入侵检测系统攻击特征库的设计与实现张宏宇1 2 刘宝旭3 李恩宝( 1 中国科学院研究生院。北京，1 0 0 0 4 9 ；2 北京国际邮电局北京1 0 0 6 0 0 ；3 中国科学院高能物理研究所计算机中心，北京1 0 0 0 4 9 ；4 中央编办机关服务局事业发展中心，北京，1 0 0 0 2 8 )擅蔓：随着入侵检测系统的广泛使用，作为系统核心部件的特征库对系统性能的影响越来越大本文根据特征库的特点对其进行了优化设计将特征库分解为两个核心，入侵行为特征描述库和入侵确认库通过实验证明该设计方案显著提高了系统的性能关t 胃：入侵检测系统特征库特征分类器1 234Z H A N GH o n g - y u L I UB a o - x uL iE n b a o( 1 G r a d u a t eS c h o o l , C h i n e s 4 ：A c a d e m y0 fS c i e n c e s ，B e i j i n g1 0 0 0 4 9 ；2 B e i j i n gI n t e r n a t i o n a lT e i e m u n i c a t i o na n dP o s tO f l C e ，B e i j i n g1 0 0 6 0 0 = , 3 C o m p u t c r i n gC _ , e n t e I r , I n s t i t u t eo fH i g hE n e r g yP h y s i c s ，C h i 瞄eA c a d e m yo fS c i e n c e s B e i j i n g1 0 0 0 4 9 ；4 S e r v i c eD e v e l o p m e n tC c o t e ro ft h eS e r v i c eB u r e a u , S t a t eC o n m i s s i o nO f f i c ef o rP u b f i cS e c t o rR e f o n 丑B 嘶岫g1 0 0 0 2 8 ) A b s t r a c t 】W i t ht h ew i d e l yu o fI n t r u s i o nD e t e c t i o nS y s t e m ( I D S ) ，t h ei n f l u e n c eo ft h eF e a t u r eL i b r a r y , I t St h eb l L s ea n dc o r ec o m p o n e n to fI D S o nt h e t h ew h o l ep e f f o m a n c eo fI D Sb e C o n l c Sm o r ea n dm o r ei n l p o r t a n LA c c o r d i n gt ot h ec h a r a c u ：r i s t i c so ft h eF e a u i r et i b r a r y t h ep a p 盯a 删s e do p a m a ld e s i g nt h eF e a t u r et i b r a r y , d e c o m p o s e di ti n t ot w oc o r cc o m p o n e n t s i n t r u s i o nb e h a v i o rc h a r a c t e r i s t i c sd e s c r i p t i o nl i b r a r ya n di n t r u s i o nc o n f i r m a t i o nl i b r a r y T e s t ss h o wt h a tt h i sm e t h o da r eu s e f u la n da v a i l a b l e s oa st oi m p r o v et h ew h o l ep e r f o r m a n c eo fI D S 1 K e yw o r d s lI n t r u s i o nD 嗽d o nS y s t e m ( 1 D S ) ；F e a t u r eL i b r a r y ；F e a t u r eC l a s s i f i e r1 引言随着计算机网络技术的发展，网络攻击手段也随之迅速增长，新的攻击通过网络往往很快就会席卷全球。因此入侵检测系统要保护的不再是某些局域子网而是整个网络环境。入侵检测系统虽然都拥有自己的攻击特征库，但是它们既不公开、也不通用，带来了许多问题而共享式的网络攻击特征库与之相比，有着以下的意义I l l ：( 1 ) 共享性：特征数据是共享的，用户可以自由地使用网络攻击特征库中的数据进行研究或实际应用；另外，用户也可以提交特征的修改意见或者新的特征更新特征库，其他用户可以共享使用最新的特征库避免重复劳动( 2 ) 灵活性：用户可以了解共享特征库每条信息的具体内容和含义从而根据自身相应的应用环境和安全政策下灵活的定义，满足自身的需要例如通过激活需要的特征，或者按照格式随意编写本地应用的新特征，来提高入侵检测系统的灵活性J ( 3 ) 通用性：库中的特征具有通用格式，可支持广泛流行的各种开放式入侵检测系统使用网络资源来丰富特征库特征库作为入侵检测系统的核心部件，特征库的优劣决定了入侵检测系统的性能，因此开展特征库的优化设计工作对解决入侵检测系统存在的一些问题，提高系统的检测效率方面将起到极大的帮助。2 攻击特征库的设计本不分从设计原则、设计的对象和策略、具体设计指导思想几个方面进行论述2 1 特征库设计量一名靠统一：特征库中所有的库名称、袁名等信息必须遵循统一的命名规则。