论文部分内容阅读
[摘 要] 随着计算机网络的发展,现在电视台大多都采用了非编和硬盘播出系统,因此安全方面是至关重要的。基于此,本文采用了多种技术手段如改进多模式匹配算法等,提出了解决电视台内网系统的入侵检测问题的方法。
[关键词] 网络安全 电视台 内网系统
随着计算机网络的发展,现在电视台大多都采用了非编和硬盘播出系统,因此安全方面是至关重要的。非编制播网是一个独立的内网系统,该系统均采用了和单位办公网分处不同网段的设计,同时对杀毒服务端和硬件防火墙添加规则进行设置,做到了既保证了杀毒客户端能够及时升级,又提高了非编制播网的安全性。但随着网络入侵手段的提高,电视台内网系统已经日益面临了入侵威胁。
1、电视台内网系统入侵检测问题及现状
目前,电视台内网系统入侵检测系统面临着很多困难。在电视台的网络系统中上,传输的包的大小平均约为200字节左右,每秒约有50,000个数据包在传输,因此,网络入侵检测系统要想处理l00M的带宽的话,每秒钟必须能截获这5万个数据包并进行分析处理,据权威人士估测,现有网络入侵检测系统能处理的带宽小于l00M,大部分在10M-20M左右,超过此带宽时将出现严重的丢包/漏包现象,目前国内对电视台内网系统入侵检测系统的研究仍处于起步阶段。
通常从以下几方面来解决电视台内网系统入侵检测问题:一是降低分析的复杂度,如减少待匹配的攻击特征数量,显然这是不得已才用的方法;二是寻找与研究更加有效的检测分析方法,或提高己有分析方法的效率;三是改变原有网络入侵检测系统的模型,如尽量采用硬件的方法,因为分析的复杂性,纯硬件的实现方式是不现实的,因此只能尽可能采用硬件部件来实现。
2、改进的多模式匹配算法
模式匹配是指给定已知长度为n的字符串T,T=t1t2t3…tn,及长度为m(m<=n)的模式P,P=p1p2p3…pm,找出在P在T中是否出现及出现的位置的过程。在电视台内网系统入侵检测中,T即是网络包的内容,而P是网络入侵的特征模式。当T与P的关系是一对一的时候,即在一个字符串中寻找一个特征模式的匹配算法称之为单模式匹配算法,当T与P是多对多的时候,即在多哥字符串中寻找多个特征模式的匹配算法称之为多模式匹配算法。目前单模式匹配算法有三种:KMP(Knuth-Morris-Pratt)算法、BM(Boyer-Moore)算法和KR(KarpRabin)算法,他们的时间复杂度均为O(n+m),即算法复杂度与特征匹配字符串与特征串的总产度呈线性关系。在这三个算法中BM算法最快。
单模式匹配算法只考虑了在一个模式时的运算量,若有k个不同的模式,同时要在T中寻找出现的位置时,要运行这些算法各k次,其时间复杂度太大。在实际的网络入侵检测系统中,由于待匹配的模式较多,因此k会比较大。为提高效率,有研究者利用模式集中出现的功同前缀或后缀,将模式组成树形结构,并对算法BM进行改进,即AC-BM算法,应用于对模式匹配中。
KR算法是由图灵奖获得者Karp和Rabin教授于1987年提出的一个快速、直观的字符串匹配算法。它采用了和KMP和BM全然不同的思想,该算法的基本思想是:运用映射方法和素数理论,定义一个称为指纹的函数(哈希函数),首先将模式串映射成比模式串短得多的指纹,即二进制的位串数据,要求所构造的函数能快速扫描整个文本串,并且能够迅速计算出每个长度为m的字串指纹,然后比较字串的指纹与模式串得指纹是否一致,如果一致,再比较字串与模式串是否确实匹配,该算法的关键是将大量的模式串与子串之间的比较噢阿转化为两者之间的比较,从而提高匹配速度。
