第7講 網(wǎng)絡(luò)入侵檢測

第7章網(wǎng)絡(luò)入侵檢測

1、入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息，使系統(tǒng)不可靠或不能使用的行為。它企圖破壞計算機資源的：完整性(Integrity)機密性（Confidentiality）可用性（Availability）可控性（Controliability）2、漏洞入侵要利用漏洞，漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議等在設(shè)計上、實現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯誤、缺陷和疏漏。

3、入侵者入侵者可以是一個手工發(fā)出命令的人，也可是一個基于入侵腳本或程序的自動發(fā)布命令的計算機。入侵者一般可以分為兩類：內(nèi)部的（一般指系統(tǒng)中的合法用戶但違規(guī)或者越權(quán)操作）和外部的（一般指系統(tǒng)中的非法用戶）。4、入侵系統(tǒng)的主要途徑入侵者進(jìn)入系統(tǒng)的主要途徑有：物理侵入:指一個入侵者對主機有物理進(jìn)入權(quán)限。本地侵入:這類侵入表現(xiàn)為入侵者已經(jīng)擁有在系統(tǒng)用戶的較低權(quán)限。遠(yuǎn)程侵入:這類入侵指入侵者通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)。5、攻擊的一般步驟進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強的工作，其主要工作流程是：收集情報，遠(yuǎn)程攻擊，清除日志，留下后門。二、入侵檢測系統(tǒng)基本知識1、入侵檢測與入侵檢測系統(tǒng)2、為什么需要IDS？3、IDS能做什么？4、入侵檢測系統(tǒng)在系統(tǒng)安全中的地位5、IDS的兩個指標(biāo)6、IDS的特點7、入侵檢測的發(fā)展歷史1、入侵檢測與入侵檢測系統(tǒng)（1）入侵檢測，顧名思義，是指對入侵行為的發(fā)覺。它通過在計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是一種主動保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。1、入侵檢測與入侵檢測系統(tǒng)（2）入侵檢測系統(tǒng)(IntrusionDetectionSystem)，是完成入侵檢測功能的軟件、硬件及其組合。它試圖檢測、識別和隔離“入侵”企圖或計算機的不恰當(dāng)未授權(quán)使用。加載入侵檢測技術(shù)的系統(tǒng)我們稱之為入侵檢測系統(tǒng)。一般情況下，我們并不嚴(yán)格的去區(qū)分入侵檢測和入侵檢測系統(tǒng)兩個概念，而都稱為IDS或入侵檢測技術(shù)。2、為什么需要IDS？入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部防火墻是鎖，入侵檢測系統(tǒng)是監(jiān)視器3、IDS功能監(jiān)控、分析用戶和系統(tǒng)活動實現(xiàn)入侵檢測任務(wù)的前提條件發(fā)現(xiàn)入侵企圖或異常現(xiàn)象入侵檢測系統(tǒng)的核心功能這主要包括兩個方面，一是入侵檢測系統(tǒng)對進(jìn)出網(wǎng)絡(luò)或主機的數(shù)據(jù)流進(jìn)行監(jiān)控，看是否存在對系統(tǒng)的入侵行為，另一個是評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，看系統(tǒng)是否已經(jīng)遭受了入侵。記錄、報警和響應(yīng)入侵檢測系統(tǒng)在檢測到攻擊后，應(yīng)該采取相應(yīng)的措施來阻止攻擊或響應(yīng)攻擊。入侵檢測系統(tǒng)作為一種主動防御策略，必然應(yīng)該具備此功能。審計系統(tǒng)的配置和弱點、評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性等監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。5、IDS的兩個指標(biāo)漏報率指攻擊事件沒有被IDS檢測到誤報率把正常事件識別為攻擊并報警誤報率與檢出率成正比例關(guān)系6、IDS的特點（1）IDS的優(yōu)點提高信息安全構(gòu)造的其他部分的完整性提高系統(tǒng)的監(jiān)控能力從入口點到出口點跟蹤用戶的活動識別和匯報數(shù)據(jù)文件的變化偵測系統(tǒng)配置錯誤并糾正識別特殊攻擊類型，并向管理人員發(fā)出警報6、IDS的特點（2）IDS的缺點IDS系統(tǒng)本身還在迅速發(fā)展和變化，遠(yuǎn)未成熟現(xiàn)有IDS系統(tǒng)錯報率(或稱為誤報率偏高)嚴(yán)重干擾了檢測結(jié)果事件響應(yīng)與恢復(fù)機制不完善IDS與其他安全技術(shù)的協(xié)作性不夠IDS缺乏國際統(tǒng)一的標(biāo)準(zhǔn)三、入侵檢測體系結(jié)構(gòu)1、IDS框架介紹2、CIDF模型3、Denning模型1、CIDF模型（1）CIDF根據(jù)IDS系統(tǒng)的通用需求以及現(xiàn)有IDS的系統(tǒng)結(jié)構(gòu)，將IDS系統(tǒng)構(gòu)成劃分如下部分：事件產(chǎn)生器(EventGenerators)事件分析器(Eventanalyzers)響應(yīng)單元(Responseunits)事件數(shù)據(jù)庫(Eventdatabases)1、CIDF模型（2）1、CIDF模型－事件產(chǎn)生器（1）事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。入侵檢測的第一步采集內(nèi)容系統(tǒng)日志應(yīng)用程序日志系統(tǒng)調(diào)用網(wǎng)絡(luò)數(shù)據(jù)用戶行為其他IDS的信息1、CIDF模型－事件產(chǎn)生器（2）注意：入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而收集到錯誤的信息1、CIDF模型－事件分析器事件分析器接收事件信息，對其進(jìn)行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。分析是核心效率高低直接決定整個IDS性能分析方法：模式匹配統(tǒng)計分析完整性分析（往往用于事后分析）1、CIDF模型－響應(yīng)單元響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元，功能包括：告警和事件報告終止進(jìn)程，強制用戶退出切斷網(wǎng)絡(luò)連接，修改防火墻設(shè)置

