網(wǎng)絡(luò)安全中一種基于規(guī)則匹配的入侵檢測(cè)方法

周夢(mèng)玲 魏東平 葛明珠 堯時(shí)茂

摘要：入侵檢測(cè)方法在網(wǎng)絡(luò)安全防線中承擔(dān)監(jiān)測(cè)網(wǎng)絡(luò)異常流量、識(shí)別主機(jī)內(nèi)部潛在威脅等至關(guān)重要的任務(wù)。然而，現(xiàn)有的入侵檢測(cè)方法仍然面臨一些挑戰(zhàn)，如在收集和分析數(shù)據(jù)時(shí)對(duì)系統(tǒng)性能的損耗過(guò)大，導(dǎo)致許多入侵檢測(cè)系統(tǒng)性能不高。此外，網(wǎng)絡(luò)擁塞等導(dǎo)致的數(shù)據(jù)丟包問(wèn)題，使得數(shù)據(jù)完整性受到影響，間接影響入侵檢測(cè)的效率和檢測(cè)結(jié)果的準(zhǔn)確性。為了應(yīng)對(duì)這一挑戰(zhàn)，有效提高系統(tǒng)效率和檢測(cè)的準(zhǔn)確性，文章提出一種基于規(guī)則匹配的入侵檢測(cè)方法。該方法由數(shù)據(jù)收集、特征提取、異常檢測(cè)3個(gè)步驟組成。模擬實(shí)驗(yàn)表明，該入侵檢測(cè)方法能準(zhǔn)確地監(jiān)測(cè)和識(shí)別網(wǎng)絡(luò)中的異常行為和潛在的安全威脅，并且實(shí)時(shí)監(jiān)控流量行為，提高系統(tǒng)安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全；規(guī)則匹配；入侵檢測(cè)

中圖分類(lèi)號(hào)：TP311? 文獻(xiàn)標(biāo)志碼：A

0 引言

隨著計(jì)算機(jī)與互聯(lián)網(wǎng)在生活中的普及，人們對(duì)互聯(lián)網(wǎng)的依賴性越來(lái)越強(qiáng)，這也意味著人們面對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全威脅。過(guò)去的幾十年以來(lái)，黑客入侵現(xiàn)象日益突出，網(wǎng)絡(luò)攻擊事件在世界各地頻繁發(fā)生。不法分子為了牟取暴利，利用各種攻擊手段，繞過(guò)網(wǎng)絡(luò)安全體系的防護(hù)機(jī)制，攻破邊界防御，入侵政府、企業(yè)的計(jì)算機(jī)系統(tǒng)，對(duì)重要的用戶數(shù)據(jù)和內(nèi)部信息進(jìn)行竊取破壞，危害著個(gè)人、企業(yè)甚至整個(gè)國(guó)家的利益。比如，全球臭名昭著的WannaCry勒索病毒［1］，曾造成國(guó)家級(jí)網(wǎng)絡(luò)安全事故，此次事件爆發(fā)范圍涵蓋了全國(guó)范圍內(nèi)的各大基礎(chǔ)設(shè)施——學(xué)校、銀行、機(jī)場(chǎng)、車(chē)站等。如今，新型勒索病毒仍是黑客組織牟取暴利的主要手段。2021年年底曝出的Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞［2］，該漏洞造成各大電商平臺(tái)緊急關(guān)閉的安全事件。

為應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，許多計(jì)算機(jī)廠商和安全廠商將目光放在以防火墻、殺毒軟件為代表的設(shè)備上。這些設(shè)備盡管種類(lèi)多樣，防御方式不一，但大多是一種被動(dòng)的防御方式，無(wú)法進(jìn)行實(shí)時(shí)監(jiān)控，不能防御未知的攻擊和異常行為。入侵檢測(cè)技術(shù)可以記錄和分析攻擊事件的細(xì)節(jié)和特征［3］，幫助安全人員對(duì)安全事件進(jìn)行調(diào)查和分析［4］，其不僅可以幫助防范潛在的安全威脅，還可以追蹤和記錄入侵者的行為，為事故發(fā)生后的溯源和審計(jì)提供重要依據(jù)。然而，入侵檢測(cè)方法也面臨著一系列的挑戰(zhàn)。一方面入侵者使用越來(lái)越復(fù)雜的攻擊方法，如欺騙、掩蓋和隱藏攻擊行為。另一方面，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，入侵檢測(cè)技術(shù)需要處理更多的數(shù)據(jù)，需要更快的響應(yīng)速度。為此，本文提出一種基于規(guī)則匹配的入侵檢測(cè)方法提高入侵檢測(cè)的效率和準(zhǔn)確性，具有一定的研究意義和應(yīng)用價(jià)值。

