CN105025031A

CN105025031A - 一种基于多媒体规则分解链表的网络入侵检测方法

Info

Publication number: CN105025031A
Application number: CN201510459939.9A
Authority: CN
Inventors: 赵旭; 江晋; 薛涛
Original assignee: Xian Polytechnic University
Current assignee: Xian Polytechnic University
Priority date: 2015-07-30
Filing date: 2015-07-30
Publication date: 2015-11-04

Abstract

本发明公开了一种基于多媒体规则分解链表的网络入侵检测方法，具体步骤为：步骤1、构建基于多媒体规则分解链表的网络入侵检测系统，步骤2、首先从网络入侵检测系统的规则库中找出针对多媒体文件的规则，将每条规则的检测内容存放在多媒体规则分解链表中；步骤3、数据包嗅探器负责捕获流经网络入侵检测系统的所有数据包，将这些数据包送至预处理器；步骤4、预处理器对采集的数据包进行检查，将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包，送至检测引擎；步骤5、检测引擎将多媒体数据包首先送入多媒体规则分解链表进行检测，判定多媒体数据包是否含有危险信息。本发明方法使检测效率提高，丢包率降低。

Description

一种基于多媒体规则分解链表的网络入侵检测方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于多媒体规则分解链表的网络入侵检测方法。

背景技术

近年来，国际国内网络安全领域硝烟四起，网络安全事故频频曝出，网络入侵检测系统作为一种有效的防护手段，能够快速发现网络攻击的发生，但是随着网络速度的提高，网络入侵检测系统常会因来不及检测而出现丢包、漏检的状况，如何提高网络入侵检测系统的处理效率，其关键技术在于缩短对每个数据包的匹配时间。

网络入侵检测系统对所有已知的入侵行为提取出特征，总结为规则存入规则库中，为了能快速检索，这些规则以链表的方式组织起来。网络入侵检测系统使用一种三维链表来组织规则，每条规则分成两部分：规则头和规则体，这两部分分别存在RTN(Rule Tree Node)结点和OTN(OptionTree Node)结点中。RTN结点中包含了此规则采取的动作、协议、端口、IP地址以及数据流的方向。OTN结点中包含了报警内容、需要匹配的字符串等内容。

网络入侵检测系统将成千上万条规则全部组织在三维链表中。所有的规则首先根据响应动作(Activeation、Dynamic、Alert、Pass、Log)分为五大类，每类动作中，再按IP、TCP、UDP、ICMP协议来分类，每类协议中，再按RTN来分类，具有相同RTN的OTN结点，连接在同一RTN结点下面。这样，就形成了三维规则链表结构。

网络入侵检测系统启动后，当遇到符合规则头的数据包时，搜索引擎要将数据包与OTN中的匹配项(content、pcre等)一一匹配，如果有匹配成功，这意味着该数据包中含有恶意信息。

网络入侵检测系统的多媒体规则链表是在普通规则链表结构中IP、TCP、UDP、ICMP协议之下，RTN之上，增加多媒体类型结点而构成。

因为现有的网络入侵检测系统多媒体规则链表结构分类方法比较简单，所以会造成RTN结点下面的OTN结点数量过于庞大，平均匹配长度过长的问题，再加上需要检测的数据包数量众多，以及模式匹配过程对时间和系统资源造成巨大的消耗，往往造成大量的数据包来不及被系统检测而产生丢包的情况。

发明内容

本发明的目的是提供一种基于多媒体规则分解链表的网络入侵检测方法，解决了现有技术中存在的网络入侵检测效率低、丢包率高的问题。

本发明所采用的技术方案是，一种基于多媒体规则分解链表的网络入侵检测方法，具体按照以下步骤实施：

步骤1、构建基于多媒体规则分解链表的网络入侵检测系统，依次连接数据包嗅探器、预处理器、检测引擎、多媒体规则分解链表，检测引擎还分别与规则库和报警输出模块连接；

步骤2、在网络入侵检测系统的启动阶段，首先从网络入侵检测系统的规则库中找出针对多媒体文件的规则，将每条规则的检测内容存放在多媒体规则分解链表中；

步骤3、网络入侵检测系统启动后，数据包嗅探器负责捕获流经网络入侵检测系统的所有数据包，将这些数据包送至预处理器；

步骤4、预处理器对步骤3中采集的数据包进行检查，将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包，送至检测引擎；

