【文章內(nèi)容簡介】 主要協(xié)議各層主要功能應(yīng)用層 \telnet\FTP和Email 負(fù)責(zé)把數(shù)據(jù)傳輸?shù)竭\(yùn)輸層或接收運(yùn)輸層返回的數(shù)據(jù)運(yùn)輸層 TCP 和 UDP 主要為兩臺主機(jī)上的應(yīng)用程序提供端到端的通信。網(wǎng)際層 ICMP、IP和IGMP 也稱網(wǎng)絡(luò)層或者互聯(lián)網(wǎng)層，主要是為數(shù)據(jù)包選擇路由。網(wǎng)絡(luò)接口層 ARP、RARP和設(shè)備驅(qū)動程序及接口卡發(fā)送時(shí)將IP包作為幀發(fā)送，接收時(shí)把接收到的位組裝成幀，提供鏈路管理和錯(cuò)誤檢測等。 協(xié)議分析簡介 協(xié)議分析概念“協(xié)議分析”技術(shù)[24]，是一種用來檢測攻擊特征是否存在的技術(shù)，其特點(diǎn)是充分利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，對協(xié)議進(jìn)行分析，進(jìn)而找出違反協(xié)議定義的數(shù)據(jù)包。協(xié)議分析技術(shù)充分利用不同協(xié)議的規(guī)則來快速檢測某些攻擊特征是否存在，從而減少特征搜索的工作量，提高搜索速度。與原始的“模式匹配”相比，協(xié)議分析具有快速、精確和高效等特點(diǎn)。協(xié)議分析通常只檢測網(wǎng)絡(luò)數(shù)據(jù)包的特定部分，從而減少了計(jì)算量和存儲空間。 協(xié)議分析原理協(xié)議分析技術(shù)是在模式匹配技術(shù)上發(fā)展起來的，其基本原理是利用網(wǎng)絡(luò)協(xié)議的高度有序性，通過捕獲高速數(shù)據(jù)包來快速檢測某個(gè)攻擊是否存在。協(xié)議分析方法與模式匹配方法在檢測原理上存在著本質(zhì)上的區(qū)別，協(xié)議分析的主要功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。由于協(xié)議分析方法能夠更加智能的分析網(wǎng)絡(luò)數(shù)據(jù)[25]，所以協(xié)議分析方法在分析速度和準(zhǔn)確率方面都比模式匹配方法有很大的改進(jìn)，進(jìn)而解決了特征模式匹配技術(shù)檢測速度慢、準(zhǔn)確度不高、消耗系統(tǒng)資源等缺陷。 協(xié)議分析核心技術(shù)協(xié)議分析的思想是讓系統(tǒng)能夠讀懂協(xié)議，知道數(shù)據(jù)包中某些指定位置的內(nèi)容，分析這些內(nèi)容的真實(shí)含義，并根據(jù)定義的規(guī)則，判斷是否有入侵事件。協(xié)議分析技術(shù)主要包括協(xié)議解碼、數(shù)據(jù)重組和命令解析等技術(shù)。[26]協(xié)議解碼就是觀察并檢測所有網(wǎng)絡(luò)數(shù)據(jù)包,如果數(shù)據(jù)包不符合預(yù)期的標(biāo)準(zhǔn),就發(fā)出報(bào)警。其過程主要包括:解包、HTTP解碼、IP分片重組、TCP流還原等。協(xié)議解碼過程實(shí)質(zhì)就是一個(gè)數(shù)據(jù)包從協(xié)議棧由底向上分析，去掉各層附加的報(bào)文首部的過程。一個(gè)數(shù)據(jù)包的協(xié)議解碼過程如圖21所示。圖21 數(shù)據(jù)包的協(xié)議解碼過程 Packet protocol decoding process協(xié)議解碼能最大程度地減小誤報(bào)。因此在基于協(xié)議解碼的入侵檢測系統(tǒng)中，系統(tǒng)能夠知道每個(gè)協(xié)議中潛在的攻擊串所在的精確位置，并使用解析器來確保某個(gè)特征的真實(shí)含義被正確理解，從而有效的降低入侵檢測的誤報(bào)率。數(shù)據(jù)重組是在協(xié)議解碼的基礎(chǔ)上對數(shù)據(jù)包進(jìn)行TCP流重組及IP分片重組,重組后進(jìn)行整體上的協(xié)議分析,它充分利用了協(xié)議運(yùn)行信息來檢測協(xié)議相關(guān)的異常、多步驟攻擊和分布式攻擊等復(fù)雜攻擊。