基于簽名的網絡安全入侵檢測技術研究

劉玉娜

（唐山港信科技發(fā)展有限公司， 河北 唐山 063000）

引言

隨著通信的擴展，交換的數據和信息引發(fā)的安全性的問題已經得到了研究人員的廣泛關注。為此提出了各種方法，最重要的方法之一是入侵檢測系統(tǒng)。這些方法最大的弱點是，它們無法檢測到網絡內的入侵和攻擊。為了消除這一弱點，人們提出了可以檢測內部和外部攻擊和入侵的入侵檢測系統(tǒng)。這些系統(tǒng)監(jiān)控入站網絡流量，以檢測用戶的任何異常行為或濫用。

入侵檢測系統(tǒng)可以通過簽名識別方式檢測入侵，使用網絡中授權用戶和黑客執(zhí)行的操作和交易歷史相關的數據，創(chuàng)建正常行為和異常行為的模式。通過將這些模式或簽名與現有用戶的行為模式相匹配，可以從授權用戶中識別未授權用戶或黑客。該方法最重要的缺點是，如果用戶的簽名或模式是新的，并且以前數據庫中沒有類似的模式或簽名，則無法確定它是已授權的用戶還是未經授權的用戶。

Liu Hua Yeo[1]提供了不同類型的入侵檢測系統(tǒng)的概述，提出了如何分類以及用于識別在入侵檢測系統(tǒng)中操作的異?；顒拥牟煌惴?。研究的主要重點是基于異常和基于簽名的入侵檢測系統(tǒng)，研究人員比較了不同的滲透技術方法，并描述了不同的方法和IDSs在信息安全中的重要性。Singh[2]提出了一種混合IDS，由包頭異常檢測（PH AD）和網絡流量異常檢測（NETAD）創(chuàng)建，名為混合IDSSnort，是一個基于異常檢測的系統(tǒng)。提出的混合入侵檢測系統(tǒng)使用麻省理工學院林肯實驗室存儲庫中提供的DARPA 入侵檢測評估數據集進行了模擬，評估結果表明，該系統(tǒng)在識別因造成異常和濫用而造成的入侵方面具有高效率[3]。

1 入侵檢測系統(tǒng)的解決方案

本文給出了網絡安全抵御各種類型攻擊的解決方案，在這些攻擊中，會考慮web 應用程序、操作系統(tǒng)漏洞或任何軟件漏洞、結構化查詢語言（SQL）注入攻擊、跨站點腳本（XSS）攻擊、中斷的身份驗證以及惡意軟件攻擊，大多都集中在這里。FreeBSD 12 Unix 操作系統(tǒng)被用作網關或防火墻，Suricata 被用作IDS/IPS。使用兩種類型的機器學習方法來創(chuàng)建Suricata 簽名，以阻止目標網絡上的惡意流量[4]。本文對基于元啟發(fā)式的特征選擇、神經網絡和基于異常的檢測，采用了模糊邏輯。最新穩(wěn)定的KaliLinux2020.3 版本被用作Web 應用程序和不同類型的操作系統(tǒng)的攻擊系統(tǒng)。在這些客戶端系統(tǒng)中，正在使用Windows10/7 和Ubuntu20.04。為了訪問web 應用程序，使用了Chrome、火狐和邊緣瀏覽器，實驗環(huán)境部署在VirtualBox 中。網絡安全組織的基本概述見圖1。

在提出的解決方案中，Suricata IDS/IPS 與NN 模型一起部署，用于元啟發(fā)式手動檢測目標網絡中的惡意流量，IDS/IPS 內部工作流程如下頁圖2 所示。利用該方法檢測惡意流量，識別了不同攻擊。NN 模型是廣泛使用的方法之一，在解決各種復雜的元啟發(fā)式簡化算法方面時卓有成效，因為它依賴于一個直接的開始，不難識別，其次，它不需要確切的信息，第三，它有能力避免鄰域最優(yōu)[5]。第四，它可以被廣泛地用于涉及對比學科的問題。基于ANN 的入侵檢測存在兩個方面的問題：一是揭露精度較低，特別是對于低訪問攻擊，例如客戶端到根的距離較遠，二是識別穩(wěn)定性更脆弱。

