一个高效背景流量生成方案.docVIP

一个高效的背景流量生成方案 　　摘要：生成高质量攻击流量与背景流量是进行入侵检测系统测试与评估的核心问题，其中如何兼顾背景流量与真实网络环境的一致性与灵活性一直是个难点，此外入侵检测系统性能的飞速提升又对测试所需背景流量生成的效率提出了较高的要求。这里以NXTECH硬件平台为基础，设计了一个软硬件结合基于重放技术的背景流量生成方案，能够高速产生多种应用层协议流量，允许突发，并使用C#进行了实现。 　　关键词： 背景流量生成；速率控制；突发流量；入侵检测系统 　　中图分类号：TP393.0 文献标识码：A 文章编号：1009-3044（2018）07-0046-02 　　Abstract：The generation of effective background traffic and malicious traffic is the main question of evaluating IDS， and there is a hard trade-off between effectiveness and flexibility. Moreover， efficient method to generate background traffic is needed due to high-performance IDS. Based on NXTECH hardware platform， a new background traffic generation system is designed and implemented by C#， which combines software and hardware to replay packets， supports lots of application layer protocol and traffic burst. 　　Key words：background traffic generation； rate control； burst of traffic； IDS 　　1 引言 　　互联网已经渗透进人们日常生活的方方面面。为了保证网络服务的稳定性和网络数据的保密性，入侵检测系统以及防火墙、反病毒软件等安全解决方案被广泛使用，它们的性能和效果对网络安全有着至关重要的影响。 　　对入侵检测系统测试和评估方案的研究已经有了很长的历史。1997年Puketza等人介绍了他们基于软件工程测试思想设计的测试平台[1-2]并制订了评估指标。他们通过脚本模拟用户行为来生成攻击流量和背景流量，开创了先河。1998和1999年MIT林肯实验室在美国国防部和美国空军支持下进行了影响最大的一次测试[3-4]，测试对象包含了当时流行的开源和商业入侵检测系统。他们使用软件模拟一个空军基地的网络拓扑，生成训练数据和测试数据，这些数据被整理成DARPA1999和DARPA2000数据集被广泛使用，成为相关领域研究的测试基准。后续的研究[5-8]也可简单分为采用有限自动机建模、使用测试组件和流量重放三种方式生成背景流量，但如何生成与真实环境更为接近的背景流量并保证灵活性与高效性的问题并没有得到解决。 　　本文以具有高速流量发送能力的NXTECH硬件平台为基础，基于REPLAY技术设计并实现了一个背景流量生成系统，提供了对多种应用层协议的支持，并且支持流量控制和较高的效率。 　　2 方案设计 　　2.1 硬件平台介绍 　　本项目以NXTECH硬件平台为基础，它由一台普通PC机和与其通过高速接口相连的硬件板卡组成。板卡提供了两个RJ45接口，具有数据包发送、捕获和其他网络测速功能，发送速率最高可达10Gbps。在PC机上加载板卡驱动NXTECH.dll后可调用对应接口实现相关功能。实现流量发送功能的流程为：1）打开设备；2）锁定使用端口；3）设置工作模式；4）设置网络模式；5）发送自定义数据包。表1是板卡驱动提供的关键接口说明： 　　2.2 功能需求分析 　　本项目的主要目标是，模拟真实网络环境生成背景流量，允许通过参数控制发送速率、是否存在突发等选项。对网络背景流量的模拟可分为高低两种层次，低层次只包含以太网、IP、TCP等数据包，高层次生成的流量中还包含应用层协议内容。由于入侵检测系统工作时会丢弃无意义的数据包，为了与真实网?j环境保持一致，本方案也需要能够生成各种应用层协议流。 　　2.3 总体结构设计 　　本项目模块结构如图1所示，简单分为五部分。用户代理与用户交互，接收所需协议种类、网络信息、发送速率、是否允许突发等参数，调用其他模块执行具体功能。数据中心维护了一个数据库和一系列流量样本文件。预处理模块从数据中心模块读取需要发送的流量样本，利用Pac