入侵检测常用方法【基于状态协议分析技术的入侵检测研究】

　　【摘要】计算机和互联网技术正在改变人类社会的面貌，与之伴随而来的是信息和网络安全的问题。入侵检测是一种积极主动防御的网络技术，它通过对系统或网络中的若干关键点的信息进行检测分析，从而发现是否有违反安全策略的行为，提供了对内部供给、对外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。按照检测技术，入侵检测系统可以分为异常检测和特征检测。文章比较了各种入侵检测技术，提出了利用基于状态的协议分析技术检测多步骤等复杂攻击的有效性，但面对高速发展的网络，也提出了这种深度检测的技术存在着的弊端。
　　【关键词】状态协议　分析　入侵检测
　　
　　一、引言
　　
　　在网络技术高速发展的今天，人们越来越依赖于网络进行信息的处理。因此，网络安全就显得相当重要，随之产生的各种嘲络安全技术也得到了不断的发展。防火墙、加密等技术，总的来说均属于静态的防御技术。如果单纯依靠这些技术，仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术，它不仅能检测未经授权的对象入侵。而且也能监视授权对象对系统资源的非法使用。
　　传统的入侵检测系统一般都采用模式匹配技术，但由于技术本身的特点，使其具有计算量大、检测效率低等缺点，而基于协议分析的检测技术较好地解决了这些问题，其运用协议的规则性及整个会话过程的上下文相关性，不仅提高了入侵检测系统的速度，而且减少了漏报和误报率。
　　
　　二、协议分析技术
　　
　　1.模式匹配技术
　　特征检测的传统方法是模式匹配技术，模式匹配技术是早期入侵检测系统采用的分析方法，其基本原理是在一个单独早期入侵检测系统采用的分析方法。随着攻击手段和方法变种的多样，攻击特征库技术实用技术会变得无比庞大，需要的计算量将是攻击特征字节数、数据包字节数、每秒的数据包数和数据库的攻击特征数的乘积，显然单一的模式匹配方法已经不能适应网络的发展。
　　
　　2.协议分析技术
　　协议分析是新一代IDS系统探测攻击手法的主要技术，它利用网络协议的高度规则性快速探测攻击的存在。协议分析需要对数据包根据其所属协议的类型，将其解码后再分析。相对于模式匹配技术，它更准确，分析速度更快。
　　利用协议分析技术可以解决以下问题：
　　(1)分析数据包中命令字符串。比如，黑客经常使用的HTYP攻击，因为在HTTP协议允许用十六进制表示URL中
　　(2)进行IP碎片重组，防止IP碎片攻击。不同类型的网络，链路层数据帧都有一个上限。如果IP层数据包的长度超过了这个上限，就要分片处理，各自路由到达主机以后要进行重组。因此，黑客可以利用碎片重组算法进行攻击。
　　(3)减低误报率。由于简单模式识别很难限定匹配的开始点和终结点，也就不能准确地定位攻击串的位置，当某协议的其他位置出现该字串时也会被认为是攻击串，这就产生了误报现象。
　　
　　三、基于状态协议分析的入侵检测实现
　　
　　协议分析方法可以根据协议信息精确定位检测域，分析攻击特征-有针对性地使用详细具体的检测手段，提高了检测的全面性、准确性和效率。针对不同的异常和攻击，灵活定制检测方式。由此可检测大量异常。但对于一些多步骤，分布式的复杂攻击的检测单凭单一数据包检测或简单重组是无法实现的。所以，在协议分析基础上引入状态转移检测技术，下面就分析利用基于状态的协议分析技术检测一些典型入侵的实现。
　　根据网络协议状态信息分析，所有网络都能以状态转移形式来描述・状态转移将攻击描述成网络事件的状态和操作(匹配事件)，被观测的事件如果符合有穷状态机的实例(每个实例都表示一个攻击场景)，都可能引起状态转移的发生。如果状态转移到一个危害系统安全的终止状态，就代表着攻击的发生。这种方式以一种简单的方式来描述复杂的人侵场景，步式攻击。
　　借助声明原语来计算状态转换的条件，包括数据包和网络日志原语，如检查IP地址是否是假冒地址的原语ip_saddr_fake(ip_packet)，检查包总长度选项中所声明长度与实际长度是否一致的原语ip fray_overlap(ip-packet)，等等。
　　
　　1.检测TCP syn Flooding攻击
　　攻击描述：在短时间内，攻击者发送大量SYN报文建立TCP连接，在服务器端发送应答包后，客户端不发出确认，服务器端会维持每个连接直到超时，这样会使服务端的TCP资源迅速枯竭，导致正常连接不能进入。
　　解决方式：当客户端发出的建立TCP连接的SYN包时，便跟踪记录此连接的状态，直到成功完成或超时。同时，统计在规定时间内，接受到这种SYN包的个数超过了某个规定的临界值，则发生TCP Syn Flooding攻击o
　　
　　2.检测FTP会话
　　一个FTP会话可以分为以下四个步骤：
　　(1)建立控制连接。FTP客户端建立一个TCP连接到服务器的FTP端21；
　　(2)客户身份验证。FTP用户发送用户名和口令，或用匿名登陆到服务器；
　　(3)执行客户命令。客户向服务器发出命令，如果要求数据传输，则客户使用一个临时端口和服务器端口20建立一个数据连接进行数据的传输；
　　(4)断开连接。FTP会话完成后，断开TCP连接。
　　客户端通过身份验证后才合法执行命令，以LIST命令为例，LIST命令列表显示文件或目录，将引发一个数据连接的建立和使用，客户端使用PORT命令发送客户IP地址和端口号给服务器用于建立临时数据连接。
　　
　　四、小结
　　
　　从网络安全多层次的防御的角度出发。入侵检测已经受到越来越多的关注，入侵检测技术也有了长足的发展。然而。入侵检测依然面临着许多问题：随着能力的提高，入侵者会研制更多的攻击工具，使用更为复杂精致的攻击手段；攻击者采用加密手段传输攻击信息；入侵检测系统自身的安全性也面临考验；同时，网络速度的增长已经大大超过了处理器的发展，所以集中地解决方案已经到了他们的极限。特别是如果想要进行深入地、基于状态入侵检测分析，这种情况就更明显了。既然这样，传感器不得不在进行中保存攻击的信息(如多步骤攻击)或对包的内容进行应用层的分析。这些工作都是极其耗费资源，并且在单结点安装会严重影响到基本数据包正常捕获。