災(zāi)難評估，自動恢復(fù)

查找定位攻擊者

1、CIDF模型－事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。四、入侵檢測系統(tǒng)的分類1、根據(jù)原始數(shù)據(jù)的來源2、根據(jù)檢測技術(shù)進(jìn)行分類

3、根據(jù)體系結(jié)構(gòu)分類

4、根據(jù)響應(yīng)方式分類

1、根據(jù)原始數(shù)據(jù)的來源－主機IDS基于主機的入侵檢測系統(tǒng)

定義：安裝在單個主機或服務(wù)器系統(tǒng)上，對針對主機或服務(wù)器系統(tǒng)的入侵行為進(jìn)行檢測和響應(yīng)，對主機系統(tǒng)進(jìn)行全面保護(hù)的系統(tǒng)。主機入侵檢測系統(tǒng)主要是對該主機的網(wǎng)絡(luò)連接行為以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。1、主機IDS示意圖（1）1、主機IDS示意圖（2）1、主機IDS特點主機IDS特點：性能價格比高能夠監(jiān)測的網(wǎng)絡(luò)和主機活動更加細(xì)膩視野集中易于用戶剪裁對網(wǎng)絡(luò)流量不敏感：數(shù)據(jù)來源不完全源于網(wǎng)絡(luò)適用于被加密的以及交換的環(huán)境確定攻擊是否成功1、根據(jù)原始數(shù)據(jù)的來源－網(wǎng)絡(luò)IDS

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵檢測使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源通常利用一個運行在混雜模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

1、網(wǎng)絡(luò)IDS示意圖1、網(wǎng)絡(luò)IDS關(guān)鍵問題關(guān)鍵問題在共享網(wǎng)段上對通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)主機資源消耗少提供對網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？1、網(wǎng)絡(luò)IDS優(yōu)點網(wǎng)絡(luò)IDS優(yōu)點偵測速度快隱蔽性好視野更寬較少的監(jiān)測器攻擊者不易轉(zhuǎn)移證據(jù)操作系統(tǒng)無關(guān)性占資源少1、網(wǎng)絡(luò)IDS不足只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限而安裝多臺網(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器會使部署整個系統(tǒng)的成本大大增加。通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測?？赡軙⒋罅康臄?shù)據(jù)傳回分析系統(tǒng)中，在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流量處理加密的會話過程比較困難，目前通過加密通道的攻擊尚不多，但隨著IPV6的普及，這個問題會越來越突出。1、HIDS與NIDS的比較2、根據(jù)檢測技術(shù)進(jìn)行分類

按照分析方法／檢測原理異常檢測（AnomalyDetection)：根據(jù)異常行為和使用計算機資源的情況檢測出來的入侵。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵誤用檢測（MisuseDetection)：利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵3、根據(jù)響應(yīng)方式分類

主動響應(yīng)對被攻擊系統(tǒng)實施控制和對攻擊系統(tǒng)實施控制。被動響應(yīng)只會發(fā)出告警通知，將發(fā)生的不正常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊者采取反擊行動。

五、入侵檢測的分析方式1、入侵檢測的分析方式2、異常檢測3、誤用檢測4、完整性分析5、入侵檢測的過程1、入侵檢測的分析方式異常檢測（AnomalyDetection）

