基于JSON的計(jì)算機(jī)網(wǎng)絡(luò)入侵監(jiān)測規(guī)則設(shè)計(jì)與實(shí)現(xiàn)

賈寶林，連 棟

(上海工業(yè)自動化儀表研究院有限公司，中國 上海 200233)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題也越發(fā)嚴(yán)峻。傳統(tǒng)的防火墻與殺毒軟件已無法滿足日益增長的安全需求。入侵檢測系統(tǒng)是對其他安全工具(如防火墻等)網(wǎng)絡(luò)入侵檢測的一種有效彌補(bǔ)方法[1]，可以提供多層次、全方位的立體安全防護(hù)策略，最大程度地保障網(wǎng)絡(luò)安全。

本文提出了一種基于Java Script 對象簡譜(Java Script object notation,JSON)的計(jì)算機(jī)網(wǎng)絡(luò)入侵監(jiān)測規(guī)則設(shè)計(jì)方法。該方法在通用匹配方法的基礎(chǔ)上，針對性地對各應(yīng)用協(xié)議的具體字段進(jìn)行特征匹配，使用多種子規(guī)則混合匹配的方式，既保證了匹配效率，又有效提高了匹配準(zhǔn)確率。

1 入侵檢測系統(tǒng)原理及構(gòu)成

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，除了防火墻和殺毒系統(tǒng)的防護(hù)以外，入侵檢測技術(shù)也已成為抵御網(wǎng)絡(luò)攻擊的有效方式。入侵檢測系統(tǒng)(intrusion detection system,IDS)被認(rèn)為是防火墻之后的第二道安全閘門，能夠承接防護(hù)和響應(yīng)的過程，在不影響系統(tǒng)性能的情況下對系統(tǒng)進(jìn)行監(jiān)測[2]。入侵檢測系統(tǒng)對計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)中的安全事件檢測的技術(shù)主要包括數(shù)據(jù)采集、分析與結(jié)果處理三個功能[3]。

入侵檢測系統(tǒng)主要通過以下步驟來實(shí)現(xiàn)功能：①分析和監(jiān)聽用戶及系統(tǒng)行為活動；②設(shè)計(jì)系統(tǒng)結(jié)構(gòu)，發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)；③識別攻擊行為，并發(fā)出警報(bào)；④分析統(tǒng)計(jì)異常的行為；⑤對數(shù)據(jù)的完整性進(jìn)行評估。

入侵檢測的過程有信息收集、分析和處理三個步驟。收集信息是入侵檢測的第一步[4]。對于入侵檢測系統(tǒng)而言，典型的數(shù)據(jù)收集方式是通過網(wǎng)絡(luò)鏈路的端口鏡像或分光設(shè)備把正常的網(wǎng)絡(luò)通信數(shù)據(jù)復(fù)制一份至檢測系統(tǒng)。系統(tǒng)在獲得數(shù)據(jù)包后，會進(jìn)行一系列預(yù)處理，包括數(shù)據(jù)包分析、包重組、協(xié)議解析等，然后將處理后的數(shù)據(jù)進(jìn)行后續(xù)的行為分析。其中，入侵行為分析是入侵檢測的核心。其本質(zhì)是根據(jù)用戶行為的抽象描述和已有的安全策略，使用推理或模式匹配等智能技術(shù)判斷用戶的行為是否為入侵行為。

2 基于JSON的規(guī)則設(shè)計(jì)過程

目前，商用入侵檢測系統(tǒng)大多基于規(guī)則庫的模型。規(guī)則庫的完備程度決定了系統(tǒng)性能的優(yōu)劣[5]，而規(guī)則設(shè)計(jì)更是重中之重。針對傳統(tǒng)的規(guī)則庫特征描述文件較為繁雜、可讀性較差、對協(xié)議的支持深度不夠的情況，本文提出了一種基于JSON的計(jì)算機(jī)網(wǎng)絡(luò)入侵監(jiān)測規(guī)則設(shè)計(jì)方法，并從需求分析、數(shù)據(jù)分析、特征規(guī)則設(shè)計(jì)等方面進(jìn)行了詳細(xì)描述，方便用戶使用和理解該設(shè)計(jì)方法。

