網(wǎng)絡(luò)防御和不重復子串模式匹配算法研究實現(xiàn)

陳偉東,黃祖泉,陳傳波,張偉平,吳 濤

(1.上海頤東網(wǎng)絡(luò)信息公司,上海 200233；2.華中科技大學 軟件學院,湖北 武漢 430074)

網(wǎng)絡(luò)防御和不重復子串模式匹配算法研究實現(xiàn)

陳偉東1,2,黃祖泉1,陳傳波2,張偉平1,吳 濤2

(1.上海頤東網(wǎng)絡(luò)信息公司,上海 200233；2.華中科技大學 軟件學院,湖北 武漢 430074)

云計算網(wǎng)絡(luò)和下一代網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，帶來了更多安全威脅。文中基于進程和網(wǎng)絡(luò)元組，研究實現(xiàn)了網(wǎng)絡(luò)主動防御系統(tǒng)的關(guān)鍵技術(shù)。研究了IPv4/IPv6雙協(xié)議棧網(wǎng)絡(luò)體系下防御關(guān)鍵技術(shù)，提出了基于最長不重復子串和Sunday算法的改進算法—NRLS_Sunday，避免了對重復字符過多比較，提高了單模式字符串的匹配效率。與BM、Sunday算法的效率作了實驗對比，優(yōu)化了算法的時間復雜度。研究了在高速網(wǎng)絡(luò)下，快速對數(shù)據(jù)包做內(nèi)容檢測和分析的方法。采用基于進程和網(wǎng)絡(luò)元組的網(wǎng)絡(luò)智能流量限制,對網(wǎng)絡(luò)做入侵檢測和防御。研究了在高速網(wǎng)絡(luò)要求下對網(wǎng)絡(luò)做并行檢測方法。在復雜網(wǎng)絡(luò)空間環(huán)境下應(yīng)用網(wǎng)絡(luò)協(xié)作，統(tǒng)一部署和下發(fā)策略,提出和實現(xiàn)了在復雜網(wǎng)絡(luò)環(huán)境下防御的有效方法。

網(wǎng)絡(luò)防御;系統(tǒng)內(nèi)核;網(wǎng)絡(luò)安全;最長不重復子串;改進的Sunday算法

1 概 述

云計算的逐漸普及帶來了安全和隱私的風險。 分布式的存儲和并行計算在帶來方便快捷的同時，也對網(wǎng)絡(luò)安全存儲和相關(guān)的業(yè)務(wù)活動帶來了泄露和損壞的可能。下一代網(wǎng)絡(luò)體系(IPv4/IPv6)存在已知和未知的各類安全威脅。規(guī)模網(wǎng)絡(luò)的云計算平臺，應(yīng)用虛擬化技術(shù)和云存儲等免費帶寬等服務(wù)，對網(wǎng)絡(luò)入侵的防御、審計取證和有效預(yù)防成為保障云環(huán)境安全的重要措施。

云計算資源包括數(shù)據(jù)中心服務(wù)器、分布式研發(fā)平臺、存儲設(shè)備等。數(shù)據(jù)中心網(wǎng)絡(luò)的大量部署，虛擬計算和分布式存儲、分布式計算給網(wǎng)絡(luò)安全帶來了新需求。需要提供從系統(tǒng)行為監(jiān)控到網(wǎng)絡(luò)監(jiān)控的一體化解決方案。云計算安全威脅包括：數(shù)據(jù)泄漏、系統(tǒng)漏洞、個人認證信息丟失、加密密鑰丟失；文件加密信息泄漏；客戶私鑰、數(shù)據(jù)丟失：會話劫持、Web入侵、拒絕服務(wù)攻擊DoS。如采用80端口的僵尸網(wǎng)絡(luò)DDoS攻擊難于檢測和防御，混合了HTTP和XML消息試圖毀壞云服務(wù)提供者通信信道流。云計算存儲、虛擬化和資源管理等方面都需要安全保證。