統(tǒng)計模型誤報較多誤用檢測（MisuseDetection）維護(hù)一個入侵特征知識庫（CVE）準(zhǔn)確性高完整性分析

2、異常檢測（1）思想：任何正常人的行為有一定的規(guī)律需要考慮的問題：（1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為（2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測方法的不同（3）考慮學(xué)習(xí)過程的時間長短、用戶行為的時效性等問題2、異常檢測（2）前提：入侵是異?；顒拥淖蛹脩糨喞≒rofile)：通常定義為各種行為參數(shù)及其閾值的集合，用于描述正常行為范圍BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity異常檢測模型2、異常檢測（3）基本原理正常行為的特征輪廓檢查系統(tǒng)的運行情況是否偏離預(yù)設(shè)的門限？舉例多次錯誤登錄、午夜登錄過程：監(jiān)控

量化比較判定

修正指標(biāo)：漏報、誤報率高2、異常檢測（4）activitymeasuresprobableintrusionRelativelyhighfalsepositiverate- anomaliescanjustbenewnormalactivities.2、異常檢測（5）異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率不需要對每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源2、異常檢測－優(yōu)缺點優(yōu)點可以檢測到未知的入侵

可以檢測冒用他人帳號的行為

具有自適應(yīng)，自學(xué)習(xí)功能

不需要系統(tǒng)先驗知識缺點漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警統(tǒng)計算法的計算量龐大，效率很低

統(tǒng)計點的選取和參考庫的建立比較困難2、異常檢測－主要方法基于統(tǒng)計的方法專家系統(tǒng)神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)挖掘遺傳算法、計算機免疫技術(shù)等等2、異常檢測－統(tǒng)計學(xué)（1）通過對系統(tǒng)審計中的數(shù)據(jù)進(jìn)行統(tǒng)計處理，并與描述主體正常行為的統(tǒng)計性特征輪廓進(jìn)行比較，然后根據(jù)二者的偏差是否超過指定的門限來進(jìn)一步判斷、處理。利用統(tǒng)計理論提取用戶或系統(tǒng)正常行為的特征輪廓；2、異常檢測－統(tǒng)計學(xué)（2）統(tǒng)計學(xué)中特征輪廓由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計概率分布以及偏差等統(tǒng)計量來描述。典型的系統(tǒng)主體特征有：系統(tǒng)的登錄與注銷時間、資源被占用的時間以及處理機、內(nèi)存和外設(shè)的使用情況等2、異常檢測－統(tǒng)計學(xué)（3）優(yōu)點:可應(yīng)用成熟的概率統(tǒng)計理論缺點1、由于用戶行為的復(fù)雜性，要想準(zhǔn)確地匹配一個用戶的歷史行為非常困難，容易造成系統(tǒng)誤報和漏報；

2、難以確定門限值。3、誤用檢測（1）思想：主要是通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為誤用信號需要對入侵的特征、環(huán)境、次序以及完成入侵的事件相互間的關(guān)系進(jìn)行描述重要問題（1）如何全面的描述攻擊的特征（2）如何排除干擾，減小誤報（3）解決問題的方式SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch誤用檢測模型前提：所有的入侵行為都有可被檢測到的特征攻擊特征庫:當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵過程監(jiān)控

特征提取匹配判定指標(biāo)誤報低漏報高

3、誤用檢測過程（2）3、誤用檢測過程（3）IntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“l(fā)andattack”3、誤用檢測過程（4）如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報特點：采用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。3、誤用檢測過程－優(yōu)缺點優(yōu)點:算法簡單、系統(tǒng)開銷小、準(zhǔn)確率高、效率高缺點：被動：只能檢測出已知攻擊、新類型的攻擊會對系統(tǒng)造成很大的威脅模式庫的建立和維護(hù)難：模式庫要不斷更新知識依賴于：硬件平臺、操作系統(tǒng)、系統(tǒng)中運行的應(yīng)用程序3、誤用檢測－主要方法條件概率誤用檢測專家系統(tǒng)誤用檢測狀態(tài)轉(zhuǎn)換分析吳用檢測健盤監(jiān)控誤用檢測模型推理誤用檢測3、誤用檢測－專家系統(tǒng)（1）專家系統(tǒng)是誤用檢測技術(shù)中運用最多的一種方法通過將安全專家的知識表示成if-then結(jié)構(gòu)的規(guī)則（if部分：構(gòu)成入侵所要求的條件；then部分：發(fā)現(xiàn)入侵后采取的相應(yīng)措施）形成專家知識庫，然后運用推理算法檢測入侵注意：需要解決的主要問題是全面性問題和效率問題。3、誤用檢測－專家系統(tǒng)（2）在具體實現(xiàn)中，專家系統(tǒng)主要面臨：全面性問題：難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識；效率問題：需處理的數(shù)據(jù)量過大商業(yè)產(chǎn)品一般不用專家系統(tǒng)5、IDS部署（1）

當(dāng)實際使用IDS時，首先面臨的問題是：決定在系統(tǒng)的什么位置部署檢測和分析入侵行為用的嗅探器或檢測引擎。對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。HIDS：通常直接將檢測代理安裝在受監(jiān)控的主機系統(tǒng)上NIDS：檢測引擎的部署稍微復(fù)雜（見下圖）5、IDS部署（2）

