多網絡環境下的差異化入侵特征檢測平臺的設計與實現

周小松　劉帥

摘 要： 傳統的網絡入侵特征檢測方法，檢測準確性低。因此，設計并實現基于Libnids分布式入侵檢測系統，該系統將多網絡環境分割為不同邏輯區域，各邏輯區域包含不同的分析節點，各分析節點由數據探測部件、分析檢測部件和管理控制部件組成。在系統實現方面，利用WinPcap函數庫完成數據包的采集，依據采集的數據包，通過WM模式匹配算法和協議分析匹配檢測模型，進行差異化入侵特征的檢測。實驗結果表明，該系統具有較高的檢測率、較低的虛警率和漏報率。

關鍵詞： 多網絡； 差異化入侵特征； WinPcap函數庫； 檢測平臺

中圖分類號： TN711?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2017）10?0149?04

Abstract： Since the traditional network intrusion feature detection method has low detection accuracy， a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes， and each node is composed of the data detection unit， analysis and detection unit， and management control unit. The WinPcap function library is used to acquire the data package， according to which， the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate， low false alarm rate and low missing report rate.

Keywords： multi?network； differentiation intrusion feature； WinPcap function library； detection platform

0 引 言

隨著互聯網技術的快速發展，網絡攻擊問題也逐漸增加，而當前多網絡技術也成為快速發展的趨勢，多網絡技術廣泛應用于不同的領域。因此，為了確保網絡信息系統的安全，尋求有效的多網絡入侵特征檢測方法，具有重要的應用意義[1?3]。傳統的網絡入侵特征檢測方法，僅分析了不同網絡層間的點對點數據檢測過程，未分析多網絡環境下各應用層間的差異性較大產生的分類屬性差異模糊的問題，導致網絡入侵特征檢測準確性降低[4?6]。

1 基于Libnids分布式入侵檢測系統的研究

1.1 系統總體邏輯結構設計

本文采用具有開放性的可用于網絡入侵檢測開發的專業編程接口Libnids（Library Network Intrusion Detection System），在Windows 操作系統平臺下設計了分布式網絡入侵檢測平臺。通過網絡安全開發包Libnids提供的編程接口，可設計出結構化強的分布式網絡入侵檢測系統，實現多網絡環境下的差異化入侵特征檢測，其邏輯結構如圖1所示。

將總體、入侵檢測系統分割成三個不同的邏輯子網，各子網中設置不同的分析節點，各節點由數據探測部件、分析檢測部件和管理控制部件構成。

1.2 分析節點的邏輯結構設計

設計的入侵檢測系統是融合狀態檢測、入侵分析和檢測等功能的，適用于多網絡環境的差異化入侵特征的檢測系統。采用“分而自治”的思想將總體多網絡環境分割成不同區域，將各區域看成不同的分析節點，各節點中有一個管理控制部件、多個數據探測部件和多個分析檢測部件。數據探測部件采集網絡數據包，過濾其中的無價值數據，采集有價值數據，同時反饋給相應的分析檢測部件。

分析檢測部件對數據探測部件反饋的數據進行模式匹配以及協議研究，明確是否存在差異化入侵特征將結果反饋給管理控制部件進行存儲。管理控制部件同其他分析節點進行信息的溝通，采用圖像界面顯示出數據包信息和差異化入侵特征信息。各分析結點的邏輯結構如圖2所示。

2 基于Libnids分布式入侵檢測系統的功能實現

2.1 數據探測部件利用WinPcap實現數據包的采集

數據探測部件是總體系統的基礎，其由數據包采集模塊和過濾器模塊構成，采集多網絡環境中的差異化網絡數據包，并刪除其中的無價值數據，將有價值數據反饋給所屬的分析檢測部件。設計的數據探測部件在Windows平臺下利用WinPcap函數庫實現了數據包的監測和采集，并進行初步過濾，為網絡差異化入侵特征的檢測提供基礎。

多網絡環境能夠分割成不同的區域，各區域也就是一個局域網，這些局域網間采用廣播信道通信途徑進行通信，該通信方法確保多網絡環境匯總傳遞的數據包，可被相同區域中的全部站點接收，并且不同站點的網卡能夠實現數據包的發送以及接收。在Windows平臺下網絡數據包采集程序的結構如圖3所示。

