一个改进的入侵检测系统模型
2021-09-20
来源:世旅网
维普资讯 http://www.cqvip.com 第35卷(2007)第1期 计算机与数字工程 一个改进的入侵检测系统模型 柳景超周立兵 (海军工程大学信息安全系 武汉430033) 摘要首先介绍了模式匹配技术的工作过程,接着分析了B—M匹配算法,进而指出了该技术存在的主要缺点;然 后介绍了协议分析技术的检测攻击过程,说明了它的技术优势;最后将两项技术有机结合了起来建立了一个新的检测模 型。研究表明,该模型检测速度快、效率高,并且大大降低了漏报率。 关键词模式匹配协议分析入侵检测 中图分类号TP274 .5 O 引言 进行匹配,B—M匹配算法的基本思想如下:(1) 匹配自右向左进行;(2)若匹配失败发生在Pi≠ti, 随着网络技术和网络规模的不断发展,传统的 且t;不出现在模式P中,则将模式右移,直到P。位 安全防护策略已不能满足当前安全形势的需要。 于匹配失败位t;的右边第1位即(t +1位),若t 在这种条件下,入侵检测系统越来越受到重视,但 在P中有若干地方出现,则应选择j=max{k I P = 其效果并不令人满意,尤其是随着网络流量的大幅 t。};(3)若模式P后面k位和文本t中-一致的部分, 度增加,大量漏报、误报的出现,使得先前应用到入 有一部分在P中其他部分出现,则可将向右移动, 侵检测系统上的安全策略已很难胜任,迫切需要一 直接使这部分对齐,且要求这一致部分尽可能 种新的安全方案来对当前的入侵检测模型进行改 地大。 进,使之适应当前网络流量大量增加的需要。 例:P “m’g”,t=“thisisastring”,匹配从“ ” 目前绝大多数入侵检测系统采用的是模式匹 配算法,该算法主要匹配详尽,实现简单;但存在匹 处开始。模式 1 i l n l g 配速度慢,丢包率高等问题。在当前网络传输速度 越来越大的情况下,匹配速度慢会导致严重的丢包 字符移动值I 2 J 1 l 0 现象。为此,人们提出了协议分析技术,它利用网 首先比较的字符是模式串中最右边的字符 络协议的高度规则性能够快速探测攻击的存在,是 g。 新一代1DS探测攻击手法的主要技术。 比较位置 本文通过对这两项技术做进一步分析,将二者 文本t t h 1 S 1 S a S t r 1 n g 的优点有效结合起来,提出了一个新的模型。研究 表明该模型拥有检测速度快,漏报率低等特点。 模式P 1 n g 在文本中正在比较的是与“g”对应的“i”,它在 模式P中出现过,其移动值是2,所以将模式直接 1 模式匹配技术 模式匹配方法是入侵检测系统中最常用的一 右移2位,进行下一次比较。 种数据分析方法,其任务就是把存在入侵检测系 比较位置 统规则集中的已知入侵规则(模式)与系统正在检 文本t t h l S 1 S a S t r 1 n g 测的网络数据包中的文本进行比较,如果匹配成 模式P I n g 功,则可以判定发生了攻击。目前最常用的匹配 在文本中正在比较的依然是与“g”对应的“i,,, 算法为B—M匹配算法。 它在模式P中出现过,其移动值是2,所以将模式 1.1 B—M匹配算法 假设将长度为m的模式P与长度为n的文本t 直接右移2位,进行下一次比较。 收到本文时间:2006年3月7 13 作者简介:柳景超,女,硕士生,主要研究方向入侵检测,数据挖掘。周立兵,男,硕士生,主要研究方向信息安全,计 算机软件质量保障技术。 维普资讯 http://www.cqvip.com 98 柳景超等:一个改进的入侵检测系统模型 第35卷 比较位置 令解析来进行入侵检测,有效弥补了模式匹配技术 文本t t h l S l S a S t r l n g 之不足,给入侵检测战场带来了许多决定性的优 模式P l n g 势,如提高了性能和准确性。 在文本中正在比较的是与“g”对应的“a”,它 2.1协议分析基础 在模式p中没有出现过,因此根据算法第(2)步,模 TCP/IP协议是一组不同层次上多个协议的组 式向右移3位。 