高速網(wǎng)絡(luò)環(huán)境下變體攻擊的研究與檢測(cè).pdf

1、高速網(wǎng)絡(luò)變體攻擊檢測(cè)與研究周鵬，龔儉東南大學(xué)隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)入侵技術(shù)也不斷進(jìn)步。其中，針對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS(NetWorkIntrusionDetectSystem)的變體攻擊技術(shù)具有很強(qiáng)的隱蔽性和可利用性，造成越來越大的危害。變體攻擊中，會(huì)話流重組和URL編碼變體攻擊相對(duì)來說較難檢測(cè)。目前，NIDS針對(duì)這兩種攻擊有緩存法和在線分析法兩種檢測(cè)技術(shù)。緩存法相對(duì)比較成熟，但是這種技術(shù)對(duì)NIDS系統(tǒng)的內(nèi)存容量和I/O性能

2、依賴較高，無法同時(shí)檢測(cè)大量的并發(fā)會(huì)話流。在線檢測(cè)技術(shù)還處于初級(jí)階段，不能檢測(cè)到URL編碼變體攻擊，而且其性能仍然不夠理想。本論文以網(wǎng)絡(luò)入侵防范系統(tǒng)Monster為研究背景，對(duì)已有的在線檢測(cè)技術(shù)進(jìn)行改進(jìn)，提高檢測(cè)性能，并增加對(duì)URL編碼變體攻擊的檢測(cè)能力。 在線檢測(cè)技術(shù)下，分組重組和分組掃描是同時(shí)進(jìn)行的，因而比緩存法節(jié)省檢測(cè)系統(tǒng)重組所需的緩存。但是，在線檢測(cè)技術(shù)的分片掃描為了給分片重組提供必要的摘要信息，不能使用NIDS常用的多模

3、式精確匹配算法，如AC、BM等。多模式精確匹配算法DawgMatch能夠滿足分片重組的需要，但該算法的性能低于AC算法。論文使用加權(quán)邊技術(shù)消除了DawgMatch在掃描過程中的回溯現(xiàn)象，從而提高了DawgMatch算法的運(yùn)行性能。分析結(jié)果顯示，改進(jìn)后的DawgMatch在理論復(fù)雜度與AC算法近似，并且實(shí)際性能也在DawgMatch與AC算法之間。同時(shí)，論文還對(duì)現(xiàn)有的分組重組進(jìn)行改進(jìn)，利用推導(dǎo)出的對(duì)等因子切換公式解決了原有的技術(shù)下分組檢測(cè)

4、時(shí)不能完全拼接的問題，進(jìn)一步降低了在線檢測(cè)技術(shù)所需的緩存空間。理論分析證明，在極限情況下，改進(jìn)后的空間占用是改進(jìn)前的1/2。 針對(duì)在線檢測(cè)技術(shù)不能處理URL編碼變體攻擊的問題，論文在對(duì)URL編碼研究的基礎(chǔ)上，提出了在線解碼限制的概念，它描述了在線檢測(cè)技術(shù)所能處理的編碼。論文還借鑒了DawgMatch的思想，提出了在線解碼算法HOD。該算法可以對(duì)所有符合在線解碼限制的編碼實(shí)行譯碼，包括目前已知的所有URL編碼。分析結(jié)果顯示，HOD

5、的理論復(fù)雜度與原有的在線檢測(cè)技術(shù)近似，沒有明顯降低系統(tǒng)性能。 論文將所提的算法應(yīng)用于抗變體的會(huì)話流檢測(cè)模塊AASOA，該模塊處于Monster系統(tǒng)中的報(bào)文檢測(cè)部分。利用NIDS評(píng)估工具AOLES系統(tǒng)對(duì)Monster進(jìn)行評(píng)估后的結(jié)果表明，改進(jìn)后的Monster系統(tǒng)能夠可以穩(wěn)定處理200kpps左右的網(wǎng)絡(luò)流量。即使是并發(fā)流數(shù)超過500k，會(huì)話到達(dá)率110k/sec的極限情況下，Monster系統(tǒng)仍然能夠正常運(yùn)作。在會(huì)話重組檢測(cè)領(lǐng)域中