1 入侵檢測(cè)方法

本文提出的入侵檢測(cè)方法實(shí)施步驟如下：首先收集需要進(jìn)行檢測(cè)的數(shù)據(jù)，將采集到的原始數(shù)據(jù)傳輸?shù)椒?wù)器端。其次，服務(wù)器端從數(shù)據(jù)中提取特征，對(duì)提取出的特征值進(jìn)行異常檢測(cè)。最后，將特征值和入侵檢測(cè)的結(jié)果形成匹配規(guī)則存儲(chǔ)到數(shù)據(jù)庫(kù)中。Web端控制面板對(duì)系統(tǒng)進(jìn)行配置和管理，利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的匹配規(guī)則對(duì)數(shù)據(jù)進(jìn)行交互匹配后，顯示檢測(cè)結(jié)果。

1.1 數(shù)據(jù)收集

數(shù)據(jù)收集負(fù)責(zé)收集數(shù)據(jù)并進(jìn)行適當(dāng)?shù)臄?shù)據(jù)預(yù)處理，以便后續(xù)對(duì)數(shù)據(jù)進(jìn)行過(guò)濾提取。本文利用eBPF（Extended Berkeley Packet Filter）［5］進(jìn)行數(shù)據(jù)收集，具體過(guò)程如下：通過(guò)將eBPF程序附加到XDP （eXpress Data Path）［5］ Hooks上來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲，利用XDP鉤子能夠讓數(shù)據(jù)包在到達(dá)網(wǎng)絡(luò)協(xié)議棧之前就被捕獲，這種方式可以實(shí)現(xiàn)高效的數(shù)據(jù)包過(guò)濾和處理。在eBPF程序中定義XDP鉤子，數(shù)據(jù)包從網(wǎng)卡驅(qū)動(dòng)中到傳輸至內(nèi)核協(xié)議棧之前，XDP鉤子截獲數(shù)據(jù)包觸發(fā)事件。然后，eBPF程序?qū)?shù)據(jù)包進(jìn)行數(shù)據(jù)包過(guò)濾、修改、統(tǒng)計(jì)等處理，將其存儲(chǔ)在eBPF Maps中。用戶空間程序通過(guò)系統(tǒng)調(diào)用訪問(wèn)eBPF Maps中的數(shù)據(jù)，既可以對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步處理也可以直接輸出到位于用戶空間的終端或文件中［6］。網(wǎng)絡(luò)數(shù)據(jù)捕獲部分流程如圖1所示。

1.2 特征提取

特征提取負(fù)責(zé)從收集到的數(shù)據(jù)中提取有效的特征。對(duì)于網(wǎng)絡(luò)流量數(shù)據(jù)的特征提取，主要從IP地址、端口、協(xié)議和數(shù)據(jù)包這幾個(gè)方面入手。對(duì)于主機(jī)內(nèi)部的異常行為特征主要對(duì)系統(tǒng)調(diào)用的使用頻率，文件系統(tǒng)的打開(kāi)、讀取、寫(xiě)入、刪除等行為，異常進(jìn)程的創(chuàng)建、終止、系統(tǒng)占用資源等幾個(gè)方面提取特征。

