王阿婷，畢紅軍，劉 云，司夏萌

（1.北京交通大學(xué)通信與信息系統(tǒng)北京市重點(diǎn)實(shí)驗(yàn)室，北京100044；2.北京交通大學(xué)網(wǎng)絡(luò)輿論安全研究中心，北京100044）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人類正逐步邁向網(wǎng)絡(luò)化和信息化的時(shí)代。與此同時(shí)，與人們切身利益相關(guān)的網(wǎng)絡(luò)安全問題越來越受到關(guān)注。由于黑客活動(dòng)頻繁，各個(gè)網(wǎng)站遭到不同程度的攻擊，一些金融機(jī)構(gòu)或者個(gè)人也遭受了嚴(yán)重的經(jīng)濟(jì)損失。對于防火墻技術(shù)往往是解決來自于網(wǎng)絡(luò)外部的攻擊，而對于內(nèi)部攻擊卻是無能為力。對于網(wǎng)絡(luò)安全的另一種保障體系：入侵檢測系統(tǒng)因?yàn)槟芡瑫r(shí)檢測來自網(wǎng)絡(luò)外部和內(nèi)部的攻擊而得到了廣泛研究和應(yīng)用。

入侵檢測系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中異?，F(xiàn)象。隨著高速網(wǎng)絡(luò)環(huán)境的大量出現(xiàn)及快速發(fā)展，傳統(tǒng)的入侵檢測技術(shù)開始暴露出一些弊端，其中比較突出的是：漏抓的網(wǎng)絡(luò)數(shù)據(jù)報(bào)多、誤報(bào)率高、檢測速度慢和檢測時(shí)出現(xiàn)的丟包現(xiàn)象等。本文所提出的網(wǎng)絡(luò)入侵檢測系統(tǒng)，在基于應(yīng)用協(xié)議分析的基礎(chǔ)上將傳統(tǒng)的入侵檢測系統(tǒng)進(jìn)行了改進(jìn)，加入了對數(shù)據(jù)包的預(yù)處理過程，在模式匹配環(huán)節(jié)中使用決策樹算法，以提高入侵檢測系統(tǒng)的性能，使其更能適應(yīng)高速網(wǎng)絡(luò)環(huán)境。

1 改進(jìn)的入侵檢測系統(tǒng)模型

入侵檢測作為一種網(wǎng)絡(luò)防護(hù)的安全措施，影響入侵檢測系統(tǒng)性能的主要因素有：對協(xié)議的分析能力、單位時(shí)間內(nèi)需要處理的數(shù)據(jù)包的數(shù)量、規(guī)則庫的規(guī)模[1]。為了能夠提高網(wǎng)絡(luò)入侵檢測系統(tǒng)在高速網(wǎng)絡(luò)環(huán)境中的性能，應(yīng)該從協(xié)議分析和模式匹配這兩個(gè)過程入手來解決問題。本文提出了一個(gè)入侵檢測系統(tǒng)模型[2]，如圖1。

2 改進(jìn)系統(tǒng)中部分模塊的功能

2.1 協(xié)議分析預(yù)處理模塊

圖1 改進(jìn)的入侵檢測系統(tǒng)模型

對于一些簡單或容易辨認(rèn)的可疑協(xié)議，在這一步就能夠被識別出來?？梢詫Π械臄?shù)據(jù)各部分進(jìn)行全面的協(xié)議規(guī)則檢查，如果檢測到與協(xié)議規(guī)則不符的數(shù)據(jù)包時(shí)就直接進(jìn)入響應(yīng)模塊。比如FTP協(xié)議，假設(shè)數(shù)據(jù)包中的協(xié)議為FTP協(xié)議，在接到這個(gè)數(shù)據(jù)包之后，先對它進(jìn)行最直接的判斷，檢查它是不是有很特殊的特征，這時(shí)可以立刻判斷出包中的協(xié)議類型。而對于FTP協(xié)議來說，當(dāng)加入了由用戶定義的一些操作或參數(shù)時(shí)，可以通過計(jì)算這些操作或參數(shù)的長度作為判斷是否出現(xiàn)緩沖區(qū)溢出的根據(jù)，此時(shí)可以直接判斷是否發(fā)生了攻擊。直接將這個(gè)數(shù)據(jù)包送入相關(guān)FTP協(xié)議模式匹配的模塊中，而不需要再進(jìn)行協(xié)議分析。這樣的改進(jìn)對于高速網(wǎng)絡(luò)環(huán)境來說，可以有效地改善入侵檢測系統(tǒng)的實(shí)時(shí)性，提高檢測速度，減少檢測時(shí)出現(xiàn)的丟包現(xiàn)象，同時(shí)也可以有效地減少模式匹配中的資源。

