无线应用中嵌入式入侵检测系统的设计与实施

无线应用中嵌入式入侵检测系统的设计与实施

Q.I. Ali S. lazim

伊拉克摩苏尔大学计算机工程系

摘要：随着无线网络故障、漏洞和攻击急剧增长，无线局域网(WLAN)安全管理不断对研究领域提出挑战。本研究提出一种嵌入式入侵检测系统(WIDS) 新的设计和实施方法，用以保护多业务无线网络的安全。WIDS尺寸规格必须很小，以便于集成在不同的无线设备中，成本必须很低，从而适于在大量场合下使用，同时具有良好的性能满足WLAN数据速率的要求。所有这些特性可通过网络处理器来实现，实施本文的WIDS采用Ubicom网络处理器。本文介绍了入侵检测系统的不同实施方案，并在实验平台上测试了各种搜索算法。最后，通过十种不同类型的攻击实验对这种WIDS进行了验证。实验结果证明，建议的WIDS可为IEEE 802.11b WLAN网络提供有效保护，这种网络为用户提供不同的服务，数据速率为1.08到9.24Mbps，具有250种存储容量规格。

1 简介

NP。第4章，演示建议IDS的软件结构。第5章，介绍如何根据报头字段和有效载荷中的字符串处理‘SNORT’ IDS规则。第6章，说明嵌入式IDS的位置，及其如何与无线环境中的其他设备集成。第7章，介绍SNORT规则分析及搜索算法的假定条件。第8章，介绍实验环境、搜索算法与整体系统响应之间的对比结果。最后，第9章讨论总结实验结果。

广泛使用的无线局域网(WLAN)需要增加无线入侵检测(WIDS)技术，重点保护有线和无线基础设施，避免受到内部和外部攻击[1]。入侵检测系统(IDS)是一种最实用的工具之一，可识别网络中的恶意企图并保护系统，且不必修改最终用户软件。与只能检测数据包报头中指定字段的防火墙不同，IDS可检测有效载荷中的恶意信息。IDS通常含有描述恶意行为特征的数据库。恶意行为模式的数量一般有几千种，并且仍在不断增加。特征可出现在任何数据包有效载荷的任意位置。因此，IDS必须能够进行深入数据包检测，即使受到严重攻击的情况下，否则不能起到严格意义上的保护作用[2] （基于云管理的无线局域网）。

目前，基于网络处理器(NP)的网络设备不断增加。相对于专用集成电路(ASIC)，NP利用程序更新即可添加和修改其功能。本文中，Ubicom NP用作嵌入式网络入侵检测系统(NIDS)，专门用于数据包处理任务。Ubicom内置网络协议栈，支持各种通信协议。此外，还含有软件支持的必要硬件。

本文后面的内容按以下结构编排：前两章介绍相关工作。第3章，分别从硬件和软件角度简要说明Ubicom

2 相关工作

随着无线网络的普及，移动用户的安全问题比预想的要严重的多。因此，需要研究保护无线网络的新架构和新机制。以下论文证明了这方面工作的部分研究方向，以及如何利用NP进行入侵检测。2003年，Charitakis et al. [4] 提出一种软件架构，利用Intel IXP1200 NP通过数据包报头分析进行网络入侵检测。2004年，Herbert和Kaiming介绍了一种基于IXP1200 NP的NIDS。其目的是通过匹配网络数据包有效载荷与尽可能最低处理层级的蠕虫特征，高速检测蠕虫病毒(IXP1200 NP微引擎) [5]。同年，Yang et al.重点研究了WLAN环境下入侵检测和安全考虑因素。他们

针对无线IDS及其架构，提出WLAN环境入侵检测概念。他们还提出一种IDS代理概念模型[6]。2005年，Grant提出一种有效预警系统，利用部署在移动设备上的电池供电智能入侵检测新技术(B-bid)，通过基于移动主机的入侵检测方式，提醒安全管理员保护企业网络[7]。2006年，Marco Domenico et al.提出一种所有节点共享网络监控的攻击检测机制。这样可以了解网络是否发生实际故障，或者是否受到攻击。不过，这种系统有可能错误地发送伪攻击告警，因此他们模拟了伪告警的影响，并讨论了整体系统稳定性[8]。同年，Salim和Radha探讨了采用布隆过滤器和基于Intel IXP 2400 NP散列表搜索提高数据包分类的技术[9]。2007年，Young-Ho Kim et al.提出一种内容处理器执行多模式特征匹配的有效算法。建议算法采用软件位图支持每种多模式特征，不必变更硬件，从而最大化内容处理器的灵活性[10]。

