基于网络流量自相关函数入侵检测系统.pdf

1 基于网络流量自相关函数的入侵检测系统 1 2 2 薛杰 ，单佩韦 ，李明 1 （江苏省电子信息产品质量监督检验研究院，江苏无锡，214073 ） 2 （华东师范大学，信息科学与技术学院，上海，200241 ） E-mails: jiexamm@163.com , midoban43@, mli@ 摘 要：本文介绍整合网络流量数据采集模块与DDoS攻击检测模块，并引入攻击报警机制， 以此建立的基于网络流量自相关函数的入侵检测系统。该系统可通过设定识别概率、漏报概 率与误报概率，根据用户要求对攻击进行有效检测和报警。该系统是基于GUI界面的友好风 格。 关键词：网络流量，数据采集，DDoS 攻击，异常检测，GUI 一、 引言 社会各部门和机构(如证券交易系统或政府部门)呈现对计算机网络(如互联网)高度依 赖性，计算机网络安全问题就变得极为重要。如果一个证券交易系统受到攻击而使交易无法 完成，将使证券交易所和证券市场蒙受重大损失。如果政府网站受到攻击致使网站瘫痪，则 政府信誉无法得到保障。自[1]中多个全球著名网站受到分布式拒绝服务攻击(DDoS)后，检 测DDoS攻击就成为极其迫切的重要研究课题。在入侵检测方面有两类系统,即基于主机 (Host-based)的入侵检测系统(IDS)和基于网络(Network-based)的IDS[2] 。基于网络的IDS以网 络流量为检测对象[2],它又可分为两类:误用检测(Misuse-detection)和异常检测(Anomaly detection)[3] 。所以,网络流量的实时采集是基于网络的IDS 的第一个环节,也是关键环节。我 们在文献[4]中有详细介绍。 针对[5]中的以包尺寸时间序列为检测对象的IDS 的数据采集，对数据包流做实时记录并 进行信息萃取，嵌入我们在文献[5]中介绍的异常流量检测系统。该系统可以通过预定对 DDoS攻击识别概率(identification probability)、误报概率(false alarm probability)和漏报概率 (miss probability)，来计算DDoS攻击流量的判决门限。所检测流量高于该门限时，才判决为 DDoS攻击可疑流量。由于此可疑流量中还含有合法数据包，因此需将此可疑流量进一步判 决，就通过次级的数据包分类器，对此进行数据包分类，从而丢弃真正的DDoS攻击包。并 最终将异常检测系统的分析报告输出到报警机制模块，进行弹出报警。该集成方法参见我们 的文献[6]。 二、 系统结构及功能 1 系统结构 基于网络的入侵检测系统的第一个环节是网络数据包实时采集与信息萃取，通过对数据 的采集和萃取，将数据包流的信息(文献[5]中以包尺寸时间序列为检测对象)提供给异常流 量检测模块，再经由端口连接到报警机制，若发现攻击，则报警。 1本工作得到国家自然科学基金(项目编号的支持 - 1 - 网络流 数据包捕获 数据包解析 量数据 是 识别概 是 率 、漏 异常 流量 可疑流量 报概率 流量 PackerScor 是否攻击 及误报 监测 是否 e分类器 数据包