CN114710343A

CN114710343A - 一种入侵检测的方法和检测设备

Info

Publication number: CN114710343A
Application number: CN202210326387.4A
Authority: CN
Inventors: 向奎
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2022-03-30
Filing date: 2022-03-30
Publication date: 2022-07-05

Abstract

本说明书提供一种入侵检测的方法和检测设备，该方法包括：构建检测模型，所述检测模型包括：捕获层、网络协议层、检测层和响应层；所述捕获层，用于捕获数据包；所述网络协议层，用于对所述捕获数据包进行协议解析，获得解析结果：所述检测层，用于根据解析结果确定所述捕获数据包是否为攻击事件；所诉响应层，用于当检测层判断所述捕获数据包为攻击事件时，进行攻击响应；利用所述检测模型对网络数据进行入侵检测。通过该方法，可通过对数据包的协议分析来判断数据包是否包含攻击事件。

Description

一种入侵检测的方法和检测设备

技术领域

本公开涉及信息安全领域，尤其涉及一种入侵检测的方法和检测设备。

背景技术

入侵检测：(intrusion detection)通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域；对人类社会的进步和发展起着举足轻重的作用，它正影响和改变着人们工作、学习和生活的方式。另外，Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标识；发展网络技术是国民经济现代化建设不可缺少的必要条件。

网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速，网络带给人们的便利比比皆是。

然而，网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件，窃取你的银行存款，破坏你的企业账目，公布你的隐私信函，篡改、干扰和毁坏你的数据库，甚至直接破坏你的磁盘或计算机，使你的网络瘫痪或者崩溃。

因此，研究各种切实有效的安全技术来保障计算机系统和网络系统的安全，已经成为刻不容缓的课题。伴随着网络的发展，各种网络安全技术也随之发展起来。常用的网络安全技术有：数据加密、虚拟专用网络(VPN)、防火墙、杀毒软件、数字签名和身份认证等技术。

发明内容

本公开实施例提供了一种入侵检测的方法和检测设备，通过对数据包的协议分析来判断数据包是否包含攻击事件。

本公开实施例提供了一种入侵检测的方法，包括构建检测模型，所述检测模型包括：

捕获层、网络协议层、检测层和响应层；

所述捕获层，用于捕获数据包；

所述网络协议层，用于对所述捕获数据包进行协议解析，获得解析结果：

所述检测层，用于根据解析结果确定所述捕获数据包是否为攻击事件；

所诉响应层，用于当检测层判断所述捕获数据包为攻击事件时，进行攻击响应；

利用所述检测模型对网络数据进行入侵检测。

所述解析结果包括：该捕获数据包的类型和特征。

所述检测层与规则解析模块关联，所述规则解析模块与攻击特征库关联；

所述检测层，具体用于根据规则解析模块和攻击特征库对解析结果进行检测；

当解析结果中存在与规则解析模块中的规则匹配，或与攻击特征库中的特征匹配时，则判断该捕获数据包问攻击事件。

所述检测模型还包括：存储模块，所述存储模块与网络协议层关联，用于存储解析结果。

所述网络协议层包括：

ARP、RARP、IP、TCP、ICMP、UDP协议解析中的部分或全部协议解析。

本公开实施例还提供了一种检测设备，

该检测设备中运行有检测模型，该检测模型包括：

捕获层、网络协议层、检测层和响应层；

所述捕获层，用于捕获数据包；

所述检测设备通过该检测模型对网络数据进行入侵检测。

所述解析结果包括：该捕获数据包的类型和特征。

所述网络协议层包括：

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。

图1为本公开实施例提供的一种入侵检测的方法的流程示意图。

图2为本公开实施例提供的一种检测模型的逻辑架构示意图。

图3为本公开实施例提供的一种检测系统的逻辑架构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在目前的计算机安全状态下，基于防火墙、加密技术等的安全防护固然重要；但是要根本改善系统的安全现状，必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。