本文重点介绍如何构建小型、低成本、支持各种WLAN数据速率的嵌入式IDS。为实现上述目标，选择Ubicom IP2022 NP (内置SNORT规则)。

支持传统硬件功能软件化； 系统内重新编程实现最高灵活性； 运行时自编程； Vpp = Vcc 电压。

图2所示为Ubicom完整开发环境的基本组件，可分为四个组成部分[12]:

1. Ubicom软件开发工具包(SDK): Ubicom支持大量软件包，如ipOSTM、ipStackTM、ipHALTM、ipModuleTM等。

2. Red Hat GNUPro工具，包括GCC ANSI C编译器、汇编器、链接器和GNU调试器。

3. Ubicom配置工具支持快速开发工作的集成工具。

Ubicom统一集成开发环境(IDE)含有编辑器、项目管理器、连接调试器的图形用户接口、器件编程器。

4 实施基于Ubicom平台的建议嵌入式IDS

3 Ubicom IP2022网络处理器简介

Ubicom IP2022是Ubicom公司生产的NP。Ubicom以全

本文中，基于Ubicom NP的建议IDS专门用于执行包处理任务。Ubicom内置丰富的网络协议栈，支持各种通信服务。同时，配有支持软件任务的必要硬件。

Ubicom环境中的程序称为项目，建立项目的过程分为两个阶段。第一阶段为项目增加必要的包，并采用配置工具进行配置。这个阶段输出带有扩展名的文件(lpj)，含有程序的所有必要配置值。第二个阶段以C语言编写IDE用于Ubicom的程序代码。建立项目后，执行编译和调试任务，文件扩展名转换为执行文件扩展名(elf )，加载到Ubicom处理器。

用于IDS的软件架构包括建立四个基础文件(采用C编辑器创建):

1. 含有IDS主程序的Main.c。

2. 包含在主程序中调用rules.c文件的Rules.h (报头)。 3. 包含IDS规则代码的Rules.c。

4. 包含在文件rules.c中在校验IDS规则期间调用搜索算法的Algorithm.h。

面集成的平台提供完整解决方案–实时操作系统、协议栈和必要的硬件。Ubicom IP2022芯片内置部分基础硬件，而且可与片上软件组合支持大部分通用协议。同一器件可支持以太网、蓝牙无线技术、IEEE 802.11等。这种方法的关键是采用片上软件系统技术（网络处理器IP2022及其在嵌入式牌照识别系统中的应用）。 Ubicom硬件包括以下组件，参见如图1 [11]:

专门支持单片式网络解决方案； 快速处理器内核；

64 KB (32 K × 16) 闪存程序存储器； 16 KB (8 K × 16) SRAM数据/程序存储器； 4 KB (4 K × 8) SRAM数据存储器；

两个SerDes通信模块支持通用PHY (以太网、

USB、UART等) 和桥接应用；

高级120 MHz RISC处理器； 高速包处理；

通信功能专用指令集；

5 建议IDS的软件结构

建议IDS的软件结构由三级组成：分析、根据规则校验和告警(参见图3)。

分析级负责按顺序提取阅读Ubicom缓冲器中报头字段，分析IP和传输层报头(报头分析级详细说明参见附录流程图)。同时，报头分析过程中，仅计算报头或报头与数据的校验和，以保证接收数据包过程中未发生错误。

图1 IP2022方框图

如果发生错误，例如：校验和不等于零、报头长度大于总长或其他错误，将忽略数据包。分析级完成后，报头

图2 Ubicom完整的开发环境

参数传送到校验级，根据SNORT规则进行检验，以便发现入侵或攻击。如果未发现匹配，表明未发生攻击，否则，标记攻击并启动告警级，通知上层检测到攻击，根据具体情况采取相应措施。

理的交叉产物确定完成的规则匹配。

6.1 制定报头IDS规则

建议的IDS中，输入数据包报头按报头过滤依次进行比

6 IDS规则处理

较，然后根据上下文特征对比其有效载荷。本文中，编写IDS规则(采用C语言)的方法是一种树形结构。缩写一套规则的C代码时，采用IF语句建立树。建立的树包括最初必备的位于上层的共享字段和位于下层的专用字段。不过，所有规则可分为四个树：IP、传输控制协议(TCP)、用户数据报协议和互联网控制消息协议(ICMP)，因此，每个树的第一层必须是协议型。数据包有效载荷中的特征字段始终视为专用字段。它位于树的分支，也就是说，采用搜索算法进行校验的时间比较晚。例如，图4是为以下SNORT规则建立的树形图：

alert tcp 10.0.0.0/32 any 2 . 10.0.0.1 80 (dsize: . 512);