并对其进行必要说明，且尽量遵循C v E l 2 1 的命名方法，并有对应关系，从而方便特征库的设计、维护、查询。字段的控：以方便开发人员的分布式设计和数据小组的集中审核管理为目的，选择适当的敷据库设计管理工具设计特征库。字段采用统一的命名规则，如果设计的字段已经存在，可直接引用；否则，应重新设计裹的控：特征库设计中如果发现大部分字段都已存在，应怀疑所设计的库表是否已存在查询字段所在的库袁，确认库表是否重复。库的独占式设计：特征库应采取独占式设计原则，即对于同一个表，在同一时间只有一个人有独占式控制权，其他人只能进行查询等只读性的访问操作2 2 特征库设计的对象和簟喀从当前通常使用的特征库的特征格式可知，特征头包含了协议、源宿I P 地址及掩码、源宿端口信息等专业性强的信息。考虐到为使非专业人员更容易理解和使用特征库、将升级和修改的工作量降低到最小根据面向对象的原则将特征头的信息采甩对象和箫略的方式进行了组织和描述。使用的对象和策略包括网络对象、服务对象、响应策略和应用时间策略2 2 1 丹络对童网络对象是l P 地址和掩码的结合，用对象名表示，用于表示特征头部中攻击的源和宿。网络对象分为。单机。和。网络。两类，相应表示具体的某一主机和对应的某个网段网络对象有三个可选值：任意、内部冈和外部网；。任意”表示所有网络和主机- 。内鄙网。表示单位或组织内部的需保护的网络，。外部冈。则是除内部网之外的网络。使用网络对象可以简单形象的 表示源和宿地址。8 6 52 2 2I t 务对童网络协议和端口共同确定了一个或一组服务。因此，将特征头中的协议和源宿端口信息用服务来表示是非常自然的。服务用服务名来指定，一个服务包括协i 义类型、源端口范围和宿端口范围三个属性。系统预定义了一个服务：。缺省”服务，缺省服务的具体属性可以由具体应用根据需要来指定。2 2 3 响应策略为了给应用提供更多的方便，我们在系统中定义了响应策略。响应策略是- - i l l 响应方法的集合，由策略名来表示为某条特征选定一个响应策略就表示当该特征被匹配成功时应用应采取何种响应。响应方法在系统中是可配置的，便于系统适用于不同的应用。2 2 4 应用时闻簟略应用时阅箫略集中定义了特征的应用时闻，即在何时匹配该特征。应用时间策略中定义的时间可以精确刭星期中的某一天，或某一天中的某个时段，也可以是所有时阔应甩时闻策略用策略名来表示，非常直观，例如可以甩名为。工作日。的策略来表示星期一到星期五，用名为。周末”的策略来表示星期六刭星期日2 3 特征库设计的指导凰蕾通用性是整个系统研制的指导思想之一，其目的是为了减少重复开发造成的浪费，使得开发的特征库能在不同的应用中使用，其中最大的问题就是特征的描述格式。由于现在没有统一的描述格式，即使采甩了通用性最好的s n o r t 格式还是存在格式不兼容的问题为了解决此问题在特征库管理系统中预留了格式转换接口，只需在该接口挂上转换成不同的模块，就能实现各种格式的兼容特征库设计的基本原则是方便与通甩性结合，前者是指尽量方便用户、特别是非专业用户的使用，甩户可以方便使用清除字段对应的数据信息，数据之问的关系；后者是指能适用于多种平台和多种应用，特征库能够应用于W i n d o w s ，L i n u x 等多种系统同时在不同的应用程序中得到应用3 特征库优化方案为了提高特征库的效率，本文针对于此提出了特征库的优化方案，期望能提高系统的使用效率一般来说，当特征库中包含足够的类别信息时。使用特征分类器可以实现正确地分类但是，特征维效的值为多步时就包含了足够的类别信息是一个很难确定的问题因此为了提高评估指标，总是最大限度地提取特征信息但这样就会带来新的问题：第一，过多的特征会使分类器的计算时间大大增加第二，过多的特征还可能降低分类器的性能。因此需要在保持分类器性能可以接受的情况下，尽可能地降低特征维数3 1 特征库曲分解基于特征分类器原理和入侵检测系统实时性的特点，对特征库进行特征降维。首先将特征库分解为两个核心【4 I 核心之一是入侵行为特征描述库如表l 所示，其中包含了对所有入侵行为特征的描述毫l 入侵行为特征接速摩争征名描述P r o t o c o lI D协议码S o L t i r c eA d d r e s s孤地址D e s t l n a t i o nA d d r e s s目的地址S o u r c eP o r t弭口D e s u L n a t i o nP o r t目的口等1 8 行核心之二是入侵确认库，如表2 所示，其中包含了与入侵特征相对应的深层处理模块，对具有各种入侵行为特征的数据包进行深层处理以确定入侵行为的真实性囊2 入侵认库特征名描述L a n dl 表示连接同一芏机【端口1 0 裹示其它 W m n Kf r a 掣n e n t请误碎片的教日U r g t叠急蠡据包教H o t“ h o t 。指示嚣教目N u m _ f a i l e d J o g m错误注册次最L o 龆e d _ i nl 麦示注册成功0 表示拄册失胜 N u mc o m p r o m i s e d。c o m p r o m i s e d 。条件敦两个核心库的建立一方面有利于入侵描述的进行，另一方面还使I D S 具备了一定的扩展性即一且有新的入侵行为产生，即可将新的入侵特征描述添加到特征描述库中，并将深层处理程序添加到入侵确认库中，以提高系统的效率。网络入侵行为大致分为发生于头部的攻击和发生于数据部分的攻击。如：L A N D 攻击( 发送源和目的的I P 地址和端口号均相同的S Y N 数据) ，T e a r d r o p 攻击( 发送重组时会发生地址重叠的I P 分片报文f r a g m e n t ) 端口扫描攻击等都属于头部攻击对于这类攻击