基于COME模塊的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)

葉開珍

(廣州應(yīng)用科技學(xué)院,計(jì)算機(jī)學(xué)院， 廣東，肇慶 526000)

0 引言

由于計(jì)算機(jī)技術(shù)的快速發(fā)展，人們同時(shí)生活在現(xiàn)實(shí)和網(wǎng)絡(luò)2個(gè)世界中，逐漸改變著人們的工作和生活方式，推進(jìn)國(guó)家現(xiàn)代化發(fā)展[1]。目前，國(guó)內(nèi)對(duì)入侵檢測(cè)相關(guān)技術(shù)的研究與應(yīng)用主要在于針對(duì)已有模式匹配算法的改進(jìn)以及算法測(cè)試方面。國(guó)外入侵檢測(cè)系統(tǒng)己經(jīng)進(jìn)入相對(duì)成熟期，已經(jīng)有很多比較成功的商業(yè)化產(chǎn)品。然而在實(shí)際的應(yīng)用過(guò)程中發(fā)現(xiàn)，目前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)普遍存在誤報(bào)率高、檢測(cè)速度慢等問(wèn)題，針對(duì)上述傳統(tǒng)系統(tǒng)存在的問(wèn)題，其創(chuàng)新之處在于利用COME模塊實(shí)現(xiàn)系統(tǒng)的優(yōu)化設(shè)計(jì)。COME模塊是一個(gè)以標(biāo)準(zhǔn)模塊封裝的計(jì)算機(jī)主機(jī)，在高集成度CPU的控制下，得出最小系統(tǒng)組成的模塊。COME模塊能夠支持32個(gè)PCI Express Lane，提供80 Gbps的總帶寬，且能夠支持3個(gè)千兆以太網(wǎng)接口[2]。將COME模塊應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)工作中，避免了大部分的技術(shù)風(fēng)險(xiǎn)，間接地提升系統(tǒng)的運(yùn)行性能。

1 網(wǎng)絡(luò)入侵檢測(cè)硬件系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)的意義是實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)環(huán)境中是否存在非法入侵的行為，一般來(lái)講網(wǎng)絡(luò)入侵檢測(cè)可以分為3個(gè)步驟，分別為數(shù)據(jù)收集、數(shù)據(jù)分析和決策響應(yīng)。在網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行數(shù)據(jù)的支持下，通過(guò)數(shù)據(jù)分析結(jié)果與特征庫(kù)的匹配，或利用異常檢測(cè)硬件設(shè)備進(jìn)行分析，判斷網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)入侵情況，并確定入侵節(jié)點(diǎn)位置[3]。而系統(tǒng)的軟件功能就是以程序代碼的形式，實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)功能，并得出最終的檢測(cè)結(jié)果。

1.1 COME模塊與主板設(shè)計(jì)

COME模塊與主板的連接分為AB列和CD列，其中AB列為必選接口，CD列為可選接口，可提供PCI-Express、SATA、LVDS、LPC總線、以太網(wǎng)、電源等接口；CD是一個(gè)可選接口，提供SDVO、PCI、IDE、PCI Express、LAN以太網(wǎng)、電源和接口。AB列和CD列分別由220個(gè)引腳組成。圖1顯示了COME模塊的附加信號(hào)連接。

圖1 COME模塊的外接信號(hào)

通過(guò)COME模塊的連接，完成系統(tǒng)主板的擴(kuò)展和完善[4]。

1.2 網(wǎng)絡(luò)處理器

網(wǎng)絡(luò)處理器采用了全新的設(shè)計(jì)理念，具有 ASIC芯片的高速處理能力，同時(shí)具有完整的可編程功能。網(wǎng)絡(luò)處理器的功能包括數(shù)據(jù)的分片重組、數(shù)據(jù)幀的識(shí)別、流量控制的實(shí)現(xiàn)、服務(wù)質(zhì)量的保證、消息的過(guò)濾等[5]。在本質(zhì)上，網(wǎng)絡(luò)處理器是一個(gè)越來(lái)越復(fù)雜的多目標(biāo)系統(tǒng)的優(yōu)化過(guò)程。網(wǎng)絡(luò)處理器的內(nèi)部結(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)處理器的硬件單元結(jié)構(gòu)圖

圖2中，網(wǎng)絡(luò)處理器對(duì)網(wǎng)絡(luò)報(bào)文流進(jìn)行處理的核心部件是處理單元,內(nèi)核結(jié)構(gòu)及間組織結(jié)構(gòu)是區(qū)分網(wǎng)絡(luò)處理器類型的重要依據(jù)。網(wǎng)絡(luò)處理器芯片采用硬件多線程結(jié)構(gòu)，減少了數(shù)據(jù)處理過(guò)程中訪問(wèn)內(nèi)存的平均時(shí)間，提高了運(yùn)算效率。

