网络与信息安全_入侵检测技术.ppt

第一步——直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。 第二步——跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。 第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。 第四步——让解析器从第55个字节开始读取URL。 URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。 典型例子 ● 提高了性能：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。 ● 提高了准确性：与非智能化的模式匹配相比，协议分析减少了虚警和误判的可能性，命令解析（语法分析）和协议解码技术的结合，在命令字符串到达操作系统或应用程序之前，模拟它的执行，以确定它是否具有恶意。 ● 基于状态的分析：当协议分析入侵检测系统引擎评估某个包时，它考虑了在这之前相关的数据包内容，以及接下来可能出现的数据包。与此相反，模式匹配入侵检测系统孤立地考察每个数据包。 ●