基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不会受 到 I S躲避技 术的欺骗。当 T P I D C /P协议状态检测后,
但建立正常模 型困难 ,存在误检率高 和管理复杂的缺点 ’ 。异
数 据处 理模 块将解 析 出的特 征与 已知的攻击 特 征进 行匹配 ,
根据 匹配结果来判断 “ 入侵行为” 。如发现 入侵行为,则及时
件模 式相 匹配时就报警。它适合 于已知使 用模 式的检 测,只
能检 测到 已知的入侵 方式 l 用检测代 表性 的检测方 法是 。误 模 式匹配算 法。
分类,可以被分为基于网络 ,基 于主机和基于应用 三类 ;根据 检测原 理来 分类,可以被分为异 常检测 和误用检 测两类 ;根 据体系结构来分类可 以被分为集 中式 、等级式 和协 作式三类 。
12基 于网络入侵检测常用 的检测方法 .
入侵检 测系统 比较 常见 的检测方 法有误 用检测 和异常检
0引 言
分布式拒绝服务 ( Do ) D S 是一种破坏性大、防范 困难的攻击 形式 。2 1 0 2年,云端平 台 A a i k ma 针对互联 网发展状况作出调
查, 报告 中指出,由于互联 网应用频繁,过去三年来分布式 拒绝 服务 ( D S 攻击越来越严重, 量上升了 2 0 %。据调查 显示, D o) 数 00
基金 项 目:湖南省教育厅项 目资助 [ C0 5] 1 7 8、湖南省教育厅项目资助 [4 2 2、湖南理 工学院校 级大学生研究性学习和创新性 实验计 划项 目 0 0 C 7]
【 KYL 0 13 XS X2 10 ]
作 者简介: 方欣 ( 9 1 ) 17一 ,男,湖南,讲师,硕士,主要研 究方向 : 计算机 网络、信息安全 ; 万扬 ( 9 0 ) 10 一 ,男,湖南,本科,主要研 究方向: 计算机网络 、信息安全 ; 文霞 ( 9 1 ) 19 - ,女,湖南,本科,主要研究方向 : 计算机网络 、信息安全 ; 郭彩云 ( 9 1 ) 19一 ,女,湖南,本科,主要研
D S 击 以其 实施 容 易 ,破 坏 力度 大,检测 困难 等特 点 而成 为网络 攻击检 测 与防御 的 重 中之 重 。近年 来 , Do 攻
针 对 网络 流量相 关性 的 D o 攻 击检测 方法层 出不 穷 ,文章在 分析 D S 击检 测 方法的基 础上 ,利用基 于 DS Do 攻
击行为。
入侵检 测系统基本 功能是 : 视 、分 析用户及 系统活动; 监 发现入侵企 图或异常现象 ; 记录、报警和响应。人侵检测系统
工作流程如 图 2所示 。
— 厂
— — —
—
数
数
数
事
据 捕
— 厂
— — —
获
据 过
滤
据 分
析
件 响
基 于协议分 析技术 的入侵 检测 系统 首先根 据 网络流量 , 截获 网络 数据包 ;然后通wenku.baidu.com过协议分析来检 测入侵,其基 本模
许多拥有较高 网络安全技术水平的网站如 Y h o a o 、韩国国防部 、美 国特情局等都 曾遭到过 D o 攻击 。因此 ,如何快 速高效地 DS
检测 出 D S攻击已成为信息安全研究 的热点。由于 D o Do D S攻击可以伪造源地址或 目标地址 ,因而具有极大的隐蔽性 ,对其 检测
有一定 的难度,本文采用协议分析技 术,借助入侵检测系统 R — S 对 D o 攻击进行了检测研究。 GI , D DS
异常检测首先建立一个 的正常活 动模 型,然后用这个模型 对系统和用户的实际活动进行审计,看是否会对系统构成威胁。 异常检测 的优点 是通用性强 ,能一定程 度上检测出未 知攻击,
将 分析结果送 到响应模 块,由响应模 块 向控制 台产生告 警信 息 ,同时将重要的数据保存起来 。
用户可以通过用户界面与控制台交 互,通过控制台,—方
究方向 : 计算机 网络、信息安全。
21 年第0 期 02 4
略的行为 和遭到攻击 的迹象。进行入侵检测 的软件和硬件 的
包特定字段 来判定数 据包 的类 型,然后进行模 式匹配时数据 包 只和指定类 型的规则进 行匹配,这样大 大减少了所需 匹配 的规 则数 目和 长度,有 效 的提高了检测 速度与检 测效率 。2 )
a l sstc n o y— s dne o ki tu indee to y tm g is nay i h olg ba e t r nr so tci ns se a an tDDO e e r h e w S r s ac . K e r s itu in ee to p o o o n l i; y wo d : n r so d tcin; r t c 1 ayss DDoS a
1 入侵检测基础
11入侵检测 的定义 .
