入侵檢測(cè)系統(tǒng)" title="入侵檢測(cè)系統(tǒng)">入侵檢測(cè)系統(tǒng)IDS(Intrusion Detection System)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全系統(tǒng)，它能夠發(fā)現(xiàn)入侵并且對(duì)其作出反應(yīng)，如報(bào)警、事件記錄、終止惡意程序和斷開(kāi)網(wǎng)絡(luò)等，為網(wǎng)絡(luò)安全提供實(shí)時(shí)保障。IDS通常是根據(jù)已知攻擊方式構(gòu)建規(guī)則特征庫(kù)，抓取數(shù)據(jù)包，然后基于特征逐條模式匹配，匹配成功則說(shuō)明有入侵發(fā)生，否則繼續(xù)下一個(gè)數(shù)據(jù)包的處理。將模式匹配應(yīng)用于入侵檢測(cè)是由Sandeep Kumar最先提出的^[4]。
　　IDS的主要性能參數(shù)有兩個(gè)：誤報(bào)率和漏報(bào)率。誤報(bào)率又叫虛警率，是指IDS在檢測(cè)時(shí)出現(xiàn)虛警的概率；漏報(bào)率是指本來(lái)應(yīng)該報(bào)警卻沒(méi)有報(bào)警的概率。
1 動(dòng)態(tài)規(guī)則集和協(xié)議分析
1.1 目前模式匹配中的問(wèn)題
　　隨著網(wǎng)絡(luò)的發(fā)展，攻擊代碼不斷衍生，例如phf攻擊將“/cgi-bin/phf”改變?yōu)椤?cgi-bin/xxx/../phf”或“\cgi-bin\phf”等，攻擊方式也越來(lái)越多樣，如沖擊波、振蕩波等。新的漏洞不斷被發(fā)現(xiàn)，不得不增多規(guī)則條目來(lái)完善IDS的規(guī)則庫(kù)，這將使IDS的處理負(fù)荷增加。規(guī)則集的膨脹和網(wǎng)絡(luò)流速的提高，使得IDS來(lái)不及處理每一個(gè)數(shù)據(jù)包，致使丟包不可避免。所丟的包中的攻擊100%被漏報(bào)，導(dǎo)致漏報(bào)率增大。網(wǎng)絡(luò)流速的單位為pps(packet per second)。
　　目前的IDS都是采用靜態(tài)規(guī)則集，存在很多弊端：如果規(guī)則集大而全面，在理想的條件下，降低了漏報(bào)率，但是實(shí)際中反而增加了漏報(bào)率。因?yàn)橐?guī)則集膨脹，模式匹配所耗時(shí)間增大，處理負(fù)荷線(xiàn)性增加^[3]，網(wǎng)絡(luò)流速超出IDS的處理能力" title="處理能力">處理能力時(shí)，有些數(shù)據(jù)包來(lái)不及進(jìn)行模式匹配，導(dǎo)致丟包，特別是在高速網(wǎng)絡(luò)下，導(dǎo)致大量丟包，漏報(bào)率明顯增大。
　　顯然，各攻擊出現(xiàn)的概率存在較大差異，有些攻擊每天都可能發(fā)生，有些攻擊一年甚至多年才可能發(fā)生一次。因此可以根據(jù)概率對(duì)規(guī)則集進(jìn)行排序，在模式匹配時(shí)優(yōu)先匹配那些概率大的規(guī)則。另外，大部分的攻擊都不是孤立產(chǎn)生的，相互之間存在著某種聯(lián)系，這種聯(lián)系多為依賴(lài)性，即存在先后關(guān)系，如80端口被掃描，就有可能發(fā)生CGI攻擊。
　　多數(shù)IDS都忽略了這種概率性和依賴(lài)性，從而暴露出模式匹配所消耗的時(shí)間資源太大，浪費(fèi)大量不必要的時(shí)間。針對(duì)這個(gè)問(wèn)題，本文參照參考文獻(xiàn)^[2]中提到的動(dòng)態(tài)規(guī)則集^[2]，提出利用動(dòng)態(tài)規(guī)則集和協(xié)議分析來(lái)提高模式匹配效率。
1.2 動(dòng)態(tài)規(guī)則集
　　所謂動(dòng)態(tài)規(guī)則集，其動(dòng)態(tài)性有兩種含義：
　　(1)建立一個(gè)動(dòng)態(tài)規(guī)則調(diào)整策略，它可以獲得網(wǎng)絡(luò)流速和IDS的處理能力，然后根據(jù)相應(yīng)的策略來(lái)動(dòng)態(tài)調(diào)整規(guī)則集的范圍。當(dāng)網(wǎng)絡(luò)流速大于靜態(tài)規(guī)則集IDS處理能力時(shí)，目前的IDS會(huì)丟掉來(lái)不及處理的數(shù)據(jù)包，特別是網(wǎng)絡(luò)流速很大時(shí)，會(huì)產(chǎn)生大量丟包，導(dǎo)致較大的漏報(bào)率。而動(dòng)態(tài)規(guī)則調(diào)整策略則是把一些長(zhǎng)期沒(méi)有匹配成功過(guò)的規(guī)則，特別是一些多年才可能匹配成功一次的規(guī)則和一些已經(jīng)荒廢的規(guī)則過(guò)濾。這就使IDS在模式匹配時(shí)不與這些小概率規(guī)則匹配。這樣，雖然有可能帶來(lái)一些漏報(bào)率，但是相對(duì)于前一種方法來(lái)說(shuō)，它帶來(lái)的漏報(bào)率要低很多，使IDS在當(dāng)前流速下獲得最佳性能。當(dāng)網(wǎng)絡(luò)流速小于靜態(tài)規(guī)則集IDS處理能力時(shí)，根據(jù)動(dòng)態(tài)規(guī)則調(diào)整策略將規(guī)則集的范圍擴(kuò)大到全規(guī)則，在此規(guī)則集上進(jìn)行模式匹配，可使系統(tǒng)資源得到充分利用，也使IDS獲得了當(dāng)前流速下的最佳性能。
　　(2)規(guī)則格式如圖1所示，規(guī)則格式中有兩項(xiàng)，分別為長(zhǎng)期概率和短期概率。長(zhǎng)期概率有個(gè)初始默認(rèn)值，是IDS研發(fā)人員經(jīng)過(guò)大量真實(shí)數(shù)據(jù)測(cè)試得出的，它是該規(guī)則在固定時(shí)間內(nèi)出現(xiàn)的平均次數(shù)值，短期概率初始值為0。IDS安裝后，如果某個(gè)規(guī)則被匹配成功一次，則將短期概率加1，設(shè)定一個(gè)時(shí)間門(mén)檻T，在時(shí)間到達(dá)T后，計(jì)算長(zhǎng)期概率×1/4+短期概率的值，然后賦給長(zhǎng)期概率，短期概率清零，也就是動(dòng)態(tài)更新長(zhǎng)期概率和短期概率，使之與本地的網(wǎng)絡(luò)背景不斷接近。通常，T的值不能太小，因?yàn)樘〉腡值不能真實(shí)反映本地網(wǎng)絡(luò)背景的特點(diǎn)。之所以沒(méi)有把長(zhǎng)期概率+短期概率的值賦給長(zhǎng)期概率，是因?yàn)槎唐诟怕时乳L(zhǎng)期概率更能真實(shí)地反映本地的網(wǎng)絡(luò)背景，短期概率優(yōu)先級(jí)別大于長(zhǎng)期概率。
　　在圖1中，后續(xù)規(guī)則1～5這五項(xiàng)是用來(lái)記錄這些規(guī)則被匹配成功之后常出現(xiàn)的后續(xù)攻擊所對(duì)應(yīng)的規(guī)則編號(hào)，這些編號(hào)也是IDS研發(fā)人員經(jīng)過(guò)推斷以及大量真實(shí)數(shù)據(jù)測(cè)試得出的。在IDS中可以定義六個(gè)變量：ID、ID1、ID2、ID3、ID4和ID5。ID為上一個(gè)被匹配成功的規(guī)則編號(hào)，ID1、ID2、ID3、ID4和ID5為對(duì)應(yīng)規(guī)則編號(hào)ID的五個(gè)后續(xù)規(guī)則編號(hào)。IDS發(fā)現(xiàn)一個(gè)攻擊后，用這六個(gè)變量分別記錄規(guī)則編號(hào)和五個(gè)后續(xù)規(guī)則編號(hào)，在下一個(gè)數(shù)據(jù)包獲取后，先將數(shù)據(jù)包分別與規(guī)則編號(hào)為ID1、ID2、ID3、ID4和ID5的規(guī)則匹配，如有匹配成功則報(bào)警，否則繼續(xù)下一步匹配。直到有一個(gè)數(shù)據(jù)包被匹配成功時(shí)，才將新的規(guī)則編號(hào)和五個(gè)后續(xù)規(guī)則編號(hào)分別賦給ID、ID1、ID2、ID3、ID4和ID5。

1.3 協(xié)議分析
　　在以網(wǎng)絡(luò)為主的入侵檢測(cè)系統(tǒng)中，由于把通過(guò)網(wǎng)絡(luò)獲得的數(shù)據(jù)包作為偵測(cè)的資料來(lái)源，所以數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中必須遵循固定的協(xié)議才能在計(jì)算機(jī)之間相互溝通，因此可以按照協(xié)議類(lèi)別對(duì)規(guī)則集進(jìn)行分類(lèi)。