協(xié)議分析[3]的數(shù)據(jù)包預(yù)處理模塊的另一個(gè)功能就是進(jìn)行協(xié)議分析。采用基于應(yīng)用協(xié)議的網(wǎng)絡(luò)入侵檢測方法，它將捕獲的數(shù)據(jù)包進(jìn)行處理，形成屬性-值的數(shù)據(jù)形式，直接用于下一步的模式匹配。這樣做的好處：

（1）能夠根據(jù)特定的應(yīng)用協(xié)議再進(jìn)行細(xì)致的分析。例如，可以通過檢測狀態(tài)碼中是否含有代表服務(wù)被拒絕的“403”來發(fā)現(xiàn)是否有未授權(quán)訪問網(wǎng)頁[3]。然而簡單模式匹配方法則可能在非狀態(tài)碼的其他區(qū)域搜索到“403”，就會將正常的數(shù)據(jù)誤判成入侵?jǐn)?shù)據(jù)。在高速網(wǎng)絡(luò)環(huán)境下，這將會導(dǎo)致系統(tǒng)的誤報(bào)次數(shù)增加，準(zhǔn)確率下降。而基于應(yīng)用的網(wǎng)絡(luò)入侵檢測方法來說，能夠獲取與目的主機(jī)相同的內(nèi)容，可以更準(zhǔn)確的判斷是否發(fā)生了入侵行為。

（2）對于不同的應(yīng)用協(xié)議，比如HTTP、FTP、SMTP、TELNET、POP等，可以根據(jù)協(xié)議的不同，形成不同類型的屬性-值，便于下一步模式匹配的使用。這樣能夠有效地提高檢測的準(zhǔn)確性、減小模式匹配的計(jì)算量、減少誤報(bào)率，更能適應(yīng)高速網(wǎng)絡(luò)。

2.2 入侵檢測模式匹配模塊

在入侵檢測模式匹配過程中引入了決策樹，對檢測的規(guī)則進(jìn)行優(yōu)化。它與協(xié)議分析相互結(jié)合，其核心是選擇決策樹算法利用樣本數(shù)據(jù)生成決策樹模型，然后用生成的決策樹對未知數(shù)據(jù)進(jìn)行分類預(yù)測。這種方法可提高檢測速度并降低誤判率[4]。

文中選用了ID3算法的改進(jìn)算法C4.5[5]，這種算法可以選擇具有最高信息增益率的屬性作為測試屬性，能夠有效地處理連續(xù)屬性。

2.2.1 入侵檢測決策樹的生成過程

首先建立數(shù)據(jù)分類和屬性文件。數(shù)據(jù)分類為intrusion和normal，表示入侵和正常兩種狀態(tài)。屬性文件用于存放屬性名、屬性類型以及離散性屬性的所有可能取值。其中屬性類型數(shù)據(jù)根據(jù)每個(gè)屬性對應(yīng)的協(xié)議字段的特點(diǎn)，標(biāo)記為離散型或者連續(xù)型。再準(zhǔn)備訓(xùn)練數(shù)據(jù)。一般訓(xùn)練數(shù)據(jù)都是以tcpdump格式存儲的。經(jīng)過協(xié)議分析預(yù)處理后，生成屬性-值的二維表形式數(shù)據(jù)。最后利用C4.5算法，由信息增益率選擇測試屬性創(chuàng)建決策樹。

2.2.2 模式匹配過程

利用協(xié)議分析預(yù)處理模塊處理后的結(jié)果作為輸入，將屬性-值型記錄中與根節(jié)點(diǎn)測試屬性對應(yīng)的屬性值提取出來，并將此值與分支值比較。如果找不到匹配的分支，檢測結(jié)束，此記錄的分類為該節(jié)點(diǎn)的默認(rèn)最佳分類。如果默認(rèn)分類為入侵，就立即響應(yīng)。如果此屬性值與某個(gè)分支值匹配，該分支將此記錄指向下一個(gè)子節(jié)點(diǎn)，再對下一個(gè)節(jié)點(diǎn)屬性進(jìn)行比較，直至到達(dá)葉節(jié)點(diǎn)為止。葉節(jié)點(diǎn)所標(biāo)記的分類為該記錄的分類。模式匹配過程如圖2。在高速網(wǎng)絡(luò)環(huán)境下，可以在檢測的過程中只檢測相關(guān)的規(guī)則集，而不是遍歷整個(gè)規(guī)則集，可以大大的減少匹配計(jì)算量，提高匹配效率；同時(shí)針對某一種協(xié)議進(jìn)行匹配可以提高匹配的正確率。

