CN103281336A - 网络入侵检测方法 - Google Patents

Abstract

本发明揭示了一种网络入侵检测方法，包括：数据包采集及预筛检步骤；数据包完整性分析步骤，对所提取的数据包进行完整性分析；数据包挖掘及关联步骤，对所提取的完整的数据包依次进行时序分析、源分析和关联分析，时序分析检测数据包的发生时间，源分析检测数据包的源地址和目标地址，关联分析基于源地址和目标地址，对源地址和目标地址进行分布熵运算，基于分布熵运算的结果获得关键节点；关键节点分析步骤，对涉及关键节点的数据包进行协议匹配；响应处理步骤，依据关键节点协议分析步骤的结果，如果分析结果为存在入侵行为，则报警并进行阻断操作。

Description

网络入侵检测方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络入侵检测方法。

背景技术

网络入侵检测已经逐渐取代主机入侵检测成为防范入侵计算机系统的研究重点。网络入侵的检测方法的优劣直接影响了整个计算机系统的安全性。

在现存的众多网络入侵检测方法中，最广泛使用的是是模式匹配方法和协议分析方法。模式匹配就是将收集到的信息与已知的网络入侵规则进行比较。通常会建立一个规则库，将已知的网络入侵规则保存在规则库中，如果发现数据包中存在符合网络入侵规则的行为，则判断为网络入侵。归纳来说，模式匹配的方法对于从网络上获取的每一个数据包进行检验，检测其是否符合某一个攻击特征，这些攻击特征采用入侵规则的方式来进行表述。常用的入侵规则包括：字符串匹配、源地址匹配、异常数据包比例等。模式匹配方法的实现简单，但由于需要对规则库进行全面扫描比对，导致计算量很大，运行效率低。同时，由于比对方法是匹配，因此应对变化的能力弱、检测精度低。

协议分析方法则是借助于网络协议来判断入侵规则，依据网络协议的运行规律来判断攻击特征是否存在。由于协议分析方法不需要对规则库进行扫描，因此对于单个数据包来说，协议分析方法的计算量可以大幅缩小，运行效率较高。为了获得较高的检测精度，协议分析方法一般会提取较多比例的数据包，对较高比例的数据包进行分析以确保网络不被入侵。但随着整体网络速度的快速增加引起的数据量暴增，协议分析方法也出现了一些问题，由于协议分析方法会提取较高比例的数据包进行分析，在数据量暴增的情况下到时工作负荷大幅度增加，在面对海量数据时，协议分析方法存在大量丢包，系统资源占用比例过高的缺陷。

发明内容

本发明旨在提出一种运行效率更高，占用资源更少的网络入侵检测方法，该方法选择网络中活跃程度高的节点进行重点检测。

根据本发明的一实施例，提出一种网络入侵检测方法，包括如下的步骤：

数据包采集及预筛检步骤，从网络采集数据包并放入数据包缓冲区中，对存放在数据包缓冲区中的数据包进行预筛检，将数据包分类成为可用数据包和无用数据包，仅提取可用数据包。

数据包完整性分析步骤，对所提取的数据包进行完整性分析，完整性分析包括扫描数据包是否具有完整的数据结构，仅提取完整的数据包。

数据包挖掘及关联步骤，对所提取的完整的数据包依次进行时序分析、源分析和关联分析，时序分析检测数据包的发生时间，源分析检测数据包的源地址和目标地址，关联分析基于源地址和目标地址，对源地址和目标地址进行分布熵运算，基于分布熵运算的结果获得关键节点。

关键节点分析步骤，对涉及关键节点的数据包进行分析，涉及关键节点的数据包是源地址或者目标地址中包含所述关键节点的数据包，分析包括对涉及关键节点的数据包进行协议匹配。

响应处理步骤，依据关键节点协议分析步骤的结果，如果分析结果为存在入侵行为，则报警并进行阻断操作。

在一个实施例中，数据包采集及预筛检步骤包括：获取数据包缓冲区中的数据包的包头格式。查询一筛选库中的包头格式，将数据包的包头格式与筛选库中的包头格式规则进行比对。如果数据包的包头格式符合筛选库中的其中一条包头格式，则该数据包被分类为有效数据包。如果数据包的包头格式不符合筛选库中的任何一条包头格式，则该数据包被分类为无效数据包，无效数据包被丢弃。

在一个实施例中，数据包完整性分析步骤中，对于不完整的数据包，依据其数据结构对该数据包进行碎片重组，碎片重组后的数据包再次进行完整性检测，如果重组后的数据包完整则提取该数据包，如果重组后的数据包依旧不完整则丢弃该数据包。

