第11卷第5期 哈尔滨理工大学学报 VoI.1l No.5 2006年lO月 JOURNAL HARBIN UNIV.SCI.&TECH. Oct.,2006 ====::========: 协议分析技术检测复杂攻击的研究与实现 杜 宁, 刘胜辉 (哈尔滨理工大学计算机科学与技术学院,黑龙江哈尔滨150080) 摘要:针对传统NIDS所采用简单模式匹配技术存在的弊端,介绍协议分析技术在入侵检测 中的应用.依据协议攻击特征和协议的状态信息,提出协议分析与状态转移相结合的检测方法,并 以实例说明此方法检测拒绝服务等多步骤复杂攻击的有效性. 关键词:NIDS;协议分析;状态转移 ・中图分类号:TP393.08 文献标识码:A 文章编号:1007—2683(2006)05—0079—04 Research and I mplementation of Detecting Complex Attract Using Protocol Analysis DU Ning。LIU Sheng—hui (Computer Science&Technology College,Harbin Univ.Sci.Teeh.,Harbin 150080,China) Abstract:Aiming at solving the flaw of simply pattern matching used in traditional NIDS,this paper recom— mends the application of protocol analysis technology used in NIDS.According to the pattern of protocol——attacks and protocol state information,it brings forward a new method that unites protocol analysis and state transition,and illusrtates how it is applied in detecting Denial of Service(DoS)attacks. Key words:NIDS;protocol—analysis;state—transiiton 形网络数据包的手段,通过严格检测异常协议字段 1 引 言 来阻止入侵¨ ,提高了检测效率,并能有效控制漏 报率和误报率.本文依据NIDS的通用模型,分析协 随着网络安全逐渐成为Internet及各项网络服 议分析技术在NIDS各模块的应用,对多步骤复杂 务和应用进一步发展所需解决的关键问题.入侵检 攻击的检测,在协议分析基础上引入状态转移技术, 测做为一种积极主动防御的网络技术,已经成为网 可以实现实时、准确地检测. 络防护安全体系中的重要组成部分.目前,绝大多数 网络入侵检测系统的检测机制还停留在简单模式匹 2 网络协议解析 配特征技术上.这种方法实现简单,但计算量大,无 法适应高速网络,对于变种攻击、多步骤攻击、分布 2.1层次化协议分析 式协作攻击等复杂攻击不能做到有效检测. 取得捕包函数捕回的数据包后就需要进行协议 协议分析技术利用网络协议的的高度规则性 分析和协议还原工作,由TCP/IP模型的4层结构可 能,快速探测到已知和未知漏洞、攻击的存在,针对 知,协议数据是从上到下封装后发送的,对于协议分 许多攻击技术采取发送应用系统无法正确处理的畸 析需要从下至上进行.根据协议约定格式对各层协 收稿日期:2005一l1一l5 作者简介:杜宁(1979一),女,哈尔滨理工大学硕士研究生 维普资讯 http://www.cqvip.com
80 哈尔滨理工大学学报 第11卷 议分别进行解析,实现运用插件技术,不但灵活可扩 充,且可对新增加的协议进行解析. 以太网协议解析 I 依据以上方法进行分析. 3协议分析检测入侵 网络协议攻击是网络攻击的主要方式,其攻击方 l ̄--Ox0806 类型: ̄x0800类型=0x803 f t t t ARP协议解析 协 IP协议解析 RARP协议解析 式主要有利用协议的信任关系进行欺骗,以及利用协 议实现中错误、不精确造成协议死锁或产生死锁效 果.基于协议分析的检测可直接对网络协议攻击进行 检测,在对网络协议解析的基础上,阐述利用协议分 析检测技术对网络典型攻击检测的实现方式. 3.1协议分析检测方法 史类型:,l 协议类型:6i 协议类型:, i ICMP协议解析 TCP协议解析 UDP协议解析 I FI'P协议解析 I HTrP协议解析 l POP协议解析 图1协议分析过程的基本流程 协议分析检测方法是用来检测攻击特征存在的 技术,它充分利用网络协议的高度有序性和结构来快 速检测某个攻击特征的存在,相对于简单特征匹配, 2.2应用层协议解析 相对于底层协议,应用层协议多种多样,每种协 降低了计算量.