本站小編為你精心準(zhǔn)備了CBF技術(shù)的入侵檢測(cè)系統(tǒng)設(shè)計(jì)參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《計(jì)算機(jī)工程與設(shè)計(jì)雜志》2014年第七期

1cbf原理

1.1基本的bloomfilter原理BF（bloomfilter）是一種空間效率高的隨機(jī)數(shù)據(jù)結(jié)構(gòu)，1970年由HowardBloom提出的。其基本思想是先定義長(zhǎng)度為m位的存儲(chǔ)空間M。然后定義k個(gè)相互獨(dú)立哈希函數(shù)，對(duì)于一個(gè)具有n個(gè)元素的集合X＝｛x1，x2，．．．xn），對(duì)其中的每個(gè)元素xi，分別使用k個(gè)哈希函數(shù)得到值為［0，m－1］的哈希值，根據(jù)哈希值的大小，將M中相應(yīng)位置1。如果一個(gè)位已經(jīng)置1，則不再處理。如圖1所示。圖中的m＝12，n＝2，k＝3。查詢時(shí)，待查詢?cè)豶i也用k個(gè)哈希函數(shù)進(jìn)行運(yùn)算，如果得到的k個(gè)值在M中的相應(yīng)位置有一個(gè)為0則不是集合中的數(shù)據(jù)；如果全為1表示在一定的誤差情況下［9］為集合中的數(shù)據(jù)。圖1中，r1不是集合中的數(shù)據(jù)，而r2在誤差允許范圍內(nèi)屬于這個(gè)集合。與傳統(tǒng)的模式匹配方法相比，基本的BF最大優(yōu)點(diǎn)是其高效的匹配速度，且與集合的大小無關(guān)，而且具有較小的存儲(chǔ)空間要求。但是它也具有兩個(gè)顯著的缺點(diǎn)。首先，本的BF不能適應(yīng)集合中元素減少的情況，在m一定的情況下，不斷增加集合元素會(huì)導(dǎo)致錯(cuò)誤率增加，所以它僅適合靜態(tài)的集合；其次，無論如何改進(jìn)，它總會(huì)以一定的概率將本來不匹配的元素誤判為匹配，盡管可以做得誤判率很小，但是不能消除誤判的產(chǎn)生。因此，BF是通過犧牲一定的準(zhǔn)確性來?yè)Q取內(nèi)存空間的節(jié)省和匹配效率的提高［10］的方法。在需要精確匹配的場(chǎng)合，還需要借助其他精確匹配算法進(jìn)行輔助。

1.2改進(jìn)的CBF原理基本的BF不能減少集合元素，也不能過多的增加集合的元素，僅僅適應(yīng)靜態(tài)集合的情況。根據(jù)入侵檢測(cè)系統(tǒng)的要求，特別是其適應(yīng)性的需要，需要?jiǎng)討B(tài)增加或者減少集合中元素的集合。因此，需要重點(diǎn)關(guān)注BF的各種改進(jìn)算法。為了適應(yīng)集合中的元素動(dòng)態(tài)變化，一種稱之為計(jì)數(shù)布隆過濾器（countingbloomfilter）的技術(shù)被提出。它將基本BF的每一位擴(kuò)展為一個(gè)計(jì)數(shù)器，在插入一個(gè)元素時(shí)，將k個(gè)哈希函數(shù)計(jì)算結(jié)果對(duì)應(yīng)的計(jì)數(shù)器加1；在刪除元素時(shí)，將對(duì)應(yīng)的計(jì)數(shù)器減1。通過擴(kuò)展集合的空間，改進(jìn)了BF的性能。CBF的例子如圖2所示。CBF提供了集合元素的增刪能力，對(duì)于需要自適應(yīng)的入侵檢測(cè)系統(tǒng)來說，為可以動(dòng)態(tài)增加和減少規(guī)則集合的數(shù)量提供了便利。

