基于四层过滤的网络入侵检测系统模型

1、基于四层过滤的网络入侵检测系统模型*    摘要文章在对网络入侵检测技术进行分析的基础上,结合网络攻击的特点和目前入侵检测系统的不足,提出一种新的基于四层过滤的网络入侵检测系统模型。这四层过滤分别是:协议分析、流量分析、状态检测和数据分析。四次过滤串并行同时进行以提高效率,增强网络的安全防护能力,保证网络的实时性。同时利用集群的优势在一定程度上解决漏包问题。实验证明,该模型可以提高入侵检测效率和准确率。关键词入侵检测;四层过滤;状态检测;协议分析1引言入侵检测系统(IDS)是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术,它是对入侵行为的检

2、测,通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象1。现有的入侵检测系统还存在若干的不足因素。对网络入侵检测技术而言,目前存在的主要问题包括: 1)高速网络环境下的检测漏包问题; 2)漏报和误报问题2。入侵检测技术根据待检数据来源的不同可分为两类,分别是基于主机的入侵检测系统(Hostbased Intrusion Detection System,简称HIDS)和基于网络的入侵检测系统(Network2based Intrusion Detection System,简称NIDS)3

3、。本文主要研究后者。网络入侵检测系统以被检测网段的所有数据包为检测对象,通过把网卡设置为混杂模式,来抓取流经网卡的所有数据包。随着网路资源的丰富,网络上出现了各种类型的攻击。通过对攻击分类方法的研究,发现有以下几种攻击分类: 1)基于基本网络协议特征方面(如包头特征)的攻击; 2)基于负载内容的攻击; 3)基于网络流量的攻击。根据上述三种攻击描述方法,把入侵检测分为:包头检测、包数据检测和流量检测。文献4设计了一种基于攻击特征描述的网络入侵检测模型,对不同攻击的数据包提出了分类入侵检测和负载均衡技术,但是在攻击包的过滤上还可以有较大的发展空间,文献5设计了分布式智能入侵检测系统模型,但是忽略了

4、数据包的分类对入侵检测的速度的影响。在此基础上,本文提出了基于四层过滤模块的入侵检测模型:1)通过协议分析将检测的数据包进行分类和初步过滤,以便针对各类数据包进行入侵检测数据分析,可以提高检测效率;2)并行流量分析能有效遏制基于高速数据流的攻击,对数据包进行第二次过滤,并行执行也可以节省时间,保证效率。因为目前网络攻击中超过40%的攻击都是基于流量的6;3)状态检测监视每一个有效连接的状态,并根据这些状态信息来决定在该连接上的数据包是否被允许通过,对数据包进行第三次过滤;4)利用遗传算法对包数据进行分析,完成第四次过滤。最后利用集群负载均衡技术将高速数据流分流,由多台低速设备联合检测可以在一定

5、程度上解决漏包问题。2模型详细设计结合目前网络攻击的特点和现有入侵检测系统在结构上的不足,本设计提出一个新的入侵检测系统模型,如图1所示。2.1四层过滤2.1.1协议分析过滤协议分析是一种新的入侵检测技术,通过协议分析,可以有效地提高入侵检测的分析速度。将经过的数据包进行分流,根据TCP/IP协议,可分为TCP、UDP、ICMP协议等,然后针对各种协议进行分析,这些协议具有高度有序性,而且虽然网络攻击类型千差万别,但是基本上每种攻击都是基于同一类型的数据包,使用这些知识在对包进行分流后各自单独检测可以快速确认某个攻击特征的存在。这种高效的技术,使得所需的计算量大大减小,即使在高负载的高速网络上

6、,仍可逐个分析所有的数据包。协议分析模块实现数据包的第一次过滤,针对的是网络攻击中的基本网络协议特征方面(如包头特征)的攻击。此模块主要有两个作用:1)对捕获到的数据包进行协议分析,对数据包进行分类并检测出每个数据包的类型和特征,使后续每个检测模块只用针对同一种数据包进行检测,减轻数据分析的负担;2)对各个类型的数据包的包头进行规则检测,实现数据包的过滤,减轻后期状态检测和数据分析的负担。在TCP/IP网络体系结构中,网络数据包是高度规则结构化的。数据包头的各位属性是确定的,因此对于包头的解析和规则检测变得相对快速和简单。工作流程,如图2所示。2.1.2流量分析过滤流量分析实现数据包的第二次过

