论文部分内容阅读
摘要: 针对网络入侵检测系统的几个瓶颈,对网络入侵检测系统做研究。在此基础上设计一个整体策略,并给出网络入侵检测系统的基本实现,最后给出基于CEV规则库的应用。
关键词: 网络入侵;检测系统;设计
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2011)0310080-01
0 引言
在网络的入侵检测系统的基础之上则需要改变网卡(network interface card,简称NIC),通常来讲NIC是非混杂模式,它只是接受发送到其自身的MAC地址的数据包,它在把接收到的数据包发送给协议栈进行分析,忽略掉其他的数据包。为了检测所有的网络通信,需要得到所有网络数据包,然后发送到协议栈实施分析。所以网卡要工作在混杂模式(promiscuous mode)。
在当今倡导的“百兆桌面”的思想下,整个网络的数据通信庞大,在高速网络下传统基于网络的入侵检测检测系统有那些速度瓶颈。
1)系统软硬件平台的本身处理能力构成瓶颈。2)传统获取数据包方式耗费资源影响性能。3)基于特征匹配的检测方式随着规则增多性能下降。4)协议分析模块的速度瓶颈。针对这几个瓶颈,本文对网络入侵检测系统做了研究。在此基础上设计了一个整体策略,并给出了网络入侵检测系统的基本实现,最后给出了基于CEV规则库的应用。
1 系统整体设计策略
基于网络的入侵检测系统使用监测网络收集信息数据的,以此来确定网络入侵。网络安全工具要求具有实时性,这就要求其本身必须是一个安全的应用程序,不能由于引入了它给网络带来不安全的因素,要保证网络监测的实时性和有效性就应该有合理的系统结构作为保障,与此同时还应该充分考虑实际应用环境,以便适应高速网络的需求,考虑到上述因素,系统设计原则和策略如下:
1)使用组件的模块化思想,同时参考了系统的分布式入侵检测想法,以确保系统能成功地扩展到分布式入侵检测。2)对系统和网络性能的影响和资源占用降到最低;而不是给主机系统与计算机网络环境,引入新的安全风险和安全问题。3)在高速网络环境中,以确保数据收集的完整性。4)系统是在特征的基础上的入侵检测技术,所以在解决检测瓶颈时可以通过高效的模式匹配技术来完成。5)丰富的基本规则。对于基于特征的入侵检测系统,在检测更过的攻击时要有相应的规则库与其相匹配,这样才能检测出更多的攻击,为了尽可能的将攻击事件和遗漏可以控制在一定范围内。
2 系统基本实现方法
针对高速网络环境下入侵检测系统面临的问题,从数据的采集到处理,和规则库的设计都需要进行改进。下面先介绍系统的结构设计图,然后分别介绍在各个部分的相应改进。系统的数据流程如图1所示。
捕包和分析作为一个整体的网络检测单元,这样在未来面临分布式入侵检测系统时可以将这部分改进成为Agent。
2.1 数据包捕获模块。报文捕获是指把某个网络所检测到的数据报文完整的收集到一起。并进行分析,过滤等处理,发送到上层协议分析模块以便能够继续进行应用。
2.2 协议分析模块。协议分析模块改进了传统的模式匹配技术,它主要是确定数据包的协议类型,上层的数据分析模块可以继续检测数据包,所有协议树可以构成一个协议书,具体协议是树状结构的一个节点,使用二进制树来表示。图2所示。分析网络数据包也就是一个根到叶子的路径的分析。为了实现非常灵活的协议分析可以在程序中动态维护和配置此树结构。
2.3 数据分析模块。使用模式匹配技术对数据进行分析。再入侵特征规则库中储存所有攻击信号所表示的模拟信号,如果在规则库中可以寻找到当前的数据,那么就可以确定是这种入侵行为。如一个 HTTP 请求找到"/cgi-bin/phf",在服务器上,那么这可能是一攻击者正在寻找系统的CGI漏洞的。
2.4 规则库及分析模块。使用现有的计算机系统中的公共/风险和漏洞的入侵规则库对异常行为进行检测。规则库是符合我国的实际权威,完整的库的需要,与国家信息产业发展相适应,并有专业的人员进行更新和维护,较好的解决规则库的方案可以更新规则库。
2.5 响应模块。当检测系统检测到异常时发出的响应便是响应模块。
3 基于CVE规则库应用
