东南大学计算机系 江苏省网络技术重点实验室 吴雄 E-mail:xwu@njnet.edu.cn 背景流量中报文负载的字典构造方法 东南大学计算机系 江苏省网络技术重点实验室 吴雄 E-mail:xwu@njnet.edu.cn
背景流量的作用 网络流量检测设备的测试主要分为功能测试和性能测试。 功能测试通过播放网络设备所能检测的网络事件流来反映该设备所具功能的完备性。 性能测试是在模拟不同的实际环境下,检测网络设备的承受强度。 性能测试一般的方法为截取或模拟背景流量,通过与特定网络事件流混合播放,来检测网络设备的各项指标。
现有背景流量构造方法 用类似于SmartBits的硬件流量发生器产生背景流量 。 使用真实的网络流量或系统日志。 模拟实际的网络环境,通过测试平台人工构造背景流量。 虽然通过测试平台人工构造背景流量也存在一些问题,但是通过和其他2种方法的比较,这种方法在实现难度和测试效果上是最可行和最实用的。
背景流量中报文负载随机生成的不足 与测试其他网络设备(如防火墙)不同,在测试NIDS这类需要考察报文负载的网络设备时,背景流量中报文负载的内容很重要。 除了使用真实流量外,其他的方法中报文的负载一般都是全部或部分由随机串构成 。 这种方法主要有存在三个问题 :背景流量引入误报;所构造报文的负载对系统的压力不可控;对测试系统性能的影响。
背景流量引入误报 NIDS这类网络设备在检测某个报文时,除了对报文头部的分析,还会在报文的负载检测是否有相应的网络事件特征字符串。 而随机生成的报文负载有可能与网络事件特征串冲突 ,因为随机生成,有可能产生与网络事件特征串相同的字符串 ,引发报警 ,从而干扰测试。
背景流量引入误报(续) 假设字符串随机生成概率模型采用均匀分布模型,样本空间是256(计算机系统用一个字节存储字符),背景流量中报文的长度为L,网络事件特征字符串的长度为l,在报文的负载中出现特征串的概率为P。经过分析可得:
背景流量引入误报(续) 网络事件特征串长度与冲突概率的关系(L=500) 特征串长度 冲突概率 1 0.95663 2 0.01213 3 0.00004768 4 0.00000018626
背景流量引入误报(续) Snort规则分析(Snort-2.4.0) 攻击特征串长度 规则数 1 230 2 126 3 55 4 563
所构造报文的负载对系统的压力不可控 背景流量中的报文对网络设备产生的压力主要分为两部分,报文头部检查和报文负载的字符串匹配所耗费的时间。 Spyros Antonatos 等人于2004年的研究表明 ,NIDS在实际环境中处理负载上所耗费的时间是所有处理时间的40%-70%,并且用随机串填充的报文与实际的报文相比,对NIDS的压力偏小。
所构造报文的负载对系统的压力不可控(续) 传统的报文负载随机字符串填充的方法,虽然可以控制头部信息,但因为负载部分随机生成,无法控制负载的内容,当然更无法控制负载对设备的性能所造成的影响。
对测试系统的影响 实时测试系统的性能很大程度上取决于报文生成的速度,如果报文的负载采用随机串填充,将严重影响测试系统的性能 。 对测试系统的影响 实时测试系统的性能很大程度上取决于报文生成的速度,如果报文的负载采用随机串填充,将严重影响测试系统的性能 。 在离线测试系统中,流量在播放之前事先生成, 因此报文负载随机填充不会影响系统的性能,但为了存储这些报文的负载,却需要庞大的存储空间。
固定字符串填充方法 为了解决随机字符串与网络事件特征串可能冲突的问题,一个简单的方法就是用固定的字符串来代替随机生成的字符串。 固定字符串给被测系统提供了信息,被测系统可以从报文中出现该字符串来判断报文不是特定网络事件报文,并根据这一点提高自己的检测率和降低误报率 固定字符串的内容有一定偶然性,可能对不同测试系统的影响有差异,使得测试缺乏公平性。
报文负载字典构造方法设计原则 针对随机字符串填充方法和固定字符串填充方法的不足,我们设计了报文负载字典构造方法。 这种方法不但避免了产生误报,而且因为选择具有随机性,可以防止被测系统作弊,保证了测试的公平性。另外在提高测试系统性能方面也有很大的作用。 这种方法虽然解决了冲突问题和测试系统的性能问题,但仍然存在负载压力不可控的问题。我们对此做了进一步的改进。
设计原则(续) 网络设备在检测报文负载中是否存在某个特征字符串时,用到了各种字符串匹配算法,目前常用的字符串匹配算法有: Boyer-Moore ,KMP等 算法。 通过分析这些算法,我们可以构造出这些特征串的变型,相应的匹配算法处理这些特征串变型时与处理特征串所需进行的字符比较次数相同,但检查的结果是匹配失败。
特征串变型方法 找出算法在检查字符串时最后进行匹配的位置,对于特征串相应的位置我们用其他字符替代后得到特征串的变型。 以BM算法为例,BM算法是从后往前做匹配,因此字符串的第一位也就是最后匹配的位置。假设某特征串为(a1,a2….an),算法需要耗费n次字符比较的时间来判定该字符串。选取(b,a2…an)为该串在Boyer-Moore算法下的变型。 使用这些变型的特征串进行填充,能有效控制算法进行匹配的次数,从而控制负载产生的压力。
报文负载字典填充方法的实现框架
实现流程 首先生成背景流量的报文头部,并按报文发送顺序将报头组成待填充报文头部队列。 依次从队列中取出报文头部,根据字典填充方法生成负载与报头拼接后形成完整的报文, 最后将该报文直接发送至网络或者按发送顺序存储。
实验与评估 为了检验特征串变型填充的效果,我们做了不同填充比例的比较实验。 选用入侵检测系统SNORT的字符串匹配模块为实验对象,版本为2.2.0。SNORT的字符串匹配模块实现了B—M算法,针对该算法,我们得出了估计匹配算法进行字符比较次数的公式。 假设比较次数为C,填充总长度为L,特征串个数为N,特征串平均长度为S,填充比例为M,则
负载填充比例与字符串匹配模块比较次数变化曲线
实验结论 实验表明,随着特征串变型填充比例的增加,SNORT字符串匹配模块进行字符比较的次数也相应增加,并且比较次数与公式基本相符。 由此可见,我们所提供的方法能有效增加背景流量对被测系统的压力,并且压力的大小可控。
AOLES系统介绍 AOLES(Adaptable Offline Evaluation System)是江苏省计算机网络技术重点实验室为测试基于网络的IDS而设计的评估系统。AOLES能够完成测试使用的背景数据和攻击数据的生成,播放和存储工作,能够利用存储的数据进行重复测试,能够对测试数据进行分析并输出测试结果。 我们使用该系统对国家自然科学基金重大研究技术课题分布式入侵检测系统MONSTER3.0进行了测试评估。
谢谢