基于协议分析的分布式入侵检测系统的研究

摘要：入侵检测系统相对于传统的安全技术比如防火墙、信息加密等，是计算机系统的一种新型防护技术。传统的入侵检测系统由于大量的计算以及较高的漏报率和误报率已经不能够适应当前的网络系统，因此为了提高入侵检测系统的效率，需要选择更好的检测方法。协议分析是网络入侵检测的一个重要技术。该文在这个基础上提出了一种基于协议分析的分布式入侵检测系统的模型。与其他的模型相比，这个模型具有非常明显的优点，并且可以降低漏报率和误报率以及提高系统的能力。

关键词：协议分析；分布式；入侵检测系统；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）04-0743-03

随着计算机技术和网络技术的快速发展，以保护网络信息免受各种攻击为目的的网络安全变的越来越重要。为了提高网络应对各种攻击的能力，不但需要防火墙等传统技术的保护，而且需要一种实时的检测技术，使得潜在的攻击入侵之前就可以被检测到。

入侵检测系统就是在这种背景下发展起来的。作为一种新型的主动防御机制，入侵检测系统能够为主机和网络提供一种动态的保护[1]。它不但能够监测来自网络内部、外部的各种攻击，而且可以最大程度的与其他的网络安全产品相结合。它的实时性和主动性的特点弥补了防火墙的不足。现今在所有的网络安全的解决方案里，入侵检测已经是一个不可或缺的部分。尽管如此，由于网络规模的持续扩大和攻击手段的复杂性，分布式的入侵检测系统开始发展起来。这种结构通过分散的集合分布处理和集中管理来迎合大规模和高速网络的安全需求。

1 协议分析技术

入侵检测系统早期一般使用误用检测和异常检测的检测技术[2]。误用检测技术是基于已经知道入侵攻击的特征去匹配和识别攻击，模式匹配技术是最通用的误用检测技术。它的特点是简单、有较好的扩展性好以及检测效率高（相对于异常检测），但是它只能用来检测一些相对比较简单的攻击，因此它误报率很高[3]。尽管如此，这种技术的便利的维护性仍然使它被广泛的应用。异常入侵检测是预先存储用户正常的行为模式，但是那些不确定的用户的正常行为在检测的时候会被当成入侵行为。由于它可以发现异常行为和未知的攻击模式，因此异常入侵系统是最主要的研究趋势。异常检测系统的关键问题是建立正常的行为模式，以及如何用该模式与当前系统或用户的行为的模型进行比较，从而判断出行为的异常度。这两种入侵检测系统的方法都不具有智能限定行为模式的意图，但是利用协议分析的优点就可以弥补这一点。

协议分析是一种新型的入侵检测系统的技术手段。它可以高效的分析协议，并利用网络协议高度的规则性快速检测攻击，从而避免了传统入侵检测技术在检测过程中的大量的无用过程，极大的提高了检测效率[4][5]。协议分析技术只搜寻数据包的特定部分而不是完整的数据，因此缩小了检测空间，从而提高了入侵检测的效率[6]。

2 协议的基本结构

以太网帧格式有两种标准，一种是DIX标准的EthernetII，另一种是IEEE标准802.3[7]。EthernetII帧格式通常被用于现行的帧格式。协议的头部包括了IP、IPX、ARP、SNMP、NetBUI，格式如表1。

2.1 IP数据报（IP datagram）

在传输协议TCP、UDP、ICMP、IGMP中，数据是基于IP数据传输格式，IP数据报被分为IP头和IP数据段[8]。IP头包含了版本、首部长度、服务类型、长度、认证、标志、段偏移量、TTL、校验和、源IP地址、目的IP地址，如图2。

2.2 TCP报文

TCP（传输控制协议）是一种面向连接的传输服务[9]。它在传输过程中把数据分段传输，它用比特流进行通信。为保证传输数据的可靠性，每个TCP传输序列号都是特定的。TCP数据报被分为TCP头和TCP数据段，其中TCP头包含了源端口、目的端口、序列号等等。

3 基于协议分析的分布式入侵检测系统的模型

3.1 检测器模型

设计和建立基于协议分析原理的检测模块是系统最重要的地方，它包含了两部分内容：数据抓取模块和协议分析模块，结构如图2所示。

数据抓取模块最主要的作用是获得网络中的数据，并把用于协议分析的数据部分发送出去。

这个模块的焦点是协议分析，它描述分析抓取的数据。它的工作原理是：从以太网帧中得到以太网数据报首部，数据报首部的长度是14个字节，其中6个字节代表了目的以太网地址，另外6个字节代表了源以太网地址，最后2个字节代表了帧的服务类型，如ARP、RARP、IP、IPX等等，我们只需要对IP协议做进一步的分析。IP头的长度是20字节，它主要包括了源IP地址、目的IP地址、断标识和断偏移量以及IP装载的协议类型，如TCP、UDP或者ICMP（分别对应协议号码为6，17，1）。TCP头的长度是20个字节，它主要包括了源端口、目的端口、标识、序列号和ACK等等。TCP头包括了6个标识：URG、SYN、ACK、FIN、RST、PSH，这两个标识反应了TCP连接的状态。数据包的类型可以通过TCP包的源端口和目的端口得知，例如TELNET的端口是23，EMAIL的端口是25等等。在应用层，包含了大量的协议，我们只需要分析一些日常的应用，比如FTP、EMAIL、TELNET、WWW等。