六、一個攻擊檢測實例1、Sendmail漏洞利用2、簡單的匹配3、檢查端口號4、深入決策樹5、更加深入6、響應(yīng)策略1、Sendmail漏洞利用老版本的Sendmail漏洞利用$telnet25WIZshell或者DEBUG#直接獲得rootshell2、簡單的匹配檢查每個packet是否包含：

“WIZ” |“DEBUG”3、檢查端口號縮小匹配范圍

Port25:{

“WIZ” |“DEBUG”}4、深入決策樹只判斷客戶端發(fā)送部分

Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}5、更加深入狀態(tài)檢測+引向異常的分支

Port25:{ statefulclient-sends:“WIZ”| statefulclient-sends:“DEBUG” afterstateful“DATA”client-sends line>1024bytesmeans possiblebufferoverflow}6、響應(yīng)策略彈出窗口報警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap七、Snort1、概述2、Snort規(guī)則3、Snort安裝1、概述輕量級入侵檢測系統(tǒng)：可配置性可移植性(結(jié)構(gòu)性好，公開源代碼)可擴充性（基于規(guī)則）網(wǎng)絡(luò)入侵檢測系統(tǒng)數(shù)據(jù)包捕獲（libpcap等）數(shù)據(jù)包分析誤用入侵檢測系統(tǒng)特征模式進(jìn)行匹配2、Snort規(guī)則（1）規(guī)則描述語言規(guī)則是特征模式匹配的依據(jù)，描述語言易于擴展，功能也比較強大

每條規(guī)則必須在一行中，其規(guī)則解釋器無法對跨行的規(guī)則進(jìn)行解析邏輯上由規(guī)則頭和規(guī)則選項組成。規(guī)則頭包括：規(guī)則行為、協(xié)議、源/目的IP地址、子網(wǎng)掩碼、方向以及源/目的端口。規(guī)則選項包含報警信息和異常包的信息(特征碼)，使用這些特征碼來決定是否采取規(guī)則規(guī)定的行動。

2、Snort規(guī)則（2）規(guī)則描述語言舉例alerttcpanyany->/24

111(content:"|000186a5|";msg:"mountdaccess";)

從開頭到最左邊的括號屬于規(guī)則頭部分，括號內(nèi)的部分屬于規(guī)則選項。規(guī)則選項中冒號前面的詞叫做選項關(guān)鍵詞。注意對于每條規(guī)則來說規(guī)則選項不是必需的，它們是為了更加詳細(xì)地定義應(yīng)該收集或者報警的數(shù)據(jù)包。只有匹配所有選項的數(shù)據(jù)包，Snort才會執(zhí)行其規(guī)則行為。2、Snort規(guī)則（3）規(guī)則頭：哪些數(shù)據(jù)包、數(shù)據(jù)包的來源、什么類型的數(shù)據(jù)包，以及對匹配的數(shù)據(jù)包如何處理。規(guī)則行為（ruleaction）：Alert：使用選定的報警方法產(chǎn)生報警信息，并且記錄數(shù)據(jù)包；Log：記錄數(shù)據(jù)包；Pass：忽略數(shù)據(jù)包；Activate：報警，接著打開其它的dynamic規(guī)則；Dynamic：保持空閑狀態(tài)，直到被activate規(guī)則激活，作為一條log規(guī)則

2、Snort規(guī)則（4）協(xié)議（protocol）:每條規(guī)則的第二項就是協(xié)議項。當(dāng)前，snort能夠分析的協(xié)議是：TCP、UDP和ICMP。將來，可能提供對ARP、ICRP、GRE、OSPF、RIP、IPX等協(xié)議的支持。

IP地址：規(guī)則頭下面的部分就是IP地址和端口信息。關(guān)鍵詞any可以用來定義任意的IP地址。/CIDR的形式用于指明應(yīng)用于IP地址的掩碼。/24表示一個C類網(wǎng)絡(luò)；/16表示一個B類網(wǎng)絡(luò)；而/32表示一臺特定的主機地址。2、Snort規(guī)則（5）端口號：有幾種方式來指定端口號，包括：any、靜態(tài)端口號(staticport)定義、端口范圍以及使用非操作定義。any表示任意合法的端口號。靜態(tài)端口號表示單個的端口號，例如：111(portmapper)、23(telnet)、80(http)等。使用范圍操作符:可以指定端口號范圍。有幾種方式來使用范圍操作符:達(dá)到不同的目的，例如：logudpanyany->/241:1024記錄來自任何端口，其目的端口號在1到1024之間的UDP數(shù)據(jù)包