2模式匹配引擎設(shè)計(jì)

本系統(tǒng)所設(shè)計(jì)的入侵檢測(cè)系統(tǒng)智能中，可能需要大量的規(guī)則或者關(guān)鍵詞進(jìn)行匹配。一般的，入侵檢測(cè)模式匹配有兩個(gè)方面的匹配要求：一是行為匹配，主要是對(duì)網(wǎng)絡(luò)報(bào)文的IP地址和端口等參數(shù)進(jìn)行匹配；其次是內(nèi)容匹配，匹配網(wǎng)絡(luò)報(bào)文內(nèi)容中的關(guān)鍵詞或者字符串。在一個(gè)分布式系統(tǒng)中，這些要匹配的規(guī)則可能隨著時(shí)間和地點(diǎn)的不同而隨時(shí)發(fā)生變化。為此，我們以CBF技術(shù)為基礎(chǔ)，經(jīng)過一定改進(jìn)適應(yīng)系統(tǒng)需要。

2.1采用多組CBF組合根據(jù)入侵檢測(cè)的需要，本系統(tǒng)采用多組CBF集合作為模式匹配引擎。主要分為兩類，其中一類用于行為匹配，其哈希函數(shù)的參數(shù)包括4個(gè)參數(shù)，即源IP和源端口、目的IP和目的端口；另一類用于內(nèi)容匹配，即專門進(jìn)行字符串匹配，其哈希函數(shù)的參數(shù)為字符串。設(shè)計(jì)多組CBF的目的在于利用不同模式匹配的特點(diǎn)和不同的應(yīng)用目標(biāo)，可以更好的設(shè)計(jì)哈希函數(shù)，提高系統(tǒng)的性能。當(dāng)然，在某些場(chǎng)合，如果只需要行為檢測(cè)或者內(nèi)容檢測(cè)，則可省略多余的CBF集合。

2.2CBF的自動(dòng)更新對(duì)于適應(yīng)性入侵檢測(cè)系統(tǒng)而言，根據(jù)網(wǎng)絡(luò)情況變化，更新入侵檢測(cè)的規(guī)則是經(jīng)常需要的。雖然我們?cè)谠O(shè)計(jì)CBF方案的時(shí)候，充分考慮了各種因素，且可以動(dòng)態(tài)增刪集合中的元素，但是還是有很多極限情況會(huì)在系統(tǒng)工作時(shí)碰到。根據(jù)實(shí)際經(jīng)驗(yàn)，CBF集合在長(zhǎng)時(shí)間工作過程中，或者誤判率會(huì)增加，或者占用空間過多浪費(fèi)，這時(shí)需要對(duì)CBF重構(gòu)調(diào)整。根據(jù)有關(guān)研究計(jì)算，在CBF集合中，如大于0（有數(shù)據(jù)）的位置和等于0的位置一樣的時(shí)候，系統(tǒng)具有最佳效率。當(dāng)有0的位置太多，表示系統(tǒng)的M空間太大，浪費(fèi)空間；如果有0的位置太少，將導(dǎo)致系統(tǒng)更嚴(yán)重的誤判率，表示M空間不足。因此，本系統(tǒng)根據(jù)有關(guān)研究結(jié)果，規(guī)定在CBF中0的個(gè)數(shù)小于α（默認(rèn)45％）時(shí)或者大于β（默認(rèn)85％）時(shí)，根據(jù)集合中的元素重構(gòu)CBF集合空間。讓系統(tǒng)保持最好的工作狀態(tài)。