合(如图i)。上层协议的实现要通过下层协议的 ‘比较位置 实现来完成。首先要下层协议的特征满足才考虑 文本t t h l S l S a S t r l n g 上层协议的特征。因此,从分类上来说,下层协议 模式P l n g 可以看成是上层协议数据包的大类。在TCP/IP协 议实现时上层协议的一些细节可以在下层协议及 在文本中正在比较的是与“g”对应的“r”,它 时得到体现。比如在IP的首部有协议字段可以确 在模式P中没有出现过,因此根据算法第(2)步,模 定时TCP协议还是UDP协议,而TCP首部有端口 式向右移3位。 可以确定上层应用协议的类型究竟是HTFP还是 比较位置 SMTP或者其他协议。这种网络协议严格分层的特 文本t t h l 8 l S a S t r l n g 点为协议分析提供了依据。 模式P l n g Applicatioon LaYer匝 圜 最后在文本的末端发现一个成功的匹配。 。r 。pol。2存在问题 Layern I UDn Pea/a erP Il Pro协∞rDataII (i)支持这种算法的计算量是巨大的。对于 盯mLayer 个满负载的100MB以太网线路,所需要的计算 ln de a ge r I哪I IP一~…I Data I 一量可以表示为(每个特征中的字节数)×(一个包 Interlace Layer l ;l Frame Data Area I. 中的字节数)×(包数量/秒)×(库中特征数)。 图1协议的分层 这个计算量远远超过大多数计算机的运算能力。 2.2检测攻击的过程 即使一个系统可以采用提供部分覆盖的方式(一旦 第一步:TCP/IP协议规定一个以太网的数据 它发现特征中有一个字节不匹配则放弃搜索),这 包在第13字节处包涵标示第三层协议的两字节。 些系统仍然会被性能所困扰,且还增加了被黑客躲 协议分析器直接到13字节处,读2字节的协议标 避的可能性。因计算速度跟不上而产生大量的漏 示符。如果读出的值是0800,那说明以太网帧的 报是这类系统的主要特点。 数据域携带的协议是网际间协议(IP)。 (2)没有考虑到通信协议的特点。在降低了 第二步:在15字节处读4bits的IP协议版本字 判断效能的同时,对采用连带攻击,数据包分片攻 段信息,如为04,IP为IPv4,如为O6,则IP为IPv6。 击的方法显得无能为力。 IPv4协议规定IP报头的协议字段是传输层的协议 (3)检测准确率低。使用固定的特征模式来 标识,该位在第24字节处,协议分析器直接到第24 检测入侵只能检测特定的特征,这将会错过通过对 字节处读第四层协议标示符的一个字节;IPv6协议 原始攻击串做对攻击效果无影响的微小变形而衍 的下一协议头部字段标识传输层协议的类型,该位 生所得的攻击。 在21字节处,协议分析器直接到第21字节处读第 2协议分析技术 四层协议标示符的一个字节。如果这个值是01, 则IP包的数据域所携带的协议为.ICMP。若为06, 模式匹配技术的一个基本出发点是它将数据 那么,IP包的数据域所携带的协议传输控制协议 看作不同字节的随机流数据,认为包结构是未知 (TCP)。若为17,则表示这个数据包是UDP协议 的。事实上,若是对于大量的随机变化,诸如数字 的数据包。 图像或声音流,用模式匹配技术是一个明智的手 第三步:TCP协议规定在第35字节处包涵一 法。但是,分析数字图像和分析网络通信协议是两 对两字节的应用层协议标示符(端口号)。跳到35 个不同的问题。通信协议不是一个随机的不同的 比特处,读一对端口号。如果两个端口号中的一个 字节流,它的包中的字节是遵照一定规则组织的。 是0080,那么TCP消息的数据域携带的协议是超 协议分析技术结合高速数据包捕捉、协议分析和命 文本传输协议(HrITp)。同样可以对UDP数据包、 维普资讯 http://www.cqvip.com 第35卷(2007)第1期 计算机与数字工程 ICMP数据包加以分析。 