步骤5、检测引擎将步骤4中的多媒体数据包首先送入多媒体规则分解链表进行检测，判定多媒体数据包是否含有危险信息。

本发明的特点还在于：

步骤1中多媒体规则分解链表包括多个多媒体类型结点，每个多媒体类型结点都有1个或多个指针，分别指向其下RTN结点，RTN结点下通过指针指向相同规则体结点。

步骤2将每条规则的检测内容存放在多媒体规则分解链表中，具体为：规则库中对于同一多媒体类型文件制定的不同条规则中，如果在同一RTN结点下，如果从规则选项中找出相同部分，可将这些规则根据是否具有相同部分再次进行分类，并分别存储在不同的相同规则体结点中。

步骤5具体为：从多媒体数据包中查找与检测规则相同的内容，如果找到，则证明该多媒体数据包含有危险信息，此时报警输出模块就会对该多媒体数据包采取报警或记录日志的操作，如对多媒体数据包检测后未发现含有与检测规则相同的内容，则对其放行，进而绕过网络入侵检测系统的检测过程。

本发明的有益效果是：本发明一种基于多媒体规则分解链表的网络入侵检测方法，通过在多媒体规则链表中增加相同规则体结点，从而解决RTN结点下面的OTN结点数量过于庞大，平均匹配长度过长的问题，该方法可使网络入侵检测系统的检测效率提高，丢包率降低。

附图说明

图1是本发明中基于多媒体规则分解链表的网络入侵检测系统的结构示意图；

图2是本发明中多媒体规则分解链表的结构示意图；

图3是本发明以Gif类型多媒体规则为例的链表分解示意图。

图中，1.数据包嗅探器，2.预处理器，3.检测引擎，4.规则库，5.报警输出模块，6.多媒体规则分解链表，7.多媒体类型结点，8.RTN结点，9.规则体结点。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

本发明一种基于多媒体规则分解链表的网络入侵检测方法，具体按照以下步骤实施：

步骤1、构建基于多媒体规则分解链表的网络入侵检测系统，如图1所示依次连接数据包嗅探器1、预处理器2、检测引擎3、多媒体规则分解链表6，检测引擎3还分别与规则库4和报警输出模块5连接；

其中，如图2所示，多媒体规则分解链表6包括多个多媒体类型结点7，每个多媒体类型结点7都有1个或多个指针，分别指向其下RTN结点8，RTN结点8下通过指针指向相同规则体结点9。

多媒体类型结点7中的数据结构中包括的信息有：多媒体类型、特征字符串数目、指向下一个媒体类型结点的指针等。

相同规则体结点9的数据结构中包括的信息有：指向下一个相同规则体结点的指针、相同规则部分、不同规则部分、结点号等。

步骤2、在网络入侵检测系统的启动阶段，首先从网络入侵检测系统的规则库4中找出针对多媒体文件的规则，将每条规则的检测内容存放在多媒体规则分解链表6中，具体为，如图2所示：

规则库4中对于同一多媒体类型文件制定的不同条规则中，如果在同一RTN结点8下，如果从规则选项中找出相同部分，可将这些规则根据是否具有相同部分再次进行分类，并分别存储在不同的相同规则体结点9中。

步骤3、网络入侵检测系统启动后，数据包嗅探器1负责捕获流经网络入侵检测系统的所有数据包，将这些数据包送至预处理器2；

步骤4、预处理器2对步骤3中采集的数据包进行检查，将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包，送至检测引擎3；

