基于Snort的Modbus TCP工控协议异常数据检测规则设计

工业控制网络通信协议的脆弱性是导致工控网络遭受攻击的主要因素。Modbus TCP是工控网络的典型通信协议。在对Modbus TCP协议进行脆弱性分析的基础上,结合Snort检测机制对典型的异常行为进行归类,提出了一种用于Snort的Modbus TCP协议异常数据流检测模板。Modbus TCP的分析和规则模板的设计方法也可推广至其他基于工业控制协议的网络,具有一定的普适性。

A Real-Time TCP Stream Reassembly Mechanism in High-Speed Network

With the continual growth of the variety and complexity of network crime means, the traditional packet feature matching cannot detect all kinds of intrusion behaviors completely. It is urgent to reassemble network stream to perform packet processing at a semantic level above the network layer. This paper presents an efficient TCP stream reassembly mechanism for real-time processing of high-speed network traffic. By analyzing the characteristics of network stream in high-speed network and TCP connection establishment process, several polices for designing the reassembly mechanism are built. Then, the reassembly implementation is elaborated in accordance with the policies. Finally, the reassembly mechanism is compared with the traditional reassembly mechanism by the network traffic captured in a typical gigabit gateway. Experiment results illustrate that the reassembly mechanism is efficient and can satisfy the real-time property requirement of traffic analysis system in high-speed network.

基于Snort-wireless的分布式入侵检测系统研究与设计

为了解决无线局域网存在的安全隐患,该文设计了基于Snort-wireless的分布式入侵检测模型。该模型利用开源、免费和易于扩展的Snort-wireless实现客户端的网络入侵检测引擎,利用VC++开发了控制中心,并且采用加密的TCP/IP协议实现客户端与控制中心之间的安全通信。同时,该模型符合入侵检测的标准框架CIDF,使该模型在性能、重用性以及可扩展性方面得到保证。

基于TCP选项域的信息隐藏算法研究

基于网络协议的信息隐藏技术的研究目的在于利用协议的规范或其实现的漏洞,在普通的网络数据包中嵌入隐藏信息。入侵检测工具Snort对TCP选项域的处理存在漏洞,RFC793对TCP选项域的一些使用限制也过于宽松。针对这些漏洞的设计了两种利用TCP选项域嵌入隐藏信息的信息隐藏算法,这些算法可以逃避Snort的检查;并分析了算法的隐蔽信道带宽,给出了算法的伪代码,并在实际环境中进行了验证。

安全存储系统中TCP流还原加速策略研究

在TCP状态中,当连接两端非正常关闭时,出现的CLOSING状态会增加许多不必要的等待时间.为了提高安全存储系统中TCP流还原的效率,结合Snort中Splay树排序算法从TCP状态机、定时器和流还原算法3个方面对TCP流还原加以改进.提出约去CLOSING状态的同时删去时间等待定时器,并在流还原中采用Hash表对大量TCP流进行管理,采用Splay树对属于同一条流的分段进行排序.实验表明,改进后TCP流还原的效率有了明显提升.

一种基于硬件的10G网络中TCP流处理方法

近年来,设计高速的网络设备用以在流层面进行分组处理,一直是工业界和学术界的研究热点。10G网络下的TCP流处理同时面临性能问题和异常情况的处理。真实流量的许多特性,会导致基于硬件的TCP流处理系统内存耗尽。针对这种情况,提出并实现了一种用于10G网络中TCP流处理的硬件设计方法,能够处理百万量级TCP流的分组重组和状态跟踪。该解决方案提出了大规模流表的流替换算法和对全局流表的快速的单轮访问方式,采取了对乱序数据缓冲管理的主动释放策略,设计了一种无链的数据结构,保证了最坏情况下的处理时间要求。仿真结果显示,该系统可以处理超过99%的10G网络流量。基于FPGA的硬件原型也验证了系统的设计。

基于Hadoop的海量数据TCP报文重组技术

当前基于单机系统的传输控制协议(TCP)报文重组工具随着数据量的增大,运行效率越来越低,难以满足大数据时代的需求。为此,提出一种基于Hadoop的海量数据TCP报文重组系统。利用Hadoop分布式文件系统(HDFS)以及MapReduce并行处理框架,对TCP报文重组中的数据读取和结果输出步骤进行并行化处理。采用M apReduce辅助排序技术实现海量TCP数据流的分类。测试结果表明,与基于单机系统的报文重组工具相比,基于Hadoop的报文重组系统工作效率更高,并且当数据量达到100 GB时,运行效率可提升近84%。

小设备上IPv4/v6双协议栈的TCP模块的设计与实现

介绍了一个基于小设备(LCNA)的无操作系统支持的IPv4/v6双协议栈,涉及到内存管理,着重于TCP模块的设计和实现。详细介绍了针对小设备硬件资源有限的特性而对TCP模块(TCP输入模块,TCP输出模块和定时器模块)所做的设计以及相应的实现,包括几个TCP头部选项的特殊处理,重组队列的设计和优化,校验和的省略,定时器的管理和维护等等。