同时,可以检测出那些针对协议自身 漏洞进行的攻击.上面对网络协议剖析为基础,以下 实例利用协议分析检测方法,对典型入侵进行检测的 实现,以体现出此方法对检测变种攻击的优势.检测 数据包命令字符串、目录遍历漏洞或称../攻击是当 unicode字符被解释成”/”或”\”的时候产生的,因大 议的格式也比较复杂,需要对应用层协议特征分析 和数据关联分析.本文重点介绍应用层协议解析,并 以HTrP协议解析过程为例. 2.2.1报文解析 解析以太网首部,帧类型为0800,上层为IP协 议.解析IP首部,协议值为6,为TCP报文解析TCP 报文,端口号为8O,为H1TrP协议 j. 2.2.2 H1TrP协议解析 多数web服务器对使用”/”或”、”不敏感 j,对使用 简单模式匹配它可以欺骗成功,但协议分析检测方法 就可以识别这种变体攻击.通过解析HTTP协议,从 URL中读取路径,适当分析”/”,使URL标准化,然后 找出可疑目录内容.如,在Unicode攻击中,与ASCII 字符相关的HEX编码一直到%7f,Unicode编码的值 高于它.以包含scripts/..%cO%af../winnt的URL H1TrP协议采用了请求/响应模型,是基于消息 的协议.图2表示为典型的客户机与服务器间的交 互过程,图3为H11’P消息格式. 客户端发起连接 服务器确认连接 客户端 服务器发送HTrt 请求消息 响应消息 请求行 状态行 通用头 通用头 为例,%c%af在Unicode中相当于斜 ,等同于攻 击特征scripts/../../winnt,使用包含Unicode编码 解析的协议分析可识别这种欺骗,对此类攻击检测检 测流程如图4所示. 服务器 请求头 请求头 实体头 实体头 CR/LF CR/LF 响应和数据 结束连接 实体 实体 图2 HTTP客户端和服务器会话 图3 HTTP消息格式 客户端发往服务器端消息O请求消息.格式为: Method REQUEST—URI HTTP—Version CRLF;服务 器端发往客户端的消息是响应消息.格式为:H1_I'P —Version Status—Code Reason—Phrase CRLF 根据以上对H1_I'P协议格式的分析,可以根据 H1TrP协议内容,查看分析后的网页内容,重建通过 H1TrP协议转输的文件,实现对H1_I'P协议的解 析 j.其他FTP、SMTP、POP3等应用层协议都可以 图4识别URL的流程 维普资讯 http://www.cqvip.com
第5期 杜宁等:协议分析技术检测复杂攻击的研究与实现 8l 3.2基于状态协议分析检测方法 懈决方式:接收到一个包内的所有分片,比较整 个IP包长度与分片包头中声明的包总长度,如果不 相等则存在IP碎片攻击. 检测实现:状态图如图6所示. A B C 协议分析方法可以根据协议信息精确定位检测 域,分析攻击特征,有针对性地使用详细具体的检测 手段.针对不同的异常和攻击,定制检测方式,由此 可检测大量异常.但对于一些多步骤,分布式的复杂 攻击的检测,单凭单一数据包检测或简单重组是无 法实现的.所以,在协议分析基础上引人状态转移检 测技术.以下分析利用基于状态的协议分析技术检 测一些典型人侵的实现. 3.2.1概述 根据网络协议状态信息分析,所有网络都能以 状态转移形式来描述,状态转移将攻击描述成网络 事件的状态和操作(匹配事件),被观测的事件如果 符合有穷状态机的实例(每个实例都表示一个攻击 场景),都可能引起状态转移的发生.如果状态转移 到一个危害系统安全的终止状态,就代表着攻击的 发生,如图5所示.用状态转移图(State Transition Diagram)来描述攻击过程。这种方式以一种简单的 方式来描述复杂的入侵场景,以及检测多步骤或分 步式攻击. (state) (aC ̄on) 图5入侵攻击状态转移图 在检测的具体实现上,可以借助声明原语 来 计算状态转换的条件,包括数据包和网络日志原语, 如检查IP地址是否是假冒地址的原语ip—saddr— fake(ip—packet),检查包总长度选项中所声明长度 与实际长度是否一致的原语ip—fray—overlap(ip— packet)等. 3.2.2应用实例 1)检测IP碎片攻击 攻击描述:由于不同类型的网络,链路层数据帧都 有—个上限.如果I1)数据包的长度超过了这个上限, 就要分片处理,各自路由到主机后要进行重组,因此黑 客就利用碎片重组算法进行攻击.