入侵逃逸技术综述.doc

入侵逃逸技术综述.doc:..入侵逃逸技术综述摘要:现今入侵检测防御系统已被广泛应用部署以应对日益严峻的网络安全问题,致使简单的攻击信令失去了效果,为此入侵逃逸技术被提出并研究。现有的入侵逃逸技术主要从网络层和应用层两个方面进行研究,旨在逃避常见入侵检测防御系统的检测。本文通过介绍主要的入侵逃逸技术及其实现原理,以帮助读者对入侵逃逸技术有系统性的认识。关键词:网络安全;入侵检测;逃逸技术中图分类号:TP3OverviewofIntrusionEvasionTechniquesWangLeii,ShuangKai2(workTechnologyResearchInstitution,munications,Beijing100876;workTechnologyResearchSchool,munications,Beijing100876)Abstract:;IntrusionDetection;EvasionTechnique0引言近些年,网络安全事件越发频繁,由此造成的损失难以估计,为此各大组织机构都开始部署入侵检测防御系统以保护各自的信息系统。所谓入侵检测防御系统就是一套设备或应用软件,可以监测网络或者系统,能够发现恶意行为并产生警告或采取一定应对措施。⑴⑵⑶入侵检测防御系统系统所采用的检测攻击的方法主要包括基于特征的检测方法14㈣6J和基于异常行为的检测方法⑺⑻两种,前者会查找网络流中的己知攻击签名,后者则通过机器学习的方式来发现网络流中的异常行为。通常网络攻防技术是相互促进发展的,为了应对入侵检测防御系统的检测,入侵逃逸技术被提出并研究。所谓入侵逃逸技术就是对原有的攻击载荷进行变换或处理的技术,以便能够逃脱入侵检测防御系统的检测,达到入侵后端服务器的目的。现有的入侵逃逸技术主要从网络层和应用层两个层次进行研究。本文将详细介绍各个入侵逃逸技术的原理及实施过程,以便使读者对入侵逃逸技术有系统性的认识,为研究相应的防范措施提供理论基础。1网络层逃逸技术网络层逃逸技术主要利用IP分组的分片重组机制、TCP流的组装机制等[⑵IW实施逃逸,主要包括:(1)碎片化,(2)分片重叠,(3)分片覆盖,(4)分片超时。,或者将每个TCP段分裂成很多个细小的IP分组,每个IP分片或者IP分组中包含的信息很少甚至只有一个字节的信息量。要检测其中的内容就需要把大量的ip分片或者分组进行组装,这