论文部分内容阅读
协议分析从网络通信协议特有的规则性出发,是目前比较先进的信息检测技术,它克服了传统的模式匹配技术的一些根本性缺陷,是入侵检测的一个研究热点。本论文采用协议分析进行网络入侵检测的研究,根据所在局域网遭受的入侵攻击实际情况,对该局域网中相对出现得比较频繁的入侵攻击行为进行协议分析的入侵检测。 本论文在以太网环境中,利用网络监听技术实现入侵检测系统的数据收集部分;采用先进的协议分析实现入侵检测系统的信息检测部分;采用报警系统完成入侵检测系统的结果处理部分。 本论文研究的入侵攻击类型主要有三大类,它们分别是:与HTTP协议相关的典型入侵攻击,与TCP协议相关的典型入侵攻击以及与ICMP协议相关的典型入侵攻击。其中,在“与HTTP协议相关的典型入侵攻击”中研究的是基于HEX编码和多次HEX编码的URL地址欺骗;在“与TCP协议相关的典型入侵攻击”中研究的是TCP SYN扫描和TCP SYN洪水攻击;在“与ICMP协议相关的典型入侵攻击”中研究的是诱骗ping扫描、直接ping扫描、smurf攻击和诱骗端口扫描。 基于协议分析的入侵检测研究结果表明:(1)在利用HTTP协议进行的黑客活动中,为了绕过普通IDS的检测,地址欺骗行为使用得较普遍,但协议分析技术是这类地址欺骗型攻击的克星,能较为准确地检测出这类地址欺骗行为。(2)在利用TCP协议进行的黑客活动中,比较常用的是利用三次握手过程进行扫描行为和拒绝服务攻击,这类攻击的特征必须根据前后的一系列数据包才能确定,因此攻击特征具有动态性,很不适合于采用模式匹配作为信息检测技术的IDS,但协议分析技术可较为迅速地检测出这类攻击。(3)在利用ICMP协议进行的黑客活动中,利用ICMP回送请求、ICMP回送应答和ICMP目的站不可达这三种ICMP报文进行的扫描行为和拒绝服务攻击也比较常见,根据对ICMP报文的封装及协议规则的研究可以使用协议分析技术准确而又快速的检测出这种攻击行为。 基于协议分析的入侵检测系统提高了检测的速度,减少了系统资源的消耗,误报率也得到了较大的降低,性能得到了明显的改善。