前言：本站為你精心整理了狀態(tài)協(xié)議技術(shù)實(shí)現(xiàn)范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：隨著人類社會(huì)生活對(duì)Internet需求的日益增長，網(wǎng)絡(luò)安全逐漸成為Internet及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展所需解決的關(guān)鍵問題。入侵檢測作為一種積極主動(dòng)防御的網(wǎng)絡(luò)技術(shù)，已經(jīng)成為網(wǎng)絡(luò)防護(hù)安全體系中的重要組成部分。首先比較了各種入侵檢測技術(shù)，提出了利用基于狀態(tài)的協(xié)議分析技術(shù)檢測多步驟等復(fù)雜攻擊的有效性，但面對(duì)高速發(fā)展的網(wǎng)絡(luò)，也提出了這種深度檢測的技術(shù)存在著的弊端。

關(guān)鍵詞：狀態(tài)協(xié)議；分析；NIDS

1協(xié)議解析

（1）協(xié)議解析。

傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法，要么不做任何協(xié)議分析（圖1中A方法），要么只對(duì)TCP/IP進(jìn)行分析（圖1中的B方法）?；趹?yīng)用的入侵檢測方法（圖1中的C方法）在進(jìn)行TCP/IP分析后，還要對(duì)應(yīng)用協(xié)議進(jìn)行分析，并分別取出應(yīng)用協(xié)議數(shù)據(jù)中的命令部分與數(shù)據(jù)部分，然后分別對(duì)命令進(jìn)行解釋和對(duì)應(yīng)用數(shù)據(jù)進(jìn)行模式匹配，從而對(duì)入侵檢測進(jìn)行檢測。方法A在IP包中利用模式匹配技術(shù)盲目匹配攻擊特征，很可能會(huì)將FTP的攻擊特征用來匹配HTTP的包；方法B由于不能理解應(yīng)用協(xié)議，只能將應(yīng)用協(xié)議數(shù)據(jù)看成沒有結(jié)構(gòu)的比特流，進(jìn)行盲目地匹配。因此，隨著模式與待匹配網(wǎng)絡(luò)包的增加，傳統(tǒng)檢測方法的效率將呈線性的下降，其時(shí)間復(fù)雜度為O（n），n為模式和網(wǎng)絡(luò)包長度的總和；而基于應(yīng)用的檢測系統(tǒng)由于采用基于協(xié)議的樹形結(jié)構(gòu)來分析檢測，隨模式的增加，其復(fù)雜度僅為O（log2n）。

（2）協(xié)議數(shù)據(jù)的上下文關(guān)聯(lián)分析。

①IP分片合并。

分片合并對(duì)網(wǎng)絡(luò)入侵檢測系統(tǒng)具有重要意義。有一些攻擊方法利用了操作系統(tǒng)協(xié)議棧中分片合并實(shí)現(xiàn)上的漏洞，例如著名的Teardrop攻擊就是在短時(shí)間內(nèi)發(fā)送若干成對(duì)的偏移量有重疊的IP分片，目標(biāo)接收到這樣的分片的時(shí)候就會(huì)合并分片，由于其偏移量的重疊而發(fā)生內(nèi)存錯(cuò)誤，甚至?xí)?dǎo)致協(xié)議棧的崩潰。這種攻擊手段單從一個(gè)數(shù)據(jù)包上是無法辨認(rèn)的，需要在協(xié)議分析中模擬操作系統(tǒng)的分片合并，以發(fā)現(xiàn)不合法的分片。

在分片過程中有兩種樹結(jié)構(gòu)：不同的IP數(shù)據(jù)包生成一棵分組Splay樹，稱作分組樹，在程序初始化部分即生成，在程序退出時(shí)消亡；每個(gè)IP數(shù)據(jù)包的所有分片生成一棵分片Splay樹，稱作分片樹，在接收到IP數(shù)據(jù)包的第一個(gè)分片時(shí)生成，在完成分片合并或超時(shí)刪除。

