论文部分内容阅读
摘 要 针对入侵检测评估数据来源问题和OpenFlow能够提供灵活的网络控制能力的特点,研究基于软件定义网络的真实数据评估模型,并程序实现基于该模型的入侵检测评估系统,最后利用网络仿真该模型。实验结果表明该模型是可行的、有效的。
关键词 IDS评估;OpenFlow;软件定义网络;评估模型
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)17-0111-02
对入侵检测(intrusion detection system,简称“IDS”)的评估工作开始与上世纪90年代,有代表性的测评有:1994年,美国加州大学的Puketza和他的研究团队第一次提出了IDS评估,以及评估的方法和软件平台;1998年,麻省理工大学林肯实验室(MLT/LL)也启动了入侵检测评估项目,到目前为止,该评估项目是最权威的评估项目;随后,MITRE公司开展的入侵检测评估,是最早针对商用IDS的评估项目[1,2]。国内的评估工作则刚刚起步,其代表企业是赛迪网,它测评的重点是基于网络的入侵检测系统。
深入研究这些已经开展过的入侵检测评估我们发现,因为数据保密性等各种原因,目前已经开展过的评估都是采用模拟的网络环境和仿真的入侵数据和网络数据,以解决测评过程中所需要的攻击数据、网络流量和用户行为等。模拟环境和数据仿真虽然在很大程度上解决了测评的数据来源问题,但却始终不能反映真实的网络环境和数据,所以在此基础上做出来的评估也就存在很多问题[3]。
因此,本文研究如何利用真实的网络环境和网络数据对IDS测评,以得出更为真实的测评结果。
1 OpenFlow技术
互联网的研究现状表明,为了验证最新的网络研究成果,需要部署一个可扩展、可编程的大规模实验平台。针对这一需求,出现了很多研究成果,如自适应网络、基于软件定义的网络技术OpenFlow等,其中最受欢迎和认可的是OpenFlow技术,该技术由美国斯坦福大学于2008年提出,它是一个新型的网络控制协议,并于2011年2月完成了比较全面的标准化,目前应用非常广泛,如微软、IBM、思科、NEC、Verizon、Facebook、惠普等行业巨头都在推广这项技术[4]。
2 基于OpenFlow的入侵检测评估模型
2.1 传统入侵检测评估环境模型
对IDS进行评估,也就是对一个已经在IDS保护下的系统进行检测,看IDS是否能够发现入侵并报警。要测评IDS,最好是能够利用实际运行环境产生的数据进行,在OpenFlow技术产生以前,这个要求往往很难实现,因为实际环境中运行的数据都包含一些企业或者机构的隐私数据,这些数据多数是都不愿意公开,即使有企业愿意把不是很敏感的数据公开,这些数据因为带有明显的特定性而不大适合用来做通用评估。为此,在具体评估的时候,大都采用模拟真实环境数据来生成IDS的评估数据,最主要的手段是不使用网络中的正常通讯数据而是在测评网络中模拟重建正常通信和攻击数据,简单模型如图1
所示。
图1 传统IDS评估模型
该模型主要用于自建的简单网络环境,所需的网络数据和攻击数据都依据实际网络模拟产生,即上图所示的流量发生器,该方法解决了评估所需的数据来源问题。
2.2 基于Openflow的入侵检测评估模型
基于模拟环境的评估虽然在很大程度上解决了入侵检测所需要的数据问题,但仍然还存在很多问题,比如模拟环境不能真实还原每一种真实的网络结构;现实情况下,真实网络数据与模拟数据差异巨大,因此,评估的准确性和可信度有待进一步论证;目前的评估方法和手段用在真实环境中是否可行等。
以前,我们只能在模拟环境中评估的主要制约因素是网络的不可控。如果能解决网络的不可控问题,评估环境的真实性问题就迎刃而解,而上文所提到的OpenFlow技术为建立可控的网络提供了可能。因此,基于真实网络环境的IDS评估也就成为可能。图2是基于OpenFlow的入侵检测评估模型。
图2 基于OpenFlow的入侵检测评估模型
该模型的基于真实的局域网和基于网络的入侵检测(NIS)为研究对象。主要设备包含Openflow交换机、控制器、被测IDS和攻击流量发生器。基于Openflow的IDS评估模型打破传统的使用模拟流量的各种限制,在真实的网络环境下测评IDS的各方面性能。其具体工作过程如下。
1)在外部网络和内容网络均利用流量发生器产生攻击流量。这里不直接使用真实网络中的攻击流量主要基于两方面的考虑,①网络攻击具有随意性和不可控性,不能保证在测试的时候有攻击流量正在产生;②网络攻击种类在同一时间段内不能保证多样性,而攻击类别的多样性和全面性对于评估系统来说是很关键的因素。因此在攻击流量的产生问题上我们还是采用传统的模拟攻击流量的方法,这样可以比较方便的解决以上两方面的难题。
