一种入侵检测系统的设计与实现

一种入侵检测系统的设计与实现0传统攻击检测手段手段更加丰富近年来，网络信息系统的安全性日益严重为了保证网络信息系统的安全性,对未知入侵进行有效防范，目前采用的技术手段主要有网络防火墙和入侵检测系统目前随着网络数据流量的急剧增加,攻击的特征更加复杂,手段更加多样,单方面的异常攻击检测技术或误用入侵检测已经无法应对特别是对于如零日攻击等类型的新一代威胁，传统检测手段需要有一段时间来发现攻击并提供相对应的检测签名，而这段时间攻击者已经造成了实质性损失同时新一代威胁往往使用多态变形等高级逃避技术,无疑使发现攻击所需要的时间大大地增加为解决单一检测技术的不足,本文探讨并设计一种将深度检测技术1基于不同检测技术的入侵检测系统结构基于多种检测技术融合的入侵检测系统以深度检测技术、异常攻击检测技术和误用检测技术为基础,进行全面深度协议分析

1.1误用检测技术

1.

1.1基于用户身份的正常网络访问模型系统中的用户根据各自的工作内容和兴趣爱好都会形成相应的行为习惯，将这些行为习惯反应在日常的网络访问活动中并进行长时间的分析和归纳,根据用户身份，IP地址或地理位置，所参与的网络应用，所执行的操作、时间、频次等参数建立正常网络访问模型当系统检测到网络中出现了异于正常网络访问模型的用户异常行为活动时•，则将其详细的访问信息调出，并进行深入分析,判断是否有攻击行为

1.

1.2高速匹配、匹配特征分析主要检测各类已知攻击,在全盘了解攻击特征后，制作相应的攻击特征过滤器,对网络中传输的数据包进行高速匹配，确保能够准确、快速地检测到此类攻击基于权威的知识库，使用高速、智能模式匹配方法,能够精确识别各种已知类型攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征库，可以在第一时间检测到攻击行为

1.2深度检测技术

1.

2.1智能协议识别技术协议识别和分析技术是新一代网络信息安全系统的核心技术传统的安全系统如防火墙是通过协议端口映射表（或类似技术）等来识别网络报文的协议类型但是新型攻击大都可以在一个任意的、指定的端口上运行,从而逃避安全系统的检测智能协议识别技术,通过动态分析网络报文中所包含的协议特征,并发现其所在协议,然后上传给相应的协议分析引擎进行处理协议识别可以在完全不需要人工参与的情况下，准确、高效地检测出通过Smart Tunnel（智能隧道）或动态端口所实施的恶意程序入侵，并可以发现绑定在任意端口的木马、后门等，对于运用Smart Tunnel技术的软件也能够准确识别和分析

1.

2.2攻击的内部特征深度协议分析一般而言是进行深度包检测（Deep PacketInspection,DPI）相对于普通的报o文分析，深度包检测技术不仅分析IP包的源端口、目的端口、源地址、目的地址、协议类型等内容,更增加了对应用层的检测，可以对各种应用及其内容进行分析识别恶意攻击的内容往往都是隐藏在数据载荷内的，传统检测模式往往只能在攻击发生后进行恶意程序探源,而深度检测虽然耗费比较高，但能及时发现和隔离恶意程序,从而能及时有效地保护内部网络安全深度协议分析以启发式技术、统计学分析、指纹匹配以及异常检测等技术的规则集来决定如何分析数据包检测引擎将数据包中的数据与已知的攻击指纹进行深度匹配对比，以判定该数据传输中是否包含恶意攻击和威胁；同时可以利用已有的统计学数据进行模式匹配,更好地进行威胁识别

2.

2.3协议异常处理协议异常检测是在深度协议分析基础上,通过把任何违反RFC规定的行为作为协议异常来处理,实现威胁检测的目的协议异常检测的作用是检查特定应用程序的执行缺陷（如:应用缓冲区溢出异常），或者违反特定协议规定的异常（如:RFC异常），从而发现拒绝服务攻击、0-day攻击以及未知的溢出等攻击

1.3）网络流量偏离基准异常攻击检测主要对网络流量的统计分析并发现异常流量，即流量异常检测该技术通过学习和调整特定网络环境下的正常流量值,并将某个正常的流量设为基准流量值,来发现偏离基准的异常流量将网络传输的流量数据值与这个基准作比较，当网络流量偏离基准达到一定的程度，产生告警信息流量异常检测可以有效检测出未知的蠕虫快速攻击、分布式拒绝服务攻击DDOS、流氓软件流量攻击和其他0-day攻击

1.4完善征库的阶段系统在以往的经验基础上建立特征库，并借助监测平台分析,提取未知威胁特征,及时补充到特征库中基于攻击的特征库的完善分为3个阶段1收集网络流量数据阶段收集的数据主要为与网络事件相关的动态数据以及从动态数据中总结出来的统计数据2数据处理阶段主要是从中提取有效异常流量,进行特征提取3安全攻击检测阶段对提取出非正常信息进行分类、综合关联分析，检测是否为网络攻击、分析攻击来源,并将新的攻击特征添加到攻击特征库2基于不同检测技术的入侵检测系统的实现本系统主要由流量数据采集、预处理模块、入侵检测模块、特征库模块和控制台模块组成如图2所示