分組樹節(jié)點(diǎn)主要包括IP數(shù)據(jù)包中的源IP地址字段，目的IP地址字段，標(biāo)識(shí)字段和協(xié)議字段，對(duì)于同一個(gè)IP數(shù)據(jù)包的不同分片這些值相同，這四個(gè)值作為一個(gè)分組樹節(jié)點(diǎn)的關(guān)鍵值，即對(duì)于兩個(gè)IP數(shù)據(jù)包A和B，它們的大小關(guān)系可以定義為：如果A的源IP地址大于B則A大于B；如果小于，則A小于B；如果相等，則繼續(xù)比較目的IP地址、標(biāo)識(shí)字段和協(xié)議字段，直到比較出大小或相等。分片樹的節(jié)點(diǎn)主要包括偏移量字段和數(shù)據(jù)字段，其中偏移量是關(guān)鍵值。當(dāng)IP數(shù)據(jù)包的第一個(gè)分片和最后一個(gè)分片都到達(dá)時(shí)，進(jìn)行IP數(shù)據(jù)包合并。在合并的過程中如果發(fā)現(xiàn)偏移量不連續(xù)或重疊，則給出報(bào)警信息，放棄合并；合并后的IP數(shù)據(jù)包拷貝了所有分片的內(nèi)容，與每個(gè)分片具有相同的源IP地址字段，目的IP地址字段，標(biāo)識(shí)字段和協(xié)議字段，在格式上是一個(gè)不分片的IP數(shù)據(jù)包，然后上交給傳輸層協(xié)議進(jìn)行分析。

②TCP會(huì)話重組。

一些攻擊利用了TCP協(xié)議的漏洞，TCP會(huì)話劫持是其中最典型的一種。在這種攻擊下，攻擊者偽造具有某IP地址的數(shù)據(jù)包，發(fā)送給與該IP地址進(jìn)行TCP會(huì)話通信的另一端。檢測TCP會(huì)話劫持是很困難的，因?yàn)槿绻缓驼嬲耐ㄐ欧竭M(jìn)行交互，幾乎無法發(fā)現(xiàn)偽裝的通信方。但是通過模擬操作系統(tǒng)協(xié)議棧的工作原理，對(duì)TCP會(huì)話進(jìn)行處理，能夠從一定程度上檢測到可能的會(huì)話劫持。檢測系統(tǒng)通過重組會(huì)話能夠發(fā)現(xiàn)序列號(hào)錯(cuò)誤，以及出現(xiàn)序列號(hào)錯(cuò)誤后雙方重新建立同步的握手信息，從而判斷可能的入侵。

TCP會(huì)話重組利用了和分片合并類似的樹狀結(jié)構(gòu)。網(wǎng)絡(luò)上存在的各個(gè)會(huì)話組織成一棵有序二叉樹，每個(gè)節(jié)點(diǎn)包含會(huì)話雙方的連接狀態(tài)、序列號(hào)、一些統(tǒng)計(jì)信息以及必要的歷史信息如上次序列號(hào)和確認(rèn)序列號(hào)等。每個(gè)會(huì)話中，發(fā)自客戶端和服務(wù)器端的數(shù)據(jù)包分別組織成兩棵二叉樹，在會(huì)話節(jié)點(diǎn)中包含指向這兩個(gè)二叉樹的根節(jié)點(diǎn)的指針。重組后的TCP會(huì)話記錄了一次TCP會(huì)話中所有的數(shù)據(jù)包，并且記錄了每個(gè)數(shù)據(jù)包到來前和到來后的TCP會(huì)話狀態(tài)。

2基于狀態(tài)協(xié)議分析的入侵檢測實(shí)現(xiàn)

協(xié)議分析方法可以根據(jù)協(xié)議信息精確定位檢測域，分析攻擊特征，有針對(duì)性地使用詳細(xì)具體的檢測手段。提高了檢測的全面性、準(zhǔn)確性和效率。針對(duì)不同的異常和攻擊，靈活定制檢測方式，由此可檢測大量異常。但對(duì)于一些多步驟，分布式的復(fù)雜攻擊的檢測單憑單一數(shù)據(jù)包檢測或簡單重組是無法實(shí)現(xiàn)的。所以在協(xié)議分析基礎(chǔ)上引入狀態(tài)轉(zhuǎn)移檢測技術(shù)，下面就分析利用基于狀態(tài)的協(xié)議分析技術(shù)檢測一些典型入侵的實(shí)現(xiàn)。

根據(jù)網(wǎng)絡(luò)協(xié)議狀態(tài)信息分析，所有網(wǎng)絡(luò)都能以狀態(tài)轉(zhuǎn)移形式來描述，狀態(tài)轉(zhuǎn)移將攻擊描述成網(wǎng)絡(luò)事件的狀態(tài)和操作（匹配事件），被觀測的事件如果符合有窮狀態(tài)機(jī)的實(shí)例（每個(gè)實(shí)例都表示一個(gè)攻擊場景），都可能引起狀態(tài)轉(zhuǎn)移的發(fā)生。如果狀態(tài)轉(zhuǎn)移到一個(gè)危害系統(tǒng)安全的終止?fàn)顟B(tài)，就代表著攻擊的發(fā)生。這種方式以一種簡單的方式來描述復(fù)雜的入侵場景，步式攻擊。

