维普资讯 http://www.cqvip.com 第34卷 第9期 VoL34 ・计算机工程 2008年5月 May 2008 No.9 Computer Engineering 安全技术・ 一文章编号:1o00—.3428(2008)09—— 164__03 文献标识码:A 中图分类号:TP393・08 种混合式网络入侵检测系统 孙云,黄皓 (南京大学软件新技术国家重点实验室,南京210093) 摘要:入侵检测系统通常采用单一的检测模式,难以有效地处理漏报和误报问题。该文分析不同类型网络流量的分布特征,提出一种将 异常检测和误用检测相结合的混合式网络入侵检测系统,从总体上克服了单一模式的不足。实验结果表明,该方法能有效地提高入侵检测 系统的检测率和准确率。 关键词:入侵检测;异常检测;误用检测;混合式入侵检测 Hybrid Network Intrusion Detection System SUN Yun.HUANG Hao (National Laboratory for Novel Software Technology,Nanjing University,Nanjing 210093) [Abstract]Intrusion Detection System(IDS)has been harassed by false positive and false negative problem.Common IDS using single detection mode is hard tO solve this problem effectively.This paper naalyzes the characteirsitcs of network lfow nd apresents a new method,called hybrid IDS,combining misuse detection mode and anomaly detection mode,the method Can overcome the shortcomings of IDS using single mode・ Experiments show hatt the new method Can improve IDS detection rate and decrease false lerats effectively. [Key words]intrusion detection;anomaly detection;misuse detection;hybrid intrusion detection 入侵检测系统从检测算法上基本分为2类:异常检测 (anomalY detection)和误用检测(misuse detection) J。异常检测 首先学习正常行为的特征,当检测到的行为与正常行为有重 大偏离时即被认为是入侵行为。误用检测预先定义所有不可 接受行为的特征,任何能够与之匹配的行为都会引起报警。 本文提出一种新型入侵检测系统,将2种模式相结合,克服 各自的不足,从总体上取得优于单一检测模式的效果。 较为随机。将正常流量的数据包按照目的端口和包长度分类, 对于每一类数据包,统计其字节取值分布,将其作为正常分 布,将新来数据包的字节取值分布与正常分布对比,如偏离 过大则判定新包属于异常。 该算法实现简要步骤如下: (1)给定一个正常网络流量的数据包集合作为训练集,对 于每一个数据包,统计向量freq[O一255],freq[k]为字符值 1单一检测模式系统 1.1 Snort ( ∈[0,255])在该数据包中出现的频率,该向量反映了数据包 的字符分布特征。 (2)将数据包按长度和目的端口分类,对长度为f、目的 端口为. 的数据包类,计算参量M[i,j]={mean[i, [0..255], SnortL2 是一款优秀的轻量级网络入侵检测系统,它能快 速地检测多种方式的攻击,对攻击进行及时报警和响应。 Snort主要是基于误用检测算法,针对每一种入侵行为,事先 提炼出它的特征并编写成检验规则,检测时将捕获的数据包 按照规则逐一匹配,若匹配成功,则认为是入侵行为。可以 匹配的部分包括数据包的地址、协议、包中负载等,Snort var[i,_『][0..255]),其中,mean[i, [0..255]和var[i, [0..255] 是2个向量,分别表示字符值0-255在该类数据包中出现频 率的均值和标准差,用M[i,_『]表示该类数据包正常分布的参 量值。 支持对TCP、IP数据包进行重组,报警时能精确地给出入侵 的详细信息。 