2.1 需求分析

入侵檢測系統(tǒng)中，入侵行為分析是入侵檢測的核心。規(guī)則庫描述入侵攻擊事件的特征和相應(yīng)的響應(yīng)規(guī)則，并控制入侵檢測引擎，是入侵檢測系統(tǒng)能否有效檢測入侵的關(guān)鍵[6]。檢測規(guī)則的存儲方式以及規(guī)則內(nèi)容的易讀性直接影響著規(guī)則獲取能力和規(guī)則應(yīng)用效率，是入侵檢測系統(tǒng)中的基本問題之一。因此，其對入侵檢測系統(tǒng)規(guī)則的存儲方式模式、規(guī)則庫的構(gòu)建研究和改進(jìn)具有重要價值。目前，主流的入侵特征規(guī)則主要通過對數(shù)據(jù)包數(shù)據(jù)區(qū)直接進(jìn)行模式匹配、規(guī)則判斷，或者在通過端口或特征位判斷出協(xié)議后，再對指定數(shù)據(jù)區(qū)進(jìn)行特征匹配。同時，其規(guī)則庫中特征描述文件較為煩雜，可讀性較差，且對協(xié)議的支持深度不夠，無法滿足在協(xié)議日益多樣的情況下對內(nèi)容進(jìn)行特征匹配的需求?？傮w來看，目前主流特征規(guī)則庫的設(shè)計(jì)存在可擴(kuò)展性弱、智能化低的局限。在這種背景下，進(jìn)行入侵檢測規(guī)則設(shè)計(jì)時，既要滿足對通用字段的有效匹配，又要滿足各種協(xié)議字段內(nèi)容的精確匹配；同時，還需要兼顧后期的可擴(kuò)展性，以及復(fù)雜邏輯下多種模塊組合匹配的需求。

2.2 數(shù)據(jù)分析

傳輸控制協(xié)議/網(wǎng)際互連協(xié)議(trasmission control protocol/Internet protocol,TCP/IP)在一定程度上參考了開放式系統(tǒng)互聯(lián)通信通信參考模型(open system interconnection reference model, OSI)的體系結(jié)構(gòu)。TCP/IP協(xié)議共有四層，從下到上分別是網(wǎng)絡(luò)接入層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層[7]。應(yīng)用層的主要協(xié)議有電信網(wǎng)絡(luò)協(xié)議(telecom municationnet work protocol,Telnet)、文件傳輸協(xié)議(file transfer protocol, FTP)、簡單郵件傳輸協(xié)議(simple mail transfer protocol, SMTP)等，用于接收來自傳輸層的數(shù)據(jù)或者按不同應(yīng)用要求與方式將數(shù)據(jù)傳輸至傳輸層。傳輸層的主要協(xié)議有用戶數(shù)據(jù)報(bào)協(xié)議(user datagram protocol, UDP)、傳輸控制協(xié)議(transmission control protocol, TCP)，是使用者使用平臺和計(jì)算機(jī)信息網(wǎng)內(nèi)部數(shù)據(jù)結(jié)合的通道，可以實(shí)現(xiàn)數(shù)據(jù)傳輸與數(shù)據(jù)共享。網(wǎng)絡(luò)層的主要協(xié)議有網(wǎng)際控制報(bào)文協(xié)議(internet control message protocol, ICMP)、網(wǎng)際互連協(xié)議(internet protocol, IP)、網(wǎng)絡(luò)組管理協(xié)議(internet group management protocol, IGMP)，主要負(fù)責(zé)網(wǎng)絡(luò)中數(shù)據(jù)包的傳送等。網(wǎng)絡(luò)接入層又稱網(wǎng)路接口層或數(shù)據(jù)鏈路層，主要協(xié)議有地址解析協(xié)議(address resolution protocol, ARP)、反向地址轉(zhuǎn)換協(xié)議(reverse address resolution protocol, RARP)，主要功能是提供鏈路管理錯誤檢測、對不同通信媒介有關(guān)信息細(xì)節(jié)問題進(jìn)行有效處理等[8]。本規(guī)則設(shè)計(jì)主要針對的是應(yīng)用層協(xié)議解析后的數(shù)據(jù)，同時通過內(nèi)置一些固定字段以兼顧數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層等字段內(nèi)容。

數(shù)據(jù)包在前置協(xié)議解析模塊中統(tǒng)一結(jié)構(gòu)化處理為JSON數(shù)據(jù)結(jié)構(gòu)體，包含了網(wǎng)絡(luò)層、傳輸層等基礎(chǔ)信息和應(yīng)用層協(xié)議數(shù)據(jù)信息。以超文本傳輸協(xié)議(hyper text transfer protocol, HTTP)為例，經(jīng)結(jié)構(gòu)化處理后的數(shù)據(jù)結(jié)構(gòu)應(yīng)包含IP、端口、請求統(tǒng)一資源定位符(uniform resource locator,URL)、主機(jī)等字段。HTTP協(xié)議示例字段如表1所示。JSON作為一種輕量級數(shù)據(jù)交換格式，具有良好的延展性和可閱讀性，只要通過指定的鍵值即可完成字段的讀取，可以方便地與特征規(guī)則字段進(jìn)行匹配。

