基于网络攻击特征差异入侵检测模型研究.docVIP

基于网络攻击特征差异入侵检测模型研究 　　摘要：入侵检测系统是网络安全防御的一个重要安全工具，提高检测效率一直是研究的重点。该文针对网络攻击的三个主要特征描述来建立分层的入侵检测模型，提高了系统的检测效率。 　　关键词：网络攻击；攻击特征；入侵检测 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）27-0017-02 　　随着网络的快速发展，Web服务早已渗透到人们的日常生活之中，网络显得越来越重要，在此同时，伴随着网络发展的网络攻击行为也在不断层出新招，令人们防不胜防。为了提高网络使用的安全效率，入侵检测系统成为了网络安全防御的一个重要工具，提高系统的检测率，降低误报率一直是研究的重点，本文通过对网络攻击特征的分类，从特征差异方面入手提出一种新的检测模型。 　　1 入侵检测系统 　　入侵检测系统IDS（Intrusion Detection System）作为网络安全最有效的方法之一，是一种硬件或者软件系统，是主动保护系统不会受到网络非法攻击的一种安全技术。入侵检测能检测出系统中的非授权活动行为并及时作出正确判断报警的机制[1]。入侵检测系统对系统行为进行检测时，通过对其行为的可疑程度做出判断，确定其行为是否正常，对非正常的行为发出警告，从而来保障系统的安全。 　　入侵检测系统根据入侵检测信息来源的差异，可以把入侵检测系统分为两种，一种是基于主机的入侵检测系统，一种是基于网络的入侵检测系统[2]。基于主机的入侵检测系统主要是对关键应用的服务器进行保护，对主机的审计记录和日志文件进行监视与分析，从而来检测入侵行为。基于网络的入侵检测系统主要是对网络关键路径的信息进行实时监控，它采集网络上的所有分组数据并进行监听，分析可疑现象，从而检测出可疑行为。 　　入侵检测系统的作用是实时的检测系统活动发出警告，因此检测步骤有三个步骤：数据信息的收集、数据信息的分析和响应[3]，检测步骤如图1所示， 　　入侵检测系统通过对原数据的收集并进行分析后，对非法行为进行警告阻拦，在检测过程中如何判断行为的正常与否是整个检测过程的核心，本文从攻击行为特征入手，通过对攻击特征的描述来建立检测模型。 　　2 基于网络攻击特征差异的入侵检测模型 　　2.1 网络攻击特征的描述 　　网络攻击特征是对已知攻击行为的描述，现在网络攻击行为都具有自身的特征，那么就可以对攻击特征的不同规律来进修阻拦。对于每种网络攻击都应该对其数据包进行分析，提取出攻击的特征数据，这个特征可能是一个数据包也可能是一个数据包序列，不管是哪种类型的数据包都会具有自身数据的特点，通过对数据包特征进行分析，就可以发现具有相同特征的数据包对应的恶意攻击行为，检测到此类特征的数据包就会对其报警。通常对网络攻击行为特征的分类方法主要介绍这三种 [4]：一、从基本网络协议特征方面描述攻击。网络互连协议TCP/ IP 协议已经得到了广泛的应用， 但由于自身在设计时存在着的安全问题， 从而给黑客们提供了机会，TCP/ IP 协议存在的漏洞常常会被黑客们利用，发出攻击行为，它们通常会改变数据包头的属性值来进行攻击，破坏系统安全。通过攻击行为来对网络协议TCP/ IP 协议进行分析，利用协议包头的特殊字段值来标示网络攻击的特征。例如，DNS Flood攻击，它是不断向DNS服务器发送大量的请求信息，从而导致DNS服务器任务过大，无法提供正常的服务。面对这种攻击特征进行描述时，通过攻击的数据包对网络协议进行分析，发现这类攻击UDP包头的目标端口是53，这就是这种攻击的特征，那么就可以通过对端口是53的这个特征描述来拒绝此类攻击。二、从负载内容描述攻击。有些攻击对它的数据包头是检测不到的，这就要通过对其数据内容进行检测， 对于这类攻击，要解析数据包的 IP、TCP 及UDP等类型信息， 并且要提取数据包中的负载数据进行分析， 才能发现是否出现攻击的代码。三、从网络流量特征描述攻击。现实应用中很多网络攻击有时是通过发送一定数量的数据包实现的，而不是发送几个数据包就能够检测出的， 面对此类攻击行为，通过对数据流量的分析，就会发现一定时间内的网络流量是攻击行为所具有的特征。如常见的网络攻击端口扫描攻击和DDOS攻击， 就需要经过多个数据流才能检测到。 　　2.2 基于网络攻击特征描述的入侵检测模型 　　以上通过对这三种攻击行为特征的描述，提出了一种针对这三?N攻击行为的分层式入侵检测模型，如图2所示。 　　入侵检测模型采用分层检测来检测攻击数据， 通过一层一层的过滤数据包， 对数据包进行细化， 以便后端更好的进行检测，来提高检测的效率。入侵检测模型主要分为三层，第一层主要对数据包头进行检测，根据包头检测规律进行，包头规则匹配，就丢弃数据包。包头规则不