CBF技术的入侵检测系统设计.docx

《CBF技术的入侵检测系统设计.docx》由会员分享，可在线阅读，更多相关《CBF技术的入侵检测系统设计.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CBF技术的入侵检测系统设计（计算机工程与设计杂志）2014年第七期1原理1.1基本的原理是一种空间效率高的随机数据构造，年由提出的。其基本思想是先定义长度为位的存储空间。然后定义个互相独立哈希函数，对于一个具有个元素的集合，对其中的每个元素，分别使用个哈希函数得到值为，的哈希值，根据哈希值的大小，将中相应位置。假如一个位已经置，则不再处理。如图所示。图中的，。查询时，待查询元素也用个哈希函数进行运算，假如得到的个值在中的相应位置有一个为则不是集合中的数据；假如全为表示在一定的误差情况下为集合中的数据。图中，不是集合中的数据，而在误差允许范围内属于这个集合。与传统的形式匹配方法相比，基本的最大

2、优点是其高效的匹配速度，且与集合的大小无关，而且具有较小的存储空间要求。但是它也具有两个显著的缺点。首先，本的不能适应集合中元素减少的情况，在一定的情况下，不断增加集合元素会导致错误率增加，所以它仅合适静态的集合；其次，无论怎样改良，它总会以一定的概率将本来不匹配的元素误判为匹配，尽管能够做得误判率很小，但是不能消除误判的产生。因而，是通过牺牲一定的准确性来换取内存空间的节省和匹配效率的提高的方法。在需要准确匹配的场合，还需要借助其他准确匹配算法进行辅助。1.2改良的原理基本的不能减少集合元素，也不能太多的增加集合的元素，仅仅适应静态集合的情况。根据入侵检测系统的要求，十分是其适应性的需要，需

3、要动态增加或者减少集合中元素的集合。因而，需要重点关注的各种改良算法。为了适应集合中的元素动态变化，一种称之为计数布隆过滤器的技术被提出。它将基本的每一位扩展为一个计数器，在插入一个元素时，将个哈希函数计算结果对应的计数器加；在删除元素时，将对应的计数器减。通过扩展集合的空间，改良了的性能。的例子如图所示。提供了集合元素的增删能力，对于需要自适应的入侵检测系统来讲，为能够动态增加和减少规则集合的数量提供了便利。2形式匹配引擎设计本系统所设计的入侵检测系统智能中，可能需要大量的规则或者关键词进行匹配。一般的，入侵检测形式匹配有两个方面的匹配要求：一是行为匹配，主要是对网络报文的地址和端口等参数进

4、行匹配；其次是内容匹配，匹配网络报文内容中的关键词或者字符串。在一个分布式系统中，这些要匹配的规则可能随着时间和地点的不同而随时发生变化。为此，我们以技术为基础，经过一定改良适应系统需要。2.1采用多组组合根据入侵检测的需要，本系统采用多组集合作为形式匹配引擎。主要分为两类，其中一类用于行为匹配，其哈希函数的参数包括个参数，即源和源端口、目的和目的端口；另一类用于内容匹配，即专门进行字符串匹配，其哈希函数的参数为字符串。设计多组的目的在于利用不同形式匹配的特点和不同的应用目的，能够更好的设计哈希函数，提高系统的性能。当然，在某些场合，假如只需要行为检测或者内容检测，则可省略多余的集合。2.2的

5、自动更新对于适应性入侵检测系统而言，根据网络情况变化，更新入侵检测的规则是经常需要的。固然我们在设计方案的时候，充分考虑了各种因素，且能够动态增删集合中的元素，但是还是有很多极限情况会在系统工作时碰到。根据实际经历，集合在长时间工作经过中，或者误判率会增加，或者占用空间太多浪费，这时需要对重构调整。根据有关研究计算，在集合中，如大于有数据的位置和等于的位置一样的时候，系统具有最佳效率。当有的位置过多，表示系统的空间太大，浪费空间；假如有的位置太少，将导致系统更严重的误判率，表示空间缺乏。因而，本系统根据有关研究结果，规定在中的个数小于默认时或者大于默认时，根据集合中的元素重构集合空间。让系统保

6、持最好的工作状态。2.3能够动态更新的参数对本系统中的引擎来讲，其多个参数需要能够改良，以适应不同时期、不同地点的形式匹配策略需要。下面对可能更新的参数及其处理办法进行详细分析。哈希函数及其数量。为了提高运算速度和散列效果，降低误判率，有时候需要改良哈希算法，因而这两个参数可能偶然需要更新。这样的更新需要重新建立空间。更改集合的大小。在少量增删情况下，能够动态增删，当到达前述自动更新要求时，才自动更新空间。在本系统中、能够设置更改。一般情况下，总是有一定的误判率，因而需要保存所有的集合元素，先使用实现快速匹配，然后利用传统的算法准确匹配。如前所述，过滤器中集合的个数增加或者减少到一定程度时，需

7、要重新构造过滤器。重新构造过滤器的经过能够采用本地的匹配规则集合来实现。但是在某些场合不需要准确匹配，容许有匹配误差时，本地可不需要保持准确的匹配规则集合。这时候各个节点仅仅需要从服务器下载最新的整个的空间的数据，就能够更新匹配规则集合。空间的数据量远小于准确的匹配规则数据量，能够有效减少网络传输的数据量。3系统的设计与实现3.1系统的总体构造本系统的目的是构建一个分布式入侵检测系统，其主要思想是在节点端实现一个智能，所有智能由制管理器进行集中管理。智能主要功能包括分析数据流特征、入侵检测和入侵过滤等，根据所布置的节点类型不同，各智能的功能也不一样。考虑到技术的特点，利用其在流量分类、入侵检测

