基于协议分析的网络入侵检测系统研究

维普资讯 http://www.cqvip.com 基于协议分析的网　摘要传统基于模式匹配的入侵监测系统存在计算量大、准确率低等缺点。该文在协议分析的基础上，提出了基　于协议树结构的新的入侵检测系统。提高了入侵检测系统的检测速度、准确性并减少了系统的漏报和误报。　关键词入侵检测　协议分析协议树模式匹配　随着计算机网络应用的普及，人们对网络的依赖性和系统　安全的脆弱性使得网络安全问题日益成为人们关注的焦点。传统　ＴＣＰ／ＩＰ协议并不是完全符合０ＳＩ（０ｐｅｎ　Ｓｙｓｔｅｍ　Ｉｎｔｅｒｃｏｎｎｅｃｔｉｏｎ）的七层参考模型。它采用４层结构：网络　接口层（ｎｅｔｗｏｒｋ　ｉｎｔｅｒｆａｃｅ）、Ｉｎｔｅｒｎｅｔ层、传输层（ｔｒａｎｓｐｏｒｔ）　和应用层（ａｐｐｌｉｃａｔｉｏｎ），如图ｌ所示。其中，每一层上的协　议分别负责不同的通信功能。下层协议为上层协议的实现提　供服务。只有下层协议的特征得到满足才考虑上层协议的特　征。在ＴＣＰ／ＩＰ协议实现时，上层协议的一些细节可以在下　层协议的实现时得到体现。这种网络协议严格分层的特点为　协议分析的方法提供了依据。　的信息安全技术主要集中在系统自身的加固和防护上，实现的　是静态防御，但对黑客的各种网络攻击手段缺乏主动反应能　力。入侵检测系统（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ，ＩＤＳ）是　一种主动的安全防护技术，它是进行入侵检测的软件与硬件　的组合。在不影响网络性能的前提下，对网络进行警戒、监　控，从计算机网络的若干关键点收集信息，通过分析这些信　息，查看网络中是否有违反安全策略的行为和遭受攻击的迹　象，从而扩展了系统管理员的安全管理能力，提高了信息安　全基础结构的完整性。　明　侍辖　——＾　ｊ　●　●　●　；ＬＪＬ一————【　］　｛厂　＿Ｐ＿　Ｌ，ｒ。＿　。在入侵检测分析技术的发展过程中，出现了基于免疫模　嘲络层　、＿，　［ＣＰ　～叫【Ｐ　叫　［ＧＭＰ　一———一　型的入侵检测模型、利用神经网络构建分类器来提取特征和　分类以及从数据挖掘技术的角度探讨了入侵检测的实现问题　等技术。但是上述方法都是采用传统的模式匹配方法，而且　都需要大量或完备的审计数据集才能达到比较理想的检测性　能，因此，计算量大且训练时间较长。协议分析技术则有效　地避免了这些方法中的缺点。协议分析技术结合高速数据捕　获、命令解析等技术来进行入侵检测，提高了入侵检测的速　度和性能。本文提出了一种基于协议分析的入侵检测模型并　阐述了其优越性。　２、　：ｆ　——　。　　ｌｎ　『　侍精缝　图１网络ＴＣＰ／ＩＰ协议层次示意图　协议分析技术的原理及其优点　协议分析技术是几年来发展起来的一种较新的技术，它　充分利用网络协议的高度规则性来快速探测攻击的存在。　协议分析技术能够“读懂”协议，知道在数据包的什么位　置能够得到什么内容，并且能判断出这些内容的真实含义。　例如，假如攻击者发出如下请求：　一　基于协议分析的检测方法　ｈｔｔｐ：／／受害者机器的ＩＰ地址或域名／．．