2.3可以動(dòng)態(tài)更新的參數(shù)對(duì)本系統(tǒng)中的CBF引擎來說，其多個(gè)參數(shù)需要可以改進(jìn)，以適應(yīng)不同時(shí)期、不同地點(diǎn)的模式匹配策略需要。下面對(duì)可能更新的參數(shù)及其處理辦法進(jìn)行具體分析。（1）哈希函數(shù)及其數(shù)量k。為了提高運(yùn)算速度和散列效果，降低誤判率，有時(shí)候需要改進(jìn)哈希算法，因此這兩個(gè)參數(shù)可能偶爾需要更新。這樣的更新需要重新建立CBF空間。（2）更改集合n的大小。在少量增刪情況下，可以動(dòng)態(tài)增刪，當(dāng)達(dá)到前述自動(dòng)更新要求時(shí)，才自動(dòng)更新CBF空間。在本系統(tǒng)中α、β可以設(shè)置更改。（3）一般情況下，CBF總是有一定的誤判率，因此需要保存所有的集合元素，先使用CBF實(shí)現(xiàn)快速匹配，然后利用傳統(tǒng)的算法精確匹配。如前所述，過濾器中CBF集合0的個(gè)數(shù)增加或者減少到一定程度時(shí)，需要重新構(gòu)造過濾器。重新構(gòu)造過濾器的過程可以采用本地的匹配規(guī)則集合來實(shí)現(xiàn)。但是在某些場(chǎng)合不需要精確匹配，容許有匹配誤差時(shí)，本地可不需要保持精確的匹配規(guī)則集合。這時(shí)候各個(gè)節(jié)點(diǎn)僅僅需要從服務(wù)器下載最新的整個(gè)CBF的M空間的數(shù)據(jù)，就可以更新匹配規(guī)則集合。M空間的數(shù)據(jù)量遠(yuǎn)小于精確的匹配規(guī)則數(shù)據(jù)量，可以有效減少網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量。

3系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1系統(tǒng)的總體結(jié)構(gòu)本系統(tǒng)的目標(biāo)是構(gòu)建一個(gè)分布式入侵檢測(cè)系統(tǒng)，其主要思想是在節(jié)點(diǎn)端實(shí)現(xiàn)一個(gè)智能，所有智能由制管理器進(jìn)行集中管理。智能主要功能包括分析數(shù)據(jù)流特征、入侵檢測(cè)和入侵過濾等，根據(jù)所布置的節(jié)點(diǎn)類型不同，各智能的功能也不一樣。考慮到CBF技術(shù)的特點(diǎn)，利用其在流量分類、入侵檢測(cè)匹配和報(bào)文識(shí)別過濾等方面具有處理速度快、占用存儲(chǔ)小的優(yōu)勢(shì)，本系統(tǒng)將其作為智能的主要算法。系統(tǒng)總體結(jié)構(gòu)如圖3所示。系統(tǒng)主要由兩部分構(gòu)成，即智能程序和控制管理器。其中智能部署在需要進(jìn)行入侵檢測(cè)的部位，比如服務(wù)器主機(jī)、網(wǎng)關(guān)及其他容易檢測(cè)或者受到攻擊的地方，它通過分析流量、入侵檢測(cè)和報(bào)文過濾等手段，實(shí)現(xiàn)要求的入侵檢測(cè)策略。控制管理器是一個(gè)集中管理的服務(wù)器程序，它實(shí)時(shí)接收來自各個(gè)智能的信息，判斷各部署點(diǎn)的入侵情況，并通過人的管理干預(yù)來改進(jìn)不同智能的配置參數(shù)，適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)的動(dòng)態(tài)變化。系統(tǒng)的所有信息保存在數(shù)據(jù)庫(kù)中，由控制管理器對(duì)數(shù)據(jù)庫(kù)進(jìn)行讀寫操作。下面分別對(duì)兩部分的設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行說明。