步骤5、检测引擎3将步骤4中的多媒体数据包首先送入多媒体规则分解链表6进行检测，判定多媒体数据包是否含有危险信息，具体为：

从多媒体数据包中查找与检测规则相同的内容，如果找到，则证明该多媒体数据包含有危险信息，此时报警输出模块5就会对该多媒体数据包采取报警或记录日志的操作，如对多媒体数据包检测后未发现含有与检测规则相同的内容，则对其放行，进而绕过网络入侵检测系统的检测过程。

下面针对Gif类型多媒体文件制定的几条规则为例：

#alert tcp $EXTERNAL_NET$HTTP_PORTS->$HOME_NET any(msg:"WEB-CLIENT Mozilla GIF multipacket heap overflow-ANIMEXTS1.0"；flow:from_server,established；flowbits:isset,http.gif；content:"GIF"；content:"！|FF0B|ANIMEXTS1.0"；

……)

#alert tcp $EXTERNAL_NET$HTTP_PORTS->$HOME_NET any(msg:"WEB-CLIENT Mozilla GIF single packet heap overflow-ANIMEXTS1.0"；flow:from_server,established；content:"image/"；pcre:"/^Content-Type\s*\x3a(\s*|\s*\r？\n\s+)image\x2fgif/smi"；content:"GIF"；distance:0；content:"！|FF 0B|ANIMEXTS1.0"；……)

#alert tcp $EXTERNAL_NET$HTTP_PORTS->$HOME_NET any(msg:"WEB-CLIENT Mozilla GIF multipacket heap overflow-NETSCAPE2.0"；flow:from_server,established；flowbits:isset,http.gif；content:"GIF"；content:"！|FF0B|NETSCAPE2.0"；

……)

#alert tcp $EXTERNAL_NET$HTTP_PORTS->$HOME_NET any(msg:"WEB-CLIENT Mozilla GIF single packet heap overflow-NETSCAPE2.0"；flow:from_server,established；content:"image/"；pcre:"/^Content-Type\s*\x3a(\s*|\s*\r？\n\s+)image\x2fgif/smi"；content:"GIF"；distance:0；content:"！|FF 0B|NETSCAPE2.0"；……)

在这些规则中，有两条在规则体部分具有“pcre:‘/^Content-Type\s*\x3a(\s*|\s*\r？\n\s+)image\x2fgif/smi’”部分，而其他规则没有。同样，这种现象在其他多媒体规则中也常有出现，比如在针对jpeg文件的规则中，有些规则在规则体部分有pcre:"/\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/"，有些却没有。所以可以根据规则体中是否含有相同因子将多媒体规则进行分解。

以Gif多媒体类型为例，现有的多媒体链表如图3(a)所示，根据规则体中pcre的有无，将这些规则分为2类，pcre:A和pcre:B，分解为多媒体规则分解链表6，如图3(b)所示，这就使在每类的规则匹配过程中，原来的平均匹配长度明显缩小。

平均匹配长度AML(Average matching Length)具体计算过程如下：

如果一个RTN下面挂有n个OTN结点，当匹配成功时的平均匹配长度为其中P_i为查找RTN下链表中的第i个OTN结点的概率，且C_i为当找到链表中需要的第i个OTN结点时，和前面的OTN结点已经进行过匹配的次数。C_i取决于所查结点在链表中的位置。例如当查找链表中第一个OTN结点时，仅需匹配1次，而查找链表中最后一个OTN结点时，需要比较n次，所以通常C_i等于i。

这样，平均匹配长度AML＝P₁+2P₂+3P₃+...+(n-1)P_n-1+nP_n，假设每个OTN结点的匹配概率相等，即P_i＝1/n，则在等概率的情况下的平均匹配长度：

A M L = Σ_{i = 1}^{n} P_{i} C_{i} = \frac{1}{n} Σ_{i = 1}^{n} i = \frac{1 + n}{2}

以上分析是在的前提上进行的，即认为每次匹配都是成功的。虽然匹配不成功的概率很小，但是也不能忽略不计。所以平均匹配长度应该是匹配成功与不成功两种情况的平均匹配长度之和。

假设匹配成功与不成功的可能性相同，对每个OTN结点的匹配概率也相等，即P_i＝1/2n，那么

A M L = \frac{1}{2 n} Σ_{i = 1}^{n} i + \frac{1}{2} (n + 1) = \frac{3 (1 + n)}{4} .