将KR算法直接运用于多模式匹配应用时,其计算时间复杂度也是O(kn+km),要比AC-BM算法差。下面给出应用于多模式匹配的改进KR算法:
假设P为模式的集合,P={P1,P2,P3,….Pk},k=—p—,为简化算法描述,假设P中所有模式的长度均为m,T为数据流,T=t1t2…tn,(n>=m)。
定义:Q为区间中足够大的一个素数,G为模式集P中所出现的所有字符的集合,S=—G—,R是长度为m的字符串,如下构造一个对R的哈希函数:
选取Q足够大,使函数具有以下属性:
(1)对任意Ri,Rj,若Ri≠Rj,则H(Ri)≠H(Rj)。
(2)若H(Ri)=H(Rj),则Ri=Rj。
算法:应用于多模式匹配的改进KR算法
1)初始化i=j=1。
2)Ti为T中长度为m的子串,计算H(Ti)和H(Pj),若H(Ti)=H(Pj),则转4。
3)j=j+1,若j<=k,转2,否则i=i+1,j=1。
4)若i<=n-m+1,则转2
5)算法结束
在此算法中,计算H(Ti)的运算量比较大,实际上,在计算H(T1)后,可以通过较少的运算获得H(T2),然后H(T3),以此递归计算。有以上算法可以看出,在最坏的情形下,其比较运算的总次数为n*k,即此算法的时间复杂度为O(kn),与模式的长度无关。该算法简单直观,易于实现。
3、电视台内网系统的网络入侵检测技术
电视台内网系统TCP/IP协议有四层组成:链路层、网络层、传输层、应用层,数据在物理介质上表现为二进制的比特流,在链路层表现为祯(frame),网络层表现为IP包,传输层表现为TCP/UDP包。从数据链路层到应用层,完成拆封,包重组功能,而从应用层至数据链路层完成相反的功能,即打包与协议封装。TCP/IP协议在各层的封装格式见下表:
TCP/IP协议分析就是根据IP包与TCP包的封装格式与结构对包进行协议解码的过程,识别该包在各个协议层次所采用的具体协议并分析具体的协议内容,
除了对TCP/IP协议进行分析外,也可以对应用层的协议进行分析,因为应用层的数据也是有结构的,通常可以分为应用协议头和应用数据两部分,这里将基于TCP/IP協议的分析称为网络协议分析,而将基于应用协议分析称为应用协议分析。
在这里我们根据是否采用协议分析将网络入侵检测技术分为三类:基于模式匹配的检测技术,基于协议分析的检测技术和基于应用的检测技术。基于模式匹配的检测技术不采用或基本不采用协议分析方法,基于网络协议分析的检测技术采用第四层以下的网络协议分析技术,基于应用的检测技术采用应用协议分析技术。协议分析检测技术离不开模式匹配,协议分析的主要目的是为了缩小模式匹配的范围,提高匹配效率与准确性。传统的网络入侵检测主要采用模式匹配的技术,而较少采用协议分析的技术。
模式匹配检测技术在IP包中盲目匹配攻击特征,很可能将TCP的攻击特征用来匹配UDP的包,而基于网络协议分析的检测技术由于不能理解应用协议,只能将应用协议数据看成没有结构的比特流,进行盲目的匹配,很可能将FTP的攻击特征用来匹配HTTP的数据包。因此随着模式与待匹配网络包的增加,传统检测方法的效率将呈线性下降,其时间复杂度为O(n),n为模式和网络包长度的总和,基于应用的入侵检测技术在进行TCP/IP协议分析后,还要对应用协议进行分析,并分别取出应用协议数据中的命令部分与数据部分,然后分别对命令进行解释和对应用数据进行模式匹配,从而对入侵进行检测,由于大部分攻击只需进行命令解释而不需要进行耗时的模式匹配,因此,其检测效率比模式匹配检测技术要高。即使需要进行模式匹配,协议检测技术由于采用基于协议的树形结构来分析检测,随模式的增加,其复杂度也仅为O(log2n).