1.2 Payload AD (3)当新数据包到来时,统计其字节分布向量 newjreq[O..255](定义同(1)),根据数据包的长度length和目 的端口dport计算偏离量d=f(newjreq,M[1ength,dport]),如 Payload AD 是一种基于数据包负载的异常入侵检测算 法,算法基于如下事实:将网络数据包看成由字节组成的数 据流,每个字节的取值范围为0-255,对于不同目的端口(对 应于不同网络协议)的数据包,包中负载的字节取值分布是不 同的,比如:对于端口21(FTP命令端口),23(TELNET), 果偏离量超过一定阈值,则认为是异常数据包。 (4)对于正常数据包,使用增量算法更新参量,使参量能 实时反映流量的变动。 计算newjreq与M[1ength,dport]的偏离使用的是马氏 (Mahalanobis)距离,为避免复杂的平方和平方根运算,计算 时采用了简化的马氏距离公式 J: 基金项日:江苏省高技术研究计划基金资助项目“计算机网络分布 式主动防御、监控与预警技术研究”(、BG2004030,) 作者简介:孙云(1979),男,硕士研究生,主研方向:计算机网 络,信息安全;黄皓,教授、博士生导师 E.mail:sunyunsun@yeah.net 收稿日期:2007—05-30 80(HTTP)等,包中的字节多为可打印字符(例如:FTP命令, TELNET交互命令,HTTP请求),而对于20(FTP数据端口), 22(SSH),由于传输的是文件或加密的数据,因此包中的字节 多为随机分布;同样,对于相同端VI的数据包,不同长度的 数据包字节取值分布也会不同,小包往往是一些命令字符, 取值分布比较规则,而大包多为文件和数据传输,取值分布 一164_一 维普资讯 http://www.cqvip.com d: ̄5Inew freq[k]-mean[k]l =o var[ l+a 据流和Hybrid IDS报警数据流的偏离值大致分布范围。剔除 极小值区问D_min[O,min]上的Snort报警,将极大值区间 D其中,new g,mean和var分别是新数据包字节分布向量、 均值向量mean[1ength,却ort]和标准差向量var[1ength,却ort], “(0<“<1)为平滑因子(smoothing factor),用以避免标准差值 var[k]为0时除法发生溢出,最终的结果d反映了新数据包与 正常流量的偏离量。 max[max,+o。)上的数据包标为异常(入侵),在中问区间 (t_min,t_max)上保留Snort报警,从而在总体上获得较高的 检测率和准确率。 入侵数据流 Dj 【0,t_min】 snon报警数据流 2系统设计 2.1单一检测模式的缺点 单一检测模式的入侵检测系统难以应付日益复杂的网络 攻击,Snort根据预定义的特征检测数据包,它能准确给出攻 Hybrid IDS报警数据流 D— Ⅻ.『L Ⅻ:,+。。) 图2偏离值分布 击的详细信息,但算法的灵活性不足,容易产生漏报;Payload AD可以根据网络流量进行动态学习,能够检测一些未知的 入侵,但结果的可解释性差,并容易产生误报。同时,一些 IDS规避技术能轻易地绕过它们的检测 。 Snort对单个数据包(或连接)直接进行分析,而Payload AD则将数据包置于总体网络流量的背景里来考察,如果将 2.3系统设计 系统的结构如图3所示,来自网络的数据流同时发往 Snort和Payload AD,Snort根据预定义的特征检测数据包并 输出结果,Payload AD计算出数据包的偏离值d。Snort和 PayloadAD输出结果时,同时输出数据包的TCP序号和地址, 它们结合起来,则有可能获得更加全面和准确的结果,并在 一利用TCP序号和地址,可以唯一确定单个数据包。对于每一 个数据包,根据Snort和Payload AD的输出结果进行处理, 定程度上克服各自的不足。 对于一个数据包,异常检测给出其与正常流量的偏离值 2.2设计分析 d,它反映了数据包相对于正常流量的异常度。偏离值不同, 并输出最终结果。 数据包的属性(正常,入侵)分布也不同。将正常流量和入侵流 量根据其通过Payload AD时产生的偏离值d划分到3个连续 的区间dE[0,t_min),dE[t_min,t_max),dE[t_max,+o。)上,其 图3 HybridIDS系统结构 中,0<t_min<t—max,则正常流量和入侵流量的分布可用图1 近似表示。 