基于COME模塊的網絡入侵檢測系統設計

葉開珍

(廣州應用科技學院,計算機學院， 廣東，肇慶 526000)

0 引言

由于計算機技術的快速發展，人們同時生活在現實和網絡2個世界中，逐漸改變著人們的工作和生活方式，推進國家現代化發展[1]。目前，國內對入侵檢測相關技術的研究與應用主要在于針對已有模式匹配算法的改進以及算法測試方面。國外入侵檢測系統己經進入相對成熟期，已經有很多比較成功的商業化產品。然而在實際的應用過程中發現，目前網絡入侵檢測系統普遍存在誤報率高、檢測速度慢等問題，針對上述傳統系統存在的問題，其創新之處在于利用COME模塊實現系統的優化設計。COME模塊是一個以標準模塊封裝的計算機主機，在高集成度CPU的控制下，得出最小系統組成的模塊。COME模塊能夠支持32個PCI Express Lane，提供80 Gbps的總帶寬，且能夠支持3個千兆以太網接口[2]。將COME模塊應用到網絡入侵檢測系統的設計工作中，避免了大部分的技術風險，間接地提升系統的運行性能。

1 網絡入侵檢測硬件系統設計

網絡入侵檢測系統設計的意義是實時檢測網絡環境中是否存在非法入侵的行為，一般來講網絡入侵檢測可以分為3個步驟，分別為數據收集、數據分析和決策響應。在網絡實時運行數據的支持下，通過數據分析結果與特征庫的匹配，或利用異常檢測硬件設備進行分析，判斷網絡中的惡意節點入侵情況，并確定入侵節點位置[3]。而系統的軟件功能就是以程序代碼的形式，實現網絡入侵檢測功能，并得出最終的檢測結果。

1.1 COME模塊與主板設計

COME模塊與主板的連接分為AB列和CD列，其中AB列為必選接口，CD列為可選接口，可提供PCI-Express、SATA、LVDS、LPC總線、以太網、電源等接口；CD是一個可選接口，提供SDVO、PCI、IDE、PCI Express、LAN以太網、電源和接口。AB列和CD列分別由220個引腳組成。圖1顯示了COME模塊的附加信號連接。

圖1 COME模塊的外接信號

通過COME模塊的連接，完成系統主板的擴展和完善[4]。

1.2 網絡處理器

網絡處理器采用了全新的設計理念，具有 ASIC芯片的高速處理能力，同時具有完整的可編程功能。網絡處理器的功能包括數據的分片重組、數據幀的識別、流量控制的實現、服務質量的保證、消息的過濾等[5]。在本質上，網絡處理器是一個越來越復雜的多目標系統的優化過程。網絡處理器的內部結構如圖2所示。

圖2 網絡處理器的硬件單元結構圖

圖2中，網絡處理器對網絡報文流進行處理的核心部件是處理單元,內核結構及間組織結構是區分網絡處理器類型的重要依據。網絡處理器芯片采用硬件多線程結構，減少了數據處理過程中訪問內存的平均時間，提高了運算效率。

1.3 系統接口與電路

因為在檢測過程中，網絡入侵檢測系統的運行終端可能被黑客入侵，所以需要提供死機重置按鈕，并采用不同的觸發方式，以實現系統程序的升級[6]。采用Max811T芯片設計復位系統電路，抗干擾能力強，能有效地排除誤觸發動作，避免因干擾而造成誤復位。系統復位電路的設計結果，如圖3所示。

圖3 系統復位電路圖

此外， RTC時鐘是保證系統正常工作的關鍵電路。在入侵檢測系統運行終端關機后，要求其時鐘仍按當前北京時間運行，而不是直接顯示其初始時間。

1.4 網絡入侵檢測系統數據庫設計

以技術信息為基礎，以網絡數據管理為核心，實現了數據的高效存儲，滿足了不同用戶的應用需求[7]。其中一個部分主要用來存儲待檢測網絡中的實時數據信息，主要為流量信息、用戶信息、用戶權限信息等，另一部分用來存儲不同網絡攻擊類型下對應的網絡數據變化特征數據，以及入侵檢測結果數據。建立系統數據庫中的實體數據表，并將收集的實時數據按照固定的結構存儲其中[8]。

