一種基于網(wǎng)絡(luò)協(xié)議分層過濾的入侵檢測系統(tǒng)研究

鄭乃千

（晉中學(xué)院 后勤集團(tuán)公司，山西 榆次 030600）

一種基于網(wǎng)絡(luò)協(xié)議分層過濾的入侵檢測系統(tǒng)研究

鄭乃千

（晉中學(xué)院 后勤集團(tuán)公司，山西 榆次 030600）

針對當(dāng)前海量互聯(lián)網(wǎng)數(shù)據(jù)和難以負(fù)重的傳統(tǒng)基于模式匹配的入侵檢測系統(tǒng)，利用網(wǎng)絡(luò)協(xié)議的分層特點(diǎn)，設(shè)計(jì)了一種基于協(xié)議分層過濾特征數(shù)據(jù)和模式匹配相結(jié)合的一種入侵檢測系統(tǒng)，極大地提高了入侵檢測系統(tǒng)的工作效率。

協(xié)議分層；過濾；模式匹配；入侵檢測

1 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷豐富，各種網(wǎng)絡(luò)安全事件屢屢發(fā)生，造成的各種損失巨大，網(wǎng)絡(luò)安全正面臨嚴(yán)峻的考驗(yàn)，網(wǎng)絡(luò)安全技術(shù)的要求也越來越高。當(dāng)前主要采用的網(wǎng)絡(luò)安全手段仍然是入侵檢測系統(tǒng)。但是面臨高速的網(wǎng)絡(luò)傳輸系統(tǒng)和海量的傳輸數(shù)據(jù)，傳統(tǒng)的入侵檢測系統(tǒng)已經(jīng)難以負(fù)擔(dān)大流量數(shù)據(jù)的檢測；同時(shí)，傳統(tǒng)的基于模式匹配的入侵檢測系統(tǒng)還會產(chǎn)生大量的漏報(bào)和誤報(bào)情況，入侵檢測方法和技術(shù)需要進(jìn)行提高和改進(jìn)。文章提出了一種基于網(wǎng)絡(luò)協(xié)議過濾的入侵檢測系統(tǒng)，能夠極大地減輕入侵檢測系統(tǒng)的負(fù)擔(dān)，提高入侵檢測系統(tǒng)的效率,降低了誤判率[1]。

2 網(wǎng)絡(luò)協(xié)議分析[2]

2.1 數(shù)據(jù)傳輸模型分析

在網(wǎng)絡(luò)傳輸過程中主要采用TCP/IP協(xié)議進(jìn)行數(shù)據(jù)傳輸，網(wǎng)絡(luò)數(shù)據(jù)嚴(yán)格按照網(wǎng)絡(luò)協(xié)議規(guī)定進(jìn)行傳輸，因此有必要對網(wǎng)絡(luò)協(xié)議進(jìn)行研究。在OSI參考模型中分為七層協(xié)議結(jié)構(gòu)，其中最重要的是下面四層。如圖1所示,每層協(xié)議都負(fù)責(zé)不同的通信功能，其中數(shù)據(jù)鏈路層主要負(fù)責(zé)硬件接口協(xié)議的地址解析，以幀的形式發(fā)送和接收數(shù)據(jù)；網(wǎng)絡(luò)層是整個(gè)TCP/IP協(xié)議的核心，所有網(wǎng)絡(luò)要傳送的數(shù)據(jù)都要轉(zhuǎn)換為網(wǎng)絡(luò)層的IP數(shù)據(jù)報(bào)的形式來傳送，數(shù)據(jù)的類型、應(yīng)用種類、使用方法等信息都在IP數(shù)據(jù)包中有具體的表示，對IP數(shù)據(jù)包的分析成為了協(xié)議分析的重點(diǎn)。

圖1 網(wǎng)絡(luò)協(xié)議分層示意圖

正是由于數(shù)據(jù)在網(wǎng)絡(luò)中傳輸嚴(yán)格遵守TCP/IP協(xié)議的分層規(guī)則，使得利用網(wǎng)絡(luò)協(xié)議分層傳輸信息的特征來設(shè)計(jì)和實(shí)現(xiàn)入侵檢測系統(tǒng)具有了有力依據(jù)。