％Ｃ１％９Ｃ．．／　ｗｉｎｎｔ／ｓｙｓｔｅｍ３２／ｃｍｄ．ｅｘｅ并产生数据包。　（１）根据以太网协议规则，在第１３个字节处开始的２　个字节是ＴＣＰ／ＩＰ协议族的第二层协议类型标志。其值为　协议分析的检测方法是根据网络数据报封装结构的有序　性，快速检测出各层协议中可能的攻击特征。　１、网络ＴＣＰ／ＩＰ协议层次　“０８００”；由此可知可以太网帧数据区域中携带的协议是ＩＰ　维普资讯 http://www.cqvip.com ．Ｊ：ｏ０∽．Ｊ０　：ｃＩＬｕｏｏ　．Ｊｏ，ｖ　０Ｚ　㈠学术．技术　实用技术　协议。　（２）根据ＩＰ协议结构可知，从第２４字节处开始那个　字节是传输层的协议类型标志。其值为“０６”，可见ＩＰ帧中　数据区域携带的协议为ＴＣＰ协议。　（３）根据ＴＣＰ协议的结构可知，在第３７字节处开始的　２个字节是应用层协议标志，即“端口号”。其值为“００５０”，　转为十进制为８０，而根据端口号８０可知是ＨＴＴＰ访问。　（４）同样根据协议知识，可以直接到数据区域第５５个　字节处读取ＵＲＬ，并还原为：ＧＥＴ／．．％Ｃ１％９Ｃ．．／ｗｉｎｎｔ／　ｓｙｓｔｅｍ３２／ｃｍｄ．ｅｘｅ。　（５）将获得的此特征值与特征库内容比较，如与特征吻　合，则访问被判断为攻击行为，产生报警，并采取相应措施。　与传统的模式匹配检测技术相比，协议分析技术能够提　高系统的性能，能够探测碎片攻击等基于协议漏洞的攻击，　能够有效地降低误报和漏报率，同时还具有一定的探测未知　攻击的能力。　二、入侵规则描述　在这里我们借鉴Ｓｎｏ　ｒｔ的入侵规则描述方法，将每条规　则分为规则头和规则体选项两部分。禹，妻．　高＋　　规则头是特征的重要组成部分，它定Ｙ－Ｔ规则被触发时　～该做什么，对应哪一种协议以及包括Ｉ言，旨，　Ｐ地址、网络、端口在　内的源和目的信息。透过这些限制，规则需要处理的数据量　可能会有效地减少。规则体（项）则包含了描述数据包中从　包头到内容的所有项。它的作用是在规则头信息的基础上作　进一步地分析，以便能确认复杂的攻击。规则体由若干个被　分号隔开的片段组成，每个片段定义了一个选项和相应的选　项值。　由申　三、构建协议分析结构　网络数据包是一组高度规则的数据，数据包中的字节　符合一套广泛而详尽的规则。根据此原理，我们将所有的　协议构成一个四层次的链表加树的协议树结构，如图２所　示。其中有两个关键结构：ＲｕｌｅＴｒｅｅＮｏｄｅ和ＯｐｔＴｒｅｅＮｏｄｅ　ＲｕｌｅＬｉｓｔＮｏｄｅ节点形成一个链表的结构，其中链表中的每个　节点都含有一个指针指向一颗子树。而一个特定的协议就是　这颗子树的一个节点（ＲｕｌｅＴｒｅｅＮｏｄｅ），其关联子树结构如　图３所示。而树中的每个节点都有一个链表，其中存ｆ￣Ｔａｋ　节点协议的分析算法等信息，形成一个三维的结构。每个协　议的分析利用链表中算法产生的进程队列中的一个进程来实　现，每层的处理都类似，每个都是根据不同协议的多分支结　构　图２　协议树结构图　！　！Ｌ１ｓ　ｌ＿一ＲｕｌｅＦｐＬ　ｓ　ｔ～，　】（规则树节点）　Ｌ—————ｒ　ＯｐｔＴｒｅｅＮｏｄｅ　ｒ　ＯｐｔＴｒｅｅｔ％ｄｅ　’　。’