协议分析在高校网络安全防御中的应用

2013-03-31孔令治

吉林建筑大学学报 2013年2期

白茹孔令治

(长春中医药大学现代教育技术中心，长春 130117)

0 引言

随着网络的普及与计算机技术的发展，高校普遍建立自己的校园网络并进一步实施数字校园的发展计划.网络应用系统的不断投入使用方便了广大师生日常的科研工作和学习，提高了工作效率和办公数字化程度，但同时也带来了相应的安全隐患.数字校园进一步发展的基础是如何保障整个校园网络的安全运行，防范日益增加的网络攻击和异常的网络行为，确保校园网内数据安全.为此，高校普遍部署了入侵检测或入侵防御系统来和传统的防火墙技术进行联动，对网络进行多层深层的防护.

入侵检测和防御系统基本上包含监控或采集数据、数据的检测分析、检测结果的处理(报警、相应)等3个部分，其中数据检测分析是整个检测防御系统的核心.目前，大多数系统采用的是比较传统基于规则模式匹配方式，这种方式在今天网络数据量不断增大，攻击方式多样的情况下存在匹配计算量大、误报漏报率增加的问题.如果结合网络协议的高度规则性，快速检测已知或未知的攻击存在将能进一步优化入侵检测和防御系统的性能，提高检测的准确性和及时性.

1 模式匹配和协议分析在检测引擎中的应用

传统模式匹配方法的工作过程，是对进入检测引擎的数据包从头部开始与规则库中的一条攻击特征进行匹配，如果比较结果相同则报警，不同则从下一个字段进行重新比较，直到对攻击特征库中所有规则匹配完毕，在网络应用逐渐增加的今天，该方法不对网络数据进行按协议的归类，而只是机械性地逐一匹配造成两个问题［1］:

(1)数据量大规则多的情况下计算量大;

(2)只能完成满足特定特征的攻击检测，对特征不明显多样化特征的攻击检测效率低下.

协议分析的方法是，首先要对收集到的攻击的特征按照TCP/IP协议进行分类，并把攻击特征的逻辑结构用数型结构表示称之为协议树［2］;其次，把捕获的报文在解析的过程中与各个协议的攻击特征相比较，此过程将依次分析出各层协议的首部，然后确定上一层次的协议直到解析到应用层协议为止，解析一层协议就遍历协议树与相应的入侵特征进行匹配，这种分类按协议匹配方法克服了原有检测整个数据包尽心匹配的过程，大大减少了计算量，可以有效地检测攻击的效率和准确性.协议树详见图1.

图1 协议树

2 结合协议分析的数据处理和匹配过程

2.1 协议分析种类和检测数据

由于高校校园网中环境相对封闭，面临的攻击行为基本上是针对常用协议实行的.为了提高效率，主要对以下常用协议进行分析和检测匹配即可防止绝大数网络攻击行为:

(1)IP协议数据包检测版本、报头长度、服务类型、标示、分割偏移、源地址及目的地址.在检测过程中如果发现异常情况则报警，如源地址目的地址一致，偏移量和长度不符等很有可能是伪造IP地址的land攻击或者碎片攻击;

(2)在TCP协议的数据报文中，检测TCP源端口、目的端口及TCP标志，这样可以匹配诸如非法TCP连接无数据交换的TCP会话等非法报文;

(3)在ICMP分组中检查IP源地址和IP目的地址、类型及序号字段.通过对比APR和ICMP的响应次数发现Smurf、DOS攻击; (4)UDP协议检测IP源地址和IP目的地址、端口号等信息; (5)HTTP协议报文可以检测报文内容、报文相应代码等信息.

2.2 协议分析检测的算法

以IP协议为例，对snort协议规则库添加如下协议分析检测算法，在程序中把网卡设置成混杂模式可以从链路层通过数据包捕获函数库提供的函数直接抓取数据包，检测相应攻击模式如sumf，land攻击的协议分析伪语言算法如下:

(1)数据包捕获;

(2)提取数据报报头信息;

(3)if IP数据报文.

上述算法可以看出，比如land攻击是在源地址与目的地址一致的情况下发生的.只有当检测到IP协议的时候才去提取相关源地址目的地址数据判断，而不是IP数据包就不检测，提高了检测的效率，为了提高检测攻击的效率，我们可以结合实际情况对相应攻击产生的次数进行统计，从而针对校园里容易发生的常用攻击行为的检测规则进行归纳以形成活跃规则集合;当检测数据包的时候首先在活跃规则集合中进行匹配，可以进一步提高检测效率.

2.3 性能测试

在搭建的实验环境下，利用自定义的攻击测试数据和规则库，背景流量采用tcpreplay制造并可以调节流量强度.实验结果表明，融合了协议分析的网络安全系统在实验室测试过程中并不影响误报率，但可以有效降低漏报率，检测匹配时间随背景流量增加，同传统模式匹配方法相比大幅降低，从而提升了网络安全的系统检测性能，能够有效地解决网络流量增加情况下的安全检测和防御系统性能下降的问题.