基于COME模塊的網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計

葉開珍

(廣州應(yīng)用科技學院,計算機學院， 廣東，肇慶 526000)

0 引言

由于計算機技術(shù)的快速發(fā)展，人們同時生活在現(xiàn)實和網(wǎng)絡(luò)2個世界中，逐漸改變著人們的工作和生活方式，推進國家現(xiàn)代化發(fā)展[1]。目前，國內(nèi)對入侵檢測相關(guān)技術(shù)的研究與應(yīng)用主要在于針對已有模式匹配算法的改進以及算法測試方面。國外入侵檢測系統(tǒng)己經(jīng)進入相對成熟期，已經(jīng)有很多比較成功的商業(yè)化產(chǎn)品。然而在實際的應(yīng)用過程中發(fā)現(xiàn)，目前網(wǎng)絡(luò)入侵檢測系統(tǒng)普遍存在誤報率高、檢測速度慢等問題，針對上述傳統(tǒng)系統(tǒng)存在的問題，其創(chuàng)新之處在于利用COME模塊實現(xiàn)系統(tǒng)的優(yōu)化設(shè)計。COME模塊是一個以標準模塊封裝的計算機主機，在高集成度CPU的控制下，得出最小系統(tǒng)組成的模塊。COME模塊能夠支持32個PCI Express Lane，提供80 Gbps的總帶寬，且能夠支持3個千兆以太網(wǎng)接口[2]。將COME模塊應(yīng)用到網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計工作中，避免了大部分的技術(shù)風險，間接地提升系統(tǒng)的運行性能。

1 網(wǎng)絡(luò)入侵檢測硬件系統(tǒng)設(shè)計

網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計的意義是實時檢測網(wǎng)絡(luò)環(huán)境中是否存在非法入侵的行為，一般來講網(wǎng)絡(luò)入侵檢測可以分為3個步驟，分別為數(shù)據(jù)收集、數(shù)據(jù)分析和決策響應(yīng)。在網(wǎng)絡(luò)實時運行數(shù)據(jù)的支持下，通過數(shù)據(jù)分析結(jié)果與特征庫的匹配，或利用異常檢測硬件設(shè)備進行分析，判斷網(wǎng)絡(luò)中的惡意節(jié)點入侵情況，并確定入侵節(jié)點位置[3]。而系統(tǒng)的軟件功能就是以程序代碼的形式，實現(xiàn)網(wǎng)絡(luò)入侵檢測功能，并得出最終的檢測結(jié)果。

1.1 COME模塊與主板設(shè)計

COME模塊與主板的連接分為AB列和CD列，其中AB列為必選接口，CD列為可選接口，可提供PCI-Express、SATA、LVDS、LPC總線、以太網(wǎng)、電源等接口；CD是一個可選接口，提供SDVO、PCI、IDE、PCI Express、LAN以太網(wǎng)、電源和接口。AB列和CD列分別由220個引腳組成。圖1顯示了COME模塊的附加信號連接。

圖1 COME模塊的外接信號

通過COME模塊的連接，完成系統(tǒng)主板的擴展和完善[4]。

1.2 網(wǎng)絡(luò)處理器

網(wǎng)絡(luò)處理器采用了全新的設(shè)計理念，具有 ASIC芯片的高速處理能力，同時具有完整的可編程功能。網(wǎng)絡(luò)處理器的功能包括數(shù)據(jù)的分片重組、數(shù)據(jù)幀的識別、流量控制的實現(xiàn)、服務(wù)質(zhì)量的保證、消息的過濾等[5]。在本質(zhì)上，網(wǎng)絡(luò)處理器是一個越來越復(fù)雜的多目標系統(tǒng)的優(yōu)化過程。網(wǎng)絡(luò)處理器的內(nèi)部結(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)處理器的硬件單元結(jié)構(gòu)圖

圖2中，網(wǎng)絡(luò)處理器對網(wǎng)絡(luò)報文流進行處理的核心部件是處理單元,內(nèi)核結(jié)構(gòu)及間組織結(jié)構(gòu)是區(qū)分網(wǎng)絡(luò)處理器類型的重要依據(jù)。網(wǎng)絡(luò)處理器芯片采用硬件多線程結(jié)構(gòu)，減少了數(shù)據(jù)處理過程中訪問內(nèi)存的平均時間，提高了運算效率。

