状态协议分析技术在NIDS中的实现研究.docx

编号：_______________
本资料为word版本，可以直接编辑和打印，感谢您的下载
状态协议分析技术在NIDS中的实现研究

甲 方：___________________
乙 方：___________________
日 期：___________________
说明：本合同资料适用于约定双方经过谈判、协商而共同承认、共同遵守的责任与义务，同时阐述确定的时间内达成约定的承诺结果。文档可直接下载或修改，使用时请详细阅读内容。
实现研究
摘要：随着人类社会生活对 Internet 需求的日益增长，网络安全逐渐成为 Internet及各项网络服务和应用进一步发 展所需解决的关键问题。入侵检测作为一种 积极主动防御的网络技术，已经成为网络防 护安全体系中的重要组成部分。首先比较了 各种入侵检测技术，提出了利用基于状态的 协议分析技术检测多步骤等复杂攻击的有 效性，但面对高速发展的网络，也提出了这 种深度检测的技术存在着的弊端。
关键词：状态协议；分析；NIDS
1协议解析
协议解析。
传统的网络入侵检测方法， 要么不做任
何协议分析，要么只对 TCP/IP进行分析。 基于应用的入侵检测方法在进行 TCP/IP分
析后，还要对应用协议进行分析，并分别取 出应用协议数据中的命令部分与数据部分，
然后分别对命令进行解释和对应用数据进 行模式匹配，从而对入侵检测进行检测。方 法A在IP
包中利用模式匹配技术盲目匹配 攻击特征，很可能会将FTP的攻击特征用来 匹配HTTP的包；方法B由于不能理解应用 协议，只能将应用协议数据看成没有结构的 比特流，进行盲目地匹配。因此，随着模式 与待匹配网络包的增加， 传统检测方法的效 率将呈线性的下降，其时间复杂度为 O, n
为模式和网络包长度的总和； 而基于应用的
检测系统由于采用基于协议的树形结构来 分析检测，随模式的增加，其复杂度仅为 O
协议数据的上下文关联分析。
①IP分片合并。
分片合并对网络入侵检测系统具有重
要意义。有一些攻击方法利用了操作系统协 议栈中分片合并实现上的漏洞， 例如着名的
Teardrop攻击就是在短时间内发送若干成 对的偏移量有重叠的IP分片，目标接收到 这样的分片的时候就会合并分片，由于其偏
移量的重叠而发生内存错误， 甚至会导致协
议栈的崩溃。这种攻击手段单从一个数据包 上是无法辨认的，需要在协议分析中模拟操 作系统的分片合并，以发现不合法的分片。
在分片过程中有两种树结构： 不同的IP 数据包生成一棵分组 Splay树，称作分组树， 在程序初始化部分即生成， 在程序退出时消
亡；每个IP数据包的所有分片生成一棵分 片Splay树，称作分片树，在接收到IP数 据包的第一个分片时生成，在完成分片合并 或超时删除。
分组树节点主要包括IP数据包中的源 IP地址字段，目的IP地址字段，标识字段 和协议字段，对于同一个IP数据包的不同 分片这些值相同，这四个值作为一个分组树 节点的关键值，即对于两个IP数据包A和B, 它们的大小关系可以定义为： 如果A的源IP 地址大于B则A大于B;如果小于，贝U A小 于B;如果相等，则继续比较目的 IP地址、
标识字段和协议字段， 直到比较出大小或相 等。分片树的节点主要包括偏移量字段和数
据字段，其中偏移量是关键值。当 IP数据
包的第一个分片和最后一个分片都到达时， 进行IP数据包合并。在合并的过程中如果 发现偏移量不连续或重叠， 则给出报警信息，
放弃合并；合并后的IP数据包拷贝了所有 分片的内容，与每个分片具有相同的源 IP
地址字段，目的IP地址字段，标识字段和 协议字段，在格式上是一个不分片的 IP数
据包，然后上交给传输层协议进行分析。
②TCP会话重组。
一些攻击利用了 TCP协议的漏洞，TCP 会话劫持是其中最典型的一种。在这种攻击 下，攻击者伪造具有某IP地址的数据包， 发送给与该IP地址进行TCP会话通信的另 一端。检测TCP会话劫持是很困难的，因为 如果不和真正的通信方进行交互，几乎无法 发现伪装的通信方。但是通过模拟操作系统 协议栈的工作原理，对 TCP会话进行处理， 能够从一定程度上检测到可能的会话劫持。 检测系统通过重组会话能够发现序列号错 误，以及出现序列号错误后双方重新建立同 步的握手信息，从而判断可能的入侵。
TCP会话重组利用了和分片合并类似的 树状结构。网络上存在的各个会话组织成一 棵有序二叉树，每个节点包含会话双方的连 接状态、序列号、一些统计信息以及必要的 历史信息如上次序列号和确认序列号