一种基于OpenFlow的入侵检测评估系统

翁 垚（西安文理学院,西安,710065）



一种基于OpenFlow的入侵检测评估系统

翁 垚
（西安文理学院,西安,710065）

摘要：文章提出了一种基于OpenFlow 网络技术的入侵检测评估系统，并基于OpenFlow 技术建立了入侵检测评价模型，同时阐述了该模型的模型框架、设置方法和模型工作过程，并在该模型的基础上设计了一个评测系统，该系统利用OpenFlow 灵活的网络控制能力为IDS 测评搭建真实可控的网络环境, 在为入侵检测提供了网络流量的同时还为测评提供了攻击数据，最后以评测系统对模型进行了仿真实验，并分析了实验结果，得出基于OpenFlow的入侵检测评估模型准确性与评测效果性能优异的结论。

关键词：OpenFlow; 入侵检测; 评估系统

入侵检测系统（IDS）是网络安全防御中的重要关卡与计算机安全体系中的极重要环节，其作用主要是收集网络与计算机系统内的各种信息，并对所收集的信息进行分析，随时监测与记录计算机系统和网络中的不安全行为，并将不符合安全策略的一类行为快速报告给安全管理人员。对网络管理人员来说入侵检测系统的优劣意义重大，对网络运行安全的影响也不容忽视。当前我国评价入侵系统的方法较少，其手段也较为守旧落后，如何评价一个入侵评测系统的优劣和如何提高入侵检测系统性能成为业界研究方向，文章基于此提出了一种基于OpenFlow的入侵评价系统，并对该系统进行了实验监测，发现该系统各方面性能都较为优越，对当前网络安全作用较大，因此文章对入侵检测系统进行分析研究与评测具有现实与理论双重意义。

1　入侵评测系统现状分析

随着计算机通信技术的普及计算机系统中入侵检测系统的作用与地位日趋重要，并越来越受到业界从业人员的重视。近年来开发入侵检测系统的厂商繁多，其开发实力与技术参差不齐，开发出的入侵检测系统也良莠不齐。加之厂商在不具备入侵检测系统开发功能的情况下过度宣传和包装产品，使得普通消费者无从选择。因此对入侵检测系统进行科学的测试，并通过测试给予公正准确的评估是广大业内人士与消费者共同的要求，但由于入侵检测技术发展较晚其相关评估工作也相对较少，当前要较好的实现对入侵检测系统的准确评估所面临的难点较多，单就评测中看似容易实现获取的网络流量方面而言就遇到不少问题。首先，对商业正常流量的获取较难。商业流量通常涉及所谓的商业机密或者牵扯行业敏感数据，难以被获准获取，更何谈以资研究。其次，流量有大小之分难以正确获取。流量并非都相同均衡的，一些流量较大很可能产生拥堵情况，另一些流量则可能很小较为流畅，这种大小不一的流量会严重影响评测结果。再者，正常的流量难以控制。最后，攻击流量难以识别。网络攻击可以说无处不在且随时发生着，但即使是在如此频繁广泛的网络攻击情况下，要具体清晰的对攻击流量进行识别还是难上加难，更难以将该部分流量当作评价标准实行。

2　基于Openflow的入侵检测评估模型

由于网络真实流量难以准确获取、网络不可控因素太多等，一般入侵监测系统工作都在仿真环境下进行。然而仿真环境毕竟不是真实的网络环境，利用仿真环境得出的评估结果与真实网络环境可能的评估结果会有较大差异，这也说明了评估中数据来源的作用重大。可见要提高仿真环境下评估准确性和可信心就必须加大真是网络数据的引入，或在仿真网络环境的基础上开发基于真实网络环境的评测技术。而当前软件定义网络（Software Defined Network, SDN ）中OpenFlow技术的产生在大大增加了网络数据控制的灵活性与准确性的同时提高了网络环境的可控性，使基于真实网络环境的评测技术实现的可能性大大提高。基于此，文章搭建了基于Openflow的入侵检测评估模型。