命令解析可針對各種高層協(xié)議,分析出攻擊串以及各種可能的變體。命令解析工作在應(yīng)用層上，運(yùn)用命令解析器即一個(gè)命令解釋程序?qū)κ褂脩?yīng)用層協(xié)議(如Telnet，F(xiàn)TP，HTTP，SMTP，SNMP，DNS，TCP，IP)的每一個(gè)用戶命令做出詳細(xì)分析，看是否存在攻擊串或各種可能的變體[27]。 協(xié)議分析入侵檢測方法介紹協(xié)議分析檢測技術(shù)主要包括簡單協(xié)議分析檢測方法和協(xié)議狀態(tài)分析檢測方法。在進(jìn)行檢測前，兩種方法都需要按照協(xié)議首部結(jié)構(gòu)和協(xié)議規(guī)定數(shù)據(jù)載荷的數(shù)據(jù)結(jié)構(gòu)對數(shù)據(jù)包進(jìn)行協(xié)議解析，再檢測解析后的數(shù)據(jù)。只是簡單協(xié)議分析檢測技術(shù)是根據(jù)協(xié)議中單個(gè)數(shù)據(jù)包內(nèi)容進(jìn)行檢測，而狀態(tài)協(xié)議分析檢測方法則根據(jù)多個(gè)數(shù)據(jù)包中反映的協(xié)議狀態(tài)信息進(jìn)行檢測。 簡單協(xié)議分析檢測方法簡單協(xié)議分析檢測方法(Simple Protocol Analysis簡稱SPA)是基于傳統(tǒng)模式匹配技術(shù)發(fā)展起來的。它充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，結(jié)合了高速數(shù)據(jù)包捕獲、協(xié)議分析和命令解析，并根據(jù)協(xié)議標(biāo)準(zhǔn)和己知攻擊特征構(gòu)造檢測規(guī)則。使用檢測規(guī)則對解析后的單個(gè)數(shù)據(jù)包中的協(xié)議首部和數(shù)據(jù)載荷進(jìn)行檢測，表22介紹了檢測規(guī)則所包含的內(nèi)容及其解釋:表22 檢測規(guī)則的內(nèi)容及其解釋 Content of the detection rules and their interpretation字段名解釋協(xié)議名稱數(shù)據(jù)包的協(xié)議名稱首部字段名稱被檢測的協(xié)議首部字段名稱檢測類型指明是誤用檢測還是異常檢測首部檢測值要在協(xié)議首部中檢測的值數(shù)據(jù)載荷檢測值要在數(shù)據(jù)載荷中檢測的值字段名解釋預(yù)處理函數(shù)對檢測字段進(jìn)行檢測前處理的函數(shù)報(bào)警信息檢測到攻擊或異常后的報(bào)警信息其中預(yù)處理函數(shù)根據(jù)攻擊特征對數(shù)據(jù)包域進(jìn)行檢測前處理，可識別變體攻擊等采用躲避檢測技術(shù)的攻擊。進(jìn)一步提高了檢測的效率，檢測規(guī)則也是根據(jù)協(xié)議類型等信息按樹形結(jié)構(gòu)組織起來，根據(jù)數(shù)據(jù)包檢測域的信息可以只選擇匹配其中部分規(guī)則，不必對全部規(guī)則進(jìn)行匹配檢測。簡單協(xié)議分析檢測方法大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。簡單協(xié)議分析檢測方法對于每個(gè)解析后的數(shù)據(jù)包，依次使用每條檢測規(guī)則對其進(jìn)行檢測，直至報(bào)警或規(guī)則使用完畢，檢測過程如下:，如不是則使用下一條規(guī)則，否則繼續(xù)。，當(dāng)進(jìn)行異常檢測時(shí)，如果數(shù)據(jù)包值與檢測值不符，則認(rèn)為有異常行為發(fā)生；當(dāng)進(jìn)行誤用檢測時(shí)，只有當(dāng)兩者的值匹配時(shí)，才認(rèn)為有攻擊行為發(fā)生。，輸出規(guī)則的報(bào)警信息進(jìn)行報(bào)警；否則使用下一條規(guī)則繼續(xù)進(jìn)行檢測。，結(jié)束對當(dāng)前數(shù)據(jù)包的檢測，開始檢測下一個(gè)數(shù)據(jù)包。