一種基于OpenFlow的入侵檢測評估系統

翁 垚（西安文理學院,西安,710065）

?

一種基于OpenFlow的入侵檢測評估系統

翁 垚
（西安文理學院,西安,710065）

摘要：文章提出了一種基于OpenFlow 網絡技術的入侵檢測評估系統，并基于OpenFlow 技術建立了入侵檢測評價模型，同時闡述了該模型的模型框架、設置方法和模型工作過程，并在該模型的基礎上設計了一個評測系統，該系統利用OpenFlow 靈活的網絡控制能力為IDS 測評搭建真實可控的網絡環境, 在為入侵檢測提供了網絡流量的同時還為測評提供了攻擊數據，最后以評測系統對模型進行了仿真實驗，并分析了實驗結果，得出基于OpenFlow的入侵檢測評估模型準確性與評測效果性能優異的結論。

關鍵詞：OpenFlow; 入侵檢測; 評估系統

入侵檢測系統（IDS）是網絡安全防御中的重要關卡與計算機安全體系中的極重要環節，其作用主要是收集網絡與計算機系統內的各種信息，并對所收集的信息進行分析，隨時監測與記錄計算機系統和網絡中的不安全行為，并將不符合安全策略的一類行為快速報告給安全管理人員。對網絡管理人員來說入侵檢測系統的優劣意義重大，對網絡運行安全的影響也不容忽視。當前我國評價入侵系統的方法較少，其手段也較為守舊落后，如何評價一個入侵評測系統的優劣和如何提高入侵檢測系統性能成為業界研究方向，文章基于此提出了一種基于OpenFlow的入侵評價系統，并對該系統進行了實驗監測，發現該系統各方面性能都較為優越，對當前網絡安全作用較大，因此文章對入侵檢測系統進行分析研究與評測具有現實與理論雙重意義。

1　入侵評測系統現狀分析

隨著計算機通信技術的普及計算機系統中入侵檢測系統的作用與地位日趨重要，并越來越受到業界從業人員的重視。近年來開發入侵檢測系統的廠商繁多，其開發實力與技術參差不齊，開發出的入侵檢測系統也良莠不齊。加之廠商在不具備入侵檢測系統開發功能的情況下過度宣傳和包裝產品，使得普通消費者無從選擇。因此對入侵檢測系統進行科學的測試，并通過測試給予公正準確的評估是廣大業內人士與消費者共同的要求，但由于入侵檢測技術發展較晚其相關評估工作也相對較少，當前要較好的實現對入侵檢測系統的準確評估所面臨的難點較多，單就評測中看似容易實現獲取的網絡流量方面而言就遇到不少問題。首先，對商業正常流量的獲取較難。商業流量通常涉及所謂的商業機密或者牽扯行業敏感數據，難以被獲準獲取，更何談以資研究。其次，流量有大小之分難以正確獲取。流量并非都相同均衡的，一些流量較大很可能產生擁堵情況，另一些流量則可能很小較為流暢，這種大小不一的流量會嚴重影響評測結果。再者，正常的流量難以控制。最后，攻擊流量難以識別。網絡攻擊可以說無處不在且隨時發生著，但即使是在如此頻繁廣泛的網絡攻擊情況下，要具體清晰的對攻擊流量進行識別還是難上加難，更難以將該部分流量當作評價標準實行。

2　基于Openflow的入侵檢測評估模型

由于網絡真實流量難以準確獲取、網絡不可控因素太多等，一般入侵監測系統工作都在仿真環境下進行。然而仿真環境畢竟不是真實的網絡環境，利用仿真環境得出的評估結果與真實網絡環境可能的評估結果會有較大差異，這也說明了評估中數據來源的作用重大。可見要提高仿真環境下評估準確性和可信心就必須加大真是網絡數據的引入，或在仿真網絡環境的基礎上開發基于真實網絡環境的評測技術。而當前軟件定義網絡（Software Defined Network, SDN ）中OpenFlow技術的產生在大大增加了網絡數據控制的靈活性與準確性的同時提高了網絡環境的可控性，使基于真實網絡環境的評測技術實現的可能性大大提高。基于此，文章搭建了基于Openflow的入侵檢測評估模型。