2.1嗅探器控制和执行所有数据的数据传输在入侵检测系统中，首先需要将网络中的数据包进行有效的监听和抓取,并进一步地分析所抓取的数据包,从而进行网络威胁程序检测数据包是从源地址以广播的形式发往目的主机，因此可以通过端口的设置使网卡可以抓取所有经过的原始数据包本系统在交换机镜像口安装嗅探器来获取所有进入内网的数据流量首先创建一个流量过滤规则集,使嗅探器上报特定信任的数据流量，如已知地址发往已知端口的数据等,然后将规则集写入嗅探器,并使得嗅探器进入循环执行状态,不间断地执行数据采集任务该模块由控制台控制数据采集,并将需要检测的流量数据传输到流量还原模块，作下一步处理

2.2片重组及流重组该模块将嗅探器捕获到的数据包进行处理,如IP数据报分片重组及数据流重组,并提取特征量用以特征匹配根据不同的协议类型和基本网络信息，该模块提取不同的特征信息,并将提取结果送入特征匹配检测模块进行下一步的处理

2.

2.1ip数据报重组当IP有效负载分为多片时,需要对分片进行重组获取负载内容重组IP需要获取每一个分片的报头，并分析分片报头的5个关键字段:标识符字段、不分片标志DF、更多分片标志MF、分片偏移量和总长度字段重组过程如下1根据抓取的IP数据报中包含的标识符字段、DF和MF来判断该数据报是否为分片;2检查并删除超时IP数据报的二级分片树,记录不完整的IP数据报,查找满足该数据报的源地址、目的地址条件的树节点，并返回所对应分组树的Frag Tracker结构变量；3检查分片是否都已到达，利用二叉树遍历二级分片树的每一个节点,检查更多分片标志，如果为0,表明分片数据已全部到达；4将所有已经到达分片进行重组,利用二叉树的遍历算法，将当前节点中的数据复制到重组缓冲区进行数据重组,若重组后的数据长度超过65536,则产生告警信息，同时停止重组并丢弃该数据包

2.

2.2tcp模式数据的处理为了完成有效数据确认和有效数据还原，需要对TCP数据流进行重组操作在确认数据有效之前,可以将其放入缓存区，直到检测到相应的确认为止如果数据长度超过规定的阈值,则对数据进行规则检测，如果检测到数据中有换行符,则检测换行符之前的数据TCP数据流重组算法采用主从二级二叉树的构架,其中主二叉树的每个节点都指向Session类型的数据结构首先接收到三次握手的SYN、SYN+ACK和ACK报文段时，根据该报文的源/目的IP地址、端口号来标记一个数据流连接，分配一个Session数据结构，并设置初始序列号、最小时钟等然后根据接收到的数据报文段源/目的IP地址、端口号找到对应的TCP连接，并把该报文所载的数据存放在正确的数据流缓冲区中当数据流缓冲区中的数据量达到一定值时，将数据递交上一层分析程序如果接收到关闭阶段的FIN报文段等,则向上一层的分析程序递交报告，并将TCP连接数据结构收回

2.3侵权检测规则集本系统在传统单一检测技术的基础上,结合深度检测技术,并引入协议分析的方法将入侵检测的规则库按照底层协议分析IP,TCP,UDP,ICMP等和应用层协议分析FTP,SMTP,HTTP等划分规则集将协议作规则集划分,可以大大缩小需要进行匹配的检测规则集范围，从而提高入侵检测的处理速度

2.

3.1ip数据传输底层协议分析主要包括网际协议IP数据报头分析•、传输控制协议TCP数据报头分析、用户数据报协议UDP数据报头分析和ICMP数据报头分析IP是TCP/IP中最核心的协议，所有的TCP,UDP,IC-MP及IGMP数据都以IP数据报的格式传输,所以对IP数据报头进行分析是入侵检测系统的重要内容TCP协议提供可靠的端对端连接和面向数据流的服务其连接过程分为3个部分，即连接建立、传输数据和连接终止当连接建立并处于激活状态时,TCP便可以产生和发送分组数据当数据传输完成时，连接双方将各自的连接关闭TCP还具有流控制、同步及复用等功能TCP数据段包含一个最多4个字节的头选项和20字节的头部UDP提供无连接的数据传输服务采用UDP协议进行数据传输的时候，无需预先建立连接,也无需确认重传;这样传输过程大大简化，但不能保证目的地一定能收到数据报文ICMP主要用来传递IP主机、路由器之间的差错报文以及其他控制消息ICMP被封装在IP数据报内，虽然不传输用户数据，但数据报包含重要信息,所以本系统主要提取ICMP报文的字段特别是首字段之后的字节进行分析

2.