从网络安全立体纵深的多层次防御角度出发，入侵检测理应受到高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品；所以对入侵检测系统的研究非常重要。

传统的入侵检测系统中一般采用传统的模式匹配技术，将待分析事件与入侵规则相匹配。从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同，则下移一个字节再进行；若比较结果相同，那么就检测到一个可能的攻击。

这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本缺陷。面对近几年不断出现的ATM、千兆以太网、G比特光纤网等高速网络应用，实现实时速度和效率是解决该问题的一个途径。

本公开实施例提供了一种入侵检测的方法，可利用网络协议的高度规则性快速探测攻击事件的存在，大大减少了模式匹配所需的运算，如图1所示，

S101构建检测模型；

S102利用检测模型对网络数据进行入侵检测。

其中，构建的检测模型包括：捕获层、网络协议层、检测层和响应层。

所述捕获层，用于捕获数据包；

所诉响应层，用于当检测层判断所述捕获数据包为攻击事件时，进行攻击响应。

在本实施例中，网络协议层可包括多种协议解析，例如，ARP、RARP、IP、TCP、ICMP、UDP协议解析中的部分或全部协议解析。

在本实施例中，为了阐述本实施例中利用检测模型实现对数据的协议解析，来提高对入侵检测的检测效果和效率，以示例性的方式例举了如下实施例：

其中，TCP/IP网络层有ICMP、IGMP和ARP等协议，ICMP、IGMP协议处于IP的上层，传输时被封装为IP的数据报中，ICMP用于IP传输过程进行控制消息和错误报告。ARP协议处于IP协议之下，以广播方式发送数据包，主要用于IP地址与MAC地址进行解析。

在传输层主要有两个协议：TCP和UDP协议，TCP协议是一种面向连接的可靠的传输协议，在传输层协议中较多应用，在传输层针对TCP协议攻击也是较多。UDP是传输层另一个协议类型，是一种非面向连接的不可靠的传输协议。

1、针对ARP和RARP数据包的协议解析：

对ARP或RARP数据进行协议分析，把协议解析后的解析结果送入基于ICMP协议规则集的匹配检测模块进行检测，查看是否存在ARP和RARP相关的攻击。在本实施例中，由于基于ARP/RARP协议的攻击较少，所以把他们归入ICMP协议规则集中。在其它实施例中，也可单独设置ARP&RARP协议规则集。

2、针对IP数据包的协议解析

对IP数据包进行协议解析，并把协议解析后的解析结果送入基于IP协议规则集的匹配检测程序中进行检测。

为了便于理解，下面针对IP包分片和重组进行说明：

IP数据包首部的第一个字节的后面4个比特组成的字段标识了IP首部的长度。该字段的值乘以4就等于IP首部的长度。没有包含IP选项的普通IP首部长度为20，如果大于20就说明此IP数据包包含IP首部。第5和第6个字节是IP数据包得16位标识，每一IP数据包都有唯一的标识。该标识在IP数据包分片重组中起到至关重要的作用，每个分片就是通过检查此ID号来判别是否属于同一个IP包。第7个字节开始的前3个比特是重要的标志位：第一个标志位(最高位)为保留位(该位必须为0，否则就是一个错误的IP数据包)，第二个标志位DF只是该IP数据包能否分片(该位为0则表示该IP数据包可以分片，为1则不能分片)，第三个标志位MF只是该数据包是否为最后一个分片(该位为0标识此数据包是最后一个分片，为1标识不是最后一个分片)。从MF标识位开始的后面13个比特位记录了分片的偏移量。分片的IP数据包，各个分片到目的端才会重组；传输过程中每个分片可以独立选路。

在本实施例中，16位分片ID(Fragment ID)标识了每个IP数据包得唯一性。数据包分片后，它的每个分片具有相同的标识。通过每个分片的片偏移量可以确定每个分片的位置，再结合MF可以判断该分片是否为最后一个分片。通过上述信息，就可以顺利的重组一个数据包。

