`
soardragon
  • 浏览: 316908 次
  • 性别: Icon_minigender_1
  • 来自: 郑州
社区版块
存档分类
最新评论

协议分析的优势—HTTP分析器检测网络攻击

阅读更多

从性能、效率、检测率、误报率等各方面看,使用协议分析的入侵检测系统比起使用简单模式匹配的入侵检测系统有着较大的优势。下面我们就以HTTP协议为例,结合KIDS(金诺网安入侵检测系统)中使用的HTTP分析器,对这两种方法进行比较说明。
GET/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dirHTTP/1.0
一个针对IIS的Unicode攻击的第一步一般是通过浏览器送出类似下面这样一个HTTP请求:
TCPdport:80;content:“%c1%1c”/i;alert:“IISUnicodeDirectoryTraversal”
TCPdport:80;content:“cmd.exe”/i;alert:“Attempttoexecutecmd”
使用模式匹配的入侵检测系统会使用类似于下面的规则进行检测:
第一条规则表示,如果检测到一个TCP包发向80端口,并且其中含有字符串“%c1%1c”,系统就发出报警“IISUnicodeTraversal”;第二条规则表示,如果检测到一个TCP包发向80端口,并且其中含有字符串“cmd.exe”(忽略大小写),系统就发出报警“Attempttoexecutecmd”。
抛开实现上的优化等问题,这样一个系统有着下面两个严重缺陷:
●误报 这个方法不考虑TCP连接是否已建立,也不考虑匹配字串会不会可能是合法数据的一部分。特别是后一情况尤为严重。拿换码序列“%c1%1c”来说,它完全可以是Cookie或GET/POST数据中的合法成员。
●漏报 这一检测方法要求匹配字串出现在同一数据包中,攻击者完全可以使用多个数据包来实施这一攻击。使用Telnet目标主机80,然后直接在命令行上输入上面的HTTP请求并加上两个回车,就可以发出攻击,而这样的攻击可能使用了多至64个数据包。攻击者也可以对“cmd.exe”进行换码处理——如使用“%63md.exe”,上面的第二条检测规则就完全没用了。
KIDS中的HTTP分析器恰恰是针对这两个缺陷设计的。它具有以下特点:
●使用插件方式运行时动态载入 如果不需要对HTTP进行监测,可以不加载HTTP分析器以节省网络传感器的内存开销。
●KIDS引擎的TCP流重组能力:可对分散在多个数据包中的HTTP请求进行分析处理。
●完整获取整个HTTP请求:可对请求超长(可能为缓冲区溢出攻击)进行判断,即使一个HTTP请求跨越了多个TCP包。
●完整分析HTTP0.9、HTTP1.0和HTTP1.1协议:可对一个HTTP连接中的多个HTTP请求分别进行分析处理。
●可对向代理服务器发出的HTTP请求进行分析处理。
●把HTTP请求分解为方法、主机、路径、查询字串等部分分别进行分析处理。对路径部分会进行解码处理,并对解码前后的路径分别进行检验。
HTTP分析器里的规则是以XML的方式分层进行组织。我们主要关心的HTTP方法是“GET”、“HEAD”和“POST”,所以我们在Method中对此进行了规定;这意味着,我们只对这三种类型之一的完整HTTP请求进行分析处理。HTTP及其代理的常用端口80、3128和8080在network部分用port标签进行了规定。rules部分中的host可规定禁止访问的网站(以域名形式)。path部分规定了如何对解码前的路径进行检验,而path_decoded部分规定了如何对解码后的路径进行检验。对于包含“%63md.exe”的路径,HTTP分析器解码后会先得到“cmd.exe”,然后很容易就能在规则中匹配到,并产生编号为1056的事件。HTTP分析器会把事件号和相关信息以统一的格式递交给响应模块做下一步处理。
综上所述,KIDS中的HTTP分析器以独立的检测器模块方式工作,对HTTP请求进行分析处理,能够更可靠、更有效地对通过HTTP协议发起的攻击进行检测。显然,以模块化的方式对高层协议进行分析处理,将是未来入侵检测的方向。

分享到:
评论

相关推荐

    HTTP协议详解.pdf

    2. **协议分析的优势—HTTP分析器检测网络攻击**:通过分析HTTP流量,可以检测到潜在的网络攻击,例如SQL注入、XSS攻击等。 3. **HTTP协议ContentLength限制漏洞导致拒绝服务攻击**:攻击者可能通过发送过大的...