僵尸網(wǎng)絡(luò)發(fā)作和傳播采用的方式十分隱蔽，如較流行的TDL系列。采用的P2P的分布式網(wǎng)絡(luò)，利用域名生成算法(DGA)與C&C服務(wù)器通信。僵尸網(wǎng)絡(luò)采用底層驅(qū)動隱藏自身，難以檢測。需要在網(wǎng)絡(luò)通信層面對通信做檢測和攔截，根據(jù)協(xié)議狀態(tài)的匹配和異常通信等發(fā)現(xiàn)可疑通信數(shù)據(jù)。APT類型的攻擊(高級持續(xù)性威脅)利用各種手段感染目標網(wǎng)絡(luò)，利用C&C服務(wù)器通信，造成企業(yè)關(guān)鍵信息泄漏。

云計算網(wǎng)絡(luò)一般采用分布式文件系統(tǒng)，虛擬化技術(shù)、分布資源管理、并行計算編程模型(MapReduce等)。數(shù)據(jù)存儲采用分布式數(shù)據(jù)存儲，對海量非結(jié)構(gòu)化數(shù)據(jù)可以并行讀寫和高效率存儲與訪問。如GFS是可伸縮的分布式文件系統(tǒng)，利用控制消息和數(shù)據(jù)消息做規(guī)模運算。

在入侵檢測和防御系統(tǒng)方面，對模式匹配的速度決定了網(wǎng)絡(luò)速度的瓶頸[1]。對規(guī)則模式的高效匹配算法的要求越來越高，對網(wǎng)絡(luò)通信的檢測和取證，可以利用協(xié)議狀態(tài)的轉(zhuǎn)換。建立狀態(tài)轉(zhuǎn)換圖，有效控制利用協(xié)議漏洞的DDoS攻擊。入侵檢測結(jié)合采用分布式網(wǎng)絡(luò)防御系統(tǒng)(NIPS)。利用語義規(guī)則方法可檢測網(wǎng)絡(luò)協(xié)議從驅(qū)動層到應(yīng)用層的異常檢測。

對網(wǎng)絡(luò)內(nèi)容的快速檢測，需要有快速的規(guī)則匹配算法。文中參考Sunday算法，提出一種根據(jù)最長不重復子串來對網(wǎng)絡(luò)快速匹配的算法。通過實驗比較，時間復雜度和跳轉(zhuǎn)次數(shù)優(yōu)于傳統(tǒng)的Sunday算法。避免了重復字符串比較過多的問題。

2 下一代網(wǎng)絡(luò)防御技術(shù)分析

傳統(tǒng)的防御技術(shù)主要有基于網(wǎng)絡(luò)的入侵檢測(NIDS)和基于主機的網(wǎng)絡(luò)防御(HIPS)、在客戶端和邊界做防御控制等方法。在云計算網(wǎng)絡(luò)內(nèi)，對未知文件數(shù)據(jù)提交到云端作分析和全面檢測。對網(wǎng)絡(luò)QoS作控制，對系統(tǒng)建立漏洞數(shù)據(jù)庫、針對系統(tǒng)漏洞做防御，對網(wǎng)絡(luò)數(shù)據(jù)處理做深度檢測，生成智能規(guī)則和防御圖等。國內(nèi)外研究者采用攻防博弈模型、深度數(shù)據(jù)包檢測、基于協(xié)議分析和通信異常等發(fā)現(xiàn)網(wǎng)絡(luò)可疑通信。基于神經(jīng)網(wǎng)絡(luò)的入侵檢測等方法，Schneier較早(1999)提出了攻擊樹分析模型，對網(wǎng)絡(luò)通信的發(fā)作環(huán)節(jié)進行分析和判斷。Dacier采用特權(quán)圖理論對網(wǎng)絡(luò)進行檢測。應(yīng)用正則表達式進行規(guī)則檢測。

IPv6網(wǎng)絡(luò)協(xié)議棧除了對TCP序列號等攻擊失效外，大部分傳統(tǒng)的DDoS攻擊仍然有效，DDoS攻擊已覆蓋網(wǎng)絡(luò)棧多個層次，從網(wǎng)絡(luò)層、傳輸層到應(yīng)用層[2]。在下一代網(wǎng)絡(luò)IPv4/IPv6的雙協(xié)議棧的多個層次，從網(wǎng)絡(luò)傳輸層到應(yīng)用層做立體防范。結(jié)合入侵防御等多項技術(shù)，才能構(gòu)建可信的網(wǎng)絡(luò)防御系統(tǒng)。網(wǎng)絡(luò)海量數(shù)據(jù)采用模糊決策樹、神經(jīng)網(wǎng)絡(luò)等判斷異常流量數(shù)據(jù)。采用攻擊圖和關(guān)聯(lián)圖等技術(shù)，根據(jù)網(wǎng)絡(luò)攻擊的特征如對網(wǎng)絡(luò)漏洞的攻擊(如RPC/DCOM緩沖區(qū)溢出)，做統(tǒng)一部署和防御。對網(wǎng)絡(luò)漏洞采用禁用和告警等機制，利用流量檢測DDoS。選擇網(wǎng)絡(luò)元組計算熵值，與正常情況熵值對比，可發(fā)現(xiàn)高速和低速LDoS攻擊。