1.3 系統(tǒng)接口與電路

因為在檢測過程中，網(wǎng)絡(luò)入侵檢測系統(tǒng)的運行終端可能被黑客入侵，所以需要提供死機重置按鈕，并采用不同的觸發(fā)方式，以實現(xiàn)系統(tǒng)程序的升級[6]。采用Max811T芯片設(shè)計復(fù)位系統(tǒng)電路，抗干擾能力強，能有效地排除誤觸發(fā)動作，避免因干擾而造成誤復(fù)位。系統(tǒng)復(fù)位電路的設(shè)計結(jié)果，如圖3所示。

圖3 系統(tǒng)復(fù)位電路圖

此外， RTC時鐘是保證系統(tǒng)正常工作的關(guān)鍵電路。在入侵檢測系統(tǒng)運行終端關(guān)機后，要求其時鐘仍按當前北京時間運行，而不是直接顯示其初始時間。

1.4 網(wǎng)絡(luò)入侵檢測系統(tǒng)數(shù)據(jù)庫設(shè)計

以技術(shù)信息為基礎(chǔ)，以網(wǎng)絡(luò)數(shù)據(jù)管理為核心，實現(xiàn)了數(shù)據(jù)的高效存儲，滿足了不同用戶的應(yīng)用需求[7]。其中一個部分主要用來存儲待檢測網(wǎng)絡(luò)中的實時數(shù)據(jù)信息，主要為流量信息、用戶信息、用戶權(quán)限信息等，另一部分用來存儲不同網(wǎng)絡(luò)攻擊類型下對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)變化特征數(shù)據(jù)，以及入侵檢測結(jié)果數(shù)據(jù)。建立系統(tǒng)數(shù)據(jù)庫中的實體數(shù)據(jù)表，并將收集的實時數(shù)據(jù)按照固定的結(jié)構(gòu)存儲其中[8]。

2 網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件功能設(shè)計

根據(jù)網(wǎng)絡(luò)行為和狀態(tài)特征，結(jié)合網(wǎng)絡(luò)數(shù)據(jù)包傳輸協(xié)議的分析結(jié)果，設(shè)置網(wǎng)絡(luò)入侵檢測規(guī)則。在硬件設(shè)備和數(shù)據(jù)庫的雙重支持下，確定系統(tǒng)軟件功能體系結(jié)構(gòu)如圖4所示。

圖4 網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件體系結(jié)構(gòu)圖

2.1 捕獲實時網(wǎng)絡(luò)傳輸數(shù)據(jù)

網(wǎng)絡(luò)的本質(zhì)是實現(xiàn)信息的交互，分為信息上傳、信息下載和信息傳輸3個部分，為了保證網(wǎng)絡(luò)的安全穩(wěn)定運行，不同的網(wǎng)絡(luò)在不同協(xié)議的約束下，實現(xiàn)信息傳輸。以IPv6協(xié)議為例，該協(xié)議能夠提供足夠的地址空間，能夠?qū)鬏敂?shù)據(jù)的地址位數(shù)從32位擴展到128位，為單位空間提供6×1023個網(wǎng)絡(luò)地址，在滿足網(wǎng)絡(luò)地址增長需求的同時，也為網(wǎng)絡(luò)接口提供了豐富的鏈接標識。根據(jù)采集設(shè)備檢索對應(yīng)的緩沖區(qū)，從網(wǎng)卡直接將數(shù)據(jù)包傳輸?shù)讲杉O(shè)備[9]。

2.2 數(shù)據(jù)處理與特征選擇

為了保證網(wǎng)絡(luò)入侵檢測的精度，聚類處理網(wǎng)絡(luò)數(shù)據(jù)，提升數(shù)據(jù)特征的提取質(zhì)量。首先標準化處理捕獲的網(wǎng)絡(luò)數(shù)據(jù)，解決量綱異構(gòu)的問題，使數(shù)據(jù)擁有相同的權(quán)值，將網(wǎng)絡(luò)上收集的數(shù)據(jù)轉(zhuǎn)化為無單位變量。在此基礎(chǔ)上隨機選擇網(wǎng)絡(luò)數(shù)據(jù)作為聚類中心，在大量聚類數(shù)據(jù)的支持下，設(shè)置2種特征值，分別為數(shù)字型特征值和離散型特征值[10-11]。在網(wǎng)絡(luò)連接中，網(wǎng)絡(luò)端口號、網(wǎng)絡(luò)數(shù)據(jù)包數(shù)等連接屬性均為數(shù)值型數(shù)據(jù)，而網(wǎng)絡(luò)連接的協(xié)議類型、數(shù)據(jù)包類型等均為離散特征值[12]。