2、Snort規(guī)則（6）方向操作符(directionoperator)：方向操作符->表示數(shù)據(jù)包的流向。它左邊是數(shù)據(jù)包的源地址和源端口，右邊是目的地址和端口。此外，還有一個雙向操作符<>,它使snort對這條規(guī)則中，兩個IP地址/端口之間雙向的數(shù)據(jù)傳輸進(jìn)行記錄/分析，例如telnet或者POP3對話。下面的規(guī)則表示對一個telnet對話的雙向數(shù)據(jù)傳輸進(jìn)行記錄：log!/24any<>/2423

2、Snort規(guī)則（7）規(guī)則選項：規(guī)則選項構(gòu)成了snort入侵檢測引擎的核心，它們非常容易使用，同時又很強大和容易擴展。在每條snort規(guī)則中，選項之間使用分號進(jìn)行分割。規(guī)則選項關(guān)鍵詞和其參數(shù)之間使用冒號分割。下面是一些常用的規(guī)則選項關(guān)鍵詞，其中對部分重要關(guān)鍵詞進(jìn)行詳細(xì)解釋：

2、Snort規(guī)則（8）

msg：在報警和日志中打印的消息； logto：把日志記錄到一個用戶指定的文件，而不是輸出到標(biāo)準(zhǔn)的輸出文件； ttl：測試IP包頭的TTL域的值；

tos：測試IP包頭的TOS域的值；

content：在包的凈荷中搜索指定的樣式； id：測試IP分組標(biāo)志符(fragmentID)域是否是一個特定的值

ipoption/fragbits/dsize/flags/seq/……3、Snort安裝（1）實驗環(huán)境

任務(wù)一

Windows環(huán)境下安裝和配置snort步驟1-安裝Apache_2.0.46：（1）將Apache安裝在默認(rèn)文件夾C:\apache下，將配置文件httpd.conf中的Listen8080，更改為Listen50080。（2）將apache設(shè)置為以Windows中的服務(wù)方式運行。步驟2-安裝PHP：（1）將原安裝包解壓至C:\php。（2）復(fù)制C:\php下php4ts.dll至winnt\system32，phi.ini-dist至winnt\php.ini。（3）添加gb圖形庫支持，在php.ini中添加extension=php_gd2.dllj。（4）添加Apache對PHP的支持。（5）在Windows中啟動ApacheWeb服務(wù)。（6）新建test.php測試文件內(nèi)容為<?phpinfo();?>；測試PHP是否成功安裝。任務(wù)一（續(xù)）步驟3-安裝snort

步驟4-安裝配置Mysql數(shù)據(jù)庫（1）安裝Mysql到默認(rèn)文件夾C:\mysql，并使mysql在Windows中以服務(wù)形式運行。（2）啟動mysql服務(wù)。（3）以root用戶登錄Mysql數(shù)據(jù)庫，采用Create命令，建立Snort運行必須的snort數(shù)據(jù)庫和snort_archive數(shù)據(jù)庫。（4）退出Mysql后，使用mysql命令在snort數(shù)據(jù)庫和snort_archive數(shù)據(jù)庫中建立snort運行必須的數(shù)據(jù)表。（5）再次以root用戶登錄Mysql數(shù)據(jù)庫，在本地數(shù)據(jù)庫中建立acid（密碼為acidtest）和snort（密碼為snorttest）兩個用戶，以備后用。（6）為新建用戶在snort和snort_archive數(shù)據(jù)庫中分配權(quán)限。任務(wù)一（續(xù)）步驟5-安裝adodb步驟6-安裝配置數(shù)據(jù)控制臺acid（1）解壓縮acid軟件包至C:\apache\apache2\htdocs\acid目錄下。（2）修改acid目錄下的acid_conf.php配置文件。（3）察看:50080/acid/acid_db_setup.php網(wǎng)頁，按照系統(tǒng)提示建立數(shù)據(jù)庫。步驟7-安裝jpgrapg庫任務(wù)一（續(xù)）步驟8-安裝winpcap步驟9-配置并啟動snort（1）指定snort.conf配置文件中classification.config、reference.config兩個文件的絕對路徑。（2）在文件中添加語句指定默認(rèn)數(shù)據(jù)庫，用戶名，主機名，密碼，數(shù)據(jù)庫用戶等等。（3）輸入命令啟動snort。（4）打開:50080/acid/acid_main.php網(wǎng)頁，進(jìn)入acid分析控制臺主界面，檢查配置是否正確。任務(wù)二：Windows下Snort的使用步驟1-完善配置文件：（1）打開snort.conf配置文件。（2）設(shè)置snort內(nèi)、外網(wǎng)檢測范圍。（3）設(shè)置監(jiān)測包含的規(guī)則。步驟2-使用控制臺察看檢測結(jié)果（1）啟動snort并打開acid的檢測控制臺主界面。（2）單擊右側(cè)圖示中TCP后的數(shù)字“80%”，將顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況。（3）選擇控制條中的home返回控制臺主界面，察看流量分類和分析記錄（4）選擇last24hours:alertsunique，可以看到24h內(nèi)特殊的流量的分類記錄和分析。任務(wù)二：Windows下Snort的使用（續(xù)）步驟3-配置snort規(guī)則：（1）添加實現(xiàn)對內(nèi)網(wǎng)的UDP協(xié)議相關(guān)流量進(jìn)行檢測，并報警。（2）重啟snort和acid檢測控制臺，使規(guī)則生效。（3）在另外一臺計算機使用UDPFLOOD工具對本機進(jìn)行UDP-FLOOD攻擊，查看UDP協(xié)議流量的日志記錄。實驗結(jié)果舉例（1）實驗結(jié)果舉例（2）實驗結(jié)果舉例（3）實驗結(jié)果舉例（4）

