返回
突破网络入侵检测系统的攻击技术研究

突破网络入侵检测系统的攻击技术研究

ID:34476030

大小:263.10 KB

页数:7页

时间:2019-03-06

突破网络入侵检测系统的攻击技术研究_第1页
突破网络入侵检测系统的攻击技术研究_第2页
突破网络入侵检测系统的攻击技术研究_第3页
突破网络入侵检测系统的攻击技术研究_第4页
突破网络入侵检测系统的攻击技术研究_第5页
资源描述:

《突破网络入侵检测系统的攻击技术研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、汪生等:突破网络入侵检测系统的攻击技术研究———————————————————_———————————————————————————————————————————一一突破网络入侵检测系统的攻击技术研究汪生孙乐昌(解放军电子工程学院)摘要集网络情报侦察、特征数据挖掘、漏洞智能匹配于一体的自动攻击技术代表了战略网络战网络攻击研究的主流方向。然而,由于目标平台运用了网络入侵检测系统,致使网络攻击和入侵在很大程度上只停留在非军事化区域(DMZ,DemilitarizedZone),难以进八目标系统的内部。论文在深入研究入侵检测技术

2、的基础上,提出并实现了三种突破其安全防护的攻击技术,藉此为战略网络战纵深网络攻击研究探索思路。关键词网络入侵检测特征检测网络攻击基于主动防御理论的网络入侵检测系统(NIDS),具有审计系统配置、检测敏感数据完整性、识别并统计攻击事件、运用诱骗陷阱系统(Honeypot或Honeynet)进行攻击验证等功能,使得管理员可以有效地监视、审计、评估目标系统的安全。但是,安全是相对而言的,随着新漏洞的出现和网络应用服务的升级,安全状况不断地动态改变;更重要的是网络入侵检测系统自身存在着检测能力十分有限,检测技术扩展性不好,事件响应耗费资

3、源众多,检测技术标准不统一,不能防范组播通信协议中恶意成员的破坏等不利因素,这造成了其存在被攻击的可能,本文在深入研究人侵检测技术的基础上,提出并实现了三种突破其安全防护的攻击技术,藉此为战略网络战纵深网络攻击研究探索思路。1.NIDS的局限性几乎全部NIDS在安全实践中都会遇到两个问题:一是正常的网络访问会出现许多错误的告警,即误报问题;二是经常有攻击者可以避开N1DS的检测或者使N1DS失效,即漏报问题。这些现象是由NIDS存在的固有局限造成的。1.1交换式网络环境交换式网络环境(如lOOmbps以及千兆位以太交换机),使N

4、IDS的探测器(sensol‘)监视所有的数据包几乎不可能。虽然许多交换机都有一个监控端口(spanningport)用以连接网络分析设备,NIDS也可以采用这种方式来监听,但由于该端口的速度比交换机的主板速度慢很多,当出现高负荷时NIDS就会丢失一部分数据包,这严重影响了检测的可靠性。I.2资源局限性资源局限性主要体现在:网络负载流量、TCP连接状态信息和长时间的信息存储。网络负载流量。当NIDS满负荷时,其正常功能将很难保持,而实际网络环境的传输流量常为大多数NIDS产品所不能企及。TCP连接状态信息。NIDS必须保存所监控

5、的TCP连接状态信息,这需要大量内存资源,而一些攻击躲避技术使这种状况进一步恶化,常常造成TCP连接关闭后还有大量虚假连接存在。其它类似的状态信息还有IP碎片和ARP表等。~919—中囤电子学会电子对抗分会第}‘j届学术年会论文集——————————————————————————————————————————————————————————————————————————————一一长时间的信息存储。一个经典的例子就是“缓慢扫描”,当我们用非常缓慢的扫描系统进行扫描时,NII)S将因为长时间存储大量的扫描信息而降低数据匹配以

6、及攻击识别的效能,2.NIDS检测技术运用情况分析N1DS系统判断网络行为是否非正常通常采用两种方法:基于概率统计方法和神经网络理论的异常检测,以及基于模型推理、状态转换分析和特征检测的误用检测。概率统计方法存在的不足是统计检测对事件发生的次序不敏感,定义衡量入侵的阈值比较困难;神经网络方法目前在理论和应用上还有待完善,主要是网络拓扑结构和各元素的权值难以确定;模型推理存在决策器翻译脚本的效率问题;状态转换方法对与系统状态无关的入侵无能为力。特征检测是根据已有知识库的知识,对网络数据流进行匹配分析,当其中某个或某部分条件满足时,

7、系统就判定有入侵行为发生。由于计算机程序对单纯的匹配比较容易实现,因而特征检测也就成了今天众多入侵检测系统的基本实现手段。一般地,异常检测理论因其技术复杂性,目前主要是各学术机构的研究热点,基于特征匹配的误用检测技术是主流NIDS产品采用的技术规范,因此本文下面的讨论将紧扣这些实际情况。2.1特征的分类对数据包或数据流的分析是通过验证多条规则来实现的,规则是一个或多个入侵特:.旺的具体描述。由规则描述的入侵特征可分为以下两类:一个是协议特征。由于协议的公开性和确定性,因此检测一般比较容易,可以排他性地确定一个数据包使用的协议类型

8、。如检测IP数据包,规则只要检查数据包的Protocol字段是否为6就可以确定。另一个是特定“字符串”的组合。这类特征与特定网络攻击相关,一个数据包存在这样的“字符串”并不能说明有攻击发生,但它“有嫌疑”,需要结合其它特征来进一步确定。2.2特征检测的技术实现实

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。