返回
一种网络监控系统中的快速连接恢复方法.pdf

一种网络监控系统中的快速连接恢复方法.pdf

ID:51487681

大小:214.13 KB

页数:5页

时间:2020-03-25

一种网络监控系统中的快速连接恢复方法.pdf_第1页
一种网络监控系统中的快速连接恢复方法.pdf_第2页
一种网络监控系统中的快速连接恢复方法.pdf_第3页
一种网络监控系统中的快速连接恢复方法.pdf_第4页
一种网络监控系统中的快速连接恢复方法.pdf_第5页
资源描述:

《一种网络监控系统中的快速连接恢复方法.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、大套论文·I以·一种网络监控系统中的快速连接恢复方法摘要:关键词:一、引言查达仁荆继武林碌锵(中国科学院研究生院信息安全国家重点实验室100049)当夸网络上存在着各种各样的攻击,防不胜防。简单的基于数据包特征的检测方法已经无法应对.特别是DoS/DDoS攻击,因为其数据包都是正常的请求。采用基于连接的检测方法.能哆更好地检测此类攻击。本文提出了一种快速的连接恢复方法,该方法是将网络中的数据包恢复成多条连接记录。在连接恢复过程中,还可以加入数据包特征检测、与多种技术相结合,从而有效地达到网络监控的目的,更

2、好的保护网络系统。本文还描述了连接恢复的具体设计思想以及测试结果。DDoS网络监控系统网络数据包连接恢复在网络越来越成为人们生活中不可缺少的一部分同时,网络上的各种威胁以及攻击已经成为人们必需时时注意的问题。在众多的网络威胁之中尤以D0s/DDos攻击最难以防范,危害巨大,且容易发起。从原理来说,因为攻击一些网络通讯协议本身固有的缺陷,拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机付出很大的资源开销,因此攻击方往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特图1DDoS原理图别是DDoS攻

3、击(分布式拒绝服务攻击),通过控制多台傀儡主机策划进攻,更增强了攻击的破坏性。对于抵抗此类攻击,无论是现有的入侵检测还是众多的防火墙技术,都需要对于攻击的方式以及特征有清楚的认识。对于入侵检测系统,在DoS/DDoS攻击发生的时候,对于数据源的收集过程本身便极易被DoS/DDoS攻击。可见入侵检测系统对于DoS/DDoS攻击需要其他手段的辅助。对于防火墙技术,无论是基于包过滤的机制还是应用代理都无法进行有效的防范。,对于DoS/I)DoS攻击越来越严峻的现状,研究人员提出了应对DoS/DDoS攻击的方法[

4、1】:在人们熟知的防火墙、IDS、VPN甚至杀毒软件中,增加了预防DoS/DDoS攻击的技术,设置如RandomDrop、带宽限制等等的防护算法o;还有的解决方法是让IDS与防火墙联动,在IDS通过旁路检测到DoS攻击后,立即给防火墙发布指令,抛弃无效的连接或半连接。这些方法之中无一例外的需要网络数据源中的连接信息。而现有的很多抵抗DoS/DDoS的设备和系统都是基于网络连接的,如Bro系统。在863项目“安全网关技术”的支持下,我们提出了一种检测和防御DoS/DDoS的方法【封,此检测方法也是基于网络连

5、接的,需要实现一种网络连接恢复方法。·ID4·第二十一次全国计算机安全学术交流会论文在DoS/DDoS发生时,会有大量的数据、大量的网络连接,需要快速的实现方案,才能够适应高速网络。本文实现了一种网络监控系统中的快速连接恢复的方法,在数据流量很大的网络状况之下,作为一个纪录网络连接的手段,为进一步的数据处理以及使用数据挖掘技术提取攻击特征等等提供原始准确的数据。二、网络监控系统中的快速连接恢复方法1.系统概述总体设计流程如2图所示。图2总体流程图系统所完成功能是于应用层对各层的数据包(包括IP、TCP、U

6、DP层)进行连接恢复,也就是在应用层重现完整的协议栈行为;即,针对每个以太网的数据包,先将其恢复成IP数据包,然后再恢复成TCP/UDP/ICMP数据包i”ATl,得到重组后的连接。为此必须充分考虑网络的复杂情况,要使数据包尽可能快的通过并且连接成记录。2.系统核。技术夼绍系统在windows环境之下实现,采用多线程处理。各关键线程介绍如下:(1)Capture抓包线程该线程直接使用Winpeap开发工具抓包。实际网络中的数据包数量庞大,协议多样化,这个线程的任务即是收集到所有的IP数据包,并把将其提交给

7、Process程序处理。(2)Process数据处理线程这个线程是连接恢复的主要操作,处理的数据来自Capture线程中所取得的数据。流程图见3。}网匝习『筻鼍娅乎审国smm际去:/日mm『磊;盖。f≤彰≮厂、人:=竺j图3数据处理线程的程序流程以及对应数据流程主要操作过程如下:首先进人临界区,接着调用了NextPacket函数,该函数是定义在CSessions类中,Csessions类处理全部的连接恢复,包括IP分片重组,传输层连接恢复,应用层连接恢复,并生成CFluxMeta。会话类CSessions

8、完成的功能就是分片重组、连接恢复、异常报告、流量报告。CSessions类维护如下队列:tcp,udp,icmp连接队列;ip分片重组器队列;应用层连接队列。对以太网帧的操作首先是进行以太网帧的处理,先对以太网帧头的协议域进行匹配,只匹配IP包(留待扩展中的可以匹配linux网关发送的控制包)。当对IP头部作一次长度检查后,进入NextlpPacket函数。,NextIpPacket函数处理一个IPv4数据包,首先在做过IP校

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。