Snort多媒体分类插件设计与实现.docVIP

Snort多媒体分类插件设计与实现 　　摘要：针对目前网络流量中飞速增长的多媒体数据，设计和实现了一个多媒体分类器，作为可选的Snort预处理插件，通过解析多媒体文件格式和协议的特定信息，来增强Snort检测引擎针对多媒体类型网络攻击的识别处理能力。通过实验测试了下载流量和流媒体网络数据，实验结果表明，本方法可以有效提高入侵检测系统的性能，同时降低了高速网络中进行详细流量分析的计算成本。 　　关键词：入侵检测；Snort；多媒体；流量分类器；流 　　DOI：10.15938/j.jhust.2016.03.009 　　中图分类号：TP393 文献标志码：A 文章编号：1007―2683（2016）03―0043―06 　　0引言 　　网络入侵检测系统通过扫描进出网络流量搜索特定格式和特征的数据来检测恶意或未授权的网络活动，目前面临的一个重要问题是实时分析海量网络数据的高额计算开销，使得检测引擎有时不得不跳过、忽略甚至漏掉一些数据包。而随着互联网的急剧阔容，宽带家庭用户和移动终端大量接人，网络流量中包括视频、音频、图像的多媒体流量激增，使这个问题更加复杂和突出。 　　另一方面以往有关多媒体安全漏洞和攻击的报告相对较少，网络中的多媒体流量相对于其他类型的数据通常被认为是良性的，并不被看成是一个可以影响入侵检测系统性能或检测率的特别因素，然而随着多媒体格式和算法变得越来越复杂，也存在一些安全漏洞被黑客利用。 　　因此，本文提出借助多媒体文件格式和协议的特定信息对网络数据进行分类，使用附加的头信息分类多媒体数据，检查进向和出向的数据流内容，寻找已知的多媒体特性，如JPEG、RTSP标记，如果多媒体流量符合标准格式，则被标记为可信任数据，余下的同类型流量可被检测引擎忽略，否则会被作为异常数据而报警，同时这些附加的多媒体分类信息可以帮助系统检测针对多媒体漏洞的攻击。这样就可以有效降低检测引擎的处理开销，提高入侵检测系统的工作效率。 　　1多媒体数据流分类器 　　1.1分类器的设计 　　本文开发了一个多媒体分类器作为snon预处理插件来对数据包进行预处理和分析。当网络流量被捕获时，分类器将进向和出向的数据流划分为多媒体流或非多媒体流。一旦发现一个会话包含多媒体流量，入侵检测系统IDS会对数据流或会话进行多重检测来确定内容是否是授权的有效数据流，如果数据流被认定为是非授权的，入侵检测系统将根据规则集继续运行分析和检测，通过预处理和授权检查的数据，则利用Snort的全局检测标识（do-de-tect）告之Snort跳过对已标记数据包的检测和规则集比较。因为多媒体文件通常是非常大的，使用前几个数据包来分类和标记多媒体数据所花费的时间开销远远小于对数据流中所有剩余数据包检查所需的时间，而让检测引擎专注于分析潜在更大威胁的流量。 　　多媒体分类器的数据处理流程如图1所示。多媒体分类器在检测引擎之前，每个进入多媒体分类器的数据包首先要检查它是否属于一个已授权的流或会话。然后逐字节检查该数据包，以确定是否包含已知的多媒体标识符。如果这样的标识符被定位，就可以使用特定的规则集来提取参数并检查已知漏洞攻击。如果数据包通过了参数提取和漏洞攻击检测阶段，则被授权为可信的多媒体流，并指派一个标识，来告知检测引擎无须对它进一步分析。 　　多媒体分类器的处理结果有3种： 　　1）数据被认为是可信多媒体流的一部分而被授权。属于相同流的余下数据包则可以绕过检测引擎的进一步分析。 　　2）数据被识别为多媒体漏洞攻击而生成报警。因为已经把数据标记为恶意的内容，数据流的其余部分就可以绕过检测引擎。 　　3）如果数据本质上不是多媒体类型数据，则正常通过检测引擎进行处理。 　　1.2应用分析 　　网络中多媒体数据可以分为Non-Streaming和Streaming两大类： 　　1.2.1非流式（non-streaming） 　　非流式的多媒体流量具有以下属性： 　　1）所有内容必须完全下载之后才能开始播放。 　　2）无需为传输playback播放控制信息或内容建立临时性回话。 　　3）文件可以被划分为文件头和压缩内容。 　　图2显示了所提出的分类器对非流式网络流量的影响分析。没有多媒体分类器的情况下，所有的多媒体数据包都将通过检测引擎进行详尽的检查和匹配以查找可能的恶意攻击。当使用分类器时，网络流首先通过检验文件头来确认它符合已知的标准。当数据包被标记为含有可信的多媒体内容之后，要继续查找是否含有已知多媒体漏洞的攻击特征。确定没有危险数据，多媒体数据流才会被授权，之后任何属于相同流的数据包将绕过检测引擎，从而大大减少了检测引擎的工作负荷。 　　1.2.2流式（Streaming） 　　流式的多媒体流量具有以下属性： 　　1）