入侵 是指在没有授权的情况下,进行 的可能危及计算机资源完整性、机密性或可用性的行为。入侵检测是指对 入侵行为的检 测。它通过从计算 机网络或 系统 中的若干关键点收集信息,并对这些信息进行分析,从而发现 网络或系统 中是否有违 反安全策
●
收 稿 时 间 : 0 1 1— 3 2 1— 2 2
应
型如 图 3所示。该模 型从 逻辑上可分为数 据采集 、数 据分析
图2 入 侵 检 测 系统 工 作 流 程
和显示 结果 三部 分,符合 CD I F的规范 。
网 络数 据源
入侵检测 系统 的分类 标准有 很多,比较常见是根据 信息
源、根据检 测原理 以及根据 体系结构来 分类。根据 信息源来
F ANG n W AN a g W E Xi, Xi。 Yn , N a GUO i u Ca— n y
( n n ntue f c n e n c n l yY ea gh n n 1 0 6 hn ) Hu a si t o S i c dT h oo ,uy n a 4 0 , i I t e a e g u 4 C a
事件 产 生 器 事件 分 析 器
协议分析技术 中的命令 解析 器使 用的命 令解析技 术可以对各
种上层协议 进行解析 ,对每一个用户命令作出详细 的分析,还
可以通 过 I P分片重组等手段 来判 断一些欺骗性复杂攻击。
响应
事 件 数据 库
响 应 单元
回
2基于协议分析技术的入侵检 测系统基本原理
c mpe , ewok sc r y f e l tc n tg ln x o e eo vo sso to n sa dwe k ess cn o lx n t r eu i , rwale h oo y ao ee p s dt b iu h r mig n a n se , a t i h c
n t e rs l e o s c r eb c o r r b e c n n ts p t e itma e r  ̄ c s I r en mb ro o e ov d t e u e t a k d o o lm, a o t h n e 1 t k a a k . n a l g u e f b h p o n wo a
组合就是人侵检 测系统 , 简称 I SIt s nD tc o yt 。 D ( r i eet n s m) nu o i S e
通用人侵检测框架 ( o C mmo nr s nD tc o rm w r ) nIt i eet nF a e 0k uo i 如图 1 所示 。
测两种。
图3 基于协议分析的I 总体框架 DS
数 据采集模 块负责从 网络上收集 原始 的网络数 据流,这
些 数据 经过预 处理 后,被送 到数 据处理 模块 进行 特征解 析,
误 用检测是 对 已知的攻击或入侵 的方式做 出确定性 的描 述 ,形成相 应的事件 模式 。当被 审计 的事 件与 已知的入侵事
( 南理 工学院 ,湖 南岳 阳 4 4 0 ) 湖 10 6
摘 要 :随 着网络技 术的发展 , 网络环 境 变得越 来越 复杂 ,对网络安全 来说 ,单纯的 防火墙技 术暴露 出
明显的不足 和弱点 ,包括 无法解 决安全后 门问题 ,不 能阻止 网络 内部攻击等 问题 。在众 多的 网络安 全威 胁 中,
面可以对各个模块进行配 置,另—方面也可以接收告警信息。
21协议 分 析基 本 流 程 .