采集到的海量數據包中含有較多的不必檢測的數據包。為了提高入侵檢測分析模塊的分析效率，需要采用過濾器模塊過濾出制定種類的數據包。過濾器模塊調用WinPcap的函數，對HTTP，TCP，UDP，KMP，ARP以及IP數據包進行過濾，完成網絡數據包的采集，具體的流程如圖4所示。

2.2 分析檢測部件的設計和實現

2.2.1 入侵檢測分析模塊的設計

入侵檢測分析模塊是系統的關鍵部分，系統通過協議分析技術和模式匹配技術，對網絡數據包進行分析，進而判斷多網絡環境中是否存在差異化入侵特征，入侵檢測分析模塊的基本結構如圖5所示。

2.2.2 模式匹配算法的選擇

WM算法包括預操作和檢索兩個過程，預操作過程對模式串L進行操作后，形成SHIFT表、HASH表和PREFIX表。其中SHIFT為無價值字符表，可保存文本中全部塊字符的移動距離；HASH可保存同匹配窗口中末位塊字符散列值一致的模式串；PREFIX表包括同匹配窗口中第一塊字符散列值一致的模式串。檢索過程采用上述三個表對匹配串T進行遍歷分析，完成差異化入侵特征的檢測，具體的實現流程如圖6所示。

2.2.3 分析匹配檢測基本流程與實現

完成數據包的解析后，需要對網絡協議進行分析和匹配檢測，具體的流程如圖7所示。

通過上述描述的協議分析匹配檢測方法，對獲取的網絡數據包進行檢測時，可通過Libnids關聯的函數對不同的網絡入侵特征進行檢測，具體的流程見圖8。

2.3 通信模塊的設計與實現

連接申請后塑造連接和遠程通信接口，完成信息交互。通信模塊進行通信的工作流程如圖9所示。通過SSL協議完成多網絡環境下的信息傳遞，可確保不同分析節點的通信模塊間通信的安全性。

SSL為安全協議，其具備信息加密、數字簽到等功能，可依據TCP協議中提供的穩定端到端安全服務，確保客戶/服務器應用間通信的安全性。系統要求程序間的通信，在SSL協議進行完數據加密、會話密銷的控制后，再進行通信，并且對程序通信傳輸的數據進行加密，進而提升總體通信的安全性。

3 實驗分析

實驗采用不同的攻擊工具進行相應數量的攻擊模擬，分析本文系統的入侵檢測系統在多網絡環境下的入侵檢測效果，并設置在40 Mb/s網絡流量下的入侵檢測虛警率應小于2%，漏報率小于1.8%。本文系統的測試結果，如表1所示。

分析表1可以看出，本文設計的入侵檢測系統的檢測率高于95%，并且虛警率以及漏報率都符合設置的規范要求，說明本文系統能夠實現多網絡環境下的差異化入侵特征的準確檢測。實驗對基于關聯規則的入侵檢測系統，在相同的網絡環境下，通過相應的攻擊工具進行同數量的攻擊模擬的檢測結果如表2所示。

對比分析表1和表2 可以看出，本文系統的入侵檢測率高于關聯規則方法，并且本文系統的虛警率和漏報率均低于關聯規則方法。因此說明，本文系統的入侵檢測性能較高，具有較高的應用價值。

4 結 論

本文設計并實現了基于Libnids分布式入侵檢測系統，在該系統實現方面，利用WinPcap函數庫完成數據包的采集，依據采集的數據包，通過WM模式匹配算法和協議分析匹配檢測模型，進行差異化入侵特征的檢測。實驗結果表明，該系統具有較高的檢測率、較低的虛警率和漏報率。

表2 基于關聯規則的入侵檢測系統測試結果

參考文獻

[1] 王輝，陳泓予，劉淑芬.基于改進樸素貝葉斯算法的入侵檢測系統[J].計算機科學，2014，41（4）：111?115.

[2] 程建，張明清，劉小虎，等.基于人工免疫的分布式入侵檢測模型[J].計算機應用，2014，34（1）：86?89.

[3] 張雙雙，王延年.節點分布不均勻的無線傳感網絡低功耗算法[J].西安工程大學學報，2015，29（6）：720?723.

[4] 譚愛平，陳浩，吳伯橋.基于SVM的網絡入侵檢測集成學習算法[J].計算機科學，2014，41（2）：197?200.

[5] 吳瓊.云計算環境下的聯合網絡入侵檢測方法仿真[J].計算機仿真，2015，32（6）：276?279.

[6] 劉增鎖.云計算環境下海量數據中入侵檢測挖掘模型[J].計算機仿真，2015，32（6）：289?291.