天闐ids協(xié)議自識(shí)別(vfpr)技術(shù)

《天闐ids協(xié)議自識(shí)別(vfpr)技術(shù)》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。

1、天闐IDS協(xié)議自識(shí)別(VFPR)技術(shù)～教育資源庫　　日前，啟明星辰公司成功設(shè)計(jì)并實(shí)現(xiàn)了一種高效的協(xié)議自識(shí)別方法VFPR方法(VenusFastProtocolRecognition)。VFPR方法對所有網(wǎng)絡(luò)協(xié)議進(jìn)行統(tǒng)計(jì)分析和對現(xiàn)有協(xié)議自識(shí)別方法進(jìn)行了深入研究，基于協(xié)議指紋匹配和協(xié)議規(guī)則驗(yàn)證技術(shù)實(shí)現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報(bào)文特征自動(dòng)識(shí)別所屬協(xié)議類型，具有識(shí)別準(zhǔn)確率高、實(shí)時(shí)性好、通用性強(qiáng)，及運(yùn)行效率高等優(yōu)點(diǎn)?！　‘?dāng)前主流IDS/IPS產(chǎn)品都廣泛采用應(yīng)用層協(xié)議深層解析技術(shù)來實(shí)現(xiàn)基于協(xié)議攻擊特征和協(xié)議異常的入侵檢測。而要

2、真正實(shí)現(xiàn)對應(yīng)用協(xié)議數(shù)據(jù)流的正確解析，必須首先正確判斷該協(xié)議數(shù)據(jù)流的協(xié)議類型。目前多數(shù)IDS/IPS產(chǎn)品都基于端口映射機(jī)制來判別應(yīng)用協(xié)議數(shù)據(jù)流所屬協(xié)議類型，比如:如發(fā)現(xiàn)捕獲的網(wǎng)絡(luò)報(bào)文中源或目的端口為80，則認(rèn)為它為HTTP協(xié)議相關(guān)報(bào)文，對這些網(wǎng)絡(luò)報(bào)文進(jìn)行流重組后直接交給HTTP協(xié)議分析引擎進(jìn)行協(xié)議解碼和入侵檢測。但隨著各種新型網(wǎng)絡(luò)協(xié)議以及各種惡意軟件的出現(xiàn)，這種基于端口映射來判別網(wǎng)絡(luò)報(bào)文所屬協(xié)議類型的方法正受到嚴(yán)峻挑戰(zhàn):　　1)目前涌現(xiàn)出了一批新型網(wǎng)絡(luò)協(xié)議，包括SIP和P2P協(xié)議等，它們并不采用固定協(xié)議端口，而是在協(xié)議運(yùn)行過程中

3、動(dòng)態(tài)協(xié)商端口，因此無法預(yù)先為這些協(xié)議設(shè)置應(yīng)用協(xié)議類型判別端口;　　2)各種木馬、間諜和僵尸等惡意軟件，它們?yōu)槎惚躀DS/IPS產(chǎn)品的入侵檢測都采用了一些特殊的處理方式，主要表現(xiàn)為:　　并不使用固定通信端口進(jìn)行通信;　　采用公知端口(比如80端口)進(jìn)行私有協(xié)議通信;　　采用隧道技術(shù)進(jìn)行私有協(xié)議通信(比如HTTP隧道技術(shù))?！　?)一些有經(jīng)驗(yàn)的管理員經(jīng)常將一些常見網(wǎng)絡(luò)應(yīng)用服務(wù)移到非周知端口，以降低來自外部攻擊的風(fēng)險(xiǎn)系數(shù);　　4)有大量的服務(wù)(比如ftp)運(yùn)行在非周知的默認(rèn)端口之上(比如2121)，對于該類型服務(wù)的攻擊，一般的IDS

4、都會(huì)因?yàn)闊o法判斷通信報(bào)文的協(xié)議歸屬而產(chǎn)生漏報(bào)?！　∮纱丝梢?，網(wǎng)絡(luò)報(bào)文端口將不再是一種可靠的應(yīng)用協(xié)議類型識(shí)別方法，需要一種能夠根據(jù)應(yīng)用協(xié)議數(shù)據(jù)流特征來智能識(shí)別其所屬協(xié)議類型的協(xié)議自識(shí)別方法，并且該方法的準(zhǔn)確性、實(shí)時(shí)性和算法效率將直接影響到產(chǎn)品誤報(bào)率和漏報(bào)率。為了讓讀者更好地理解協(xié)議自識(shí)別技術(shù)的重要性，先讓我們來看一個(gè)案例?！　〉湫桶咐　企業(yè)由于業(yè)務(wù)需要，在其業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中部署了一臺(tái)郵件服務(wù)器，并配置標(biāo)準(zhǔn)SMTP端口25作為其對外服務(wù)端口。同時(shí)，出于安全性考慮，A企業(yè)想在其企業(yè)內(nèi)部部署一臺(tái)IDS，以實(shí)現(xiàn)對該郵件服務(wù)器的重點(diǎn)安全

