基于网络攻击特征差异的入侵检测模型研究

吴冬妮+周长敏+王长青

摘要：入侵检测系统是网络安全防御的一个重要安全工具，提高检测效率一直是研究的重点。该文针对网络攻击的三个主要特征描述来建立分层的入侵检测模型，提高了系统的检测效率。

关键词：网络攻击；攻击特征；入侵检测

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）27-0017-02

随着网络的快速发展，Web服务早已渗透到人们的日常生活之中，网络显得越来越重要，在此同时，伴随着网络发展的网络攻击行为也在不断层出新招，令人们防不胜防。为了提高网络使用的安全效率，入侵检测系统成为了网络安全防御的一个重要工具，提高系统的检测率，降低误报率一直是研究的重点，本文通过对网络攻击特征的分类，从特征差异方面入手提出一种新的检测模型。

1 入侵检测系统

入侵检测系统IDS（Intrusion Detection System）作为网络安全最有效的方法之一，是一种硬件或者软件系统，是主动保护系统不会受到网络非法攻击的一种安全技术。入侵检测能检测出系统中的非授权活动行为并及时作出正确判断报警的机制[1]。入侵检测系统对系统行为进行检测时，通过对其行为的可疑程度做出判断，确定其行为是否正常，对非正常的行为发出警告，从而来保障系统的安全。

入侵检测系统根据入侵检测信息来源的差异，可以把入侵检测系统分为两种，一种是基于主机的入侵检测系统，一种是基于网络的入侵检测系统[2]。基于主机的入侵检测系统主要是对关键应用的服务器进行保护，对主机的审计记录和日志文件进行监视与分析，从而来检测入侵行为。基于网络的入侵检测系统主要是对网络关键路径的信息进行实时监控，它采集网络上的所有分组数据并进行监听，分析可疑现象，从而检测出可疑行为。

入侵检测系统的作用是实时的检测系统活动发出警告，因此检测步骤有三个步骤：数据信息的收集、数据信息的分析和响应[3]，检测步骤如图1所示，

入侵检测系统通过对原数据的收集并进行分析后，对非法行为进行警告阻拦，在检测过程中如何判断行为的正常与否是整个检测过程的核心，本文从攻击行为特征入手，通过对攻击特征的描述来建立检测模型。

2 基于网络攻击特征差异的入侵检测模型

2.1 网络攻击特征的描述

网络攻击特征是对已知攻击行为的描述，现在网络攻击行为都具有自身的特征，那么就可以对攻击特征的不同规律来进修阻拦。对于每种网络攻击都应该对其数据包进行分析，提取出攻击的特征数据，这个特征可能是一个数据包也可能是一个数据包序列，不管是哪种类型的数据包都会具有自身数据的特点，通过对数据包特征进行分析，就可以发现具有相同特征的数据包对应的恶意攻击行为，检测到此类特征的数据包就会对其报警。通常对网络攻击行为特征的分类方法主要介绍这三种 [4]：一、从基本网络协议特征方面描述攻击。网络互连协议TCP/ IP 协议已经得到了广泛的应用， 但由于自身在设计时存在着的安全问题， 从而给黑客们提供了机会，TCP/ IP 协议存在的漏洞常常会被黑客们利用，发出攻击行为，它们通常会改变数据包头的属性值来进行攻击，破坏系统安全。通过攻击行为来对网络协议TCP/ IP 协议进行分析，利用协议包头的特殊字段值来标示网络攻击的特征。例如，DNS Flood攻击，它是不断向DNS服务器发送大量的请求信息，从而导致DNS服务器任务过大，无法提供正常的服务。面对这种攻击特征进行描述时，通过攻击的数据包对网络协议进行分析，发现这类攻击UDP包头的目标端口是53，这就是这种攻击的特征，那么就可以通过对端口是53的这个特征描述来拒绝此类攻击。二、从负载内容描述攻击。有些攻击对它的数据包头是检测不到的，这就要通过对其数据内容进行检测， 对于这类攻击，要解析数据包的 IP、TCP 及UDP等类型信息， 并且要提取数据包中的负载数据进行分析， 才能发现是否出现攻击的代码。三、从网络流量特征描述攻击。现实应用中很多网络攻击有时是通过发送一定数量的数据包实现的，而不是发送几个数据包就能够检测出的， 面对此类攻击行为，通过对数据流量的分析，就会发现一定时间内的网络流量是攻击行为所具有的特征。如常见的网络攻击端口扫描攻击和DDOS攻击， 就需要经过多个数据流才能检测到。

2.2 基于网络攻击特征描述的入侵检测模型

以上通过对这三种攻击行为特征的描述，提出了一种针对这三種攻击行为的分层式入侵检测模型，如图2所示。

入侵检测模型采用分层检测来检测攻击数据， 通过一层一层的过滤数据包， 对数据包进行细化， 以便后端更好的进行检测，来提高检测的效率。入侵检测模型主要分为三层，第一层主要对数据包头进行检测，根据包头检测规律进行，包头规则匹配，就丢弃数据包。包头规则不匹配分两种情况，一是没有包含数据则丢弃，一是包含有数据则传递给下层节点进行检测[5]。第二层通过对数据包进行分流之后，那么各支流都属于同一类型的数据，具有相似的特征，比如常见的扫描攻击行为，在短时间内能够聚集大量的数据是这类攻击的共同特点，聚集的巨大数据通常是发往同一个目的IP， 或者来自同一个IP来增加系统的负担，破坏系统安全。面对这类攻击，可以对各属性进行统计， 如果存在这类现象，在某一时间段内出现具有巨大数据量的特点， 或者说是超过某个设定的阈值，那么就可以作为可疑行为来处理。第三层是对数据负载内容进行检测，通过前两层的检测，大大减轻了这层的检测负担，针对数据负载内容进行检测报警，提高了检测的效率。

3 性能测试

系统测试采用了Snort2.0.0， 测试数据采用的是MIT林肯实验室的DARPA 1999IDS测试数据集 [6]。测试计算机处理器为Inter i5， 2.5GHz，内存为 4GM。检测的数据是分别对带有头部检测规则的Snort和常规的Snort数据进行检测对比，检测的时间对比如图3所示。

从图中可以看出，带有头部规则的Snort的检测时间比常规的Snort的检测时间短，这就表明，通过对原始数据信息进行特征描述分类细化后，减少了被检测的数据，提高了检测的效率，此模型是有效的。

4 结束语

网络安全是保障网络应用的基础，安全问题一直是学者们研究的重点问题。本文提出了一种基于网络攻击特征描述的入侵检测模型，在一定的程度上提高了检测效率，对检测算法的改进，将是以后继续研究的内容。

参考文献：

[1] 凌云.基于多层加权聚类的网络攻击检测方法研究[J].苏州大学学报，2011（12）：65-69.

[2] 吴冬妮，唐型基，杨建菊.关联规则Apriori算法在入侵检测中的应用分析[J].凯里学院学报，2011（12）：86-88.

[3] 张涛，董占球.网络攻击行为分类技术的研究[J].计算机应用，2004（4）：115-118.

[4] 蒲天银，饶正婵，秦拯.网络攻击特征数据自动提取技术综述[J].计算机与数字工程，2013（4）：611-614.

[5] 刘庆俞，叶震，尹才荣.一种基于攻击特征描述的网络入侵检测模型[J].合肥工业大学学报：自然科学版，2010（2）：238-241.

[6] 李冠楠，赵艳丽，李强.一种基于攻击特征变异预测的网络入侵检测方法[J].科技通报，2012（6）：112-116.endprint