3　基于Openflow 的入侵评测系统评估系统框架

3.1系统框架

文章提出的基于OpenFlow 的入侵检测评估系统在真实的局域网环境下运行，其研究对象主要是基于网络的入侵检测。基于Openflow 的入侵评测系统评估系统框架（如图1所示）需要由控制器、Openflow 交换机、被测入侵评测系统、普通交换机、攻击流量发生器等组成。该框架的参数设置模块包括流量控制、时间控制、自定义测试脚本这三个主要子模块，具有对参数的自定义测试功能。通过参数设置模块中的流量控模块可以为用户提供一个监测网络流量不同状态的窗口，帮助用户自主选择合适的网络流量状态进行测试。一般情况下内外网流量大小、流速、攻击流量大小、攻击频率等都是能监测到的流量状态，但以上流量状态的参数都不够完备，在用户对流量参数进行自定义设置后，系统才会依据用户设置的参数进行全面测试。同样对该框架中的时间控制模块用户也可以进行自定义设置，例如选择设置测试的开始时间和系统提供的高中低三个等级和自定义等。该评估框架性能测试参数包括抗攻击力、检测率、攻击数、误警率等多种可选性能指标，性能测试参数用以定义当前的测试主要测试性能的选择，用户可以选择适用于被测入侵检测系统特征的性能指标进行测试。OpenFlow 交换机的规则设置需要特别关注，本模型中一个至为关键的部分是OpenFlow 交换机，OpenFlow 交换机以OpenFlow 的转发功能的灵活性和可控行为基础对本模型作用巨大。因此，设置OpenFlow的规则对本模型来说也至关重要，总体来说OpenFlow交换机转发规则的设置与OpenFlow的数据流息息相关。第一，测试时从攻击主机等特定网络中主机发送来的数据传送到控制处理中心而不转发。第二，对一般的网络流量照常转发。此外，设计中防火墙、路由器、Web 服务器、局域网中正常使用的主机、OpenFlow 控制器等模块也是框架的核心组成部分，此处不一一赘述。

图1　基于Openflow 的入侵评测系统评估系统框架

3.2基于Openflow 的入侵评测系统评估模型工作原理

基于Openflow的入侵评测系统评估模型突破使用模拟流量的各种传统限制, 基于真实网络环境对入侵评测系统进行多方面性能进行评测，其工作过程较为复杂具体如下所述：

第一，在外部网络和内容网络均利用流量发生器产生攻击流量。在真实网络环境下进行入侵评测系统评估时考虑到网络中同一时间内网络攻击流量产生无法保障与控制以及同一时间内网络攻击的多样性无法保证与控制，因此在外部网络和内容网络均利用流量发生器产生攻击流量，以便于保证评测的全面性与有效性。第二，内外部攻击流量通过防火墙进入内部网络，同时防火墙同样是外部网络的真实流量进入内部网络的必经之路。内网内部署的被测入侵检测系统检测攻击流量并生成检测报告发给OpenFlow 控制器，经过防火墙进入内网的内外部攻击流量和外网真实流量经由OpenFlow 交换机转发，正常流量被按OpenFlow 交换机的定义规则（源MAC 符合被转发、源IP 地址符合被转发、源端口符合被转发等）被照常转发，攻击流量则被OpenFlow 交换机拦截并发送给控制处理中心。第三，控制处理

中心统计接收到的攻击流量并以其与入侵评测系统的报告进行对比，基于对比结果给出被测入侵评测系统评测结果。

4　测试结果及分析

系统模型完成后，本文以该模型对选定了对象进行了实验测试，发现当阈值较高时，本模型和传统测评方法得出的结果差别较小，在0误报率的情况下，检测率皆为100%。当检测要求增高时（比如阈值降低）本模型检测率要比传统方法的检测率要低。对实验评测结果进行分析后得出，本文提出的模型对入侵评测系统的评价结果比传统方式要苛刻，也显示出入侵评测系统在真实网络环境中检测攻击行为的能力比模拟网络环境要低。这一结果说明基于OpenFlow 的入侵评测系统评测模型对入侵评测系统的实际检测能力测评更真实、更精确。

5　结语

本文在当前入侵评测系统生产紊乱，对入侵评测系统测评方式有限、评测能力低下的情况下提出了一种基于OpenFlow 的入侵评测系统评测系统模型，从模型框架与软硬件配备以及运行环境方面对模型构建、工作流程等方面行进了详述，并通过实验对该模型测评真实网络环境与模拟网络环境下的入侵评测系统的真实评测力进行了测评，发现该测评模型系统与传统测评系统对比作其评测结果更准确全面，为入侵评测系统的测评与选择提供了新的思路与途径。

参考文献

[1] 廖大强,郑海清. 基于OpenFlow的入侵检测评估模型[J].计算机系统应用,2014,12:82-87.

[2] 邵国林,陈兴蜀,尹学渊,张峰伟. 基于OpenFlow的虚拟机流量检测系统的设计与实现[J]. 计算机应用,2014,04:1034-1037+1041.

[3] 田庆,朱俊岭. Openflow在入侵检测评估中的应用研究[J].硅谷,2014,17:111-112.

An intrusion detection evaluation system based on OpenFlow

Weng Yao
(Xi'an University of Arts and Science, Xi'an,710065)

Abstract：This paper proposes an intrusion detection evaluation system based on OpenFlow network technology,and based on the OpenFlow technology to establish the intrusion detection evaluation model, and elaborated the model framework,the model method and model of the working process, and on the basis of the model to design a performance evaluation system, the system uses the ability of network OpenFlow control of flexible controllable IDS evaluation to build the real network environment,provides the network traffic but also provides data for the evaluation of attack for intrusion detection,and finally to the evaluation system of the model were simulated,and the result is analyzed,the OpenFlow intrusion detection evaluation model and evaluation conclusion performance accuracy is excellent based on

Keywords：OpenFlow;intrusion detection;evaluation system