2 網絡入侵檢測系統軟件功能設計

根據網絡行為和狀態特征，結合網絡數據包傳輸協議的分析結果，設置網絡入侵檢測規則。在硬件設備和數據庫的雙重支持下，確定系統軟件功能體系結構如圖4所示。

圖4 網絡入侵檢測系統軟件體系結構圖

2.1 捕獲實時網絡傳輸數據

網絡的本質是實現信息的交互，分為信息上傳、信息下載和信息傳輸3個部分，為了保證網絡的安全穩定運行，不同的網絡在不同協議的約束下，實現信息傳輸。以IPv6協議為例，該協議能夠提供足夠的地址空間，能夠將傳輸數據的地址位數從32位擴展到128位，為單位空間提供6×1023個網絡地址，在滿足網絡地址增長需求的同時，也為網絡接口提供了豐富的鏈接標識。根據采集設備檢索對應的緩沖區，從網卡直接將數據包傳輸到采集設備[9]。

2.2 數據處理與特征選擇

為了保證網絡入侵檢測的精度，聚類處理網絡數據，提升數據特征的提取質量。首先標準化處理捕獲的網絡數據，解決量綱異構的問題，使數據擁有相同的權值，將網絡上收集的數據轉化為無單位變量。在此基礎上隨機選擇網絡數據作為聚類中心，在大量聚類數據的支持下，設置2種特征值，分別為數字型特征值和離散型特征值[10-11]。在網絡連接中，網絡端口號、網絡數據包數等連接屬性均為數值型數據，而網絡連接的協議類型、數據包類型等均為離散特征值[12]。

2.3 實現網絡入侵檢測

在網絡入侵檢測規則的約束下，以提取的網絡實時數據運行特征為基礎[13]，按照圖5表示的流程，實現網絡入侵檢測，輸出檢測結果，當檢測結果為存在入侵時啟動告警響應程序。

圖5 網絡入侵檢測流程圖

分析圖5得知，綜合分析決策層包含分析器和數據庫，在獲取數據進行預處理后，進行過程模型規則檢查，從而制訂響應策略和方式[14]。控制管理層則是警報輸出的態勢分析。數據采集模塊采集實時審計數據，這些數據包含系統和用戶在節點內部的操作行為、通過該節點的通信行為以及在通信范圍內通過該節點可觀察到的其他通信行為。協作檢測模塊的作用是傳送鄰近節點之間的異常檢測狀態信息，利用接收到的其他節點的狀態信息，找到出本節點的異常檢測狀態并警告輸出[15]。

3 系統測試

3.1 系統運行與測試環境

系統測試環境使用6臺機器，其中1臺為網絡的服務器設備，用來進行負載平衡和數據包的轉發。1臺用來制造大流量的發包設備，另外4臺設備均為計算機設備。

另外由于設計的網絡入侵檢測系統應用了COME模塊，因此需要對該模型運行的硬件設備和軟件程序進行配置，保證該模塊可以在測試環境中順利運行。

3.2 系統測試過程與結果分析

將準備的實驗數據樣本添加到網絡傳輸序列中，并控制啟動網絡攻擊程序。以并行的方式同時啟動3個檢測系統，并得出相應的檢測結果。經過相關數據的統計與計算，得出系統入侵檢測功能的測試對比結果，如表1所示。

表1 系統入侵檢測功能測試結果

通過對表1中的數據分析可以看出，相比于2個對比系統，設計系統的入侵檢測類型與設置的入侵類型一致，從入侵次數上來看，設計系統檢測的入侵次數更加接近設計設置的入侵次數。應用3種網絡入侵檢測系統，并根據檢測結果采取防御措施，統計相同的網絡環境下，網絡數據的丟失情況，如表2所示。

表2 網絡入侵檢測系統應用性能測試結果

從表2中可以看出，在相同的網絡環境下，應用3種不同的網絡入侵檢測系統，最終網絡實際數據丟失量分別為7.49 MB、2.40 MB和0.27 MB，由此可見應用設計檢測系統能夠更大程度地保護數據安全。

4 總結

網絡安全問題一直以來都是研究中的重點問題，在網絡及其相關技術發展的同時，入侵手段也在逐步優化，并呈現出一定的發展趨勢。通過COME模塊的應用，解決了傳統硬件系統的運行問題，間接地提升了網絡入侵檢測系統的功能和應用性能。