7、滤,针对的是网络攻击中的基于网络流量特征的攻击。流量统计对于检测拒绝服务攻击具有重要意义。DOS特别是DDOS其最根本的特征就是大流量数据包。攻击者为了增强攻击效果,往往千方百计加大攻击流量,远远高于正常流量,这在客观上为我们检测拒绝服务攻击提供了有利因素。网络流量具有很强的突发性和不稳定性,在不同时刻网络流量情况具有很大不同。因此,对经过此模型的包的目的IP进行统计是有必要的。对各类型的数据包进行统计计数,如果在一个小的时间段内出现具有符合某些攻击特征的大量链接,超过某个阈值,就视为可疑流量,调用相应DDOS或者扫描检测的算法进行深入的检测分析。在检测出是恶意攻击后,阻断此类数据包进入后端检

8、测设备,并产生告警。2.1.3状态检测过滤状态检测实现数据包的第三次过滤。状态检测的思想来源于状态检测防火墙,它能监视每一个有效连接的状态,并根据这些状态信息来决定在该连接上的数据包是否被允许通过,通过分析各个状态保证正常的数据包顺利通过以及不正常的,带有威胁性的数据包被过滤掉,以保护网络以及数据的安全。在进行包数据分析之前进行状态检测,过滤掉不正常的数据包,可以有效的减轻包数据检测的负担,提高检测速率和效率。在状态检测机制里,信息包被截取后,模块从接收到的数据包中提取与安全策略相关的状态信息,将这些信息保存在一个动态状态表中,其目的是为了验证后续的连接请求。截取到数据包时,首先检查其是否属于

9、状态表中某一有效连接,若是,则说明该包正常,则按照节点负载最小分配原则发送到后端数据分析模块上。当数据包不属于任何有效连接或状态不匹配时便被过滤掉,减轻后期数据分析的负担。各种类型的数据包分别被输入到各自的状态检测模块中,每个模块都有规则表和状态表。规则表表示了过滤规则,由六元组(sa,da,sp,dp,protocol_type,direction)构成,分别代表源地址、目的地址、源端口号、目的端口号、协议类型、数据流方向。状态表表示了数据包连接的属性,由(sa,da,sp,dp,protocol_type,state,sequence_number,Timeout,N)九元组构成,其中sa

10、,da,sp,dp意义同规则表,protocol_type是协议类型,分为TCP,UDP,ICMP及其他协议类型,state是该次连接的状态,sequence_number是TCP连接中的数据包的序列号(UDP及其他协议均为空),Timeout是指该次连接的超时值,N表示该次连接已经通过的数据包的数目。对于状态检测内部来说主要规则匹配模块、状态检测模块等。规则匹配模块主要是根据用户事先配置的信息进行数据包过滤;状态检测模块是核心模块,主要是分析协议的工作原理和流程,针对现有的和可能会出现的网络攻击设计出安全性能高、处理速度快的结构处理流程7。TCP数据包状态转换流程,见图3及表1。2.1.4数

11、据分析过滤数据分析实现数据包的第四次过滤。针对的是网络攻击中的基于负载内容的攻击。采用遗传算法对数据进行深入地分析,遗传算法求解实际问题时,首行对优化问题的所有参数进行编码,一个字符串就是一个个体,所有个体的集合称之为种群。在种群中,每个个体都表示一个可行解;其次,根据优化问题,构造评价个体适应能力的适应度函数;最后,以随机方式产生一群初始解(即初始种群)为开始,通过使用遗传算子对每个个体进行操作组合,使初始种群一代一代地向最优解进化。基本的遗传算子有:复制(reproduction,亦称selection)、交换(crossover)、变异(mutation)8。在本设计中把一个数据包记录当

