● 摘要
TCP会话重组以及其承载的应用层内容的提取是网络安全发展的一个重要方向,当下网络安全的需求已经从IP/TCP层静态安全需求逐步转向TCP会话以及应用层内容的动态安全。目前众多网络安全设备的研发方向不再是ACL等过滤规则,而更关注如何在应用层上实施保护。而互联网应用中大部分重要的应用都基于面向连接的TCP协议,因此,对TCP会话的跟踪以及对其承载的应用层信息的解码、内容提取成为网络安全研究和相关产品开发的前提条件。论文就“TCP会话重组”、“HTTP协议解码与还原”、“TELNET协议解码与还原”的原理和实现技术进行全面调研,并结合本企业安全产品开发的需求进行分析。“TCP会话重组”实现在被动监听数据包的条件下,将接收到的TCP会话数据包根据TCP控制标志位信息重组成一次完整的会话,提取其中的负载内容,以供应用层进行内容提取,并实现对TCP会话缓冲区的管理。“HTTP协议解码与还原”实现HTTP指令与HTML文本的分离,并对各种类型如双字节、%u****、UTF8等URI请求进行格式化,统一为Unicode编码格式,作为入侵检测模式匹配模块的输入。“TELNET协议解码与还原”实现对TCP 21、23、25、119四个端口的协议指令的解码,根据TELNET会话协商过程中传输模式的不同,调整缓冲区大小,并将TELNET协议中的NVT格式转换为可供匹配处理的ASCII格式或某种操作系统支持的格式,提供给入侵检测模式匹配模块进行处理。论文描述了三个模块的开发细节,并阐述模块如何以插件的形式应用于本企业“NeTrust IDS入侵检测系统”产品中。经过实际环境测试,三个插件的开发和应用对提高该产品的入侵检测准确率起到一定的作用。该安全产品通过了中华人民共和国公安部信息安全产品认证中心的认证测试,获取了信息安全产品销售许可证。论文最后对完整的IDS系统进行评估总结,介绍了本系统具有的特点以及可能的部署方案。
相关内容
相关标签