今日頭條
官方微信
官方抖音
案例頻道關鍵詞:入侵檢測; 高速網絡; 協議分析; 多機處理
1 引言
隨著Internet 網絡安全問題的不斷暴露和當前黑客攻擊技術日益進步,人們逐漸認識到使用防火墻、數字簽名和加密技術這些被動式、靜態的防御技術越來越難于保證網絡的安全。于是,人們開始了主動式、動態地保護網絡安全的入侵檢測系統的研究。第一代和第二代網絡入侵檢測系統即傳統的網絡入侵檢測系統是基于特征模式匹配技術,采用單機采集網絡數據源并加以處理的檢測系統。在過去只有幾兆、幾十兆的網絡流量的網絡環境下,傳統的網絡入侵檢測系統起了非常大的作用。
隨著計算機網絡技術的發展,幾百、上千兆的高速網絡環境已經大量出現。在這種高速網絡環境下,傳統的網絡入侵檢測系統顯得力不從心,其應用瓶頸問題非常突出:漏抓網絡數據包、誤報率高、檢測慢和檢測時有丟包現象發生。那么如何解決傳統的網絡入侵檢測系統的應用瓶頸問題?文章提出的一種網絡入侵檢測系統是基于協議分析技術,并結合特征模式匹配方法,采用高速采集器采集數據源并分發給多處理機進行數據處理的新型系統,它有效的解決了傳統網絡入侵檢測系統的應用瓶頸問題。
2 數據源采集及處理
數據源的采集及處理是網絡入侵檢測系統的核心部分。CIDF通用模型將一個網絡入侵檢測系統分為以下部分:事件產生器(Event generator)、事件分析器(Event analyzer)、響應單元(Response units)和事件數據庫(Event database)。數據源的采集及處理就對應于通用模型的事件產生器和事件分析器。
傳統的網絡入侵檢測系統一般采用一臺普通PC機作為采集器,進行網絡數據流的采集,并同時在該機對數據流進行分析處理。在低速網絡環境下,利用PC機的網卡采集數據不會出現丟包現象,并且單處理機的資源也能滿足對小流量數據的處理。但是,在高速網絡環境下,一臺普通PC機難以滿足大流量數據的采集和處理,會出現丟包和數據包漏檢現象。為此,新型網絡入侵檢測系統采用高速數據采集器,并將采集到的數據流分發給多臺高檔PC進行分布式數據檢測,這樣可以有效地解決丟包及漏檢問題。
高速數據采集器負責抓取完整的高速網絡數據流,這通過專門的的高性能硬件方案來實現,主要包括實時嵌入式操作系統技術和具有高層交換功能的專用ASIC芯片技術。高速數據采集器采集到數據流后,通過負載均衡的原則將數據流分發給多臺高檔PC機進行處理。由于系統采用相同配置的PC作為數據處理機,同時為了提高采集器的工作效率,簡化數據包分發算法,系統采用最簡單的負載均衡算法,即分時傳送——采取循環的方法,每隔一定時間按序向每臺數據處理機傳送數據流。這樣就保證了每臺數據處理機在某一時刻可以分布式處理大體相同的網絡數據流量,提高了數據流檢測的工作效率,解決了單臺普通PC處理數據流量的效率低下、數據漏檢的問題 。
3 協議分析技術
3.1模式匹配的不足
傳統入侵檢測系統使用模式匹配技術作為網絡數據包分析技術。它是將采集的網絡數據流與已知的網絡入侵特征規則庫中的規則逐條進行比較,以發現入侵行為。其工作步驟如下:
1)從捕獲的網絡數據流的第一個數據包的第一個字節開始與入侵特征規則庫的第一個特征規則字符串比較。
2)如果比較結果相同,則說明檢測到一個可能的攻擊。
3)如果比較結果不同,則將數據包下移一個字節再進行比較。
4)直到把特征規則字符串的每一個字節都匹配完。
5)對于每一個入侵特征規則字符串,重復第二步。
6)直到每一個入侵特征規則都匹配完。
下面用模式匹配的一個例子來說明。
00E0 FC04 68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010
以上為采集的數據包,對于入侵特征規則字符串“/technote/print.cgi ”,根據上述步驟,首先從數據包頭部開始比較:
/technote/print.cgi
00E0 FC04 68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010
比較不成功,下移一個字節重新比較。
——/technote/print.cgi
00E0 FC04 68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010
比較仍不成功,則又下移一個字節比較。如此重復,最終沒有一次匹配成功。接著與入侵特征規則庫中的下一個規則進行比較。
從該例可以看出,模式匹配有以下缺點:
1)缺乏智能化,系統資源耗費大
模式匹配技術不對數據包進行智能分析,僅僅單純將特征字符串同數據包按字節依次匹配,這就導致計算工作量大,消耗系統資源。
對于一個特定網絡的數據流來說,采用數據匹配方法每秒需比較的最大次數估算為:
網絡數據包字節數×每秒數據包數量×入侵特征串字節數×入侵特征數量
如果網絡數據包平均長度為60字節,每秒40000數據包,入侵特征庫中有3000條特征,每條特征字符串平均長度為10字節,那么每秒比較的次數大約為:
60×40000×10×3000=72000000000
2)檢測效率低
模式匹配只能檢測特定類型的入侵。對入侵特征微小的變形都將使檢測失敗。如對于Web服務器, 入侵特征“/technote/print.cgi”的變形”/technote//print.cgi”、 “/technote%c0%afprint.cgi”用模式匹配方法不能檢測出來。
