基于有限自动机密码协议入侵检测方法.docVIP

基于有限自动机密码协议入侵检测方法 　　摘要：提出了一种在密码协议运行中，基于有限自动机原理检测其上攻击的方法，详细介绍了该方法的工作原理，并通过实例验证了此方法的可行性，最后给出了该检测方法原型系统的测试结果。?? 　　关键词：密码协议； 入侵检测； 有限自动机； 实时； 动态 ?? 　　中图分类号：TP309文献标志码：A 　　文章编号：1001－3695(2008)01－0230－02 　　 　　密码协议（又称安全协议）是构建网络安全环境、保护信息系统安全的重要手段之一。然而密码协议本身也存在缺陷和漏洞，所以分析其固有缺陷和发现对它的入侵攻击行为,是保障网络安全通信的前提。入侵检测技术是通过从计算机网络或计算机系统中收集信息并对其进行分析，来发现网络或系统中是否有违反安全策略行为的技术。本文将入侵检测技术应用于密码协议分析中，用有限自动机模拟密码协议执行过程，设计了一种能实时动态监控密码协议运行的入侵检测方法，并对该方法进行了测试。?? 　　 　　1系统结构?? 　　 　　该检测系统把网络中的成员分为密码协议的合法参与者和入侵者两种。对每种密码协议建立正确运行状态转变规则库和密码协议已知攻击特征库，分别存储密码协议正确运行时的规则和已发现其上攻击的特征。整个系统中设一个系统监视器。每个密码协议的合法参与者均配置一个监视器终端，负责收集密码协议参与者的活动信息，并将这些信息传给系统监视器。由系统监视器通过构造有限状态自动机，建立这些信息与数据库中存储信息的映射关系，动态分析密码协议各参与者的行为，判断合法网络范围内的安全情况。整个系统结构如图1所示。?? 　　 　　1．1检测原理?? 　　密码协议执行中要进行消息交换，将每次消息交换分成一次发送事件和一次接收事件。每次系统监视器接收一个事件，首先判断是否是一个新的协议会话的第一事件；然后在协议规则库中查找对应协议名存储的特征，构造一个有限状态自动机，并初始化有限自动机在开始状态。当系统监视器再接收到该协议会话的事件时，对应执行有限自动机到下一状态，判断该状态与协议正常运行要到达的状态是否一致。如果一致，系统监视器将有限自动机继续向前运行，如直到有限自动机终态都一致，表示协议运行正常，系统监视器不产生任何警告通告；如果这些事件中有一步与规则库中存储的信息不一致，开始判断是否与攻击特征库中存储的信息相匹配，若当转变到最终状态上时都与某一攻击特征相匹配，表示当前存在攻击行为，系统监视器将发出一个攻击通告；如果与规则库及攻击特征库都不符合，发出一个可疑攻击通告。?? 　　1．2数据库结构?? 　　在数据库中，密码协议正确运行规则和已知的攻击特征用下面的形式表示：?? 　　begin××NUMtype?? 　　state1 principal (/) principal state2 msgNum ?? 　　state1 principal (/) principal state2 msgNum ?? 　　……?? 　　end?? 　　其中：begin/end表示特征在这一行开始/结束； 　　NUM表示一个数字值，暗示是否这个特征紧跟着是一个正确的协议运行或是一个攻击（NUM≥0表示特征是一个攻击特征； 　　NUM=-1表示这个特征是协议的正常运行)； 　　type为这个特征表示的攻击类型； 　　state1表示有限自动机在事件（发送或接收）开始前的状态，如SS表示开始状态，S1表示状态1； 　　state2表示有限状态自动机在事件发生后的状态，如S1表示状态1，FS表示结束状态； 　　/表示是发送/接收事件； 　　principal表示协议的参与者，用单一字母标志符表示，如A、B、S等； 　　msgNum表示协议正确运行时的消息序列号。?? 　　1．3有限自动机?? 　　用有限状态自动机表示密码协议运行规则，每一种密码协议的运行过程，用一个有限状态自动机（FSM）表示。协议执行的每一步均对应上面划分的一个事件发生，对应到自动机上即发生一个状态转变。?? 　　 　　这时系统中因攻击者Z并不是协议的有效成员，不拥有监视器终端，无论他发送或接收消息，这些信息均不能通知给系统监视器，而B却可以将与他相关的信息报告给系统监视器，即系统监视器只能收到B的两个接收事件和一个发送事件。这时有限自动机的状态转变形式与规则库中的不一致，系统监视器将这些事件特征与存储在特征库中的攻击信息对比，与中间人攻击类型一致，产生攻击警报。?? 　　 　　3系统实现?? 　　 　　该检测方法的原型系统用VC 6.0实现。在设计和开发系统时，定义了以下的假定前提：?? 　　a)协议参与者间的通信是不安全的；?? 　　b)协议参与者与监视器