文档介绍:入侵检测系统的�并行协议重组算法
内容提要
现有入侵检测系统的发展状况和不足
研究意义和目标
并行协议重组算法的研究方案
工作进度安排
现有入侵检测系统的发展状况
目前国际上入侵检测的研究主要集中在美国,有许多研究得到政府和军方的支持,并在实际环境中应用,work Flight Recorder, Inc)的入侵检测系统——IDA(Intrusion Detection Appliance)等。国际上对入侵检测系统的标准化工作已经开始起步。
现有入侵检测系统的发展状况
大多数基于网络流量的入侵检测系统只能在IP层进行数据分析,无法对采用了“拆包攻击”的入侵手段进行正确检测。
有些NIDS系统例如Defense Worx IDS有协议重组功能,可以重组一个TCP/IP会话。
入侵检测系统的不足(一)
不重组数据包分片
NIDS的三个重要性能参数:
能重组的最大的IP分片数
能同时重组的IP包数
能进行重组的最大的IP数据报的长度
入侵检测系统的不足(二)
结合上面的三个参数,即为NIDS在超时时间(例如15秒)内能同时准备进行最大值(例如644K)的IP数据报重组的数目。
如果NIDS接收到的数据包超过上述的极限,NIDS不得不丢包,从而发生DoS攻击。
入侵检测系统的不足(三)
如果NIDS不能进行TCP流重组,则可以通过TCP分段来绕过NIDS。一些异常的TCP分段将迷惑一些NIDS。
大流量冲击:攻击者向被保护网络发送大量的数据,超过NIDS的处理能力有限,将会发生丢包的情况。
入侵检测系统的不足(四)
资源和处理能力的局限
如果NIDS希望提高能够同时处理的IP碎片重组及TCP连接监控能力,这将需要更多的内存做换冲,如果NIDS的内存分配及管理不好的话,将使系统在某种特殊的情况下耗费大量的内存,如果开始使用虚拟内存,则将有可能发生内存抖动。
通常硬盘的速度远远比不上网络的速度,如果系统产生大量的报警纪录到硬盘,将耗费掉大大量的系统处理能力,如果系统纪录原始网络数据,保存大量和高速的网络数据将需要昂贵的大容量。
并行协议重组算法
鉴于以上不足,我们提出针对不同应用层协议的IP包自适应重组方法,并采用并行计算来减轻甚至消除重组线程对系统性能负面影响。
预期目标
在不增加丢包率的前提下,对“拆包发送”攻击行为的漏报率小于5%
能工作在高速网络环境中
提高NIDS系统的性能参数指标
提高NIDS系统本身的安全性