基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

技术研究2012年第04期doi：10.3969/j.issn.1671-1122.2012.04.010基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究方欣，万扬，文霞，郭彩云（湖南理工学院，湖南岳阳414006）摘要：随着网络技术的发展，网络环境变得越来越复杂，对网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，包括无法解决安全后门问题，不能阻止网络内部攻击等问题。在众多的网络安全威胁中，DDoS攻击以其实施容易，破坏力度大，检测困难等特点而成为网络攻击检测与防御的重中之重。近年来，针对网络流量相关性的DDoS攻击检测方法层出不穷，文章在分析DDoS攻击检测方法的基础上，利用基于协议分析技术的网络入侵检测系统对DDoS进行研究。关键词：入侵检测；协议分析；DDoS中图分类号：TP393.08文献标识码：A文章编号：1671-1122（2012）04-0036-03DDoSAttacksBasedonProtocolAnalysisofNetworkIntrusionDetectionSystemResearchFANGXin,WANYang,WENXia,GUOCai-yun(HunanInstituteofScienceandTechnology,Yueyanghunan414006,China)Abstract:Withthedevelopmentofnetworktechnology,networkenvironmentbecomesincreasinglycomplex,networksecurity,firewalltechnologyaloneexposedtheobviousshortcomingsandweaknesses,cannotberesolvedtosecurethebackdoorproblem,cannotstoptheinternalnetworkattacks.Inalargenumberofnetworksecuritythreats,DDoSitsimplementationiseasytoundermineeffortstodetectiondifficultiesinmakingitbecomeanetworkattackdetectionandpreventionatoppriority.Inrecentyears,anendlessstreamofnetworktrafficdetectionofDDoSattacks,intheanalysisoftheDDoSattackdetectionmethodbasedontheuseofprotocolanalysistechnology-basednetworkintrusiondetectionsystemagainstDDoSresearch.Keywords:intrusiondetection;protocolanalysis;DDoS0引言分布式拒绝服务(DDoS)[1]是一种破坏性大、防范困难的攻击形式。2012年，云端平台Akamai针对互联网发展状况作出调查，报告中指出，由于互联网应用频繁，过去三年来分布式拒绝服务（DDoS）攻击越来越严重，数量上升了2000%。据调查显示，许多拥有较高网络安全技术水平的网站如Yahoo、韩国国防部、美国特情局等都曾遭到过DDoS攻击[2]。因此，如何快速高效地检测出DDoS攻击已成为信息安全研究的热点。由于DDoS攻击可以伪造源地址或目标地址，因而具有极大的隐蔽性，对其检测有一定的难度，本文采用协议分析技术，借助入侵检测系统RG-IDS，对DDoS攻击进行了检测研究。1入侵检测基础1.1入侵检测的定义入侵是指在没有授权的情况下，进行的可能危及计算机资源完整性、机密性或可用性的行为。入侵检测是指对入侵行为的检测。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策收稿时间：2011-12-23基金项目：湖南省教育厅项目资助[10C0758]、湖南省教育厅项目资助[04C272]、湖南理工学院校级大学生研究性学习和创新性实验计划项目[XSKYLX201103]作者简介：方欣（1971-），男，湖南，讲师，硕士，主要研究方向：计算机网络、信息安全；万扬（1900-），男，湖南，本科，主要研究方向：计算机网络、信息安全；文霞（1991-），女，湖南，本科，主要研究方向：计算机网络、信息安全；郭彩云（1991-），女，湖南，本科，主要研究方向：计算机网络、信息安全。36组合就是入侵检测系统，简称IDS(IntrusionDetectionSystem)。通用入侵检测框架（CommonIntrusionDetectionFramework）2012年第04期技术研究略的行为和遭到攻击的迹象。进行入侵检测的软件和硬件的[3][4]如图1所示。图1CIDF模型结构图入侵检测系统基本功能是：监视、分析用户及系统活动；发现入侵企图或异常现象；记录、报警和响应。入侵检测系统工作流程如图2所示。图2入侵检测系统工作流程入侵检测系统的分类标准有很多，比较常见是根据信息源、根据检测原理以及根据体系结构来分类。根据信息源来分类，可以被分为基于网络，基于主机和基于应用三类；根据检测原理来分类，可以被分为异常检测和误用检测两类；根据体系结构来分类可以被分为集中式、等级式和协作式三类。1.2基于网络入侵检测常用的检测方法入侵检测系统比较常见的检测方法有误用检测和异常检测两种。误用检测是对已知的攻击或入侵的方式做出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时就报警。它适合于已知使用模式的检测，只能检测到已知的入侵方式[5]。