基于Petri网的TCP协议异常检测模型
高磊1,2,张德运1,MdJahangirAlam1,张军1,胡国栋1
(1.西安交通大学电子与信息工程学院,710049,西安;2.华为3Com技术有限公司,100085,北京)
摘要:从面向连接的角度出发,以Petri网为工具,建立了TCP协议异常检测模型.该模型以TCP协议的状态变迁图为基础,并根据协议规范可对传输报文的标志位进行系统的分析,从而识别出标志位非法组合构成的畸形报文(FIN-RST报文).模型中规定了各种状态下可接收的标志位集合,同时还细化了各状态下的超时异常,据此可准确地检测出各种异常,以抵御已知和未知的非法行为.利用该模型不仅可发现已知异常事件,还可对未知漏洞进行防范.通过实验发现,网络中的错误标志位报文、端口扫描以及DOS攻击产生的异常流量将占到总流量的10%以上.
关键词:协议异常检测;状态变迁图;协议规范;标志位
中图分类号:TP393文献标识码:A文章编号:0253-987X(2006)06-0659-04