表1是系统分析处理表,t_max和t_min是偏离值区间划 分值,表中1 ̄6是Hybrid IDS的输出结果,分别如下: 结果1,2:在区问[0,t_min]上,所有的数据包被判定为正 常流量,结果1中的Snort报警被认为是误报,该信息可为 删除Snort的误报特征提供参考O 结果3,4:在区间(t_min,t_max)上,PayloadAD难以有效 地区分入侵流量与正常流量,而Snort的性能较为稳定,因 而采用Snort的报警,Payload AD的输出可作为参考。 结果5,6:在区间It_max,+o。)上,所有的数据包被判定为 入侵流量,结果6中的报警数据包被认为是Snort漏报,这 些数据包可为添加Snort新特征提供依据。 表1系统分析处理 图1 正常,入侵流量按偏离值的概率分布 根据PayloadAD算法及图1可知: 正常流量数据包的偏离值多趋于低端区间dE[0,t min), 而入侵流量则趋向高端区间dE[t_max,+o。),PayloadAD算法 正是利用这种特性来区分流量。 如果正常流量和入侵流量偏离较大,即它们各自的分布 中心相距甚远,则PayloadAD算法能取得很好的区分度。反 之,正常流量和入侵流量偏离越小,Payload AD的区分度也 就越小。Payload AD易受流量分布的影响,难以保持稳定的 性能。在dE[t_min,t_max]区间上,2种流量混杂分布在一起, 仅凭偏离值难能以有效地区分,这里成为PayloadAD的“盲 系统既克服了Snort精确匹配算法存在的呆板性,也克 服了Payload AD算法性能的不稳定性,从而在总体上取得较 优的性能。在偏离值的两端区问上,Payload AD能有效地校 正Snort的偏差,而在中间区间上,Snort则有效地填补了 区”。当正常流量和入侵流量的区分度较小时,这部分会占 总流量的相当比例,PayloadAD会产生大量的漏报和误报。 PayloadAD的“盲区”。系统的输出结果也更加全面,对部 分报警(Snort输出的报警,且d>t_min),既能给出入侵的描 Snort是基于预定义的特征检测数据包,不受背景流量和 入侵流量分布影响,性能较为稳定。对于Snort漏报的攻击 来说,数据包多分布在高端区间dE[t max,+o。)上;对于误报 的正常流量来说,数据包多分布于低端区间dE[0,t_min]上。 基于以上分析,本文提出一种将Payload AD和Snort结 合起来的混成式入侵检测系统Hybrid IDS,如图2所示。 图2中的线段分别表示实际的入侵数据流、Snort报警数 述,又可以指出其对正常流量的偏离,报警信息更加全面。 系统中的反馈是PayloadAD根据Snort的输出自动调整 学习的控制过程,当Snort的报警数短时间内突然增加时, PayloadAD将暂停在线学习,否则,如果学习的训练集中含 有较多的异常数据包时,系统的学习结果将发生偏差,进而 影响结果的准确性。由于Snort是根据特征来分析数据包, 不受流量分布的影响,因此弥补了异常检测系统的不足。反 维普资讯 http://www.cqvip.com 馈控制既能在一定程度上防止针对PayloadAD的攻击,也抵 消了网络流量波动对Payload AD的影响。 4结束语 异常检测模式和误用检测模式各有其优缺点,本文提出 一3实验 实验使用的原型系统由Snort和PayloadAD构成,由于 Payload AD是分协议(目的端口)检测的,实验对HTTP协议 种将异常检测模式和误用检测模式结合起来的混成式网络 入侵检测系统,系统从总体上克服单一模式的不足。测试结 果表明,就HTTP协议流量而言,系统的性能明显优于单一 检测模式,提高了检测率和报警准确率。下一步工作将对系 统的反馈部分进行分析和测试,并考虑将多个异常检测和误 用检测结合起来的入侵检测系统。 (8O端口)的数据流进行测试,同时,HTTP协议也是互联网 应用最广泛的协议之一。在局域网中收集了3个HTTP流量 的数据集:A,B,C,A和B作为训练集,C作为背景数据流。 使用网络攻击工具X—Scan(v3.3)产生HTTP攻击流量。实验 时,由单独的攻击机发出攻击流量,混同背景流量一起发往 Hybrid IDS,分析结果时根据数据包的源地址是否为攻击机 地址,以判定数据包是否属于攻击流量。 测试结果表明(表2、表3),Snort检测率低,正确率较 参考文献 [1]Verwoerd T,Hunt R.Intrusion Detection Techniques and Approaches[J].Computer Communications,2002,25(15):1356— 1365. 、 高;Payload AD检测率高,正确率较低,且易受训练集的影 响。