2.3 實現(xiàn)網(wǎng)絡(luò)入侵檢測

在網(wǎng)絡(luò)入侵檢測規(guī)則的約束下，以提取的網(wǎng)絡(luò)實時數(shù)據(jù)運行特征為基礎(chǔ)[13]，按照圖5表示的流程，實現(xiàn)網(wǎng)絡(luò)入侵檢測，輸出檢測結(jié)果，當檢測結(jié)果為存在入侵時啟動告警響應(yīng)程序。

圖5 網(wǎng)絡(luò)入侵檢測流程圖

分析圖5得知，綜合分析決策層包含分析器和數(shù)據(jù)庫，在獲取數(shù)據(jù)進行預(yù)處理后，進行過程模型規(guī)則檢查，從而制訂響應(yīng)策略和方式[14]?？刂乒芾韺觿t是警報輸出的態(tài)勢分析。數(shù)據(jù)采集模塊采集實時審計數(shù)據(jù)，這些數(shù)據(jù)包含系統(tǒng)和用戶在節(jié)點內(nèi)部的操作行為、通過該節(jié)點的通信行為以及在通信范圍內(nèi)通過該節(jié)點可觀察到的其他通信行為。協(xié)作檢測模塊的作用是傳送鄰近節(jié)點之間的異常檢測狀態(tài)信息，利用接收到的其他節(jié)點的狀態(tài)信息，找到出本節(jié)點的異常檢測狀態(tài)并警告輸出[15]。

3 系統(tǒng)測試

3.1 系統(tǒng)運行與測試環(huán)境

系統(tǒng)測試環(huán)境使用6臺機器，其中1臺為網(wǎng)絡(luò)的服務(wù)器設(shè)備，用來進行負載平衡和數(shù)據(jù)包的轉(zhuǎn)發(fā)。1臺用來制造大流量的發(fā)包設(shè)備，另外4臺設(shè)備均為計算機設(shè)備。

另外由于設(shè)計的網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)用了COME模塊，因此需要對該模型運行的硬件設(shè)備和軟件程序進行配置，保證該模塊可以在測試環(huán)境中順利運行。

3.2 系統(tǒng)測試過程與結(jié)果分析

將準備的實驗數(shù)據(jù)樣本添加到網(wǎng)絡(luò)傳輸序列中，并控制啟動網(wǎng)絡(luò)攻擊程序。以并行的方式同時啟動3個檢測系統(tǒng)，并得出相應(yīng)的檢測結(jié)果。經(jīng)過相關(guān)數(shù)據(jù)的統(tǒng)計與計算，得出系統(tǒng)入侵檢測功能的測試對比結(jié)果，如表1所示。

表1 系統(tǒng)入侵檢測功能測試結(jié)果

通過對表1中的數(shù)據(jù)分析可以看出，相比于2個對比系統(tǒng)，設(shè)計系統(tǒng)的入侵檢測類型與設(shè)置的入侵類型一致，從入侵次數(shù)上來看，設(shè)計系統(tǒng)檢測的入侵次數(shù)更加接近設(shè)計設(shè)置的入侵次數(shù)。應(yīng)用3種網(wǎng)絡(luò)入侵檢測系統(tǒng)，并根據(jù)檢測結(jié)果采取防御措施，統(tǒng)計相同的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)數(shù)據(jù)的丟失情況，如表2所示。

表2 網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)用性能測試結(jié)果

從表2中可以看出，在相同的網(wǎng)絡(luò)環(huán)境下，應(yīng)用3種不同的網(wǎng)絡(luò)入侵檢測系統(tǒng)，最終網(wǎng)絡(luò)實際數(shù)據(jù)丟失量分別為7.49 MB、2.40 MB和0.27 MB，由此可見應(yīng)用設(shè)計檢測系統(tǒng)能夠更大程度地保護數(shù)據(jù)安全。

4 總結(jié)

網(wǎng)絡(luò)安全問題一直以來都是研究中的重點問題，在網(wǎng)絡(luò)及其相關(guān)技術(shù)發(fā)展的同時，入侵手段也在逐步優(yōu)化，并呈現(xiàn)出一定的發(fā)展趨勢。通過COME模塊的應(yīng)用，解決了傳統(tǒng)硬件系統(tǒng)的運行問題，間接地提升了網(wǎng)絡(luò)入侵檢測系統(tǒng)的功能和應(yīng)用性能。