1.3 系統(tǒng)接口與電路

因?yàn)樵跈z測(cè)過(guò)程中，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的運(yùn)行終端可能被黑客入侵，所以需要提供死機(jī)重置按鈕，并采用不同的觸發(fā)方式，以實(shí)現(xiàn)系統(tǒng)程序的升級(jí)[6]。采用Max811T芯片設(shè)計(jì)復(fù)位系統(tǒng)電路，抗干擾能力強(qiáng)，能有效地排除誤觸發(fā)動(dòng)作，避免因干擾而造成誤復(fù)位。系統(tǒng)復(fù)位電路的設(shè)計(jì)結(jié)果，如圖3所示。

圖3 系統(tǒng)復(fù)位電路圖

此外， RTC時(shí)鐘是保證系統(tǒng)正常工作的關(guān)鍵電路。在入侵檢測(cè)系統(tǒng)運(yùn)行終端關(guān)機(jī)后，要求其時(shí)鐘仍按當(dāng)前北京時(shí)間運(yùn)行，而不是直接顯示其初始時(shí)間。

1.4 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)

以技術(shù)信息為基礎(chǔ)，以網(wǎng)絡(luò)數(shù)據(jù)管理為核心，實(shí)現(xiàn)了數(shù)據(jù)的高效存儲(chǔ)，滿足了不同用戶的應(yīng)用需求[7]。其中一個(gè)部分主要用來(lái)存儲(chǔ)待檢測(cè)網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)信息，主要為流量信息、用戶信息、用戶權(quán)限信息等，另一部分用來(lái)存儲(chǔ)不同網(wǎng)絡(luò)攻擊類型下對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)變化特征數(shù)據(jù)，以及入侵檢測(cè)結(jié)果數(shù)據(jù)。建立系統(tǒng)數(shù)據(jù)庫(kù)中的實(shí)體數(shù)據(jù)表，并將收集的實(shí)時(shí)數(shù)據(jù)按照固定的結(jié)構(gòu)存儲(chǔ)其中[8]。

2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)軟件功能設(shè)計(jì)

根據(jù)網(wǎng)絡(luò)行為和狀態(tài)特征，結(jié)合網(wǎng)絡(luò)數(shù)據(jù)包傳輸協(xié)議的分析結(jié)果，設(shè)置網(wǎng)絡(luò)入侵檢測(cè)規(guī)則。在硬件設(shè)備和數(shù)據(jù)庫(kù)的雙重支持下，確定系統(tǒng)軟件功能體系結(jié)構(gòu)如圖4所示。

圖4 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)軟件體系結(jié)構(gòu)圖

2.1 捕獲實(shí)時(shí)網(wǎng)絡(luò)傳輸數(shù)據(jù)

網(wǎng)絡(luò)的本質(zhì)是實(shí)現(xiàn)信息的交互，分為信息上傳、信息下載和信息傳輸3個(gè)部分，為了保證網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，不同的網(wǎng)絡(luò)在不同協(xié)議的約束下，實(shí)現(xiàn)信息傳輸。以IPv6協(xié)議為例，該協(xié)議能夠提供足夠的地址空間，能夠?qū)鬏敂?shù)據(jù)的地址位數(shù)從32位擴(kuò)展到128位，為單位空間提供6×1023個(gè)網(wǎng)絡(luò)地址，在滿足網(wǎng)絡(luò)地址增長(zhǎng)需求的同時(shí)，也為網(wǎng)絡(luò)接口提供了豐富的鏈接標(biāo)識(shí)。根據(jù)采集設(shè)備檢索對(duì)應(yīng)的緩沖區(qū)，從網(wǎng)卡直接將數(shù)據(jù)包傳輸?shù)讲杉O(shè)備[9]。

2.2 數(shù)據(jù)處理與特征選擇

為了保證網(wǎng)絡(luò)入侵檢測(cè)的精度，聚類處理網(wǎng)絡(luò)數(shù)據(jù)，提升數(shù)據(jù)特征的提取質(zhì)量。首先標(biāo)準(zhǔn)化處理捕獲的網(wǎng)絡(luò)數(shù)據(jù)，解決量綱異構(gòu)的問(wèn)題，使數(shù)據(jù)擁有相同的權(quán)值，將網(wǎng)絡(luò)上收集的數(shù)據(jù)轉(zhuǎn)化為無(wú)單位變量。在此基礎(chǔ)上隨機(jī)選擇網(wǎng)絡(luò)數(shù)據(jù)作為聚類中心，在大量聚類數(shù)據(jù)的支持下，設(shè)置2種特征值，分別為數(shù)字型特征值和離散型特征值[10-11]。在網(wǎng)絡(luò)連接中，網(wǎng)絡(luò)端口號(hào)、網(wǎng)絡(luò)數(shù)據(jù)包數(shù)等連接屬性均為數(shù)值型數(shù)據(jù)，而網(wǎng)絡(luò)連接的協(xié)議類型、數(shù)據(jù)包類型等均為離散特征值[12]。

2.3 實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)

