您的当前位置:首页正文

基于协议分析的网络入侵检测系统研究

2021-04-21 来源:布克知识网
维普资讯 http://www.cqvip.com 基于协议分析的网 摘要传统基于模式匹配的入侵监测系统存在计算量大、准确率低等缺点。该文在协议分析的基础上,提出了基 于协议树结构的新的入侵检测系统。提高了入侵检测系统的检测速度、准确性并减少了系统的漏报和误报。 关键词入侵检测 协议分析协议树模式匹配 随着计算机网络应用的普及,人们对网络的依赖性和系统 安全的脆弱性使得网络安全问题日益成为人们关注的焦点。传统 TCP/IP协议并不是完全符合0SI(0pen System Interconnection)的七层参考模型。它采用4层结构:网络 接口层(network interface)、Internet层、传输层(transport) 和应用层(application),如图l所示。其中,每一层上的协 议分别负责不同的通信功能。下层协议为上层协议的实现提 供服务。只有下层协议的特征得到满足才考虑上层协议的特 征。在TCP/IP协议实现时,上层协议的一些细节可以在下 层协议的实现时得到体现。这种网络协议严格分层的特点为 协议分析的方法提供了依据。 的信息安全技术主要集中在系统自身的加固和防护上,实现的 是静态防御,但对黑客的各种网络攻击手段缺乏主动反应能 力。入侵检测系统(Intrusion Detection System,IDS)是 一种主动的安全防护技术,它是进行入侵检测的软件与硬件 的组合。在不影响网络性能的前提下,对网络进行警戒、监 控,从计算机网络的若干关键点收集信息,通过分析这些信 息,查看网络中是否有违反安全策略的行为和遭受攻击的迹 象,从而扩展了系统管理员的安全管理能力,提高了信息安 全基础结构的完整性。 明 侍辖 ——^ j ● ● ● ;LJL一————【 ] {厂 _P_ L,r。_ 。在入侵检测分析技术的发展过程中,出现了基于免疫模 嘲络层 、_, [CP ~叫【P 叫 [GMP 一———一 型的入侵检测模型、利用神经网络构建分类器来提取特征和 分类以及从数据挖掘技术的角度探讨了入侵检测的实现问题 等技术。但是上述方法都是采用传统的模式匹配方法,而且 都需要大量或完备的审计数据集才能达到比较理想的检测性 能,因此,计算量大且训练时间较长。协议分析技术则有效 地避免了这些方法中的缺点。协议分析技术结合高速数据捕 获、命令解析等技术来进行入侵检测,提高了入侵检测的速 度和性能。本文提出了一种基于协议分析的入侵检测模型并 阐述了其优越性。 2、 :f —— 。  ln 『 侍精缝 图1网络TCP/IP协议层次示意图 协议分析技术的原理及其优点 协议分析技术是几年来发展起来的一种较新的技术,它 充分利用网络协议的高度规则性来快速探测攻击的存在。 协议分析技术能够“读懂”协议,知道在数据包的什么位 置能够得到什么内容,并且能判断出这些内容的真实含义。 例如,假如攻击者发出如下请求: 一 基于协议分析的检测方法 http://受害者机器的IP地址或域名/..%C1%9C../ winnt/system32/cmd.exe并产生数据包。 (1)根据以太网协议规则,在第13个字节处开始的2 个字节是TCP/IP协议族的第二层协议类型标志。其值为 协议分析的检测方法是根据网络数据报封装结构的有序 性,快速检测出各层协议中可能的攻击特征。 1、网络TCP/IP协议层次 “0800”;由此可知可以太网帧数据区域中携带的协议是IP 维普资讯 http://www.cqvip.com .J:o0∽.J0 :cILuoo .Jo,v 0Z ㈠学术.技术 实用技术 协议。 (2)根据IP协议结构可知,从第24字节处开始那个 字节是传输层的协议类型标志。其值为“06”,可见IP帧中 数据区域携带的协议为TCP协议。 (3)根据TCP协议的结构可知,在第37字节处开始的 2个字节是应用层协议标志,即“端口号”。其值为“0050”, 转为十进制为80,而根据端口号80可知是HTTP访问。 (4)同样根据协议知识,可以直接到数据区域第55个 字节处读取URL,并还原为:GET/..%C1%9C../winnt/ system32/cmd.exe。 (5)将获得的此特征值与特征库内容比较,如与特征吻 合,则访问被判断为攻击行为,产生报警,并采取相应措施。 与传统的模式匹配检测技术相比,协议分析技术能够提 高系统的性能,能够探测碎片攻击等基于协议漏洞的攻击, 能够有效地降低误报和漏报率,同时还具有一定的探测未知 攻击的能力。 二、入侵规则描述 在这里我们借鉴Sno rt的入侵规则描述方法,将每条规 则分为规则头和规则体选项两部分。禹,妻. 高+  规则头是特征的重要组成部分,它定Y-T规则被触发时 ~该做什么,对应哪一种协议以及包括I言,旨, P地址、网络、端口在 内的源和目的信息。透过这些限制,规则需要处理的数据量 可能会有效地减少。规则体(项)则包含了描述数据包中从 包头到内容的所有项。它的作用是在规则头信息的基础上作 进一步地分析,以便能确认复杂的攻击。规则体由若干个被 分号隔开的片段组成,每个片段定义了一个选项和相应的选 项值。 由申 三、构建协议分析结构 网络数据包是一组高度规则的数据,数据包中的字节 符合一套广泛而详尽的规则。根据此原理,我们将所有的 协议构成一个四层次的链表加树的协议树结构,如图2所 示。其中有两个关键结构:RuleTreeNode和OptTreeNode RuleListNode节点形成一个链表的结构,其中链表中的每个 节点都含有一个指针指向一颗子树。而一个特定的协议就是 这颗子树的一个节点(RuleTreeNode),其关联子树结构如 图3所示。而树中的每个节点都有一个链表,其中存f ̄Tak 节点协议的分析算法等信息,形成一个三维的结构。每个协 议的分析利用链表中算法产生的进程队列中的一个进程来实 现,每层的处理都类似,每个都是根据不同协议的多分支结 构 图2 协议树结构图 ! !L1s l_一RuleFpL s t~, 】(规则树节点) L—————r OptTreeNode r OptTreet%de ’ 。’。。。。。。 —————— —’。。一L——— 。。。。。。。。。‘ —————一 i—— ——主————一 OptFpList OutputFpLlst l i—]r—i—一 r——OptFpList OutputFpLlst l ——————’——一 ———— —————一 ● ● 图5关联子树结构图 协议树的第一层为RuleListNode结构,其数据结构为: Typedef structRuleListNode { ListHead十RuteList; //指向与该节点关联 的子树的指针 Int mode ̄ //规则的类型 Int rval //值为0表示没有事件 发生,为l表示有事件发生 Char十name; Struct~RuleListNode十next; //指向链表中 的下一个节点 }RuleListNode; 第二层为ListHead结构,其数据结构为: Typedef structListHead { RuleTreeNode十IpList; RuleTreeNode十TcpList; RuleTreeNode十UdpList; RuleTreeNode十IcmpList; }ListHead; 其中,每个*List指向一个RuleTreeNode构成的子树, 分析数据包时,根据它的协议类型进入相应的子树进行匹配。 第三层为RuleTreeNode结构,其数据结构中包含 RuleFpList指针,构成一个函数链表,这些函数都是匹配规则 头的地址信息,在进行规则匹配时首先进行规则头的匹配,如 果规则头能够匹配,则进入它下面的子树OptTreeNode进 行规则选项匹配。 第四层为OptTreeNode结构,由于每条规则包括规则 头和规则体两部分,规则头的匹配在RuleTreeNode结构中 维普资讯 http://www.cqvip.com 实用技术l学术.