在一个实施例中，关联分析包括：根据数据包的源地址和目标地址建立网络节点的关系图，关系图中包含各个节点之间的关联值。根据关联值计算每一个节点在图中的分布熵：分布熵

其中p(i)为节点i的关联值，表示节点i在关系图中的概率分布。根据熵的阈值，选择分布熵大于阈值的节点为关键节点。

在一个实施例中，对涉及关键节点的数据包进行协议匹配包括：检测数据包的协议类型。对数据包的协议进行解析，提取协议中的协议特征。以协议特征为单位将数据包的协议在一规则库中进行匹配，规则库中保存有对应入侵行为的协议特征。如果数据包的协议特征与规则库中的协议特征都不相同，则判断该数据包不包含入侵行为。如果数据包的协议特征与规则库中的某一个协议特征匹配，则判断该数据包包含入侵行为。

在一个实施例中，在响应处理步骤中，在存在入侵行为时，发出报警信息，报警信息中包含所述数据包的发生时间、源地址和目标地址。阻断操作包括阻断与所述数据包具有相同的发生时间、或者相同的源地址、或者相同的目标地址的数据包。

本发明的网络入侵检测方法首先选择网络中活跃度高的节点，然后针对活跃度高的节点进行重点的入侵行为检测，因为活跃度高的节点对于网络的整体影响较大，因此针对活跃度高的节点进行检测能够有效降低入侵检测的计算量，但对于入侵检测的检测效果没有显著影响。本发明使用分布熵来选择网络中活跃度高的节点。

附图说明

图1揭示了根据本发明的一实施例的网络入侵检测方法的流程图。

图2揭示了根据本发明的一实施例的网络入侵检测方法中数据包采集及预筛检步骤的执行过程。

图3揭示了根据本发明的一实施例的网络入侵检测方法中进行协议匹配的执行过程。

具体实施方式

据统计，在网络攻击和网络入侵行为中，DDos/DRDos攻击是最常见的攻击方式。DDos/DRDos攻击主要包括以下三种模式：SYN Flood、ICMPSmurf、和DRDos Flood。

SYN Flood攻击的机制如下：由于TCP是基于连接的，在传输数据前必须建立一个连接，在此过程中存在三次握手机制，SYN Flood攻击原理是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）。攻击者向服务器同时发送大量的连接请求，使其满负荷，并且所有的返回IP地址都是不存在或不合法的值，当服务器企图将确认信息返回给用户时将无法找到用户，这样服务器只能等待，并不断给该用户发送请求确认信息，直至超时关闭连接。SYN Flood攻击具有同时性的特征。

ICMP Smurf攻击的机制如下：Smurf攻击原理是攻击者向安全薄弱网络的广播地址发送伪造的ICMP响应数据包。那些网络上的所有系统都会向受害计算机系统发送ICMP响应的答复信息，占用了目标系统的可用带宽并导致合法通信的服务拒绝，Smurf导致攻击者可以利用一个数据包通过服务器放大产生成千的数据包对受害主机进行攻击，加深ICMP攻击泛滥。ICMP Smurf攻击具有目标地址的一致性的特征。

DRDos Flood攻击的机制如下：DRDos攻击原理是基于网络上的主机（路由器）对任何一个SYN数据包都会反射一个SYN/ACK回应包，与一般的DDos相比，多了一个反射层，使控制层次复杂化，具有更大的危害和更强的隐蔽性。DRDos Flood攻击具有源地址的一致性的特征。

参考图1所示，本发明提出一种网络入侵检测方法，尤其针对上述的常见DDos/DRDos攻击，提出高效且占用资源少的检测方法。该方法包括如下的步骤：

102．数据包采集及预筛检步骤。在该步骤中，从网络采集数据包并放入数据包缓冲区中，对存放在数据包缓冲区中的数据包进行预筛检，将数据包分类成为可用数据包和无用数据包，仅提取可用数据包。对于入侵检测来说，数据包采集的基本要求是能够收集网络上某一个范围内的所有数据包。本发明所采用的采集手段是网络适配器（网卡）结合Libpcap软件。Libpcap软件具有数据包捕获函数库，适用网络数据包的抓取。对于所采集的数据包，会将它们先存储在数据包缓冲区中。然后对数据包缓冲区中的数据包进行预筛检。如图2所示，预筛检步骤的执行过程如下：

