多网络环境下的差异化入侵特征检测平台的设计与实现

周小松 刘帅
摘 要: 传统的网络入侵特征检测方法,检测准确性低。因此,设计并实现基于Libnids分布式入侵检测系统,该系统将多网络环境分割为不同逻辑区域,各逻辑区域包含不同的分析节点,各分析节点由数据探测部件、分析检测部件和管理控制部件组成。在系统实现方面,利用WinPcap函数库完成数据包的采集,依据采集的数据包,通过WM模式匹配算法和协议分析匹配检测模型,进行差异化入侵特征的检测。实验结果表明,该系统具有较高的检测率、较低的虚警率和漏报率。
关键词: 多网络; 差异化入侵特征; WinPcap函数库; 检测平台
中图分类号: TN711?34; TP393 文献标识码: A 文章编号: 1004?373X(2017)10?0149?04
Abstract: Since the traditional network intrusion feature detection method has low detection accuracy, a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes, and each node is composed of the data detection unit, analysis and detection unit, and management control unit. The WinPcap function library is used to acquire the data package, according to which, the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate, low false alarm rate and low missing report rate.
Keywords: multi?network; differentiation intrusion feature; WinPcap function library; detection platform
0 引 言
随着互联网技术的快速发展,网络攻击问题也逐渐增加,而当前多网络技术也成为快速发展的趋势,多网络技术广泛应用于不同的领域。因此,为了确保网络信息系统的安全,寻求有效的多网络入侵特征检测方法,具有重要的应用意义[1?3]。传统的网络入侵特征检测方法,仅分析了不同网络层间的点对点数据检测过程,未分析多网络环境下各应用层间的差异性较大产生的分类属性差异模糊的问题,导致网络入侵特征检测准确性降低[4?6]。
1 基于Libnids分布式入侵检测系统的研究
1.1 系统总体逻辑结构设计
本文采用具有開放性的可用于网络入侵检测开发的专业编程接口Libnids(Library Network Intrusion Detection System),在Windows 操作系统平台下设计了分布式网络入侵检测平台。通过网络安全开发包Libnids提供的编程接口,可设计出结构化强的分布式网络入侵检测系统,实现多网络环境下的差异化入侵特征检测,其逻辑结构如图1所示。
将总体、入侵检测系统分割成三个不同的逻辑子网,各子网中设置不同的分析节点,各节点由数据探测部件、分析检测部件和管理控制部件构成。
1.2 分析节点的逻辑结构设计
设计的入侵检测系统是融合状态检测、入侵分析和检测等功能的,适用于多网络环境的差异化入侵特征的检测系统。采用“分而自治”的思想将总体多网络环境分割成不同区域,将各区域看成不同的分析节点,各节点中有一个管理控制部件、多个数据探测部件和多个分析检测部件。数据探测部件采集网络数据包,过滤其中的无价值数据,采集有价值数据,同时反馈给相应的分析检测部件。
分析检测部件对数据探测部件反馈的数据进行模式匹配以及协议研究,明确是否存在差异化入侵特征将结果反馈给管理控制部件进行存储。管理控制部件同其他分析节点进行信息的沟通,采用图像界面显示出数据包信息和差异化入侵特征信息。各分析结点的逻辑结构如图2所示。
2 基于Libnids分布式入侵检测系统的功能实现
2.1 数据探测部件利用WinPcap实现数据包的采集
数据探测部件是总体系统的基础,其由数据包采集模块和过滤器模块构成,采集多网络环境中的差异化网络数据包,并删除其中的无价值数据,将有价值数据反馈给所属的分析检测部件。设计的数据探测部件在Windows平台下利用WinPcap函数库实现了数据包的监测和采集,并进行初步过滤,为网络差异化入侵特征的检测提供基础。