4、结束语
本文采用了多种技术手段如基于应用的入侵检测、改进的多模式匹配算法等,提出了解决电视台内网系统的入侵检测问题的方法。基于应用的检测方法通常被应用在基于主机的入侵检测中,在网络入侵检测中的应用是一种新的尝试。目前很多研究者与厂家正在着手对有状态的网络进行研究与开发。本文认为基于应用的网络入侵检测技术首先也是有状态的网络入侵检测技术,其次由于对应用协议的深入分析,因此其准确性将大大提高,将会成为下一代网络入侵检测的主流技术。
参 考 文 献
[1] 陈爱民,计算机的安全与保密[M],北京:电子工业出版社,2002
[2] 袁津生,昊砚农,计算机网络安全基础,北京:人民邮电出版社,2002
[3] 蔡立军.计算机网络安全技术.合肥:中国水利水电出版社,2002
[4] 王之灵,基于管理技术的安全网络管理系统[J],计算机网络技术,2003(12)■
[关键词] 网络安全 电视台 内网系统
随着计算机网络的发展,现在电视台大多都采用了非编和硬盘播出系统,因此安全方面是至关重要的。非编制播网是一个独立的内网系统,该系统均采用了和单位办公网分处不同网段的设计,同时对杀毒服务端和硬件防火墙添加规则进行设置,做到了既保证了杀毒客户端能够及时升级,又提高了非编制播网的安全性。但随着网络入侵手段的提高,电视台内网系统已经日益面临了入侵威胁。
1、电视台内网系统入侵检测问题及现状
目前,电视台内网系统入侵检测系统面临着很多困难。在电视台的网络系统中上,传输的包的大小平均约为200字节左右,每秒约有50,000个数据包在传输,因此,网络入侵检测系统要想处理l00M的带宽的话,每秒钟必须能截获这5万个数据包并进行分析处理,据权威人士估测,现有网络入侵检测系统能处理的带宽小于l00M,大部分在10M-20M左右,超过此带宽时将出现严重的丢包/漏包现象,目前国内对电视台内网系统入侵检测系统的研究仍处于起步阶段。
通常从以下几方面来解决电视台内网系统入侵检测问题:一是降低分析的复杂度,如减少待匹配的攻击特征数量,显然这是不得已才用的方法;二是寻找与研究更加有效的检测分析方法,或提高己有分析方法的效率;三是改变原有网络入侵检测系统的模型,如尽量采用硬件的方法,因为分析的复杂性,纯硬件的实现方式是不现实的,因此只能尽可能采用硬件部件来实现。
2、改进的多模式匹配算法
模式匹配是指给定已知长度为n的字符串T,T=t1t2t3…tn,及长度为m(m<=n)的模式P,P=p1p2p3…pm,找出在P在T中是否出现及出现的位置的过程。在电视台内网系统入侵检测中,T即是网络包的内容,而P是网络入侵的特征模式。当T与P的关系是一对一的时候,即在一个字符串中寻找一个特征模式的匹配算法称之为单模式匹配算法,当T与P是多对多的时候,即在多哥字符串中寻找多个特征模式的匹配算法称之为多模式匹配算法。目前单模式匹配算法有三种:KMP(Knuth-Morris-Pratt)算法、BM(Boyer-Moore)算法和KR(KarpRabin)算法,他们的时间复杂度均为O(n+m),即算法复杂度与特征匹配字符串与特征串的总产度呈线性关系。在这三个算法中BM算法最快。
单模式匹配算法只考虑了在一个模式时的运算量,若有k个不同的模式,同时要在T中寻找出现的位置时,要运行这些算法各k次,其时间复杂度太大。在实际的网络入侵检测系统中,由于待匹配的模式较多,因此k会比较大。为提高效率,有研究者利用模式集中出现的功同前缀或后缀,将模式组成树形结构,并对算法BM进行改进,即AC-BM算法,应用于对模式匹配中。
KR算法是由图灵奖获得者Karp和Rabin教授于1987年提出的一个快速、直观的字符串匹配算法。它采用了和KMP和BM全然不同的思想,该算法的基本思想是:运用映射方法和素数理论,定义一个称为指纹的函数(哈希函数),首先将模式串映射成比模式串短得多的指纹,即二进制的位串数据,要求所构造的函数能快速扫描整个文本串,并且能够迅速计算出每个长度为m的字串指纹,然后比较字串的指纹与模式串得指纹是否一致,如果一致,再比较字串与模式串是否确实匹配,该算法的关键是将大量的模式串与子串之间的比较噢阿转化为两者之间的比较,从而提高匹配速度。
将KR算法直接运用于多模式匹配应用时,其计算时间复杂度也是O(kn+km),要比AC-BM算法差。下面给出应用于多模式匹配的改进KR算法:
假设P为模式的集合,P={P1,P2,P3,….Pk},k=—p—,为简化算法描述,假设P中所有模式的长度均为m,T为数据流,T=t1t2…tn,(n>=m)。
定义:Q为区间中足够大的一个素数,G为模式集P中所出现的所有字符的集合,S=—G—,R是长度为m的字符串,如下构造一个对R的哈希函数:
选取Q足够大,使函数具有以下属性:
(1)对任意Ri,Rj,若Ri≠Rj,则H(Ri)≠H(Rj)。
(2)若H(Ri)=H(Rj),则Ri=Rj。
算法:应用于多模式匹配的改进KR算法
1)初始化i=j=1。
2)Ti为T中长度为m的子串,计算H(Ti)和H(Pj),若H(Ti)=H(Pj),则转4。
3)j=j+1,若j<=k,转2,否则i=i+1,j=1。
4)若i<=n-m+1,则转2
5)算法结束
在此算法中,计算H(Ti)的运算量比较大,实际上,在计算H(T1)后,可以通过较少的运算获得H(T2),然后H(T3),以此递归计算。有以上算法可以看出,在最坏的情形下,其比较运算的总次数为n*k,即此算法的时间复杂度为O(kn),与模式的长度无关。该算法简单直观,易于实现。
3、电视台内网系统的网络入侵检测技术
电视台内网系统TCP/IP协议有四层组成:链路层、网络层、传输层、应用层,数据在物理介质上表现为二进制的比特流,在链路层表现为祯(frame),网络层表现为IP包,传输层表现为TCP/UDP包。从数据链路层到应用层,完成拆封,包重组功能,而从应用层至数据链路层完成相反的功能,即打包与协议封装。TCP/IP协议在各层的封装格式见下表:
TCP/IP协议分析就是根据IP包与TCP包的封装格式与结构对包进行协议解码的过程,识别该包在各个协议层次所采用的具体协议并分析具体的协议内容,
除了对TCP/IP协议进行分析外,也可以对应用层的协议进行分析,因为应用层的数据也是有结构的,通常可以分为应用协议头和应用数据两部分,这里将基于TCP/IP協议的分析称为网络协议分析,而将基于应用协议分析称为应用协议分析。
在这里我们根据是否采用协议分析将网络入侵检测技术分为三类:基于模式匹配的检测技术,基于协议分析的检测技术和基于应用的检测技术。基于模式匹配的检测技术不采用或基本不采用协议分析方法,基于网络协议分析的检测技术采用第四层以下的网络协议分析技术,基于应用的检测技术采用应用协议分析技术。协议分析检测技术离不开模式匹配,协议分析的主要目的是为了缩小模式匹配的范围,提高匹配效率与准确性。传统的网络入侵检测主要采用模式匹配的技术,而较少采用协议分析的技术。
模式匹配检测技术在IP包中盲目匹配攻击特征,很可能将TCP的攻击特征用来匹配UDP的包,而基于网络协议分析的检测技术由于不能理解应用协议,只能将应用协议数据看成没有结构的比特流,进行盲目的匹配,很可能将FTP的攻击特征用来匹配HTTP的数据包。因此随着模式与待匹配网络包的增加,传统检测方法的效率将呈线性下降,其时间复杂度为O(n),n为模式和网络包长度的总和,基于应用的入侵检测技术在进行TCP/IP协议分析后,还要对应用协议进行分析,并分别取出应用协议数据中的命令部分与数据部分,然后分别对命令进行解释和对应用数据进行模式匹配,从而对入侵进行检测,由于大部分攻击只需进行命令解释而不需要进行耗时的模式匹配,因此,其检测效率比模式匹配检测技术要高。即使需要进行模式匹配,协议检测技术由于采用基于协议的树形结构来分析检测,随模式的增加,其复杂度也仅为O(log2n).
4、结束语
本文采用了多种技术手段如基于应用的入侵检测、改进的多模式匹配算法等,提出了解决电视台内网系统的入侵检测问题的方法。基于应用的检测方法通常被应用在基于主机的入侵检测中,在网络入侵检测中的应用是一种新的尝试。目前很多研究者与厂家正在着手对有状态的网络进行研究与开发。本文认为基于应用的网络入侵检测技术首先也是有状态的网络入侵检测技术,其次由于对应用协议的深入分析,因此其准确性将大大提高,将会成为下一代网络入侵检测的主流技术。
参 考 文 献
[1] 陈爱民,计算机的安全与保密[M],北京:电子工业出版社,2002
[2] 袁津生,昊砚农,计算机网络安全基础,北京:人民邮电出版社,2002
[3] 蔡立军.计算机网络安全技术.合肥:中国水利水电出版社,2002
[4] 王之灵,基于管理技术的安全网络管理系统[J],计算机网络技术,2003(12)■