八、網(wǎng)絡(luò)衛(wèi)士入侵檢測系統(tǒng)控制臺

部分窗口打開平鋪的效果

策略編輯器

策略編輯器編輯具體事件事件屬性入侵事件-詳細(xì)日志

響應(yīng)/報警

九、蜜罐技術(shù)簡介1、蜜罐技術(shù)背景2、蜜罐概念、理念和價值3、蜜罐與其他網(wǎng)絡(luò)安全技術(shù)4、蜜罐技術(shù)法律問題5、蜜罐網(wǎng)絡(luò)資源1、蜜罐技術(shù)背景（1）網(wǎng)絡(luò)攻防的非對稱博弈工作量不對稱攻擊方：夜深人靜,攻其弱點防守方：24*7,全面防護(hù)信息不對稱攻擊方：通過網(wǎng)絡(luò)掃描、探測、踩點對攻擊目標(biāo)全面了解防守方：對攻擊方一無所知后果不對稱攻擊方：任務(wù)失敗，極少受到損失防守方：安全策略被破壞，利益受損1、蜜罐技術(shù)背景（2）蜜罐技術(shù)的提出:試圖改變攻防博弈的非對稱性對攻擊者的欺騙技術(shù)－增加攻擊代價、減少對實際系統(tǒng)的安全威脅了解攻擊者所使用的攻擊工具和攻擊方法追蹤攻擊源、攻擊行為審計取證2、蜜罐概念、理念和價值（1）概念Honeypot是一種資源，它的價值是被攻擊或攻陷。

對攻擊者的欺騙技術(shù)用以監(jiān)視、檢測和分析攻擊沒有業(yè)務(wù)上的用途，不存在區(qū)分正常流量和攻擊的問題所有流入/流出蜜罐的流量都預(yù)示著掃描、攻擊及攻陷網(wǎng)絡(luò)中的蜜罐（示意圖）2、蜜罐概念、理念和價值（2）蜜罐工作理念主動防御（改變了其他技術(shù)的被動方式），蜜罐好比情報收集系統(tǒng)，蜜罐的核心價值在于對這些攻擊活動進(jìn)行監(jiān)視、檢測和分析。蜜罐并非一種安全解決方案，這是因為蜜罐并不會“修理”任何錯誤。2、蜜罐概念、理念和價值（3）蜜罐主要的價值第一時間捕獲流行的掃描型蠕蟲，例如第一時間截獲沖擊波、震蕩波以及他們的變種都在某種程度上依賴于蜜罐體制。蜜罐具有統(tǒng)計意義，能夠?qū)α餍星闆r／節(jié)點壓力進(jìn)行比較準(zhǔn)確的判斷和分析。2、蜜罐概念、理念和價值（4）蜜罐技術(shù)的優(yōu)勢高度保真的小數(shù)據(jù)集低誤報率低漏報率能夠捕獲新的攻擊方法及技術(shù)原理簡單，貼近實際3、蜜罐與其他網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)收集：數(shù)據(jù)收集是網(wǎng)絡(luò)攻擊的基礎(chǔ)，蜜罐技術(shù)離不開數(shù)據(jù)收集防火墻：防火墻是蜜罐必要的組成部分，用于實施必要的阻斷策略IDS：必要組成，配合數(shù)據(jù)分析4、蜜罐技術(shù)法律問題（1）蜜罐能夠幫助一個組織發(fā)展它的事件響應(yīng)能力蜜罐的攻陷可能導(dǎo)致危害4、蜜罐技術(shù)法律問題（2）蜜罐的最初設(shè)計目標(biāo)是為起訴攻擊者提供證據(jù)收集的手段但是有的國家法律規(guī)定，蜜罐收集的證據(jù)不能作為起訴證據(jù)，安全專家指出該提議存在漏洞，因為根據(jù)這項方案IT部門正當(dāng)保護(hù)他們系統(tǒng)的安全的某些軟件和技術(shù)也是違法的。可能會涉及到對隱私權(quán)的侵犯5、蜜罐網(wǎng)絡(luò)資源蜜罐工具情況FredCohen所開發(fā)的DTK（欺騙工具包）