8、匹配和报文识别过滤等方面具有处理速度快、占用存储小的优势，本系统将其作为智能的主要算法。系统总体构造如图所示。系统主要由两部分构成，即智能程序和控制管理器。其中智能部署在需要进行入侵检测的部位，比方服务器主机、网关及其他容易检测或者遭到攻击的地方，它通过分析流量、入侵检测和报文过滤等手段，实现要求的入侵检测策略。控制管理器是一个集中管理的服务器程序，它实时接收来自各个智能的信息，判定各部署点的入侵情况，并通过人的管理干涉来改良不同智能的配置参数，适应网络入侵检测的动态变化。系统的所有信息保存在数据库中，由控制管理器对数据库进行读写操作。下面分别对两部分的设计与实现进行讲明。3.2基于的智能的实

9、现智能工作在需要进行入侵检测的节点处，利用技术进行入侵检测所需要的各项工作。通过网络及时与控制管理器保持网络通信，到达动态报告和及时管理的需要。智能的原理构造如图所示。在图中，智能通过报文捕获模块获取报文。然后分别进行流量监测、入侵检测或者报文过滤等功能操作，这些操作根据智能的类型，采用不同的引擎，实现快速匹配。智能通过网络通信模块和控制管理器通信，利用配置管理模块调节各种引擎参数，以适用不同入侵检测节点的需要。为了便于自动升级改良，智能中各个功能模块采用插件设计。在引擎模块中，哈希函数、元素集合及集合空间等都能够根据实际情况的需要而变化。其中，哈希函数采用动态库形式，便于动态更新；而元素集合

10、的少量变化采用动态增减性来实现。如前所述，集合空间变化分为两种情况。一种是各个功能模块流量监测、入侵检测或者报文过滤利用保持的元素集合和给出的空间大小重新构建；另一种是直接使用网络通信模块从控制管理器得到构造好的集合空间。只能进行粗略的判定和匹配，总有误判率存在。对于需要准确匹配的情况，本系统先利用进行初步匹配，然后在相应模块内实现准确匹配计算，如报文过滤模块。这样可以以大大节省匹配运算时间。根据一般经历估计，入侵检测中以上是正常报文，采用引擎可进行快速的初步匹配处理。3.3控制管理器的设计与实现控制管理器采用架构，便于管理用户随时在任何主机上对整个系统进行管理和控制。整个程序分为前后台两部分

11、，后台负责与各智能进行通信，收集各智能的流量监测、匹配量及参数变化等信息，保存在数据库中。前台实现用户管理界面，接收用户控制要求，然后通过后台通信程序送给各个智能执行。图是控制管理器的构造示意图。根据整个系统功能要求，主要分为个功能模块。其中控制中心是系统核心控制部件，负责整个管理控制器的调度和管理；升级管理模块结合用户要求及智能的状况，提供引擎的合理参数配置及的处理功能模块升级；管理模块收集信息，呈现给用户，让用户知道各个的工作状况，并进行远程控制；安全管理负责对各个用户、连接进行验证管理；信息分析模块主要对各个智能回送的入侵检测信息进行分析处理，并给用户及时通知；网络通信模块负责与各个智能

12、的通信经过，实现通信协议处理。一个控制管理器往往只能管理数量有限的智能。在一个大型的分布式入侵检测系统中，需要多个控制管理器构造成一个可扩展的分布式管理系统，有关分布式管理系统的内容不是本文关注重点，在此不再阐述。3.4系统测试与分析本系统采用作为开发环境，利用语言实现智能，用开发了控制管理器。测试运行环境是在，内存，磁盘的普通机上运行。测试系统利用了开源的上的一些组件。为了比照和准确匹配的需要，在智能上还实现了传统的并行哈希匹配算法。为了便于进行比照，系统在一样的环境下，分别使用了种匹配方法，即单匹配、单匹配、和结合的匹配。分别比拟内存使用量、占用率和误判率等指标。测试结果见表。从表很容易看

13、出，单匹配法占用内存最少，占用率最低，但是存在一定误判率。而匹配法则占用了较多的内存和较多的使用率，由于是准确匹配，没有误判。将二者结合后，由进行初级判定，然后由进行准确匹配，占用内存最大，但是使用率比纯小很多，最重要的是，消除了误判率。因而，在本系统中，需要准确匹配的场合采用混合匹配，允许误差的情况下，采用单匹配，愈加有效地利用了的优点。4结束语本文分析了布隆过滤器的特点，结合入侵检测系统的需要，实现了采用技术的分布式入侵检测系统。系统充分利用了技术的特点，构造的形式匹配引擎能够动态修改集合的参数，组成多组集合以适应不同检测节点、不同时间的不同攻击类型的需要。配合良好的模块化和动态库设计，让系统能够自动升级和远程配置，以具备更好的适应性。同时，还能根据入侵检测的需要配合传统的准确匹配算法，消除误判率。与一般的入侵检测系统相比，本系统能够灵敏配置和动态改良，合适不同入侵检测目的的需要。最重要的是，实现了快速匹配，知足网络速度越来越高的入侵检测功能的需要。