3.2基于时域的攻击检测FTP协议、HTTP协议、SMTP协议等是互联网上应用比较广泛的几种应用层协议，这些协议也可能包含丰富的攻击内容或者攻击者身份的信息,所以在对数据包进行协议分析时,也要对应用层的协议进行详细分析,具体分析流程如图3所示系统首先解析TCP数据包,得到应用层的协议类型，当该数据包采用的是HTTP协议,则调用CheckHTTP函数,检测该协议中是否包含攻击的特征,如果包含,过滤该数据包,并向系统上传告警信息当该数据包采用的是FTP协议，系统调用Check FTP函数，检查攻击者是否在FTP留下相关信息,如果包含,则过滤该数据包,并向系统上传告警信息当该数据包采用的是SMTP协议,系统调用Check SMTP函数,检查是否需要过滤该数据包及向系统上传告警信息系统内置了较为常见的应用层协议类型检测函数Check FTP等，一旦发现该协议中包含攻击特征或攻击者信息,立刻过滤该数据包,并上传告警信息

2.4改进特征库存储策略特征库模块把原始数据信息特征、检测分析后提取的匹配规则等存储起来，以便用特征匹配算法发现相同或相似的攻击行为由于网络中威胁程序的数量庞大且更新速度快,威胁程序的数据包协议类型多，不同威胁程序的数据报协议特征一般不相同等导致了特征库的数量庞大，因此需要改进特征库的存储策略和规则匹配规则存储策略方面，本系统按照需要匹配策略的重要程度将特征库分为原始特征库和精简特征库2个部分其中，原始特征库用来存放所有已知的攻击特征和协议匹配规则，但是只有在发现疑似威胁的时候才进行匹配,而精简数据库用来存放威胁程序数据包的关键信息，用以最优化发现疑似攻击在匹配规则方面,本系统为每个协议创建一个包含该协议所有需要检测内容的规则描述文件,并按照最优化检测成本的原则按顺序放置在内存中算法进行匹配时,首先匹配最优化成本原则的规则,若发现疑似攻击特征时,再进行深度规则匹配

2.5威胁冲突提取控制台模块包括管理员模块、存储模块和响应模块，实现用户管理、配置参数、事件分析、日志查看等功能控制台模块控制每个嗅探器的连接和执行任务，监视内存、处理器、硬盘等使用情况，并显示每个嗅探器所抓取的数据包信息,包括数据包IP地址、大小及系统实时分析得到的安全状况报告系统对数据包进行综合检测之后,对于包含有威胁程序的数据包,产生一份详细的报告，包括时间、源地址、目的地址、威胁级别、攻击类型等控制台模块还将接收的整个入侵检测系统所产生的告警信息写入威胁、日志数据库中，管理员可以调用数据库内容进行日志管理和一段时间的威胁情况分析等当检测到新的疑似威胁但是无法识别时,控制台会通知管理员及时处理,并向管理员展示该威胁程序的数据还原信息和相关信息整理,待管理员分析确认后，提取该威胁程序的相关协议中包含的特征信息,并加入特征库3融合的入侵检测系统旁路本实验针对国家电网部门的内网系统进行测试,将多种检测技术融合的入侵检测系统旁路部署,通过在交换机配置镜像口，镜像采集内网的双向流量,交换机镜像口和入侵检测系统的工作口连接，从而使入侵检测系统获取与现网流量相同的网络流量信息

3.1安全获取包长与包长度的分析本测试方法为在内网客户端下载有威胁程序的文件首先下载一个PDF文件,旁路在交换机镜像口的系统检测到的结果如图4所示实验后续对100个样本文件进行传输实验,其中50个携带威胁程序得到的结果如图5所示图5表明融合多种检测技术的入侵检测系统能弥补传统单一检测方式的不足,提高了威胁程序的检出率

3.2恶意行为检测融合深度检测技术、异常攻击检测技术、误用检测技术的入侵检测系统，通过协议分析跟踪、特征匹配、流量统计分析、时间关联分析等分析检测，为各种正常特征或行为建立一组基准,根据基准对非基准的行为进行判定,识别是否为恶意行为表1阐述了黑客的攻击步骤和检测方法,如黑客为了获取目标主机操作系统信息,进而发现系统漏洞,会进行端口扫描,检测系统采取异常检测的方法,对IP地址、端口连接进行检测,从而获取攻击信息；在写入恶意程序阶段,采用深度协议分析,对所传输的数据载荷与已知攻击特征进行深度匹配,从而判别是否含有恶意程序4内部安全威胁入侵检测是一个学术界和工业界的热门课题为解决当前单一检测技术的不足,本文提出的基于深度检测技术、异常攻击检测技术、误用检测技术相结合的入侵检测系统为内部网络提供有效的保护实验结果表明，采用多种检测方法与单一的检测相比,整体的检测效率得到了很大的提高,不同的检测技术相互补充,能为网络信息系统提供多层次立体的入侵防护。