其中預(yù)處理函數(shù)根據(jù)攻擊特征對數(shù)據(jù)包域進(jìn)行檢測前處理，可識別變體攻擊等采用躲避檢測技術(shù)的攻擊。簡單協(xié)議分析方法可以根據(jù)協(xié)議信息精確定位檢測域，針對性地使用詳細(xì)具體的檢測手段，提高了檢測的全面性、準(zhǔn)確性和效率。針對不同的異常和攻擊，以靈活地定制不同的處理函數(shù)來加強(qiáng)檢測能力，識別變體攻擊等較難檢測的攻擊。簡單協(xié)議分析檢測方法可以解決的問題：模糊路徑方法就是改變路徑，使它看起來不同，但是實(shí)際上和改變前代表的含義是一樣的。這種技術(shù)常被黑客用于URL中，發(fā)起HTTP攻擊。例如：“/”和“\”通常是可以轉(zhuǎn)換的。大多數(shù)WEB服務(wù)器不區(qū)分這兩種字符。所以在WEB服務(wù)器看來scripts/iisadmin和scripts\iisadmin是一樣的。但是基于模式匹配的IDS認(rèn)為兩者是不同的，在發(fā)現(xiàn)\iisadmin時(shí)不報(bào)錯(cuò)。同樣/./也可能加到路徑中，通常表示當(dāng)前路徑。WEB服務(wù)器會忽略它的存在，但是模式匹配的方法就不能夠判斷出，會認(rèn)為/./iisadmin是安全的數(shù)據(jù)。一種比較復(fù)雜一些的情況是/./的使用:/../通常表示父目錄，攻擊者可以在/../前面加上一個(gè)不存在的非法目錄，這樣相當(dāng)于什么都沒加，還是剩下/iisadmin。上述幾種方法還可以組合起來使用，比如/./././././iisadmin，或者\(yùn)./iisadmin。這樣的組合是可以無窮多的，而模式匹配方法對于這樣偽裝的攻擊是束手無策的。協(xié)議分析方法和WEB服務(wù)器使用同樣的URL處理方法:當(dāng)HTTP網(wǎng)絡(luò)數(shù)據(jù)被檢測到的時(shí)候，IDS探測器會把URL的路徑提取出來并且加以分析。它能夠處理“/./和“/../”的情況，得到標(biāo)準(zhǔn)的URL以后，再進(jìn)行模式匹配，就能檢測出攻擊了。十六進(jìn)制編碼是一種很常見的現(xiàn)象，使用十六進(jìn)制代碼代替部分字符，比如%73是S的十六進(jìn)制表示方法，/iisadmin就改為/ii%73admin。實(shí)際上這個(gè)簡單的路徑可以有很多種變種，在這個(gè)時(shí)候，只有用協(xié)議分析的方法，使得分析系統(tǒng)按照WEB服務(wù)器的原理工作，先把%73轉(zhuǎn)化成S，再判斷是否可疑。Nimda病毒利用16個(gè)不同的URL去探測微軟的IIS服務(wù)器，查看是否具有漏洞，這些URL中包括雙十六進(jìn)制編碼。例如：/..%255c../winnt，%25表示%，也就是變成/..%5c../，%5c表示\，變成/..\/winnt，這就是所熟悉的模糊路徑，也就是/../../winnt，這實(shí)際上是一種root traversal攻擊。假設(shè)XYZ協(xié)議包括X字段和Y選項(xiàng)字段，檢測某種攻擊是可以通過查看X字段中是否出現(xiàn)foo這樣的字符串。Y字段合法的選項(xiàng)值為：food，moon和tooth。如果使用簡單的模式匹配方法，在整個(gè)數(shù)據(jù)包中搜索foo字符串，因?yàn)樵谶x項(xiàng)字段有字符串fooh，包含了foo，所以會產(chǎn)生誤警。而且，因?yàn)樽侄蔚拈L度是可以變化的，這種錯(cuò)誤也很難用限定匹配的開始點(diǎn)和結(jié)束點(diǎn)來避免。所以唯一的解決辦法就是對協(xié)議的完全解碼，只在X字段中尋找“foo”字符串。一種存在于FTP MKD命令中的內(nèi)存溢出漏洞，會被含有shell代碼的長參數(shù)利用。典型的模式匹配必須在整個(gè)FTP，數(shù)據(jù)包中搜索shell代碼序列。如果采用模式匹配的方法，對于滿負(fù)載的100Mbps以太網(wǎng)：計(jì)算量=(攻擊特征字節(jié)數(shù))X(數(shù)據(jù)包字節(jié)數(shù)) X (每秒的數(shù)據(jù)包數(shù)) X (數(shù)據(jù)庫的攻擊特征數(shù))。