對協(xié)議漏洞如TCP的Syn連接漏洞、擁塞機制和窗口限制等的DDos攻擊，網(wǎng)絡(luò)安全要求對系統(tǒng)漏洞、應(yīng)用層緩沖區(qū)溢出做全面防范等。需要在應(yīng)用層或網(wǎng)絡(luò)層應(yīng)用入侵檢測技術(shù)[3]。在目前的高速網(wǎng)絡(luò)環(huán)境下，低速DDoS攻擊利用TCP擁塞控制漏洞，可以穿透多數(shù)入侵防御系統(tǒng)。HTTP-Flood DDoS攻擊向服務(wù)器發(fā)送大量的HTTP GET數(shù)據(jù)包請求，占用帶寬少，普通的網(wǎng)絡(luò)防御難以發(fā)現(xiàn)混雜在正常流量內(nèi)的攻擊數(shù)據(jù)包。對IP/TCP協(xié)議族利用相應(yīng)頭等信息建立HMM模型(隱馬爾可夫模型)。根據(jù)網(wǎng)絡(luò)語法判斷通信是否異常。針對不同網(wǎng)絡(luò)協(xié)議采用不同的防范方法。對于TCP有狀態(tài)協(xié)議，可以對QoS(服務(wù)質(zhì)量)做控制。

對網(wǎng)絡(luò)數(shù)據(jù)的深度內(nèi)容檢測多數(shù)采用多模式規(guī)則匹配算法。多關(guān)鍵字模式匹配算法主要有：AC_BM算法、WU MANBER等[4]。開源的入侵檢測系統(tǒng)Snort部分使用了AC_BM算法，在模式檢測花費整體運行時間的70%～80%。采用模糊測試方法，找到網(wǎng)絡(luò)協(xié)議存在的協(xié)議、緩沖區(qū)溢出等漏洞。網(wǎng)絡(luò)協(xié)議分析技術(shù)把網(wǎng)絡(luò)攻擊提取出狀態(tài)轉(zhuǎn)換特征，基于有限狀態(tài)機做檢測和報警等。建立狀態(tài)轉(zhuǎn)換模型。基于網(wǎng)絡(luò)鏈接建立狀態(tài)轉(zhuǎn)換鏈表，可以在網(wǎng)絡(luò)層建立協(xié)議狀態(tài)鏈表，通過對通信IP的簡單Hash確認狀態(tài)。如針對TCP協(xié)議的SYN Flood攻擊的防御方法是：以對此類連接計數(shù)并建立隊列，當連接數(shù)和時間等參數(shù)到閾值，丟棄此類連接。

開源的Snort系統(tǒng)可以執(zhí)行實時流量分析和網(wǎng)絡(luò)數(shù)據(jù)包日志記錄。對通信協(xié)議作分析、內(nèi)容檢測和匹配。匹配算法采用基于自動機的多模式查找算法等。Snort內(nèi)置規(guī)則包括針對緩沖區(qū)溢出、網(wǎng)絡(luò)探測和對協(xié)議漏洞攻擊等。

Honeypot(蜜罐)技術(shù)利用系統(tǒng)或網(wǎng)絡(luò)漏洞，對黑客行為作誘騙。對0Day漏洞，基于網(wǎng)絡(luò)多元組、時間和事件類型等構(gòu)成有限自動機作入侵識別。建立漏洞數(shù)據(jù)庫和漏洞掃描機制。系統(tǒng)需要在高速網(wǎng)絡(luò)運行。利用多隊列NIC網(wǎng)卡，多CPU和多GPU結(jié)合的方法提高檢測速度，減少網(wǎng)絡(luò)瓶頸。Gnort采用CPU+GPU做分布并行網(wǎng)絡(luò)檢測識別。硬件可以采用多隊列網(wǎng)卡，可以有效提高網(wǎng)絡(luò)QoS性能。將多個網(wǎng)絡(luò)隊列轉(zhuǎn)發(fā)到不同的CPU上。部分網(wǎng)絡(luò)檢測系統(tǒng)采用GPU的運算能力對規(guī)則模式做并行匹配。

