基于簽名的網絡安全入侵檢測技術研究

劉玉娜

（唐山港信科技發展有限公司， 河北 唐山 063000）

引言

隨著通信的擴展，交換的數據和信息引發的安全性的問題已經得到了研究人員的廣泛關注。為此提出了各種方法，最重要的方法之一是入侵檢測系統。這些方法最大的弱點是，它們無法檢測到網絡內的入侵和攻擊。為了消除這一弱點，人們提出了可以檢測內部和外部攻擊和入侵的入侵檢測系統。這些系統監控入站網絡流量，以檢測用戶的任何異常行為或濫用。

入侵檢測系統可以通過簽名識別方式檢測入侵，使用網絡中授權用戶和黑客執行的操作和交易歷史相關的數據，創建正常行為和異常行為的模式。通過將這些模式或簽名與現有用戶的行為模式相匹配，可以從授權用戶中識別未授權用戶或黑客。該方法最重要的缺點是，如果用戶的簽名或模式是新的，并且以前數據庫中沒有類似的模式或簽名，則無法確定它是已授權的用戶還是未經授權的用戶。

Liu Hua Yeo[1]提供了不同類型的入侵檢測系統的概述，提出了如何分類以及用于識別在入侵檢測系統中操作的異常活動的不同算法。研究的主要重點是基于異常和基于簽名的入侵檢測系統，研究人員比較了不同的滲透技術方法，并描述了不同的方法和IDSs在信息安全中的重要性。Singh[2]提出了一種混合IDS，由包頭異常檢測（PH AD）和網絡流量異常檢測（NETAD）創建，名為混合IDSSnort，是一個基于異常檢測的系統。提出的混合入侵檢測系統使用麻省理工學院林肯實驗室存儲庫中提供的DARPA 入侵檢測評估數據集進行了模擬，評估結果表明，該系統在識別因造成異常和濫用而造成的入侵方面具有高效率[3]。

1 入侵檢測系統的解決方案

本文給出了網絡安全抵御各種類型攻擊的解決方案，在這些攻擊中，會考慮web 應用程序、操作系統漏洞或任何軟件漏洞、結構化查詢語言（SQL）注入攻擊、跨站點腳本（XSS）攻擊、中斷的身份驗證以及惡意軟件攻擊，大多都集中在這里。FreeBSD 12 Unix 操作系統被用作網關或防火墻，Suricata 被用作IDS/IPS。使用兩種類型的機器學習方法來創建Suricata 簽名，以阻止目標網絡上的惡意流量[4]。本文對基于元啟發式的特征選擇、神經網絡和基于異常的檢測，采用了模糊邏輯。最新穩定的KaliLinux2020.3 版本被用作Web 應用程序和不同類型的操作系統的攻擊系統。在這些客戶端系統中，正在使用Windows10/7 和Ubuntu20.04。為了訪問web 應用程序，使用了Chrome、火狐和邊緣瀏覽器，實驗環境部署在VirtualBox 中。網絡安全組織的基本概述見圖1。

在提出的解決方案中，Suricata IDS/IPS 與NN 模型一起部署，用于元啟發式手動檢測目標網絡中的惡意流量，IDS/IPS 內部工作流程如下頁圖2 所示。利用該方法檢測惡意流量，識別了不同攻擊。NN 模型是廣泛使用的方法之一，在解決各種復雜的元啟發式簡化算法方面時卓有成效，因為它依賴于一個直接的開始，不難識別，其次，它不需要確切的信息，第三，它有能力避免鄰域最優[5]。第四，它可以被廣泛地用于涉及對比學科的問題。基于ANN 的入侵檢測存在兩個方面的問題：一是揭露精度較低，特別是對于低訪問攻擊，例如客戶端到根的距離較遠，二是識別穩定性更脆弱。