3.2基于CBF的智能的實(shí)現(xiàn)智能工作在需要進(jìn)行入侵檢測(cè)的節(jié)點(diǎn)處，利用CBF技術(shù)進(jìn)行入侵檢測(cè)所需要的各項(xiàng)工作。通過網(wǎng)絡(luò)及時(shí)與控制管理器保持網(wǎng)絡(luò)通信，達(dá)到動(dòng)態(tài)報(bào)告和及時(shí)管理的需要。智能的原理結(jié)構(gòu)如圖4所示。在圖4中，智能通過報(bào)文捕獲模塊獲取報(bào)文。然后分別進(jìn)行流量監(jiān)測(cè)、入侵檢測(cè)或者報(bào)文過濾等功能操作，這些操作根據(jù)智能的類型，采用不同的CBF引擎，實(shí)現(xiàn)快速匹配。智能通過網(wǎng)絡(luò)通信模塊和控制管理器通信，利用配置管理模塊調(diào)節(jié)各種CBF引擎參數(shù)，以適用不同入侵檢測(cè)節(jié)點(diǎn)的需要。為了便于自動(dòng)升級(jí)改進(jìn)，智能中各個(gè)功能模塊采用插件設(shè)計(jì)。在CBF引擎模塊中，哈希函數(shù)、元素集合及集合空間等都可以根據(jù)實(shí)際情況的需要而變化。其中，哈希函數(shù)采用動(dòng)態(tài)庫(kù)形式，便于動(dòng)態(tài)更新；而元素集合的少量變化采用CBF動(dòng)態(tài)增減性來實(shí)現(xiàn)。如前所述，CBF集合空間變化分為兩種情況。一種是各個(gè)功能模塊（流量監(jiān)測(cè)、入侵檢測(cè)或者報(bào)文過濾）利用保持的元素集合和給出的M空間大小重新構(gòu)建；另一種是直接使用網(wǎng)絡(luò)通信模塊從控制管理器得到構(gòu)造好的集合空間。CBF只能進(jìn)行粗略的判斷和匹配，總有誤判率存在。對(duì)于需要精確匹配的情況，本系統(tǒng)先利用CBF進(jìn)行初步匹配，然后在相應(yīng)模塊內(nèi)實(shí)現(xiàn)精確匹配計(jì)算，如報(bào)文過濾模塊。這樣也可以大大節(jié)省匹配運(yùn)算時(shí)間。根據(jù)一般經(jīng)驗(yàn)估計(jì)，入侵檢測(cè)中99％以上是正常報(bào)文，采用CBF引擎可進(jìn)行快速的初步匹配處理。

3.3控制管理器的設(shè)計(jì)與實(shí)現(xiàn)控制管理器采用B／S架構(gòu)，便于管理用戶隨時(shí)在任何主機(jī)上對(duì)整個(gè)系統(tǒng)進(jìn)行管理和控制。整個(gè)程序分為前后臺(tái)兩部分，后臺(tái)負(fù)責(zé)與各智能進(jìn)行通信，收集各智能的流量監(jiān)測(cè)、匹配量及CBF參數(shù)變化等信息，保存在數(shù)據(jù)庫(kù)中。前臺(tái)實(shí)現(xiàn)用戶管理界面，接收用戶控制要求，然后通過后臺(tái)通信程序送給各個(gè)智能執(zhí)行。圖5是控制管理器的結(jié)構(gòu)示意圖。根據(jù)整個(gè)系統(tǒng)功能要求，主要分為7個(gè)功能模塊。其中控制中心是系統(tǒng)核心控制部件，負(fù)責(zé)整個(gè)管理控制器的調(diào)度和管理；升級(jí)管理模塊結(jié)合用戶要求及智能的狀況，提供CBF引擎的合理參數(shù)配置及的處理功能模塊升級(jí)；管理模塊收集信息，呈現(xiàn)給用戶，讓用戶知道各個(gè)的工作狀況，并進(jìn)行遠(yuǎn)程控制；安全管理負(fù)責(zé)對(duì)各個(gè)用戶、連接進(jìn)行驗(yàn)證管理；信息分析模塊主要對(duì)各個(gè)智能回送的入侵檢測(cè)信息進(jìn)行分析處理，并給用戶及時(shí)通知；網(wǎng)絡(luò)通信模塊負(fù)責(zé)與各個(gè)智能的通信過程，實(shí)現(xiàn)通信協(xié)議處理。一個(gè)控制管理器往往只能管理數(shù)量有限的智能。在一個(gè)大型的分布式入侵檢測(cè)系統(tǒng)中，需要多個(gè)控制管理器構(gòu)造成一個(gè)可擴(kuò)展的分布式管理系統(tǒng)，有關(guān)分布式管理系統(tǒng)的內(nèi)容不是本文關(guān)注重點(diǎn)，在此不再闡述。