IDS根据报头字段或数据包内容或通信流中的字符串对互联网数据包进行分类。在全能IDS规则库中，特征具有可变长度，并位于数据包中任何偏移位置。而数据包报头字段长度不变，并出现在数据包中的固定位置。由于字符串和数据包报头字段性质不同，因此需要将报头分类处理与字符串匹配处理分开[13]。本文中，利用两种处

图3 建议IDS的软件结构流程图

图4 三个IDS规则的树结构

alert tcp [10.0.0.1 10.0.0.2] any 2 . 10.0.0.2 80 (ack: . 512);

alert tcp any any 2 . 10.0.0.300 20 (dsize: . 512;content: ‘GET’);

图5所示为图4树结构的C代码，这个代码上传到Ubicom平台。

树结构法优于采用包含所有校验的单独代码块编写每项规则，因为树结构占用内存空间少，规则校验时间短。

对模式进行任何预处理，只需固定数量的额外内存空间[16]。

6.2.3 Boyer Moore算法：Boyer Moore是IDS中使用最广泛的字符串匹配算法。这种算法从字符串最右一个字符开始比较输入的字符串。为减少大量循环比较，不匹配时触发两种试探。坏字符试探移动搜索字符串，将不匹配字符与搜索字符串出现不匹配字符的最右边位置对齐。如果不匹配出现在搜索字符串中间，有用于匹配的后缀。好后缀试探将搜索字符串移至字符串中出现的下一后缀[17, 18]。

6.2 搜索算法

字符串匹配算法几乎是每种现代IDS的核心。基本上来说，字符串匹配算法比较规则集中的字符串与网络传输数据包的有效载荷[14]。本文测试了以下几种算法。

6.2.4 模式匹配算法：模式匹配算法分为两个阶段：预处理阶段和搜索阶段。预处理的任务是将每个字节由特征串变为2字节，然后将这些字节放入转换数组中。另一项任务是生成两维数组，称为NEXT。这个数组对于决定下一搜索如何移动到正确位置十分重要。数组NEXT 生成后，其值在搜索过程中不变。搜索阶段，在每个检查点自右向左进行比较。如果出现不匹配，用当前比较窗口倒数第二个字符进行下一匹配，参见图6 [19]。

6.2.1 字符串匹配算法：为便于使用Ubicom缓冲区(用于保存接收的数据包)，提供的许多函数的行为方式，类似于标准C库提供的标准字符串/内存函数[15]：

1. Strstr函数：这个函数搜索网络缓冲区(netbuf)中的字符串，并返回这个字符串的位置(地址)指针，此处首先发现字符串。或者，如果未发现，返回NULL (空值)。 2. Strchr函数：这个函数搜索网络缓冲区(netbuf)中的字符。这个函数返回字符的位置(地址)指针，此处首先发现字符。或者，如果未发现，返回NULL(空值)。

6.2.2 原始算法：所谓原始或蛮力算法是字符串模式匹配问题最直观的一种方法。这种算法就是从左至右匹配连续位置的目标模式。如果发生错误，将比较窗口向右移一个字符，直至达到目标结束。原始搜索算法不需要

7 用于无线应用的IDS

在Ubicom平台上部署嵌入式IDS之后，必须确定嵌入式IDS在无线环境中的位置，以及如何与同一网络中现有设备连接。本章对此加以说明。

7.1 建议IDS的可行实施方法

建议IDS可根据需要以不同的方式实施。这方面，Ubicom平台提供了丰富的选择和便利条件，因为其架构含有多种类型的总线接口（基于Avalon总线接口的UPFC控制器）。

7.1.1 通过外部接口连接接入点(AP)：采用这种实施方法，Ubicom平台通过以太网接口连接AP。这种实施方

图5 三种IDS规则树结构的C代码

图6 模式匹配算法的算法动作

法步骤如下：

1. 首先，AP接收发送的其范围内的数据包。

2. 这个AP将无线数据包(通过以太网端口)传送到Ubicom平台进行测试。

3. Ubicom分析每个数据包，然后利用IDS功能检查这些数据包。

4. 完成分析和检查之后，Ubicom平台向AP发送告警信息，如果出现攻击，AP将丢下这个数据包，否则，AP将其传送到目的地。

7.1.2 硬件与AP集成：这种实施方法的优点是能够以较低的成本强化网络性能和安全，且简化网络管理。IDS不需要单独的硬件，从而有助于降低总拥有成本，参见图7。建议AP的操作说明如下：

1. AP微控制器(MAC功能协调器)首先接收数据包并将其保存在AP存储器中，然后执行处理这个数据包的所有必要功能。

2. Ubicom从存储器中读取数据包进行分析，并执行IDS功能。

3. 如果Ubicom平台检测到攻击模式，将向AP微处理器 (MAC功能协调器)发送信号忽略这一帧。否则，这一帧将传送到目的地。

基于软件的IDS传感器：这些传感器是安装了带有

完整规则集SNORT程序的专用PC。这些规则通过互联网更新，用以抵御新的攻击。这些传感器位于网络主要部分，监控网络中的通信。它们检测攻击并向管理服务器发送攻击报告。两次报告的间隔时间由管理员决定（基于零漂移仪表放大器的传感器电路优

化）。

管理服务器：这是一种装有统计分析工具的专用

PC。这些工具接收基于软件的IDS发来的报告并进行分析，抵御常见的危险攻击。之后，这些工具执行适用的SNORT规则抑制攻击(规则数量不得超过Ubicom平台存储器容量)。这些规则发送到规则转换服务器。

规则转换服务器：这是一种含有转换程序的专用

PC。这种程序用来将SNORT规则转换为可下载到Ubicom平台的另一种形式。经过转换之后，服务器将这些规则作为文件发送给网络中的所有嵌入式IDS。更新程序包括在发送的另一个完整文件中，两次更新的间隔时间由客户端限定。

建议嵌入式IDS传感器；可用作基于网络或基于主

机的IDS传感器(参见6.1说明)。这种传感器接收文件，用其重新配置Ubicom平台，以防御各种攻击。

图8显示建议IDS的协议动作。

7.1.3 基于主机的WIDS：Ubicom平台可与主机PC的无线网络接口卡集成。采用这种实施方法，WIDS 用作基于主机的IDS的代理。大部分情况下，代理是一种可安装在主机上的软件程序，但也可以作为专用硬件程序添加。这个程序可在一定程度上，减轻主机CPU处理IDS任务的负担。这种方法的操作与前面介绍的类似，只是在没有攻击的情况下，数据包将传送到主机PC。

8 SNORT规则分析与搜索算法假设条件

SNORT是一种采用C语言编程的开源软件，符合通用公共许可。它是一种平台独立的轻型NIDS，可用作网络嗅探器和日志记录工具。SNORT采用基于规则的网络信息搜索技术。每个数据包通过模式匹配进行入侵检测[20]。在提交我们的结果之前，必须说明SNORT规则分析，以限制模式长度和有效载荷长度的搜索范围。Aldwairi显示，87%的规则含有与数据包有效载荷相匹配的字符串，其中大部分字符串短于26个字节。同时，Mu¨ nz et al显示，在全部规则中，88.6%不超过有效载荷的前145个字节。这意味着，大部分攻击特征可在前145个字节中发

7.2 建议WIDS的协议动作

为使建议IDS耐受新的攻击，提出了新的建议协议。建议协议的操作和组件说明如下：

图7 建议的WIDS与AP架构集成

图8 建议WIDS的协议动作

现。因此，本文建议模式的最大长度限制在20个字节(进一步优化资源)，有效载荷最大长度限制在145个字节。

间采用telnet应用程序。

2. PC2: 这台PC安装CommView程序。CommView是一种网络活动监控程序，可捕获分析网络数据包。同时，这个程序还含有包生成工具。用户可利用这个工具通过网络接口卡编辑发送数据包。PC2安装的另一种软件程序是示波器软件(wavestar)，可供用户远程控制示波器，通过RS-232 (串行端口)捕获、显示、分析和测量信号波形。

3. 示波器: 为以毫秒(ms)为单位测量建议IDS的响应时间，Ubicom I/O脚与泰克(Tektronix)实时数字示波器之间 进行硬件连接（教你如何在测试中选择数字示波器）。 4. Ubicom平台: 其以太网接口用来发送和/或接收数据包，因此这个接口连接PC2。不过，另一个用作以太网加密狗端口的接口连接PC1。以太网加密狗用于将程序下载到IP2022处理器。加密狗还含有一个内置telnet服务器，用于打印应用层调试结果。

9 结果与分析

本章显示建议IDS的实验结果。这些结果显示搜索算法与整体系统特定功能其他结果之间的差别。

9.1 实验环境

为测量建议IDS的性能，搭建了用于测试的实验网络。图9显示实验室中由以下组件构成的实验环境：

1. PC1: 这台PC安装SDK 6.4版(Ubicom平台软件)。完成入侵检测程序后，将其转换为执行程序，下载到IP2022设备。为调试程序，PC1与Ubicom以太网加密狗端口之

图9 实验环境组件

图10 1字节特征长度搜索时间变化

图11 1字节特征长度总搜索时间变化

Ubicom有许多I\O脚，可用来测量执行时间。测量方法总结如下：

指定代码后，当代码开始运行时，其中一个I\O脚为高电平。代码执行结束后，同一引脚变为低电平(这些引脚可利用专用功能通过程序设置低或高电平)。采用实时示波器测量的间隔时间可作为这个代码的执行时间。 特定引脚连接示波器其中的一个通道。采用这种方法是因为没有报告Ubicom CPU执行时间的功能，默认定时器分辨率(用于Ubicom平台)为1 ms。

有效载荷长度限定在22到145个字节。

1字节特征长度：图10显示所有算法搜索阶段的结果。图中显示，字符串算法(采用规定为一个字符的strchr函数)搜索时间最短。从图中可以看到，字符串函数(采用strstr函数)的搜索时间增加，因为需要检验字节(从Ubicom缓冲区读取)是否为NULL。另一方面，我们还可以看到，Boyer Moore算法的搜索时间比较长，因为这种算法反向搜索。也就是说，与原始和strstr函数由左向右正向读取不同，这种算法从netbuf中读取有效载荷值，然后自右向左查找特征。模式匹配算法优于Boyer Moore算法，因为这种算法位移步长更大。图11显示四种算法的总搜索时间。字符串匹配和原始算法(采用strstr和strchr函数)算法不受预处理时间的影响，因为这两种算法不需要任何预处理。尽管模式匹配算法预处理时间高于Boyer Moore，但后者的总搜索时间更长。表1显示四种算法第一次命中。

20字节特征长度：现在，特征长度增加到20个字节，四种算法的搜索时间如图12所示。模式匹配和Boyer Moore算法搜索时间最短，因为当特征长度增加时，其间的差变小，影响了他们的位移值。字符串和原始算法不

9.2 搜索算法的结果与讨论

本节分析搜索算法的性能，并通过特征和有效载荷长度的变量值对其进行对比。首先，按类似的特征长度比较不同的算法讨论结果。采用两个指标评估不同算法的性能，分别是搜索时间[发现有效载荷中的特征所用的时间]和总搜索时间[搜索算法所用的总时间，包括搜索时间加预处理时间(如果有)]。然后，采用特定指标确定适于这个平台使用的最佳算法。

9.2.1 采用不同特征长度比较算法: 本节比较不同的算法。如前面第7章所述，特征长度限定在1到20个字节，

受特征长度增加的影响，因为他们的位移值始终为1。图13显示四种算法的总搜索时间。由于各种情况下总搜索时间最短，因此原始算法是最好的方法。而这种情况

表1 四种算法第一次命中

算法 特征长度, 字节 1 5 10 15 20

字符串 匹配

总搜索时间, ms

8.898 19.133 31.211 45 57

原始

总搜索时间, ms

4 10 17.5 25 33

Boyer Moore搜索时间, ms 8.2588 21.176 35 52.087 67.031

总搜索时间, ms

109 169 247 324 400.13

模式匹配搜索时间, ms 8.837 22.312 39.941 57.062 74.775

总搜索时间, ms

330.83 368.12 414.22 460.92 508.42

图12 20字节特征长度搜索时间的变化

图13 20字节特征长度总搜索时间的变化

下，模式匹配算法最差，因为受特征长度增加的影响，这种算法的预处理时间特别长。Boyer Moore与模式匹配算法之间预处理时间差是恒定的，小于前一种情况的时间差，因为Boyer Moore算法受特征长度增加的影响。

9.2.2 算法基于其他指标的比较：为总结对比结果，表2列出了搜索算法的特性。根据Ubicom平台标准，原始算法是最好的搜索算法。同时，在搜索(1字节)特征时，采用strchr函数的字符串算法效果最好。本文采用的搜索算法结合了上述两种算法。搜索(1字节)特征的情况下，建议采用strchr函数。搜索较高特征值时，可切换程序进行原始算法运算。所用算法的效果参见图14。

图14 所用算法的效果

9.3 建议IDS的实际实施方法

(用作防火墙)和Cisco2800网络地址转换(NAT)路由器实现互联网连接。网络的网络服务也可以通过多个IEEE802.11b WLAN接点提供（云计算促使核心交换机发展变化）。

实验的目的是(从安全的角度)，确定往来于网络进出流量的实际行为，以及建议WIDS能否解决网络入侵和攻击问题。

采用SNORT传感器(专用PC，带有SNORT 2.8.4.1版软件，支持3000种规则)检查网络与内部网接点之间传输的数据包(因为网络中的内部传输非常有限)。测试持续7

本节介绍建议WIDS的实际实施方法。选择摩苏尔大学网络作为主机环境。

网络由(通过1 Gbps以太网)与Cisco 6051E核心交换机连接的(41 Cisco 3750和2950)交换机组成。这些交换机代表大学不同的部门。每台交换机连接大量2层交换机和不同部门的主机。通过专用互联网交换机(PIX515E)设备

表 2 根据指标比较算法

算法

指标 搜索时间 检查NULL 存储空间 预处理时间 比较方向 位移值

a

字符串 高 是 低 N/Aa 左至右 1字节

原始 高 否 低 N/A 左至右 1字节

模式匹配 低 否 高 高 右至左 可变

Boyer Moore 低 否 高 中 右至左 可变

N/A: 不使用。

表3 测量过程中收集的统计结果

攻击类别

1. 攻击响应 2. 策略攻击

3. shellcode代码攻击 4. 信息网页攻击 5. DNS攻击 6. DOS攻击 7. 扫描攻击 8. 聊天攻击 9. 多媒体攻击 10. 色情内容攻击 11. web-客户端攻击 12. ICMP攻击 13. web-frontpage攻击 14. web攻击 15. web-iis攻击 16. web-PHP攻击 17. web-CGI攻击

攻击次数

1 1 1 1 1 1 1 4 2 4 7 5 6 9 10 12 17

0.0178 25.067 31 1.625 0.0089 0.0267 0 0 0.0089 0.0357 64.3808 0.0689 1.4642 0.2231 0.1248 0.1695 0.9098

日式(日/月/2009)

6/7

7/7

8/7

比例, %

0.0818 1.099 80.107 4.335 0.145 0 0 0.0843 0.485 0.0101

0 0.0663 3.729 9.5798 6.5827 1.739 2.9537

9/7 10-12/7 % 每周

2.608 5.93 14.33 41.391 0.155 0.0310 0 0.2328 0.4968 0.0775

0 0.1863 0.5433 4.7455 1.598 10.2308 16.0519

0.8131 10.314 0.0427 54.312 0.4065 0.0213 0 0 0.5348 0.1068

0 0.1496 0.8989 5.0708 3.2941 7.5735 15.3842

0.655 6.185 0.0409 47.193 0.8193 0.0819 0.1229 1.638 2.2531 0.0818

0 0.2867 1.8024 9.7491 6.3903 8.11 15.4844

0.4479 2.263 55.938 12.894 0.1675 0.0125 0.0046 0.0813 0.2066 0.0311

11.2932 0.0883 2.7487 3.7389 1.4988 2.9909 4.5893

天，每天24小时。表3列出了测量过程中收集的统计结果。

从表3中可以看出，每天实际工作条件下以不同的比例发生各种攻击。测量期间发现83种攻击，这意味着，Ubicom平台上仅下载了83项SNORT程序的规则。而建议WIDS的存储容量可保存250项不同攻击的规则。

2. 采用第8章所述测量方法发现以下时间值：

分析阶段IP和传输层分析时间(参见第4章)。 树结构搜索时间，代表在其他规则中查找对内攻

击特定规则的时间。

搜索算法的时间：这个值取决于多个参数，如特

9.4 整体系统响应

征长度、特征的位置和深度。

上述时间值相加作为分析数据包的总时间。表5显示前述各类协议报头分析时间。

3. 为确定响应时间，采用Ubicom平台上的计时器。这个计时器统计1秒钟内接收的最大包数。

为测量整体系统响应，我们需要将一整套SNORT规则下载到Ubicom存储器中(其支持的最大数量)。上一节，实际测量过程中发现83种攻击。为齐套规则，我们按[21, 22]所述，增加了另外(167项)最严重攻击的规则，参见表4。

为确定整体系统性能并确定每一层网络攻击的延迟(及效果最明显的攻击)，采用以下程序：

表6显示采用CommView程序中的数据包生成器生成的10种攻击。这些攻击的规则在树中的位置不同、搜索时间的值不同、包长度不同。

从表6可以看出，某些情况下，树结构搜索时间延迟最为明显，特别是在规则的所有报头过滤参数与其他规则共享字段，以及规则位于树末端的情况下。这种情况下，

表5 建议系统报头分析时间

协议 IP UDP TCP ICMP

分析时间, ms

15 4 15 6

1. 采用CommView程序(作为流量生成器)，生成多个数据包，将其作为攻击包连续发送到Ubicom平台。

表4 建议WIDS加载的规则

协议类型

IP UDP TCP ICMP 总计

报头规则 2 6 29 19 250项规则

报头与有效 载荷规则

10 10 166 12

表6 整体系统不同的时间

特征长度,

攻击类型

字节 1. DDOS 2. DOSI 3. DOS2 4. DOS3 5. 响应 6. 漏洞利用1

7. 漏洞利用2

8. web-客户端

9. 漏洞利用3

10. web- Coldfusion 攻击

深度, 字节 – 32 14 – 8 15 145 122 92 52

总时间, 包长度, 报头校验树结构时搜索算法

和时间, ms 间, ms 的时间, ms ms 字节 106

540 790 400 150 350 1200 700 1400 900

9.0625 36.084 54.143 6.11 12.970 25.842 9.8743 64.916 91.141 60.12

3.00 15.92 4.117 6.25 219.06 4.0313 4593.01 1500.03 10.11 5290.01

– 122.39 24.198 – 15.324 36.033 400.36 500.45 381.224 225.34

35.822 196 113.03 33.22 281.00 98.00 5032.11 2096.2 510.15 5607.01

最大包速最大位速率, 包/秒 率, Mbps 6100 2000 1400 2800 2300 3300 160 400 800 150

5.1728 8.64 8.848 8.96 2.76 9.24 1.536 2.24 8.96 1.08

– 6 14 – 8 6 3 7 8 20

树结构的搜索时间非常长，因为搜索特定特征之前要搜索其他特征。另一方面，如果规则的所有报头过滤参数是指定字段，树结构搜索时间比较短。同时，搜索算法的延迟随着特征长度和深度的增加而延长。 表6,中，位速率可按以下公式计算：

位速率=包速率×包长× 8

通过计算可求出位速率在1.08到9.24 Mbps之间，这是建议IDS的有效检测范围。这表明，建议IDS可以有效检测IEEE 802.11b WLAN环境下的各类攻击，因为它可以涵盖这类网络的整个位速率范围。

(1)

3 Ryu, S., Chung, B., Kim, K.: ‘Incorporating intrusion detection functionality into 1XP2800 network processor based router’ (Electronics Telecommunication Research Institute, 2006)

4 Charitakis, I., Pnevmatikatos, D., Markatos, E., Anagnostakis, K.: ‘Code generation for packet header intrusion analysis on the IXP1200 network

10 结束语

本文介绍了基于Ubicom NP的嵌入式无线IDS系统的设计和实施方法。建议系统为网络及其主机提供多级保护，并可根据新的攻击类型升级。建议WIDS尺寸小、成本低，因此可安装在不同位置，并且可与不同的无线设备集成。由于经济的攻击规则搜索时间，以及占用存储空间少，用来制定WIDS规则的树结构法可以视为一种最有效的方法。为使WIDS尽快完成数据包校验，Ubicom平台采用了新的搜索算法。建议WIDS的包处理速度高，位速率为1.08至9.24 Mbps。建议WIDS可有效检测IEEE 802.11b WLAN环境下的各类攻击（点和运用）。

11 参考文献

1 Matt, M.: ‘Wireless intrusion detection systems (WIDS): protecting the wireless perimeter’ (Lunarline, Inc., Washington, 2006), http//www.

2 Sheu, T., Huang, N., Lee, H.: ‘A time- and memory-ef cient string matching algorithm for intrusion detection systems’. Global Telecommunications Conf., 1 December 2006

与非网IET技术专栏 /special/iet/

processor’. Seventh Int. Workshop on Software and Compilers for Embedded Systems, Vienna, Austria, September 2003

5 Herbert, B., Kaiming, H.: ‘A network intrusion detection system on IXP1200 network processors with support for large rule sets’. Technical Report, Leiden University, Netherlands, 2004

6 Yang, H., Xie, L., Sun, J.: ‘Intrusion detection solution to WLANs’. Proc. Sixth IEEE Circuits and Systems Symp. Emerging Technologies: Emerging Technologies: Frontiers of Mobile and Wireless Communication, 2 June 2004

7 Grant, A.: ‘Battery-based intrusion detection’. Master thesis, Computer Engineering Dept., Virginia Polytechnic Institute and State University, Blacksburg, Virginia, 12 April 2005

8 Domenico, M., Calandriello, G., Lioy, A.: ‘A wireless distributed intrusion detection system and a new attack model’. Proc. 11th IEEE Symp. Computers and Communications, 26 – 29 June 2006

9 Salim, R., Radha, G.: ‘Software-based packet classi cation in network intrusion detection system using network processor’. IEEE Region 10 Conf. TENCON, 14 – 17 November 2006

10 Kim, Y., Jung, B., Lim, J., Kim, K.: ‘Processing of multi-pattern

signature in intrusion detection system with content processor’. Sixth Int. Conf. Information, Communications & Signal Processing, 10 – 13 December 2007

11 UBICOM: ‘IP2022 wireless network processor features and

performance optimized for network connectivity IP2022 data sheet’, Inc., 22 January 2009, http//

12 UBICOM: ‘IP2022 Internet processor product brief’, Inc., 2001, http//

13 Song, H., John, W.: ‘Ef cient packet classi cation for network intrusion

detection using FPGA’, Department of CSE Washington University, Monterey, California, USA, 20 – 22 February. 2005, http://www.arl. wustl.edu

14 Tuck, N., Sherwood, T., Calder, B., Varghese, G.: ‘Deterministic

memory-ef cient string matching algorithms for intrusion detection’. Twenty-third Annual Joint Conf. IEEE Computer and Communications Societies, 7 – 11 March 2004, vol. 4, pp. 2628 – 2639

15 UBICOM: ‘IP3000/IP2000 family software development kit reference

manual’, Inc., 28 June 2005, http//

16 Lovis, C., Robert, H.: ‘Fast exact string pattern-matching algorithms

adapted to the characteristics of the medical language’, Research Paper, The American Medical Informatics Association, 2000, http:// /cgi/content/full/7/4/378

17 Boyer-Moore algorithm: Web Site: http://www-igm.univ-mlv.fr/

~lecroq/string/node14.html

18 Matyas, A., Moore, J.: ‘String searching over small alphabets’.

Technical Report, Department of Computer Sciences University of Texas, Austin, 11 December 2007

19 Wang, Y., Kobayashi, H.: ‘High performance pattern matching

algorithm for network security’, Int. J. Comput. Sci. Netw. Secur., 2006, 6, (10), pp. 83 – 87

20 Zhao, K., Chu, J., Che, X., Lin, L., Liang, H.: ‘Improvement on rules

matching algorithm of snort based on dynamic adjustment’. Second Int. Conf. Anti-counterfeiting, Security and Identi cation, 20 – 23 August 2008

21 Aldwairi, M.: ‘Hardware-ef cient pattern matching algorithm and

architectures for fast intrusion detection’. PhD thesis, Computer Engineering Dept., North Carolina State University, 2006 22 Mu¨ nz, G., Weber, N., Carle, G.: ‘Signature detection in sampled

packets’. Second Workshop on Monitoring, Attack Detection and Mitigation, Toulouse, France, 5 – 6 November 2007

关于与非网IET技术专栏：与非网IET技术专栏

（/special/iet/）属国内首个与IET（英国工程技术学会）合作的线上专业网络媒体提供的技术平台，为国内工程师带来最新的前沿技术文章和热点应用设计指南。

我们将每个月为广大工程师朋友提供30篇涵盖各个应用和技术领域的国际前沿技术文章，其中10篇提供中文版全文下载，其他20篇可供工程师在线阅读。

也欢迎各位工程师朋友就这些技术文章的内容和你们的需求给予及时反馈，以便我们改善专栏内容，为大家提供更好更优质的技术资讯。

关于IET：IET全称为英国工程技术学会（IET: The Institution of Engineering and Technology, / 新浪官方微博：/ietchina ）

IET 是拥有141年历史的欧洲最大专业团体和全球最大的国际注册工程师资质认证机构，总部位于英国伦敦。IET在全球127个国家拥有15万会员，涵盖能源电力、交通运输、信息与通信、设计与制造、建筑环境等5大技术领域，实现知识的交流与提升以及人才培养。在学会提供的全面会员服务中包括为工程技术人员提供国际工程师资质认证，帮助其注册英国工程理事会（Engineering Council, UK）授权颁发的特许工程师，主任工程师，技术工程师或信息通信技术工程师。目前，IET在中国已建立了服务华北地区的北京分会、服务长江三角洲地区的上海分会和服务西北地区的西安分会，服务日益增多的会员。

12

附录

图15 – 18显示报头分析阶段详细流程图

图16 ICMP报头分析流程图

图15 IP报头分析流程图

图18 UDP报头分析流程图

图17 TCP报头分析流程图

本文来源：https://www.bwwdw.com/article/x511.html