202．获取数据包缓冲区中的数据包的包头格式。

204．查询一筛选库中的包头格式，将数据包的包头格式与筛选库中的包头格式规则进行比对。

206．如果数据包的包头格式符合筛选库中的其中一条包头格式，则该数据包被分类为有效数据包；

208．如果数据包的包头格式不符合筛选库中的任何一条包头格式，则该数据包被分类为无效数据包，无效数据包被丢弃。

104．数据包完整性分析步骤，对所提取的数据包进行完整性分析，完整性分析包括扫描数据包是否具有完整的数据结构，仅提取完整的数据包。在一个实施例中，在数据包完整性分析步骤104中，对于不完整的数据包，依据其数据结构对该数据包进行碎片重组，碎片重组后的数据包再次进行完整性检测，如果重组后的数据包完整则提取该数据包，如果重组后的数据包依旧不完整则丢弃该数据包。由于链路层的数据传输具有最大传输单位MTU(Maximum Transmission Unit)的限制，因此数据帧的最大长度被限制。而实际应用中发送的数据包长度多数超过了MTU，就需要对数据包进行分割操作，如果在传输过程中出现部分丢包或者关联失效，则会导致数据包不完整，同时在导致网络中存在大量的碎片数据包。碎片重组可以将这些碎片数据包组合起来还原成为完整的数据包。对于经过碎片重组之后能够被还原的数据包，视为其是完整的数据包继续使用，否则，对于无法还原的碎片数据包，则将其丢弃。

106．数据包挖掘及关联步骤，对所提取的完整的数据包依次进行时序分析、源分析和关联分析，时序分析检测数据包的发生时间，源分析检测数据包的源地址和目标地址，关联分析基于源地址和目标地址，对源地址和目标地址进行分布熵运算，基于分布熵运算的结果获得关键节点。

如上面所述的，DDos/DRDos的常用攻击模式中，存在发生时间、源地址和目标地址的一致性特征，并且DDos/DRDos攻击通常是针对网络中较为薄弱的特定节点发动攻击。因此对特定节点进行检测，能以较小的资源占用来发现绝大多数的网络攻击。

步骤106中的时序分析检测数据包的发生时间，以获取数据包的时间序列特征。关联分析则是分析数据包的传递路径，获取数据包之间是否存在源自同一个源地址或者去往同一个目标地址的特性。由此来覆盖DDos/DRDos的常用攻击模式所包含的特性。

在一个实施例中，关联分析以如下的过程执行：

根据数据包的源地址和目标地址建立网络节点的关系图，关系图中包含各个节点之间的关联值。在一个实施例中，网络中的服务器、路由器、终端设备都被视为网络节点。依据数据包中的路由信息，可以得知数据包的源地址（源节点）和目标地址（目标节点）。根据原地址和目标地址，可以建立网络节点之间的关系图。关系图表示网络节点之间的连接关系。在关系图中，每两个节点之间具有一个关联值，关联值表达节点之间的关联程度。如果一个数据包的源地址是节点1、目标地址是节点2，那么节点1和节点2之间的关联值被记录为1。统计所有数据包的源地址和目标地址，得到关系图中所有节点之间的关联值。

根据关联值计算每一个节点在图中的分布熵：

分布熵其中p(i)为节点i的关联值，表示节点i在关系图中的概率分布。

分布熵E(i)的含义是节点在关系图中的出现概率，即节点在网络中的活跃程度，分布熵E(i)的值越大，说明节点在网络中的活跃度越高，对网络的影响程度越大。

分布熵源自于图熵。熵的特点在于，它可以给出一个网络节点集在完全图下的影响大小，并以此做排序列表，可以很容易找出一个图中对其他网络节点影响最大的网络节点。对于图熵H，目前较为常用的是Korner对图熵的定义：

H(G，p)=Minx∈StableSet(G)Σi∈V(G)p(i)logp(i)

图熵H为G和p的函数，StableSet(G)表示的是一个网络节点稳定集的簇，稳定集是图中网络节点集的子集，稳定集中的网络节点必须没有任何边的联系。G表示关于网络节点的完全图（也称为目标数据构建的关系图），p表示网络节点集V(G)（有限集）的概率分布，p(i)表示网络节点i在图中的概率分布。由于稳定集是个非确定性多项式，为了简化计算，本发明采用分布熵E(i)，分布熵E(i)的计算量较小。分布熵的定义为 $E\left(i\right)=\sqrt{P\left(i\right)}{\left(\log P\left(i\right)\right)}^2.$

根据熵的阈值，选择分布熵大于阈值的节点为关键节点。关键节点表示活跃度高，网络影响较大的节点，说明有很多节点在与关键节点通信，因此如果关键节点收到攻击，将会对网络造成很大的影响。

108．关键节点分析步骤，对涉及关键节点的数据包进行分析，涉及关键节点的数据包是源地址或者目标地址中包含所述关键节点的数据包，分析包括对涉及关键节点的数据包进行协议匹配。图3揭示了进行协议匹配的执行过程：

302．检测数据包的协议类型。

304．对数据包的协议进行解析，提取协议中的协议特征。

306．以协议特征为单位将数据包的协议在一规则库中进行匹配，所述规则库中保存有对应入侵行为的协议特征。

308．如果数据包的协议特征与规则库中的协议特征都不相同，则判断该数据包不包含入侵行为。

310．如果数据包的协议特征与规则库中的某一个协议特征匹配，则判断该数据包包含入侵行为。

上述的协议匹配过程与现有技术中的协议分析过程类似，区别在于现有技术中的协议分析过程针对每一个数据包进行，而本发明的协议分析仅针对涉及关键节点的数据包进行，因此对于资源的占用率大大降低。

