论文题目: 高速网络环境下变体攻击的研究与检测
论文类型: 硕士论文
论文专业: 计算机系统结构
作者: 周鹏
导师: 龚俭
关键词: 网络入侵,变体攻击,会话流重组,编码
文献来源: 东南大学
发表年度: 2005
论文摘要: 随着互联网技术的不断发展,网络入侵技术也不断进步。其中,针对网络入侵检测系统NIDS(NetWork Intrusion Detect System)的变体攻击技术具有很强的隐蔽性和可利用性,造成越来越大的危害。变体攻击中,会话流重组和URL编码变体攻击相对来说较难检测。目前,NIDS针对这两种攻击有缓存法和在线分析法两种检测技术。缓存法相对比较成熟,但是这种技术对NIDS系统的内存容量和I/O性能依赖较高,无法同时检测大量的并发会话流。在线检测技术还处于初级阶段,不能检测到URL编码变体攻击,而且其性能仍然不够理想。本论文以网络入侵防范系统Monster为研究背景,对已有的在线检测技术进行改进,提高检测性能,并增加对URL编码变体攻击的检测能力。在线检测技术下,分组重组和分组扫描是同时进行的,因而比缓存法节省检测系统重组所需的缓存。但是,在线检测技术的分片扫描为了给分片重组提供必要的摘要信息,不能使用NIDS常用的多模式精确匹配算法,如AC、BM等。多模式精确匹配算法DawgMatch能够满足分片重组的需要,但该算法的性能低于AC算法。论文使用加权边技术消除了DawgMatch在扫描过程中的回溯现象,从而提高了DawgMatch算法的运行性能。分析结果显示,改进后的DawgMatch在理论复杂度与AC算法近似,并且实际性能也在DawgMatch与AC算法之间。同时,论文还对现有的分组重组进行改进,利用推导出的对等因子切换公式解决了原有的技术下分组检测时不能完全拼接的问题,进一步降低了在线检测技术所需的缓存空间。理论分析证明,在极限情况下,改进后的空间占用是改进前的1/2。针对在线检测技术不能处理URL编码变体攻击的问题,论文在对URL编码研究的基础上,提出了在线解码限制的概念,它描述了在线检测技术所能处理的编码。论文还借鉴了DawgMatch的思想,提出了在线解码算法HOD。该算法可以对所有符合在线解码限制的编码实行译码,包括目前已知的所有URL编码。分析结果显示,HOD的理论复杂度与原有的在线检测技术近似,没有明显降低系统性能。论文将所提的算法应用于抗变体的会话流检测模块AASOA,该模块处于Monster系统中的报文检测部分。利用NIDS评估工具AOLES系统对Monster进行评估后的结果表明,改进后的Monster系统能够可以稳定处理200kpps左右的网络流量。即使是并发流数超过500k,会话到达率110k/sec的极限情况下,Monster系统仍然能够正常运作。在会话重组检测领域中,目前已知的测试报告没有更高的数据记录。论文最后对研究工作进行了展望,指出了增量式规则更新技术以及对更多编码的处理能力是将来研究工作的重点。
论文目录:
摘要
Abstract
第一章 绪论
1.1 入侵检测与变体攻击
1.2 研究背景
1.3 论文研究内容与目标
1.4 论文结构
第二章 基于 DAWG 的多模式精确匹配算法-WDAWGMATCH
2.1 DAWG 基本概念介绍
2.2 多模式精确匹配算法DAWGMATCH
2.3 DAWGMATCH 算法分析
2.4 WDAWGMATCH 算法
2.5 WDAWGMATCH 算法的理论复杂度
2.6 小结
第三章 高速乱序流多模式精确匹配算法-HOMM
3.1 OLR 算法思想
3.2 OLR 算法理论分析
3.3 OLR 的改进—HOMM 算法
3.4 HOMM 算法理论分析
3.5 小结
第四章 乱序流 URL 串解码算法—HOD
4.1 URL 编码
4.2 串解码算法—DAWGDECODE
4.3 DAWGDECODE 算法分析
4.4 在线乱序流解码算法—HOD
4.5 HOD 算法理论分析
4.6 HOD 算法与HOMM 算法的衔接
4.7 小结
第五章 抗变体会话流检测机的设计
5.1 会话流检测
5.2 系统实现模型
5.3 接口设计
5.4 小结
第六章 算法的评估
6.1 背景知识
6.2 算法的正确性验证
6.3 算法的性能分析
6.4 小结
第七章 工作总结和展望
7.1 工作总结
7.2 展望
参考文献
致 谢
作者简介
在校期间从事的科研和发表文章
发布时间: 2007-06-11
参考文献
- [1].高速网络环境下并行入侵检测技术的研究与实现[D]. 赵文斌.北京邮电大学2017
- [2].高速网络环境下的网络入侵检测系统设计[D]. 赵刚.哈尔滨理工大学2005
- [3].高速网络环境下入侵检测系统的设计与实现[D]. 薛鹏.华中科技大学2009
- [4].高速网络环境下入侵检测系统性能优化研究[D]. 孙珂珂.郑州大学2009
- [5].高速网络环境下的入侵检测技术研究[D]. 孙丙腾.山东大学2012
- [6].面向高速网络环境的歧义流量矫正处理技术研究[D]. 刘宝超.国防科学技术大学2014
- [7].高速网络环境下入侵检测系统的研究实现[D]. 李欣.北京邮电大学2016
- [8].高速网络环境下应用层协议识别技术的研究与实现[D]. 张超超.北京邮电大学2017
- [9].面向高速网络环境的实时入侵检测系统的研究与实现[D]. 凌质亿.东南大学2016
- [10].基于ELM的入侵与恶意代码分类技术研究[D]. 周棒棒.湖南师范大学2018
相关论文
- [1].基于可控域的网络攻击追踪技术研究[D]. 肖丹.解放军信息工程大学2007
- [2].公众网络环境中的ARP欺骗攻击与防范方法[D]. 金涛.上海交通大学2007
- [3].基于攻击图的网络安全分析方法的研究[D]. 崔建清.上海交通大学2008
- [4].计算机网络安全漏洞检测与攻击图构建的研究[D]. 赵芳芳.上海交通大学2008
- [5].网络攻击行为仿真的研究与实现[D]. 郝宁.解放军信息工程大学2006
- [6].防御拒绝服务攻击的网络安全机制研究[D]. 殷勤.上海交通大学2006
- [7].入侵检测系统数据流重组研究[D]. 李玮.合肥工业大学2007
- [8].新型网络攻击实验平台关键技术的研究与实现[D]. 龙灿.华南师范大学2007
- [9].IP网络中的拒绝服务攻击及反向追踪方法的研究[D]. 杨雪芹.西安电子科技大学2006
- [10].一种新型网络攻击源追踪方案及实现[D]. 陈科峰.重庆大学2007