假設(shè)一個(gè)攻擊特征有5字節(jié)，平均數(shù)據(jù)包大小為200字節(jié)，每秒5000個(gè)數(shù)據(jù)包，數(shù)據(jù)庫有1000個(gè)攻擊特征，每秒就需要有50000000000字節(jié)的計(jì)算量。協(xié)議分析就通過查看MKD命令里的參數(shù)是否過長，是否包含二進(jìn)制代碼，判斷是否有利用內(nèi)存溢出漏洞的攻擊。假設(shè)網(wǎng)絡(luò)數(shù)據(jù)中有1%是FTP數(shù)據(jù)，F(xiàn)TP數(shù)據(jù)中有1%是MKD命令，計(jì)算量減到了模式匹配方法的萬分之一。如果再采取一些優(yōu)化措施，計(jì)算量還可以下降。用簡單協(xié)議分析方法可以準(zhǔn)確有效地檢測大量異常和攻擊，但是仍有很多復(fù)雜攻擊不能憑借單一的數(shù)據(jù)包來檢測，要聯(lián)合多個(gè)數(shù)據(jù)包中的信息，根據(jù)協(xié)議執(zhí)行過程進(jìn)行識別。協(xié)議狀態(tài)分析檢測方法就是一種充分利用了協(xié)議運(yùn)行的狀態(tài)信息來檢測協(xié)議相關(guān)的異常和多步驟、分布式等復(fù)雜攻擊的方法[6]。 協(xié)議狀態(tài)分析檢測方法狀態(tài)協(xié)議分析(STAteful Protoco1 Analysis，簡稱STAPA)是一種改進(jìn)的更加合理的特征檢測方法。它是在協(xié)議分析的基礎(chǔ)上，加入相關(guān)的狀態(tài)信息，充分利用協(xié)議運(yùn)行的狀態(tài)信息來檢測協(xié)議相關(guān)的異常和多步驟、分布式等復(fù)雜攻擊的方法。它不僅僅是檢測單一的連接請求或響應(yīng)，而是將一個(gè)會話的所有流量作為一個(gè)整體來考慮，更能夠進(jìn)行智能的數(shù)據(jù)分析[30]。此方法基于狀態(tài)協(xié)議分析檢測模型，建立協(xié)議狀態(tài)序列，將觀測到的數(shù)據(jù)包序列映射為狀態(tài)序列，使用狀態(tài)序列上的一元謂詞來檢測異常和攻擊。簡單的說就是將狀態(tài)特征添加到常規(guī)的協(xié)議分析中。協(xié)議狀態(tài)分析檢測方法可以解決的問題:狀態(tài)協(xié)議分析比前兩種方法能夠發(fā)現(xiàn)更多的攻擊，但是要付出更多處理時(shí)間的代價(jià)。IDS可以在多個(gè)方面利用狀態(tài)信息，解決以下問題:1．檢測猜測密碼：攻擊狀態(tài)協(xié)議分析系統(tǒng)通過統(tǒng)計(jì)在一段時(shí)間內(nèi)失敗的登陸請求個(gè)數(shù)，設(shè)定一個(gè)合理的閾值準(zhǔn)確的檢測此種攻擊。2．進(jìn)行IP分片重組和TCP流重組，檢測邊界問題：舉個(gè)例子說，在簡單的模式匹配方法中，如果IDS在端口2222發(fā)現(xiàn)字符串“foo”，就引發(fā)報(bào)警。黑客就可以用第一個(gè)數(shù)據(jù)包發(fā)送“fo”，而在第二個(gè)數(shù)據(jù)包的開頭寫入“o”，這樣當(dāng)數(shù)據(jù)包發(fā)送到系統(tǒng)，系統(tǒng)就不會發(fā)出警告。而在狀態(tài)協(xié)議分析中，這種小技巧會被輕松的發(fā)現(xiàn)。3．檢查請求和應(yīng)答是否匹配：在拒絕服務(wù)入侵(SYN Flood)中，攻擊者常常通過在短時(shí)間內(nèi)不斷發(fā)起某種相同的請求，而目標(biāo)系統(tǒng)來不及發(fā)送應(yīng)答，占用了系統(tǒng)的資源，不能再對新的請求發(fā)出應(yīng)答。當(dāng)入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)短時(shí)間內(nèi)很多的請求，卻沒有任何應(yīng)答的時(shí)候，就會發(fā)出警報(bào)。4．記錄用戶信息：以FTP用戶登錄為例：一個(gè)FTP用戶登錄，需要四個(gè)步驟:(1) 用戶發(fā)送“USER cqut”到FTP服務(wù)器，其中cqut是用戶名。