论文部分内容阅读
当前,随着网络上低层防御措施的加强,以往通常发生在低层的攻击,如分布式拒绝服务(Distributed Denial of Service,DDoS)攻击等,逐渐向应用层转移,以高层服务器资源作为攻击目标。越来越多的网络攻击和病毒都出现在应用层,因而在应用层级别上加强对网络的防护就成为了当务之急。在这种情况下,一项创新的网络数据包检测技术便应运而生——深度包检测技术DPI(Deep Packet Inspection),它采用状态监测和应用检测结合的方式,通过特征字符串的匹配,以处理应用程序在网络中产生的流量。
本课题是国家863项目“基于应用行为规范的网络主动实时防护系统”的一个子课题,采用深度包检测原理,深入分析已知的常用应用层协议,如HTTP协议、FTP协议、POP3协议和SMTP协议等,通过抓包软件Wireshark等工具解剖数据包,提取收集协议特征关键词,在Linux的L7-filter—userspace平台上使用多模式字符匹配算法来检测数据流中的关键词/关键特征,识别数据流的应用;在识别的基础上,跟踪数据流的状态,并对各个关键词间转移的时间间隔及字节长度等进行统计,从而能够迅速检测出应用的异常行为,不再需要人工从海量的数据中,判断是否存在攻击和威胁。
实验结果表明,本文设计的系统可以识别出HTTP协议、FTP协议、POP3协议和SMTP协议等的数据包,准确有效地检测数据包所包含的关键词/关键特征,把检测结果作为对应用会话过程的观测值,从而达到检测用户行为,发现有害网络行为的目标。