期刊鉴别 论文检测 免费论文 特惠期刊 学术答疑 发表流程

基于改进正则表达式规则分组的内网行为审计方案(2)

时间:2016-10-04 14:11 文章来源:http://www.lunwenbuluo.com 作者:俞艺涵等 点击次数:


  另一方面,虽然应用层协议的种类十分繁杂,但在实际网络数据流中不同应用层协议的使用频率有很大的差异。我国2014年核心网络协议分布统计如表2所示。
  特别是针对一些有特定功能的内网,往往会出现某些协议在数据流中频繁出现而某些协议却几乎不出现的情况。
  同时,对于相同一个应用层协议来说,其在实现其协议功能的全过程中存在多个状态,不同的状态所对应的正则表达式描述也不一样。在安全审计中,并不需要用正则表达式将整个协议描述出来,只需将有审计价值的协议状态描述出来。如对TNS(Transparent Network Substrate)协议进行描述的正则表达式[12]中,通过“.*SERVICE_NAME=([a-zA-Z0-9_\.]+)”可以找出服务名;通过“(alter[]+database)[]+(close).*$”可以判断用户关闭数据库的行为;通过“\\x00\\x00(?:\\x01|\\x00)(.{1,2})(select.+?)(\\x01+?)(\\x00+?)”可以判断用户做了哪些查询操作;通过“(select) (.+?) from ([a-zA-Z0-9_\.]+)( )?(where)?.*$”可以判断用户对哪些数据表进行了操作。
  2基于WGPB的自动机构建
  若根据简单规则分组所构建的DFA在匹配过程中将根据线性时序对分组进行顺序匹配,最坏情况下(高频出现的协议对应的正则表达式被构建到DFA分组的末端)将造成匹配效率十分低下。基于上述网络流量中应用层协议所存在的频率与状态特征,本文提出了构建一种基于WGPB的自动机结构来应对将描述协议的正则表达式构成DFA带来的存储空间不足的问题,以及协议行为在网络中出现频率不均衡的问题。具体步骤如下:
  步骤1建立描述协议的正则表达式集合R,包括内网中所有应用层协议的正则表达式。集合R中的元素为Rfi(f、i属于正整数)。其中: f代表表达式Rfi所描述的协议出现频率在所有协议中的排序,若有10个协议,则出现频率最高的f=1,出现频率最低的f=10;i代表表达式Ρfι所描述的协议行为状态在该协议所有状态中的重要程度,若该协议有10个行为状态,则最为重要的i=1,反之i=10。
  3基于DC的安全审计方案
  对于内网的安全审计方而言,根据内网的实际情况制定合适的安全审计策略能大幅提高审计的效率。本文提出了一种基于DC的安全审计方案,旨在利用对于内网应用层协议的充分可知性,分析内网的安全需求;利用对于内网应用层协议出现频率的可统计性,对协议的正则表达式描述集进行排序;利用对于同一应用层协议的状态可分性,依据审计需求对同一协议的不同状态的正则表达式描述集进行排序;通过改变和设定相关参数,实现对于内网的选择性审计。具体审计过程如图3所示。
  审计数据生成模块:利用数据抓包软件对内网数据流进行数据采集;通过相应的固定规则对数据流进行底层协议的解析;生成审计数据以报文流的形式作为输入发送给审计引擎。
  审计引擎生成模块:内网审计方通过对内网应用层协议频率进行统计和对每个应用层协议的不同状态进行需求分析来确定R集中元素f、i的值;在参数设定模块中,根据需求设定适当的D、F,并设定审计阈值Q;根据D、F将内网中协议的正则表达式描述集进行基于行为状态加权分组的自动机构建;由审计阈值Q控制审计引擎中所生效的自动机分组数对审计数据进行匹配,最终输出审计结果。
  审计方审计需求的可选择性在于:
  1)可以根据审计内容需求设置f、i的值。如对于协议A,审计方希望重点对其进行审计,则可将其对应的正则表达式描述集的下标f设为1,取得协议A对于其他协议的优先;同时,若审计方认为协议A中的某个状态值得着重审计,则可将其对应的正则表达式描述集的下标i设为1,取得在协议A中该状态对于其他状态的优先。在第二章的基于协议行为状态加权分组的自动机构建过程中,采取的是协议频率先导的原则,即在分组时f的优先级大于i。根据实际审计需求,对于特定的协议可以采取协议状态先导的原则,即在分组时i的优先级大于f。