通过协议分析，分析模块可以抽取数据包中的关键词，与检测器模块中的关键词进行比较，我们就可以知道是否有网络入侵发生。

3.2 分布式入侵检测系统的模型

尽管入侵检测系统能够识别非授权的使用或者计算机和网络系统的误用，而入侵也变得越来越复杂，独立的入侵检测系统不能够处理复杂的安全问题。因此在网络中放置多个入侵检测系统代理，并在其中设置一个处理关键词数据载体的模块，利用综合分析来确定攻击是否发生，这种机制就是分布式入侵检测系统。这个系统被分为检测模块、处理模块和响应模块。具体模型如图2。

在这个模型中，在检测模块和处理模块中的网络数据可以再检测后进入用户的计算机。每一个检测模块就是一个微数据分析系统，它们通过数据报告的分析高速的发送到处理模块，在响应模块中确定是否属于攻击行为。检测模块和处理模块组成了一套完整的入侵检测系统。

处理模块包含了一个规则库，它是现今常见的入侵模式的关键词集合，并随着新入侵行为的出现，从而扩充或者修改规则库。如果我们发现到达的字串被匹配，那么就表示攻击发生了，此时检测模块会发送经过比对的关键词和规则到处理模块。响应模块用于反应入侵行为，也会提示用户攻击的手段以及攻击的目标，使得用户及时的做出防御性措施以避免造成损失。

4 分布式入侵检测系统的特点

基于协议分析的分布式入侵检测系统模型具有以下优点：

4.1 系统结构简单

这个系统由三个模块组成：检测模块、处理模块和响应模块。这就使得数据在几个模块之间进行传递时不需要经过过多的中间层，从而提高了各模块之间的数据传输率。在大数据流量的网络中，这种系统具有巨大的优势。当有更多的数据在网络上传输时，传统入侵检测系统的漏报率将急速增加。这就给那些黑客制造了机会，他们利用一些方法向网络中发送大量的垃圾数据搞乱网络。这时如果一些检测部分和处理部分有一点点延迟，或者在于规则库进行匹配的时间过长的话，就会造成大量的数据没有被检测就直接进入了用户计算机。

4.2 检测速度快

在检测模块中，我们只抽取重要的特征包传递给处理模块进行处理，它的长度相对于整个数据包来说通常是很小的一个比例，不但节省了检测的系统资源，而且提高了单位时间内的数据传输速度。特征库中特征字符串很短，因此在匹配速度上也会有较大的提高，甚至可以同时处理大量的数据。这个系统可以实现系统工作，及时的检测入侵，从而极大的提高了检测速度。

5 结论

基于协议分析的入侵检测已经是新一代的入侵检测系统的技术。该文提出了一个简单结构的基于协议分析的入侵检测系统，具有较快的检测速度、较高的检测效率等等，并且系统实现的费用不高。尽管如此，网络入侵的多样化使得检测系统越来越难，尤其是规则库只能够识别被入侵行为，以至于仍然会有未被检测到的入侵行为。不过分布式入侵检测系统的研究仍然处于初期阶段，随着技术的发展，这个系统可以随着网络趋势的改变而改变，也就是使系统具有自学习性和适应性的功能。

参考文献：

[1] 陈一骄.网络入侵检测系统高速处理技术研究[D]. 长沙：国防科学技术大学， 2007.

[2] 李秀婷.基于Snort的网络入侵检测系统实现及其改进研究[D]. 西安：西安电子科技大学，2008.

[3] 沈超，薛胜军.分布式协同入侵检测系统设计与实现[J]. 武汉理工大学学报，2010（16）.

[4] 黄莉.一种基于协议分析和聚类的入侵检测方法[J].科技信息，2009（30）.

[5] 张绍辉，陈晨，韩宪忠.基于MAC帧分类匹配的WLAN入侵检测[J].微型机与应用， 2011（1）.

[6] 苏砫，李化.分布式入侵检测系统[J]. 数据通信， 2003（6）.

[7] 杨文莲，王颖.网络入侵检测的研究与实践[J].网络安全技术与应用，2006（5）.

[8] 司凤山.一种分布式入侵检测系统模型研究[J].菏泽学院学报，2011（2）.

[9] 李路.分布式入侵检测系统中的数据分析[J].沈阳大学学报，2005（4）.