著名的Teardrop攻 击是在短时问内发送成对的偏移量有重叠的IP分片, 目标接收到这样的分片会导致协议栈的崩溃。 图6 IP分片攻击检测 A:接收到IP包且分片标记为l,转人状态l; B:规定的时间片中,接收到一个包的所有分 片,转人状态2; C:比较IP包长度与包头中声明的包总长度,不 相等则进人状态3; 依据上面介绍的检测过程,利用检查网络人侵 的原语提出检测IP碎片攻击的简单算法: int CheckIPfragment(receivedIPPacket){ state=SO; while(TRUE) {switch(state) case SO: if(ip—is frazgment(receiveIPPacket)=TRUE) state:S1; case Sl: if(timer—exceed()=FALSE&&receive— all—frag(receiveIPPacket)=TRUE) steate=S2; case S2: if(ip一魄一overlap(reeeivelPPaeket)=FALSE; alert();break;} return 0;} 2)检测TCP Syn Flooding攻击 攻击描述:在短时间内,攻击者发送大量SYN 报文建立TCP连接,在服务器端发送应答包后,客 户端不发出确认,服务器端会维持每个连接直到超 时,这样会使服务端的TCP资源迅速枯竭,导致正 常连接不能进入. 懈决方式:当客户端发出的建立TCP连接的 SYN包时,便跟踪记录此连接的状态,直到成功完 成或超时.同时统计在规定时间内,接受到这种 SYN包的个数超过了某个规定的临界值,则发生 TCP Syn Flooding攻击. 检测实现:状态图如图6所示. 维普资讯 http://www.cqvip.com
82 哈尔滨理工大学学报 第11卷 A:检查包的协议项,若该协议项为TCP协议, 用了状态转换分析检测针对主机的攻击,然而并未 则转入状态1; 涉及网络的相关信息.本文参考了国内外相关资料, B:检查TCP头的选项,若flag选项为SYN,则 从原理上说明了状态转移图可以明确地对复杂的攻 转入状态2; 击进行表示,基于状态的检测方法对于检测复杂攻 C:打开计时器和计数器,在规定时间内,接收 击的可行性,并且通过实例证明本文提出的算法均 到这种SYN包的个数超过临界值则发生攻击. 通过了程序验证,此方法是有效的. 4 相关工作比较 5 结 语 从以上分析可知,协议分析技术克服了传统检 本文介绍了协议分析技术在入侵检测中的应 测技术计算量大、检测准确率低的不足,而且发展基 用,并通过对实例分析来阐述本技术的直观性和可 于状态的协议分析技术有助于发现更加复杂的黑客 用性.在实际应用中可以融合传统特征模式匹配技 攻击.基于状态的协议分析技术考虑数据包的前后 术的优点以及其他技术,从而弥补了协议分析技术 关系,检查在一个会话中所有的通信.对于具有多步 对某些攻击检测的不足,可构建高效、准确、全面的 骤的攻击,状态转换分析是有效的检测方法之一.文 入侵检测与防护系统. [6]中根据攻击引起的主机操作系统的状态改变使 参考文献: [1]THEUNS V,RAY H.Intrusion Detection Techniques and Approachcs[J]_Computer Communications,2002,25:1356—1365. [2]FIDLDING R.Gypertesxt Transfer Protocol:HTYP/1.1[S].RFC2621,1999. [3] 刘文涛.Linux网络入侵检测系统[M].北京:电子工业出版社,2004. [4]DRIAN C,JAY B,JANES C.Foster,Jefey PosIuns.Snort7..0入侵检测[M].北京:国防工业出版社,2004. [5]SRAHIS J,REIMANN M.Quality Information Systems in Advanced Manufacturing Environments[J].Quality Engineering,1996,(8):419—431. f 6] ILGUN K,KEMMERER R A,PORRAS P A.State Transition Analysis:A Rule—based Intursion Detection Approach[J].Software Engineering, IEEE Transactions on,1995,21(3):181—199. (编辑:付长缨)
因篇幅问题不能全部显示,请点此查看更多更全内容