误用检测代表性的检测方法是模式匹配算法。异常检测首先建立一个的正常活动模型，然后用这个模型对系统和用户的实际活动进行审计，看是否会对系统构成威胁。异常检测的优点是通用性强，能一定程度上检测出未知攻击，但建立正常模型困难，存在误检率高和管理复杂的缺点[6]。异常检测代表性的检测方法是统计分析方法。目前还有一种基于协议分析技术的检测方法，这种方法有效地利用网络通信协议的层次性和相关协议的知识，通过分析数据包的结构和连接状态，检测可疑连接和事件，使得匹配内容大幅度减小，极大地提高了检测效率和准确性。它不仅能准确识别所有的已知攻击，还可以识别未知攻击。协议分析技术作为新一代的入侵检测技术，它有两大优势[7]：1）协议分析技术在数据包没有进行匹配时先检查数据包特定字段来判定数据包的类型，然后进行模式匹配时数据包只和指定类型的规则进行匹配，这样大大减少了所需匹配的规则数目和长度，有效的提高了检测速度与检测效率。2）协议分析技术中的命令解析器使用的命令解析技术可以对各种上层协议进行解析，对每一个用户命令作出详细的分析，还可以通过IP分片重组等手段来判断一些欺骗性复杂攻击。2基于协议分析技术的入侵检测系统基本原理基于协议分析技术的入侵检测系统基本思路是将从网上捕获的数据包按TCP/IP数据传输的反向顺序逐个将各层的首部中的关键字段解析出来[8]，然后根据各层头部的关键字段来区分出是何种协议，由各层首部中的特殊字段（如标识字段）来确定应该是何种协议，再以此协议特征进行分析来确定攻击行为本文来源于（ddos攻击器）。基于协议分析技术的入侵检测系统首先根据网络流量，截获网络数据包；然后通过协议分析来检测入侵，其基本模型如图3所示。该模型从逻辑上可分为数据采集、数据分析和显示结果三部分，符合CIDF的规范。图3基于协议分析的IDS总体框架数据采集模块负责从网络上收集原始的网络数据流，这些数据经过预处理后，被送到数据处理模块进行特征解析，数据处理模块将解析出的特征与已知的攻击特征进行匹配，根据匹配结果来判断“入侵行为”。如发现入侵行为，则及时将分析结果送到响应模块，由响应模块向控制台产生告警信息，同时将重要的数据保存起来。用户可以通过用户界面与控制台交互，通过控制台，一方面可以对各个模块进行配置，另一方面也可以接收告警信息。2.1协议分析基本流程1）预处理。RG-IDS的传感器捕获数据包后，将数据送到TCP/IP层，采用状态追踪技术，在IP分片重组、排序、TCP流重组的基础上，记录和保持Session的发起、建立和结束等状态，同时记录序列号并进行协议状态检测分析，确保不会受到IDS躲避技术的欺骗。当TCP/IP协议状态检测后，再将数据包送到应用层，该层通过协议分析技术分析每层协议，从而达到排除不属于该协议结构的各种攻击。2）分析过程。协议分析主要是从网络接口层开始，然后分析网络层，进而分析运输层，最后分析应用层，根据每层中的关键字段进入到子协议分析模块。37技术研究2012年第04期3实验Synflood是当前最流行的分布式拒绝服务攻击(DDoS)的方式之一，它是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。本实验旨在通过Hgod攻击软件来对目标主机进行Synflood攻击，使目标主机拒绝远程服务。再利用基于应用层协议分析技术的锐捷网络实时入侵检测系统检测Synflood攻击，并根据检测结果对防火墙进行相关配置，阻止攻击。3.1实验环境1）硬件环境：计算机两台，基于协议分析技术入侵检测设备一套（RG-IDS）；2）软件环境：Windows2000、WindowsXP操作系统，Hgod攻击软件。3.2实验步骤（1）选择“开始”菜单中的“运行”，输入cmd，使用Ping命令测试与目标主机的连通性，可以Ping通，结果如图4所示。3.3实验结果图7synflood攻击检测图图8攻击详细信息图实验中，目标主机用Hgod攻击软件来对目标主机展开攻击后，目标主机无法实现远程服务。同时，入侵检测系统成功地检测到了源源不断的Synflood攻击，从图8的详细信息分析，攻击是源IP（192.168.79.1）通过TCP协议进行的。对防火墙进行配置后，攻击无法成功，可以远程登录目标主机。由此可见，Synflood攻击已被阻止。图4ping目标主机正常示意图2）攻击方借用Synflood持续不断地对目标主机进行攻击，如图5所示；图5攻击开始示意图3）Snyflood攻击，影响到网络层的Ping操作，对目标主4结束语本文从入侵检测系统入手，简要介绍了入侵检测系统的分类及误用检测技术、异常检测技术与协议分析技术这三大入侵检测技术。详细分析了基于协议分析技术的入侵检测系统的构成及工作原理。并借助网络实验室中现有的网络入侵检测系统（RG-IDS），成功检测到了DDoS攻击之一的Synflood攻击，验证了入侵检测技术中协议分析技术的灵活性、准确性及高可靠性。（责编程斌）机进行Ping操作，发现慢慢丢包，直至失去连通，如图6所示；参考文献：[1]孙知信,姜举良,焦琳.DDOS攻击检测和防御模型[J].软件学报，2007，（09）：2245-2258.[2]李海伟.基于网络流量特征的DDoS攻击检测方法研究[D].湖南.湖南大学，2000.[3]薛静峰．入侵检测技术[M]．北京：机械工业出版社，2004.[4]薛玉芳，路守克，李洁琼，孙云霞.入侵检测技术框架结构分析[J].图6丢包示意图4）登陆锐捷入侵检测系统（RG-IDS），查看“安全事件”，可检测到继续不断的Synflood攻击事件，如图7所示；5）查看攻击详细信息，包括攻击源、攻击目的、攻击端口号等等，如图8所示；38中国新技术新产品，2011，（13）：17-18.[5]路慧.基于模式识别算法的网络入侵检测系统研究[D].上海：华东师范大学，2009.[6]胡军华，周炎涛，郭如冰.一种基于网络的入侵检测模型及其实现[J].湖南大学学报：自然科学版，2006，（06）：119-122.[7]陈楠.基于协议分析的网络入侵检测系统的研究和实现[D].山西：太原