資源描述:
《天闐ids協(xié)議自識別(vfpr)技術》由會員上傳分享��,免費在線閱讀���,更多相關內容在學術論文-天天文庫�。
1����、天闐IDS協(xié)議自識別(VFPR)技術~教育資源庫 日前,啟明星辰公司成功設計并實現(xiàn)了一種高效的協(xié)議自識別方法VFPR方法(VenusFastProtocolRecognition)��。VFPR方法對所有網(wǎng)絡協(xié)議進行統(tǒng)計分析和對現(xiàn)有協(xié)議自識別方法進行了深入研究��,基于協(xié)議指紋匹配和協(xié)議規(guī)則驗證技術實現(xiàn)�,能夠在網(wǎng)絡協(xié)議通信初期根據(jù)前期網(wǎng)絡報文特征自動識別所屬協(xié)議類型,具有識別準確率高�、實時性好���、通用性強��,及運行效率高等優(yōu)點��?! ‘斍爸髁鱅DS/IPS產品都廣泛采用應用層協(xié)議深層解析技術來實現(xiàn)基于協(xié)議攻擊特征和協(xié)議異常的入侵檢測。而要
2�����、真正實現(xiàn)對應用協(xié)議數(shù)據(jù)流的正確解析���,必須首先正確判斷該協(xié)議數(shù)據(jù)流的協(xié)議類型�����。目前多數(shù)IDS/IPS產品都基于端口映射機制來判別應用協(xié)議數(shù)據(jù)流所屬協(xié)議類型��,比如:如發(fā)現(xiàn)捕獲的網(wǎng)絡報文中源或目的端口為80����,則認為它為HTTP協(xié)議相關報文�����,對這些網(wǎng)絡報文進行流重組后直接交給HTTP協(xié)議分析引擎進行協(xié)議解碼和入侵檢測��。但隨著各種新型網(wǎng)絡協(xié)議以及各種惡意軟件的出現(xiàn)����,這種基于端口映射來判別網(wǎng)絡報文所屬協(xié)議類型的方法正受到嚴峻挑戰(zhàn): 1)目前涌現(xiàn)出了一批新型網(wǎng)絡協(xié)議��,包括SIP和P2P協(xié)議等����,它們并不采用固定協(xié)議端口��,而是在協(xié)議運行過程中
3�、動態(tài)協(xié)商端口,因此無法預先為這些協(xié)議設置應用協(xié)議類型判別端口; 2)各種木馬�����、間諜和僵尸等惡意軟件��,它們?yōu)槎惚躀DS/IPS產品的入侵檢測都采用了一些特殊的處理方式���,主要表現(xiàn)為: 并不使用固定通信端口進行通信; 采用公知端口(比如80端口)進行私有協(xié)議通信; 采用隧道技術進行私有協(xié)議通信(比如HTTP隧道技術)��?��! ?)一些有經驗的管理員經常將一些常見網(wǎng)絡應用服務移到非周知端口�����,以降低來自外部攻擊的風險系數(shù); 4)有大量的服務(比如ftp)運行在非周知的默認端口之上(比如2121),對于該類型服務的攻擊���,一般的IDS
4���、都會因為無法判斷通信報文的協(xié)議歸屬而產生漏報?����! ∮纱丝梢?�,網(wǎng)絡報文端口將不再是一種可靠的應用協(xié)議類型識別方法��,需要一種能夠根據(jù)應用協(xié)議數(shù)據(jù)流特征來智能識別其所屬協(xié)議類型的協(xié)議自識別方法����,并且該方法的準確性、實時性和算法效率將直接影響到產品誤報率和漏報率����。為了讓讀者更好地理解協(xié)議自識別技術的重要性,先讓我們來看一個案例�。 典型案例 A企業(yè)由于業(yè)務需要�,在其業(yè)務網(wǎng)絡環(huán)境中部署了一臺郵件服務器����,并配置標準SMTP端口25作為其對外服務端口���。同時,出于安全性考慮���,A企業(yè)想在其企業(yè)內部部署一臺IDS��,以實現(xiàn)對該郵件服務器的重點安全
5���、防范。由于B廠家IDS提供了高層協(xié)議SMTP解析功能��,A企業(yè)認為它可以基本滿足其安全需求���,因此就購買并部署了B廠家的IDS系統(tǒng)�?���! ∧程欤珹企業(yè)網(wǎng)絡管理員發(fā)現(xiàn)該郵件服務器遭到了來自外部的遠程漏洞溢出攻擊�。雖然本次攻擊沒有成功,但考慮到安全性��,網(wǎng)絡安全管理員將在郵件服務器的開放服務端口從標準STMP25號端口移動到了20000��,并作了一些安全加固工作。沒過幾天�����,該服務器再次遭到外部攻擊,重要郵件全部丟失�,但是該廠家IDS沒有報警�。在與B廠家技術人員進行溝通后得知,該廠家IDS沒有協(xié)議自識別功能�,它依據(jù)標準25號端口來識別SMTP
6����、協(xié)議類型,如果更換SMTP服務端口����,B廠家的IDS無法正確識別20000端口上的SMTP服務報文�����,對于黑客的針對SMTP郵件服務器的攻擊滲透毫無知覺���,最后,損失慘重����。唉,要是有協(xié)議自識別就好了! 現(xiàn)有協(xié)議自識別技術不足 目前��,市場上僅有少數(shù)幾款IDS/IPS產品具有這種協(xié)議自識別功能����,但是它們存在以下不足: 1)有些方法單純基于協(xié)議數(shù)據(jù)流所包含的某個關鍵字就認為識別出了其所屬協(xié)議類型,比如當匹配到GET關鍵字時就認為是HTTP協(xié)議���,而沒有對本次協(xié)議識別結果進行驗證,缺點是誤報率高; 2)有些協(xié)議自識別方法將整個協(xié)議數(shù)據(jù)
7�、流當作一個文本,采用文本分類和檢索方法來識別其所屬協(xié)議類型���,因此無法識別二進制格式的協(xié)議; 3)有些協(xié)議自識別方法工作時需要捕獲未知協(xié)議流的多數(shù)網(wǎng)絡報文�,存在協(xié)議識別結果上的滯后性,無法滿足實時性要求; 4)現(xiàn)有多數(shù)協(xié)議自識別方法算法實現(xiàn)復雜���,并且沒有采用有效的優(yōu)化措施來提高協(xié)議自識別的性能,導致IDS/IPS產品在開啟協(xié)議自識別功能后性能低下�,因此默認情況下關閉此功能?�! ⒚餍浅絽f(xié)議自識別技術優(yōu)勢 在對現(xiàn)有協(xié)議自識別方法進行深入研究以及對目前所有網(wǎng)絡協(xié)議進行統(tǒng)計分析后�,啟明星辰公司成功設計了一種高效的協(xié)議自識別方法V
8、FPR方法(VenusFastProtocolRecognition)�����。該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術實現(xiàn)�����,能夠在網(wǎng)絡協(xié)議通信初期根據(jù)前期網(wǎng)絡報文特征自動識別所屬協(xié)議類型���,并采用預先建立的協(xié)議驗證規(guī)則進一步驗證協(xié)議識別結果正確性�。VFPR方法包括前期協(xié)議樣
