基于狀態協議分析技術的入侵檢測研究

【摘要】計算機和互聯網技術正在改變人類社會的面貌，與之伴隨而來的是信息和網絡安全的問題。入侵檢測是一種積極主動防御的網絡技術，它通過對系統或網絡中的若干關鍵點的信息進行檢測分析，從而發現是否有違反安全策略的行為，提供了對內部供給、對外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。按照檢測技術，入侵檢測系統可以分為異常檢測和特征檢測。文章比較了各種入侵檢測技術，提出了利用基于狀態的協議分析技術檢測多步驟等復雜攻擊的有效性，但面對高速發展的網絡，也提出了這種深度檢測的技術存在著的弊端。

【關鍵詞】狀態協議 分析 入侵檢測

一、引言

在網絡技術高速發展的今天，人們越來越依賴于網絡進行信息的處理。因此，網絡安全就顯得相當重要，隨之產生的各種嘲絡安全技術也得到了不斷的發展。防火墻、加密等技術，總的來說均屬于靜態的防御技術。如果單純依靠這些技術，仍然難以保證網絡的安全性。入侵檢測技術是一種主動的防御技術，它不僅能檢測未經授權的對象入侵。而且也能監視授權對象對系統資源的非法使用。

傳統的入侵檢測系統一般都采用模式匹配技術，但由于技術本身的特點，使其具有計算量大、檢測效率低等缺點，而基于協議分析的檢測技術較好地解決了這些問題，其運用協議的規則性及整個會話過程的上下文相關性，不僅提高了入侵檢測系統的速度，而且減少了漏報和誤報率。

二、協議分析技術

1.模式匹配技術

特征檢測的傳統方法是模式匹配技術，模式匹配技術是早期入侵檢測系統采用的分析方法，其基本原理是在一個單獨早期入侵檢測系統采用的分析方法。隨著攻擊手段和方法變種的多樣，攻擊特征庫技術實用技術會變得無比龐大，需要的計算量將是攻擊特征字節數、數據包字節數、每秒的數據包數和數據庫的攻擊特征數的乘積，顯然單一的模式匹配方法已經不能適應網絡的發展。

2.協議分析技術

協議分析是新一代IDS系統探測攻擊手法的主要技術，它利用網絡協議的高度規則性快速探測攻擊的存在。協議分析需要對數據包根據其所屬協議的類型，將其解碼后再分析。相對于模式匹配技術，它更準確，分析速度更快。

利用協議分析技術可以解決以下問題：

(1)分析數據包中命令字符串。比如，黑客經常使用的HTYP攻擊，因為在HTTP協議允許用十六進制表示URL中

(2)進行IP碎片重組，防止IP碎片攻擊。不同類型的網絡，鏈路層數據幀都有一個上限。如果IP層數據包的長度超過了這個上限，就要分片處理，各自路由到達主機以后要進行重組。因此，黑客可以利用碎片重組算法進行攻擊。

(3)減低誤報率。由于簡單模式識別很難限定匹配的開始點和終結點，也就不能準確地定位攻擊串的位置，當某協議的其他位置出現該字串時也會被認為是攻擊串，這就產生了誤報現象。

三、基于狀態協議分析的入侵檢測實現

協議分析方法可以根據協議信息精確定位檢測域，分析攻擊特征-有針對性地使用詳細具體的檢測手段，提高了檢測的全面性、準確性和效率。針對不同的異常和攻擊，靈活定制檢測方式。由此可檢測大量異常。但對于一些多步驟，分布式的復雜攻擊的檢測單憑單一數據包檢測或簡單重組是無法實現的。所以，在協議分析基礎上引入狀態轉移檢測技術，下面就分析利用基于狀態的協議分析技術檢測一些典型入侵的實現。

根據網絡協議狀態信息分析，所有網絡都能以狀態轉移形式來描述·狀態轉移將攻擊描述成網絡事件的狀態和操作(匹配事件)，被觀測的事件如果符合有窮狀態機的實例(每個實例都表示一個攻擊場景)，都可能引起狀態轉移的發生。如果狀態轉移到一個危害系統安全的終止狀態，就代表著攻擊的發生。這種方式以一種簡單的方式來描述復雜的人侵場景，步式攻擊。

借助聲明原語來計算狀態轉換的條件，包括數據包和網絡日志原語，如檢查IP地址是否是假冒地址的原語ip_saddr_fake(ip_packet)，檢查包總長度選項中所聲明長度與實際長度是否一致的原語ip fray_overlap(ip-packet)，等等。

1.檢測TCP syn Flooding攻擊

攻擊描述：在短時間內，攻擊者發送大量SYN報文建立TCP連接，在服務器端發送應答包后，客戶端不發出確認，服務器端會維持每個連接直到超時，這樣會使服務端的TCP資源迅速枯竭，導致正常連接不能進入。

解決方式：當客戶端發出的建立TCP連接的SYN包時，便跟蹤記錄此連接的狀態，直到成功完成或超時。同時，統計在規定時間內，接受到這種SYN包的個數超過了某個規定的臨界值，則發生TCP Syn Flooding攻擊o

2.檢測FTP會話

一個FTP會話可以分為以下四個步驟：

(1)建立控制連接。FTP客戶端建立一個TCP連接到服務器的FTP端21；

(2)客戶身份驗證。FTP用戶發送用戶名和口令，或用匿名登陸到服務器；

(3)執行客戶命令。客戶向服務器發出命令，如果要求數據傳輸，則客戶使用一個臨時端口和服務器端口20建立一個數據連接進行數據的傳輸；

(4)斷開連接。FTP會話完成后，斷開TCP連接。

客戶端通過身份驗證后才合法執行命令，以LIST命令為例，LIST命令列表顯示文件或目錄，將引發一個數據連接的建立和使用，客戶端使用PORT命令發送客戶IP地址和端口號給服務器用于建立臨時數據連接。

四、小結

從網絡安全多層次的防御的角度出發。入侵檢測已經受到越來越多的關注，入侵檢測技術也有了長足的發展。然而。入侵檢測依然面臨著許多問題：隨著能力的提高，入侵者會研制更多的攻擊工具，使用更為復雜精致的攻擊手段；攻擊者采用加密手段傳輸攻擊信息；入侵檢測系統自身的安全性也面臨考驗；同時，網絡速度的增長已經大大超過了處理器的發展，所以集中地解決方案已經到了他們的極限。特別是如果想要進行深入地、基于狀態入侵檢測分析，這種情況就更明顯了。既然這樣，傳感器不得不在進行中保存攻擊的信息(如多步驟攻擊)或對包的內容進行應用層的分析。這些工作都是極其耗費資源，并且在單結點安裝會嚴重影響到基本數據包正常捕獲。