近期,市場上研發(fā)了一種高效的協(xié)議自識別方法—VFPR方法 (Venus Fast Protocol Recognition)。VFPR方法對所有網(wǎng)絡(luò)協(xié)議進(jìn)行統(tǒng)計分析和對現(xiàn)有協(xié)議自識別方法進(jìn)行了深入研究，基于協(xié)議指紋匹配和協(xié)議規(guī)則驗證技術(shù)實現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報文特征自動識別所屬協(xié)議類型，具有識別準(zhǔn)確率高、實時性好、通用性強，及運行效率高等優(yōu)點。

        當(dāng)前主流IDS/IPS產(chǎn)品都廣泛采用應(yīng)用層協(xié)議深層解析技術(shù)來實現(xiàn)基于協(xié)議攻擊特征和協(xié)議異常的入侵檢測。而要真正實現(xiàn)對應(yīng)用協(xié)議數(shù)據(jù)流的正確解析，必須首先正確判斷該協(xié)議數(shù)據(jù)流的協(xié)議類型。目前多數(shù)IDS/IPS產(chǎn)品都基于端口映射機制來判別應(yīng)用協(xié)議數(shù)據(jù)流所屬協(xié)議類型，比如：如發(fā)現(xiàn)捕獲的網(wǎng)絡(luò)報文中源或目的端口為80 ，則認(rèn)為它為HTTP協(xié)議相關(guān)報文，對這些網(wǎng)絡(luò)報文進(jìn)行流重組后直接交給HTTP 協(xié)議分析引擎進(jìn)行協(xié)議解碼和入侵檢測。但隨著各種新型網(wǎng)絡(luò)協(xié)議以及各種惡意軟件的出現(xiàn)，這種基于端口映射來判別網(wǎng)絡(luò)報文所屬協(xié)議類型的方法正受到嚴(yán)峻挑戰(zhàn)：

        1)目前涌現(xiàn)出了一批新型網(wǎng)絡(luò)協(xié)議，包括SIP和P2P協(xié)議等，它們并不采用固定協(xié)議端口，而是在協(xié)議運行過程中動態(tài)協(xié)商端口，因此無法預(yù)先為這些協(xié)議設(shè)置應(yīng)用協(xié)議類型判別端口;

        2)各種木馬、間諜和僵尸等惡意軟件，它們?yōu)槎惚躀DS/IPS產(chǎn)品的入侵檢測都采用了一些特殊的處理方式，主要表現(xiàn)為：

▲并不使用固定通信端口進(jìn)行通信;

▲采用公知端口(比如80端口)進(jìn)行私有協(xié)議通信;

▲采用隧道技術(shù)進(jìn)行私有協(xié)議通信(比如HTTP隧道技術(shù))。

        3)一些有經(jīng)驗的管理員經(jīng)常將一些常見網(wǎng)絡(luò)應(yīng)用服務(wù)移到非周知端口，以降低來自外部攻擊的風(fēng)險系數(shù);

        4)有大量的服務(wù)(比如ftp)運行在非周知的默認(rèn)端口之上(比如2121)，對于該類型服務(wù)的攻擊，一般的IDS都會因為無法判斷通信報文的協(xié)議歸屬而產(chǎn)生漏報。

        由此可見，網(wǎng)絡(luò)報文端口將不再是一種可靠的應(yīng)用協(xié)議類型識別方法，需要一種能夠根據(jù)應(yīng)用協(xié)議數(shù)據(jù)流特征來智能識別其所屬協(xié)議類型的協(xié)議自識別方法，并且該方法的準(zhǔn)確性、實時性和算法效率將直接影響到產(chǎn)品誤報率和漏報率。為了讓讀者更好地理解協(xié)議自識別技術(shù)的重要性，先讓我們來看一個案例。

典型案例
        A企業(yè)由于業(yè)務(wù)需要，在其業(yè)務(wù)網(wǎng)絡(luò)環(huán)境中部署了一臺郵件服務(wù)器，并配置標(biāo)準(zhǔn)SMTP端口25作為其對外服務(wù)端口。同時，出于安全性考慮，A企業(yè)想在其企業(yè)內(nèi)部部署一臺IDS，以實現(xiàn)對該郵件服務(wù)器的重點安全防范。由于B廠家IDS提供了高層協(xié)議SMTP解析功能，A企業(yè)認(rèn)為它可以基本滿足其安全需求，因此就購買并部署了B廠家的IDS系統(tǒng)。[nextpage]

        某天，A企業(yè)網(wǎng)絡(luò)管理員發(fā)現(xiàn)該郵件服務(wù)器遭到了來自外部的遠(yuǎn)程漏洞溢出攻擊。雖然本次攻擊沒有成功，但考慮到安全性，網(wǎng)絡(luò)安全管理員將在郵件服務(wù)器的開放服務(wù)端口從標(biāo)準(zhǔn)STMP25號端口移動到了20000，并作了一些安全加固工作。沒過幾天，該服務(wù)器再次遭到外部攻擊，重要郵件全部丟失，但是該廠家IDS沒有報警。在與B廠家技術(shù)人員進(jìn)行溝通后得知，該廠家IDS沒有協(xié)議自識別功能，它依據(jù)標(biāo)準(zhǔn)25號端口來識別SMTP協(xié)議類型，如果更換SMTP服務(wù)端口，B廠家的IDS無法正確識別20000端口上的SMTP服務(wù)報文，對于黑客的針對SMTP郵件服務(wù)器的攻擊滲透毫無知覺，最后，損失慘重。唉，要是有協(xié)議自識別就好了!