表1 HTTP協(xié)議示例字段表

不同的應(yīng)用協(xié)議對應(yīng)不同的應(yīng)用場景，同時也會出現(xiàn)不同的匹配需求。如在工控環(huán)境下的Modbus協(xié)議，在很多情況下并不需要知道操作的具體內(nèi)容，只要是寫數(shù)據(jù)即為敏感操作，需要對該操作進(jìn)行告警。在這種背景下，只需要對功能碼進(jìn)行匹配即可實(shí)現(xiàn)。而一些通用的應(yīng)用協(xié)議(如HTTP等)的應(yīng)用范圍較廣，進(jìn)行特征匹配時更在意其字段的內(nèi)容是否出現(xiàn)攻擊行為等。此時，就需要對其內(nèi)容作進(jìn)一步的特征規(guī)則匹配。

在特征內(nèi)容匹配方面，除了常規(guī)的字符串比較、模式匹配之外，協(xié)議應(yīng)該還具有進(jìn)一步的匹配能力，如數(shù)據(jù)范圍的大小限定、指定數(shù)據(jù)偏移位置及長度的限定、通用正則匹配的需求以及字段匹配前的預(yù)處理功能等。

2.3 特征規(guī)則設(shè)計(jì)

JSON是一種輕量級的數(shù)據(jù)交換格式，非常易于理解和編寫，且數(shù)據(jù)格式簡單，易于讀寫、解析[9]。其具有良好的自我描述性，同時還具有較為明確的層級結(jié)構(gòu)。在本文中，特征規(guī)則文本設(shè)計(jì)為JSON格式字符串存儲，在整體結(jié)構(gòu)上分為規(guī)則描述特征和規(guī)則內(nèi)容兩個部分。

①規(guī)則描述部分作為本條特征的概要信息，指定了本條特征的規(guī)則計(jì)算方式與應(yīng)用層協(xié)議，主要包含匹配類型、匹配協(xié)議、規(guī)則表達(dá)式這三個字段。規(guī)則描述與匹配鍵值如表2所示。匹配類型字段主要規(guī)定了當(dāng)前特征規(guī)則匹配方式。本設(shè)計(jì)中的特征規(guī)則設(shè)計(jì)使用混合匹配方式，此處固定為mixed。匹配協(xié)議字段主要用于確保當(dāng)前特征規(guī)則與解析后的應(yīng)用層協(xié)議數(shù)據(jù)保持一致，避免交叉匹配，降低匹配效率。規(guī)則表達(dá)式字段構(gòu)建了具體的子規(guī)則值運(yùn)算邏輯，從規(guī)則表達(dá)式中提取出對應(yīng)的子規(guī)則名稱與運(yùn)算邏輯。在進(jìn)行子規(guī)則匹配后，按運(yùn)算邏輯對匹配結(jié)果進(jìn)行計(jì)算，可獲取最終的特征規(guī)則匹配結(jié)果。

表2 規(guī)則描述與匹配鍵值表

規(guī)則表達(dá)式字段計(jì)算使用類似逆波蘭式算法，對已經(jīng)匹配的子規(guī)則值進(jìn)行邏輯計(jì)算，并根據(jù)得出的最終結(jié)果判斷當(dāng)前數(shù)據(jù)是否命中此規(guī)則。在規(guī)則表達(dá)式中共包含兩種類型字符：規(guī)則名稱字符，主要用于定義子規(guī)則名稱，包含所有字母、數(shù)字、下劃線和中劃線；邏輯字符，主要用于各子規(guī)則值之間的邏輯運(yùn)算，包含“&”、“|”、“!”、“(”和“)”。該規(guī)則表達(dá)式支持以下邏輯操作： 與操作(“&&”)；或操作(“||”)；非操作(“!”)；括號操作(“()”)。在進(jìn)行邏輯運(yùn)算時，首先從規(guī)則表達(dá)式中提取出各子規(guī)則名稱，然后根據(jù)子規(guī)則名稱提取各子規(guī)則匹配值，最后對值進(jìn)行邏輯運(yùn)算并得出結(jié)果。