3.4系統(tǒng)測(cè)試與分析本系統(tǒng)采用VS2008作為開發(fā)環(huán)境，利用C／C＋＋語言實(shí)現(xiàn)智能，用C＃開發(fā)了控制管理器。測(cè)試運(yùn)行環(huán)境是在WindowsXP，內(nèi)存2G，磁盤320G的普通PC機(jī)上運(yùn)行。測(cè)試系統(tǒng)利用了開源的snort上的一些組件。為了對(duì)比和精確匹配的需要，在智能上還實(shí)現(xiàn)了傳統(tǒng)的并行哈希（PH）匹配算法。為了便于進(jìn)行對(duì)比，系統(tǒng)在一樣的環(huán)境下，分別使用了3種匹配方法，即單CBF匹配、單PH匹配、CBF和PH結(jié)合的匹配。分別比較內(nèi)存使用量、CPU占用率和誤判率等指標(biāo)。測(cè)試結(jié)果見表1。從表1很容易看出，單CBF匹配法占用內(nèi)存最少，CPU占用率最低，但是存在一定誤判率。而PH匹配法則占用了較多的內(nèi)存和較多的CPU使用率，由于是精確匹配，沒有誤判。將二者結(jié)合后，由CBF進(jìn)行初級(jí)判斷，然后由PH進(jìn)行精確匹配，占用內(nèi)存最大，但是CPU使用率比純PH小很多，最重要的是，消除了誤判率。因此，在本系統(tǒng)中，需要精確匹配的場(chǎng)合采用混合匹配，允許誤差的情況下，采用單CBF匹配，更加有效地利用了CBF的優(yōu)點(diǎn)。

4結(jié)束語

本文分析了布隆過濾器的特點(diǎn)，結(jié)合入侵檢測(cè)系統(tǒng)的需要，實(shí)現(xiàn)了采用CBF技術(shù)的分布式入侵檢測(cè)系統(tǒng)。系統(tǒng)充分利用了CBF技術(shù)的特點(diǎn)，構(gòu)造的CBF模式匹配引擎可以動(dòng)態(tài)修改CBF集合的參數(shù)，組成多組CBF集合以適應(yīng)不同檢測(cè)節(jié)點(diǎn)、不同時(shí)間的不同攻擊類型的需要。配合良好的模塊化和動(dòng)態(tài)庫(kù)設(shè)計(jì)，讓系統(tǒng)能夠自動(dòng)升級(jí)和遠(yuǎn)程配置，以具備更好的適應(yīng)性。同時(shí)，還能根據(jù)入侵檢測(cè)的需要配合傳統(tǒng)的準(zhǔn)確匹配算法，消除誤判率。與一般的入侵檢測(cè)系統(tǒng)相比，本系統(tǒng)可以靈活配置和動(dòng)態(tài)改進(jìn)，適合不同入侵檢測(cè)目標(biāo)的需要。最重要的是，實(shí)現(xiàn)了快速匹配，滿足網(wǎng)絡(luò)速度越來越高的入侵檢測(cè)功能的需要。

作者：易發(fā)勝龔海剛汪海鷹單位：成都學(xué)院模式識(shí)別與智能信息處理四川省高校重點(diǎn)實(shí)驗(yàn)室成都學(xué)院信息科學(xué)與技術(shù)學(xué)院電子科技大學(xué)計(jì)算機(jī)學(xué)院