借助聲明原語來計(jì)算狀態(tài)轉(zhuǎn)換的條件，包括數(shù)據(jù)包和網(wǎng)絡(luò)日志原語，如檢查IP地址是否是假冒地址的原語ip_saddr_fake（ip_packet），檢查包總長度選項(xiàng)中所聲明長度與實(shí)際長度是否一致的原語ip_fray_overlap（ip_packet）等等。

A：接收到IP包且分片標(biāo)記為1，轉(zhuǎn)入狀態(tài)1；B：規(guī)定的時(shí)間片中，接收到一個(gè)包的所有分片，轉(zhuǎn)入狀態(tài)2；C：比較IP包長度與包頭中聲明的包總長度，不相等則進(jìn)入狀態(tài)3。

依據(jù)上面介紹的檢測過程，利用檢查網(wǎng)絡(luò)入侵的原語提出檢測IP碎片攻擊的簡單算法：

intCheckIPfragment（receivedIPPacket）{

state=s0；

while（TRUE）

{

switch（state）

cases0：

if（ip_is_frazgment（receiveIPPacket）=TRUE）

state=s1；

cases1：

if（timer_exceed（）=FALSE&&receive_all_frag（receiveIPPacket）=TRUE）

steate=s2；

cases2：

if（ip_frag_overlap（receiveIPPacket）=FALSE；

alert（）；break；

}

return0；

}

2.1檢測TCPSynFlooding攻擊

攻擊描述：在短時(shí)間內(nèi)，攻擊者發(fā)送大量SYN報(bào)文建立TCP連接，在服務(wù)器端發(fā)送應(yīng)答包后，客戶端不發(fā)出確認(rèn)，服務(wù)器端會(huì)維持每個(gè)連接直到超時(shí)，這樣會(huì)使服務(wù)端的TCP資源迅速枯竭，導(dǎo)致正常連接不能進(jìn)入。

解決方式：當(dāng)客戶端發(fā)出的建立TCP連接的SYN包時(shí)，便跟蹤記錄此連接的狀態(tài)，直到成功完成或超時(shí)。同時(shí)統(tǒng)計(jì)在規(guī)定時(shí)間內(nèi)，接受到這種SYN包的個(gè)數(shù)超過了某個(gè)規(guī)定的臨界值，則發(fā)生TCPSynFlooding攻擊。A：檢查包的協(xié)議項(xiàng)，若該協(xié)議項(xiàng)為TCP協(xié)議，則轉(zhuǎn)入狀態(tài)1；

B：檢查TCP頭的選項(xiàng)，若flag選項(xiàng)為SYN，則轉(zhuǎn)入狀態(tài)2；

C：打開計(jì)時(shí)器和計(jì)數(shù)器，在規(guī)定時(shí)間內(nèi)，接收到這種SYN包的個(gè)數(shù)超過臨界值則發(fā)生攻擊。

2.2檢測FTP會(huì)話

一個(gè)FTP會(huì)話可以分為以下四個(gè)步驟：

(1)建立控制連接：FTP客戶端建立一個(gè)TCP連接到服務(wù)器的FTP端21；

(2)客戶身份驗(yàn)證：FTP用戶發(fā)送用戶名和口令，或用匿名登陸到服務(wù)器；

(3)執(zhí)行客戶命令：客戶向服務(wù)器發(fā)出命令，如果要求數(shù)據(jù)傳輸，則客戶使用一個(gè)臨時(shí)端口和服務(wù)器端口20建立一個(gè)數(shù)據(jù)連接進(jìn)行數(shù)據(jù)的傳輸；

(4)斷開連接：FTP會(huì)話完成后，斷開TCP連接。

客戶端通過身份驗(yàn)證后才合法執(zhí)行命令，以LIST命令為例，LIST命令列表顯示文件或目錄，將引發(fā)一個(gè)數(shù)據(jù)連接的建立和使用，客戶端使用PORT命令發(fā)送客戶IP地址和端口號(hào)給服務(wù)器用于建立臨時(shí)數(shù)據(jù)連接。