2)内部、外部攻击流量和外部网络真实流量经由防火墙进入内部网络,部署在内部网络的被测IDS检测攻击流量并生成检测报告发给内部网络中的OpenFlow控制器。与此同时,攻击流量和外部网络流量正常进入网络交给OpenFlow交换机转发。OpenFlow交换机根据设置的规则转发正常流量,同时拦截攻击流量并转发给控制中心。
3)控制中心接收攻击流量后对攻击流量进行统计计算,然后与IDS的检测报告对比,最后给出IDS的测评结果。
3 基于OpenFlow的入侵检测评估模型测试
入侵检测评估模型可以比较方便的移植到真实的网络环境,但是笔者的工作的网络环境还不足以支撑该网络环境,所以为了测试该模型的可行性,我们根据图2利用GNS3网络模拟器来建立我们的网络环境。
3.1 测试对象 目前网络和市场中有大量的商用IDS和开源IDS,其中开源IDS以Snort最具代表性,它在很多的中小企业中甚至可以替代商用IDS,因此,本次实验选择Snort作为测试对象。
3.2 测试结果及分析
利用图2所示的结构图,我们在IDS上运行Snort,在外部攻击流量发生器和内部攻击流量发生器上分别产生攻击流量,安装在OpenFlow控制器上的测评系统利用NOX负责对Snort的测试能力进行评估,分别测试IDS的检测率和误报率两个最能反映IDS检测能力和优劣的重要指标。具体测试方法是这样:
根据常用的性能指标检测方法,我们在实验测试中使用小数据,只仿真5次正常的http使用,5次攻击,表1是我们的测评系统根据这10次攻击情况给出的异常指数检测报告。表2是选取不同的阈值(异常指数高于阈值被认定为攻击行为)得到的误报次数与检测率关系的测评报告。
根据表2,我们可以看出在阈值较高的情况传统方法和本问说提出的方法差别不大,可以实现误报率为0的情况下,检测率可以达到100%,但在阈值降低,检测准确性要求较高的情况下,本文所提出方法的检测率要低于传统方法的检测率。
通过以上实验结果表明,本文所提出的测评模型对IDS的测评结果更为苛刻,充分体现IDS在复杂真实的网络环境中对攻击行为的检测能力要低于模拟环境下的检测能力,这正是我们所要的结果,也充分说明基于OpenFlow的IDS测评系统能更好的反映被测评系统的真实检测能力,为用户提供更为科学、正确的入侵检测产品。
当然,本次的测试也还存在很多的不足,主要是测试数据和次数不够丰富,测试环境不够强大真实,测评指标选择过少等等问题,如果要获得更为权威的评价结果,还需要我们做进一步的研究和实验。
4 结束语
本文通过分析当前的入侵检测评估技术所采用的模型和方法,以及当前热门的OpenFlow技术,提出基于软件定义网络技术(OpenFlow)的入侵检测评估模型,随后还设计了基于该模型的测评系统,最后利用该测评系统对该模型进行试验仿真,通过实验证实我们所提出的方法在测评效果和准确性上有较大改进。
因此,本文所提出基于OpenFlow的IDS测评方法改变了传统测评方法依赖模拟环境来仿真真实网络流量的现状,是一种技术上的进步,从实验结果也可以看出这种新的方法所测评的结果与传统方法有差别,这也为IDS测评研究提出了新的疑问和挑战,同时也为测评方法提供了新的研究思路。
参考文献
[1]RICHARD LIPPMANN, ROBERT K CUNN INGHAM. Results o f the DARPA 1998 Off-Line Intrusion Detection Evaluation[R]: MIT Lincoln Laboratory, 1999.
[2]RICHARD LIPPMANN et al. Proposed 1999 DARPA off-line Intrusion Detection Evaluation Plans[R]:MIT Lincoln Laboratory,1999.
[3]TIAN JunFeng, LIU Tao, CHEN XiaoXiang. Survey in Evaluation of Intrusion Detection System [J].Computer Engineering and Applications, 2008, 44 (9): 113-117.
[4]林闯,贾子骁,孟坤.自适应的未来网络体系架构[J].计算机学报,2012,35(6):1077-1093.