3 模式匹配算法研究

Snort系統(tǒng)規(guī)則集主要有Web規(guī)則、緩沖區(qū)漏洞規(guī)則、掃描和網(wǎng)關(guān)攻擊防御規(guī)則等[5]。傳統(tǒng)的Snort規(guī)則集使用了兩維規(guī)則鏈表，分為RTN(規(guī)則頭樹節(jié)點)和OTN(內(nèi)容選項樹節(jié)點)兩部分。把網(wǎng)絡(luò)數(shù)據(jù)文件收集后，分為兩個部分。分別作并行字符串檢測。入侵檢測系統(tǒng)在網(wǎng)絡(luò)層取到封包之后，對數(shù)據(jù)包頭作解析，對內(nèi)容作檢測。基于有限自動機檢測網(wǎng)絡(luò)異常。采用多模式字符串匹配算法和并行技術(shù)等[6]，對數(shù)據(jù)作多維關(guān)聯(lián)分析。基于云的威脅防御分析，提高匹配效率和對網(wǎng)絡(luò)大數(shù)據(jù)的處理。

常用的單模字符串匹配算法有KMP、BM等，多模式匹配算法有AC和WU MANBER等。從性能比較來看，單模式Sunday算法在查找速度比較占據(jù)優(yōu)勢。Sunday算法對主串比較末位字符下一位字符，找到在規(guī)則串最右出現(xiàn)的位置，做快速跳轉(zhuǎn)。文中提出一種改進的Sunday算法—NRLS_Sunday(No Repeat Longest Substring)，利用規(guī)則字符串的最長不重復字符串。借助Sunday算法和最長不重復字符串的特征，能夠更快實現(xiàn)規(guī)則跳轉(zhuǎn)。Sunday算法最壞時復雜度為O(n*m)。

文中提出了對規(guī)則模式首先找到最長不重復子串的算法，避免了字符的重復比較和頻繁移位。對單模式字符串匹配而言，首先找到模式字符串的最長不重復子字符串。最長不重復子字符串能反映規(guī)則的性質(zhì)，避免重復子串造成無意義的比較和跳轉(zhuǎn)次數(shù)。

字符串匹配的流程如下：

(1)預(yù)處理首先計算最長不重復字符串。然后需要計算兩個壞字符數(shù)組，一個是規(guī)則串本身的壞字符數(shù)組BadChar1[]，另一個是最長不重復字符串及其之前字符串的壞字符數(shù)組BadChar2[]。

(2)開始比較規(guī)則字符串的最右一個字符，相等則到3，不等則比較主串的末位和末位下一位字符壞字符數(shù)組值，在兩個值中取最大值跳轉(zhuǎn)(參考Sunday算法的跳轉(zhuǎn)規(guī)則)。

(3)在末位字符相等的情況下，對最長不重復字符串從右到左對規(guī)則字符串做順序匹配。匹配則到步驟4，失配時跳轉(zhuǎn)規(guī)則取BadChar2[c]和BadChar1[末位加一]的值的最大值做跳轉(zhuǎn)。

(4)最長不重復字符串及之前的字符已匹配，則比較最長不重復串之后的規(guī)則字符。匹配則輸出，失配的跳轉(zhuǎn)規(guī)則取BadChar1[末位加一]和最長不重復字符串的長度的最大值做跳轉(zhuǎn)。最少可以跳轉(zhuǎn)最長不重復字符串的長度。

預(yù)處理首先要計算模式串的最長不重復字符串，之后需要計算最長不重復字符串到模式首位字符的壞字符數(shù)組和規(guī)則字符串的壞字符數(shù)組。跳轉(zhuǎn)規(guī)則可按如下計算：