技术■ 完成,考虑到可能有很多规则,其规则头相同,而规则选 项部分不同,可以将它们放到同一个RuleTreeNOde下面 的OptTreeNode链表,这样每个OptTreeNode都代表一 然后再细节地分析攻击行为,采用重组技术,系统可以检测 出利用躲避技术的攻击。尊 条规则,且这些规则的规则头部分只用做一次匹配。每个 OptTreeNode有一个OptFpList*opt_func链表,该链表的 参考文献 …1 Heady R,et a1.The Architecture of a Network Level Instrusion Detection System:【Technical Eeport】.University of New Mexico. Department of Computer Science.每个节点存放一个选项匹配的函数。如果opt_func链表的所 有匹配函数都成立,则说明这条规则选项匹配成功,加上规 则头的匹配,那么整条规则匹配成功。 1 990.285 288. 【2】宋劲松.网络入侵监测.北京:国防工业出版社2004.9. 通过使用协议分析技术,数据包可以被及时地分析,遗 漏少,降低了漏报率;使用命令解析,可针对各种高层协议, 使特征被理解,分析出攻击串以及各种可能的变体,攻击特 征库中只需要一种特征即可以检测所有可能的变体,提高了 精确性;协议分析的方法也减少了简单匹配模式中大量的误 报,因为它知道每种协议中潜在的攻击行为所在的精确位置, 能够了解每种特征的含义,简化了检测过程;还可以检测分 片攻击和协议验证,如果IP协议被分片,包首先会被重组, 【3】戴英侠,连一峰等.系统安全与入侵检测.北京:清华大 学出版社,2002.14 1 6. 【4】廖俊云.基于协议分析的网络入侵检测系统的研究-h设计 .电子科技大学. 【5】侯方明,李大兴.一种新的基于协议树的入侵监测系统的 设计.山东大学网络信息安全研究所 计算机应用. [6杨小平,苏静 基于协议分析的入侵检测技术研究.计算 6]机应用研究文章鳊号:1 001-5695(2004)02-0108-03. (上接22页) 取I的一半左右时效果最好,取K=I2;阀值T=I.5。 实验结果表明:相比遗传和BP算法,用遗传模拟退火 算法精度高,迭代步骤少,收敛快,基于遗传模拟退火的神 经网络应用于人脸识别是有效的,能提高识别率。固 实验是采用O RL人脸数据库上的人脸图像进行的,有 40人,每人有l0张人脸图像。每人取7张图像作为样本进 行训练,3张图像作为测试。共有120张测试图像,其中有 107张通过了测试,识别率达到了89.16%。图2显示了部分 测试结果。图2中打叉的是识别失败的图片。 参考文献 …1何东风,人脸识别的技术研究与实现【D】,硕士学位论文。 保存地点:广东工业大学,2004. [22] 胡琳,基于小波变换和人工神经网络的PCA人脸识别方 法研究【D】,硕士学位论文。保存地点:苏州大学,2005. 【3】余永权,神经网络模糊逻辑控制【M】,电子工业出版社. 1 999. [4 Mo4]ghaddam B,Pentland A.Probabilistic visual learning for object representation.IEEE Trans.Pattern Analysis and Machine 图2测试结果 Intelligence,1 997,1 9(7),696 71 0. 将同样的样本分别用基于遗传算法和基于BP算法 的神经网络来识别,以进行比较。结果如表l所示。 表1 测试结果 识别率 8916% [5周明孙树栋,遗传算法原理及应用【5]M】,国防工业出版 社,2001.1 8-64. [6 侯福均6]吴祈宗,基于遗传算法和模拟退火算法优化神 经网络的铁路营业里程预测,北京理工大学学报,2004年3 循环代数(次数) 00 如0 如∞ 月,第24卷,第3期:247-250. 82 0% 88 33% 

因篇幅问题不能全部显示,请点此查看更多更全内容

Top