日前,启明星辰公司成功设计并实现了一种高效的协议自识别方法—VFPR方法 (Venus Fast Protocol Recognition)。VFPR方法对所有网络协议进行统计分析和对现有协议自识别方法进行了深入研究,基于协议指纹匹配和协议规则验证技术实现,能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型,具有识别准确率高、实时性好、通用性强,及运行效率高等优点。
当前主流IDS/IPS产品都广泛采用应用层协议深层解析技术来实现基于协议攻击特征和协议异常的入侵检测。而要真正实现对应用协议数据流的正确解析,必须首先正确判断该协议数据流的协议类型。目前多数IDS/IPS产品都基于端口映射机制来判别应用协议数据流所属协议类型,比如:如发现捕获的网络报文中源或目的端口为80 ,则认为它为HTTP协议相关报文,对这些网络报文进行流重组后直接交给HTTP 协议分析引擎进行协议解码和入侵检测。但随着各种新型网络协议以及各种恶意软件的出现,这种基于端口映射来判别网络报文所属协议类型的方法正受到严峻挑战:
1) 目前涌现出了一批新型网络协议,包括SIP和P2P协议等,它们并不采用固定协议端口,而是在协议运行过程中动态协商端口,因此无法预先为这些协议设置应用协议类型判别端口;
2) 各种木马、间谍和僵尸等恶意软件,它们为躲避IDS/IPS产品的入侵检测都采用了一些特殊的处理方式,主要表现为:
· 并不使用固定通信端口进行通信;
· 采用公知端口(比如80端口)进行私有协议通信;
· 采用隧道技术进行私有协议通信(比如HTTP隧道技术)。
3) 一些有经验的管理员经常将一些常见网络应用服务移到非周知端口,以降低来自外部攻击的风险系数;
评论加载中…