[5]王丽君,刘永强,张健.基于OpenFlow的未来互联网试验技术研究[J].电信网技术,2011,1(6):1-4.
关键词 IDS评估;OpenFlow;软件定义网络;评估模型
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)17-0111-02
对入侵检测(intrusion detection system,简称“IDS”)的评估工作开始与上世纪90年代,有代表性的测评有:1994年,美国加州大学的Puketza和他的研究团队第一次提出了IDS评估,以及评估的方法和软件平台;1998年,麻省理工大学林肯实验室(MLT/LL)也启动了入侵检测评估项目,到目前为止,该评估项目是最权威的评估项目;随后,MITRE公司开展的入侵检测评估,是最早针对商用IDS的评估项目[1,2]。国内的评估工作则刚刚起步,其代表企业是赛迪网,它测评的重点是基于网络的入侵检测系统。
深入研究这些已经开展过的入侵检测评估我们发现,因为数据保密性等各种原因,目前已经开展过的评估都是采用模拟的网络环境和仿真的入侵数据和网络数据,以解决测评过程中所需要的攻击数据、网络流量和用户行为等。模拟环境和数据仿真虽然在很大程度上解决了测评的数据来源问题,但却始终不能反映真实的网络环境和数据,所以在此基础上做出来的评估也就存在很多问题[3]。
因此,本文研究如何利用真实的网络环境和网络数据对IDS测评,以得出更为真实的测评结果。
1 OpenFlow技术
互联网的研究现状表明,为了验证最新的网络研究成果,需要部署一个可扩展、可编程的大规模实验平台。针对这一需求,出现了很多研究成果,如自适应网络、基于软件定义的网络技术OpenFlow等,其中最受欢迎和认可的是OpenFlow技术,该技术由美国斯坦福大学于2008年提出,它是一个新型的网络控制协议,并于2011年2月完成了比较全面的标准化,目前应用非常广泛,如微软、IBM、思科、NEC、Verizon、Facebook、惠普等行业巨头都在推广这项技术[4]。
2 基于OpenFlow的入侵检测评估模型
2.1 传统入侵检测评估环境模型
对IDS进行评估,也就是对一个已经在IDS保护下的系统进行检测,看IDS是否能够发现入侵并报警。要测评IDS,最好是能够利用实际运行环境产生的数据进行,在OpenFlow技术产生以前,这个要求往往很难实现,因为实际环境中运行的数据都包含一些企业或者机构的隐私数据,这些数据多数是都不愿意公开,即使有企业愿意把不是很敏感的数据公开,这些数据因为带有明显的特定性而不大适合用来做通用评估。为此,在具体评估的时候,大都采用模拟真实环境数据来生成IDS的评估数据,最主要的手段是不使用网络中的正常通讯数据而是在测评网络中模拟重建正常通信和攻击数据,简单模型如图1
所示。
图1 传统IDS评估模型
该模型主要用于自建的简单网络环境,所需的网络数据和攻击数据都依据实际网络模拟产生,即上图所示的流量发生器,该方法解决了评估所需的数据来源问题。
2.2 基于Openflow的入侵检测评估模型
基于模拟环境的评估虽然在很大程度上解决了入侵检测所需要的数据问题,但仍然还存在很多问题,比如模拟环境不能真实还原每一种真实的网络结构;现实情况下,真实网络数据与模拟数据差异巨大,因此,评估的准确性和可信度有待进一步论证;目前的评估方法和手段用在真实环境中是否可行等。
以前,我们只能在模拟环境中评估的主要制约因素是网络的不可控。如果能解决网络的不可控问题,评估环境的真实性问题就迎刃而解,而上文所提到的OpenFlow技术为建立可控的网络提供了可能。因此,基于真实网络环境的IDS评估也就成为可能。图2是基于OpenFlow的入侵检测评估模型。
图2 基于OpenFlow的入侵检测评估模型
该模型的基于真实的局域网和基于网络的入侵检测(NIS)为研究对象。主要设备包含Openflow交换机、控制器、被测IDS和攻击流量发生器。基于Openflow的IDS评估模型打破传统的使用模拟流量的各种限制,在真实的网络环境下测评IDS的各方面性能。其具体工作过程如下。
1)在外部网络和内容网络均利用流量发生器产生攻击流量。这里不直接使用真实网络中的攻击流量主要基于两方面的考虑,①网络攻击具有随意性和不可控性,不能保证在测试的时候有攻击流量正在产生;②网络攻击种类在同一时间段内不能保证多样性,而攻击类别的多样性和全面性对于评估系统来说是很关键的因素。因此在攻击流量的产生问题上我们还是采用传统的模拟攻击流量的方法,这样可以比较方便的解决以上两方面的难题。