②在特征規(guī)則內(nèi)容部分定義了當(dāng)前特征的詳細(xì)信息。規(guī)則中，各字段與數(shù)據(jù)包中結(jié)構(gòu)化后的數(shù)據(jù)字段相同，以方便、快速地建立映射關(guān)系。在此部分中，可以包含多個key-value鍵值對。每個key對應(yīng)的是待匹配的應(yīng)用層協(xié)議字段名稱。通過key，可以直接從JSON結(jié)構(gòu)化協(xié)議數(shù)據(jù)中提取對應(yīng)內(nèi)容。同時，為了滿足網(wǎng)絡(luò)層、傳輸層協(xié)議字段的匹配需要，本設(shè)計(jì)內(nèi)置通用字段匹配。其在數(shù)據(jù)包中的名稱相對固定：內(nèi)置字段以下劃線“_”為開頭；源IP、源端口、數(shù)據(jù)流方向、傳輸層協(xié)議字段分別以_sip、_sport、_direction、_proto等表示。

當(dāng)前特征的子規(guī)則為key-value鍵值對中的value部分。每個子規(guī)則均包含特征值、子規(guī)則名稱、匹配方法、匹配選項(xiàng)這四個字段。

特征子規(guī)則鍵值如表3所示。

表3 特征子規(guī)則鍵值表

規(guī)則表達(dá)式算法流程如圖1所示。

圖1 規(guī)則表達(dá)式算法流程圖

特征值字段描述了當(dāng)前子規(guī)則特征的具體內(nèi)容，可以為數(shù)字和字符串2種形式。當(dāng)特征值字段為數(shù)字時，對應(yīng)的匹配類型固定為“number”，在待匹配值與此字段值相等時即為命中此子規(guī)則；當(dāng)特征值字段為字符串形式時，其具體形式與匹配類型直接相關(guān)聯(lián)。子規(guī)則名稱字段定義了當(dāng)前特征子規(guī)則的名稱，主要用于最后的匹配結(jié)果邏輯運(yùn)算。

本設(shè)計(jì)內(nèi)置了多種匹配方法，可適配不同情況下的需求。當(dāng)匹配方法為“number”時，value值中的數(shù)據(jù)采用開閉區(qū)間的方法進(jìn)行范圍控制，若value值為“m-n”，則限定范圍是m到n之間；若value值為“m-”，則限定范圍是大于m；若value值為“-n”，則限定范圍是小于n。匹配方法關(guān)鍵字定義如表4所示。

表4 匹配方法關(guān)鍵字定義表

匹配選項(xiàng)字段作為匹配方法的補(bǔ)充選項(xiàng)，定義了匹配時的相關(guān)參數(shù)，同時還對待匹配數(shù)據(jù)進(jìn)行預(yù)處理。通過nocase字段，可以在字符串匹配時不區(qū)分大小寫；通過offset和depth字段，可以在匹配時，截取指定位置及長度的數(shù)據(jù)與特征規(guī)則進(jìn)行比對；通過pre_func內(nèi)置的預(yù)處理方法，可以在匹配前對指定數(shù)據(jù)進(jìn)行處理，如URL解碼等操作。

3 樣本分析與驗(yàn)證測試

①在實(shí)際環(huán)境中的網(wǎng)絡(luò)入侵，很多都是基于HTTP協(xié)議的。例如：通用漏洞披露(common vulnerabilities & exposures,CVE)編號為CVE-2013-2567的漏洞，其特征名稱為“Apache Struts 對象導(dǎo)航圖語言(object graph navigution language,OGNL)表達(dá)式注入漏洞”。攻擊者通過內(nèi)部賬戶可以在未授權(quán)的情況下訪問用戶不可見的敏感文件。在本攻擊特征中，使用的通信協(xié)議為HTTP，通過get請求，發(fā)送經(jīng)過URL編碼的URL地址，在URL中包含“/cgi-bin/mft/”“wireless_mft.cgi”“manufacture.cgi”“username”“password”等固定字段。其中，“wireless_mft.cgi”與“manufacture.cgi”其中之一即可，“username”和“password”兩個字段順序隨機(jī)，且中間會出現(xiàn)隨機(jī)字符?；谝陨咸卣餍畔?，生成的特征規(guī)則匹配類型match_type固定為mixed，匹配協(xié)議為HTTP。規(guī)則匹配需要同時滿足請求方法為get和符合兩種URL地址中的一個。請求方法特征子規(guī)則使用String完全匹配的方式。URL特征子規(guī)則使用正則匹配方式。最終結(jié)果基于“Method && (Url1 || Url2)”進(jìn)行混合運(yùn)算。其中：URL1值應(yīng)為"/cgi-bin/mft/(wireless_mft.cgi|manufacture.cgi)?.*username.*password.*"；URL2值應(yīng)為"/cgi-bin/mft/(wireless_mft.cgi|manufacture.cgi)?.*password.*username.*"。兩者均使用“url_decode”關(guān)鍵字進(jìn)行預(yù)處理解碼。