現(xiàn)有協(xié)議自識別技術(shù)不足
        目前，市場上僅有少數(shù)幾款I(lǐng)DS/IPS產(chǎn)品具有這種協(xié)議自識別功能，但是它們存在以下不足：

        1)有些方法單純基于協(xié)議數(shù)據(jù)流所包含的某個關(guān)鍵字就認(rèn)為識別出了其所屬協(xié)議類型，比如當(dāng)匹配到”GET”關(guān)鍵字時就認(rèn)為是HTTP協(xié)議，而沒有對本次協(xié)議識別結(jié)果進(jìn)行驗證，缺點是誤報率高;

        2)有些協(xié)議自識別方法將整個協(xié)議數(shù)據(jù)流當(dāng)作一個文本，采用文本分類和檢索方法來識別其所屬協(xié)議類型，因此無法識別二進(jìn)制格式的協(xié)議;

        3)有些協(xié)議自識別方法工作時需要捕獲未知協(xié)議流的多數(shù)網(wǎng)絡(luò)報文，存在協(xié)議識別結(jié)果上的滯后性，無法滿足實時性要求;

        4)現(xiàn)有多數(shù)協(xié)議自識別方法算法實現(xiàn)復(fù)雜，并且沒有采用有效的優(yōu)化措施來提高協(xié)議自識別的性能，導(dǎo)致IDS/IPS產(chǎn)品在開啟協(xié)議自識別功能后性能低下，因此默認(rèn)情況下關(guān)閉此功能。

啟明星辰協(xié)議自識別技術(shù)優(yōu)勢
        在對現(xiàn)有協(xié)議自識別方法進(jìn)行深入研究以及對目前所有網(wǎng)絡(luò)協(xié)議進(jìn)行統(tǒng)計分析后，啟明星辰公司成功設(shè)計了一種高效的協(xié)議自識別方法——VFPR方法 (Venus Fast Protocol Recognition)。該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術(shù)實現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報文特征自動識別所屬協(xié)議類型，并采用預(yù)先建立的協(xié)議驗證規(guī)則進(jìn)一步驗證協(xié)議識別結(jié)果正確性。VFPR方法包括前期協(xié)議樣本特征提取和在線協(xié)議識別兩個階段，其中，協(xié)議樣本特征提取階段包括協(xié)議類型樣本的協(xié)議指紋提取和相應(yīng)協(xié)議驗證規(guī)則建立過程，協(xié)議識別階段包括協(xié)議指紋快速匹配和協(xié)議識別結(jié)果快速驗證等過程方法。VFPR方法的協(xié)議指紋識別過程基于快速哈希表方法實現(xiàn)，而協(xié)議驗證規(guī)則執(zhí)行過程基于高效的專用網(wǎng)絡(luò)報文處理虛擬機實現(xiàn)。

與其它協(xié)議自識別方法相比較，VFPR方法優(yōu)勢在于：
        ▲VFPR方法同時支持對文本格式和二進(jìn)制格式協(xié)議，功能完備;

        ▲僅依據(jù)協(xié)議流前期報文就可以識別協(xié)議類型，可以滿足實時性要求;

        ▲一旦識別成功，可以智能記憶識別結(jié)果，對后繼的通信可以起到“協(xié)議導(dǎo)航”的作用，既提高了效率，又避免了因識別時機滯后所帶來的漏報;

        ▲識別規(guī)則可以靈活配置，可以像升級事件特征庫一樣定期對協(xié)議指紋庫進(jìn)行遠(yuǎn)程在線升級，以增加新的協(xié)議識別規(guī)則;

        ▲VFPR方法效率高，并可基于配置文件在協(xié)議識別結(jié)果準(zhǔn)確率和算法效率之間進(jìn)行調(diào)整，模塊靈活性和可操作性強，可滿足各種應(yīng)用場景。

        目前，VFPR方法已經(jīng)成功應(yīng)用到啟明星辰的天闐IDS產(chǎn)品中，測試結(jié)果表明，VFPR方法的實時性和準(zhǔn)確率高，算法開銷較小，在不影響現(xiàn)有IDS檢測引擎性能的情況下，有效提高了天闐IDS產(chǎn)品的檢測準(zhǔn)確率。