在網(wǎng)絡(luò)入侵檢測(cè)規(guī)則的約束下，以提取的網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)運(yùn)行特征為基礎(chǔ)[13]，按照?qǐng)D5表示的流程，實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)，輸出檢測(cè)結(jié)果，當(dāng)檢測(cè)結(jié)果為存在入侵時(shí)啟動(dòng)告警響應(yīng)程序。

圖5 網(wǎng)絡(luò)入侵檢測(cè)流程圖

分析圖5得知，綜合分析決策層包含分析器和數(shù)據(jù)庫(kù)，在獲取數(shù)據(jù)進(jìn)行預(yù)處理后，進(jìn)行過(guò)程模型規(guī)則檢查，從而制訂響應(yīng)策略和方式[14]。控制管理層則是警報(bào)輸出的態(tài)勢(shì)分析。數(shù)據(jù)采集模塊采集實(shí)時(shí)審計(jì)數(shù)據(jù)，這些數(shù)據(jù)包含系統(tǒng)和用戶在節(jié)點(diǎn)內(nèi)部的操作行為、通過(guò)該節(jié)點(diǎn)的通信行為以及在通信范圍內(nèi)通過(guò)該節(jié)點(diǎn)可觀察到的其他通信行為。協(xié)作檢測(cè)模塊的作用是傳送鄰近節(jié)點(diǎn)之間的異常檢測(cè)狀態(tài)信息，利用接收到的其他節(jié)點(diǎn)的狀態(tài)信息，找到出本節(jié)點(diǎn)的異常檢測(cè)狀態(tài)并警告輸出[15]。

3 系統(tǒng)測(cè)試

3.1 系統(tǒng)運(yùn)行與測(cè)試環(huán)境

系統(tǒng)測(cè)試環(huán)境使用6臺(tái)機(jī)器，其中1臺(tái)為網(wǎng)絡(luò)的服務(wù)器設(shè)備，用來(lái)進(jìn)行負(fù)載平衡和數(shù)據(jù)包的轉(zhuǎn)發(fā)。1臺(tái)用來(lái)制造大流量的發(fā)包設(shè)備，另外4臺(tái)設(shè)備均為計(jì)算機(jī)設(shè)備。

另外由于設(shè)計(jì)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)用了COME模塊，因此需要對(duì)該模型運(yùn)行的硬件設(shè)備和軟件程序進(jìn)行配置，保證該模塊可以在測(cè)試環(huán)境中順利運(yùn)行。

3.2 系統(tǒng)測(cè)試過(guò)程與結(jié)果分析

將準(zhǔn)備的實(shí)驗(yàn)數(shù)據(jù)樣本添加到網(wǎng)絡(luò)傳輸序列中，并控制啟動(dòng)網(wǎng)絡(luò)攻擊程序。以并行的方式同時(shí)啟動(dòng)3個(gè)檢測(cè)系統(tǒng)，并得出相應(yīng)的檢測(cè)結(jié)果。經(jīng)過(guò)相關(guān)數(shù)據(jù)的統(tǒng)計(jì)與計(jì)算，得出系統(tǒng)入侵檢測(cè)功能的測(cè)試對(duì)比結(jié)果，如表1所示。

表1 系統(tǒng)入侵檢測(cè)功能測(cè)試結(jié)果

通過(guò)對(duì)表1中的數(shù)據(jù)分析可以看出，相比于2個(gè)對(duì)比系統(tǒng)，設(shè)計(jì)系統(tǒng)的入侵檢測(cè)類型與設(shè)置的入侵類型一致，從入侵次數(shù)上來(lái)看，設(shè)計(jì)系統(tǒng)檢測(cè)的入侵次數(shù)更加接近設(shè)計(jì)設(shè)置的入侵次數(shù)。應(yīng)用3種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，并根據(jù)檢測(cè)結(jié)果采取防御措施，統(tǒng)計(jì)相同的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)數(shù)據(jù)的丟失情況，如表2所示。

表2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)用性能測(cè)試結(jié)果

從表2中可以看出，在相同的網(wǎng)絡(luò)環(huán)境下，應(yīng)用3種不同的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最終網(wǎng)絡(luò)實(shí)際數(shù)據(jù)丟失量分別為7.49 MB、2.40 MB和0.27 MB，由此可見應(yīng)用設(shè)計(jì)檢測(cè)系統(tǒng)能夠更大程度地保護(hù)數(shù)據(jù)安全。

4 總結(jié)

網(wǎng)絡(luò)安全問(wèn)題一直以來(lái)都是研究中的重點(diǎn)問(wèn)題，在網(wǎng)絡(luò)及其相關(guān)技術(shù)發(fā)展的同時(shí)，入侵手段也在逐步優(yōu)化，并呈現(xiàn)出一定的發(fā)展趨勢(shì)。通過(guò)COME模塊的應(yīng)用，解決了傳統(tǒng)硬件系統(tǒng)的運(yùn)行問(wèn)題，間接地提升了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的功能和應(yīng)用性能。