑上運行的Web服務(wù)端口，通過模擬SQL注入攻擊行為，測試入侵檢測系統(tǒng)的檢測效果。本入侵檢測實驗對數(shù)據(jù)收集模塊收集到的大量原始數(shù)據(jù)進行處理，經(jīng)過數(shù)據(jù)過濾、特征提取、規(guī)則匹配、統(tǒng)計分析后，最終得到一些重要信息。將最? 后檢測得到的攻擊行為經(jīng)過簡單的格式處理后，按照一定的格式輸出成告警信息，并展示在控制面板的告警處理視圖中。

主機上的對外服務(wù)端口8050，運行著一個PHP網(wǎng)站，圖4中是一個對SQL數(shù)據(jù)庫進行搜索的輸入框。對網(wǎng)站進行一定的注入測試后，獲取到用戶名與密碼在數(shù)據(jù)庫上的列名，分別為user和password。

隨后在輸入框中輸入“1' union select group_concat（user），group_concat （password）from users#”，得到數(shù)據(jù)庫的5個用戶名和被加密存儲的密碼，經(jīng)過md5爆破解密后，得到用戶密碼對應(yīng)分別是admin：password、gordonb：abc123、1337：charley、pablo：letmein、smithy：password。模擬攻擊行為測試如圖4所示。

Apache服務(wù)器對提交的URL參數(shù)進行解析，然后發(fā)起Socket安全連接，將其中的SQL查詢語句傳輸?shù)組ySQL數(shù)據(jù)庫進行查詢。數(shù)據(jù)收集程序?qū)pache服務(wù)器的訪問日志文件進行監(jiān)控，追蹤到URL訪問參數(shù)的寫入，并經(jīng)過一定的數(shù)據(jù)處理和行為檢測后，同步到告警列表，對管理員進行防護提醒。

告警通知結(jié)果測試圖如圖5所示。

3 結(jié)語

計算機網(wǎng)絡(luò)安全已經(jīng)成為一個全球性的問題，入侵檢測方法在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用越來越受到人們的關(guān)注。入侵檢測方法可以準確地監(jiān)測和識別網(wǎng)絡(luò)中的異常行為和潛在的安全威脅，并且實時監(jiān)控流量行為，其結(jié)合入侵響應(yīng)或入侵防御，能夠?qū)撛诘耐{盡可能扼制在搖籃里?；诖?，本文提供了一種基于規(guī)則匹配的入侵檢測方法，包含數(shù)據(jù)收集、特征提取、異常檢測3個步驟，能較大提高系統(tǒng)的檢測準確性和效率，為計算機網(wǎng)絡(luò)安全提供保障。

參考文獻

［1］MOHURLE S，PATIL M.A brief study of wannacry threat：Ransomware attack 2017［J］.International Journal of Advanced Research in Computer Science，2017（5）：1938-1940.

［2］JUVONEN A，COSTIN A，TURTIAINEN H，et al.On apache log4j2 exploitation in aeronautical，maritime，and aerospace communication［J］.IEEE Access，2022（10）：86542-86557.

［3］WANG S Y，CHANG J C.Design and implementation of an intrusion detection system by using Extended BPF in the Linux kernel［J］.Journal of Network and Computer Applications，2022（198）：103283.

［4］ANDERSON J P.Computer security threat monitoring and surveillance［EB/OL］.（1980-02-26）［2024-04-07］.https：//www.docin.com/p-567457508.

［5］SCHOLZ D，RAUMER D，EMMERICH P，et al.Performance implications of packet filtering with linux ebpf.2018 30th International Teletraffic Congress（ITC 30），September 03-07，2018［C］.Vienna：IEEE，2018.

［6］LI J，WU C，YE J，et al.The comparison and verification of some efficient packet capture and processing technologies.2019 IEEE Intl Conf on Dependable，Autonomic and Secure Computing，August 05-08，2019［C］.Fukuoka：IEEE，2019.

（編輯 王雪芬）

A rule matching based intrusion detection method in network security

ZHOU? Mengling， WEI? Dongping*， GE? Mingzhu， YAO? Shimao

（School of Computer and Big Data Science， Jiujiang University， Jiujiang 332005， China）

Abstract： Intrusion detection methods undertake crucial tasks in network security defense，such as monitoring abnormal network traffic and identifying potential threats within hosts. However，existing intrusion detection methods still face some challenges， such as excessive loss of system performance during data collection and analysis， resulting in low performance of intrusion detection systems. In addition， data loss caused by network congestion and other factors affects data integrity， indirectly affecting the efficiency of intrusion detection and the accuracy of detection results. To address this challenge and effectively improve system efficiency and detection accuracy， this paper proposes an intrusion detection method based on rule matching. This method consists of three steps：data collection， feature extraction， and anomaly detection. Simulation experiments show that this intrusion detection method can accurately monitor and identify abnormal behavior and potential security threats in the network， and monitor traffic behavior in real-time， improving system security.

Key words： network security; rule matching; intrusion detection