(2) FTP服務(wù)器用“331 Send password”應(yīng)答。(3) 用戶發(fā)送“PASS jsj”到FTP服務(wù)器。(4) FTP服務(wù)器驗(yàn)證密碼正確，應(yīng)答“230 User Logged in”。IDS從這里能夠知道，這次會話的用戶是cqut，如果會話中有可疑行為，系統(tǒng)可以對用戶cqut進(jìn)行記錄。根據(jù)應(yīng)答結(jié)果，IDS系統(tǒng)還能夠檢測是否有人嘗試使用用戶root或者是administrator。如果一個(gè)攻擊者想要得到某個(gè)重要文件，就能根據(jù)應(yīng)答所包含的狀態(tài)碼來判斷攻擊者是否成功。5. 驗(yàn)證命令序列：以FTP為例，典型的客戶端與FTP服務(wù)器建立會話的過程如下：(1) 連接：FTP客戶端與服務(wù)器的FTP端口(2l)建立TCP連接；(2) 驗(yàn)證：用戶發(fā)送用戶名和密碼或者是匿名用戶登陸，如果驗(yàn)證通過，連接建立，否則通話結(jié)束；(3) 傳輸：當(dāng)一個(gè)用戶通過驗(yàn)證后，他就可以向服務(wù)器發(fā)送命令。如果是傳輸文件的命令，一個(gè)短暫單獨(dú)的TCP連接會被建立；(4) 結(jié)束：當(dāng)FTP服務(wù)器和客戶端想要結(jié)束會話的時(shí)候，TCP連接斷開。有些攻擊是與會話的狀態(tài)緊密相連的，比如有的攻擊是利用驗(yàn)證通過之前的傳輸階段的命令發(fā)起的。檢測這種攻擊，必須知道會話的狀態(tài)，當(dāng)發(fā)現(xiàn)驗(yàn)證還沒有完成，就有一個(gè)傳輸階段的命令的時(shí)候，系統(tǒng)發(fā)出警告。再來看一個(gè)例子，當(dāng)需要在FTP服務(wù)器上重新命名一個(gè)文件的時(shí)候，需要兩條命令RNFR(修改文件XX)和RNFT(文件名修改為XX)。通常RNFR和RNF是成對有序出現(xiàn)的。有些攻擊就會使用利用的RNTO命令導(dǎo)致系統(tǒng)出現(xiàn)問題。入侵監(jiān)測系統(tǒng)可以計(jì)算連續(xù)的RNTO數(shù)量，或者記錄每個(gè)命令的前一條命令，當(dāng)發(fā)現(xiàn)RNFT命令，就檢查前一條命令是不是RNFR。通過兩種方法的介紹，本文選用了簡單協(xié)議分析檢測方法，并在規(guī)則分析器的設(shè)計(jì)中給出簡單協(xié)議分析檢測方法的具體分析步驟。 本章小結(jié)本章分析了網(wǎng)絡(luò)協(xié)議的層次結(jié)構(gòu)，了解了協(xié)議分析技術(shù)的原理和核心技術(shù)；學(xué)習(xí)了協(xié)議分析入侵檢測方法。并根據(jù)兩種方法的比較，選擇了簡單協(xié)議分析檢測方法來實(shí)現(xiàn)本文規(guī)則檢測器的構(gòu)建。第3章神經(jīng)網(wǎng)絡(luò)和遺傳算法 神經(jīng)網(wǎng)絡(luò) 神經(jīng)網(wǎng)絡(luò)的概念人工神經(jīng)網(wǎng)絡(luò)(Artificial Neural NetworkANN)是一種數(shù)學(xué)模型，對生物的神經(jīng)進(jìn)行模擬，他主要是進(jìn)行信息的處理，實(shí)現(xiàn)某種要求的功能，他是在大腦生理研究基礎(chǔ)上進(jìn)行的，神經(jīng)網(wǎng)絡(luò)是人工神經(jīng)網(wǎng)絡(luò)的簡稱，涉及學(xué)科領(lǐng)域廣泛，具有非常重要的研究前景和應(yīng)用價(jià)值[31]。神經(jīng)網(wǎng)絡(luò)可以自行在外部環(huán)境當(dāng)中獲取新的知識，還可以在把獲取的知識存放到神經(jīng)網(wǎng)格當(dāng)中去，這里主要是在神經(jīng)網(wǎng)格當(dāng)中利用權(quán)值的方式進(jìn)去存取，在涉及到這方面知識的時(shí)候從神經(jīng)網(wǎng)格當(dāng)中再提取出來。前面提到的神經(jīng)網(wǎng)格是一種計(jì)算結(jié)構(gòu)，主要是大量的神經(jīng)元根據(jù)一定