吳冬妮+周長敏+王長青

摘要：入侵檢測系統(tǒng)是網絡安全防御的一個重要安全工具，提高檢測效率一直是研究的重點。該文針對網絡攻擊的三個主要特征描述來建立分層的入侵檢測模型，提高了系統(tǒng)的檢測效率。

關鍵詞：網絡攻擊；攻擊特征；入侵檢測

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）27-0017-02

隨著網絡的快速發(fā)展，Web服務早已滲透到人們的日常生活之中，網絡顯得越來越重要，在此同時，伴隨著網絡發(fā)展的網絡攻擊行為也在不斷層出新招，令人們防不勝防。為了提高網絡使用的安全效率，入侵檢測系統(tǒng)成為了網絡安全防御的一個重要工具，提高系統(tǒng)的檢測率，降低誤報率一直是研究的重點，本文通過對網絡攻擊特征的分類，從特征差異方面入手提出一種新的檢測模型。

1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)IDS（Intrusion Detection System）作為網絡安全最有效的方法之一，是一種硬件或者軟件系統(tǒng)，是主動保護系統(tǒng)不會受到網絡非法攻擊的一種安全技術。入侵檢測能檢測出系統(tǒng)中的非授權活動行為并及時作出正確判斷報警的機制[1]。入侵檢測系統(tǒng)對系統(tǒng)行為進行檢測時，通過對其行為的可疑程度做出判斷，確定其行為是否正常，對非正常的行為發(fā)出警告，從而來保障系統(tǒng)的安全。

入侵檢測系統(tǒng)根據(jù)入侵檢測信息來源的差異，可以把入侵檢測系統(tǒng)分為兩種，一種是基于主機的入侵檢測系統(tǒng)，一種是基于網絡的入侵檢測系統(tǒng)[2]?；谥鳈C的入侵檢測系統(tǒng)主要是對關鍵應用的服務器進行保護，對主機的審計記錄和日志文件進行監(jiān)視與分析，從而來檢測入侵行為?；诰W絡的入侵檢測系統(tǒng)主要是對網絡關鍵路徑的信息進行實時監(jiān)控，它采集網絡上的所有分組數(shù)據(jù)并進行監(jiān)聽，分析可疑現(xiàn)象，從而檢測出可疑行為。

入侵檢測系統(tǒng)的作用是實時的檢測系統(tǒng)活動發(fā)出警告，因此檢測步驟有三個步驟：數(shù)據(jù)信息的收集、數(shù)據(jù)信息的分析和響應[3]，檢測步驟如圖1所示，

入侵檢測系統(tǒng)通過對原數(shù)據(jù)的收集并進行分析后，對非法行為進行警告阻攔，在檢測過程中如何判斷行為的正常與否是整個檢測過程的核心，本文從攻擊行為特征入手，通過對攻擊特征的描述來建立檢測模型。

2 基于網絡攻擊特征差異的入侵檢測模型

2.1 網絡攻擊特征的描述

網絡攻擊特征是對已知攻擊行為的描述，現(xiàn)在網絡攻擊行為都具有自身的特征，那么就可以對攻擊特征的不同規(guī)律來進修阻攔。對于每種網絡攻擊都應該對其數(shù)據(jù)包進行分析，提取出攻擊的特征數(shù)據(jù)，這個特征可能是一個數(shù)據(jù)包也可能是一個數(shù)據(jù)包序列，不管是哪種類型的數(shù)據(jù)包都會具有自身數(shù)據(jù)的特點，通過對數(shù)據(jù)包特征進行分析，就可以發(fā)現(xiàn)具有相同特征的數(shù)據(jù)包對應的惡意攻擊行為，檢測到此類特征的數(shù)據(jù)包就會對其報警。通常對網絡攻擊行為特征的分類方法主要介紹這三種 [4]：一、從基本網絡協(xié)議特征方面描述攻擊。網絡互連協(xié)議TCP/ IP 協(xié)議已經得到了廣泛的應用， 但由于自身在設計時存在著的安全問題， 從而給黑客們提供了機會，TCP/ IP 協(xié)議存在的漏洞常常會被黑客們利用，發(fā)出攻擊行為，它們通常會改變數(shù)據(jù)包頭的屬性值來進行攻擊，破壞系統(tǒng)安全。通過攻擊行為來對網絡協(xié)議TCP/ IP 協(xié)議進行分析，利用協(xié)議包頭的特殊字段值來標示網絡攻擊的特征。例如，DNS Flood攻擊，它是不斷向DNS服務器發(fā)送大量的請求信息，從而導致DNS服務器任務過大，無法提供正常的服務。面對這種攻擊特征進行描述時，通過攻擊的數(shù)據(jù)包對網絡協(xié)議進行分析，發(fā)現(xiàn)這類攻擊UDP包頭的目標端口是53，這就是這種攻擊的特征，那么就可以通過對端口是53的這個特征描述來拒絕此類攻擊。二、從負載內容描述攻擊。有些攻擊對它的數(shù)據(jù)包頭是檢測不到的，這就要通過對其數(shù)據(jù)內容進行檢測， 對于這類攻擊，要解析數(shù)據(jù)包的 IP、TCP 及UDP等類型信息， 并且要提取數(shù)據(jù)包中的負載數(shù)據(jù)進行分析， 才能發(fā)現(xiàn)是否出現(xiàn)攻擊的代碼。三、從網絡流量特征描述攻擊?，F(xiàn)實應用中很多網絡攻擊有時是通過發(fā)送一定數(shù)量的數(shù)據(jù)包實現(xiàn)的，而不是發(fā)送幾個數(shù)據(jù)包就能夠檢測出的， 面對此類攻擊行為，通過對數(shù)據(jù)流量的分析，就會發(fā)現(xiàn)一定時間內的網絡流量是攻擊行為所具有的特征。如常見的網絡攻擊端口掃描攻擊和DDOS攻擊， 就需要經過多個數(shù)據(jù)流才能檢測到。

