状态协议分析技术在ｎｉｄｓ中的实现研究论文

《状态协议分析技术在ｎｉｄｓ中的实现研究论文》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、状态协议分析技术在ＮＩＤＳ中的实现研究论文.freelent（receivedIPPacket）{state=s0；ent（receiveIPPacket）=TRUE）state=s1；cases1：if（timer_exceed（）=FALSEreceive_all_frag（receiveIPPacket）=TRUE）steate=s2；cases2：if（ip_frag_overlap（receiveIPPacket）=FALSE；alert（）；break；}return0；}

2、2.1检测TCPSynFlooding攻击攻击描述：在短时间内，攻击者发送大量SYN报文建立TCP连接，在服务器端发送应答包后，客户端不发出确认，服务器端会维持每个连接直到超时，这样会使服务端的TCP资源迅速枯竭，导致正常连接不能进入。解决方式：当客户端发出的建立TCP连接的SYN包时，便跟踪记录此连接的状态，直到成功完成或超时。同时统计在规定时间内，接受到这种SYN包的个数超过了某个规定的临界值，则发生TCPSynFlooding攻击。A：检查包的协议项，若该协议项为TCP协议，则转入状态1；B：检查T

3、CP头的选项，若flag选项为SYN，则转入状态2；C：打开计时器和计数器，在规定时间内，接收到这种SYN包的个数超过临界值则发生攻击。2.2检测FTP会话一个FTP会话可以分为以下四个步骤：(1)建立控制连接：FTP客户端建立一个TCP连接到服务器的FTP端21；(2)客户身份验证：FTP用户发送用户名和口令，或用匿名登陆到服务器；(3)执行客户命令：客户向服务器发出命令，如果要求数据传输，则客户使用一个临时端口和服务器端口20建立一个数据连接进行数据的传输；(4)断开连接：FTP会话完成后，断开TCP

4、连接。客户端通过身份验证后才合法执行命令，以LIST命令为例，LIST命令列表显示文件或目录，将引发一个数据连接的建立和使用，客户端使用PORT命令发送客户IP地址和端口号给服务器用于建立临时数据连接。3协议分析技术在高速网络下的局限性网络的速度的增长已经大大超过了处理器的发展，所以集中的解决方案已经到了他们的极限。特别是如果想要进行深入地、基于状态入侵检测分析，这种情况就更明显了。既然这样，传感器不得不在进行中保存攻击的信息（例如多步骤攻击）或对包的内容进行应用层的分析。这些工作都是极其耗费资源，并且在

5、单结点安装会严重影响到基本数据包正常捕获。由于要保证与高速网络同步以及网络流量加密的广泛使用给入侵检测带来的困难，一个普遍的观点是在高速网络环境下网络入侵检测是不具有实用性的。还有人主张在计算机网络的外围（periphery）分布安装传感器，这种方式需要网络负载应该更加易于管理。尽管以上提到的两种观点都有好的方面，但在高速网络交互的环境下进行流量分析仍然是实现网络装置的一个基础要求。一些公司尽量在研究如何满足这一需求，很多产品销售商声称他们拥有可以运行在高速ATM或千兆以太网环境下的传感器产品。例如，ISS提

6、供了Net-ICEGigabitSentry，这个系统被设计来在高速网络下监控网络流量。公司在产品广告中宣称系统可以进行协议重组和分析不同应用层的协议（例如HTTP，SMTP，POP）来识别恶意行为。这个工具被称为“第一个处理千兆网络流量的网络入侵检测系统”。然而GigaSentry在实验室环境下可以处理千兆网络，在实际网络环境中它的性能将会减弱。用户一般期望在实际网络环境的使用中工具可以处理至少300Mbps，并且可以适应网络本身特点。GigaSentry每秒钟只能捕获到不到500000个数据包。这些表明了在

7、高速网络下实现网络入侵检测的困难程度。产品在上层网络（TopLayerNet］.北京：机械工业出版社，2006.［2］唐正军.入侵检测技术导论［M］.北京：机械工业出版社，2005.［3］刘文涛.Linux网络入侵检测系统［M］.北京：电子工业出版社，2006.