3.2協議分析技術的優點
3.2.1減小匹配計算量
網絡數據流是按通信協議的要求構成的,而通信協議規定了數據報文具有高度的格式,報文的每部分都有明確的含義和取值。傳統的模式匹配把網絡數據包看成是無序、無一定格式、隨意的字節流。它對網絡數據包的內部結構完全不了解,并且對于網絡中傳輸的圖象或音頻同樣進行匹配。這樣勢必造成檢測效率低下、不精確的后果。而協議分析技術有效的利用了網絡協議的層次性和相關協議的知識快速的判斷入侵特征是否存在。它的高效使得匹配的計算量大幅度減小。即使在100Mb/s以上的網絡中,也可以充分地檢測每一個數據包。
仍以上述數據包為例,討論一下基于協議分析技術的網絡入侵檢測系統是如何處理的。網絡協議規定以太網絡數據包中第13字節處包含了兩個字節的網絡層協議字段,如圖1所示。基于協議分析的入侵檢測系統利用這個知識開始第一步檢測:跳過數據包前面12個字節,讀取第13字節處的2字節協議字段為0x0800。根據協議規定可以判斷這個網絡數據包是IP包。
圖1利用協議分析技術進行數據包分析
根據IP協議規定,數據包的第24字節處有一個1字節的傳輸層協議標識。系統直接從第15字節跳到第24字節讀取傳輸層協議字段為0x06,這個數據包是TCP協議包。
再根據TCP協議規定,在數據包第37字節處有一個2字節的應用層協議字段,即端口號。于是系統從第25字節直接跳到第37字節讀取端口號為0x0050,即80。從該端口號可知數據包是一個HTTP協議的數據包。
再根據HTTP協議規定,在數據包第55字節是URL開始處,要檢測入侵特征“/technote/print.cgi”,只需要仔細檢測這個URL就可以了。
從上述數據包的檢測過程可以看出,利用協議分析可以大大減小模式匹配的計算量,提高匹配的精確度,減少誤報率。
3.2.2有效地針對欺騙性攻擊
單純采用模式匹配對網絡數據包進行特征查找的方法,必須是針對某些特定的已知攻擊。但是很多攻擊者越來越狡猾,他們往往使用一些攻擊程序的變體進行攻擊,以求逃過檢測系統的檢測。而模式匹配對這種變體欺騙卻無能為力,但是協議分析可以有效地針對欺騙性攻擊。
舉例來說,假設需要對含有/way-board/way-board.cgi的URL發出警報。入侵者可以使用反斜杠\代替斜杠/。大多數Web服務器對于使用反斜杠\還是斜杠/來劃分目錄不敏感,所以Web服務器認為含有/way-board/way-board.cgi和含有\way-board\way-board.cgi的URL是一回事。而基于模式匹配的入侵檢測系統只是進行簡單的字符匹配工作,所以對出現\way-board\way-board.cgi不加理睬。但協議分析方法可以識別這種變體入侵。當一個HTTP通信開始被監控時,IDS傳感器從URL中讀出路徑,然后對其進行分析。它適當地分析反斜杠,使URL標準化,然后找出可疑的目錄內容,如/way-board/way-board.cgi。又例如在unicode攻擊中,與ASCII字符相關的HEX編碼一直到%7f,Unicode編碼的值要高于它。以包含/store%c0%afagora.cgi的URL路徑為例,%c0%af在Unicode中相當于斜杠/,這樣就是/store/agora.cgi。這也是攻擊特征。使用包含Unicode編碼解析的協議分析,就可以識別這種欺騙。
下面說明協議分析如何識別包含/store%c0%afagora.cgi的URL,流程如圖2所示。
1)對網絡數據包的IP包頭進行解析,確定IP有效負載所包含的協議。本例IP協議字段為6即TCP協議。
2)對TCP頭進行解析,確定TCP目的端口。本例TCP目的端口是Web服務器端口80,說明數據部分采用HTTP協議。
3)對HTTP協議進行解析,識別URL路徑。
4)對URL進行解析,識別路徑欺騙、HEX編碼和Unicode編碼。
5)最后判斷路徑中是否包含 /store/agora.cgi,若有則報警。
圖2 識別URL的流程圖
4 結束語
實驗驗證,在高速大流量網絡環境下,采用高速采集器采集數據源并分發給多處理機進行數據處理,同時使用協議分析技術,并結合模式匹配方法的新一代網絡入侵檢測系統與采用普通采集器,單純使用模式匹配方法的網絡入侵檢測系統相比,在檢測效率、性能等方面都有很大提高。在后續的工作中,檢測系統在檢測方法上還須結合異常(anomaly)統計的檢測技術, 以便能夠檢測更廣泛及更多未知的攻擊。
參考文獻
[1]余揚,孔夢榮. 基于FPGA器件的高速以太網入侵檢測系統設計與實現[J].微計算機信息,2005,(3):55-57
[2]蔣文保.寬帶網絡入侵檢測系統的分析與實現[J].計算機工程, 2003,(1):30-31
[3]劉文濤.Linux網絡入侵檢測系統[M].北京: 電子工業出版社,2004
[4]高光勇等.聯動防火墻的主機入侵檢測系統的研究[J]. 微計算機信息,2005,(7-3):66-68
[5]唐正軍 等.網絡入侵檢測系統的設計和 實現[M].北京:電子工業出版社,2002
北京市公安局海淀分局備案號:11010802023656號