论文天下|会计论文|管理论文|计算机论文|医药学论文|经济学论文|法学论文|社会学论文|文学论文|教育论文|理科论文|工科论文|艺术论文|哲学论文|文化论文|外语论文|格式论文
论文天下
计算机应用论文  计算机理论论文  计算机网络论文  电子商务论文  软件工程论文  操作系统论文  通信技术论文   
状态协议分析技术在NIDS中的实现研究
摘要:随着人类社会生活对internet需求的日益增长,网络安全逐渐成为internet及各项网络服务和应用进一步发展所需解决的关键问题。入侵检测作为一种积极主动防御的网络技术,已经成为网络防护安全体系中的重要组成部分。首先比较了各种入侵检测技术,提出了利用基于状态的协议分析技术检测多步骤等复杂攻击的有效性,但面对高速发展的网络,也提出了这种深度检测的技术存在着的弊端。
  关键词:状态协议;分析;nids 
  
  1协议解析
  (1)协议解析。
  传统的网络入侵检测方法,要么不做任何协议分析(图1中a方法),要么只对tp/ip进行分析(图1中的b方法)。基于应用的入侵检测方法(图1中的方法)在进行tp/ip分析后,还要对应用协议进行分析,并分别取出应用协议数据中的命令部分与数据部分,然后分别对命令进行解释和对应用数据进行模式匹配,从而对入侵检测进行检测。方法a在ip包中利用模式匹配技术盲目匹配攻击特征,很可能会将ftp的攻击特征用来匹配http的包;方法b由于不能理解应用协议,只能将应用协议数据看成没有结构的比特流,进行盲目地匹配。因此,随着模式与待匹配网络包的增加,传统检测方法的效率将呈线性的下降,其时间复杂度为(n),n为模式和网络包长度的总和;而基于应用的检测系统由于采用基于协议的树形结构来分析检测,随模式的增加,其复杂度仅为(lg2n)。
   
  (2)协议数据的上下文关联分析。
  ①ip分片合并。
  分片合并对网络入侵检测系统具有重要意义。有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞,例如著名的teardrp攻击就是在短时间内发送若干成对的偏移量有重叠的ip分片,目标接收到这样的分片的时候就会合并分片,由于其偏移量的重叠而发生内存错误,甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的,需要在协议分析中模拟操作系统的分片合并,以发现不合法的分片。
  在分片过程中有两种树结构:不同的ip数据包生成一棵分组splay树,称作分组树,在程序初始化部分即生成,在程序退出时消亡;每个ip数据包的所有分片生成一棵分片splay树,称作分片树,在接收到ip数据包的第一个分片时生成,在完成分片合并或超时删除。
  分组树节点主要包括ip数据包中的源ip地址字段,目的ip地址字段,标识字段和协议字段,对于同一个ip数据包的不同分片这些值相同,这四个值作为一个分组树节点的关键值,即对于两个ip数据包a和b,它们的大小关系可以定义为:如果a的源ip地址大于b则a大于b;如果小于,则a小于b;如果相等,则继续比较目的ip地址、标识字段和协议字段,直到比较出大小或相等。分片树的节点主要包括偏移量字段和数据字段,其中偏移量是关键值。当ip数据包的第一个分片和最后一个分片都到达时,进行ip数据包合并。在合并的过程中如果发现偏移量不连续或重叠,则给出报警信息,放弃合并;合并后的ip数据包拷贝了所有分片的内容,与每个分片具有相同的源ip地址字段,目的ip地址字段,标识字段和协议字段,在格式上是一个不分片的ip数据包,然后上交给传输层协议进行分析。
  ②tp会话重组。
  一些攻击利用了tp协议的漏洞,tp会话劫持是其中最典型的一种。在这种攻击下,攻击者伪造具有某ip地址的数据包,发送给与该ip地址进行tp会话通信的另一端。检测tp会话劫持是很困难的,因为如果不和真正的通信方进行交互,几乎无法发现伪装的通信方。但是通过模拟操作系统协议栈的工作原理,对tp会话进行处理,能够从一定程度上检测到可能的会话劫持。检测系统通过重组会话能够发现序列号错误,以及出现序列号错误后双方重新建立同步的握手信息,从而判断可能的入侵。

未完...点击下方链接下载完整文档

状态协议分析技术在NIDS中的实现研究

摘要:随着人类社会生活对internet需求的日益增长,网络安全逐渐成为internet及各项网络服务和应用进一步发展所需解决的关键问题。入侵检测作为一种积极主动防御的网络技术,已经成为网络防护安全体系中的重要组成部分。首先比较了各种入侵检测技术,提出了利
  • 上一篇:智能家居系统的设计与实现(5)
  • 下一篇:试论即时通讯工具IM的技术原理与发展
  • 计算机病毒及防范措施
    基于SOA的实验教学管理原型系统
    计算机在儿童保健系统管理中的作
    煤矿无人工作面中视频监控系统的
    电子报刊版面设计浅谈
    基于多智能体的用户偏好系统研究
    基于条码技术的库存管理系统设计
    加强基层国库业务系统应急机制建
    基于PDM技术的AGC电路设计
    关于任务驱动式教学方式在计算机
    关于电子技术应用专业课改的设想
    高速公路机电设备管理系统的研究
    基于Delphi开发平台的分布
    基于LabVIEW可视化数据采集处理
    运用PowerShell计算行×列表χ2
    浅谈基于Simulink的自动控制系
    浅析复杂网络交叠团模糊分析与
    基于CUDA的汇流分析并行算法的
    浅谈LZW算法的改进研究
    位长截取及抽取对捕获性能影响
    Modbus协议一致性测试的自动化
    基于用户访问序列挖掘的站点路
    计算机辅助数学分析教学的好处
    关于LZW算法的改进研究
    对计算机硬盘几种常见故障的简
    | 设为首页 | 加入收藏 | 联系我们 | 论文发表

    Copyright 2006-2020 © 论文天下 All rights reserved 本站所有内容均由SPider自动索引,如有侵权请联系QQ:2486851删除