算式1: 首先比較模式p末位字符(c1)，失配則計算

Skip=MAX(BadChar1(c1),BadChar1(c2))

c2為規(guī)則串對應(yīng)主串末位的下一位字符。

算式2：最長不重復子串及之前比較失配時

skip=MAX(BadChar2(c1),BadChar1(c2),Len)

skip為跳轉(zhuǎn)距離，BadChar2計算失配字符c1跳轉(zhuǎn)，BadChar1計算末位加一c2字符跳轉(zhuǎn)。如果比較移位數(shù)已超出最長不重復子串長度(Len)，則最少移動不重復子串長度。有skip = Max(skip,Len) 。

算式3：最長不重復子串及之前字符匹配，在子串后面匹配失效，則跳轉(zhuǎn)規(guī)則為

skip=MAX(BadChar1(c1),Len(最長不重復子串))

skip為跳轉(zhuǎn)距離，BadChar1計算末位加一跳轉(zhuǎn)，Len(最長不重復子串)是該串長度。

預(yù)處理時計算BadChar1(壞字符規(guī)則)數(shù)組、BadChar2數(shù)組和最長不重復字符串。要計算字符串的最大不重復子串，采用動態(tài)規(guī)劃的復雜度是O(n2)。查找的時間復雜度是O(n)。在字符串左面與模式串對齊，比較時從模式串末位進行。

該算法適用于對較長規(guī)則串的查找檢測，方法如圖1所示。

圖1 利用“whergmn”做第一次匹配

從圖中可看到，whergmn為最長不重復串，末位字符‘e’對應(yīng)‘u’。失配后計算BadChar1(w)和BadChar1(u)的值，取最大值做跳轉(zhuǎn)。規(guī)則串整體移動到u(壞字符)之后,如圖2所示。

圖2 第二次匹配圖

從圖中可以看到，尾部字符‘e’相同。則比較最長不重復子字符串‘n’對應(yīng)‘c’，計算BadChar1(g)=2和BadChar2(c)=8，則跳轉(zhuǎn)值為8。

如圖3所示，‘e’對應(yīng)‘n’，則計算BadChar1(i)=12，字符串移動12。

圖3 第三次匹配圖

匹配結(jié)果如圖4所示。

圖4 第四次位移，找到規(guī)則字符串并輸出

如圖5所示，如果不重復子串后面失配，則取不重復子串長度和BadChar[末位加一]的最大值跳轉(zhuǎn)。

圖5 不重復子串后面失配則移動不重復子串長度

采用該算法可在比較時跳躍最多字符(規(guī)則模式串從左向右移動)。算法最大時間復雜度為O(n)，最好情況是O(n/m)。用改進的Sunday算法與BM算法和Sunday算法做查找時間和次數(shù)的分析比較時，性能指標如下:

測試環(huán)境為Windows7系統(tǒng)，CPU為4核2.40GHz，內(nèi)存6G平臺。隨機采用一個幾十k的文本字符串文件，算法利用最長不重復子串和最末位字符作移動，帶來了更大的平均移動速度。

算法跳轉(zhuǎn)次數(shù)比較見表1。

表1 不重復子字符串改進算法跳轉(zhuǎn)次數(shù)比較

從表1可以看出，文中提出的算法跳轉(zhuǎn)次數(shù)明顯少于Sunday和BM算法，程序時間也保持在此比例。比較Sunday算法平均提高10%左右的性能。算法的空間性能也沒有太多消耗，只是多計算了最長不重復子字符串的壞字符數(shù)組。沒有計算好后綴數(shù)組。平均移動不小于重復子串的長度。快速完成比較。對多模式字符串比較，可采用AC算法與文中算法結(jié)合的方法。采用AC算法構(gòu)建規(guī)則樹，采用規(guī)則樹一次對要對比的規(guī)則做模式匹配。

4 云計算網(wǎng)絡(luò)防范設(shè)計與實現(xiàn)

云計算網(wǎng)絡(luò)首先是對IP雙協(xié)議棧進行異常檢測和防御。下一代網(wǎng)絡(luò)對IPv4/IPv6協(xié)議棧兼容。網(wǎng)絡(luò)吞吐量和異常流量檢測是確保服務(wù)器安全的重要措施。利用系統(tǒng)進程的網(wǎng)絡(luò)數(shù)據(jù)流量，對IP協(xié)議做智能控制。也可以采用主動發(fā)包探測網(wǎng)絡(luò)狀況和網(wǎng)卡嗅探器(Sniffer)等，實時監(jiān)控網(wǎng)絡(luò)狀態(tài)。在內(nèi)容檢測方面，模式規(guī)則匹配速度很關(guān)鍵。模式匹配算法對存儲空間和匹配速度有較高要求。在應(yīng)用層對網(wǎng)絡(luò)數(shù)據(jù)的檢測更穩(wěn)定并具有較好的運算能力[7]。