110．响应处理步骤，依据关键节点协议分析步骤的结果，如果分析结果为存在入侵行为，则报警并进行阻断操作。在一个实施例中，在响应处理步骤中，在存在入侵行为时，发出报警信息，报警信息中包含数据包的发生时间、源地址和目标地址。阻断操作包括阻断与数据包具有相同的发生时间、或者相同的源地址、或者相同的目标地址的数据包。阻断操作阻断具有相同发生时间、或者相同的源地址、或者相同的目标地址的数据包，能有效阻断SYN Flood、ICMP Smurf和DRDos Flood攻击模式所发起的攻击。

本发明的网络入侵检测方法首先选择网络中活跃度高的节点，然后针对活跃度高的节点进行重点的入侵行为检测，因为活跃度高的节点对于网络的整体影响较大，因此针对活跃度高的节点进行检测能够有效降低入侵检测的计算量，但对于入侵检测的检测效果没有显著影响。本发明使用分布熵来选择网络中活跃度高的节点。

Claims (7)

1.一种网络入侵检测方法，其特征在于，包括如下的步骤：

数据包采集及预筛检步骤，从网络采集数据包并放入数据包缓冲区中，对存放在数据包缓冲区中的数据包进行预筛检，将数据包分类成为可用数据包和无用数据包，仅提取可用数据包；

数据包完整性分析步骤，对所提取的数据包进行完整性分析，所述完整性分析包括扫描数据包是否具有完整的数据结构，仅提取完整的数据包；

数据包挖掘及关联步骤，对所提取的完整的数据包依次进行时序分析、源分析和关联分析，所述时序分析检测数据包的发生时间，所述源分析检测数据包的源地址和目标地址，所述关联分析基于源地址和目标地址，对源地址和目标地址进行分布熵运算，基于分布熵运算的结果获得关键节点；

关键节点分析步骤，对涉及关键节点的数据包进行分析，所述涉及关键节点的数据包是源地址或者目标地址中包含所述关键节点的数据包，所述分析包括对涉及关键节点的数据包进行协议匹配；

响应处理步骤，依据关键节点协议分析步骤的结果，如果分析结果为存在入侵行为，则报警并进行阻断操作。

2.如权利要求1所述的网络入侵检测方法，其特征在于，所述数据包采集及预筛检步骤包括：

获取数据包缓冲区中的数据包的包头格式；

查询一筛选库中的包头格式，将数据包的包头格式与筛选库中的包头格式规则进行比对；

如果数据包的包头格式符合筛选库中的其中一条包头格式，则该数据包被分类为有效数据包；

如果数据包的包头格式不符合筛选库中的任何一条包头格式，则该数据包被分类为无效数据包，无效数据包被丢弃。

3.如权利要求1所述的网络入侵检测方法，其特征在于，所述数据包完整性分析步骤中，对于不完整的数据包，依据其数据结构对该数据包进行碎片重组，碎片重组后的数据包再次进行完整性检测，如果重组后的数据包完整则提取该数据包，如果重组后的数据包依旧不完整则丢弃该数据包。

4.如权利要求1所述的网络入侵检测方法，其特征在于，所述关联分析包括：

根据数据包的源地址和目标地址建立网络节点的关系图，关系图中包含各个节点之间的关联值；

根据关联值计算每一个节点在图中的分布熵：

分布熵

其中p(i)为节点i的关联值，表示节点i在关系图中的概率分布；

根据熵的阈值，选择分布熵大于阈值的节点为关键节点。

5.如权利要求1所述的网络入侵检测方法，其特征在于，对涉及关键节点的数据包进行协议匹配包括：

检测数据包的协议类型；

对数据包的协议进行解析，提取协议中的协议特征；

以协议特征为单位将数据包的协议在一规则库中进行匹配，所述规则库中保存有对应入侵行为的协议特征；

如果数据包的协议特征与规则库中的协议特征都不相同，则判断该数据包不包含入侵行为；

如果数据包的协议特征与规则库中的某一个协议特征匹配，则判断该数据包包含入侵行为。

6.如权利要求1所述的网络入侵检测方法，其特征在于，在响应处理步骤中，在存在入侵行为时，发出报警信息，报警信息中包含所述数据包的发生时间、源地址和目标地址。

7.如权利要求6所述的网络入侵检测方法，其特征在于，所述阻断操作包括阻断与所述数据包具有相同的发生时间、或者相同的源地址、或者相同的目标地址的数据包。

Images