【摘要】計算機和互聯(lián)網(wǎng)技術正在改變?nèi)祟惿鐣拿婷?，與之伴隨而來的是信息和網(wǎng)絡安全的問題。入侵檢測是一種積極主動防御的網(wǎng)絡技術，它通過對系統(tǒng)或網(wǎng)絡中的若干關鍵點的信息進行檢測分析，從而發(fā)現(xiàn)是否有違反安全策略的行為，提供了對內(nèi)部供給、對外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。按照檢測技術，入侵檢測系統(tǒng)可以分為異常檢測和特征檢測。文章比較了各種入侵檢測技術，提出了利用基于狀態(tài)的協(xié)議分析技術檢測多步驟等復雜攻擊的有效性，但面對高速發(fā)展的網(wǎng)絡，也提出了這種深度檢測的技術存在著的弊端。

【關鍵詞】狀態(tài)協(xié)議 分析 入侵檢測

一、引言

在網(wǎng)絡技術高速發(fā)展的今天，人們越來越依賴于網(wǎng)絡進行信息的處理。因此，網(wǎng)絡安全就顯得相當重要，隨之產(chǎn)生的各種嘲絡安全技術也得到了不斷的發(fā)展。防火墻、加密等技術，總的來說均屬于靜態(tài)的防御技術。如果單純依靠這些技術，仍然難以保證網(wǎng)絡的安全性。入侵檢測技術是一種主動的防御技術，它不僅能檢測未經(jīng)授權的對象入侵。而且也能監(jiān)視授權對象對系統(tǒng)資源的非法使用。

傳統(tǒng)的入侵檢測系統(tǒng)一般都采用模式匹配技術，但由于技術本身的特點，使其具有計算量大、檢測效率低等缺點，而基于協(xié)議分析的檢測技術較好地解決了這些問題，其運用協(xié)議的規(guī)則性及整個會話過程的上下文相關性，不僅提高了入侵檢測系統(tǒng)的速度，而且減少了漏報和誤報率。

二、協(xié)議分析技術

1.模式匹配技術

特征檢測的傳統(tǒng)方法是模式匹配技術，模式匹配技術是早期入侵檢測系統(tǒng)采用的分析方法，其基本原理是在一個單獨早期入侵檢測系統(tǒng)采用的分析方法。隨著攻擊手段和方法變種的多樣，攻擊特征庫技術實用技術會變得無比龐大，需要的計算量將是攻擊特征字節(jié)數(shù)、數(shù)據(jù)包字節(jié)數(shù)、每秒的數(shù)據(jù)包數(shù)和數(shù)據(jù)庫的攻擊特征數(shù)的乘積，顯然單一的模式匹配方法已經(jīng)不能適應網(wǎng)絡的發(fā)展。

2.協(xié)議分析技術

協(xié)議分析是新一代IDS系統(tǒng)探測攻擊手法的主要技術，它利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在。協(xié)議分析需要對數(shù)據(jù)包根據(jù)其所屬協(xié)議的類型，將其解碼后再分析。相對于模式匹配技術，它更準確，分析速度更快。

利用協(xié)議分析技術可以解決以下問題：

(1)分析數(shù)據(jù)包中命令字符串。比如，黑客經(jīng)常使用的HTYP攻擊，因為在HTTP協(xié)議允許用十六進制表示URL中

(2)進行IP碎片重組，防止IP碎片攻擊。不同類型的網(wǎng)絡，鏈路層數(shù)據(jù)幀都有一個上限。如果IP層數(shù)據(jù)包的長度超過了這個上限，就要分片處理，各自路由到達主機以后要進行重組。因此，黑客可以利用碎片重組算法進行攻擊。

(3)減低誤報率。由于簡單模式識別很難限定匹配的開始點和終結(jié)點，也就不能準確地定位攻擊串的位置，當某協(xié)議的其他位置出現(xiàn)該字串時也會被認為是攻擊串，這就產(chǎn)生了誤報現(xiàn)象。

三、基于狀態(tài)協(xié)議分析的入侵檢測實現(xiàn)