12、做一个个体。数据包包括正常数据包和攻击数据包。对于特定的个体,适应度函数如式(1):F(di)=aA-bB(1)式中,a是正确检测到的攻击数目,A为总的攻击数目,b为检测模型把正常的连接误认为攻击的数目即误报警率,B为总的正常的连接数。该适应度函数的值在-1,1之间,-1指最差的适应度函数而1则是指最好的适应度函数。对模型中的一个个体来说,高的正确的检测率和低的误报警率会产生大的函数值,而低检测率和高的误报警率会产生小的函数值。进行多次遗传后就能得出适合模型环境的各个攻击特征的权重系数。每一个攻击特征值与其权重系数相乘便得出权重,这些权重相加所得的值表示特定的记录是攻击的可能性程度。给定一个阈

13、值,超过这个阈值的记录就被认为是攻击5。2.2负载均衡在数据分析的过程中,虽然前期已经对数据包按协议进行分流,但是如果某个状态检测模块传下来的数据太多,数据分析模块检测处理速度还是可能跟不上前端数据流,产生丢包,漏掉可疑的数据,从而对系统和网络造成危害。采用均衡分配技术由多台低速数据分析节点设备联合检测可以在一定程度上解决此问题1。在数据包分配过程中,采用动态反馈的方法,根据后端检测设备实际负载情况来分配数据流,如以链接数目为负载指标,将新来的数据流分配到链接数目最少的检测设备上。动态负载均衡很好地解决了在网络突发数据流时对数据包的控制问题。不至于使有的节点重载,而有的节点轻载或处于空闲状态,

14、从而提高整体资源利用率,减少数据检测的时间。3性能测试3.1测试方法测试系统示意图如图4,采用思博伦通信公司的SmartBits 600B作为包发送器和包接收器,它有两个网口,均可以发包和收包;使用SmartWindow软件控制包从SmartBits 600B的网口1(2)输出,通过四层过滤网络入侵检测模型的网口1(2)进入后进行处理,处理之后的包经过四层过滤网络入侵检测模型的网口2(1)输出,通过SmartBits 600B的网口2(1)进入SmartBits 600B,用SmartWindow软件观察检测之后输出的包。工作步骤如下:1)运行SmartWindow进行编包。为了进行性能测试,

15、要编两种不同系列的包:第一种系列是包数据中包含各种攻击的,改变包间隔时间,使包传输速率从20Mbps上升至200Mbps,第二种系列是包连接中出现很多不应该出现的状态的包,同时有很多重复发送的对状态转换无促进作用的相同的包。2)通过SmartBits 600B发包到网络入侵检测模型。3)通过SmartWindow软件观察检测之后输出的包。3.2测试结果图5是上面介绍的第一种系列的包在此网络入侵检测系统和网上搜寻的某常规入侵检测系统之间报警数的数据对比,表明当发包速度超过100Mbps时,常规入侵检测系统报警数急剧下降。报警数越少说明丢包越严重,相对准确率就较低。反之则准确率较高,检测入侵的效率

16、就较高。图6是上面介绍的第二种系列的包在此网络入侵检测系统和网上搜寻的某常规入侵检测系统之间的数据对比。表明当发包状态重复或者出现不该出现的包时,常规入侵检测系统无法判断,照常检测。而四层过滤入侵检测系统则能够主动判断状态,并不予检测,这样就减少了检测包数,节省时间,提高了效率,也防止了攻击。4结语本文在对网络攻击特征进行了分析的基础上,提出了基于四层过滤的网络入侵检测详细模型,并采用了集群负载均衡技术。经性能测试验证,该模型提高了入侵检测速度和准确率,保证了网络的安全性,具有一定的实用性。参考文献1杨宏宇.网络入侵检测技术的研究D.天津:天津大学博士学位论文,2003,62李志清.基于模式匹配和协议分析的入侵检测系统研究D.广州:广东工业大学学位论文,2007,43袁荣亮.基于入侵检测系统的多模匹配算法的研究D.西安:西安科技大学硕士学位论文,2008,44刘庆俞,叶震,尹