。。。。。。　——————　—’。。一Ｌ———　。。。。。。。。。‘　—————一　ｉ——　——主————一　ＯｐｔＦｐＬｉｓｔ　ＯｕｔｐｕｔＦｐＬｌｓｔ　ｌ　ｉ—］ｒ—ｉ—一　ｒ——ＯｐｔＦｐＬｉｓｔ　ＯｕｔｐｕｔＦｐＬｌｓｔ　ｌ　——————’——一　————　—————一　●　●　图５关联子树结构图　协议树的第一层为ＲｕｌｅＬｉｓｔＮｏｄｅ结构，其数据结构为：　Ｔｙｐｅｄｅｆ　ｓｔｒｕｃｔＲｕｌｅＬｉｓｔＮｏｄｅ　｛　ＬｉｓｔＨｅａｄ十ＲｕｔｅＬｉｓｔ；　／／指向与该节点关联　的子树的指针　Ｉｎｔ　ｍｏｄｅ￣　／／规则的类型　Ｉｎｔ　ｒｖａｌ　／／值为０表示没有事件　发生，为ｌ表示有事件发生　Ｃｈａｒ十ｎａｍｅ；　Ｓｔｒｕｃｔ～ＲｕｌｅＬｉｓｔＮｏｄｅ十ｎｅｘｔ；　／／指向链表中　的下一个节点　｝ＲｕｌｅＬｉｓｔＮｏｄｅ；　第二层为ＬｉｓｔＨｅａｄ结构，其数据结构为：　Ｔｙｐｅｄｅｆ　ｓｔｒｕｃｔＬｉｓｔＨｅａｄ　｛　ＲｕｌｅＴｒｅｅＮｏｄｅ十ＩｐＬｉｓｔ；　ＲｕｌｅＴｒｅｅＮｏｄｅ十ＴｃｐＬｉｓｔ；　ＲｕｌｅＴｒｅｅＮｏｄｅ十ＵｄｐＬｉｓｔ；　ＲｕｌｅＴｒｅｅＮｏｄｅ十ＩｃｍｐＬｉｓｔ；　｝ＬｉｓｔＨｅａｄ；　其中，每个＊Ｌｉｓｔ指向一个ＲｕｌｅＴｒｅｅＮｏｄｅ构成的子树，　分析数据包时，根据它的协议类型进入相应的子树进行匹配。　第三层为ＲｕｌｅＴｒｅｅＮｏｄｅ结构，其数据结构中包含　ＲｕｌｅＦｐＬｉｓｔ指针，构成一个函数链表，这些函数都是匹配规则　头的地址信息，在进行规则匹配时首先进行规则头的匹配，如　果规则头能够匹配，则进入它下面的子树ＯｐｔＴｒｅｅＮｏｄｅ进　行规则选项匹配。　第四层为ＯｐｔＴｒｅｅＮｏｄｅ结构，由于每条规则包括规则　头和规则体两部分，规则头的匹配在ＲｕｌｅＴｒｅｅＮｏｄｅ结构中　维普资讯 http://www.cqvip.com 实用技术ｌ学术．技术■　完成，考虑到可能有很多规则，其规则头相同，而规则选　项部分不同，可以将它们放到同一个ＲｕｌｅＴｒｅｅＮＯｄｅ下面　的ＯｐｔＴｒｅｅＮｏｄｅ链表，这样每个ＯｐｔＴｒｅｅＮｏｄｅ都代表一　然后再细节地分析攻击行为，采用重组技术，系统可以检测　出利用躲避技术的攻击。尊　条规则，且这些规则的规则头部分只用做一次匹配。每个　ＯｐｔＴｒｅｅＮｏｄｅ有一个ＯｐｔＦｐＬｉｓｔ＊ｏｐｔ＿ｆｕｎｃ链表，该链表的　参考文献　…１　Ｈｅａｄｙ　Ｒ，ｅｔ　ａ１．Ｔｈｅ　Ａｒｃｈｉｔｅｃｔｕｒｅ　ｏｆ　ａ　Ｎｅｔｗｏｒｋ　Ｌｅｖｅｌ　Ｉｎｓｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ：【Ｔｅｃｈｎｉｃａｌ　Ｅｅｐｏｒｔ】．Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｎｅｗ　Ｍｅｘｉｃｏ．　Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ．每个节点存放一个选项匹配的函数。