分析器进行检测(对解码后的数据与已知的攻击模 如果相匹配,则报警)。改进的模型如 第四步:协议规则规定H1TrP位于TCP之上, 式进行比较,URL开始于第55比特。协议分析器在55比特处 图2所示。 读统一资源定位器(URL),这个URL字符串将被 输入到HrrrP命令解析器并将其还原。 第五步:将获得的特征值与特征库内容比较, 大量研究表明,将该模型运用到实际网络中, 同样混杂在速率20Mbps、同时约有15000个连接 的大量的日常流量中,进行同样的各类型的H1TrP SMTP攻击、ICMP攻击共1000次,结果显示: 如与特征吻合,则访问被判断为攻击行为,产生报 攻击、漏报率由70%降至20%,误报率由50%降至几乎 警,并采取相应措施。 为0。即使在重裁的高速网络上,大量的包也可以 2.3性能分析 协议分析技术利用协议规则寻找攻击,极大地 被及时地分析,遗漏少,降低了漏报率,精确性高。 模式匹配技术和协议分析技术相结合不仅减 减少所需的计算量,即便在高负载的网络上也可以 完全探测出各种攻击,并对其进行更详细的分析而 少了误报,而且可以简化检测过程,由于系统在每 不会丢包。协议分析的优势在于: 层协议都会解码,因此若在包中发现第四层传输层 就没有必要再去检查是否有载于传 1.针对不同的应用协议形成不同命令分析 协议为TCP,器,分析器对每一个用户命令作出详细分析; 输层其他协议(如UDP)的攻击;可以检测分片攻 2.在通信中如果出现IP碎片,可以重组数据 击和协议验证,如果IP协议被分片,包首先会被重 报,然后进行协议分析探测碎片攻击; 组,然后再从细节分析攻击行为,采用重组技术,系 3.模拟执行一个命令字符串,在通信连接到 统可以检测出利用躲避技术的攻击,如包分片, RPC分段边界欺骗等。 达之前准确判断该通信是否恶意,可以提高系统检 TCP,测的准确性、大大降低误报率; 4.基于协议分析技术的入侵检测系统引擎将 4 结束语 使用协议分析方法的IDS比单纯使用模式匹 能够判断一个通信的实际内容及含义,它们不太容 易受到黑客躲避技术的影响; 配的方法在性能上有很大提高,但也存在不足之 5.基于协议分析技术的入侵检测系统的有效 处,如可能会产生误报,有时解码引擎必须新编写, 性和准确性带来的直接益处是对系统资源的极低 等等。今后应该在改进协议分析性能和提高模式 匹配的效率等方面作进一步的研究,使两个领域的 消耗。 协议包解析过滤 监听程序 ———1r—一 .............协议分析 技术在IDS检测中有机结合起来。 参考文献 J.......一 网络数据包 [1]罗守山.入侵检测[M].北京:北京邮电大学出版社, 2Oo4 处理TCP ll处NUDPl 理IcMq l模式匹配器 [2]John Mchugh,Intrusion and intrusion detection[J],Inter- national Journal of Information,2001,1(1):14—15 [3]杨小平,苏静.基于协议分析的入侵检测技术研究[J], 计算机应用研究,2004 [4]景蕊等,基于协议分析的网络入侵检测技术[J],计算 报警产生器 机工程与应用,2003.36 图2改进的IDS模型 [5]杜建国等,协议分析和命令解析在入侵检测中的应用 [J],计算机工程与应用 3 一个改进的模型 [6]蒋建春,冯登国.网络入侵检测原理与技术[M].北京: 国防工业出版社,2001 协议分析技术结合模式匹配技术应用到入侵 [7]连一峰.入侵检测综述(一)[J],网络安全技术与应 检测中,可以快速检测出入侵行为。首先将捕获到 用,2003,3 DS中模式匹配算法及其并行化设计[J], 的数据包根据不同的网络协议进行解码,把解码结 [8]于泠,陈波.I果存入相应的数据结构,然后提交给相应的数据包 计算机工程,2004,2