多网络环境能够分割成不同的区域,各区域也就是一个局域网,这些局域网间采用广播信道通信途径进行通信,该通信方法确保多网络环境汇总传递的数据包,可被相同区域中的全部站点接收,并且不同站点的网卡能够实现数据包的发送以及接收。在Windows平台下网络数据包采集程序的结构如图3所示。
采集到的海量数据包中含有较多的不必检测的数据包。为了提高入侵检测分析模块的分析效率,需要采用过滤器模块过滤出制定种类的数据包。过滤器模块调用WinPcap的函数,对HTTP,TCP,UDP,KMP,ARP以及IP数据包进行过滤,完成网络数据包的采集,具体的流程如图4所示。
2.2 分析检测部件的设计和实现
2.2.1 入侵检测分析模块的设计
入侵检测分析模块是系统的关键部分,系统通过协议分析技术和模式匹配技术,对网络数据包进行分析,进而判断多网络环境中是否存在差异化入侵特征,入侵检测分析模块的基本结构如图5所示。
2.2.2 模式匹配算法的选择
WM算法包括预操作和检索两个过程,预操作过程对模式串L进行操作后,形成SHIFT表、HASH表和PREFIX表。其中SHIFT为无价值字符表,可保存文本中全部块字符的移动距离;HASH可保存同匹配窗口中末位块字符散列值一致的模式串;PREFIX表包括同匹配窗口中第一块字符散列值一致的模式串。检索过程采用上述三个表对匹配串T进行遍历分析,完成差异化入侵特征的检测,具体的实现流程如图6所示。
2.2.3 分析匹配检测基本流程与实现
完成数据包的解析后,需要对网络协议进行分析和匹配检测,具体的流程如图7所示。
通过上述描述的协议分析匹配检测方法,对获取的网络数据包进行检测时,可通过Libnids关联的函数对不同的网络入侵特征进行检测,具体的流程见图8。
2.3 通信模块的设计与实现
连接申请后塑造连接和远程通信接口,完成信息交互。通信模块进行通信的工作流程如图9所示。通过SSL协议完成多网络环境下的信息传递,可确保不同分析节点的通信模块间通信的安全性。
SSL为安全协议,其具备信息加密、数字签到等功能,可依据TCP协议中提供的稳定端到端安全服务,确保客户/服务器应用间通信的安全性。系统要求程序间的通信,在SSL协议进行完数据加密、会话密销的控制后,再进行通信,并且对程序通信传输的数据进行加密,进而提升总体通信的安全性。
3 实验分析
实验采用不同的攻击工具进行相应数量的攻击模拟,分析本文系统的入侵检测系统在多网络环境下的入侵检测效果,并设置在40 Mb/s网络流量下的入侵检测虚警率应小于2%,漏报率小于1.8%。本文系统的测试结果,如表1所示。
分析表1可以看出,本文设计的入侵检测系统的检测率高于95%,并且虚警率以及漏报率都符合设置的规范要求,说明本文系统能够实现多网络环境下的差异化入侵特征的准确检测。实验对基于关联规则的入侵检测系统,在相同的网络环境下,通过相应的攻击工具进行同数量的攻击模拟的检测结果如表2所示。
对比分析表1和表2 可以看出,本文系统的入侵检测率高于关联规则方法,并且本文系统的虚警率和漏报率均低于关联规则方法。因此说明,本文系统的入侵检测性能较高,具有较高的应用价值。
4 结 论
本文设计并实现了基于Libnids分布式入侵检测系统,在该系统实现方面,利用WinPcap函数库完成数据包的采集,依据采集的数据包,通过WM模式匹配算法和协议分析匹配检测模型,进行差异化入侵特征的检测。实验结果表明,该系统具有较高的检测率、较低的虚警率和漏报率。
表2 基于关联规则的入侵检测系统测試结果
参考文献
[1] 王辉,陈泓予,刘淑芬.基于改进朴素贝叶斯算法的入侵检测系统[J].计算机科学,2014,41(4):111?115.
[2] 程建,张明清,刘小虎,等.基于人工免疫的分布式入侵检测模型[J].计算机应用,2014,34(1):86?89.
[3] 张双双,王延年.节点分布不均匀的无线传感网络低功耗算法[J].西安工程大学学报,2015,29(6):720?723.
[4] 谭爱平,陈浩,吴伯桥.基于SVM的网络入侵检测集成学习算法[J].计算机科学,2014,41(2):197?200.
[5] 吴琼.云计算环境下的联合网络入侵检测方法仿真[J].计算机仿真,2015,32(6):276?279.
[6] 刘增锁.云计算环境下海量数据中入侵检测挖掘模型[J].计算机仿真,2015,32(6):289?291.