一種基于OpenFlow的入侵檢測評估系統(tǒng)

翁 垚（西安文理學(xué)院,西安,710065）

?

一種基于OpenFlow的入侵檢測評估系統(tǒng)

翁 垚
（西安文理學(xué)院,西安,710065）

摘要：文章提出了一種基于OpenFlow 網(wǎng)絡(luò)技術(shù)的入侵檢測評估系統(tǒng)，并基于OpenFlow 技術(shù)建立了入侵檢測評價模型，同時闡述了該模型的模型框架、設(shè)置方法和模型工作過程，并在該模型的基礎(chǔ)上設(shè)計了一個評測系統(tǒng)，該系統(tǒng)利用OpenFlow 靈活的網(wǎng)絡(luò)控制能力為IDS 測評搭建真實可控的網(wǎng)絡(luò)環(huán)境, 在為入侵檢測提供了網(wǎng)絡(luò)流量的同時還為測評提供了攻擊數(shù)據(jù)，最后以評測系統(tǒng)對模型進行了仿真實驗，并分析了實驗結(jié)果，得出基于OpenFlow的入侵檢測評估模型準確性與評測效果性能優(yōu)異的結(jié)論。

關(guān)鍵詞：OpenFlow; 入侵檢測; 評估系統(tǒng)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡(luò)安全防御中的重要關(guān)卡與計算機安全體系中的極重要環(huán)節(jié)，其作用主要是收集網(wǎng)絡(luò)與計算機系統(tǒng)內(nèi)的各種信息，并對所收集的信息進行分析，隨時監(jiān)測與記錄計算機系統(tǒng)和網(wǎng)絡(luò)中的不安全行為，并將不符合安全策略的一類行為快速報告給安全管理人員。對網(wǎng)絡(luò)管理人員來說入侵檢測系統(tǒng)的優(yōu)劣意義重大，對網(wǎng)絡(luò)運行安全的影響也不容忽視。當前我國評價入侵系統(tǒng)的方法較少，其手段也較為守舊落后，如何評價一個入侵評測系統(tǒng)的優(yōu)劣和如何提高入侵檢測系統(tǒng)性能成為業(yè)界研究方向，文章基于此提出了一種基于OpenFlow的入侵評價系統(tǒng)，并對該系統(tǒng)進行了實驗監(jiān)測，發(fā)現(xiàn)該系統(tǒng)各方面性能都較為優(yōu)越，對當前網(wǎng)絡(luò)安全作用較大，因此文章對入侵檢測系統(tǒng)進行分析研究與評測具有現(xiàn)實與理論雙重意義。

1　入侵評測系統(tǒng)現(xiàn)狀分析

隨著計算機通信技術(shù)的普及計算機系統(tǒng)中入侵檢測系統(tǒng)的作用與地位日趨重要，并越來越受到業(yè)界從業(yè)人員的重視。近年來開發(fā)入侵檢測系統(tǒng)的廠商繁多，其開發(fā)實力與技術(shù)參差不齊，開發(fā)出的入侵檢測系統(tǒng)也良莠不齊。加之廠商在不具備入侵檢測系統(tǒng)開發(fā)功能的情況下過度宣傳和包裝產(chǎn)品，使得普通消費者無從選擇。因此對入侵檢測系統(tǒng)進行科學(xué)的測試，并通過測試給予公正準確的評估是廣大業(yè)內(nèi)人士與消費者共同的要求，但由于入侵檢測技術(shù)發(fā)展較晚其相關(guān)評估工作也相對較少，當前要較好的實現(xiàn)對入侵檢測系統(tǒng)的準確評估所面臨的難點較多，單就評測中看似容易實現(xiàn)獲取的網(wǎng)絡(luò)流量方面而言就遇到不少問題。首先，對商業(yè)正常流量的獲取較難。商業(yè)流量通常涉及所謂的商業(yè)機密或者牽扯行業(yè)敏感數(shù)據(jù)，難以被獲準獲取，更何談以資研究。其次，流量有大小之分難以正確獲取。流量并非都相同均衡的，一些流量較大很可能產(chǎn)生擁堵情況，另一些流量則可能很小較為流暢，這種大小不一的流量會嚴重影響評測結(jié)果。再者，正常的流量難以控制。最后，攻擊流量難以識別。網(wǎng)絡(luò)攻擊可以說無處不在且隨時發(fā)生著，但即使是在如此頻繁廣泛的網(wǎng)絡(luò)攻擊情況下，要具體清晰的對攻擊流量進行識別還是難上加難，更難以將該部分流量當作評價標準實行。

