一种面向检测的网络攻击分类器的设计与实现
攻击类型转换
一种面向检测的网络攻击分类器的设计与实现
作者:葛武滇,乔正洪,徐劼
来源:《电脑知识与技术》2012年第06
        摘要:对网络攻击进行分类,可以使攻击检测系统化,有助于构造高效的检测方法,从而改善IDS的性能。该文提出一种以协议分析为基础、利用IDS可直接收集的数据、面向检测的攻击分类方法。进而据此分类构造相应的检测方法,并设计开发了一种网络攻击分类器。
        关键词:入侵检测系统;面向检测的攻击分类;检测方法
        中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)06-1266-05
        A Detection-Oriented Attack Classifier’s Design and Realization
        GE Wu-dian, QIAO Zheng-hong, XU Jie
        Institue of Science, PLA Univ. of Sci. & Tech., Nanjing 211101,China
        AbstractAttack classification helps to build efficient and realtime intrusion detection m
ethod. In this paper, a detection-oriented attack classification method, based on protocol analysis and data that IDS can collect directly, is proposed.Then corresponding detection method is given,and a network attack classification is designed.
        Key words: intrusion detection system(IDS); detection-oriented attack classification; detection method
        攻击分类可用于攻击分析、事件报告、统计分析等,对于系统地进行攻击检测也有十分重要的意义,有助于构造高效的检测方法,从而有效地改善IDS的性能。最早的攻击分类方法有,根据安全漏洞产生角度分类、以攻击技术手段分类、结合攻击使用的技术和攻击后果分类、攻击实施操作的顺序分类等,这些攻击分类的方法对于理解攻击所利用的计算机系统漏洞、攻击技术方法以及提高入侵检测的效率等方面大有帮助,但是这些分类的方法都不能直接用于对攻击进行检测。
        实际上在检测攻击时,往往并不需要了解攻击所利用的漏洞、攻击的手段等,而是需要一些面向检测的特征。利用审计记录数据、网络协议等进行的分类,可以直接面向检测,但其分类的依据不是IDS可直接收集的数据。如果以IDS直接收集的数据为分类依据,可以提高
分类检测的精度和效率。
        本文认为,面向检测的攻击分类方法比较适合于IDS的要求,而且以IDS可直接收集的数据为分类的基础,可用性好,有助于提高检测的精度和效率。根据这种思路,本文提出一种以协议分析为基础、直接利用IDS收集的数据、面向检测的攻击分类方法。
        1基于IDS数据源的面向检测攻击分类
        1.1分类描述
        入侵检测有两个基本前提:一是所有的系统活动都可以通过检测系统来得到:二是合法行为和入侵行为是可以区分的。下面我们提出一种以协议分析为基础的、面向检测的网络攻击分类方法。
        网络通信协议是一个高度格式化的、具有明确含义和取值的数据流,数据包内的信息必须遵守TCP/IP协议规范。所有的网络活动可以用下面的三元组进行描述:H = < N, T, A >,其中:H表示所有的网络活动,N表示网络层活动,T表示传输层活动,A表示应用层活动。
        所有的网络攻击事件可以用下面的三元组进行描述:H’= < N’, T’, A’>,其中:H’表示所有的网络攻击事件,N’表示网络层攻击事件,T’表示传输层攻击事件,A’表示应用层攻击事件。
        在网络攻击事件的描述中,各个元素均是可测的,所以用上述的三元组描述的网络攻击事件都是可检测的。三个元素之间是相互独立的,从低层数据检测出的攻击,不在高层数据中进行检测,并且此类攻击事件被归类到低层类别中。根据这种描述,我们从面向检测的角度出发,把网络攻击分为以下三类:
        网络层攻击事件类(简称N’类):网络层数据中某些属性取值的出现表示特定入侵的发生。其中N’=n’1, n’2, n’3,…n’i),n’i表示网络层攻击事件类中的第i个实例。
        ②传输层攻击事件类(简称T’类):传输层数据中某些属性取值的出现表示特定入侵的发生。其中T’=t’1, t’2, t’3,…t’i),t’i表示传输层攻击事件类中的第i个实例。
        ③应用层攻击事件类(简称A’类):应用层数据中某些属性取值的出现表示特定入侵的发生。其中A’=a’1, a’2, a’3,…a’i),a’i表示应用层攻击事件类中的第i个实例。1.2构造入侵检测方法
        在上述攻击分类中,各个类别是相互独立的、互斥的,那么对于每类攻击分别设计专用的检测方法会更直接、有效。而且对每类攻击还可以划分子类,这样一种检测实际上就是根据对整个网络活动进行描述,一种检测方法只负责某类或者某子类的检测,与其它方法之间无任何关系,这能大大提高检测效率,减少不确定性。下面我们将讨论如何以此分类构造入侵检测方法。
        对网络攻击的检测,我们可以通过在网络中若干关键节点截取数据包进行分析和判断,如果发现与已知攻击描述相一致的事件出现,就表明发生了这种类型的攻击;反之再结合其它的检测技术作进一步的分析和判断。入侵检测过程分为三步:
        ①数据源收集:收集代表用户网络活动的数据包,包括正常的和异常的,它是入侵检测的基础。检测是按照分类来进行的,对属于不同类或者子类的攻击需要分别构造不同的检测方法,独立地进行数据收集;
        ②实例的检测:对已知的攻击进行归类,并构造相应的攻击特征描述,即生成实例。在实施入侵检测时,主要是利用已知实例的特征对收集的数据进行分析,从而得到对已知实例的准确判断;
        ③新实例归类:在没有得到检测结果的情况下,利用其它的异常发现技术作进一步的分析,让正常的数据包通过,若是异常的数据包则提取其特征,并将其作为一个新的实例归类到相应的类别中,1.3检测过程
        1检测过程
        1中,三个圆柱分别代表网络层、传输层、应用层数据;箭头表示数据处理的顺序,上层检测得出结果的数据将被过滤,不再做协议分析和进一步检测。在具体的实现中,我们可以对属于不同类型的子类的攻击,依据对攻击的描述分别构造不同的检测方法,独立地进行数据收集、分析和处理。各类攻击的检测方法还可以进一步进行子类扩展。
        2网络攻击分类器的设计与实现
        2.1系统结构
        根据上述的攻击分类,整个网络攻击事件分为三类:N’类、T’类、A’类,每一类入侵事件可能又分为若干子类。在主机中设置的攻击分类器包含四类检测实体:组件FCOM、监测单元DC、入侵分类检测器ICD、检测管理模块DM。主机中ICD是固定的。每一ICD包含DC的数目没有明确的规定,它取决于入侵检测的需要,同时还与能够处理的协议的数量有关。每一DC包含FCOM的数目也是不明确的,它取决于协议的类型。ICD所需的数据来源于DM的分派,DC所需的数据则来源于ICD的分派,一个ICD的失效不会影响其他的ICD的工作,每一个DC也是独立的。这样有助于分类器在功能上的扩展,同时使IDS系统具有一定的容错性。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。