从上式中可看出，等概率的情况下平均匹配长度与一个RTN下面链表中结点的个数n成正相关。所以，使用多媒体类型拆解链表，使一个RTN下面的OTN结点个数大量缩小，可以有效的减少平均匹配长度。

以上面Gif多媒体类型为例，经过分解后OTN结点链表变为2个分支，平均匹配长度

A M L = \frac{1}{4 n} Σ_{i = 1}^{n} i + \frac{1}{2} (n + 1) = \frac{3 (1 + n)}{8},

也缩小了一半。

因为现有的网络入侵检测系统多媒体规则链表结构分类方法比较简单，所以会造成RTN结点下面的OTN结点数量过于庞大，平均匹配长度过长的问题，再加上需要检测的数据包数量众多，以及模式匹配过程对时间和系统资源造成巨大的消耗，往往造成大量的数据包来不及被系统检测而产生丢包的情况。而本方法对网络入侵检测系统的多媒体规则链表分解为多媒体规则分解链表后，通过将RTN结点下的OTN结点分流，使系统对OTN结点的平均匹配长度大大减少，该方法可使网络入侵检测系统的检测效率提高，丢包率降低。

Claims

1.一种基于多媒体规则分解链表的网络入侵检测方法，其特征在于，具体按照以下步骤实施：

步骤1、构建基于多媒体规则分解链表的网络入侵检测系统，依次连接数据包嗅探器(1)、预处理器(2)、检测引擎(3)、多媒体规则分解链表(6)，检测引擎(3)还分别与规则库(4)和报警输出模块(5)连接；

步骤2、在网络入侵检测系统的启动阶段，首先从网络入侵检测系统的规则库(4)中找出针对多媒体文件的规则，将每条规则的检测内容存放在多媒体规则分解链表(6)中；

步骤3、网络入侵检测系统启动后，数据包嗅探器(1)负责捕获流经网络入侵检测系统的所有数据包，将这些数据包送至预处理器(2)；

步骤4、预处理器(2)对步骤3中采集的数据包进行检查，将数据包中包含MIME协议规定的多媒体文件特征的数据包作为多媒体数据包，送至检测引擎(3)；

步骤5、检测引擎(3)将步骤4中的多媒体数据包首先送入多媒体规则分解链表(6)进行检测，判定多媒体数据包是否含有危险信息。

2.根据权利要求1所述的一种基于多媒体规则分解链表的网络入侵检测方法，其特征在于，所述步骤1中多媒体规则分解链表(6)包括多个多媒体类型结点(7)，每个多媒体类型结点(7)都有1个或多个指针，分别指向其下RTN结点(8)，RTN结点(8)下通过指针指向相同规则体结点(9)。

3.根据权利要求1所述的一种基于多媒体规则分解链表的网络入侵检测方法，其特征在于，所述步骤2将每条规则的检测内容存放在多媒体规则分解链表(6)中，具体为：规则库(4)中对于同一多媒体类型文件制定的不同条规则中，如果在同一RTN结点(8)下，如果从规则选项中找出相同部分，可将这些规则根据是否具有相同部分再次进行分类，并分别存储在不同的相同规则体结点(9)中。

4.根据权利要求1所述的一种基于多媒体规则分解链表的网络入侵检测方法，其特征在于，所述步骤5具体为：从多媒体数据包中查找与检测规则相同的内容，如果找到，则证明该多媒体数据包含有危险信息，此时报警输出模块(5)就会对该多媒体数据包采取报警或记录日志的操作，如对多媒体数据包检测后未发现含有与检测规则相同的内容，则对其放行，进而绕过网络入侵检测系统的检测过程。