2　基于Openflow的入侵檢測評估模型

由于網(wǎng)絡(luò)真實流量難以準確獲取、網(wǎng)絡(luò)不可控因素太多等，一般入侵監(jiān)測系統(tǒng)工作都在仿真環(huán)境下進行。然而仿真環(huán)境畢竟不是真實的網(wǎng)絡(luò)環(huán)境，利用仿真環(huán)境得出的評估結(jié)果與真實網(wǎng)絡(luò)環(huán)境可能的評估結(jié)果會有較大差異，這也說明了評估中數(shù)據(jù)來源的作用重大?？梢娨岣叻抡姝h(huán)境下評估準確性和可信心就必須加大真是網(wǎng)絡(luò)數(shù)據(jù)的引入，或在仿真網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上開發(fā)基于真實網(wǎng)絡(luò)環(huán)境的評測技術(shù)。而當前軟件定義網(wǎng)絡(luò)（Software Defined Network, SDN ）中OpenFlow技術(shù)的產(chǎn)生在大大增加了網(wǎng)絡(luò)數(shù)據(jù)控制的靈活性與準確性的同時提高了網(wǎng)絡(luò)環(huán)境的可控性，使基于真實網(wǎng)絡(luò)環(huán)境的評測技術(shù)實現(xiàn)的可能性大大提高。基于此，文章搭建了基于Openflow的入侵檢測評估模型。

3　基于Openflow 的入侵評測系統(tǒng)評估系統(tǒng)框架

3.1系統(tǒng)框架

文章提出的基于OpenFlow 的入侵檢測評估系統(tǒng)在真實的局域網(wǎng)環(huán)境下運行，其研究對象主要是基于網(wǎng)絡(luò)的入侵檢測?；贠penflow 的入侵評測系統(tǒng)評估系統(tǒng)框架（如圖1所示）需要由控制器、Openflow 交換機、被測入侵評測系統(tǒng)、普通交換機、攻擊流量發(fā)生器等組成。該框架的參數(shù)設(shè)置模塊包括流量控制、時間控制、自定義測試腳本這三個主要子模塊，具有對參數(shù)的自定義測試功能。通過參數(shù)設(shè)置模塊中的流量控模塊可以為用戶提供一個監(jiān)測網(wǎng)絡(luò)流量不同狀態(tài)的窗口，幫助用戶自主選擇合適的網(wǎng)絡(luò)流量狀態(tài)進行測試。一般情況下內(nèi)外網(wǎng)流量大小、流速、攻擊流量大小、攻擊頻率等都是能監(jiān)測到的流量狀態(tài)，但以上流量狀態(tài)的參數(shù)都不夠完備，在用戶對流量參數(shù)進行自定義設(shè)置后，系統(tǒng)才會依據(jù)用戶設(shè)置的參數(shù)進行全面測試。同樣對該框架中的時間控制模塊用戶也可以進行自定義設(shè)置，例如選擇設(shè)置測試的開始時間和系統(tǒng)提供的高中低三個等級和自定義等。該評估框架性能測試參數(shù)包括抗攻擊力、檢測率、攻擊數(shù)、誤警率等多種可選性能指標，性能測試參數(shù)用以定義當前的測試主要測試性能的選擇，用戶可以選擇適用于被測入侵檢測系統(tǒng)特征的性能指標進行測試。OpenFlow 交換機的規(guī)則設(shè)置需要特別關(guān)注，本模型中一個至為關(guān)鍵的部分是OpenFlow 交換機，OpenFlow 交換機以O(shè)penFlow 的轉(zhuǎn)發(fā)功能的靈活性和可控行為基礎(chǔ)對本模型作用巨大。因此，設(shè)置OpenFlow的規(guī)則對本模型來說也至關(guān)重要，總體來說OpenFlow交換機轉(zhuǎn)發(fā)規(guī)則的設(shè)置與OpenFlow的數(shù)據(jù)流息息相關(guān)。第一，測試時從攻擊主機等特定網(wǎng)絡(luò)中主機發(fā)送來的數(shù)據(jù)傳送到控制處理中心而不轉(zhuǎn)發(fā)。第二，對一般的網(wǎng)絡(luò)流量照常轉(zhuǎn)發(fā)。此外，設(shè)計中防火墻、路由器、Web 服務(wù)器、局域網(wǎng)中正常使用的主機、OpenFlow 控制器等模塊也是框架的核心組成部分，此處不一一贅述。

圖1　基于Openflow 的入侵評測系統(tǒng)評估系統(tǒng)框架

3.2基于Openflow 的入侵評測系統(tǒng)評估模型工作原理

基于Openflow的入侵評測系統(tǒng)評估模型突破使用模擬流量的各種傳統(tǒng)限制, 基于真實網(wǎng)絡(luò)環(huán)境對入侵評測系統(tǒng)進行多方面性能進行評測，其工作過程較為復(fù)雜具體如下所述：

