TCP有限状态机和协议解析在伪警报去除中的应用

doi:10.3724/SP.J.1087.2011.01271

计算机应用 ›› 2011, Vol. 31 ›› Issue (05): 1271-1275.DOI: 10.3724/SP.J.1087.2011.01271

TCP有限状态机和协议解析在伪警报去除中的应用

帅春燕^1,2,江建慧¹,欧阳鑫³

1.同济大学电子与信息工程学院,上海201804
2.昆明理工大学电力工程学院,昆明650093
3.昆明理工大学信息与自动化学院,昆明650093

收稿日期:2010-10-21 修回日期:2010-12-14 发布日期:2011-05-01 出版日期:2011-05-01
通讯作者: 帅春燕
作者简介:帅春燕(1976-),女,四川成都人,讲师,博士研究生,CCF会员,主要研究方向:入侵检测、攻击关联、警报融合;江建慧(1964-),男,浙江淳安人,教授,博士生导师,主要研究方向:电路可靠性评估、容错计算、软件可靠性;欧阳鑫(1971-),男,广西柳州人,讲师,博士研究生,主要研究方向:知识表示、语义网、数据挖掘。
基金资助:
国家863计划项目(2007AA01Z142);上海市科学技术委员会信息技术领域重点科技攻关计划项目(04DZ15032;06DZ15003)。

TCP finite state machine and protocol parse applied in removal of false alerts

SHUAI Chun-yan^1,2, JIANG Jian-hui¹, OU-YANG Xin³

1. School of Electronics and Information, Tongji University, Shanghai 201804, China
2. Faculty of Electric Power Engineering, Kunming University of Science and Technology, Kunming Yunnan 650093, China
3. Faculty of Information Engineering and Automation, Kunming University of Science and Technology, Kunming Yunnan 650093, China

Received:2010-10-21 Revised:2010-12-14 Online:2011-05-01 Published:2011-05-01
Contact: shuai chunyan

摘要/Abstract

摘要： 面对入侵检测系统(IDS)产生的海量警报,提出了一种基于协议解析和传输控制协议(TCP)有限状态机的伪警报去除方法。对于无连接的请求/应答协议,同时分析请求数据包的攻击特征和应答数据包的返回状态码来去除伪警报;对于TCP,在协议分析的基础上建立TCP数据包的有限状态机的模型,通过判断系列数据包是否为同一TCP连接、是否包含攻击序列来去除伪警报。在DARPA2000的数据集上的实验结果表明,此方法的误警率平均降低了59.47%,对TCP和请求/应答协议的警报的识别率达到76.67%。该方法简单又有效,依赖IDS的攻击特征库,可以插件的形式在线实现。

关键词: 入侵检测, 请求/应答协议, 传输控制协议, 有限状态机, 协议解析, 伪警报

Abstract: Concerning the enormous alerts produced by Intrusion Detection System (IDS), a method based on protocol parse and Transfer Control Protocol (TCP) Finite State Machine (FSM) model was proposed to remove the false alerts. To the alerts produced by connectionless request/response protocol, the method made judgement through the analysis of the attack features of the request packets and return status code of response packets; to the alerts produced by the TCP, the paper parsed the packets and built up TCP FSM model to make judgement whether the series packets came from the same TCP connection, whether the TCP connection included attack sequences to remove the false alerts. Lastly the experiments made on DARPA 2000 datasets show that the proposed method can reduce the false alert more than 59.47% on average, and the alerts recognition rate of the TCP and the request/response protocol reaches 76.67%. This method is simple and efficient which depends on the attack features database of IDS, and can be implemented on line by plug-in.

Key words: intrusion detection, request/response protocol, Transfer Control Protocol (TCP), Finite State Machine (FSM), protocol parse, false alert

帅春燕江建慧欧阳鑫. TCP有限状态机和协议解析在伪警报去除中的应用[J]. 计算机应用, 2011, 31(05): 1271-1275.

SHUAI Chun-yan JIANG Jian-hui OU-YANG Xin. TCP finite state machine and protocol parse applied in removal of false alerts[J]. Journal of Computer Applications, 2011, 31(05): 1271-1275.

[1]	张师鹏, 李永忠, 杜祥通. 基于半监督学习和三支决策的入侵检测模型[J]. 计算机应用, 2021, 41(9): 2602-2608.
[2]	王月, 江逸茗, 兰巨龙. 基于改进三元组网络和K近邻算法的入侵检测[J]. 计算机应用, 2021, 41(7): 1996-2002.
[3]	王垚, 孙国梓. 基于聚类和实例硬度的入侵检测过采样方法[J]. 计算机应用, 2021, 41(6): 1709-1714.
[4]	张全龙, 王怀彬. 基于膨胀卷积和门控循环单元组合的入侵检测模型[J]. 计算机应用, 2021, 41(5): 1372-1377.
[5]	任晓奎, 刘鹏飞, 陶志勇, 刘影, 白立春. 基于单快拍信号到达角估计算法的室内入侵检测[J]. 计算机应用, 2021, 41(4): 1153-1159.
[6]	祝永晋, 尹飞, 豆龙龙, 吴昆, 张志伟, 钱柱中. 基于前向纠错的自适应网络传输机制[J]. 计算机应用, 2021, 41(3): 825-832.
[7]	程小辉, 牛童, 汪彦君. 基于序列模型的无线传感网入侵检测系统[J]. 计算机应用, 2020, 40(6): 1680-1684.
[8]	欧彬利, 钟夏汝, 代建华, 杨田. 基于变精度覆盖粗糙集的入侵检测方法[J]. 计算机应用, 2020, 40(12): 3465-3470.
[9]	李中伟, 谭凯, 关亚东, 姜文淇, 叶麟. 车载CAN总线脱离攻击及其入侵检测算法[J]. 计算机应用, 2020, 40(11): 3224-3228.
[10]	池亚平, 莫崇维, 杨垠坦, 陈纯霞. 面向软件定义网络架构的入侵检测模型设计与实现[J]. 计算机应用, 2020, 40(1): 116-122.
[11]	杨宏宇, 王峰岩. 基于改进卷积神经网络的网络入侵检测模型[J]. 计算机应用, 2019, 39(9): 2604-2610.
[12]	曹卫东, 许志香. 高效的半监督多层次入侵检测算法[J]. 计算机应用, 2019, 39(7): 1979-1984.
[13]	潘建国, 李豪. 基于实用拜占庭容错的物联网入侵检测方法[J]. 计算机应用, 2019, 39(6): 1742-1746.
[14]	郭旭东, 李小敏, 敬如雪, 高玉琢. 基于改进的稀疏去噪自编码器的入侵检测[J]. 计算机应用, 2019, 39(3): 769-773.
[15]	胡健, 苏永东, 黄文载, 肖鹏, 刘玉婷, 杨本富. 基于互信息加权集成迁移学习的入侵检测方法[J]. 计算机应用, 2019, 39(11): 3310-3315.

TCP有限状态机和协议解析在伪警报去除中的应用

TCP finite state machine and protocol parse applied in removal of false alerts

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics