状态协议分析技术在ＮＩＤＳ中的实现研究_计算机论文.docVIP

状态协议分析技术在ＮＩＤＳ中的实现研究_计算机论文 状态协议分析技术在ＮＩＤＳ中的实现研究_计算机论文 摘要：随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展所需解决的关键问题。入侵检测作为一种积极主动防御的网络技术，已经成为网络防护安全体系中的重要组成部分。首先比较了各种入侵检测技术，提出了利用基于状态的协议分析技术检测多步骤等复杂攻击的有效性，但面对高速发展的网络，也提出了这种深度检测的技术存在着的弊端。 　　关键词：状态协议；分析；NIDS 　　 　　1协议解析 　　（1）协议解析。 　　传统的网络入侵检测方法，要么不做任何协议分析（图1中A方法），要么只对TCP/IP进行分析（图1中的B方法）。基于应用的入侵检测方法（图1中的C方法）在进行TCP/IP分析后，还要对应用协议进行分析，并分别取出应用协议数据中的命令部分与数据部分，然后分别对命令进行解释和对应用数据进行模式匹配，从而对入侵检测进行检测。方法A在IP包中利用模式匹配技术盲目匹配攻击特征，很可能会将FTP的攻击特征用来匹配HTTP的包；方法B由于不能理解应用协议，只能将应用协议数据看成没有结构的比特流，进行盲目地匹配。因此，随着模式与待匹配网络包的增加，传统检测方法的效率将呈线性的下降，其时间复杂度为O（n），n为模式和网络包长度的总和；而基于应用的检测系统由于采用基于协议的树形结构来分析检测，随模式的增加，其复杂度仅为O（log2n）。 　　 　　（2）协议数据的上下文关联分析。 　　①IP分片合并。 　　分片合并对网络入侵检测系统具有重要意义。有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞，例如著名的Teardrop攻击就是在短时间内发送若干成对的偏移量有重叠的IP分片，目标接收到这样的分片的时候就会合并分片，由于其偏移量的重叠而发生内存错误，甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的，需要在协议分析中模拟操作系统的分片合并，以发现不合法的分片。 　　在分片过程中有两种树结构：不同的IP数据包生成一棵分组Splay树，称作分组树，在程序初始化部分即生成，在程序退出时消亡；每个IP数据包的所有分片生成一棵分片Splay树，称作分片树，在接收到IP数据包的第一个分片时生成，在完成分片合并或超时删除。 　　分组树节点主要包括IP数据包中的源IP地址字段，目的IP地址字段，标识字段和协议字段，对于同一个IP数据包的不同分片这些值相同，这四个值作为一个分组树节点的关键值，即对于两个IP数据包A和B，它们的大小关系可以定义为：如果A的源IP地址大于B则A大于B；如果小于，则A小于B；如果相等，则继续比较目的IP地址、标识字段和协议字段，直到比较出大小或相等。分片树的节点主要包括偏移量字段和数据字段，其中偏移量是关键值。当IP数据包的第一个分片和最后一个分片都到达时，进行IP数据包合并。在合并的过程中如果发现偏移量不连续或重叠，则给出报警信息，放弃合并；合并后的IP数据包拷贝了所有分片的内容，与每个分片具有相同的源IP地址字段，目的IP地址字段，标识字段和协议字段，在格式上是一个不分片的IP数据包，然后上交给传输层协议进行分析。 　　②TCP会话重组。 　　一些攻击利用了TCP协议的漏洞，TCP会话劫持是其中最典型的一种。在这种攻击下，攻击者伪造具有某IP地址的数据包，发送给与该IP地址进行TCP会话通信的另一端。检测TCP会话劫持是很困难的，因为如果不和真正的通信方进行交互，几乎无法发现伪装的通信方。但是通过模拟操作系统协议栈的工作原理，对TCP会话进行处理，能够从一定程度上检测到可能的会话劫持。检测系统通过重组会话能够发现序列号错误，以及出现序列号错误后双方重新建立同步的握手信息，从而判断可能的入侵。 　　TCP会话重组利用了和分片合并类似的树状结构。网络上存在的各个会话组织成一棵有序二叉树，每个节点包含会话双方的连接状态、序列号、一些统计信息以及必要的历史信息如上次序列号和确认序列号等。每个会话中，发自客户端和服务器端的数据包分别组织成两棵二叉树，在会话节点中包含指向这两个二叉树的根节点的指针。重组后的TCP会话记录了一次TCP会话中所有的数据包，并且记录了每个数据包到来前和到来后的TCP会话状态。　　2基于状态协议分析的入侵检测实现　　协议分析方法可以根据协议信息精确定位检测域，分析攻击特征，有针对性地使用详细具体的检测手段。提高了检测的全面性、准确性和效率。针对不同的异常和攻击，灵活定制检测方式，由此可检测大量异常。但对于一些多步骤，分布式的复杂攻击的检测单凭单一数据包检测或简单重组是无法实现的。所以在协议分析基础上引入状态转移检测技术，下面就分析利用基于状