NielsProvos開發(fā)的Honeyd等是免費開源工具

KFSensor、Specter、SmokeDetector、NetFacade、Mantrap等是商業(yè)蜜罐產(chǎn)品

蜜罐研究組織FloridaHoneyNetProject，PaladionNetworksHoneynetProject-India，/honeynet/InternetSystematicsLabHoneynetProject，http://www.epmhs.gr/honeynetMexicoHoneynetProject，.mx/honeynet.htmlNetForensicsHoneynet，/honeynet1.htmlAzusaPacificUniversityHoneynet，/~bmccarty/honeynet.htmlBrazilianHonetnetProject，http://www.lac.inpe.br/security/honeynet/IrishhoneynetProject，http://www.honeynet.ie/HoneynetProjectattheUniversityofTexasatAustin，/NorwegianHoneynetProject，http://www..honeynet.no/UKHoneynetProject，.uk/WestPointHoneynetproject，/honeynet/PakistanHoneynetProject，.pk/HoneynetProject，/十、蜜罐技術(shù)發(fā)展歷程1、蜜罐、蜜網(wǎng)和蜜場2、蜜罐技術(shù)原理及發(fā)展3、蜜罐技術(shù)的分類3、蜜網(wǎng)技術(shù)原理及發(fā)展4、相關(guān)技術(shù)最新發(fā)展1、蜜罐、蜜網(wǎng)和蜜場蜜罐(Honeypot)物理蜜罐虛擬蜜罐工具:DTK,Honeyd專用蜜罐工具:mwcollect,nepenthes蜜網(wǎng)(Honeynet)TheHoneynetProjectGen1/Gen2/Gen3HoneynetResearchPurpose蜜場(Honeyfarm)蜜罐技術(shù)如何有效地對一個大型網(wǎng)絡(luò)提供防護(hù)功能？外/內(nèi)部安全威脅的發(fā)現(xiàn)、重定向、跟蹤2、蜜罐技術(shù)原理及發(fā)展90年代初－98年左右“蜜罐”還僅僅限于一種思想這一階段的蜜罐實質(zhì)上是一些真正被黑客所攻擊的主機和系統(tǒng)。98年開始－00年蜜罐技術(shù)開始吸引了一些安全研究人員的注意并開發(fā)出一些專門用于欺騙黑客的開源工具這一階段的蜜罐可以稱為是虛擬蜜罐00年后安全研究人員更傾向于使用真實的主機、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進(jìn)行分析。3、蜜罐技術(shù)的分類－部署目的蜜罐技術(shù)分類，根據(jù)部署目的產(chǎn)品型蜜罐目的在于為一個組織的網(wǎng)絡(luò)提供安全保護(hù)容易部署，減少風(fēng)險例:DTK、Honeyd研究型蜜罐專門用于對黑客攻擊的捕獲和分析需要研究人員投入大量的時間和精力/部署復(fù)雜3、蜜罐技術(shù)的分類－交互性蜜罐技術(shù)分類，根據(jù)交互性（攻擊者在蜜罐中活動的交互性級別）低交互型－虛擬蜜罐模擬服務(wù)和操作系統(tǒng)只能捕獲少量信息/容易部署，減少風(fēng)險例:Honeyd高交互型－物理蜜罐提供真實的操作系統(tǒng)和服務(wù)，而不是模擬可以捕獲更豐富的信息/部署復(fù)雜，高安全風(fēng)險例:蜜網(wǎng)3、根據(jù)交互性分類－虛擬系統(tǒng)虛擬系統(tǒng)是制在一臺真實的物理機上運行一些仿真軟件，通過仿真軟件對計算機硬件進(jìn)行模擬，使得在仿真平臺上可以運行多個不同的操作系統(tǒng)，這樣一臺真實的機器就變成了多臺主機（稱為虛擬機）。通常將真實的機器上安裝的操作系統(tǒng)稱為宿主操作系統(tǒng)，仿真軟件在宿主操作系統(tǒng)上安裝，在仿真平臺上安裝的操作系統(tǒng)稱為客戶操作系統(tǒng)。Vmware是典型的仿真軟件，它在宿主操作系統(tǒng)和客戶操作系統(tǒng)之間建立了一個虛擬的硬件仿真平臺，客戶操作系統(tǒng)可以基于相同的硬件平臺模擬多臺虛擬主機Vmware的仿真平臺示意圖Vmware的功能模塊3、蜜罐技術(shù)的分類（3）蜜罐技術(shù)分類，根據(jù)工作方式犧牲型蜜罐犧牲型蜜罐提供的是真實的攻擊目標(biāo)容易建立不提供全套的行為規(guī)范或控制設(shè)備外觀型蜜罐呈現(xiàn)目標(biāo)主機的虛假映像的系統(tǒng)外觀型蜜罐安裝和配置簡單，可以模仿大量不同的目標(biāo)主機。