3　基于Openflow 的入侵評測系統評估系統框架

3.1系統框架

文章提出的基于OpenFlow 的入侵檢測評估系統在真實的局域網環境下運行，其研究對象主要是基于網絡的入侵檢測?；贠penflow 的入侵評測系統評估系統框架（如圖1所示）需要由控制器、Openflow 交換機、被測入侵評測系統、普通交換機、攻擊流量發生器等組成。該框架的參數設置模塊包括流量控制、時間控制、自定義測試腳本這三個主要子模塊，具有對參數的自定義測試功能。通過參數設置模塊中的流量控模塊可以為用戶提供一個監測網絡流量不同狀態的窗口，幫助用戶自主選擇合適的網絡流量狀態進行測試。一般情況下內外網流量大小、流速、攻擊流量大小、攻擊頻率等都是能監測到的流量狀態，但以上流量狀態的參數都不夠完備，在用戶對流量參數進行自定義設置后，系統才會依據用戶設置的參數進行全面測試。同樣對該框架中的時間控制模塊用戶也可以進行自定義設置，例如選擇設置測試的開始時間和系統提供的高中低三個等級和自定義等。該評估框架性能測試參數包括抗攻擊力、檢測率、攻擊數、誤警率等多種可選性能指標，性能測試參數用以定義當前的測試主要測試性能的選擇，用戶可以選擇適用于被測入侵檢測系統特征的性能指標進行測試。OpenFlow 交換機的規則設置需要特別關注，本模型中一個至為關鍵的部分是OpenFlow 交換機，OpenFlow 交換機以OpenFlow 的轉發功能的靈活性和可控行為基礎對本模型作用巨大。因此，設置OpenFlow的規則對本模型來說也至關重要，總體來說OpenFlow交換機轉發規則的設置與OpenFlow的數據流息息相關。第一，測試時從攻擊主機等特定網絡中主機發送來的數據傳送到控制處理中心而不轉發。第二，對一般的網絡流量照常轉發。此外，設計中防火墻、路由器、Web 服務器、局域網中正常使用的主機、OpenFlow 控制器等模塊也是框架的核心組成部分，此處不一一贅述。

圖1　基于Openflow 的入侵評測系統評估系統框架

3.2基于Openflow 的入侵評測系統評估模型工作原理

基于Openflow的入侵評測系統評估模型突破使用模擬流量的各種傳統限制, 基于真實網絡環境對入侵評測系統進行多方面性能進行評測，其工作過程較為復雜具體如下所述：

第一，在外部網絡和內容網絡均利用流量發生器產生攻擊流量。在真實網絡環境下進行入侵評測系統評估時考慮到網絡中同一時間內網絡攻擊流量產生無法保障與控制以及同一時間內網絡攻擊的多樣性無法保證與控制，因此在外部網絡和內容網絡均利用流量發生器產生攻擊流量，以便于保證評測的全面性與有效性。第二，內外部攻擊流量通過防火墻進入內部網絡，同時防火墻同樣是外部網絡的真實流量進入內部網絡的必經之路。內網內部署的被測入侵檢測系統檢測攻擊流量并生成檢測報告發給OpenFlow 控制器，經過防火墻進入內網的內外部攻擊流量和外網真實流量經由OpenFlow 交換機轉發，正常流量被按OpenFlow 交換機的定義規則（源MAC 符合被轉發、源IP 地址符合被轉發、源端口符合被轉發等）被照常轉發，攻擊流量則被OpenFlow 交換機攔截并發送給控制處理中心。第三，控制處理

中心統計接收到的攻擊流量并以其與入侵評測系統的報告進行對比，基于對比結果給出被測入侵評測系統評測結果。

4　測試結果及分析

系統模型完成后，本文以該模型對選定了對象進行了實驗測試，發現當閾值較高時，本模型和傳統測評方法得出的結果差別較小，在0誤報率的情況下，檢測率皆為100%。當檢測要求增高時（比如閾值降低）本模型檢測率要比傳統方法的檢測率要低。對實驗評測結果進行分析后得出，本文提出的模型對入侵評測系統的評價結果比傳統方式要苛刻，也顯示出入侵評測系統在真實網絡環境中檢測攻擊行為的能力比模擬網絡環境要低。這一結果說明基于OpenFlow 的入侵評測系統評測模型對入侵評測系統的實際檢測能力測評更真實、更精確。

5　結語

本文在當前入侵評測系統生產紊亂，對入侵評測系統測評方式有限、評測能力低下的情況下提出了一種基于OpenFlow 的入侵評測系統評測系統模型，從模型框架與軟硬件配備以及運行環境方面對模型構建、工作流程等方面行進了詳述，并通過實驗對該模型測評真實網絡環境與模擬網絡環境下的入侵評測系統的真實評測力進行了測評，發現該測評模型系統與傳統測評系統對比作其評測結果更準確全面，為入侵評測系統的測評與選擇提供了新的思路與途徑。

參考文獻

[1] 廖大強,鄭海清. 基于OpenFlow的入侵檢測評估模型[J].計算機系統應用,2014,12:82-87.

[2] 邵國林,陳興蜀,尹學淵,張峰偉. 基于OpenFlow的虛擬機流量檢測系統的設計與實現[J]. 計算機應用,2014,04:1034-1037+1041.

[3] 田慶,朱俊嶺. Openflow在入侵檢測評估中的應用研究[J].硅谷,2014,17:111-112.

An intrusion detection evaluation system based on OpenFlow

Weng Yao
(Xi'an University of Arts and Science, Xi'an,710065)

Abstract：This paper proposes an intrusion detection evaluation system based on OpenFlow network technology,and based on the OpenFlow technology to establish the intrusion detection evaluation model, and elaborated the model framework,the model method and model of the working process, and on the basis of the model to design a performance evaluation system, the system uses the ability of network OpenFlow control of flexible controllable IDS evaluation to build the real network environment,provides the network traffic but also provides data for the evaluation of attack for intrusion detection,and finally to the evaluation system of the model were simulated,and the result is analyzed,the OpenFlow intrusion detection evaluation model and evaluation conclusion performance accuracy is excellent based on

Keywords：OpenFlow;intrusion detection;evaluation system