1 )预 处 理。R I S的传感 器 捕 获数 据 包 后,将 数 据 G— D 送 到 T P I ,采用状 态追踪技术 ,在 I C /P层 P分片重组 、排序 、 T P流重组 的基础上,记录和保持 S sin的发起 、建立和结 C es o 束 等状态 ,同时 记录序列号并 进行协议状 态检测分析 ,确保
协议分析技 术的 网络入 侵检测 系统对 DDo S进 行研 究。
关 键词 :入侵检 测 ;协议 分析 ;D o DS 中图分类号 :T 330 文献标识码 :A 文章编号:17 — 12( 02) 4 0 3 —3 P9. 8 6 1 12 2 1 0 —0 6 0
DD o t c s d o o o o SAta ksBa e n Pr t c l Ana y i fNe wo k nt uso l sso t r I r i n De e to se s a c t ci n Sy t m Re e r h
2 1年 第 0 期 02 4
■ d i 03 6  ̄i n 6 11 2 0 20 1 o 1 9 9 s 7 -1 2 2 1 4 0 0 s 1
基于协 议分析 技术的 网络入侵 检测 系统 中 DDo 击的方法研 究 S攻
方欣 ,万扬 ,文霞 ,郭彩云 -
A bs r c :W ih t v l pm e t r e h l y tat t he de e o ntofne wo k t c no og .new o k e io t r nv r nm e tb c n e om e ic e sn y s n r a i gl
基 于协议分析技术 的入侵检 测系统基 本思路是 将从 网上
图1 DF CI 模型结构 图
捕 获的数据 包按 T PI 据传 输的反向顺 序逐个将各层的首 C/ P数
部 中的关 键字段解 析 出来 】 ,然后根 据各层 头部的关键 字段 来 区分出是何种 协议 , 由各层首部 中的特殊字段 ( 如标 识字段 ) 来 确定 应该是 何种协议 ,再 以此 协议特征 进行分析来确定攻
ne ok e u iy tr as DDoS isi w t r s c rt h e t. t mplm e tto se s o u dem ie e o t o d tci n d ̄ c te nm a i e nai n i a y t n r n f rst ee to i ul si kng i i e o t o k a c ee to n p e n in a tp pro t.I e e ty a s n nde ss e m e ok tb c me anew r aa k d tcin a d r ve to o i r y n r c n e r,a e ls f a ofn t r i w ta cd tci no o R c s i h n lssofteDD o ta k ee t eh dba e n teus fp o o o r f ee to fDD S a a k .nt ea ay i i h S at c d tci m t o s do h eo r t c 1 on
但建立正常模 型困难 ,存在误检率高 和管理复杂的缺点 ’ 。异
数 据处 理模 块将解 析 出的特 征与 已知的攻击 特 征进 行匹配 ,
根据 匹配结果来判断 “ 入侵行为” 。如发现 入侵行为,则及时
件模 式相 匹配时就报警。它适合 于已知使 用模 式的检 测,只
能检 测到 已知的入侵 方式 l 用检测代 表性 的检测方 法是 。误 模 式匹配算 法。
分类,可以被分为基于网络 ,基 于主机和基于应用 三类 ;根据 检测原 理来 分类,可以被分为异 常检测 和误用检 测两类 ;根 据体系结构来分类可 以被分为集 中式 、等级式 和协 作式三类 。
12基 于网络入侵检测常用 的检测方法 .
