基于多方法的网络攻击防范软件.pdfVIP

2008年6月 中国石油大学胜利学院学报 Jun．2008 China Journalof College ofPetroleum V01．22No．2 第22卷第2期 Shengli University 基于多方法的网络攻击防范软件 谢丽娟 (中石化胜利油田分公司物探研究院．山东东营257022) [摘 要] 单纯地使用一种方法检测和过滤异常流量。会造成漏检、过滤效率不高等问题，为了解决这些问题，设计了 一种使用多种方法融合进行防范的网络攻击软件。该软件根据数据与协议分析结果，并结合使用信息熵对特征进行分析，从 而达到对可疑攻击准确过滤的目的。实验表明，软件总体检测和过滤效率较高．对于SYN—Flood攻击检测和过滤效率囊为 明显。 [关键词]网络攻击，自相似；异常检测；过滤 [中图分类号]TP311．52[文献标识码]A 网络安全已经成为各个领域必须关心的问题．其中网络攻击 I 过滤器 是威胁网络安全的最主要因素，如何采用有效的方法对网络 f 攻击进行防范是国内外网络安全研究的重要课题。目前一些 网络攻击检测器 公司采用的是基于特征的检测和基于分组过滤来防御网络 f 攻击。基于特征检测技术主要集中在对异常流量的数据包的 l数据特征与协议分析器 特征检测上，期待能从流量中提取出数据包的异常特征，从 f 而判定出是否发生了攻击。但是由于网络攻击手段层出不 I 数据包捕获器 穷，该检测技术存在不能识别新攻击的问题。基于分组过滤 l 来防御网络攻击不能根据攻击情况的变化启用最优的过滤 NIC 方法，这往往导致漏报、误报、效率低等同题。异常入侵检测 圈1‘智能防范软件结构 可以检测到一些新的，特征人侵检测检测不到的攻击，但是 存储后提供给网络数据分析器进行处理。 难以准确定位攻击特征。本文将异常检测和特征检测融合起 数据特征与协议分析器：数据特征与协议分析器用于提 来实现准确高效检测，并根据情况区别对待，实现优化过滤， 取数据包的相关信息(包括源地址，目的地址、源端口、目的 设计和实现一种高效的网络攻击防范软件。 端口信息)并统计网络数据流量特征，如到达时间、数据包大 小，并将这些特征值提供给特征库。同时为协议分析提供数 1防范软件结构 据。协议分析：协议分析是把接受到的IP数据包进行解析， 防范软件的结构如图1所示。其核心部件包括网络数据 确定上层是那种协议，如TCP、UDP、ICMP，为智能过滤做 包捕获器、数据特征与协议分析器、异常检测器、过滤器。该 准备。一旦检测器检测到了异常攻击，则过滤启动后，就可以 结构的基本思想是：网络数据包捕获器从网卡接收数据包， 针对不同的协议采用最适合的过滤方法。比如对于SYN． 经过数据与协议分析，如果发现是SYN连接(SYN—Flood攻Flood攻击，我们可以采用TCPCookie技术，对于UDP 击是最主要的DDoS[1]网络攻击方式)，直接进行过滤，否则Flood、ICMP Flood等攻击采用信息熵分析。 启动异常检测，根据检测结果启动