2.2 基于網絡攻擊特征描述的入侵檢測模型

以上通過對這三種攻擊行為特征的描述，提出了一種針對這三種攻擊行為的分層式入侵檢測模型，如圖2所示。

入侵檢測模型采用分層檢測來檢測攻擊數(shù)據(jù)， 通過一層一層的過濾數(shù)據(jù)包， 對數(shù)據(jù)包進行細化， 以便后端更好的進行檢測，來提高檢測的效率。入侵檢測模型主要分為三層，第一層主要對數(shù)據(jù)包頭進行檢測，根據(jù)包頭檢測規(guī)律進行，包頭規(guī)則匹配，就丟棄數(shù)據(jù)包。包頭規(guī)則不匹配分兩種情況，一是沒有包含數(shù)據(jù)則丟棄，一是包含有數(shù)據(jù)則傳遞給下層節(jié)點進行檢測[5]。第二層通過對數(shù)據(jù)包進行分流之后，那么各支流都屬于同一類型的數(shù)據(jù)，具有相似的特征，比如常見的掃描攻擊行為，在短時間內能夠聚集大量的數(shù)據(jù)是這類攻擊的共同特點，聚集的巨大數(shù)據(jù)通常是發(fā)往同一個目的IP， 或者來自同一個IP來增加系統(tǒng)的負擔，破壞系統(tǒng)安全。面對這類攻擊，可以對各屬性進行統(tǒng)計， 如果存在這類現(xiàn)象，在某一時間段內出現(xiàn)具有巨大數(shù)據(jù)量的特點， 或者說是超過某個設定的閾值，那么就可以作為可疑行為來處理。第三層是對數(shù)據(jù)負載內容進行檢測，通過前兩層的檢測，大大減輕了這層的檢測負擔，針對數(shù)據(jù)負載內容進行檢測報警，提高了檢測的效率。

3 性能測試

系統(tǒng)測試采用了Snort2.0.0， 測試數(shù)據(jù)采用的是MIT林肯實驗室的DARPA 1999IDS測試數(shù)據(jù)集 [6]。測試計算機處理器為Inter i5， 2.5GHz，內存為 4GM。檢測的數(shù)據(jù)是分別對帶有頭部檢測規(guī)則的Snort和常規(guī)的Snort數(shù)據(jù)進行檢測對比，檢測的時間對比如圖3所示。

從圖中可以看出，帶有頭部規(guī)則的Snort的檢測時間比常規(guī)的Snort的檢測時間短，這就表明，通過對原始數(shù)據(jù)信息進行特征描述分類細化后，減少了被檢測的數(shù)據(jù)，提高了檢測的效率，此模型是有效的。

4 結束語

網絡安全是保障網絡應用的基礎，安全問題一直是學者們研究的重點問題。本文提出了一種基于網絡攻擊特征描述的入侵檢測模型，在一定的程度上提高了檢測效率，對檢測算法的改進，將是以后繼續(xù)研究的內容。

參考文獻：

[1] 凌云.基于多層加權聚類的網絡攻擊檢測方法研究[J].蘇州大學學報，2011（12）：65-69.

[2] 吳冬妮，唐型基，楊建菊.關聯(lián)規(guī)則Apriori算法在入侵檢測中的應用分析[J].凱里學院學報，2011（12）：86-88.

[3] 張濤，董占球.網絡攻擊行為分類技術的研究[J].計算機應用，2004（4）：115-118.

[4] 蒲天銀，饒正嬋，秦拯.網絡攻擊特征數(shù)據(jù)自動提取技術綜述[J].計算機與數(shù)字工程，2013（4）：611-614.

[5] 劉慶俞，葉震，尹才榮.一種基于攻擊特征描述的網絡入侵檢測模型[J].合肥工業(yè)大學學報：自然科學版，2010（2）：238-241.

[6] 李冠楠，趙艷麗，李強.一種基于攻擊特征變異預測的網絡入侵檢測方法[J].科技通報，2012（6）：112-116.endprint