入侵检 测系统 比较 常见 的检测方 法有误 用检测 和异常检
0引 言
分布式拒绝服务 ( Do ) D S 是一种破坏性大、防范 困难的攻击 形式 。2 1 0 2年,云端平 台 A a i k ma 针对互联 网发展状况作出调
查, 报告 中指出,由于互联 网应用频繁,过去三年来分布式 拒绝 服务 ( D S 攻击越来越严重, 量上升了 2 0 %。据调查 显示, D o) 数 00
基金 项 目:湖南省教育厅项 目资助 [ C0 5] 1 7 8、湖南省教育厅项目资助 [4 2 2、湖南理 工学院校 级大学生研究性学习和创新性 实验计 划项 目 0 0 C 7]
【 KYL 0 13 XS X2 10 ]
作 者简介: 方欣 ( 9 1 ) 17一 ,男,湖南,讲师,硕士,主要研 究方向 : 计算机 网络、信息安全 ; 万扬 ( 9 0 ) 10 一 ,男,湖南,本科,主要研 究方向: 计算机网络 、信息安全 ; 文霞 ( 9 1 ) 19 - ,女,湖南,本科,主要研究方向 : 计算机网络 、信息安全 ; 郭彩云 ( 9 1 ) 19一 ,女,湖南,本科,主要研
D S 击 以其 实施 容 易 ,破 坏 力度 大,检测 困难 等特 点 而成 为网络 攻击检 测 与防御 的 重 中之 重 。近年 来 , Do 攻
针 对 网络 流量相 关性 的 D o 攻 击检测 方法层 出不 穷 ,文章在 分析 D S 击检 测 方法的基 础上 ,利用基 于 DS Do 攻
击行为。
入侵检 测系统基本 功能是 : 视 、分 析用户及 系统活动; 监 发现入侵企 图或异常现象 ; 记录、报警和响应。人侵检测系统
工作流程如 图 2所示 。
— 厂
— — —
—
数
数
数
事
据 捕
— 厂
— — —
获
据 过
滤
据 分
析
件 响
基 于协议分 析技术 的入侵 检测 系统 首先根 据 网络流量 , 截获 网络 数据包 ;然后通wenku.baidu.com过协议分析来检 测入侵,其基 本模
许多拥有较高 网络安全技术水平的网站如 Y h o a o 、韩国国防部 、美 国特情局等都 曾遭到过 D o 攻击 。因此 ,如何快 速高效地 DS
检测 出 D S攻击已成为信息安全研究 的热点。由于 D o Do D S攻击可以伪造源地址或 目标地址 ,因而具有极大的隐蔽性 ,对其 检测
有一定 的难度,本文采用协议分析技 术,借助入侵检测系统 R — S 对 D o 攻击进行了检测研究。 GI , D DS
异常检测首先建立一个 的正常活 动模 型,然后用这个模型 对系统和用户的实际活动进行审计,看是否会对系统构成威胁。 异常检测 的优点 是通用性强 ,能一定程 度上检测出未 知攻击,
将 分析结果送 到响应模 块,由响应模 块 向控制 台产生告 警信 息 ,同时将重要的数据保存起来 。
用户可以通过用户界面与控制台交 互,通过控制台,—方
究方向 : 计算机 网络、信息安全。
21 年第0 期 02 4
略的行为 和遭到攻击 的迹象。进行入侵检测 的软件和硬件 的
包特定字段 来判定数 据包 的类 型,然后进行模 式匹配时数据 包 只和指定类 型的规则进 行匹配,这样大 大减少了所需 匹配 的规 则数 目和 长度,有 效 的提高了检测 速度与检 测效率 。2 )
a l sstc n o y— s dne o ki tu indee to y tm g is nay i h olg ba e t r nr so tci ns se a an tDDO e e r h e w S r s ac . K e r s itu in ee to p o o o n l i; y wo d : n r so d tcin; r t c 1 ayss DDoS a
1 入侵检测基础
11入侵检测 的定义 .
入侵 是指在没有授权的情况下,进行 的可能危及计算机资源完整性、机密性或可用性的行为。入侵检测是指对 入侵行为的检 测。它通过从计算 机网络或 系统 中的若干关键点收集信息,并对这些信息进行分析,从而发现 网络或系统 中是否有违 反安全策
●
收 稿 时 间 : 0 1 1— 3 2 1— 2 2
应
型如 图 3所示。该模 型从 逻辑上可分为数 据采集 、数 据分析
图2 入 侵 检 测 系统 工 作 流 程
和显示 结果 三部 分,符合 CD I F的规范 。
网 络数 据源
入侵检测 系统 的分类 标准有 很多,比较常见是根据 信息
源、根据检 测原理 以及根据 体系结构来 分类。根据 信息源来
F ANG n W AN a g W E Xi, Xi。 Yn , N a GUO i u Ca— n y
( n n ntue f c n e n c n l yY ea gh n n 1 0 6 hn ) Hu a si t o S i c dT h oo ,uy n a 4 0 , i I t e a e g u 4 C a
事件 产 生 器 事件 分 析 器
协议分析技术 中的命令 解析 器使 用的命 令解析技 术可以对各
种上层协议 进行解析 ,对每一个用户命令作出详细 的分析,还
可以通 过 I P分片重组等手段 来判 断一些欺骗性复杂攻击。
响应