模糊邏輯用于檢測基于異常的攻擊，對帶有附件文件或未知協議的流量，進行基于模糊邏輯的流量異常檢測處理。與Web 應用、操作系統（OS）和任何移動應用相關的各種類型攻擊的簽名模式，將在NN 模型中進行訓練。在處理來自NN 方法的訓練數據之后，將創建各種類型的惡意流量，如SQL 注入攻擊、XSS攻擊、中斷規則集的身份驗證、不安全流量、操作系統以及移動應用程序的任何已知的漏洞。NN 模型的輸出將被輸入到Suricata IDS/IPS，以防止對目標網絡的攻擊，為了提高該解決方案的有效性能，本方案使用了開源的黑名單互聯網協議（IP）地址源[6]。黑名單IP地址源以每4 小時的頻率更新這些IP 地址，并存儲在數據庫中。

2 實現與結果

Metasploit 工具已用于開發Windows10 客戶端，本文的主要目標是利用簡單消息塊（SM B）CVE-2018-0749 漏洞。CVE 和SMB 用于研究Windows 客戶端系統的常見漏洞，目標系統安裝在虛擬環境中，以避免傷害任何真實的客戶端。對目標系統的攻擊啟動如圖3 所示，攻擊由于部署的防火墻作為安全功能，同時使用機器學習方法生成Suricata 簽名，因此攻擊失敗[7]。

本文的核心工作是實現可靠的IDS/IPS，以實現任何組織網絡的安全。本文的新穎之處在于，它被部署在FreeBSD12.1 上，這是防火墻中最好的Unix 操作系統，它本身具有最好的數據包過濾器（PF）防火墻功能。PF 將用于網絡級過濾惡意流量，利用該元啟發式神經網絡方法生成了已知的攻擊特征。在這種方法中，有關Web 應用程序和操作系統攻擊的數據將被訓練到NN 中進行簽名，并且這些數據將被輸入到Suricata 中。其次，將模糊邏輯用于網絡上的匿名流量。在此過程中，模糊邏輯系統將對未知攻擊或任何附件進行分析。經分析，該系統將決定流量是惡意的還是合法[8]。如果是惡意的，則將生成IDS/IPS 的簽名，以保護目標組織的客戶端。如圖4 所示，惡意類型的數據以下劃線突出顯示。

混淆矩陣被稱為統計數據分析的誤差矩陣，混合推理系統被用于Suricata 入侵檢測系統，或用于入侵預防系統的簽名生成和基于異常的流量分析。在本地開發的實驗室中已經啟動了各種類型的攻擊，如SQLi、XSS、開發Windows 操作系統漏洞和對目標網絡的分布式拒絕服務（DDoS）攻擊，所提出的系統可以防止目標網絡的攻擊[9]。對于評估結果，使用了表1中定義的混淆矩陣。

表1 IDS 混合推理系統的混淆矩陣

準確率計算公式為：

其中：TP是指“真陽性”（True Positives）；FP是指“假陽性”（Positives），FN是指“假陰性”（Negatives）。

總體精確度可以達到96.11%，由于Suricata IDS/IPS 檢測到的網絡流量的假陽性率，在一些攻擊情況下，系統準確率未達到96.11%。作為該方案的結果，對目標網絡的檢測或預防具有良好的總體精度。該算法的運行時間在該系統的預期響應范圍內。對于大數據集，該系統可能會面臨延遲，但它可以在未來進行優化，以在要求的時間限制內提高響應時間[10]。

3 結語

文中提出了一種新的部署Suricata IDS/IPS 的方法，利用NN 模型幫助元啟發式檢測目標網絡中的惡意流量。在所提出的解決方案中，具有附件文件或未知協議的流量將由基于檢測為異常流量的模糊邏輯進行處理。為了使用機器學習方法實現IDS/IPS，部署了一個虛擬環境。結果表明，本文提出的方法可以檢測到Web 應用程序登錄時的不同類型的攻擊（包括這些攻擊、SM B 攻擊、SQL 注入攻擊、XSS 和暴力破解）。當在特定數據集上進行實驗時，方案的總體精度約為96.11%，數據可用性和支持本研究結果的模擬數據。