2002年设计的在CVE基础上的入侵检测专家系统规则库是《保障国家信息网络空间安全战略规划》首批启动项目《计算机系统公共弱点/风险(CVE)数据库》,同时还是某个市级机关的科技攻关项目《计算机系统漏洞数据库》。此数据库包含2000多条基于CVE的检测规则,这些规则的设计是:每条规则分为规则头部和规则选项两个部分。规则头部有规则的操作、协议、目标IP地址、原IP地址、网络掩码、端口、CVE ID。规则的选项有需要检测模式信息和报警信息。
如:alert tcp any any->182.179.1.0/24 111(content:"|00 01 86 a5|";msg:"CVE-1999-1207:mountd access";)。描述的是在使用TCP协议链接网络182.179.1.0/24 111的任何主机的111端口的数据包时,一旦出现0001 86 a5,就发出警告信息CVE-1999-1207:mountd access。
规则头部是指圆括号前的部分,规则选项则是指圆括号中的部分。选项关键字指的是规则选项部分中的冒号前的词组,规则选项是定于收集特定数据包的特定特征的,它不是规则的必须存在部分。在一条规则中,只有同时满足不同的部分才能够执行,相当于“和”操作。在相同的规则数据库文件中的所有规则就相当于“或”操作。
规则头部包括定义数据包 “从哪里来,到哪里去,做什么”,并认定符合条件的所有规则本应该做的所有的信息。规则第一项是规则的操作,协议是第二项,IP地址和端口是第三项。
规则操作在发现适合条件的数据包时要干什么,应该有三个操作:
1)alert:使用选定的警报发出报警,并记录数据包及发送到管理模块。2)Log:记录数据包。3)Pass:忽略此数据包。
协议是规则头部的第二部分,IP地址和端口是规则头部的第三部分。任何IP地址可以用关键字“ANY”来定义,网络检测模块不提供主机名称和IP地址转换,所以IP地址规定为点分十进制的IP地址格式,在IP地址后
指定网络掩码。
4 结论
本文对当前高速网络环境下的入侵检测系统进行了研究与实践。本文设计出高速网络环境下入侵检测系统的设计与实现方案,并基于CEV库做了其应用。
参考文献:
[1]马燕曹、周湛等,信息安全法规与标准[M].北京:机械工业出版社,2004,55-112.
[2]潘志康、邓惠平,IDS是怎样实现响应和告警的[J].网络世界,2002,27(27):41.
[3]陈晓梅,入侵检测中的数据预处理问题研究[J].计算机科学,2006,33(1).
关键词: 网络入侵;检测系统;设计
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2011)0310080-01
0 引言
在网络的入侵检测系统的基础之上则需要改变网卡(network interface card,简称NIC),通常来讲NIC是非混杂模式,它只是接受发送到其自身的MAC地址的数据包,它在把接收到的数据包发送给协议栈进行分析,忽略掉其他的数据包。为了检测所有的网络通信,需要得到所有网络数据包,然后发送到协议栈实施分析。所以网卡要工作在混杂模式(promiscuous mode)。
在当今倡导的“百兆桌面”的思想下,整个网络的数据通信庞大,在高速网络下传统基于网络的入侵检测检测系统有那些速度瓶颈。
1)系统软硬件平台的本身处理能力构成瓶颈。2)传统获取数据包方式耗费资源影响性能。3)基于特征匹配的检测方式随着规则增多性能下降。4)协议分析模块的速度瓶颈。针对这几个瓶颈,本文对网络入侵检测系统做了研究。在此基础上设计了一个整体策略,并给出了网络入侵检测系统的基本实现,最后给出了基于CEV规则库的应用。
1 系统整体设计策略
基于网络的入侵检测系统使用监测网络收集信息数据的,以此来确定网络入侵。网络安全工具要求具有实时性,这就要求其本身必须是一个安全的应用程序,不能由于引入了它给网络带来不安全的因素,要保证网络监测的实时性和有效性就应该有合理的系统结构作为保障,与此同时还应该充分考虑实际应用环境,以便适应高速网络的需求,考虑到上述因素,系统设计原则和策略如下:
1)使用组件的模块化思想,同时参考了系统的分布式入侵检测想法,以确保系统能成功地扩展到分布式入侵检测。2)对系统和网络性能的影响和资源占用降到最低;而不是给主机系统与计算机网络环境,引入新的安全风险和安全问题。3)在高速网络环境中,以确保数据收集的完整性。4)系统是在特征的基础上的入侵检测技术,所以在解决检测瓶颈时可以通过高效的模式匹配技术来完成。5)丰富的基本规则。对于基于特征的入侵检测系统,在检测更过的攻击时要有相应的规则库与其相匹配,这样才能检测出更多的攻击,为了尽可能的将攻击事件和遗漏可以控制在一定范围内。