首先，將原始數(shù)據(jù)進(jìn)行一定的數(shù)據(jù)過(guò)濾操作，清除無(wú)關(guān)的數(shù)據(jù)并將數(shù)據(jù)格式化。其次，對(duì)其進(jìn)行特征選擇，去除無(wú)關(guān)的數(shù)據(jù)信息和冗余數(shù)據(jù)，保留能夠直接作用于后續(xù)入侵檢測(cè)工作的特征，對(duì)這些特征數(shù)據(jù)統(tǒng)一進(jìn)行數(shù)據(jù)轉(zhuǎn)換，將其轉(zhuǎn)換為用于規(guī)則匹配的數(shù)據(jù)。最后，用這些特征數(shù)據(jù)和入侵檢測(cè)結(jié)果生成Maps匹配規(guī)則庫(kù)。特征提取流程如圖2所示。

1.3 異常檢測(cè)

異常檢測(cè)是根據(jù)提取的特征值進(jìn)行入侵檢測(cè)判斷和分類(lèi)，本文采取的是規(guī)則匹配方法。首先對(duì)收集到的數(shù)據(jù)進(jìn)行規(guī)則匹配，通過(guò)預(yù)先設(shè)定好的規(guī)則庫(kù)對(duì)數(shù)據(jù)進(jìn)行篩選和分類(lèi)，可以有效地發(fā)現(xiàn)已知的攻擊手段和異常行為。規(guī)則匹配完成后，接著對(duì)未匹配的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。統(tǒng)計(jì)分析的目的是通過(guò)對(duì)數(shù)據(jù)的數(shù)量、頻率等特征進(jìn)行分析，以發(fā)現(xiàn)潛在的異常行為和未知的攻擊手段。統(tǒng)計(jì)分析可以找出規(guī)則匹配無(wú)法識(shí)別的新型攻擊和異常。因此，通過(guò)規(guī)則匹配與統(tǒng)計(jì)分析相結(jié)合的方法，既可以有效地檢測(cè)已知的異常行為，又能發(fā)現(xiàn)潛在的未知攻擊，從而提高系統(tǒng)的安全性和穩(wěn)定性。

完成異常檢測(cè)后，結(jié)合規(guī)則匹配結(jié)果和統(tǒng)計(jì)分析結(jié)果，生成最后的入侵檢測(cè)結(jié)果。有了入侵檢測(cè)結(jié)果，系統(tǒng)將根據(jù)具體的攻擊手段，第一時(shí)間進(jìn)行入侵響應(yīng)處理，確保將告警信息及時(shí)傳送到網(wǎng)絡(luò)管理員手中。異常檢測(cè)流程如圖3所示。

2 實(shí)驗(yàn)分析

本文在主機(jī)上部署一個(gè)滲透測(cè)試靶場(chǎng)，模擬一個(gè)在Apache服務(wù)器默認(rèn)路徑上運(yùn)行的Web服務(wù)端口，通過(guò)模擬SQL注入攻擊行為，測(cè)試入侵檢測(cè)系統(tǒng)的檢測(cè)效果。本入侵檢測(cè)實(shí)驗(yàn)對(duì)數(shù)據(jù)收集模塊收集到的大量原始數(shù)據(jù)進(jìn)行處理，經(jīng)過(guò)數(shù)據(jù)過(guò)濾、特征提取、規(guī)則匹配、統(tǒng)計(jì)分析后，最終得到一些重要信息。將最? 后檢測(cè)得到的攻擊行為經(jīng)過(guò)簡(jiǎn)單的格式處理后，按照一定的格式輸出成告警信息，并展示在控制面板的告警處理視圖中。

主機(jī)上的對(duì)外服務(wù)端口8050，運(yùn)行著一個(gè)PHP網(wǎng)站，圖4中是一個(gè)對(duì)SQL數(shù)據(jù)庫(kù)進(jìn)行搜索的輸入框。對(duì)網(wǎng)站進(jìn)行一定的注入測(cè)試后，獲取到用戶名與密碼在數(shù)據(jù)庫(kù)上的列名，分別為user和password。

隨后在輸入框中輸入“1' union select group_concat（user），group_concat （password）from users#”，得到數(shù)據(jù)庫(kù)的5個(gè)用戶名和被加密存儲(chǔ)的密碼，經(jīng)過(guò)md5爆破解密后，得到用戶密碼對(duì)應(yīng)分別是admin：password、gordonb：abc123、1337：charley、pablo：letmein、smithy：password。模擬攻擊行為測(cè)試如圖4所示。