Hybrid IDS系统在检测率和正确率上均优于两者,综合 [2]Roesch M.Snort—lightweight Intrusion Detection for Networks[Cl// Proc.of the 13th Conf.on Systems Administration,Washington,D. 了Snort和Payload AD两者的优点,在一定程度上克服了它 们各自的不足,提高了总体的检测率和正确率。 表2检测率统计 C.,USA:[s.n.],1999:229-238, [3]Wang Ke,Stolfo S J.Anomalous Payload—based Network Intrusion Detection[C]//Proc.of the 7th International Symposium on Recent Advances in Intrusion Detection.Berlin,Germany:Springer,2004: 203—222. [4]Shai Rubin,Jha S,Miller B P.Automatic Generation and Analysis 表3正确率统计 of NIDS Attacks[C]//Proc.of Annual Computer Security Applications Conference.Tucson,AZ,USA:[s.n.],2004—12. [5]Fogla P,Sharif M,Perdisci R,et a1.Polymorphic Blending Attacks[C]//Proc. of 15th USENIX Security Symposium A 2 855,】633 57 2 口2 855/1 633 57 2 6 342/3 549 9 873/2 828 55.96 5 005/3 792 75 76 28.64 4 388/2 998 68.32 (SECURITY 06).Vancouver,B.C.,Canada:[s.n.],2006—08. (上接第163页) 依然有效,但不再是决定性因素,只有当“风险”和不信任 同时出现时,才作出拒绝相关服务的决定。如图1所示。 系统的相关参数会发生动态变化。例如,计算机中出现木马 后,常常会有以下症状:反应速度明显变慢;硬盘不停地读 写;一些窗口被无缘无故地关闭;莫名其妙地打开新窗口; 网络传输指示灯一直闪烁;没有运行大的程序而系统却越来 越慢;系统资源占用很多等。通过分析这些动态变化,可以 判断出计算机是否感染木马,感染的是何种木马。 7结束语 风险是由动态变化产生的。本文从这一角度,鉴于上下 文信息异常出现的不确定性,借用云理论来判定风险信号的 发生,进而定义了“信任风险”。本文提出的基于“风险”和 图1协同信任模型 云理论的协同信任模型有效降低了普适计算环境中的伪肯定 和伪否定率,以及普适计算环境中实体之间的交互风险。应 用实例证明了该模型的有效性。 如果同时得出“风险”信号和判断到不信任实体,则确 认该实体为不可交互实体,作出相应的不信任决策;若只有 不信任实体出现,没有“风险”信号产生,则认为该不信任 实体原本为可信任实体,是被误判断为不信任实体的,不作 出不信任决策;若只有“风险”信号产生,没有判断到不信 任实体,则很可能引发异常的是未被基于云理论的信任模型 判断覆盖的未知不信任实体,此时就需要对该信号进行一段 时间的监控和追踪,此时可对发生动态变化的相应上下文信 息采取隔离。如引起的“风险”在短时间内并不消失,也可 以判断有非法的不可信实体侵入普适环境产生。 参考文献 [1]He Rui,Niu Jianwei,Hu Kai.A Novel Approach t0 Evaluate Trustworthiness and Uncertain ̄of Trust Relationships in Peer—to—Peer Computing[C]//Proc. of the 5th International Conference on Computer and Information Technology.Shanghai, China:[s.n.],2005:382—388. [2]刘常昱,李德毅,杜【3]刘常昱,冯鹋,等.正态云模型的统计分析[J1.信息 与控制,2005,34(2):236—239. 芒,戴晓军,等.基于云x信息的逆向云新算法[J1. 系统仿真学报,2004,16(1 1):2417—2420. 6应用实例 在计算机系统中,当计算机受到病毒感染、网络入侵时, 一166—