2.2 數(shù)據(jù)報(bào)、協(xié)議結(jié)構(gòu)分析

圖2 以太幀、ip數(shù)據(jù)報(bào)結(jié)構(gòu)示意圖

由于IP數(shù)據(jù)報(bào)[3]是網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)闹饕问?，同時(shí)IP數(shù)據(jù)報(bào)中具有了數(shù)據(jù)的各種信息，并且與任何傳輸硬件無關(guān)，所以要對數(shù)據(jù)報(bào)的結(jié)構(gòu)做進(jìn)一步分析，圖2為以太幀和IP數(shù)據(jù)報(bào)格式。首先，設(shè)備網(wǎng)卡截獲到數(shù)據(jù)鏈路層傳送的幀格式數(shù)據(jù)。在幀格式中，分析第13、14位字節(jié)：假如這兩位的值為0800，則該包為IP包；假如值為0806，則該包為請求/響應(yīng)包，每個(gè)不同的值對應(yīng)不同的協(xié)議類型包。如被確認(rèn)為IP數(shù)據(jù)報(bào)則采用IP格式進(jìn)行協(xié)議解析。在數(shù)據(jù)幀中去掉幀的首部、源地址、目標(biāo)地址、幀頭、幀尾后即可得到IP數(shù)據(jù)報(bào)。要分析IP數(shù)據(jù)報(bào)首先要看IP數(shù)據(jù)報(bào)的首部。如圖2所示，IP數(shù)據(jù)報(bào)首部是由長度為20字節(jié)的數(shù)據(jù)結(jié)構(gòu)組成，在IP首部的第10個(gè)字節(jié)用來表示下層協(xié)議類型，若其16進(jìn)制值為0x01表示的是ICMP協(xié)議，0x06表示TCP協(xié)議,0x11表示UDP協(xié)議。在這里主要研究的是TCP協(xié)議。要分析TCP協(xié)議首先要從TCP首部分析。TCP首部的第一個(gè)字節(jié)定義了應(yīng)用層協(xié)議標(biāo)識，也就是通常所說的端口號。當(dāng)該字節(jié)的值為80時(shí)代表http協(xié)議，21時(shí)代表FTP協(xié)議，23時(shí)代表telnet協(xié)議。不同的端口代表不同的應(yīng)用協(xié)議，而不同的協(xié)議又規(guī)定有不同的數(shù)據(jù)分析方法。以HTTP 協(xié)議為例。RFC（Request for Comments）規(guī)定：在HTTP協(xié)議中，URL開始的地址是IP數(shù)據(jù)包的第55字節(jié),所以要截取URL來進(jìn)行數(shù)據(jù)解析，然后將解析后得URL與入侵檢測特征庫進(jìn)行匹配，匹配成功則說明有入侵行為。對于不同的端口協(xié)議，需要進(jìn)行不同數(shù)據(jù)的檢測，對于不需要檢測的數(shù)據(jù)可以放過而不去處理。

通過以上對以太幀、數(shù)據(jù)報(bào)結(jié)構(gòu)以及分層協(xié)議的分析可以發(fā)現(xiàn)，我們可以利用協(xié)議的規(guī)則去檢測入侵，對于不同層次的不同協(xié)議，只需要檢測其數(shù)據(jù)的特定部分，而不是檢測所有數(shù)據(jù)，能夠極大地減少數(shù)據(jù)的處理量和處理時(shí)間，減輕IDS的壓力，提高檢測效率。因此提出了以下基于網(wǎng)絡(luò)協(xié)議分層過濾的入侵檢測系統(tǒng)的模型。

圖3 基于分層協(xié)議過濾入侵檢測系統(tǒng)模型

3 基于分層協(xié)議過濾的入侵檢測系統(tǒng)模型

傳統(tǒng)的入侵檢測系統(tǒng)是基于模式匹配算法的，這里提出的入侵檢測系統(tǒng)是在模式匹配基礎(chǔ)之上增加多層協(xié)議過濾模塊，基于不同協(xié)議檢測不同數(shù)據(jù)，過濾掉無關(guān)數(shù)據(jù)，設(shè)計(jì)模型如下圖3所示。整個(gè)入侵檢測模型由以下幾個(gè)模塊組成，分別是：數(shù)據(jù)包捕獲模塊、協(xié)議分層分析模塊、特征數(shù)據(jù)過濾模塊、模式匹配模塊、報(bào)警響應(yīng)模塊。整個(gè)系統(tǒng)的實(shí)現(xiàn)是基于windows環(huán)境下的WinPcap[4]函數(shù)來實(shí)現(xiàn)的，通過編程調(diào)用WinPcap庫函數(shù)來實(shí)現(xiàn)對數(shù)據(jù)包的捕獲、協(xié)議分析、數(shù)據(jù)提取等功能。

（1）網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊。在winpcap函數(shù)庫中主要提供了 pcap_open_live（）和 pcap_loop（pcap_t*p，int cnt，pacp_handle dispatch_handle,u_char*user）兩個(gè)函數(shù)來實(shí)現(xiàn)對數(shù)據(jù)鏈路層網(wǎng)絡(luò)數(shù)據(jù)的捕獲。