提供潛在威脅的基本信息4、蜜網(wǎng)技術(shù)原理及發(fā)展（1）蜜網(wǎng)概念實質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)一個體系框架包括一個或多個蜜罐多層次的數(shù)據(jù)控制機制－高度可控全面的數(shù)據(jù)捕獲機制輔助研究人員對攻擊數(shù)據(jù)進(jìn)行深入分析4、蜜網(wǎng)技術(shù)原理及發(fā)展（2）蜜網(wǎng)技術(shù)核心需求數(shù)據(jù)控制機制防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方數(shù)據(jù)捕獲機制獲取黑客攻擊/惡意軟件活動的行為數(shù)據(jù)網(wǎng)絡(luò)行為數(shù)據(jù)－網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流系統(tǒng)行為數(shù)據(jù)－進(jìn)程、命令、打開文件、發(fā)起連接數(shù)據(jù)分析機制理解捕獲的黑客攻擊/惡意軟件活動的行為4、蜜網(wǎng)的體系框架十一、蜜罐配置模式1、誘騙服務(wù)2、弱化系統(tǒng)3、強化系統(tǒng)4、用戶模式服務(wù)器1、誘騙服務(wù)誘騙服務(wù)(DeceptionService)誘騙服務(wù)是指在特定IP服務(wù)端口上偵聽并像其他應(yīng)用程序那樣應(yīng)答各種網(wǎng)絡(luò)請求。例如DTK需要精心設(shè)計和配置誘騙服務(wù)只能收集有限的信息有一定風(fēng)險2、弱化系統(tǒng)弱化系統(tǒng)(WeakenedSystem)弱化系統(tǒng)是一個配置有已知攻擊弱點的操作系統(tǒng)，這樣使攻擊者更加容易進(jìn)入系統(tǒng)，系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。提供的是攻擊者試圖入侵的實際服務(wù)“高維護(hù)低收益”3、強化系統(tǒng)強化系統(tǒng)(HardenedSystem)強化系統(tǒng)同弱化系統(tǒng)一樣，提供一個真實的環(huán)境，是對弱化系統(tǒng)的改進(jìn)能在最短的時間內(nèi)收集最多的有效數(shù)據(jù)需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)4、用戶模式服務(wù)器用戶模式服務(wù)器(UserModeServer)用戶模式服務(wù)器實際上是一個用戶進(jìn)程，它運行在主機上，并且模擬成一個真實的服務(wù)器這種模式的成功與否取決于攻擊者的進(jìn)入程度和受騙程度。系統(tǒng)管理員對用戶主機有絕對的控制權(quán)不適用于所有的操作系統(tǒng)十二、蜜罐實現(xiàn)與應(yīng)用1、Honeyd介紹2、配置Honeyd3、基于VMWare的蜜網(wǎng)設(shè)計1、Honeyd介紹（1）Honeypot是一個相對新的安全技術(shù)，其價值就在被檢測、攻擊，以致攻擊者的行為能夠被發(fā)現(xiàn)、分析和研究。它的概念很簡單：Honeypot沒有任何產(chǎn)品性目的，沒有授權(quán)任何人對它訪問，所以任何對Honeypot的訪問都有可能是檢測、掃描甚至是攻擊。1、Honeyd介紹（2）概述AvirtualhoneypotframeworkHoneyd1.0(Jan22,2005)byNielsProvos,GoogleInc.支持同時模擬多個IP地址主機經(jīng)過測試，最多同時支持65535個IP地址支持模擬任意的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)通過服務(wù)模擬腳本可以模擬任意TCP/UDP網(wǎng)絡(luò)服務(wù)IIS,Telnet,pop3…支持ICMP對ping和traceroutes做出響應(yīng)通過代理機制支持對真實主機、網(wǎng)絡(luò)服務(wù)的整合addwindowstcpport23proxy“5923”1、Honeyd介紹（3）功能接收網(wǎng)絡(luò)流量：Honeyd模擬的蜜罐系統(tǒng)接收相應(yīng)網(wǎng)絡(luò)流量三種方式為Honeyd模擬的虛擬主機建立路由ARP代理支持網(wǎng)絡(luò)隧道模式(GRE)模擬蜜罐系統(tǒng)僅模擬網(wǎng)絡(luò)協(xié)議棧層次，而不涉及操作系統(tǒng)各個層面可以模擬任意的網(wǎng)絡(luò)拓?fù)銱oneyd宿主主機的安全性限制只能在網(wǎng)絡(luò)層面與蜜罐進(jìn)行交互捕獲網(wǎng)絡(luò)連接和攻擊企圖日志功能2、蜜罐的配置實驗任務(wù)一：在Linux下安裝和配置“蜜罐”系統(tǒng)任務(wù)