IPv6協(xié)議集成了IPSec對數(shù)據(jù)加密，Windows提供了WFP驅(qū)動(WindowsFilteringPlatformDrivers)可以在IPSec加密前和解密后采集到數(shù)據(jù)，仍然可以對網(wǎng)絡(luò)數(shù)據(jù)做內(nèi)容檢測[8-9]。部署基于主機的HIPS系統(tǒng)可以有效對網(wǎng)絡(luò)數(shù)據(jù)進行檢測和防御。在云計算環(huán)境下部署惡意行為檢測和防御系統(tǒng)。對APT(高級持續(xù)性威脅)入侵在網(wǎng)絡(luò)層和文件系統(tǒng)層面做有效檢測和防御。網(wǎng)絡(luò)監(jiān)控防御和反惡意軟件等模塊在云計算數(shù)據(jù)中心部署，對下一代網(wǎng)絡(luò)協(xié)議IPv6狀態(tài)和語義做基于有限自動機的分析。分布式客戶端向云端分析服務(wù)器傳送可疑通信數(shù)據(jù)和文件等。在虛擬機和主機等構(gòu)建可信安全的防御體系。采用WFP技術(shù)對HTTP協(xié)議流進行數(shù)據(jù)檢測，可以檢測禁止信息、未知程序運行等。

最有效率的方法是基于進程和網(wǎng)絡(luò)元組的網(wǎng)絡(luò)檢測和防御方法。對分布網(wǎng)絡(luò)節(jié)點應(yīng)該采用不同級別的規(guī)則和檢測模式。向云端提交可疑通信數(shù)據(jù)等以作分析。基于網(wǎng)絡(luò)和主機的IDS，正常的網(wǎng)絡(luò)有固定的狀態(tài)轉(zhuǎn)移圖和語法規(guī)則，可以用來進行對網(wǎng)絡(luò)通信異常行為的檢測[10]。可使用GPU和CPU結(jié)合對采集到的網(wǎng)絡(luò)數(shù)據(jù)做并行檢測。將規(guī)則置于關(guān)鍵字樹之上，采用上文提到的算法檢索。對于多模式匹配需要建立規(guī)則樹。對于采用0Day感染系統(tǒng)的安全威脅，在及時更新系統(tǒng)漏洞的同時，需要檢測出相應(yīng)的系統(tǒng)和網(wǎng)絡(luò)異常。入侵檢測方法主要有基于文法的意圖識別，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)上下文信息，采用狀態(tài)自動機、基于有向無環(huán)圖或樹對屬性作匹配，利用有向樹因果關(guān)聯(lián)關(guān)系，對攻擊做報警和檢測[11]。

圖6展示了網(wǎng)絡(luò)防御系統(tǒng)的總體功能圖。

根據(jù)系統(tǒng)漏洞和權(quán)限等信息構(gòu)建攻擊圖。通過漏洞收集建立模式庫，將系統(tǒng)脆弱點轉(zhuǎn)化為攻擊關(guān)聯(lián)圖。根據(jù)深度優(yōu)先或廣度優(yōu)先對各類攻擊模式建立攻擊圖，完成對網(wǎng)絡(luò)安全性的評估。對云數(shù)據(jù)中心服務(wù)器作流量控制，對服務(wù)器連接IP和網(wǎng)絡(luò)數(shù)據(jù)流做控制。通過檢測丟包率，控制網(wǎng)絡(luò)帶寬和質(zhì)量，有效控制QoS(QulityofService)。系統(tǒng)通過對網(wǎng)絡(luò)層和應(yīng)用層做基于IP元組的控制，對內(nèi)容作有效檢測和控制。通過對進程和IP地址作智能流量控制，對不同進程的帶寬做檢測和控制。按用戶角色、應(yīng)用進程和時間等多個方面，對進程帶寬做控制，也可以針對IP地址作網(wǎng)絡(luò)流量管理。對需要分析的IP協(xié)議分成TCP、UCP和ICMP等作不同處理[12]。TCP頭有序列號和確認號等，包內(nèi)標志位有URG、ACK、PSH、RST、SYN和FIN等。對TCP連接而言，每個連接都保存在狀態(tài)鏈表，建立基于狀態(tài)圖的協(xié)議分析模型，在針對TCP協(xié)議的安全攻擊可對狀態(tài)作匹配并攔截報警。SYNCOOKIE/SYNPROXY防護是對SYN包源地址作探測，以地址真實存在與否決定是否建立TCP連接。ACKFlood會影響一些Web服務(wù)器。UDPFlood屬于流量型DOS攻擊。對UDP攻擊可判斷參數(shù)：數(shù)據(jù)包大小，對特定端口攻擊的攔截。ICMP攻擊可采用對ICMP報文篩選方法。HTTPGET類型攻擊可對Get請求/每秒作統(tǒng)計，如超出閾值則對相應(yīng)的URL等作報警或攔截。UDPDNSQueryFlood攻擊，查詢DNS域名會使服務(wù)器超載。對DNS基于進程的流量做檢測和限制。