3 實(shí)驗(yàn)測試

圖2 模式匹配過程

實(shí)驗(yàn)環(huán)境為：CPU：Intel Core Duo 1.80 GHZ，操作系統(tǒng)：Windows XP Service Pack 3，內(nèi)存DDR 1 GB，訓(xùn)練和測試數(shù)據(jù)為采用WinPcap4.1.1和Wireshark1.0.10捕獲的數(shù)據(jù)包。

先利用Wireshark捕獲一定數(shù)量的網(wǎng)絡(luò)數(shù)據(jù)包，手工地向某些包中添加入侵特征值，作為測試使用的數(shù)據(jù)；然后再訓(xùn)練這些數(shù)據(jù)生成C4.5決策樹，根據(jù)不同的屬性值生成各自的檢測規(guī)則。

實(shí)驗(yàn)1：檢驗(yàn)協(xié)議分析預(yù)處理功能是否有效。

前面提到過有一些入侵檢測特征相對比較容易被檢測出來，不用再進(jìn)行模式匹配。在捕獲的數(shù)據(jù)包中隨機(jī)選取了50條，并手工向20條中分別添加了比較明顯的入侵特征值，作為測試使用的數(shù)據(jù)。檢測時(shí)間如表1。

表1 檢驗(yàn)協(xié)議預(yù)處理結(jié)果 單位：ms

實(shí)驗(yàn)結(jié)果：當(dāng)規(guī)則數(shù)量較少時(shí)，兩種情況下使用的時(shí)間相當(dāng)；隨著規(guī)則數(shù)量開始增加，進(jìn)行協(xié)議預(yù)處理所用的檢測時(shí)間相對要少。

實(shí)驗(yàn)2：比較簡單模式匹配方法和改進(jìn)后的方法。

使用簡單模式匹配方法與使用本文提出的方法的檢測時(shí)間比較：實(shí)驗(yàn)過程中，規(guī)則數(shù)從10條開始，一直增加到200條。用兩種待檢測的方法進(jìn)行檢測，記錄結(jié)果，如表2。

實(shí)驗(yàn)結(jié)果：當(dāng)測試數(shù)據(jù)量和匹配規(guī)則數(shù)較少時(shí)，兩種情況下使用的時(shí)間相當(dāng)；隨著測試數(shù)據(jù)量和匹配規(guī)則數(shù)開始增加時(shí)，改進(jìn)后的方法所用的檢測時(shí)間相對要少。

實(shí)驗(yàn)3：檢測的正確率比較。

表2 兩種模式下檢測時(shí)間比較 單位：ms

首先選取25條測試數(shù)據(jù)，針對性設(shè)置10條檢測規(guī)則；手工將規(guī)則的入侵檢測值添加到測試數(shù)據(jù)包的數(shù)據(jù)部分；用兩種待檢測的方法進(jìn)行檢測。

實(shí)驗(yàn)結(jié)果：使用簡單模式匹配方法只對3條進(jìn)行正確的判斷，而本文提出的基于協(xié)議分析的決策樹方法對20條進(jìn)行了正確的判斷。

4 結(jié)束語

本文采用C4.5算法實(shí)現(xiàn)了基于決策樹的協(xié)議分析網(wǎng)絡(luò)入侵檢測，將決策樹與協(xié)議分析技術(shù)結(jié)合的同時(shí)還對數(shù)據(jù)包進(jìn)行了預(yù)處理。面對高速大流量的網(wǎng)絡(luò)環(huán)境，利用C4.5算法能夠減少系統(tǒng)資源，可以提高檢測效率，減少匹配計(jì)算量，使模式匹配技術(shù)在一定程度上實(shí)現(xiàn)智能化，而不僅僅是單純的字節(jié)匹配；利用協(xié)議分析預(yù)處理可以提高匹配的精確度，減少誤報(bào)率。使入侵檢測系統(tǒng)更加適應(yīng)高速網(wǎng)絡(luò)。

[1] 凌宇，徐雄，石林安. NIDS中協(xié)議分析和模式匹配的研究[J] . 信息技術(shù)，2006（5）：82-84.

[2] Ulf lindvist,Phillip Brentano, Doug Mansur. IDS Motivation,architecture, and An Early Prototype[J] . Comupter Security Laboratory, US Davis, 2007 (2): 160-171.

[3] 蔡敏，葉震，徐吉斌. 協(xié)議分析技術(shù)在入侵檢測中的應(yīng)用[J] . 計(jì)算機(jī)技術(shù)與發(fā)展，2007，17（2）：240-241.

[4] LEE W. A data mining framework for constructing features and models for intrusion detection systems[D] .New York:Columbia University, 1999.

[5] Quinlan J R. C4.5:Programs for Machine Learning[J] . New York:Morgan Kaufman, 1993 (2): 25-26.

[6] HAN Jian-wei,KAMBER M. Data mining concepts and techniques[M] .Beijing:China Machine Press,2000:188-194.