面向高速網(wǎng)絡(luò)環(huán)境的歧義流量矯正處理技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的日新月異的發(fā)展，網(wǎng)絡(luò)攻擊形式從簡單的、單一的攻擊模式向復(fù)雜的、大規(guī)模的、隱蔽的攻擊形式發(fā)展，其中攻擊者通過結(jié)合多種攻擊手段構(gòu)造歧義數(shù)據(jù)流量，使得該數(shù)據(jù)流量在入侵檢測系統(tǒng)和終端主機解析結(jié)果的不一致，從而繞過入侵檢測系統(tǒng)的檢測，成功實施攻擊。因此對于入侵檢測系統(tǒng)的實時性、準確性提出了巨大的挑戰(zhàn)。
　　本文的主要工作是以面向高速網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全為背景，主要針對歧義問題的規(guī)范化數(shù)學描述、高速網(wǎng)絡(luò)環(huán)境下哈希算法的選擇，以及

2、流量預(yù)處理引擎的設(shè)計與實現(xiàn)三個方面進行深入的研究，本文的主要工作概括如下：
　　第一、目前參考該領(lǐng)域的相關(guān)文獻時，缺乏對歧義規(guī)范的描述和定義。為此本文對歧義的概念給出了規(guī)范的定義和描述，對IP層、TCP/UDP層，相關(guān)的協(xié)議有可能出現(xiàn)的歧義分析并給出解決方案。比如，在IP層通過對IP分片進行預(yù)定義的策略進行重組，對TCP分段的重疊區(qū)域進行矯正，從而使得在終端主機和NIDS之間的解釋一致。
　　第二、在對IP層和TCP層報文處

3、理的時候需要用到hash函數(shù)，hash函數(shù)的散列性的優(yōu)與劣,直接影響系統(tǒng)的性能，因此本文提出了高低地址交叉異或HLC-XOR（High and Low Cross-XOR）,本文將嚴格的按照信息論中的相關(guān)定義，對此算法進行理論分析和采用因特網(wǎng)分析合作組織 CAIDA[1]和美國網(wǎng)絡(luò)應(yīng)用研究國家實驗室N LAN R[2]提供的真實網(wǎng)絡(luò)報文進行HLC-XO R的算法評估測試。
　　第三、通過對規(guī)避網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS（Networ

4、k based Intrusion Detection Sys te m）檢測的攻擊進行深入的研究，分析了攻擊者通過利用精心構(gòu)造的報文在終端主機和N IDS之間產(chǎn)生不同的語義，在本文中稱作“歧義”，從而規(guī)避N IDS檢測。為了使得同一條流[3][4][30]在終端主機和NIDS解析結(jié)果一致，有效地檢測出隱藏在網(wǎng)絡(luò)流量中的insertion和evasion攻擊，提出并設(shè)計實現(xiàn)了流量預(yù)處理引擎TPE（Traffic Preprocess E