分片重组对网络入侵检测系统具有重要意义，有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞，例如著名的TearDrop攻击就是在短时间内发送若干偏移量有重叠的分片，目标机接受到这样的分片的时候就会合并分片，由于其偏移量的重叠而发生内存错误，甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的，需要再协议分析中模拟操作系统的分片合并，以发现不合法的分片。另外，Ting Fragment(极小分片)等攻击方法，将攻击信息隐藏再多个微笑分片内来绕过入侵检测系统或防火墙的检测从而达到攻击的目的。对付这种攻击也需要再检测的过程中合并碎片，恢复数据包的真实面目。

IP包头的第10个字节开始的后面八个比特位表示了协议的类型：其中1表示ICMP协议，2表示IGMP协议，6表示TCP协议，17表示UDP协议。(这些数字是十进制的)。对IP数据包检测完毕后，如果检测到攻击就记录该数据包，然后重新开始检测一个新的原始数据包。如果没有检测到攻击，则在判断上层协议类型之后就把数据包分流到TCP、UDP等协议分析程序中进行进一步协议分析。

3、针对TCP数据包协议解析：

TCP协议，由于该协议是一个面向连接、具有可靠的特性，被广泛医应用于互联网。通过解析TCP报文，一个TCP包头的标识(code bits)字段包含6个标志位：

SYN：标志位用来建立连接，让连接双方同步序列号。如syn＝1而ack＝0，则表示该数据包未连接请求，如果syn＝1而ack＝1则表示接受连接。

FIN：表示发送端已经没有数据要求传输了，希望释放连接。

RST：用来复位一个连接。RST标志位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机的任何一个连接，则向远端发送一个复位包。

URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。

ACK：为确认标志位。如果为1，表示包中的确认号是有效的。否则，包中的确认号无效。

PSH：如果置位，接受端应尽快把数据传送给应用层，不必等缓冲区满再发送。

TCP建立连接：三次握手

i、client：syn

ii、server：syn+ack

iii、client：ack

TCP断开连接：四次握手

i、client：fin

ii、server：ack

iii、server：fin

iv、client：ack

TCP攻击可以简单的分为以下三类：a、FLOOD类攻击，例如发送海量的syn，syn_ack，ack，fin等报文，占用服务器资源，使之无法提供服务。b、连接耗尽类攻击，如与被攻击方，完成三次握手后不再发送报文一直维持连接，或者立刻发送FIN或RST报文，断开连接后再次快速发起新的连接等，消耗TCP连接资源。还有一类，是在我们上述没有做分析的数据传输过程中的利用TCP本身的流控，可靠性保证等机制来达到攻击的目的。c、利用协议特性攻击：例如攻击者建好连接之后，基于TCP的流控特性，把TCP窗口值设为0，然后断开连接，则服务器就要等待Windows开放，造成资源不可用。或者发送异常报文，可能造成被攻击目标崩溃。

通过对TCP数据包进行协议解析，并把协议解析后的解析结果送入基于TCP协议规则集的匹配检测程序中进行检测。

例如，读入TCP数据包，对TCP包头进行协议解析；并检查是否有TCP选项，如果有的话就对TCP选项进行协议解析。然后，判断该TCP数据包是否发生分段，如果发生了分段就进行TCP重组。再把重组后的数据包送入基于TCP协议规则集的匹配检测程序进行检测。如果检测到攻击就记录下该攻击数据包，以备攻击取证等使用。记录数据包后又返回，重新读取一个新的数据包。如果没有检测到攻击，就把该数据包送入下一级协议解析模块中，作进一步的协议分析。同时可通过响应层进行阻断。

4、针对ICMP数据包协议解析：

ICMP报文头，类型(0或8)占8位，代码(0)占8位，检验占16位。可以看出来ICMP前四个字节都是一样的，剩下其他字节不相同。类型8，代码0表示回显请求(ping请求)；类型0代码0表示回显应答(ping应答)；类型11，代码0表示超时了，

