網絡安全中一種基于規則匹配的入侵檢測方法

周夢玲 魏東平 葛明珠 堯時茂

摘要：入侵檢測方法在網絡安全防線中承擔監測網絡異常流量、識別主機內部潛在威脅等至關重要的任務。然而，現有的入侵檢測方法仍然面臨一些挑戰，如在收集和分析數據時對系統性能的損耗過大，導致許多入侵檢測系統性能不高。此外，網絡擁塞等導致的數據丟包問題，使得數據完整性受到影響，間接影響入侵檢測的效率和檢測結果的準確性。為了應對這一挑戰，有效提高系統效率和檢測的準確性，文章提出一種基于規則匹配的入侵檢測方法。該方法由數據收集、特征提取、異常檢測3個步驟組成。模擬實驗表明，該入侵檢測方法能準確地監測和識別網絡中的異常行為和潛在的安全威脅，并且實時監控流量行為，提高系統安全。

關鍵詞：網絡安全；規則匹配；入侵檢測

中圖分類號：TP311? 文獻標志碼：A

0 引言

隨著計算機與互聯網在生活中的普及，人們對互聯網的依賴性越來越強，這也意味著人們面對日益嚴重的網絡安全威脅。過去的幾十年以來，黑客入侵現象日益突出，網絡攻擊事件在世界各地頻繁發生。不法分子為了牟取暴利，利用各種攻擊手段，繞過網絡安全體系的防護機制，攻破邊界防御，入侵政府、企業的計算機系統，對重要的用戶數據和內部信息進行竊取破壞，危害著個人、企業甚至整個國家的利益。比如，全球臭名昭著的WannaCry勒索病毒［1］，曾造成國家級網絡安全事故，此次事件爆發范圍涵蓋了全國范圍內的各大基礎設施——學校、銀行、機場、車站等。如今，新型勒索病毒仍是黑客組織牟取暴利的主要手段。2021年年底曝出的Apache Log4j2遠程代碼執行漏洞［2］，該漏洞造成各大電商平臺緊急關閉的安全事件。

為應對日益嚴峻的網絡安全形勢，許多計算機廠商和安全廠商將目光放在以防火墻、殺毒軟件為代表的設備上。這些設備盡管種類多樣，防御方式不一，但大多是一種被動的防御方式，無法進行實時監控，不能防御未知的攻擊和異常行為。入侵檢測技術可以記錄和分析攻擊事件的細節和特征［3］，幫助安全人員對安全事件進行調查和分析［4］，其不僅可以幫助防范潛在的安全威脅，還可以追蹤和記錄入侵者的行為，為事故發生后的溯源和審計提供重要依據。然而，入侵檢測方法也面臨著一系列的挑戰。一方面入侵者使用越來越復雜的攻擊方法，如欺騙、掩蓋和隱藏攻擊行為。另一方面，隨著網絡規模的不斷擴大，入侵檢測技術需要處理更多的數據，需要更快的響應速度。為此，本文提出一種基于規則匹配的入侵檢測方法提高入侵檢測的效率和準確性，具有一定的研究意義和應用價值。

1 入侵檢測方法

本文提出的入侵檢測方法實施步驟如下：首先收集需要進行檢測的數據，將采集到的原始數據傳輸到服務器端。其次，服務器端從數據中提取特征，對提取出的特征值進行異常檢測。最后，將特征值和入侵檢測的結果形成匹配規則存儲到數據庫中。Web端控制面板對系統進行配置和管理，利用存儲在數據庫中的匹配規則對數據進行交互匹配后，顯示檢測結果。

1.1 數據收集

數據收集負責收集數據并進行適當的數據預處理，以便后續對數據進行過濾提取。本文利用eBPF（Extended Berkeley Packet Filter）［5］進行數據收集，具體過程如下：通過將eBPF程序附加到XDP （eXpress Data Path）［5］ Hooks上來實現網絡數據捕獲，利用XDP鉤子能夠讓數據包在到達網絡協議棧之前就被捕獲，這種方式可以實現高效的數據包過濾和處理。在eBPF程序中定義XDP鉤子，數據包從網卡驅動中到傳輸至內核協議棧之前，XDP鉤子截獲數據包觸發事件。然后，eBPF程序對數據包進行數據包過濾、修改、統計等處理，將其存儲在eBPF Maps中。用戶空間程序通過系統調用訪問eBPF Maps中的數據，既可以對數據進行進一步處理也可以直接輸出到位于用戶空間的終端或文件中［6］。網絡數據捕獲部分流程如圖1所示。

1.2 特征提取

特征提取負責從收集到的數據中提取有效的特征。對于網絡流量數據的特征提取，主要從IP地址、端口、協議和數據包這幾個方面入手。對于主機內部的異常行為特征主要對系統調用的使用頻率，文件系統的打開、讀取、寫入、刪除等行為，異常進程的創建、終止、系統占用資源等幾個方面提取特征。

首先，將原始數據進行一定的數據過濾操作，清除無關的數據并將數據格式化。其次，對其進行特征選擇，去除無關的數據信息和冗余數據，保留能夠直接作用于后續入侵檢測工作的特征，對這些特征數據統一進行數據轉換，將其轉換為用于規則匹配的數據。最后，用這些特征數據和入侵檢測結果生成Maps匹配規則庫。特征提取流程如圖2所示。

