資源描述:
《天闐ids協(xié)議自識別(vfpr)技術》由會員上傳分享,免費在線閱讀,更多相關內容在學術論文-天天文庫。
1、天闐IDS協(xié)議自識別(VFPR)技術~教育資源庫 日前,啟明星辰公司成功設計并實現(xiàn)了一種高效的協(xié)議自識別方法VFPR方法(VenusFastProtocolRecognition)。VFPR方法對所有網(wǎng)絡協(xié)議進行統(tǒng)計分析和對現(xiàn)有協(xié)議自識別方法進行了深入研究,基于協(xié)議指紋匹配和協(xié)議規(guī)則驗證技術實現(xiàn),能夠在網(wǎng)絡協(xié)議通信初期根據(jù)前期網(wǎng)絡報文特征自動識別所屬協(xié)議類型,具有識別準確率高、實時性好、通用性強,及運行效率高等優(yōu)點?! ‘斍爸髁鱅DS/IPS產品都廣泛采用應用層協(xié)議深層解析技術來實現(xiàn)基于協(xié)議攻擊特征和協(xié)議異常的入侵檢測。而要
2、真正實現(xiàn)對應用協(xié)議數(shù)據(jù)流的正確解析,必須首先正確判斷該協(xié)議數(shù)據(jù)流的協(xié)議類型。目前多數(shù)IDS/IPS產品都基于端口映射機制來判別應用協(xié)議數(shù)據(jù)流所屬協(xié)議類型,比如:如發(fā)現(xiàn)捕獲的網(wǎng)絡報文中源或目的端口為80,則認為它為HTTP協(xié)議相關報文,對這些網(wǎng)絡報文進行流重組后直接交給HTTP協(xié)議分析引擎進行協(xié)議解碼和入侵檢測。但隨著各種新型網(wǎng)絡協(xié)議以及各種惡意軟件的出現(xiàn),這種基于端口映射來判別網(wǎng)絡報文所屬協(xié)議類型的方法正受到嚴峻挑戰(zhàn): 1)目前涌現(xiàn)出了一批新型網(wǎng)絡協(xié)議,包括SIP和P2P協(xié)議等,它們并不采用固定協(xié)議端口,而是在協(xié)議運行過程中
3、動態(tài)協(xié)商端口,因此無法預先為這些協(xié)議設置應用協(xié)議類型判別端口; 2)各種木馬、間諜和僵尸等惡意軟件,它們?yōu)槎惚躀DS/IPS產品的入侵檢測都采用了一些特殊的處理方式,主要表現(xiàn)為: 并不使用固定通信端口進行通信; 采用公知端口(比如80端口)進行私有協(xié)議通信; 采用隧道技術進行私有協(xié)議通信(比如HTTP隧道技術)?! ?)一些有經驗的管理員經常將一些常見網(wǎng)絡應用服務移到非周知端口,以降低來自外部攻擊的風險系數(shù); 4)有大量的服務(比如ftp)運行在非周知的默認端口之上(比如2121),對于該類型服務的攻擊,一般的IDS
4、都會因為無法判斷通信報文的協(xié)議歸屬而產生漏報?! ∮纱丝梢?,網(wǎng)絡報文端口將不再是一種可靠的應用協(xié)議類型識別方法,需要一種能夠根據(jù)應用協(xié)議數(shù)據(jù)流特征來智能識別其所屬協(xié)議類型的協(xié)議自識別方法,并且該方法的準確性、實時性和算法效率將直接影響到產品誤報率和漏報率。為了讓讀者更好地理解協(xié)議自識別技術的重要性,先讓我們來看一個案例。 典型案例 A企業(yè)由于業(yè)務需要,在其業(yè)務網(wǎng)絡環(huán)境中部署了一臺郵件服務器,并配置標準SMTP端口25作為其對外服務端口。同時,出于安全性考慮,A企業(yè)想在其企業(yè)內部部署一臺IDS,以實現(xiàn)對該郵件服務器的重點安全
5、防范。由于B廠家IDS提供了高層協(xié)議SMTP解析功能,A企業(yè)認為它可以基本滿足其安全需求,因此就購買并部署了B廠家的IDS系統(tǒng)?! ∧程欤珹企業(yè)網(wǎng)絡管理員發(fā)現(xiàn)該郵件服務器遭到了來自外部的遠程漏洞溢出攻擊。雖然本次攻擊沒有成功,但考慮到安全性,網(wǎng)絡安全管理員將在郵件服務器的開放服務端口從標準STMP25號端口移動到了20000,并作了一些安全加固工作。沒過幾天,該服務器再次遭到外部攻擊,重要郵件全部丟失,但是該廠家IDS沒有報警。在與B廠家技術人員進行溝通后得知,該廠家IDS沒有協(xié)議自識別功能,它依據(jù)標準25號端口來識別SMTP
6、協(xié)議類型,如果更換SMTP服務端口,B廠家的IDS無法正確識別20000端口上的SMTP服務報文,對于黑客的針對SMTP郵件服務器的攻擊滲透毫無知覺,最后,損失慘重。唉,要是有協(xié)議自識別就好了! 現(xiàn)有協(xié)議自識別技術不足 目前,市場上僅有少數(shù)幾款IDS/IPS產品具有這種協(xié)議自識別功能,但是它們存在以下不足: 1)有些方法單純基于協(xié)議數(shù)據(jù)流所包含的某個關鍵字就認為識別出了其所屬協(xié)議類型,比如當匹配到GET關鍵字時就認為是HTTP協(xié)議,而沒有對本次協(xié)議識別結果進行驗證,缺點是誤報率高; 2)有些協(xié)議自識別方法將整個協(xié)議數(shù)據(jù)
7、流當作一個文本,采用文本分類和檢索方法來識別其所屬協(xié)議類型,因此無法識別二進制格式的協(xié)議; 3)有些協(xié)議自識別方法工作時需要捕獲未知協(xié)議流的多數(shù)網(wǎng)絡報文,存在協(xié)議識別結果上的滯后性,無法滿足實時性要求; 4)現(xiàn)有多數(shù)協(xié)議自識別方法算法實現(xiàn)復雜,并且沒有采用有效的優(yōu)化措施來提高協(xié)議自識別的性能,導致IDS/IPS產品在開啟協(xié)議自識別功能后性能低下,因此默認情況下關閉此功能?! ⒚餍浅絽f(xié)議自識別技術優(yōu)勢 在對現(xiàn)有協(xié)議自識別方法進行深入研究以及對目前所有網(wǎng)絡協(xié)議進行統(tǒng)計分析后,啟明星辰公司成功設計了一種高效的協(xié)議自識別方法V
8、FPR方法(VenusFastProtocolRecognition)。該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術實現(xiàn),能夠在網(wǎng)絡協(xié)議通信初期根據(jù)前期網(wǎng)絡報文特征自動識別所屬協(xié)議類型,并采用預先建立的協(xié)議驗證規(guī)則進一步驗證協(xié)議識別結果正確性。VFPR方法包括前期協(xié)議樣