②在部分工控網(wǎng)絡(luò)環(huán)境中，只需要對儀器儀表等進(jìn)行周期性數(shù)據(jù)監(jiān)控。此時，一般只需要對數(shù)據(jù)進(jìn)行讀操作。寫操作則需要更高的控制權(quán)限。當(dāng)網(wǎng)絡(luò)中出現(xiàn)對某臺設(shè)備嘗試寫操作時，就需要對此動作進(jìn)行告警。在這種情況下，對寫的內(nèi)容并沒有嚴(yán)格的限定。根據(jù)這種需求，同樣可以通過本文中的特征規(guī)則進(jìn)行實(shí)現(xiàn)。以Modbus協(xié)議寫單寄存器告警為例，匹配類型match_type固定為mixed，匹配協(xié)議為Modbus，子規(guī)則特征中只需要對功能碼Func_code字段進(jìn)行數(shù)字比較即可。其中：“寫單寄存器”功能碼值為6；匹配方式為數(shù)字匹配；使用關(guān)鍵字“number”。

③本文以某地區(qū)部門工業(yè)安全流量審計(jì)平臺為例。入侵檢測引擎是該平臺的重要子模塊。根據(jù)用戶需求，在進(jìn)行特征處理時，不僅要對網(wǎng)絡(luò)通用的入侵特征進(jìn)行告警，還要對工控環(huán)境下不安全的寫操作進(jìn)行告警；同時，在部分工控協(xié)議中，需要對指定字段數(shù)值范圍進(jìn)行界限判斷，并在數(shù)據(jù)異常時產(chǎn)生告警信息。在此背景下，將基于JSON的規(guī)則設(shè)計(jì)應(yīng)用在協(xié)議數(shù)據(jù)匹配引擎開發(fā)中，并將其集成至審計(jì)平臺中。系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2 系統(tǒng)結(jié)構(gòu)圖

在平臺正常運(yùn)行情況下，通過對不同的樣本數(shù)據(jù)進(jìn)行回放的方式對規(guī)則引擎的可靠性、有效性進(jìn)行了測試。分別以10 mbit/s、50 mbit/s、100 mbit/s的速度對平臺數(shù)據(jù)口進(jìn)行數(shù)據(jù)包回放，以測試平臺數(shù)據(jù)處理性能?；胤诺臄?shù)據(jù)包中混合多種特征包，如Modbus協(xié)議敏感操作數(shù)據(jù)包、部分攻擊特征數(shù)據(jù)包以及多種應(yīng)用協(xié)議的正常數(shù)據(jù)交互包等，用于測試異常行為檢測效果。根據(jù)測試反饋，其結(jié)果完全符合設(shè)計(jì)要求。

4 結(jié)論

本文根據(jù)入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全需求日益增加的背景，提出了一種基于JSON的計(jì)算機(jī)網(wǎng)絡(luò)入侵監(jiān)測規(guī)則設(shè)計(jì)方法，通過需求調(diào)研、數(shù)據(jù)分析、架構(gòu)設(shè)計(jì)、系統(tǒng)驗(yàn)證與測試等的完整流程，設(shè)計(jì)出一套高效、擴(kuò)展性良好的特征規(guī)則設(shè)計(jì)方法。在通用匹配方法的基礎(chǔ)上，針對性地對各應(yīng)用協(xié)議的具體字段進(jìn)行特征匹配，使用多種子規(guī)則混合匹配的方式，在保證匹配效率的基礎(chǔ)上有效提高了匹配準(zhǔn)確率。

本文設(shè)計(jì)一定程度上可以為入侵檢測系統(tǒng)的攻擊特征庫的設(shè)計(jì)提供參考，并為設(shè)計(jì)人員在進(jìn)行特征匹配規(guī)則設(shè)計(jì)時提供一種可行的思路與方法。同時，在后續(xù)研究工作中，應(yīng)多考慮新型的網(wǎng)絡(luò)應(yīng)用場景，解決如何在實(shí)際環(huán)境中進(jìn)行實(shí)時性和適應(yīng)性驗(yàn)證的問題[10]。