簡介
日前,啟明星辰公司成功設計並實現了一種高效的協定自識別方法—VFPR方法 (Venus Fast Protocol Recognition)。VFPR方法對所有網路協定進行統計分析和對現有協定自識別方法進行了深入研究,基於協定指紋匹配和協定規則驗證技術實現,能夠在網路協定通信初期根據前期網路報文特徵自動識別所屬協定類型,具有識別準確率高、實時性好、通用性強,及運行效率高等優點。
當前主流IDS/IPS產品都廣泛採用套用層協定深層解析技術來實現基於協定攻擊特徵和協定異常的入侵檢測。而要真正實現對套用協定數據流的正確解析,必須首先正確判斷該協定數據流的協定類型。目前多數IDS/IPS產品都基於連線埠映射機制來判別套用協定數據流所屬協定類型,比如:如發現捕獲的網路報文中源或目的連線埠為80 ,則認為它為HTTP協定相關報文,對這些網路報文進行流重組後直接交給HTTP 協定分析引擎進行協定解碼和入侵檢測。
新的挑戰
但隨著各種新型網路協定以及各種惡意軟體的出現,這種基於連線埠映射來判別網路報文所屬協定類型的方法正受到嚴峻挑戰:
1) 目前湧現出了一批新型網路協定,包括SIP和P2P協定等,它們並不採用固定協定連線埠,而是在協定運行過程中動態協商連線埠,因此無法預先為這些協定設定套用協定類型判別連線埠;
2) 各種木馬、間諜和殭屍等惡意軟體,它們為躲避IDS/IPS產品的入侵檢測都採用了一些特殊的處理方式,主要表現為:
· 並不使用固定通信連線埠進行通信;
· 採用公知連線埠(比如80連線埠)進行私有協定通信;
· 採用隧道技術進行私有協定通信(比如HTTP隧道技術)。
3) 一些有經驗的管理員經常將一些常見網路套用服務移到非周知連線埠,以降低來自外部攻擊的風險係數;
4) 有大量的服務(比如ftp)運行在非周知的默認連線埠之上(比如2121),對於該類型服務的攻擊,一般的IDS都會因為無法判斷通信報文的協定歸屬而產生漏報。
由此可見,網路報文連線埠將不再是一種可靠的套用協定類型識別方法,需要一種能夠根據套用協定數據流特徵來智慧型識別其所屬協定類型的協定自識別方法,並且該方法的準確性、實時性和算法效率將直接影響到產品誤報率和漏報率。為了讓讀者更好地理解協定自識別技術的重要性,先讓我們來看一個案例。
典型案例
A企業由於業務需要,在其業務網路環境中部署了一台郵件伺服器,並配置標準SMTP連線埠25作為其對外服務連線埠。同時,出於安全性考慮,A企業想在其企業內部部署一台IDS,以實現對該郵件伺服器的重點安全防範。由於B廠家IDS提供了高層協定SMTP解析功能,A企業認為它可以基本滿足其安全需求,因此就購買並部署了B廠家的IDS系統。
某天,A企業網路管理員發現該郵件伺服器遭到了來自外部的遠程漏洞溢出攻擊。雖然本次攻擊沒有成功,但考慮到安全性,網路安全管理員將在郵件伺服器的開放服務連線埠從標準STMP25號連線埠移動到了20000,並作了一些安全加固工作。沒過幾天,該伺服器再次遭到外部攻擊,重要郵件全部丟失,但是該廠家IDS沒有報警。在與B廠家技術人員進行溝通後得知,該廠家IDS沒有協定自識別功能,它依據標準25號連線埠來識別SMTP協定類型,如果更換SMTP服務連線埠,B廠家的IDS無法正確識別20000連線埠上的SMTP服務報文,對於黑客的針對SMTP郵件伺服器的攻擊滲透毫無知覺,最後,損失慘重。唉,要是有協定自識別就好了!
現有協定自識別技術不足
目前,市場上僅有少數幾款IDS/IPS產品具有這種協定自識別功能,但是它們存在以下不足:
1) 有些方法單純基於協定數據流所包含的某個關鍵字就認為識別出了其所屬協定類型,比如當匹配到”GET”關鍵字時就認為是HTTP協定,而沒有對本次協定識別結果進行驗證,缺點是誤報率高;
2) 有些協定自識別方法將整個協定數據流當作一個文本,採用文本分類和檢索方法來識別其所屬協定類型,因此無法識別二進制格式的協定;
3) 有些協定自識別方法工作時需要捕獲未知協定流的多數網路報文,存在協定識別結果上的滯後性,無法滿足實時性要求;
4) 現有多數協定自識別方法算法實現複雜,並且沒有採用有效的最佳化措施來提高協定自識別的性能,導致IDS/IPS產品在開啟協定自識別功能後性能低下,因此默認情況下關閉此功能。
啟明星辰協定自識別技術優勢
在對現有協定自識別方法進行深入研究以及對目前所有網路協定進行統計分析後,啟明星辰公司成功設計了一種高效的協定自識別方法——VFPR方法 (Venus Fast Protocol Recognition)。該協定自識別方法基於協定指紋識別和協定規則驗證技術實現,能夠在網路協定通信初期根據前期網路報文特徵自動識別所屬協定類型,並採用預先建立的協定驗證規則進一步驗證協定識別結果正確性。VFPR方法包括前期協定樣本特徵提取和線上協定識別兩個階段,其中,協定樣本特徵提取階段包括協定類型樣本的協定指紋提取和相應協定驗證規則建立過程,協定識別階段包括協定指紋快速匹配和協定識別結果快速驗證等過程方法。VFPR方法的協定指紋識別過程基於快速哈希表方法實現,而協定驗證規則執行過程基於高效的專用網路報文處理虛擬機實現。
與其它協定自識別方法相比較,VFPR方法優勢在於:
· VFPR方法同時支持對文本格式和二進制格式協定,功能完備;
· 僅依據協定流前期報文就可以識別協定類型,可以滿足實時性要求;
· 一旦識別成功,可以智慧型記憶識別結果,對後繼的通信可以起到“協定導航”的作用,既提高了效率,又避免了因識別時機滯後所帶來的漏報;
· 識別規則可以靈活配置,可以像升級事件特徵庫一樣定期對協定指紋庫進行遠程線上升級,以增加新的協定識別規則;
· VFPR方法效率高,並可基於配置檔案在協定識別結果準確率和算法效率之間進行調整,模組靈活性和可操作性強,可滿足各種套用場景。
目前,VFPR方法已經成功套用到啟明星辰的天闐IDS產品中,測試結果表明,VFPR方法的實時性和準確率高,算法開銷較小,在不影響現有IDS檢測引擎性能的情況下,有效提高了天闐IDS產品的檢測準確率。