ICMP常见的攻击，就是ICMP Flood，ICMP Flood的攻击原理和ACK Flood原理类似，属于流量型的攻击方式，也是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。

这是对ICMP数据包进行协议分析，并把协议分析后的数据送入基于ICMP协议规则集的匹配检测程序中进行检测。ICMP报文有很多类型，根据报文中的类型字段和代码字段就可以区分每一种ICMP报文类型。最直接的处理方式就是过滤ICMP报文，丢弃ICMP协议，等检测出没有攻击的时候再回复使用ICMP协议。

5、针对UDP协议分析

UDP报文结构，其中报文头包含16位源端口号和16位目的端口号、16位UDP长度和16位UDP检验和，总共八个字节。最常见的DDOS攻击即UDP Flood。常见的利用情况就是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。但是，由于UDP协议是无连接的，所以只要开了一个UDP端口提供相关服务的话，那么就可以针对相关的服务进行攻击。

针对UDP Flood的防护非常困难。

i、判断包大小，如果大包攻击则使用防止UDP碎片的方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。

ii、攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

iii、攻击端口为非业务端口：一个是丢弃所有的UDP包，可能会误伤正常业务；一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。可通过与专业防火墙或其他防护设备支持实现。

通过入侵检测系统，这是对UDP数据包进行协议分析，并把协议分析后的数据送入基于UDP协议规则集的匹配检测程序中进行检测。如果检测到攻击就记录该数据包，然后返回并读取下一个数据包。如果没有检测到攻击，那么就把数据包送入基于应用层协议规则集的检测模块进行进一步的检测分析。要根据具体情况具体对待，没有好的处理方式之后，最后可采取一旦发现是UDP Flood攻击，就直接阻断UDP协议，直到未检测到攻击后，再重新恢复UDP协议。

需要说明的是，以上各实施例仅针对目前较为流行的协议做了示例性说明，通过还检测模型还可实现其它应用协议的检测，此处不再举例说明。

通过上述各实施例可以看出，本公开中所涉及的解析结果包括数据包的类型和特征。

如图2所示，在该检测模型中，检测层还可与规则解析模块关联，其中，规则解析模块关联与攻击特征库关联。规则解析模块是把攻击特征库(规则库)中得规则进行解析并读入内存。需要说明的是，规则解析模块和攻击特征库可以被设置在同一个物理实体中，也可以分别设置。

如图3所示，示出了根据本公开中的检测模型搭建检测引擎的架构，具体的，协议解析的入口是函数Protocolnl，为每个数据包分配一个包结构，该结构里记录了各个协议层次的信息以及其他一些检测所需的数据，在协议解析的整个过程中，会填写包结构的各个字段。Protocol原函数结束时将包交给数据链路层解码程序EthDecode，该程序会填写包结构与数据链路层有关的字段，并在结束时调用网络层解码程序IPDecode。该解码程序会填写包结构与网络层有关的字段，并在结束时判断此包是否是IP包，如果是则调用相关的传输层解码程序(如TCPDecode，UDPDecode，ICMPDecode等)。

预处理是按顺序初始化预处理插件链表PrPerocessList，每个表项(即每个预处理插件)有一个处理函数和处理参数，预处理过程可能会继续完成包结构，也可能产生报警，这里的报警使用单一的报警方式而无法像规则匹配那样可以对每条规则采用不同的报警方式。主要由预防IP地址冒充、IP分片重组、TCP流重组等模块组成。

检测模块函数为detect，规则分为报警、记录、通过三个集合，在detect中分别用不同的集合进行检测，对于每类规则集合，进入遍历规则树函数SearchRule这里的规则又分为TCP\UDP\ICMP\IP四个集合，根据当前数据包的类型进入相应的子集合。进入EvalHeader例程，在此例程中首先调用每条规则的RuleHeadFunc函数，检查当前规则是否适用于数据包，不适用则继续下一条；如果适用则调用遍历规则选项函数SearchOpts匹配。Options，主要是对数据段进行内容检查，如果匹配成功，则立即停止对规则链表的遍历，进行报警，否则继续下一条规则，直接规则链表遍历结束。

