返回
状态协议分析技术在nids中的实现研究 免费

状态协议分析技术在nids中的实现研究 免费

ID:15529871

大小:28.00 KB

页数:3页

时间:2018-08-03

状态协议分析技术在nids中的实现研究 免费_第1页
状态协议分析技术在nids中的实现研究 免费_第2页
状态协议分析技术在nids中的实现研究 免费_第3页
资源描述:

《状态协议分析技术在nids中的实现研究 免费》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、状态协议分析技术在NIDS中的实现研究1协议解析  (1)协议解析。  传统的网络入侵检测方法,要么不做任何协议分析(图1中A方法),要么只对TCP/IP进行分析(图1中的B方法)。基于应用的入侵检测方法(图1中的C方法)在进行TCP/IP分析后,还要对应用协议进行分析,并分别取出应用协议数据中的命令部分与数据部分,然后分别对命令进行解释和对应用数据进行模式匹配,从而对入侵检测进行检测。方法A在IP包中利用模式匹配技术盲目匹配攻击特征,很可能会将FTP的攻击特征用来匹配HTTP的包;方法B由于不能理解应用协议,只能将应用协议数据看成没有结构的比

2、特流,进行盲目地匹配。因此,随着模式与待匹配网络包的增加,传统检测方法的效率将呈线性的下降,其时间复杂度为O(n),n为模式和网络包长度的总和;而基于应用的检测系统由于采用基于协议的树形结构来分析检测,随模式的增加,其复杂度仅为O(log2n)。    (2)协议数据的上下文关联分析。  ①IP分片合并。  分片合并对网络入侵检测系统具有重要意义。有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞,例如著名的Teardrop攻击就是在短时间内发送若干成对的偏移量有重叠的IP分片,目标接收到这样的分片的时候就会合并分片,由于其偏移量的重叠而

3、发生内存错误,甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的,需要在协议分析中模拟操作系统的分片合并,以发现不合法的分片。  在分片过程中有两种树结构:不同的IP数据包生成一棵分组Splay树,称作分组树,在程序初始化部分即生成,在程序退出时消亡;每个IP数据包的所有分片生成一棵分片Splay树,称作分片树,在接收到IP数据包的第一个分片时生成,在完成分片合并或超时删除。  分组树节点主要包括IP数据包中的源IP地址字段,目的IP地址字段,标识字段和协议字段,对于同一个IP数据包的不同分片这些值相同,这四个值作为一个分组树节点

4、的关键值,即对于两个IP数据包A和B,它们的大小关系可以定义为:如果A的源IP地址大于B则A大于B;如果小于,则A小于B;如果相等,则继续比较目的IP地址、标识字段和协议字段,直到比较出大小或相等。分片树的节点主要包括偏移量字段和数据字段,其中偏移量是关键值。当IP数据包的第一个分片和最后一个分片都到达时,进行IP数据包合并。在合并的过程中如果发现偏移量不连续或重叠,则给出报警信息,放弃合并;合并后的IP数据包拷贝了所有分片的内容,与每个分片具有相同的源IP地址字段,目的IP地址字段,标识字段和协议字段,在格式上是一个不分片的IP数据包,然后上交给

5、传输层协议进行分析。  ②TCP会话重组。  一些攻击利用了TCP协议的漏洞,TCP会话劫持是其中最典型的一种。在这种攻击下,攻击者伪造具有某IP地址的数据包,发送给与该IP地址进行TCP会话通信的另一端。检测TCP会话劫持是很困难的,因为如果不和真正的通信方进行交互,几乎无法发现伪装的通信方。但是通过模拟操作系统协议栈的工作原理,对TCP会话进行处理,能够从一定程度上检测到可能的会话劫持。检测系统通过重组会话能够发现序列号错误,以及出现序列号错误后双方重新建立同步的握手信息,从而判断可能的入侵。  TCP会话重组利用了和分片合并类似的树状结构

6、。网络上存在的各个会话组织成一棵有序二叉树,每个节点包含会话双方的连接状态、序列号、一些统计信息以及必要的历史信息如上次序列号和确认序列号等。每个会话中,发自客户端和服务器端的数据包分别组织成两棵二叉树,在会话节点中包含指向这两个二叉树的根节点的指针。重组后的TCP会话记录了一次TCP会话中所有的数据包,并且记录了每个数据包到来前和到来后的TCP会话状态。  2基于状态协议分析的入侵检测实现  协议分析方法可以根据协议信息精确定位检测域,分析攻击特征,有针对性地使用详细具体的检测手段。提高了检测的全面性、准确性和效率。针对不同的异常和攻击,灵活

7、定制检测方式,由此可检测大量异常。但对于一些多步骤,分布式的复杂攻击的检测单凭单一数据包检测或简单重组是无法实现的。所以在协议分析基础上引入状态转移检测技术,下面就分析利用基于状态的协议分析技术检测一些典型入侵的实现。  根据网络协议状态信息分析,所有网络都能以状态转移形式来描述,状态转移将攻击描述成网络事件的状态和操作(匹配事件),被观测的事件如果符合有穷状态机的实例(每个实例都表示一个攻击场景),都可能引起状态转移的发生。如果状态转移到一个危害系统安全的终止状态,就代表着攻击的发生。这种方式以一种简单的方式来描述复杂的入侵场景,步式攻击。 

8、 借助声明原语来计算状态转换的条件,包括数据包和网络日志原语,如检查IP地址是否是假冒地址的原语ip_saddr_fake

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。