網(wǎng)絡(luò)安全導(dǎo)論 課件 第十三章 入侵檢測_第1頁
網(wǎng)絡(luò)安全導(dǎo)論 課件 第十三章 入侵檢測_第2頁
網(wǎng)絡(luò)安全導(dǎo)論 課件 第十三章 入侵檢測_第3頁
網(wǎng)絡(luò)安全導(dǎo)論 課件 第十三章 入侵檢測_第4頁
網(wǎng)絡(luò)安全導(dǎo)論 課件 第十三章 入侵檢測_第5頁
已閱讀5頁,還剩60頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1

第十三章

入侵檢測2二、入侵檢測討論議題

1.入侵檢測概述

2.入侵檢測系統(tǒng)

3.入侵檢測流程

4.基于主機(jī)的入侵檢測技術(shù)

5.基于網(wǎng)絡(luò)的入侵檢測技術(shù)

6.入侵檢測的發(fā)展趨勢3

1.入侵檢測概述4入侵檢測的基本概念入侵檢測是一種動(dòng)態(tài)的監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為的安全機(jī)制。主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行入侵的企圖。入侵檢測系統(tǒng):進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(簡稱IDS)。5入侵檢測的作用監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)審計(jì)系統(tǒng)的配置和弱點(diǎn)評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別攻擊的活動(dòng)模式對異?;顒?dòng)進(jìn)行統(tǒng)計(jì)分析對操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理,識別違反政策的用戶活動(dòng)

訪問控制受保護(hù)系統(tǒng)內(nèi)部有職權(quán)的人員

防火墻

入侵檢測系統(tǒng)漏洞掃描系統(tǒng)

外部訪問內(nèi)部訪問

監(jiān)視內(nèi)部人員

監(jiān)視外部人員

實(shí)時(shí)監(jiān)測系統(tǒng)定時(shí)掃描系統(tǒng)6入侵檢測的缺點(diǎn)不能彌補(bǔ)差的認(rèn)證機(jī)制如果沒有人的干預(yù),不能管理攻擊調(diào)查不能知道安全策略的內(nèi)容不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議上的弱點(diǎn)不能彌補(bǔ)系統(tǒng)提供質(zhì)量或完整性的問題不能分析一個(gè)堵塞的網(wǎng)絡(luò)7研究入侵檢測的必要性-1在實(shí)踐當(dāng)中,建立完全安全系統(tǒng)根本是不可能的。Miller給出一份有關(guān)現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序研究報(bào)告,指出軟件中不可能沒有缺陷。另外,設(shè)計(jì)和實(shí)現(xiàn)一個(gè)整體安全系統(tǒng)相當(dāng)困難。要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)需要相當(dāng)長的時(shí)間。如果口令是弱口令并且已經(jīng)被破解,那么訪問控制措施不能夠阻止受到危害的授權(quán)用戶的信息丟失或者破壞。靜態(tài)安全措施不足以保護(hù)安全對象屬性。通常,在一個(gè)系統(tǒng)中,擔(dān)保安全特性的靜態(tài)方法可能過于簡單不充分,或者系統(tǒng)過度地限制用戶。例如,靜態(tài)技術(shù)未必能阻止違背安全策略造成瀏覽數(shù)據(jù)文件;而強(qiáng)制訪問控制僅允許用戶訪問具有合適的通道的數(shù)據(jù),這樣就造成系統(tǒng)使用麻煩。因此,一種動(dòng)態(tài)的方法如行為跟蹤對檢測和盡可能阻止安全突破是必要的。8研究入侵檢測的必要性-2加密技術(shù)方法本身存在著一定的問題。安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。安全訪問控制等級和用戶的使用效率成反比,訪問控制和保護(hù)模型本身存在一定的問題。在軟件工程中存在軟件測試不充足、軟件生命周期縮短、大型軟件復(fù)雜性等難解問題,工程領(lǐng)域的困難復(fù)雜性,使得軟件不可能沒有錯(cuò)誤,而系統(tǒng)軟件容錯(cuò)恰恰被表明是安全的弱點(diǎn)。修補(bǔ)系統(tǒng)軟件缺陷不能令人滿意。由于修補(bǔ)系統(tǒng)軟件缺陷,計(jì)算機(jī)系統(tǒng)不安全狀態(tài)將持續(xù)相當(dāng)長一段時(shí)間。9研究入侵檢測的必要性-3基于上述幾類問題的解決難度,一個(gè)實(shí)用的方法是建立比較容易實(shí)現(xiàn)的安全系統(tǒng),同時(shí)按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng),現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個(gè)思路進(jìn)行的。就目前系統(tǒng)安全狀況而言,系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊,只要盡可能地檢測到,甚至是實(shí)時(shí)地檢測到,然后采取適當(dāng)?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生。入侵檢測非常必要,它將有效彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。10分布式入侵檢測——主機(jī)和網(wǎng)絡(luò)IDS的集成分布式入侵檢測系統(tǒng)(DIDS)最早試圖把基于主機(jī)的方法和網(wǎng)絡(luò)監(jiān)視方法集成在一起。DIDS的最初概念是采用集中式控制技術(shù),向DIDS中心控制器發(fā)報(bào)告。DIDS主管安全管理員用戶界面專家系統(tǒng)通信管理器主機(jī)代理LAN代理主機(jī)事件發(fā)生器LAN事件發(fā)生器主機(jī)監(jiān)視器LAN監(jiān)視器112.入侵檢測系統(tǒng)12入侵檢測系統(tǒng)的基本模型通用入侵檢測模型(Denning模型)層次化入侵檢測模型(IDM)管理式入侵檢測模型(SNMP-IDSM)