1.3 異常檢測

異常檢測是根據提取的特征值進行入侵檢測判斷和分類，本文采取的是規則匹配方法。首先對收集到的數據進行規則匹配，通過預先設定好的規則庫對數據進行篩選和分類，可以有效地發現已知的攻擊手段和異常行為。規則匹配完成后，接著對未匹配的數據進行統計分析。統計分析的目的是通過對數據的數量、頻率等特征進行分析，以發現潛在的異常行為和未知的攻擊手段。統計分析可以找出規則匹配無法識別的新型攻擊和異常。因此，通過規則匹配與統計分析相結合的方法，既可以有效地檢測已知的異常行為，又能發現潛在的未知攻擊，從而提高系統的安全性和穩定性。

完成異常檢測后，結合規則匹配結果和統計分析結果，生成最后的入侵檢測結果。有了入侵檢測結果，系統將根據具體的攻擊手段，第一時間進行入侵響應處理，確保將告警信息及時傳送到網絡管理員手中。異常檢測流程如圖3所示。

2 實驗分析

本文在主機上部署一個滲透測試靶場，模擬一個在Apache服務器默認路徑上運行的Web服務端口，通過模擬SQL注入攻擊行為，測試入侵檢測系統的檢測效果。本入侵檢測實驗對數據收集模塊收集到的大量原始數據進行處理，經過數據過濾、特征提取、規則匹配、統計分析后，最終得到一些重要信息。將最? 后檢測得到的攻擊行為經過簡單的格式處理后，按照一定的格式輸出成告警信息，并展示在控制面板的告警處理視圖中。

主機上的對外服務端口8050，運行著一個PHP網站，圖4中是一個對SQL數據庫進行搜索的輸入框。對網站進行一定的注入測試后，獲取到用戶名與密碼在數據庫上的列名，分別為user和password。

隨后在輸入框中輸入“1' union select group_concat（user），group_concat （password）from users#”，得到數據庫的5個用戶名和被加密存儲的密碼，經過md5爆破解密后，得到用戶密碼對應分別是admin：password、gordonb：abc123、1337：charley、pablo：letmein、smithy：password。模擬攻擊行為測試如圖4所示。

Apache服務器對提交的URL參數進行解析，然后發起Socket安全連接，將其中的SQL查詢語句傳輸到MySQL數據庫進行查詢。數據收集程序對Apache服務器的訪問日志文件進行監控，追蹤到URL訪問參數的寫入，并經過一定的數據處理和行為檢測后，同步到告警列表，對管理員進行防護提醒。

告警通知結果測試圖如圖5所示。

3 結語

計算機網絡安全已經成為一個全球性的問題，入侵檢測方法在網絡安全領域的應用越來越受到人們的關注。入侵檢測方法可以準確地監測和識別網絡中的異常行為和潛在的安全威脅，并且實時監控流量行為，其結合入侵響應或入侵防御，能夠將潛在的威脅盡可能扼制在搖籃里。基于此，本文提供了一種基于規則匹配的入侵檢測方法，包含數據收集、特征提取、異常檢測3個步驟，能較大提高系統的檢測準確性和效率，為計算機網絡安全提供保障。

參考文獻

［1］MOHURLE S，PATIL M.A brief study of wannacry threat：Ransomware attack 2017［J］.International Journal of Advanced Research in Computer Science，2017（5）：1938-1940.

［2］JUVONEN A，COSTIN A，TURTIAINEN H，et al.On apache log4j2 exploitation in aeronautical，maritime，and aerospace communication［J］.IEEE Access，2022（10）：86542-86557.

［3］WANG S Y，CHANG J C.Design and implementation of an intrusion detection system by using Extended BPF in the Linux kernel［J］.Journal of Network and Computer Applications，2022（198）：103283.

［4］ANDERSON J P.Computer security threat monitoring and surveillance［EB/OL］.（1980-02-26）［2024-04-07］.https：//www.docin.com/p-567457508.

［5］SCHOLZ D，RAUMER D，EMMERICH P，et al.Performance implications of packet filtering with linux ebpf.2018 30th International Teletraffic Congress（ITC 30），September 03-07，2018［C］.Vienna：IEEE，2018.

［6］LI J，WU C，YE J，et al.The comparison and verification of some efficient packet capture and processing technologies.2019 IEEE Intl Conf on Dependable，Autonomic and Secure Computing，August 05-08，2019［C］.Fukuoka：IEEE，2019.

（編輯 王雪芬）

A rule matching based intrusion detection method in network security

ZHOU? Mengling， WEI? Dongping*， GE? Mingzhu， YAO? Shimao

（School of Computer and Big Data Science， Jiujiang University， Jiujiang 332005， China）

Abstract： Intrusion detection methods undertake crucial tasks in network security defense，such as monitoring abnormal network traffic and identifying potential threats within hosts. However，existing intrusion detection methods still face some challenges， such as excessive loss of system performance during data collection and analysis， resulting in low performance of intrusion detection systems. In addition， data loss caused by network congestion and other factors affects data integrity， indirectly affecting the efficiency of intrusion detection and the accuracy of detection results. To address this challenge and effectively improve system efficiency and detection accuracy， this paper proposes an intrusion detection method based on rule matching. This method consists of three steps：data collection， feature extraction， and anomaly detection. Simulation experiments show that this intrusion detection method can accurately monitor and identify abnormal behavior and potential security threats in the network， and monitor traffic behavior in real-time， improving system security.

Key words： network security; rule matching; intrusion detection