5、防范。由于B廠家IDS提供了高層協(xié)議SMTP解析功能，A企業(yè)認(rèn)為它可以基本滿足其安全需求，因此就購買并部署了B廠家的IDS系統(tǒng)。　　某天，A企業(yè)網(wǎng)絡(luò)管理員發(fā)現(xiàn)該郵件服務(wù)器遭到了來自外部的遠(yuǎn)程漏洞溢出攻擊。雖然本次攻擊沒有成功，但考慮到安全性，網(wǎng)絡(luò)安全管理員將在郵件服務(wù)器的開放服務(wù)端口從標(biāo)準(zhǔn)STMP25號(hào)端口移動(dòng)到了20000，并作了一些安全加固工作。沒過幾天，該服務(wù)器再次遭到外部攻擊，重要郵件全部丟失，但是該廠家IDS沒有報(bào)警。在與B廠家技術(shù)人員進(jìn)行溝通后得知，該廠家IDS沒有協(xié)議自識(shí)別功能，它依據(jù)標(biāo)準(zhǔn)25號(hào)端口來識(shí)別SMTP

6、協(xié)議類型，如果更換SMTP服務(wù)端口，B廠家的IDS無法正確識(shí)別20000端口上的SMTP服務(wù)報(bào)文，對于黑客的針對SMTP郵件服務(wù)器的攻擊滲透毫無知覺，最后，損失慘重。唉，要是有協(xié)議自識(shí)別就好了!　　現(xiàn)有協(xié)議自識(shí)別技術(shù)不足　　目前，市場上僅有少數(shù)幾款I(lǐng)DS/IPS產(chǎn)品具有這種協(xié)議自識(shí)別功能，但是它們存在以下不足:　　1)有些方法單純基于協(xié)議數(shù)據(jù)流所包含的某個(gè)關(guān)鍵字就認(rèn)為識(shí)別出了其所屬協(xié)議類型，比如當(dāng)匹配到GET關(guān)鍵字時(shí)就認(rèn)為是HTTP協(xié)議，而沒有對本次協(xié)議識(shí)別結(jié)果進(jìn)行驗(yàn)證，缺點(diǎn)是誤報(bào)率高;　　2)有些協(xié)議自識(shí)別方法將整個(gè)協(xié)議數(shù)據(jù)

7、流當(dāng)作一個(gè)文本，采用文本分類和檢索方法來識(shí)別其所屬協(xié)議類型，因此無法識(shí)別二進(jìn)制格式的協(xié)議;　　3)有些協(xié)議自識(shí)別方法工作時(shí)需要捕獲未知協(xié)議流的多數(shù)網(wǎng)絡(luò)報(bào)文，存在協(xié)議識(shí)別結(jié)果上的滯后性，無法滿足實(shí)時(shí)性要求;　　4)現(xiàn)有多數(shù)協(xié)議自識(shí)別方法算法實(shí)現(xiàn)復(fù)雜，并且沒有采用有效的優(yōu)化措施來提高協(xié)議自識(shí)別的性能，導(dǎo)致IDS/IPS產(chǎn)品在開啟協(xié)議自識(shí)別功能后性能低下，因此默認(rèn)情況下關(guān)閉此功能?！　⒚餍浅絽f(xié)議自識(shí)別技術(shù)優(yōu)勢　　在對現(xiàn)有協(xié)議自識(shí)別方法進(jìn)行深入研究以及對目前所有網(wǎng)絡(luò)協(xié)議進(jìn)行統(tǒng)計(jì)分析后，啟明星辰公司成功設(shè)計(jì)了一種高效的協(xié)議自識(shí)別方法V

8、FPR方法(VenusFastProtocolRecognition)。該協(xié)議自識(shí)別方法基于協(xié)議指紋識(shí)別和協(xié)議規(guī)則驗(yàn)證技術(shù)實(shí)現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報(bào)文特征自動(dòng)識(shí)別所屬協(xié)議類型，并采用預(yù)先建立的協(xié)議驗(yàn)證規(guī)則進(jìn)一步驗(yàn)證協(xié)議識(shí)別結(jié)果正確性。VFPR方法包括前期協(xié)議樣