3協(xié)議分析技術(shù)在高速網(wǎng)絡(luò)下的局限性

網(wǎng)絡(luò)的速度的增長已經(jīng)大大超過了處理器的發(fā)展，所以集中的解決方案已經(jīng)到了他們的極限。特別是如果想要進(jìn)行深入地、基于狀態(tài)入侵檢測分析，這種情況就更明顯了。既然這樣，傳感器不得不在進(jìn)行中保存攻擊的信息（例如多步驟攻擊）或?qū)Π膬?nèi)容進(jìn)行應(yīng)用層的分析。這些工作都是極其耗費(fèi)資源，并且在單結(jié)點(diǎn)安裝會(huì)嚴(yán)重影響到基本數(shù)據(jù)包正常捕獲。

由于要保證與高速網(wǎng)絡(luò)同步以及網(wǎng)絡(luò)流量加密的廣泛使用給入侵檢測帶來的困難，一個(gè)普遍的觀點(diǎn)是在高速網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)入侵檢測是不具有實(shí)用性的。還有人主張?jiān)谟?jì)算機(jī)網(wǎng)絡(luò)的外圍（periphery）分布安裝傳感器，這種方式需要網(wǎng)絡(luò)負(fù)載應(yīng)該更加易于管理。盡管以上提到的兩種觀點(diǎn)都有好的方面，但在高速網(wǎng)絡(luò)交互的環(huán)境下進(jìn)行流量分析仍然是實(shí)現(xiàn)網(wǎng)絡(luò)裝置的一個(gè)基礎(chǔ)要求。一些公司盡量在研究如何滿足這一需求，很多產(chǎn)品銷售商聲稱他們擁有可以運(yùn)行在高速ATM或千兆以太網(wǎng)環(huán)境下的傳感器產(chǎn)品。例如，ISS提供了Net-ICEGigabitSentry，這個(gè)系統(tǒng)被設(shè)計(jì)來在高速網(wǎng)絡(luò)下監(jiān)控網(wǎng)絡(luò)流量。公司在產(chǎn)品廣告中宣稱系統(tǒng)可以進(jìn)行協(xié)議重組和分析不同應(yīng)用層的協(xié)議（例如HTTP，SMTP，POP）來識(shí)別惡意行為。這個(gè)工具被稱為“第一個(gè)處理千兆網(wǎng)絡(luò)流量的網(wǎng)絡(luò)入侵檢測系統(tǒng)”。然而GigaSentry在實(shí)驗(yàn)室環(huán)境下可以處理千兆網(wǎng)絡(luò)，在實(shí)際網(wǎng)絡(luò)環(huán)境中它的性能將會(huì)減弱。用戶一般期望在實(shí)際網(wǎng)絡(luò)環(huán)境的使用中工具可以處理至少300Mbps，并且可以適應(yīng)網(wǎng)絡(luò)本身特點(diǎn)。GigaSentry每秒鐘只能捕獲到不到500000個(gè)數(shù)據(jù)包。這些表明了在高速網(wǎng)絡(luò)下實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測的困難程度。產(chǎn)品在上層網(wǎng)絡(luò)（TopLayerNetworks）提供一個(gè)交換機(jī)來劃分應(yīng)用層協(xié)議會(huì)話。網(wǎng)絡(luò)流也根據(jù)這些會(huì)話進(jìn)行分組，將分組分發(fā)到各個(gè)入侵檢測傳感器，同屬于一個(gè)會(huì)話的包都發(fā)送到一個(gè)傳感器。這樣傳感器就可以在一個(gè)單獨(dú)的會(huì)話中實(shí)現(xiàn)多步驟攻擊的檢測。但是，在不同會(huì)話之間的關(guān)聯(lián)性卻不支持。這樣導(dǎo)致如果一個(gè)攻擊針對(duì)多個(gè)主機(jī)（例如pingsweep）或分布在多個(gè)會(huì)話中就無法檢測出來。

參考文獻(xiàn)

［1］薛靜鋒，寧宇鵬，閻慧.入侵檢測技術(shù)［M］.北京：機(jī)械工業(yè)出版社，2006.

［2］唐正軍.入侵檢測技術(shù)導(dǎo)論［M］.北京：機(jī)械工業(yè)出版社，2005.

［3］劉文濤.Linux網(wǎng)絡(luò)入侵檢測系統(tǒng)［M］.北京：電子工業(yè)出版社，2006.