圖6 網(wǎng)絡(luò)防御整體功能圖

系統(tǒng)采集需要的網(wǎng)絡(luò)數(shù)據(jù)在應(yīng)用層或分布式系統(tǒng)做統(tǒng)一的網(wǎng)絡(luò)大數(shù)據(jù)智能檢測。IDS對特征作單獨匹配，不能檢測多個事件的關(guān)聯(lián)攻擊。云網(wǎng)絡(luò)需要對多個安全功能部件協(xié)同計算。在云分布式節(jié)點部署Agent客戶端，采集需要的網(wǎng)絡(luò)和文件數(shù)據(jù)，上傳到云端分析或做并行數(shù)據(jù)分析，接收下發(fā)的防御策略和指令。根據(jù)網(wǎng)絡(luò)安全總體態(tài)勢部署相應(yīng)的網(wǎng)絡(luò)防御策略。協(xié)同就是不同防御功能、策略、報警和數(shù)據(jù)分析等動態(tài)的部署。可以采用P2P等通信模式做代理與云端的通信，下發(fā)策略和指令等。利用并行算法(如MapReduce等)對文件數(shù)據(jù)作快速分析和檢測。如NIDS與網(wǎng)絡(luò)層防火墻協(xié)同，可以截斷網(wǎng)絡(luò)攻擊。NIDS可及時發(fā)現(xiàn)被攻陷的網(wǎng)絡(luò)主機并報警[13]。

構(gòu)建可信網(wǎng)絡(luò)主要包括對訪問用戶做權(quán)限認證、網(wǎng)絡(luò)數(shù)據(jù)通信安全、檢測管理、網(wǎng)絡(luò)取證、審計和云端檢測等方法。網(wǎng)絡(luò)協(xié)同方法可以參考選擇各類并行計算，如云計算網(wǎng)和P2P網(wǎng)絡(luò)等。考慮到性能瓶頸和下一代網(wǎng)絡(luò)的兼容性，在網(wǎng)絡(luò)棧的多個層次對不同的威脅做防范，采用分布式數(shù)據(jù)庫協(xié)同通信模式更加安全，利用網(wǎng)絡(luò)安全態(tài)勢等分析，構(gòu)建智能網(wǎng)絡(luò)防御系統(tǒng)。自動更改規(guī)則、部署策略、采集各類數(shù)據(jù)等。確保在并行和規(guī)模網(wǎng)絡(luò)計算時的網(wǎng)絡(luò)取證和安全防御。

5 結(jié)束語

在復雜云網(wǎng)絡(luò)環(huán)境下，對網(wǎng)絡(luò)通信做檢測和控制對安全至關(guān)重要。網(wǎng)絡(luò)安全系統(tǒng)直接影響網(wǎng)絡(luò)吞吐量和系統(tǒng)安全。基于P2P的僵尸網(wǎng)絡(luò)難以截斷和防御，文中從網(wǎng)絡(luò)協(xié)同部署NIDS和HIPS的方法，在云分布式節(jié)點和云端等部署系統(tǒng)，并提出了基于最大不重復字符串的改進Sunday算法。算法在避免重復比較方面有自己的特色。云計算網(wǎng)絡(luò)安全系統(tǒng)的協(xié)同工作十分重要，動態(tài)截斷可疑網(wǎng)絡(luò)數(shù)據(jù)流。根據(jù)安全態(tài)勢做智能化網(wǎng)絡(luò)防御。基于進程和網(wǎng)絡(luò)元組的網(wǎng)絡(luò)流量和連接控制，基于并行算法的協(xié)同安全組件，研究了提高云計算網(wǎng)絡(luò)的安全機制的各種方法。

[1] 姜 偉,方濱興,田志宏,等.基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動防御[J].計算機學報,2009,32(4):817-827.

