协议分析与深度包检测相结合的入侵防御系统.pdfVIP

电子发烧友 电子技术论坛 协议分析与深度包检测相结合的入侵防御系统 於时才 安凌鹏 （兰州理工大学计算机与通信学院 甘肃 兰州 730050） 摘要:网络入侵防御系统是一种新型的网络安全防护系统，不仅要求具备防御网络入侵的能 力，还要能够阻止隐藏在合法的数据包中的恶意程序进入网络。本文提出以深度包检测为主， 结合协议分析的网络入侵防御系统结构，以完善系统对入侵行为与病毒的防御能力。 关键词:TCP/IP 协议、协议分析、深度包检测、入侵防御系统 中图法分类号：TN 919.81 文献标识码：A Intrusion Prevention System which apply Protocol Analysis and Deep Packet Detection Yu shi-Cai An Ling-Peng (The College of Computer and Communication, Lanzhou University of Technology, Lanzhou Gansu 730050) Abstract: The Intrusion Prevention System (IPS) is the new security technology for the network; it must be able to prevent the intrusion and virus. The article attempts to apply the Deep Packet Detection and protocol analysis in the IPS to improve the ability of the IPS. Keywords: TCP/IP protocol, Protocol Analysis, Deep packet detection, Intrusion Prevention System（IPS） 入侵防御系统（Intrusion Prevention System, IPS）作为一种主动网络防护技术，目 的是在对网络性能影响尽可能小的前提下，对网络数据流进行深层的过滤，发现并及时拦截 入侵行为和有害数据。可以说 IPS 系统是入侵检测技术与防火墙技术相结合的一种新型网络 安全系统。 随着专门针对应用层攻击的增多,传统的状态检测的有效性越来越低。所以IPS的防御重 点应在应用层,因而必须具备对数据包的深层过滤能力。深度包检测(Deep Packet Inspection)能够深入检测数据包应用层的有效载荷，以决定是否允许数据包通过。也就是 说深度包检测及其包过滤技术具有较强的深层防御功能。 同时，协议分析技术作为一种较新的入侵检测技术，能够准确地发现入侵行为，如果将 两者相结合，以协议分析技术为基础，就可以更准确地发现并阻止网络攻击行为及恶意程序 的进入，从而进一步提高入侵防御系统的深层防御能力。本文将对协议分析与深度包检测技 术进行分析，并提出一种两者相结合的入侵防御系统模型。 1、入侵防御系统架构 1.1 结构与功能 一个真正的网络防护设备必须起到关卡的作用，所以 IPS系统必须以串联方式工作(如图 1 所示)，在有害数据包通过之前，就将其丢弃，必要情况下还可以向攻击方发送 TCP Reset 包或 ICMP 不可抵达包，提供精确的阻断功能。 图1 同时，网络传播的病毒等恶意程序，很多情况下可能隐藏在合法的数据流中，如果一并 阻断，有可能影响合法的访问，这就要求 IPS系统应具备数据包的擦洗功能。为了满足以上 要求，IPS 系统必须具备对数据包的深入分析与高效的处理能力、 电子发烧友 电子技术论坛 1.2 网络应用层防御要求 目前，网络面临最严重的威胁来自于利用已知应用层弱点（诸如 TCP PORT 80）而进行 的攻击，而这些端口通常情况下是开放的，而且访问控制设备无法准确检测来自这些端口的 恶意行为。 应用层防御的技术问题主要包括：①需要对有效载荷知道得更清楚