亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

入侵檢測(cè)系統(tǒng)IDS的協(xié)議分析與模式匹配
2006-06-29   賽迪網(wǎng)社區(qū) 

目前,絕大多數(shù)IDS(入侵檢測(cè)系統(tǒng))的檢測(cè)機(jī)制還停留在:基本的數(shù)據(jù)包捕獲加以非智能模式匹配與特征搜索技術(shù)來(lái)探測(cè)攻擊。而協(xié)議分析能夠智能地“理解”協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而避免了模式匹配所做的大量無(wú)用功——導(dǎo)致所需計(jì)算的大量減少。

特征模式匹配技術(shù)的流程

模式匹配技術(shù)按照以下方式進(jìn)行操作:

網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包都被檢查,尋找攻擊特征;

與攻擊特征相同長(zhǎng)度的一組字節(jié)從可疑數(shù)據(jù)包首部取出,并對(duì)兩組字節(jié)進(jìn)行比較;

如果兩組字節(jié)一樣,攻擊特征即被檢測(cè)出來(lái);

如果兩組字節(jié)不一樣,攻擊特征“前移一個(gè)字節(jié)”,重復(fù)比較流程;

第二次檢測(cè)時(shí),特征與數(shù)據(jù)包中第二位開(kāi)始的字節(jié)進(jìn)行比較;

該流程被重復(fù),每次的比較起始位置都增加一個(gè)字節(jié),直到所有的數(shù)據(jù)字節(jié)都與攻擊特征進(jìn)行比較。

特征模式匹配技術(shù)的兩個(gè)缺陷

特征模式匹配技術(shù)有兩個(gè)最根本的缺陷:

計(jì)算的負(fù)載——持續(xù)該運(yùn)算法則所需的計(jì)算量極其巨大,對(duì)于滿負(fù)載的100Mbps以太網(wǎng),需要的計(jì)算量將是:(攻擊特征字節(jié)數(shù))×(數(shù)據(jù)包字節(jié)數(shù))×(每秒的數(shù)據(jù)包數(shù))×(數(shù)據(jù)庫(kù)的攻擊特征數(shù))。假設(shè)一個(gè)攻擊特征有20字節(jié),平均數(shù)據(jù)包大小為300字節(jié),每秒30000個(gè)數(shù)據(jù)包,數(shù)據(jù)庫(kù)有2000個(gè)攻擊特征,我們每秒就需要有360000000000字節(jié)的計(jì)算量。這樣的計(jì)算速率遠(yuǎn)遠(yuǎn)超過(guò)當(dāng)今技術(shù)允許的范圍。折中的方法就是通過(guò)在發(fā)現(xiàn)一個(gè)字節(jié)不匹配時(shí)就放棄繼續(xù)對(duì)比,認(rèn)為該數(shù)據(jù)包安全,這樣可以構(gòu)造出一個(gè)所謂部分覆蓋的IDS。因?yàn)檫@種系統(tǒng)有性能問(wèn)題困擾,因此容易被黑客利用。

探測(cè)準(zhǔn)確性——第二個(gè)根本的缺陷是模式匹配/特征搜索技術(shù)使用固定的特征模式來(lái)探測(cè)攻擊。使用固定的特征模式就只能探測(cè)出明確的、唯一的攻擊特征,即便是最輕微變換的攻擊串都會(huì)被忽略。

特征模式匹配IDS的根本問(wèn)題

一個(gè)基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實(shí)含義和最終效果。在模式匹配系統(tǒng)中,每一個(gè)這樣的變化都要求攻擊特征數(shù)據(jù)庫(kù)增加一個(gè)特征記錄。這種技術(shù)運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫(kù)實(shí)際上是徒勞的,最后的結(jié)果往往是付出更高的計(jì)算負(fù)載,而導(dǎo)致更多的丟包率,也就產(chǎn)生遺漏更多攻擊的可能,黑客們往往利用這種缺陷進(jìn)行攻擊。

基于模式匹配技術(shù)的IDS的根本問(wèn)題在于它把數(shù)據(jù)包作為一系列隨機(jī)變換的字節(jié)流,它假設(shè)數(shù)據(jù)包的結(jié)構(gòu)不可知。當(dāng)模式匹配被用來(lái)從大量隨機(jī)變化數(shù)據(jù),如一個(gè)數(shù)據(jù)影像或一個(gè)音頻流中搜索特征模式時(shí),可以說(shuō)是一個(gè)正確明智的方法。模式匹配軟件最初就是為分析數(shù)據(jù)影像和音頻信息而開(kāi)發(fā)的。但很明顯,分析數(shù)據(jù)影像和分析網(wǎng)絡(luò)通信協(xié)議是截然不同的。模式匹配軟件可以在入侵檢測(cè)系統(tǒng)中使用,但它絕不是理想的,因?yàn)樗旧砭筒皇潜辉O(shè)計(jì)來(lái)完成這種任務(wù)的。

熱詞搜索:

上一篇:入侵防御系統(tǒng)IPS,技術(shù)成熟了嗎?
下一篇:IPS(入侵防御系統(tǒng))蘋(píng)果熟了嗎?

分享到: 收藏