模糊邏輯用于檢測基于異常的攻擊，對帶有附件文件或未知協(xié)議的流量，進行基于模糊邏輯的流量異常檢測處理。與Web 應用、操作系統(tǒng)（OS）和任何移動應用相關的各種類型攻擊的簽名模式，將在NN 模型中進行訓練。在處理來自NN 方法的訓練數據之后，將創(chuàng)建各種類型的惡意流量，如SQL 注入攻擊、XSS攻擊、中斷規(guī)則集的身份驗證、不安全流量、操作系統(tǒng)以及移動應用程序的任何已知的漏洞。NN 模型的輸出將被輸入到Suricata IDS/IPS，以防止對目標網絡的攻擊，為了提高該解決方案的有效性能，本方案使用了開源的黑名單互聯(lián)網協(xié)議（IP）地址源[6]。黑名單IP地址源以每4 小時的頻率更新這些IP 地址，并存儲在數據庫中。

2 實現與結果

Metasploit 工具已用于開發(fā)Windows10 客戶端，本文的主要目標是利用簡單消息塊（SM B）CVE-2018-0749 漏洞。CVE 和SMB 用于研究Windows 客戶端系統(tǒng)的常見漏洞，目標系統(tǒng)安裝在虛擬環(huán)境中，以避免傷害任何真實的客戶端。對目標系統(tǒng)的攻擊啟動如圖3 所示，攻擊由于部署的防火墻作為安全功能，同時使用機器學習方法生成Suricata 簽名，因此攻擊失敗[7]。

本文的核心工作是實現可靠的IDS/IPS，以實現任何組織網絡的安全。本文的新穎之處在于，它被部署在FreeBSD12.1 上，這是防火墻中最好的Unix 操作系統(tǒng)，它本身具有最好的數據包過濾器（PF）防火墻功能。PF 將用于網絡級過濾惡意流量，利用該元啟發(fā)式神經網絡方法生成了已知的攻擊特征。在這種方法中，有關Web 應用程序和操作系統(tǒng)攻擊的數據將被訓練到NN 中進行簽名，并且這些數據將被輸入到Suricata 中。其次，將模糊邏輯用于網絡上的匿名流量。在此過程中，模糊邏輯系統(tǒng)將對未知攻擊或任何附件進行分析。經分析，該系統(tǒng)將決定流量是惡意的還是合法[8]。如果是惡意的，則將生成IDS/IPS 的簽名，以保護目標組織的客戶端。如圖4 所示，惡意類型的數據以下劃線突出顯示。

混淆矩陣被稱為統(tǒng)計數據分析的誤差矩陣，混合推理系統(tǒng)被用于Suricata 入侵檢測系統(tǒng)，或用于入侵預防系統(tǒng)的簽名生成和基于異常的流量分析。在本地開發(fā)的實驗室中已經啟動了各種類型的攻擊，如SQLi、XSS、開發(fā)Windows 操作系統(tǒng)漏洞和對目標網絡的分布式拒絕服務（DDoS）攻擊，所提出的系統(tǒng)可以防止目標網絡的攻擊[9]。對于評估結果，使用了表1中定義的混淆矩陣。

表1 IDS 混合推理系統(tǒng)的混淆矩陣

準確率計算公式為：

其中：TP是指“真陽性”（True Positives）；FP是指“假陽性”（Positives），FN是指“假陰性”（Negatives）。

總體精確度可以達到96.11%，由于Suricata IDS/IPS 檢測到的網絡流量的假陽性率，在一些攻擊情況下，系統(tǒng)準確率未達到96.11%。作為該方案的結果，對目標網絡的檢測或預防具有良好的總體精度。該算法的運行時間在該系統(tǒng)的預期響應范圍內。對于大數據集，該系統(tǒng)可能會面臨延遲，但它可以在未來進行優(yōu)化，以在要求的時間限制內提高響應時間[10]。

3 結語

文中提出了一種新的部署Suricata IDS/IPS 的方法，利用NN 模型幫助元啟發(fā)式檢測目標網絡中的惡意流量。在所提出的解決方案中，具有附件文件或未知協(xié)議的流量將由基于檢測為異常流量的模糊邏輯進行處理。為了使用機器學習方法實現IDS/IPS，部署了一個虛擬環(huán)境。結果表明，本文提出的方法可以檢測到Web 應用程序登錄時的不同類型的攻擊（包括這些攻擊、SM B 攻擊、SQL 注入攻擊、XSS 和暴力破解）。當在特定數據集上進行實驗時，方案的總體精度約為96.11%，數據可用性和支持本研究結果的模擬數據。