事 件 数据 库
响 应 单元
回
2基于协议分析技术的入侵检 测系统基本原理
c mpe , ewok sc r y f e l tc n tg ln x o e eo vo sso to n sa dwe k ess cn o lx n t r eu i , rwale h oo y ao ee p s dt b iu h r mig n a n se , a t i h c
n t e rs l e o s c r eb c o r r b e c n n ts p t e itma e r  ̄ c s I r en mb ro o e ov d t e u e t a k d o o lm, a o t h n e 1 t k a a k . n a l g u e f b h p o n wo a
组合就是人侵检 测系统 , 简称 I SIt s nD tc o yt 。 D ( r i eet n s m) nu o i S e
通用人侵检测框架 ( o C mmo nr s nD tc o rm w r ) nIt i eet nF a e 0k uo i 如图 1 所示 。
测两种。
图3 基于协议分析的I 总体框架 DS
数 据采集模 块负责从 网络上收集 原始 的网络数 据流,这
些 数据 经过预 处理 后,被送 到数 据处理 模块 进行 特征解 析,
误 用检测是 对 已知的攻击或入侵 的方式做 出确定性 的描 述 ,形成相 应的事件 模式 。当被 审计 的事 件与 已知的入侵事
( 南理 工学院 ,湖 南岳 阳 4 4 0 ) 湖 10 6
摘 要 :随 着网络技 术的发展 , 网络环 境 变得越 来越 复杂 ,对网络安全 来说 ,单纯的 防火墙技 术暴露 出
明显的不足 和弱点 ,包括 无法解 决安全后 门问题 ,不 能阻止 网络 内部攻击等 问题 。在众 多的 网络安 全威 胁 中,
面可以对各个模块进行配 置,另—方面也可以接收告警信息。
21协议 分 析基 本 流 程 .
1 )预 处 理。R I S的传感 器 捕 获数 据 包 后,将 数 据 G— D 送 到 T P I ,采用状 态追踪技术 ,在 I C /P层 P分片重组 、排序 、 T P流重组 的基础上,记录和保持 S sin的发起 、建立和结 C es o 束 等状态 ,同时 记录序列号并 进行协议状 态检测分析 ,确保
协议分析技 术的 网络入 侵检测 系统对 DDo S进 行研 究。
关 键词 :入侵检 测 ;协议 分析 ;D o DS 中图分类号 :T 330 文献标识码 :A 文章编号:17 — 12( 02) 4 0 3 —3 P9. 8 6 1 12 2 1 0 —0 6 0
DD o t c s d o o o o SAta ksBa e n Pr t c l Ana y i fNe wo k nt uso l sso t r I r i n De e to se s a c t ci n Sy t m Re e r h
2 1年 第 0 期 02 4
■ d i 03 6  ̄i n 6 11 2 0 20 1 o 1 9 9 s 7 -1 2 2 1 4 0 0 s 1
基于协 议分析 技术的 网络入侵 检测 系统 中 DDo 击的方法研 究 S攻
方欣 ,万扬 ,文霞 ,郭彩云 -
A bs r c :W ih t v l pm e t r e h l y tat t he de e o ntofne wo k t c no og .new o k e io t r nv r nm e tb c n e om e ic e sn y s n r a i gl
基 于协议分析技术 的入侵检 测系统基 本思路是 将从 网上
图1 DF CI 模型结构 图
捕 获的数据 包按 T PI 据传 输的反向顺 序逐个将各层的首 C/ P数
部 中的关 键字段解 析 出来 】 ,然后根 据各层 头部的关键 字段 来 区分出是何种 协议 , 由各层首部 中的特殊字段 ( 如标 识字段 ) 来 确定 应该是 何种协议 ,再 以此 协议特征 进行分析来确定攻
ne ok e u iy tr as DDoS isi w t r s c rt h e t. t mplm e tto se s o u dem ie e o t o d tci n d ̄ c te nm a i e nai n i a y t n r n f rst ee to i ul si kng i i e o t o k a c ee to n p e n in a tp pro t.I e e ty a s n nde ss e m e ok tb c me anew r aa k d tcin a d r ve to o i r y n r c n e r,a e ls f a ofn t r i w ta cd tci no o R c s i h n lssofteDD o ta k ee t eh dba e n teus fp o o o r f ee to fDD S a a k .nt ea ay i i h S at c d tci m t o s do h eo r t c 1 on