一种改进的基于Bro的入侵检测系统研究

作者:刘旭生;王锋;张丽;田春瑾;王荣彬 刊名:昆明大学学报 上传者:李学明

【摘要】论文对两种主流IDS模型进行了分析,并对开放源码的Bro IDS进行了细致的研究,结合多模匹配与协议分析两种入侵检测方式,提出了基于Bro的改进模型,经多模匹配失败的数据流交给高层的协议分析从而形成一系列事件,然后这些事件被策略脚本做进一步的深入分析,从而达到实时报警、机制与策略分离和高扩展性的要求。最后通过测试表明改进模型提高了入侵检测的速度及准确性。

全文阅读

1引言作为计算机和网络系统防范非法攻击的主流安全产品,入侵检测系统(IDS,IntrusionDetectionSystem)已经成为信息安全领域的研究热点,目前市场上的入侵检测系统大多是在开放源码的Snort平台上作二次开发,但Snort对于攻击的检测只是粗线条的,没有采取细致的应用层协议分析,远没有达到协议分析的程度,并且目前传统协议的流量在总流量中的比重越来越少,新的应用协议不断涌现,应用层协议的形式与种类都较过去更加复杂,这样基于Snort的IDS就极大的限制了检测的准确性和效率。Bro作为新一代网络入侵检测系统的基础构架提供了相当多的新特征和强大的策略脚本语言及应用层协议分析等[1]。基于此,本文在详细分析了主流IDS模型的缺陷后提出了改进的框架,该系统在Bro的基础上改进而成,引入多模匹配[2]改进了传统的单模匹配算法,提高了匹配速度,又充分考虑到高层协议的细节信息来进行入侵检测,最后试验验证了改进模型的可行性、准确性及运行效率。2主流特征检测IDS模型特征检测能很好的匹配入侵检测的规则,实现特征检测有两种方法,一是基于模式匹配,二是基于协议分析。下面对这两种IDS模型进行分析,进而说明其不足。21基于模式匹配的IDS模型(图1)基于模式匹配的入侵检测原理是:特征规则匹配引擎将从网络上获取的数据流与预先定义好的攻击规则进行模式匹配,如果匹配,则进行报警等响应操作,否则将数据丢弃,但该特征模式匹配技术具有以下一些根本问题:1)从网络上获取的数据由操作系统内核空间拷贝到IDS所在的用户空间需要大量的内存拷贝操作,导致数据获取效率低。2)特征规则匹配采用单模匹配算法,导致当规则数目增多时性能下降,准确率低、漏报现象严重。22基于协议分析的IDS模型基于协议分析的IDS模型(图2)充分的利用了网络协议的高度有序性来快速检测攻击特征,减少了误报率和漏报率[3]。但由于采用正则匹配方式来进行协议分析,而正则匹配的最大缺点是效率低下,这样的分析方式尚可以满足百兆网络环境下的性能需求,但却满足不了千兆环境下的性能要求。3基于Bro的改进模型31BroIDS根据VernPaxson提出的Bro原型系统[4],Bro是一个三层结构,最底层采是Libpcap捕获工具捕获网络数据包;第二层为事件引擎层,根据数据包的包头中的端口号字段分发数据包到不同的协议分析器,协议分析器分析数据包的协议部分和有效数据部分产生事件,并将数据包中的相应内容送到攻击签名规则库。第三层为策略脚本解释器,处理由第二层产生的事件。其系统结构如图3:32改进模型基于以上考虑,我们确定基于特征模式匹配和协议分析入侵检测系统的设计原理和策略如下:(1)尽量减少系统和网络性能对资源的占用,提高监测效率和响应速度。(2)应用模块化构建思想,系统具有良好的可扩展性。基于Bro强大的语言功能,能方便的加入新的协议分析器。用户可以自己编写基于应用程序级别的策略脚本,实现自己定义的安全机制。系统结构如图4。该模型继承了Bro将事件检测与事件处理机制分离的核心思想,应用特征模式匹配来处理最原始量最大的数据流,一旦匹配可疑数据包就可以直接触发告警,如果不匹配则进入高层的协议分析模块做进一步的分析处理,此时,数据流量也随着减小了,这样就允许处理每一个数据项,并在监听高速网络流量时而不丢失数据包,数据包经过事件生成引擎被抽象成一系列的事件,然后这些事件被策略脚本做进一步的深入分析,从而更新状态信息,合成新事件并记录事件继而触发告警。来满足高速监听,实时报警、机制与策略分离和高扩展性的要求。4模块分析下面针对改进

参考文献

引证文献

问答

我要提问