入侵检测系统的并行协议重组算法

入侵检测系统的并行协议重组算法内容提要•现有入侵检测系统的发展状况和不足•研究意义和目标•并行协议重组算法的研究方案•工作进度安排现有入侵检测系统的发展状况目前国际上入侵检测的研究主要集中在美国，有许多研究得到政府和军方的支持，并在实际环境中应用，而且还有大量的商用入侵检测工具如NFR公司（NetworkFlightRecorder,Inc）的入侵检测系统——IDA（IntrusionDetectionAppliance）等。国际上对入侵检测系统的标准化工作已经开始起步。现有入侵检测系统的发展状况大多数基于网络流量的入侵检测系统只能在IP层进行数据分析，无法对采用了“拆包攻击”的入侵手段进行正确检测。有些NIDS系统例如DefenseWorxIDS有协议重组功能，可以重组一个TCP/IP会话。入侵检测系统的不足（一）•不重组数据包分片•NIDS的三个重要性能参数：–能重组的最大的IP分片数–能同时重组的IP包数–能进行重组的最大的IP数据报的长度入侵检测系统的不足（二）•结合上面的三个参数，即为NIDS在超时时间（例如15秒）内能同时准备进行最大值（例如644K）的IP数据报重组的数目。•如果NIDS接收到的数据包超过上述的极限，NIDS不得不丢包，从而发生DoS攻击。入侵检测系统的不足（三）•如果NIDS不能进行TCP流重组，则可以通过TCP分段来绕过NIDS。一些异常的TCP分段将迷惑一些NIDS。•大流量冲击：攻击者向被保护网络发送大量的数据，超过NIDS的处理能力有限，将会发生丢包的情况。入侵检测系统的不足（四）•资源和处理能力的局限–如果NIDS希望提高能够同时处理的IP碎片重组及TCP连接监控能力，这将需要更多的内存做换冲，如果NIDS的内存分配及管理不好的话，将使系统在某种特殊的情况下耗费大量的内存，如果开始使用虚拟内存，则将有可能发生内存抖动。–通常硬盘的速度远远比不上网络的速度，如果系统产生大量的报警纪录到硬盘，将耗费掉大大量的系统处理能力，如果系统纪录原始网络数据，保存大量和高速的网络数据将需要昂贵的大容量。并行协议重组算法鉴于以上不足，我们提出针对不同应用层协议的IP包自适应重组方法，并采用并行计算来减轻甚至消除重组线程对系统性能负面影响。预期目标•在不增加丢包率的前提下，对“拆包发送”攻击行为的漏报率小于5%•能工作在高速网络环境中•提高NIDS系统的性能参数指标•提高NIDS系统本身的安全性可行性分析•应用层协议重组属于易并行计算，每个完整的会话之间相关性很小。•不同的应用层协议之间相关性也很小，可以分配到不同节点上计算。并行协议重组的主要架构探测器•任务：负责监听网络中的数据包。•方法：调用libpcap库，将网卡设为混合模式，侦听网络中所有的数据帧，也可以设置过滤端口，只接收某些端口的数据帧，例如25端口，就可以只对SMTP协议进行处理。任务分配器•任务：负责接收一个或多个探测器发送过来的数据包；按照一定的规则划分子任务，发送给二级任务分配器。•方法：任务分配器中存有一张二维链表，将数据包按照四元组（源、目的地址；源、目的端口号）唯一确定其所属的会话链。当会话链的长度到达预定值时，发送给二级任务分配器。二级任务分配器•任务：接收任务分配器发送的待重组会话链，按照一定的规则发送给各计算单元，并接收各计算单元的返回值，将重组完的文件写入数据库中。计算单元•任务：负责接收二级任务分配器的计算任务，并返回计算结果。•方法：按照要重组协议的规则，将数据帧的包头去掉，将数据部分拼接在一起，组成应用层协议的内容。计算单元的任务改进之处•提高了NIDS系统的性能参数指标•减轻了应用层协议重组带来的计算负载•可以适应高速网络环境•在发生DOS攻击的情况下系统仍然可以处理其他会话的协议重组•当一个任务分配器或二级任务分配出现问题时，系统仍然能够运作。IPv6的并行协议重组算法•在IPv6中的基本首部中取消了标识、标志和偏移字段，这些包含在分片扩展首部中•在IPv6中加密的安全有效载荷首部是新的。IPv6的并行协议重组算法•要解决的问题：怎样快速将加密过的数据转换成明文。•思路：并行实现破解加密数据项目计划（1）•2002.10－2002.12初步确立研究方案，制定工作计划，完成算法和系统模型的初步设计•2003.1—2003.4完善算法和系统模型，并编码实现•2003.5-2003.7对实现结果进行性能分析和评价，并进一步优化算法设计项目计划（2）•2003.8-2003.11针对IPv6提出协议重组算法•2003.12-2004.1毕业论文及答辩结束语