利用区间管理算法实现的TCP流重组技术

流量分片重组技术作为获取网络流量的基础技术之一,在网络空间的复杂情况下,一直都有各种各样的局限性。针对大流量高并发场景的传输控制协议(Transport Control Protocol,TCP)流量重组需求,详细调研了主流的分片重组技术的优缺点,拓展了适用于数据报文的区间管理算法,对TCP流重组流程进行优化,解决了目前在大流量高并发场景下,TCP流重组效率低、重组完整度不足的问题。

IP分片重组算法(RFC815)的实现及其改进

分片与重组是IP机制之一。IP数据报可以在网关处被分片,各分片分别送达。目的主机的IP层将接收到的所有分片重装成一个完整的数据报。介绍了IP分片重组的原理,在此基础上介绍了RFC815算法的实现,并对重组算法做了优化改进,在保证安全性的同时提高算法的效率。

分组一致性哈希数据分割方法

针对分布式入侵检测系统进行数据分割时面临的数据完整性和负载均衡问题,提出一种分组一致性哈希数据分割方法。采用TCP流重组技术保证数据的完整性;在对数据进行分割时,采用改进的分组一致性哈希算法,将具有相近计算能力的结点分为一组,根据组的计算能力,将各组按比例交替映射到整个数据哈希值计算对应的空间;在数据分配时,对结点的负载进行检测和动态调整。仿真测试结果表明,该方法具有较高的检测率,算法所需虚拟结点数量减少,降低了内存占用,提高了系统的负载均衡性。

IP分片算法研究及其在嵌入式系统中的应用

分片重组是IP协议层的主要功能之一。该文介绍分片重组算法的原理,并在RFC815及Linux系统下实现该算法,提出一种在嵌入式系统中实现该算法的方案,同时进行测试。实验结果表明,该方案是可行的。

一种新的ATM专用协议栈的语义描述

一、引言 人TM(异步传输模式)提供了诸如高带宽、服务质量(QOS)约定等一系列优良特,可望成为未来B一IsDN的首选基础传输技术。要使ATM技术真正得到广泛应用。

智能配电系统入侵检测方法研究

针对智能配电系统在运行过程中经常遇到的关键技术问题,从防入侵的角度出发,分析研究了Snort开源入侵检测系统,总结了现有Modbus/TCP协议异常报文入侵检测规则。在此基础上提出了基于白名单模型的Modbus/TCP异常报文入侵检测方法,给出了白名单入侵检测模型及其算法。在Visual Studio平台设计开发了白名单规则生成系统,并说明了白名单规则的生成过程及原理。搭建了测试系统,通过试验证明了基于白名单模型的Modbus/TCP异常报文入侵检测方法的可行性。

V2协议分析技术在入侵检测系统中的应用研究

通过深入讨论协议分析技术的原理,给出了一种通用的基于协议分析技术入侵检测系统模型。通过实践证明,该模型对网络信息安全有一定的理论和实际价值。

基于服务器安全的入侵检测系统在Linux系统上实现

为防止黑客入侵,提出一种在Linux环境下实现网络入侵检测系统的实现方法.此系统由嗅探器、分析器和处理器组成.程序用C语言实现.针对网络层与传输层的IP攻击、ICMP攻击、UDP攻击、TCP攻击特征和数据报做了详细的分析;在网络入侵检测的实现上,使用IP重组预处理和模式匹配相结合的方法,提升了系统检测网络攻击行为的能力,两种检测方法成为有效的互补.

改进的一致性哈希算法及应用

针对分布式入侵检测中的数据分割问题,给出一种改进的一致性哈希算法。该算法针对采集的数据包,通过TCP流重组建立TCP数据链,保证数据流的完整性;再通过结点的分组对一致性哈希算法进行改进,并实现组间和组内的数据分配,减少虚拟结点数量;对结点的负载均衡检测和调整策略,改善了系统的负载均衡性。仿真测试结果表明该算法具有较好的负载均衡性。

基于FPGA的TOE网卡设计与实现

为进一步减轻CPU的负担,有效增加系统性能,描述一种基于FPGA的TCP减负引擎系统的设计与实现。该TOE网卡将部分TCP协议软件处理下移到FPGA中实现,以硬件的方法实现报文分类和TCP流还原等流量处理功能。实验数据表明,使用TOE网卡可以大幅降低主机的CPU占用率。

Snort入侵检测系统中TCP流重组的研究

文章通过分析Snort入侵检测系统的源代码,剖析了snort入侵检测系统的TCP流重组的原理及实现,给出了相关数据结构和算法流程,介绍了针对流重组模块的攻击及Snort对此的防御策略,最后指出现有TCP流重组技术几点不足及若干新的研究方向。

一个网络监控系统NMBPD的设计与实现

为了提高网络管理人员对广播网络的监控能力,提出一个基于NDIS协议驱动程序的网络监控(Network Monitoring Based on NDIS Protocol Driver,简称为NMBPD)系统模型.通过实现一个基于NDIS协议驱动程序的数据包捕获驱动程序,能高效地捕获原始数据包,此外,设计并实现一个轻量级的协议栈以及能处理4种最流行的应用层协议的解析器,并通过实验对NMBPD系统进行了测试.NMBPD系统可以监控广播网络上的所有主机的活动,降低了网络管理难度.