  2)可以根据审计效率需求设置D、Q的值。D为自动机分组中各个表达式集的交互程度阈值, Q为审计引擎中所生效的自动机分组数阈值。D的值越低,每一分组中正则表达式交互程度越低,其DFA状态数的增长就越小;但D的值过低不利于分组中正则表达式数量的增加,即达不到阈值F便构建新的分组,使分组数M增多。  
  分组数M越大,则匹配效率越低,Q值的设定一方面将缓解由于M过大带来的匹配效率降低;另一方面,由于自动机分组之间存在优先级关系,审计方可以通过Q值来选择审计的范围。但Q值越小,审计的命中率则越低。如审计方对于内网的安全审计只针对某些特定协议,则可将D、Q值降低,将审计集中在高优先级。
  4评估与分析
  首先分析构建基于WGPB的自动机性能,通过模拟内网数据流对HTTP等几个常用协议进行编译,与经典NFA转化算法Thompson[13]进行对比,比较Thompson算法与WGPB算法在构建自动机时的状态数,结果如图4所示。从图4可以看出,在编译HTTP等协议时,采用基于WGPB的自动机构建方法相比Thompson算法将状态数分别降低了85.50%、82.70%、54.80%、75.20%和79.30%。
  同时,采用频率差分的HTTP、DNS(Domain Name System)、QQ、SMTP(Simple Mail Transfer Protocol)四个协议模拟内网实际数据流(100MB,共356189个报文),其中HTTP所占频率最大,接下来依次为DNS、QQ和SMTP,对基于简单分组的自动机引擎与基于WGPB的自动机引擎进行匹配效率对比,结果如图5所示。从图5可以看出,基于WGPB的自动机引擎在性能上相比 基于简单分组的自动机引擎具有明显优势,吞吐量有显著提高。
  最后,将HTTP协议的访问目的地址、QQ协议的通信时间戳、TNS协议的数据库关闭这三个协议的三个行为状态设为审计优先级,审计命中率如表3。
  表3的测试结果表明,构建基于WGPB的自动机能够大幅度缓解将多个正则表达式编译到相应DFA中所带来的状态数急剧增加的情况,相比Thompson构造算法具有明显优势。特别是在实际网络中各协议出现频率不均衡的情况下,基于WGPB自动机匹配的吞吐量相比基于普通分组自动机的匹配吞吐量具有很大的优势,呈现出对于数据流中出现频率越高的协议匹配速度越快的特点。在此基础上提出的基于DC的内网安全审计方案在高效的同时也具有极高的准确性。
  5结语
  本文提出的基于改进RE规则分组的内网安全审计方案,针对的是内网中应用层协议的安全审计。通过基于WGPB的自动机构建对有穷自动机DFA进行结构改进,并提出基于DC的内网安全审计方案,做到了根据内网的实际安全需求对内网行为的安全审计,达到了预期效果。然而,在日益复杂的网络环境与多种高新网络攻击手段威胁下,单一的安全防护技术不能满足防护需求,将本文提出的安全审计方案与入侵检测等安全防护技术相结合对内网进行成体系的安全防护是下一步需要做的工作。

  •   论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
  •   论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
  •  
  •   论文投稿客服QQ: 论文投稿2863358778 论文投稿2316118108
  •  
  •   论文投稿电话:15380085870
  •  
  •   论文投稿邮箱:lunwenbuluo@126.com

联系方式

  • 论文投稿客服QQ: 论文投稿2863358778
  • 论文投稿客服QQ: 论文投稿2316118108
  • 论文投稿电话:15380085870
  • 论文投稿邮箱:lunwenbuluo@126.com

热门排行

 
QQ在线咨询
咨询热线:
15380085870
微信号咨询:
lunwenbuluoli