Apache服務(wù)器對(duì)提交的URL參數(shù)進(jìn)行解析，然后發(fā)起Socket安全連接，將其中的SQL查詢語(yǔ)句傳輸?shù)組ySQL數(shù)據(jù)庫(kù)進(jìn)行查詢。數(shù)據(jù)收集程序?qū)pache服務(wù)器的訪問(wèn)日志文件進(jìn)行監(jiān)控，追蹤到URL訪問(wèn)參數(shù)的寫(xiě)入，并經(jīng)過(guò)一定的數(shù)據(jù)處理和行為檢測(cè)后，同步到告警列表，對(duì)管理員進(jìn)行防護(hù)提醒。

告警通知結(jié)果測(cè)試圖如圖5所示。

3 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)全球性的問(wèn)題，入侵檢測(cè)方法在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用越來(lái)越受到人們的關(guān)注。入侵檢測(cè)方法可以準(zhǔn)確地監(jiān)測(cè)和識(shí)別網(wǎng)絡(luò)中的異常行為和潛在的安全威脅，并且實(shí)時(shí)監(jiān)控流量行為，其結(jié)合入侵響應(yīng)或入侵防御，能夠?qū)撛诘耐{盡可能扼制在搖籃里。基于此，本文提供了一種基于規(guī)則匹配的入侵檢測(cè)方法，包含數(shù)據(jù)收集、特征提取、異常檢測(cè)3個(gè)步驟，能較大提高系統(tǒng)的檢測(cè)準(zhǔn)確性和效率，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供保障。

參考文獻(xiàn)

［1］MOHURLE S，PATIL M.A brief study of wannacry threat：Ransomware attack 2017［J］.International Journal of Advanced Research in Computer Science，2017（5）：1938-1940.

［2］JUVONEN A，COSTIN A，TURTIAINEN H，et al.On apache log4j2 exploitation in aeronautical，maritime，and aerospace communication［J］.IEEE Access，2022（10）：86542-86557.

［3］WANG S Y，CHANG J C.Design and implementation of an intrusion detection system by using Extended BPF in the Linux kernel［J］.Journal of Network and Computer Applications，2022（198）：103283.

［4］ANDERSON J P.Computer security threat monitoring and surveillance［EB/OL］.（1980-02-26）［2024-04-07］.https：//www.docin.com/p-567457508.

［5］SCHOLZ D，RAUMER D，EMMERICH P，et al.Performance implications of packet filtering with linux ebpf.2018 30th International Teletraffic Congress（ITC 30），September 03-07，2018［C］.Vienna：IEEE，2018.

［6］LI J，WU C，YE J，et al.The comparison and verification of some efficient packet capture and processing technologies.2019 IEEE Intl Conf on Dependable，Autonomic and Secure Computing，August 05-08，2019［C］.Fukuoka：IEEE，2019.

（編輯 王雪芬）

A rule matching based intrusion detection method in network security

ZHOU? Mengling， WEI? Dongping*， GE? Mingzhu， YAO? Shimao

（School of Computer and Big Data Science， Jiujiang University， Jiujiang 332005， China）

Abstract： Intrusion detection methods undertake crucial tasks in network security defense，such as monitoring abnormal network traffic and identifying potential threats within hosts. However，existing intrusion detection methods still face some challenges， such as excessive loss of system performance during data collection and analysis， resulting in low performance of intrusion detection systems. In addition， data loss caused by network congestion and other factors affects data integrity， indirectly affecting the efficiency of intrusion detection and the accuracy of detection results. To address this challenge and effectively improve system efficiency and detection accuracy， this paper proposes an intrusion detection method based on rule matching. This method consists of three steps：data collection， feature extraction， and anomaly detection. Simulation experiments show that this intrusion detection method can accurately monitor and identify abnormal behavior and potential security threats in the network， and monitor traffic behavior in real-time， improving system security.

Key words： network security; rule matching; intrusion detection