1、高速網絡入侵檢測系統應用瓶頸解決方案摘 要： 文章提出的網絡入侵檢測系統是基于協議分析技術，并結合特征模式匹配方法，采用高速采集器采集數據源并分發給多處理機進行數據處理的新型系統，它有效地解決了傳統網絡入侵檢測系統在高速網絡環境下的應用瓶頸問題。關鍵詞：入侵檢測; 高速網絡; 協議分析; 多機處理1 引言隨著 Internet 網絡安全問題的不斷暴露和當前黑客攻擊技術日益進步，人們逐漸認識到使用防火墻、數字簽名和加密技術這些被動式、靜態的防御技術越來越難于保證網絡的安全。于是，人們開始了主動式、動態地保護網絡安全的入侵檢測系統的研究。第一代和第二代網絡入侵檢測系統即傳統的網絡入侵檢測系統是基于

2、特征模式匹配技術，采用單機采集網絡數據源并加以處理的檢測系統。在過去只有幾兆、幾十兆的網絡流量的網絡環境下，傳統的網絡入侵檢測系統起了非常大的作用。隨著計算機網絡技術的發展，幾百、 上千兆的高速網絡環境已經大量出現。在這種高速網絡環境下，傳統的網絡入侵檢測系統顯得力不從心，其應用瓶頸問題非常突出：漏抓網絡數據包、誤報率高、檢測慢和檢測時有丟包現象發生。那么如何解決傳統的網絡入侵檢測系統的應用瓶頸問題?文章提出的一種網絡入侵檢測系統是基于協議分析技術，并結合特征模式匹配方法，采用高速采集器采集數據源并分發給多處理機進行數據處理的新型系統，它有效的解決了傳統網絡入侵檢測系統的應用瓶頸問題。2 數據

3、源采集及處理數據源的采集及處理是網絡入侵檢測系統的核心部分。CIDF 通用模型將一個網絡入侵檢測系統分為以下部分: 事件產生器( Event generator ) 、 事件分析器( Event analyzer ) 、響應單元(Response units )和事件數據庫(Event database )。數據源的采集及處理就對應于通用模型的事件產生器和事件分析器。傳統的網絡入侵檢測系統一般采用一臺普通PC機作為采集器，進行網絡數據流的采集，并同時在該機對數據流進行分析處理。在低速網絡環境下，利用PC機的網卡采集數據不會出現丟包現象，并且單處理機的資源也能滿足對小流量數據的處理。但是， 在高

4、速網絡環境下，一臺普通PC機難以滿足大流量數據的采集和處理，會出現丟包和數據包漏檢現象。為 此，新型網絡入侵檢測系統采用高速數據采集器，并將采集到的數據流分發給多臺高檔PC進行分布式數據檢測，這樣可以有效地解決丟包及漏檢問題。高速數據采集器負責抓取完整的高速網絡數據流，這通過專門的的高性能硬件方案來實現，主要包括實時嵌入式操作系統技術和具有高層交換功能的專用ASIC芯片技術。高速數據采集器采集到數據流后，通過負載均衡的原則將數據流分發給多臺高檔PC機進行處理。由于系統采用相同配置的PC作為數據處理機，同時為了提高采集器的工作效率，簡化數據包分發算法，系統采用最簡單的負載均衡算法，即分時傳送采取

5、循環的方法， 每隔一定時間按序向每臺數據處理機傳送數據流。這樣就保證了每臺數據處理機在某一時刻可以分布式處理大體相同的網絡數據流量，提高了數據流檢測的工作效率，解決了單臺普通PC處理數據流量的效率低下、數據漏檢的問題。3 協議分析技術3.1 模式匹配的不足傳統入侵檢測系統使用模式匹配技術作為網絡數據包分析技術。它是將采集的網絡數據流與已知的網絡入侵特征規則庫中的規則逐條進行比較，以發現入侵行為。其工作步驟如下：1）從捕獲的網絡數據流的第一個數據包的第一個字節開始與入侵特征規則庫的第一個特征規則字符串比較。2）如果比較結果相同，則說明檢測到一個可能的攻擊。3）如果比較結果不同，則將數據包下移一個

6、字節再進行比較。4）直到把特征規則字符串的每一個字節都匹配完。5）對于每一個入侵特征規則字符串，重復第二步。6）直到每一個入侵特征規則都匹配完。下面用模式匹配的一個例子來說明。00E0 FC04 68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010以上為采集的數據包，對于入侵特征規則字符串“/technote/print.cgi ”，根據上述步驟，首先從數據包頭部開始比較：/technote/print.cgi00E0 FC04

7、68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010比較不成功，下移一個字節重新比較。 /technote/print.cgi00E0 FC04 68AC 0011 5BD8 1FF2 0800 4500 0040 08AC 4000 2006 B06C AC53 6352 BD25 CD12 050D 0050 221A 0112 415B 063A 7010比較仍不成功，則又下移一個字節比較。如此重復，最終沒有一次匹配成功。接