2 系统基本实现方法
针对高速网络环境下入侵检测系统面临的问题,从数据的采集到处理,和规则库的设计都需要进行改进。下面先介绍系统的结构设计图,然后分别介绍在各个部分的相应改进。系统的数据流程如图1所示。
捕包和分析作为一个整体的网络检测单元,这样在未来面临分布式入侵检测系统时可以将这部分改进成为Agent。
2.1 数据包捕获模块。报文捕获是指把某个网络所检测到的数据报文完整的收集到一起。并进行分析,过滤等处理,发送到上层协议分析模块以便能够继续进行应用。
2.2 协议分析模块。协议分析模块改进了传统的模式匹配技术,它主要是确定数据包的协议类型,上层的数据分析模块可以继续检测数据包,所有协议树可以构成一个协议书,具体协议是树状结构的一个节点,使用二进制树来表示。图2所示。分析网络数据包也就是一个根到叶子的路径的分析。为了实现非常灵活的协议分析可以在程序中动态维护和配置此树结构。
2.3 数据分析模块。使用模式匹配技术对数据进行分析。再入侵特征规则库中储存所有攻击信号所表示的模拟信号,如果在规则库中可以寻找到当前的数据,那么就可以确定是这种入侵行为。如一个 HTTP 请求找到"/cgi-bin/phf",在服务器上,那么这可能是一攻击者正在寻找系统的CGI漏洞的。
2.4 规则库及分析模块。使用现有的计算机系统中的公共/风险和漏洞的入侵规则库对异常行为进行检测。规则库是符合我国的实际权威,完整的库的需要,与国家信息产业发展相适应,并有专业的人员进行更新和维护,较好的解决规则库的方案可以更新规则库。
2.5 响应模块。当检测系统检测到异常时发出的响应便是响应模块。
3 基于CVE规则库应用
2002年设计的在CVE基础上的入侵检测专家系统规则库是《保障国家信息网络空间安全战略规划》首批启动项目《计算机系统公共弱点/风险(CVE)数据库》,同时还是某个市级机关的科技攻关项目《计算机系统漏洞数据库》。此数据库包含2000多条基于CVE的检测规则,这些规则的设计是:每条规则分为规则头部和规则选项两个部分。规则头部有规则的操作、协议、目标IP地址、原IP地址、网络掩码、端口、CVE ID。规则的选项有需要检测模式信息和报警信息。
如:alert tcp any any->182.179.1.0/24 111(content:"|00 01 86 a5|";msg:"CVE-1999-1207:mountd access";)。描述的是在使用TCP协议链接网络182.179.1.0/24 111的任何主机的111端口的数据包时,一旦出现0001 86 a5,就发出警告信息CVE-1999-1207:mountd access。
规则头部是指圆括号前的部分,规则选项则是指圆括号中的部分。选项关键字指的是规则选项部分中的冒号前的词组,规则选项是定于收集特定数据包的特定特征的,它不是规则的必须存在部分。在一条规则中,只有同时满足不同的部分才能够执行,相当于“和”操作。在相同的规则数据库文件中的所有规则就相当于“或”操作。
规则头部包括定义数据包 “从哪里来,到哪里去,做什么”,并认定符合条件的所有规则本应该做的所有的信息。规则第一项是规则的操作,协议是第二项,IP地址和端口是第三项。
规则操作在发现适合条件的数据包时要干什么,应该有三个操作:
1)alert:使用选定的警报发出报警,并记录数据包及发送到管理模块。2)Log:记录数据包。3)Pass:忽略此数据包。
协议是规则头部的第二部分,IP地址和端口是规则头部的第三部分。任何IP地址可以用关键字“ANY”来定义,网络检测模块不提供主机名称和IP地址转换,所以IP地址规定为点分十进制的IP地址格式,在IP地址后
指定网络掩码。
4 结论
本文对当前高速网络环境下的入侵检测系统进行了研究与实践。本文设计出高速网络环境下入侵检测系统的设计与实现方案,并基于CEV库做了其应用。
参考文献:
[1]马燕曹、周湛等,信息安全法规与标准[M].北京:机械工业出版社,2004,55-112.
[2]潘志康、邓惠平,IDS是怎样实现响应和告警的[J].网络世界,2002,27(27):41.
[3]陈晓梅,入侵检测中的数据预处理问题研究[J].计算机科学,2006,33(1).