協(xié)議分析方法可以根據(jù)協(xié)議信息精確定位檢測域，分析攻擊特征-有針對性地使用詳細具體的檢測手段，提高了檢測的全面性、準確性和效率。針對不同的異常和攻擊，靈活定制檢測方式。由此可檢測大量異常。但對于一些多步驟，分布式的復雜攻擊的檢測單憑單一數(shù)據(jù)包檢測或簡單重組是無法實現(xiàn)的。所以，在協(xié)議分析基礎上引入狀態(tài)轉(zhuǎn)移檢測技術，下面就分析利用基于狀態(tài)的協(xié)議分析技術檢測一些典型入侵的實現(xiàn)。

根據(jù)網(wǎng)絡協(xié)議狀態(tài)信息分析，所有網(wǎng)絡都能以狀態(tài)轉(zhuǎn)移形式來描述·狀態(tài)轉(zhuǎn)移將攻擊描述成網(wǎng)絡事件的狀態(tài)和操作(匹配事件)，被觀測的事件如果符合有窮狀態(tài)機的實例(每個實例都表示一個攻擊場景)，都可能引起狀態(tài)轉(zhuǎn)移的發(fā)生。如果狀態(tài)轉(zhuǎn)移到一個危害系統(tǒng)安全的終止狀態(tài)，就代表著攻擊的發(fā)生。這種方式以一種簡單的方式來描述復雜的人侵場景，步式攻擊。

借助聲明原語來計算狀態(tài)轉(zhuǎn)換的條件，包括數(shù)據(jù)包和網(wǎng)絡日志原語，如檢查IP地址是否是假冒地址的原語ip_saddr_fake(ip_packet)，檢查包總長度選項中所聲明長度與實際長度是否一致的原語ip fray_overlap(ip-packet)，等等。

1.檢測TCP syn Flooding攻擊

攻擊描述：在短時間內(nèi)，攻擊者發(fā)送大量SYN報文建立TCP連接，在服務器端發(fā)送應答包后，客戶端不發(fā)出確認，服務器端會維持每個連接直到超時，這樣會使服務端的TCP資源迅速枯竭，導致正常連接不能進入。

解決方式：當客戶端發(fā)出的建立TCP連接的SYN包時，便跟蹤記錄此連接的狀態(tài)，直到成功完成或超時。同時，統(tǒng)計在規(guī)定時間內(nèi)，接受到這種SYN包的個數(shù)超過了某個規(guī)定的臨界值，則發(fā)生TCP Syn Flooding攻擊o

2.檢測FTP會話

一個FTP會話可以分為以下四個步驟：

(1)建立控制連接。FTP客戶端建立一個TCP連接到服務器的FTP端21；

(2)客戶身份驗證。FTP用戶發(fā)送用戶名和口令，或用匿名登陸到服務器；

(3)執(zhí)行客戶命令?？蛻粝蚍掌靼l(fā)出命令，如果要求數(shù)據(jù)傳輸，則客戶使用一個臨時端口和服務器端口20建立一個數(shù)據(jù)連接進行數(shù)據(jù)的傳輸；

(4)斷開連接。FTP會話完成后，斷開TCP連接。

客戶端通過身份驗證后才合法執(zhí)行命令，以LIST命令為例，LIST命令列表顯示文件或目錄，將引發(fā)一個數(shù)據(jù)連接的建立和使用，客戶端使用PORT命令發(fā)送客戶IP地址和端口號給服務器用于建立臨時數(shù)據(jù)連接。

四、小結(jié)

從網(wǎng)絡安全多層次的防御的角度出發(fā)。入侵檢測已經(jīng)受到越來越多的關注，入侵檢測技術也有了長足的發(fā)展。然而。入侵檢測依然面臨著許多問題：隨著能力的提高，入侵者會研制更多的攻擊工具，使用更為復雜精致的攻擊手段；攻擊者采用加密手段傳輸攻擊信息；入侵檢測系統(tǒng)自身的安全性也面臨考驗；同時，網(wǎng)絡速度的增長已經(jīng)大大超過了處理器的發(fā)展，所以集中地解決方案已經(jīng)到了他們的極限。特別是如果想要進行深入地、基于狀態(tài)入侵檢測分析，這種情況就更明顯了。既然這樣，傳感器不得不在進行中保存攻擊的信息(如多步驟攻擊)或?qū)Π膬?nèi)容進行應用層的分析。這些工作都是極其耗費資源，并且在單結(jié)點安裝會嚴重影響到基本數(shù)據(jù)包正常捕獲。