（2）協(xié)議分層解析模塊。將捕獲數(shù)據(jù)傳入pkt_data常量，帶入函數(shù) dispatch_handle（u_char*，const pcap_pkthdr*header，conset u_char*pkt_data）中對該數(shù)據(jù)包進(jìn)行過濾，將包中協(xié)議類型字段值為0x0800的數(shù)據(jù)報(bào)過濾出為ip數(shù)據(jù)包。將捕獲為ip數(shù)據(jù)包的數(shù)據(jù)同樣采用 pcap_open_live（）和pcap_loop （pcap_t*p，int cnt，pacp_handle d i spatch_handle，u_char*user）函數(shù)來繼續(xù)進(jìn)行ip包解析，解析出ip首部，然后檢測ip首部中的第十個(gè)字節(jié)中的協(xié)議類型字段，將數(shù)據(jù)包協(xié)議分類、分層，確定協(xié)議類型。

3）過濾特征數(shù)據(jù)模塊。對于不同的協(xié)議類型要檢測的數(shù)據(jù)是不同的，因此要對照協(xié)議規(guī)則庫對ip包特征數(shù)據(jù)的過濾。其中協(xié)議規(guī)則庫的時(shí)采用Request For Comments（RFC）[5]，來進(jìn)行收集整理的。這樣就過濾出需要匹配的特征數(shù)據(jù)，來進(jìn)行入侵檢測的模式匹配。

4）模式匹配模塊。模式匹配模塊采用傳統(tǒng)入侵檢測模式匹配算法進(jìn)行匹配，采用的匹配算法為BM算法[6]，將過濾后的特征數(shù)據(jù)和入侵檢測規(guī)則庫中的數(shù)據(jù)規(guī)則進(jìn)行匹配，以檢測該特征數(shù)據(jù)是否符合某項(xiàng)攻擊特征，假如匹配成功則表示入侵產(chǎn)生，否則放棄。這種匹配方法在目前的入侵檢測系統(tǒng)中都具有，因此采用現(xiàn)成的系統(tǒng)即可實(shí)現(xiàn)，

5）報(bào)警響應(yīng)模塊。對于模式匹配模塊中產(chǎn)生的入侵行為需要有響應(yīng)模塊，通過聲音、燈光等行為進(jìn)行入侵報(bào)警。

4 總結(jié)

針對當(dāng)前海量互聯(lián)網(wǎng)數(shù)據(jù)和難以負(fù)重的傳統(tǒng)基于模式匹配的入侵檢測系統(tǒng)，利用網(wǎng)絡(luò)協(xié)議的分層特點(diǎn)，本文設(shè)計(jì)了一種基于協(xié)議分層過濾特征數(shù)據(jù)和模式匹配相結(jié)合的一種入侵檢測系統(tǒng)，不僅能減少需要匹配的特征數(shù)據(jù)量，減輕模式匹配的負(fù)擔(dān)，同時(shí)也能夠降低模式匹配的誤報(bào)率，極大地提高入侵檢測系統(tǒng)的工作效率。

［1］LEEW.Adatamining frame work for constructing features and models for intrusion detection systems［D］.NewYork:Columbia University，1999.

［2］蔡敏，葉震，徐吉斌.協(xié)議分析技術(shù)在入侵檢測中的應(yīng)用［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2007，17（2）：240-241.

［3］蔡洪民，伍乃騏等；分布式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)［J］.2009，（30）：1238-1239.

［4］劉立峻，熊瑋.基于WinPcap網(wǎng)絡(luò)監(jiān)聽系統(tǒng)的實(shí)現(xiàn)［J］.電腦學(xué)習(xí)，2010，05（56）：56-57.

［5］張強(qiáng)，張治中，基于RFC2544的以太網(wǎng)性能測試軟件設(shè)計(jì)［J］.光通信研究，2010，05（23）：23-26.

［6］楊潔，一種改進(jìn)的BM匹配入侵檢測算法及其應(yīng)用［J］.電腦知識與技術(shù)，2010，22（16）：6198-6200.

Research on an Intrusion Detection System w ith Layered Filtering Based on Network Protocol

ZHENG Nai-qian
（Logistics Group of Jinzhong University，Jingzhong Shanxi 030600）

With the current situation of large amountof data on internet，heavymatching burden of pattern matching based intrusion detection system，with the advantage of the of layered prpperty of the network protocols，an intrusion detection system with layered filtering based on network protocol can be introduced in this paper for improving the overall performance of intrusion detection system.

protocol layering；filtering；patternmatching；intrusion detection

TP393.06

A

1673-2014（2011）02-0027-03

2010—12—20

山西省高?？萍佳芯块_發(fā)項(xiàng)目（200613048）；山西省教育科學(xué)“十一五”規(guī)劃課題（GH-06203）資助。

鄭乃千（1962— ），男，山西榆次人，工程師，主要從事網(wǎng)絡(luò)工程研究。

（責(zé)任編輯 李學(xué)斌）