[2] 胡 平,李 臻,彭紀奎.基于入侵檢測的分布式防火墻的應(yīng)用研究[J].微電子學與計算機,2011,28(6):126-130.

[3]RussinovichM,SolomonDA.Windowsinternals:includingWindowsserver2008andWindowsVista[M].[s.l.]:MicrosoftPress,2009.

[4] 馬兆豐,顧 明,孫家廣.基于角色的可信數(shù)字版權(quán)安全許可授權(quán)模型[J].清華大學學報：自然科學版,2006,46(4):534-538.

[5] 吳 濤,張毛迪,陳傳波.一種改進的統(tǒng)計與后串最大匹配的中文分詞算法研究[J].計算機工程與科學,2008,30(8):79-82.

[6] 李鴻彬,林 滸,侯輝超,等.一種SIP分布式洪泛攻擊的減弱方法[J].小型微型計算機系統(tǒng),2012,33(5):995-999.

[7] 胡建理,周 斌,吳泉源,等.P2P網(wǎng)絡(luò)環(huán)境下基于信譽的分布式抗攻擊信任管理模型[J].計算機研究與發(fā)展,2011,48(12):2235-2241.

[8] 陳偉東,王 超,張 力,等.服務(wù)器系統(tǒng)安全內(nèi)核研究與實現(xiàn)[J].計算機應(yīng)用與軟件,2013,30(3):304-307.

[9] 陳偉東. 一種HTTP通信內(nèi)容檢測的方法:中國，CN104022924A[P].2014-09-03.

[10]FicaraD,GiordanoS,ProcissiG,etal.AnimprovedDFAforfastregularexpressionmatching[J].ACMSIGCOMMComputerCommunicationReview,2008,38(5):29-40.

[11] 亓亞烜,李 軍.高性能網(wǎng)包分類理論與算法綜述[J].計算機學報,2013,36(2):408-421.

[12] 陳偉東,張 力.WindowsRootkit分析與檢測綜合方法[J].信息化縱橫,2009(12):10-15.

[13]ModiC,PatelD,BorisaniyaB,etal.Asurveyofintrusiondetectiontechniquesincloud[J].JournalofNetworkandComputerApplications,2013,36(1):42-57.

Research and Implementation of Network Active Defense and Pattern Matching Algorithm

CHEN Wei-dong1,2,HUANG Zu-quan1,CHEN Chuan-bo2,ZHANG Wei-ping1,WU Tao2

(1.Yidong Network Information Co.,Ltd,Shanghai 200233,China; 2.School of Software Engineering of HUST,Wuhan 430074,China)

Cloud computing network and next-generation network is now widely used,which brings more security threats.Based on the process and the network tuples communication to construct defense system,the key technologies of defense under IPv4/IPv6 dual stack network are researched.It presents the NRLS_Sunday based on improvement of the longest norepeat substring and Sunday algorithm,to avoid excessive repetitive character comparison and improve the matching efficiency of a single pattern string.Compared with BM,Sunday algorithm,the experiment shows the improved algorithm optimizes its time complexity.Under high-speed network,packet data contents is carried on rapid detection and analysis.Based on intelligent traffic restrictions for process and network,the intrusion detection and defense is conducted for network.In this paper,parallel packet detection method is studied under the high speed.Application web collaboration,and the unified arrangements and issued policies is applied in a complex network environment,proposing and realizing the effective method of defense in the complex network environment.

network defense;system kernel;network security;the longest norepeat substring;improved Sunday algorithm

2015-09-14

2015-12-17

時間：2016-05-25

國家自然科學基金面上項目(51175197)

陳偉東(1970-)，男，碩士，高級程序員，系統(tǒng)分析師，CCF會員，研究方向為系統(tǒng)網(wǎng)絡(luò)安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160525.1708.044.html

TP301

A

1673-629X(2016)07-0089-05

10.3969/j.issn.1673-629X.2016.07.019