如果ｏｐｔ＿ｆｕｎｃ链表的所　有匹配函数都成立，则说明这条规则选项匹配成功，加上规　则头的匹配，那么整条规则匹配成功。　１　９９０．２８５　２８８．　【２】宋劲松．网络入侵监测．北京：国防工业出版社２００４．９．　通过使用协议分析技术，数据包可以被及时地分析，遗　漏少，降低了漏报率；使用命令解析，可针对各种高层协议，　使特征被理解，分析出攻击串以及各种可能的变体，攻击特　征库中只需要一种特征即可以检测所有可能的变体，提高了　精确性；协议分析的方法也减少了简单匹配模式中大量的误　报，因为它知道每种协议中潜在的攻击行为所在的精确位置，　能够了解每种特征的含义，简化了检测过程；还可以检测分　片攻击和协议验证，如果ＩＰ协议被分片，包首先会被重组，　【３】戴英侠，连一峰等．系统安全与入侵检测．北京：清华大　学出版社，２００２．１４　１　６．　【４】廖俊云．基于协议分析的网络入侵检测系统的研究－ｈ设计　．电子科技大学．　【５】侯方明，李大兴．一种新的基于协议树的入侵监测系统的　设计．山东大学网络信息安全研究所　计算机应用．　［６杨小平，苏静　基于协议分析的入侵检测技术研究．计算　６］机应用研究文章鳊号：１　００１－５６９５（２００４）０２－０１０８－０３．　（上接２２页）　取Ｉ的一半左右时效果最好，取Ｋ＝Ｉ２；阀值Ｔ＝Ｉ．５。　实验结果表明：相比遗传和ＢＰ算法，用遗传模拟退火　算法精度高，迭代步骤少，收敛快，基于遗传模拟退火的神　经网络应用于人脸识别是有效的，能提高识别率。固　实验是采用Ｏ　ＲＬ人脸数据库上的人脸图像进行的，有　４０人，每人有ｌ０张人脸图像。每人取７张图像作为样本进　行训练，３张图像作为测试。共有１２０张测试图像，其中有　１０７张通过了测试，识别率达到了８９．１６％。图２显示了部分　测试结果。图２中打叉的是识别失败的图片。　参考文献　…１何东风，人脸识别的技术研究与实现【Ｄ】，硕士学位论文。　保存地点：广东工业大学，２００４．　［２２］　胡琳，基于小波变换和人工神经网络的ＰＣＡ人脸识别方　法研究【Ｄ】，硕士学位论文。保存地点：苏州大学，２００５．　【３】余永权，神经网络模糊逻辑控制【Ｍ】，电子工业出版社．　１　９９９．　［４　Ｍｏ４］ｇｈａｄｄａｍ　Ｂ，Ｐｅｎｔｌａｎｄ　Ａ．Ｐｒｏｂａｂｉｌｉｓｔｉｃ　ｖｉｓｕａｌ　ｌｅａｒｎｉｎｇ　ｆｏｒ　ｏｂｊｅｃｔ　ｒｅｐｒｅｓｅｎｔａｔｉｏｎ．ＩＥＥＥ　Ｔｒａｎｓ．Ｐａｔｔｅｒｎ　Ａｎａｌｙｓｉｓ　ａｎｄ　Ｍａｃｈｉｎｅ　图２测试结果　Ｉｎｔｅｌｌｉｇｅｎｃｅ，１　９９７，１　９（７），６９６　７１　０．　将同样的样本分别用基于遗传算法和基于ＢＰ算法　的神经网络来识别，以进行比较。结果如表ｌ所示。　表１　测试结果　识别率　８９１６％　［５周明孙树栋，遗传算法原理及应用【５］Ｍ】，国防工业出版　社，２００１．１　８－６４．　［６　侯福均６］吴祈宗，基于遗传算法和模拟退火算法优化神　经网络的铁路营业里程预测，北京理工大学学报，２００４年３　循环代数（次数）　００　如０　如∞　月，第２４卷，第３期：２４７－２５０．　８２　０％　８８　３３％