APP下载

基于有限状态自动机的入侵检测系统研究

2011-10-28河南省科学技术信息研究院徐栋

河南科技 2011年3期
关键词:自动机数据包解析

河南省科学技术信息研究院 徐栋

基于有限状态自动机的入侵检测系统研究

河南省科学技术信息研究院 徐栋

随着Internet的广泛应用,入侵事件变得越来越频繁,攻击手段也变得越来越高明,攻击目标不再仅仅局限在单个主机或单个网络系统,网络基础设施现在也成为黑客的入侵目标。所谓网络基础设施主要包括路由协议和网络管理协议,它们共同构成Internet上各种服务的基础。如果基础设施遭到破坏,提供服务也就无从谈起。

一、入侵检测的概念

入侵检测系统(简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。它与其他网络安全传输设备的不同之处在于,IDS是一种积极主动的安全防护技术。它是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算机和网络资源的恶意行为的识别和响应的过程。

二、有限状态自动机

有限状态自动机是一种控制状态有限、符号集有限的自动机,是一种离散输入输出系统的数学模型。它具有任意有限数量的内部格局或状态,用来记忆过去输入的有关信息,根据当前的输入可确定下一步的状态和行为。一个有限自动机等价于一个状态转换图,这样得到的状态转移图可以应用于有限自动机的有关定理和算法的等价变换和化简运算,然后用程序来实现。由于状态转换图与程序有一定的对应关系,所以使得程序设计比较规范化。

三、系统总体模块设计

入侵检测系统的总体结构如图1所示。

图1 入侵检测系统总体结构

1.数据包捕获模块。数据采集模块位于系统的最底层部分,是系统最开始的处理模块。因为网络入侵检测系统面向的主要操作对象是网络数据包,所以要先将网络中的所有数据包捕获下来。该模块的主要任务就是捕获来自以太网中的数据包,根据地址把属于受保护网络的数据包提取出来,送往协议分析模块解析处理,为整个系统提供数据来源。

2.协议解析模块。在收到数据包捕获模块送来的数据帧后,考虑到IPv4和IPv6数据包在网络中同时存在的情况,可以通过解析数据包的版本ID值来区分数据包的版本类型。帧中ProtocolID值为0x0800的可以确定为IPv4数据包,这时可将它转发至IPv4处理引擎中进行处理;帧中Protocol ID值为0x86DD的可以确定为IPv6数据包,因此要解析数据包并将其存储至相应的数据结构中去。

3.规则解析模块。人侵检测系统要想准确检测到攻击行为,一方面要能准确捕获到有入侵嫌疑的数据包;另一方面还需要事先建立起完善攻击特征库。入侵事件检测模块从文件中读取事先定义好的库,对其解析后读入内存相应的变量中。特征库里存储了大量已知攻击事件模式,特征库是一个入侵检测系统的知识库,库中应有尽可能多的攻击事件模式,入侵检测系统的性能受特征库的直接影响,特征库中建立的内容越多越丰富,入侵检测系统能检测到的入侵行为就越多。

4.入侵事件检测模块。入侵事件检测模块的主要作用是将协议解析模块提交过来的数据,运用各种匹配算法将其与特征库中所收录的各种的攻击模式进行比较与分析,以判断是否有入侵事件的发生。数据包在经过解析之后调用入侵事件检测模块进行入侵规则的匹配。对上交的数据与特征库里所构造的规则模式相比较,如果发现这个数据与特征库中存在的一条规则相匹配,就意味着检测到一个攻击的发生,此时执行相应规则中已定义好的相应操作。如果在搜索完特征库内所有的规则后仍没有发现存在与该数据包相匹配的内容,就表明数据是正常的。

5.存储模块。人侵检测系统的存储模块主要把系统中的各种有用信息存储起来,为系统的使用和管理提供方便,其中包括捕获的网络数据包信息、规则库文件信息、用户策略等信息。

6.响应模块。响应模块的功能是入侵检测系统在对事件进行了捕获、解码、检测后对它们采取有意义的响应和记录。在检测到入侵后对确认的入侵行为采取相应的响应,根据用户策略作出反应,如自行切断网络、通知管理员、与防火墙联动等。

7.界面管理模块。好的界面管理模块能为入侵检测系统进行管理操作提供一个完美而且友好的界面,其功能包括对捕获到的数据包进行统计分析、升级完善规则库、管理系统日志、对系统的各个模块进行配置等。

在计算机应用的普及的今天,计算机系统安全问题成为影响人们正常生活的关键因素。总结本文的创新点,首先是提出了一种全新的入侵检测方法,其次是为形式语言和自动机理论的应用提出了一个新的方向。

猜你喜欢

自动机数据包解析
基于Jpcap的网络数据包的监听与分析
三角函数解析式中ω的几种求法
{1,3,5}-{1,4,5}问题与邻居自动机
一种基于模糊细胞自动机的新型疏散模型
一种基于模糊细胞自动机的新型疏散模型
SmartSniff
广义标准自动机及其商自动机
睡梦解析仪
电竞初解析
对称巧用解析妙解