    基于数据挖掘的企业网络入侵检测系统的建立.pdf

    一个典型的基于数据挖掘的网络入侵检测系统主要由六个部分组成:数据预处理、异常分析器、规则库、模式挖掘器、规则生成器和报警器。数据预处理模块负责将原始数据转换为适合数据挖掘的数据模式,并清理无效或噪音...

    HTTP协议详解

    - **协议分析的优势**:使用HTTP分析器检测网络攻击,增强网络安全。 - **Content-Length限制漏洞**:可能导致拒绝服务攻击,需合理设置。 - **利用HTTP特性进行攻击**:研究防御策略,防止恶意利用。 - **HTTP指纹...

    浅谈SDN环境下基于BP神经网络的DDoS攻击检测方法.pdf

    【SDN环境下的DDoS攻击检测】在软件定义网络(SDN)中,由于网络控制平面与数据平面的分离,DDoS(分布式拒绝服务)攻击成为了一大安全挑战。DDoS攻击通过傀儡主机大量注入无效流量,消耗控制器资源,阻碍正常服务。...

    基于N⁃gram算法的网络安全风险检测系统设计.pdf

    协同分析模块则由协同采集器、协同分析器、协同传感器和协同管理器组成,它们相互协作,对网络流量进行深度分析,以发现潜在的安全威胁。 网络安全风险检测模块利用N-gram算法进行协议分析和特征匹配。协议分析通过...

    网络分析器Omni3中文介绍

    ### 网络分析器Omni3中文介绍 #### 一、引言 随着现代企业的数字化转型加速,网络已经成为支撑企业运营的关键基础设施。Omni3作为一款由WildPackets公司开发的下一代分布式网络分析系统,旨在帮助企业更好地理解和...

    网络游戏-基于软件定义网络的DDoS攻击跨层协同检测方法.zip

    总的来说,这个压缩包文件中的内容可能是对如何利用SDN的优势,设计一个跨层协同的DDoS攻击检测系统进行深入探讨,这对于理解现代网络防御技术,尤其是游戏行业的安全防护具有重要价值。通过这种方式,我们可以更好...

    Http协议详解(中文版)

    例如,HTTP分析器可以用来检测网络攻击,HTTP协议的Content-Length限制漏洞可能被利用造成拒绝服务攻击。此外,还介绍了Http指纹识别技术,这是一项识别Web服务器的技术,可以用来了解目标服务器的软硬件配置。 ...

    http协议详解

    2. **协议分析的优势—HTTP分析器检测网络攻击**:利用HTTP分析器可以有效地检测潜在的网络攻击。 3. **HTTP协议ContentLength限制漏洞导致拒绝服务攻击**:说明Content-Length字段的不正确设置可能导致的拒绝服务...

    分布式SOM结合K-均值聚类的软件定义网络泛洪攻击检测方法.pdf

    泛洪攻击是一种常见的网络攻击类型,攻击者会向网络发送大量无用或恶意的数据包,以使网络设备过载,导致网络服务中断或性能下降。在SDN环境中,由于网络设备的流表可能会被泛洪攻击产生的大量流条目填满,因此处理...

    网络入侵分析 Dshell

    4. **安全研究**:用于学术研究和教育,理解网络攻击机制和防御策略。 综上所述,Dshell 是一款强大的网络入侵分析工具,凭借其 Python 基础和对 IPv4/IPv6 的支持,能有效地帮助安全专业人员保护网络环境免受威胁...

    SDN环境下基于Renyi熵的低速率分布式拒绝攻击的检测.pdf

    这一成果的提出,为网络安全研究者和工程师提供了新的思路和技术参考,有助于提高网络攻击检测和防御的能力。 在实际应用中,该方法可以通过设置一个滑动窗口(sliding window),不断接收新的PACKET_IN消息,并...

    VoIP系统中RTP攻击的实现与防范

    它能够提供端到端的网络传输服务,并且支持多种编解码器,确保高质量的媒体流传输。RTP本身并不负责建立连接或协商参数,这些功能通常由其他协议如SIP(Session Initiation Protocol)来完成。RTP的主要职责在于确保...

    网络异常流量监测和用户行为分析

    2. **模式匹配**:利用已知的攻击模式或特征,例如特定端口的异常流量激增(如445端口的震荡波攻击),来检测潜在的安全威胁。 3. **Dark IP监测**:通过监控未分配或未使用的IP地址的流量活动,来发现未经授权的...

Global site tag (gtag.js) - Google Analytics