2)内部、外部攻击流量和外部网络真实流量经由防火墙进入内部网络,部署在内部网络的被测IDS检测攻击流量并生成检测报告发给内部网络中的OpenFlow控制器。与此同时,攻击流量和外部网络流量正常进入网络交给OpenFlow交换机转发。OpenFlow交换机根据设置的规则转发正常流量,同时拦截攻击流量并转发给控制中心。
3)控制中心接收攻击流量后对攻击流量进行统计计算,然后与IDS的检测报告对比,最后给出IDS的测评结果。
3 基于OpenFlow的入侵检测评估模型测试
入侵检测评估模型可以比较方便的移植到真实的网络环境,但是笔者的工作的网络环境还不足以支撑该网络环境,所以为了测试该模型的可行性,我们根据图2利用GNS3网络模拟器来建立我们的网络环境。
3.1 测试对象 目前网络和市场中有大量的商用IDS和开源IDS,其中开源IDS以Snort最具代表性,它在很多的中小企业中甚至可以替代商用IDS,因此,本次实验选择Snort作为测试对象。
3.2 测试结果及分析
利用图2所示的结构图,我们在IDS上运行Snort,在外部攻击流量发生器和内部攻击流量发生器上分别产生攻击流量,安装在OpenFlow控制器上的测评系统利用NOX负责对Snort的测试能力进行评估,分别测试IDS的检测率和误报率两个最能反映IDS检测能力和优劣的重要指标。具体测试方法是这样:
根据常用的性能指标检测方法,我们在实验测试中使用小数据,只仿真5次正常的http使用,5次攻击,表1是我们的测评系统根据这10次攻击情况给出的异常指数检测报告。表2是选取不同的阈值(异常指数高于阈值被认定为攻击行为)得到的误报次数与检测率关系的测评报告。
根据表2,我们可以看出在阈值较高的情况传统方法和本问说提出的方法差别不大,可以实现误报率为0的情况下,检测率可以达到100%,但在阈值降低,检测准确性要求较高的情况下,本文所提出方法的检测率要低于传统方法的检测率。
通过以上实验结果表明,本文所提出的测评模型对IDS的测评结果更为苛刻,充分体现IDS在复杂真实的网络环境中对攻击行为的检测能力要低于模拟环境下的检测能力,这正是我们所要的结果,也充分说明基于OpenFlow的IDS测评系统能更好的反映被测评系统的真实检测能力,为用户提供更为科学、正确的入侵检测产品。
当然,本次的测试也还存在很多的不足,主要是测试数据和次数不够丰富,测试环境不够强大真实,测评指标选择过少等等问题,如果要获得更为权威的评价结果,还需要我们做进一步的研究和实验。
4 结束语
本文通过分析当前的入侵检测评估技术所采用的模型和方法,以及当前热门的OpenFlow技术,提出基于软件定义网络技术(OpenFlow)的入侵检测评估模型,随后还设计了基于该模型的测评系统,最后利用该测评系统对该模型进行试验仿真,通过实验证实我们所提出的方法在测评效果和准确性上有较大改进。
因此,本文所提出基于OpenFlow的IDS测评方法改变了传统测评方法依赖模拟环境来仿真真实网络流量的现状,是一种技术上的进步,从实验结果也可以看出这种新的方法所测评的结果与传统方法有差别,这也为IDS测评研究提出了新的疑问和挑战,同时也为测评方法提供了新的研究思路。
参考文献
[1]RICHARD LIPPMANN, ROBERT K CUNN INGHAM. Results o f the DARPA 1998 Off-Line Intrusion Detection Evaluation[R]: MIT Lincoln Laboratory, 1999.
[2]RICHARD LIPPMANN et al. Proposed 1999 DARPA off-line Intrusion Detection Evaluation Plans[R]:MIT Lincoln Laboratory,1999.
[3]TIAN JunFeng, LIU Tao, CHEN XiaoXiang. Survey in Evaluation of Intrusion Detection System [J].Computer Engineering and Applications, 2008, 44 (9): 113-117.
[4]林闯,贾子骁,孟坤.自适应的未来网络体系架构[J].计算机学报,2012,35(6):1077-1093.
[5]王丽君,刘永强,张健.基于OpenFlow的未来互联网试验技术研究[J].电信网技术,2011,1(6):1-4.