　　協(xié)議分析的原理就是根據(jù)現(xiàn)有的協(xié)議模式，到固定的位置取值(而不是逐一地去比較)，然后根據(jù)取得的值判斷其協(xié)議以及實(shí)施下一步分析動(dòng)作。其作用十分類(lèi)似于郵局的郵件自動(dòng)分撿設(shè)備，有效地提高了分析效率，同時(shí)還可以避免單純模式匹配帶來(lái)的誤報(bào)。
　　根據(jù)以太網(wǎng)的幀結(jié)構(gòu)定義，在以太幀的第13個(gè)字節(jié)處包含2字節(jié)的第三層協(xié)議標(biāo)識(shí)，0800為IP協(xié)議，0806為ARP協(xié)議，8138為NOVELL協(xié)議等。在IP數(shù)據(jù)包的格式定義中，第10個(gè)字節(jié)為第四層協(xié)議標(biāo)識(shí)，如：TCP為06，UDP為11，ICMP為01等。而TCP數(shù)據(jù)包的第3、第4個(gè)字節(jié)為應(yīng)用層協(xié)議標(biāo)識(shí)(端口號(hào))，如80為HTTP協(xié)議，21為FTP協(xié)議，23為T(mén)ELNET協(xié)議等。
　　根據(jù)以上特點(diǎn)，可以將協(xié)議分析算法用一棵協(xié)議分類(lèi)樹(shù)來(lái)表示，如圖2所示。

　　這樣，當(dāng)IDS進(jìn)行模式匹配時(shí)，利用協(xié)議分析過(guò)濾許多規(guī)則，可以節(jié)省大量的時(shí)間。在所有規(guī)則中又是關(guān)于TCP的規(guī)則最多，大約占了50％以上，因此在初步分類(lèi)后，可以按照端口進(jìn)行第二次分類(lèi)。在兩次分類(lèi)完成后，可以快速比較特征庫(kù)中的規(guī)則，減少大量不必要的時(shí)間消耗。如有必要，還可進(jìn)行多次分類(lèi)，盡量在規(guī)則樹(shù)上分叉，盡可能地縮減模式匹配的范圍。圖2就是對(duì)協(xié)議的多次分類(lèi)。
1.4 基于動(dòng)態(tài)規(guī)則集和協(xié)議分析的模式匹配算法設(shè)計(jì)
　　基于動(dòng)態(tài)規(guī)則集和協(xié)議分析的模式匹配算法包括以下六個(gè)主要步驟：(1)數(shù)據(jù)包獲取和流速測(cè)試；(2)根據(jù)網(wǎng)絡(luò)流速與IDS處理能力確定規(guī)則集范圍；(3)協(xié)議分析，將規(guī)則分類(lèi)，過(guò)濾掉無(wú)需匹配的規(guī)則集；(4)概率策略選擇，將需要匹配的剩余規(guī)則集按概率降序排列；(5)取出上一條匹配成功的規(guī)則的五個(gè)后續(xù)規(guī)則編號(hào)，將數(shù)據(jù)包依次與其匹配，若匹配成功則報(bào)警，并將短期概率加1，否則繼續(xù)下一步；(6)與按照概率策略算法所得的規(guī)則集進(jìn)行模式匹配，若成功則報(bào)警，并將短期概率加1，否則，返回步驟1重新開(kāi)始下一數(shù)據(jù)包的處理。
　　綜上所述，可以給出整個(gè)模式匹配的流程圖，如圖3所示。

　　從圖3中可以看出，概率策略選擇有三種方案：長(zhǎng)期概率優(yōu)先，短期概率優(yōu)先和綜合折中。很明顯，長(zhǎng)期概率優(yōu)先機(jī)制在排序時(shí)考慮了短期概率，但是效果不明顯，忽略了短期概率的重要性；同樣，短期概率優(yōu)先機(jī)制忽略了長(zhǎng)期概率的重要性；而綜合折中機(jī)制綜合考慮了長(zhǎng)期概率和短期概率的重要性，是其中最佳的方案。
2 性能比較分析
　　實(shí)際的測(cè)試是在實(shí)驗(yàn)室進(jìn)行的，根據(jù)自定義的測(cè)試攻擊數(shù)據(jù)和規(guī)則庫(kù)，利用Smartbits設(shè)備制造背景流量(平均幀長(zhǎng)為128字節(jié))，在C++語(yǔ)言的環(huán)境下編譯程序，針對(duì)不同的網(wǎng)絡(luò)流速進(jìn)行測(cè)試。
　　根據(jù)程序中所設(shè)的計(jì)數(shù)器，在不同網(wǎng)絡(luò)流速下測(cè)試不同方案的臨界丟包點(diǎn)，也就是程序所處理的數(shù)據(jù)包個(gè)數(shù)開(kāi)始小于網(wǎng)絡(luò)背景流量時(shí)的流速，測(cè)試的臨界丟包點(diǎn)如表1所示。
　　采用不同方案的IDS在不同網(wǎng)絡(luò)流速下對(duì)已知攻擊測(cè)得的漏報(bào)率如圖4所示。

?