第一，在外部網(wǎng)絡(luò)和內(nèi)容網(wǎng)絡(luò)均利用流量發(fā)生器產(chǎn)生攻擊流量。在真實網(wǎng)絡(luò)環(huán)境下進行入侵評測系統(tǒng)評估時考慮到網(wǎng)絡(luò)中同一時間內(nèi)網(wǎng)絡(luò)攻擊流量產(chǎn)生無法保障與控制以及同一時間內(nèi)網(wǎng)絡(luò)攻擊的多樣性無法保證與控制，因此在外部網(wǎng)絡(luò)和內(nèi)容網(wǎng)絡(luò)均利用流量發(fā)生器產(chǎn)生攻擊流量，以便于保證評測的全面性與有效性。第二，內(nèi)外部攻擊流量通過防火墻進入內(nèi)部網(wǎng)絡(luò)，同時防火墻同樣是外部網(wǎng)絡(luò)的真實流量進入內(nèi)部網(wǎng)絡(luò)的必經(jīng)之路。內(nèi)網(wǎng)內(nèi)部署的被測入侵檢測系統(tǒng)檢測攻擊流量并生成檢測報告發(fā)給OpenFlow 控制器，經(jīng)過防火墻進入內(nèi)網(wǎng)的內(nèi)外部攻擊流量和外網(wǎng)真實流量經(jīng)由OpenFlow 交換機轉(zhuǎn)發(fā)，正常流量被按OpenFlow 交換機的定義規(guī)則（源MAC 符合被轉(zhuǎn)發(fā)、源IP 地址符合被轉(zhuǎn)發(fā)、源端口符合被轉(zhuǎn)發(fā)等）被照常轉(zhuǎn)發(fā)，攻擊流量則被OpenFlow 交換機攔截并發(fā)送給控制處理中心。第三，控制處理

中心統(tǒng)計接收到的攻擊流量并以其與入侵評測系統(tǒng)的報告進行對比，基于對比結(jié)果給出被測入侵評測系統(tǒng)評測結(jié)果。

4　測試結(jié)果及分析

系統(tǒng)模型完成后，本文以該模型對選定了對象進行了實驗測試，發(fā)現(xiàn)當閾值較高時，本模型和傳統(tǒng)測評方法得出的結(jié)果差別較小，在0誤報率的情況下，檢測率皆為100%。當檢測要求增高時（比如閾值降低）本模型檢測率要比傳統(tǒng)方法的檢測率要低。對實驗評測結(jié)果進行分析后得出，本文提出的模型對入侵評測系統(tǒng)的評價結(jié)果比傳統(tǒng)方式要苛刻，也顯示出入侵評測系統(tǒng)在真實網(wǎng)絡(luò)環(huán)境中檢測攻擊行為的能力比模擬網(wǎng)絡(luò)環(huán)境要低。這一結(jié)果說明基于OpenFlow 的入侵評測系統(tǒng)評測模型對入侵評測系統(tǒng)的實際檢測能力測評更真實、更精確。

5　結(jié)語

本文在當前入侵評測系統(tǒng)生產(chǎn)紊亂，對入侵評測系統(tǒng)測評方式有限、評測能力低下的情況下提出了一種基于OpenFlow 的入侵評測系統(tǒng)評測系統(tǒng)模型，從模型框架與軟硬件配備以及運行環(huán)境方面對模型構(gòu)建、工作流程等方面行進了詳述，并通過實驗對該模型測評真實網(wǎng)絡(luò)環(huán)境與模擬網(wǎng)絡(luò)環(huán)境下的入侵評測系統(tǒng)的真實評測力進行了測評，發(fā)現(xiàn)該測評模型系統(tǒng)與傳統(tǒng)測評系統(tǒng)對比作其評測結(jié)果更準確全面，為入侵評測系統(tǒng)的測評與選擇提供了新的思路與途徑。

參考文獻

[1] 廖大強,鄭海清. 基于OpenFlow的入侵檢測評估模型[J].計算機系統(tǒng)應(yīng)用,2014,12:82-87.

[2] 邵國林,陳興蜀,尹學(xué)淵,張峰偉. 基于OpenFlow的虛擬機流量檢測系統(tǒng)的設(shè)計與實現(xiàn)[J]. 計算機應(yīng)用,2014,04:1034-1037+1041.

[3] 田慶,朱俊嶺. Openflow在入侵檢測評估中的應(yīng)用研究[J].硅谷,2014,17:111-112.

An intrusion detection evaluation system based on OpenFlow

Weng Yao
(Xi'an University of Arts and Science, Xi'an,710065)

Abstract：This paper proposes an intrusion detection evaluation system based on OpenFlow network technology,and based on the OpenFlow technology to establish the intrusion detection evaluation model, and elaborated the model framework,the model method and model of the working process, and on the basis of the model to design a performance evaluation system, the system uses the ability of network OpenFlow control of flexible controllable IDS evaluation to build the real network environment,provides the network traffic but also provides data for the evaluation of attack for intrusion detection,and finally to the evaluation system of the model were simulated,and the result is analyzed,the OpenFlow intrusion detection evaluation model and evaluation conclusion performance accuracy is excellent based on

Keywords：OpenFlow;intrusion detection;evaluation system