8、著與入侵特征規則庫中的下一個規則進行比較。從該例可以看出，模式匹配有以下缺點：1）缺乏智能化，系統資源耗費大模式匹配技術不對數據包進行智能分析，僅僅單純將特征字符串同數據包按字節依次匹配，這就導致計算工作量大，消耗系統資源。對于一個特定網絡的數據流來說，采用數據匹配方法每秒需比較的最大次數估算為：網絡數據包字節數X每秒數據包數量X入侵特征串字節數X入侵特征數量如果網絡數據包平均長度為60字節， 每秒 40000數據包， 入侵特征庫中有3000條特征，每條特征字符串平均長度為10 字節，那么每秒比較的次數大約為：60 X 40000X 10 X 3000=720000000002）檢測效率低模式

9、匹配只能檢測特定類型的入侵。對入侵特征微小的變形都將使檢測失敗。如對于Web 服務器 , 入侵特征“/technote/print.cgi ”的變形”/technote/print.cgi ”、 “ /technote%c0%afprint.cgi ”用模式匹配方法不能檢測出來。3.2 協議分析技術的優點3.2.1 減小匹配計算量網絡數據流是按通信協議的要求構成的，而通信協議規定了數據報文具有高度的格式，報文的每部分都有明確的含義和取值。傳統的模式匹配把網絡數據包看成是無序、無一定格式、 隨意的字節流。它對網絡數據包的內部結構完全不了解，并且對于網絡中傳輸的圖象或音頻同樣進行匹配。這樣勢必造成

10、檢測效率低下、不精確的后果。而協議分析技術有效的利用了網絡協議的層次性和相關協議的知識快速的判斷入侵特征是否存在。它的高效使得匹配的計算量大幅度減小。即使在100Mb/s 以上的網絡中，也可以充分地檢測每一個數據包。仍以上述數據包為例，討論一下基于協議分析技術的網絡入侵檢測系統是如何處理的。網絡協議規定以太網絡數據包中第13 字節處包含了兩個字節的網絡層協議字段，如圖1 所示?；趨f議分析的入侵檢測系統利用這個知識開始第一步檢測：跳過數據包前面12 個字節，讀取第13字節處的2字節協議字段為 0x0800。根據協議規定可以判斷這個網絡數據包是 IP 包。OOEO004DCD12以太網類型字段=

11、0汨險口EC04 68AC 0011 5BD8 1FF2450005 ODM112 41® 國獨 701Q協字段二口工的用K a000 2tu0 B06C AC53 6352 ED257CT目的端口號二四圖1利用協議分析技術進行數據包分析根據IP協議規定，數據包的第24字節處有一個1字節的傳輸層協議標識。系統直接從第15字節跳到第24字節讀取傳輸層協議字段為0x06,這個數據包是 TCP協議包。再根據TCP協議規定，在數據包第 37字節處有一個2字節的應用層協議字段，即端口 號。于是系統從第 25字節直接跳到第37字節讀取端口號為 0x0050,即80。從該端口號可 知數據包是一個

12、HTT的議的數據包。再根據HTTP協議規定，在數據包第 55字節是URL開始處，要檢測入侵特征“ /techno te/print.cgi ”,只需要仔細檢測這個UR皿可以了。從上述數據包的檢測過程可以看出，利用協議分析可以大大減小模式匹配的計算量，提高匹配的精確度，減少誤報率。3.2.2 有效地針對欺騙性攻擊單純采用模式匹配對網絡數據包進行特征查找的方法，必須是針對某些特定的已知攻擊。但是很多攻擊者越來越狡猾， 他們往往使用一些攻擊程序的變體進行攻擊，以求逃過檢測系統的檢測。而模式匹配對這種變體欺騙卻無能為力， 但是協議分析可以有效地針對欺騙性攻舉例來說，假設需要對含有 /way-board

13、/way-board.cgi 的URL發出警報。入侵者可以 使用反斜杠 代替余杠/。大多數 Web服務器對于使用反斜杠還是斜杠/來劃分目錄不敏感，所以 Web服務器認為含有 /way-board/way-board.cgi 和含有 way-boardway-board.cgi 的 URL是一回事。而基于模式匹配的入侵檢測系統只是進行簡單的字符匹配工作，所以對出現 way-boardway-board.cgi不加理睬。但協議分析方法可以識別這種變體入侵。當一個 HTTP通信開始被監控時，IDS傳感器從URL中讀出路徑，然后對其進行分析。它適當地分析反 斜杠，使URL標準化，然后找出可疑的目錄內容

14、，如/way-board/way-board.cgi 。又例如在unicode攻擊中，與 ASCII字符相關的 HE溯碼一直到 7f,Unicode編碼的值要高于它。以 包含/store%c0%afagora.cgi 的URL路徑為例，c0%af在Unicode中相當于斜杠/,這樣就 是/store/agora.cgi 。這也是攻擊特征。 使用包含Unicode編碼解析的協議分析，就可以識別這種欺騙。卜面說明協議分析如何識別包含/store%c0%afagora.cgi 的URL流程如圖2所示。1）對網絡數據包的IP包頭進行解析，確定IP有效負載所包含的協議。本例IP協議字段為6即TCP協議。2）對TCP頭進行解析，確定 TCP目的端口。本例 TCP目的端口是 Web服務器端口 80, 說明數據部分采用 HTTPW、議。3）對HTTPtH進行解析，識別 URLM徑。4）對URL進行解析，識別路徑欺騙、HEX編碼和Unicode編碼。5）最后判斷路徑中是否