通过上述各实施例可以看出，通过本公开提供的检测模型可以实现如下效果：

1、提高性能：当系统提升协议栈来解析每一层时，它用已获得的知识来消除在数据包结构中不可能出现的攻击。比如4层协议是TCP，那就不用再搜索其他第四层协议如UDP上形成的攻击。如果数据包最高层是简单网络管理协议SNMP，那就不用再寻找Telnet或HTTP攻击。这样检测的范围明显缩小，而且更具有针对性；从而使得IDS系统性能得到明显改善。

2、能够探测碎片攻击等基于协议漏洞的攻击：在基于协议分析的IDS中，各种协议都被解析。如果出现IP分片，数据包将首先被重装；然后再对整个数据包进行详细分析来检测隐藏在碎片中得潜在攻击行为。

3、降低误报和漏报率：协议分析能减少传统模式匹配NIDS系统中常见的误报和漏报现象。在基于协议分析的NIDS系统中误报率会明显减少，因为他们知道和每个协议有关的潜在攻击的确切位置以及该位置每个字节的真正含义。例如，针对基于协议分析的IDS不但能识别简单的路径欺骗：例如把CGI攻击”/cgi-bin/phf”变为”/cgi-bin/./phf”或”/cgi-bin\phf”；而且也能识别复杂的HEX编码欺骗：例如”/winnt/system32/cmd.exe”，编码后变为”/winnt/system32/％2563md.exe”，通过协议分析％25解码后为“％”，％63解码后为“c”，这样就解析出了攻击串。又如针对Unicode(UTF-8)的编码欺骗(与ASCII字符相关的HEX编码一直到％7f，Unicode编码值要高于它)，攻击串编码后得到”/winnt/system32％c0％afcmd.exe”，通过解码可知％c0％af在Unicode中对应/，所以解码后就能顺利还原出攻击串。

基于上述各实施例中的方法步骤，本公开实施例还提供了一种检测设备，该检测设备中运行有检测模型，该检测模型包括：

捕获层、网络协议层、检测层和响应层；

所述捕获层，用于捕获数据包；

所述检测设备通过该检测模型对网络数据进行入侵检测。

其中，该检测设备可以为服务器、防火墙等具备安全防护功能的网路设备。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims

1.一种入侵检测的方法，其特征在于，构建检测模型，所述检测模型包括：

捕获层、网络协议层、检测层和响应层；

所述捕获层，用于捕获数据包；

利用所述检测模型对网络数据进行入侵检测。

2.根据权利要求1所述的方法，其特征在于，所述解析结果包括：该捕获数据包的类型和特征。

3.根据权利要求1所述的方法，其特征在于，所述检测层与规则解析模块关联，所述规则解析模块与攻击特征库关联；

4.根据权利要求1所述的方法，其特征在于，所述检测模型还包括：存储模块，所述存储模块与网络协议层关联，用于存储解析结果。

5.根据权利要求1所述的方法，其特征在于，所述网络协议层包括：

6.一种检测设备，其特征在于，该检测设备中运行有检测模型，该检测模型包括：

捕获层、网络协议层、检测层和响应层；

所述捕获层，用于捕获数据包；

所述检测设备通过该检测模型对网络数据进行入侵检测。

7.根据权利要求6所述的检测设备，其特征在于，所述解析结果包括：该捕获数据包的类型和特征。

8.根据权利要求6所述的检测设备，其特征在于，所述检测层与规则解析模块关联，所述规则解析模块与攻击特征库关联；

9.根据权利要求6所述的检测设备，其特征在于，所述检测模型还包括：存储模块，所述存储模块与网络协议层关联，用于存储解析结果。

10.根据权利要求6所述的检测设备，其特征在于，所述网络协议层包括：