13通用入侵檢測模型(Denning模型)基本假設(shè):計(jì)算機(jī)安全的入侵行為可以通過檢查一個(gè)系統(tǒng)的審計(jì)記錄、從中辯識異常使用系統(tǒng)的入侵行為。這是一個(gè)基于規(guī)則的模式匹配系統(tǒng),采用的是統(tǒng)計(jì)學(xué)的方法。缺點(diǎn):沒有包含已知系統(tǒng)漏洞或系統(tǒng)攻擊方法的知識,而這些知識是非常有用的。14IDM模型這是在研究分布式IDS時(shí)提出的。將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。將收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作。IDM將分布式系統(tǒng)看成一臺虛擬機(jī),簡化了對跨越單機(jī)的入侵行為的識別。15SNMP-IDSM模型從管理者角度考慮IDS,目的是使IDS之間能夠順利交換信息,從而實(shí)現(xiàn)分布式協(xié)同檢測。需要一個(gè)公共語言和統(tǒng)一的數(shù)據(jù)表達(dá)格式(選用了SNMP為公共語言)定義了用來描述入侵事件的管理信息庫MIB,并將入侵事件分為原始事件和抽象事件兩層結(jié)構(gòu)。采用5元組來描述攻擊事件,where,when,who,what,how.16入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的工作模式體現(xiàn)為以下四步驟:從系統(tǒng)不同環(huán)節(jié)收集數(shù)據(jù)分析信息,試圖找到入侵活動(dòng)的特征。自動(dòng)對檢測的行為作出響應(yīng)。記錄并報(bào)告檢測過程和結(jié)果。17入侵檢測系統(tǒng)的組成部分18入侵檢測系統(tǒng)的分類根據(jù)目標(biāo)系統(tǒng)的類型:基于主機(jī)(Host-Based)的入侵檢測系統(tǒng)。通常,基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí),入侵檢測系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警,以采取措施?;诰W(wǎng)絡(luò)(Network-Based)的入侵檢測系統(tǒng)?;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。19入侵檢測系統(tǒng)的分類根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源:主機(jī)系統(tǒng)日志原始的網(wǎng)絡(luò)數(shù)據(jù)包應(yīng)用程序的日志防火墻報(bào)警日志其它入侵檢測系統(tǒng)的報(bào)警信息20入侵檢測系統(tǒng)的分類根據(jù)入侵檢測分析方法:基于正常行為特征的入侵檢測系統(tǒng):利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和異?;顒?dòng)的依據(jù)?;诤灻娜肭謾z測:根據(jù)已知入侵攻擊的信息(知識、模式等,稱為簽名)來檢測系統(tǒng)中的入侵和攻擊。21入侵檢測系統(tǒng)的分類根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式:集中式入侵檢測系統(tǒng)。系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機(jī)上運(yùn)行,這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。分布式入侵檢測系統(tǒng)。系統(tǒng)的各個(gè)模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上,一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上,如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大,那么數(shù)據(jù)分析模塊也會(huì)分布,一般是按照層次性的原則進(jìn)行組織的。

3.入侵檢測流程入侵檢測流程:入侵檢測的過程入侵檢測系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的方法模型告警與響應(yīng)入侵檢測的過程信息收集信息分析告警與響應(yīng)入侵檢測系統(tǒng)的數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源:

系統(tǒng)運(yùn)行狀態(tài)信息系統(tǒng)記帳信息系統(tǒng)日志(Syslog)C2級安全性審計(jì)信息入侵檢測系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源:

SNMP信息網(wǎng)絡(luò)通信包入侵檢測系統(tǒng)的數(shù)據(jù)源應(yīng)用程序日志文件其他入侵檢測系統(tǒng)的報(bào)警信息其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息入侵分析的概念入侵檢測系統(tǒng)是一個(gè)復(fù)雜的數(shù)據(jù)處理系統(tǒng),所涉及到的問題域中的各種關(guān)系也比較復(fù)雜。從入侵檢測的角度來說,分析是指針對用戶和系統(tǒng)活動(dòng)數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征,以鑒別出感興趣的行為。這種行為的鑒別可以實(shí)時(shí)進(jìn)行,也可以事后分析,在很多情況下,事后的進(jìn)一步分析是為了尋找行為的責(zé)任人。入侵分析的目的重要的威懾力:目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析,對于入侵者來說具有很大的威懾力,因?yàn)檫@意味著攻擊行為可能會(huì)被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理:分析過程中可能會(huì)發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞,安全管理員可以根據(jù)分析結(jié)果對系統(tǒng)進(jìn)行重新配置,避免被攻擊者用來竊取信息或破壞系統(tǒng)。獲取入侵證據(jù):入侵分析可以提供有關(guān)入侵行為詳細(xì)的、可信的證據(jù),這些證據(jù)可以用于事后追究入侵者的責(zé)任?;诋惓P袨榈娜肭謾z測方法模型模式庫攻擊者匹配報(bào)警基于異常行為的檢測方法模式匹配方法:基于模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法,該方法將已知的入侵特征轉(zhuǎn)換成模式,存放于模式數(shù)據(jù)庫中,在檢測過程中,模式匹配模型將到來的事件與入侵模式數(shù)據(jù)庫中的入侵模式進(jìn)行匹配,如果匹配成功,則認(rèn)為有入侵行為發(fā)生。專家系統(tǒng)方法:基于專家系統(tǒng)的誤用入侵檢測方法是最傳統(tǒng)、最通用的誤用入侵檢測方法。在諸如MIDAS、IDES、下一代IDES(NIDES)、DIDS和CMDS中都使用了這種方法。在MIDAS、IDES和NIDES中,應(yīng)用的產(chǎn)品系統(tǒng)是P-BEST,該產(chǎn)品由AlanWhithurst設(shè)計(jì)。而DIDS和CMDS,使用的是CLIPS系統(tǒng),是由美國國家航空和宇航局開發(fā)的系統(tǒng)?;谡P袨榈娜肭謾z測模型異常行為正常行為命令系統(tǒng)調(diào)用活動(dòng)度量CPU使用網(wǎng)絡(luò)連接……神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學(xué)習(xí)技術(shù)來描述異常行為。這種非參分析技術(shù)運(yùn)作在歷史訓(xùn)練數(shù)據(jù)集上。歷史訓(xùn)練數(shù)據(jù)集假定是不包含任何指示入侵或其它不希望的用戶行為。神經(jīng)網(wǎng)絡(luò)由許多稱為單元的簡單處理元素組成。這些單元通過使用加權(quán)的連接相互作用。一個(gè)神經(jīng)網(wǎng)絡(luò)知識根據(jù)單元和它們權(quán)值間連接編碼成網(wǎng)絡(luò)機(jī)構(gòu)。實(shí)際的學(xué)習(xí)過程是通過改變權(quán)值和加入或移去連接進(jìn)行的。使用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測的主要不足是神經(jīng)網(wǎng)絡(luò)不能為它們找到的任何異常提供任何解釋。基于正常行為的檢測技術(shù)總結(jié)●概率統(tǒng)計(jì)異常檢測原理:每一個(gè)輪廓保存記錄主體當(dāng)前行為,并定時(shí)將當(dāng)前輪廓與歷史輪廓合并形成統(tǒng)計(jì)輪廓(更新),通過比較當(dāng)前輪廓與統(tǒng)計(jì)輪廓來判定異常行為。優(yōu)點(diǎn):可應(yīng)用成熟的概率統(tǒng)計(jì)理論缺點(diǎn):①由于用戶行為的復(fù)雜性,要想準(zhǔn)確地匹配一個(gè)用戶的歷史行為非常困難,容易造成系統(tǒng)誤報(bào)和漏報(bào);

②定義入侵閾值比較困難,閾值高則誤報(bào)率提高,閾值低則漏報(bào)率增高。

●神經(jīng)網(wǎng)絡(luò)異常檢測原理:對下一事件的預(yù)測錯(cuò)誤率在一定程度上反映了用戶行為的異常程度。優(yōu)點(diǎn):①更好地表達(dá)了變量間的非線性關(guān)系,能更好地處理原始數(shù)據(jù)的隨機(jī)特征,即不需要對這些數(shù)據(jù)做任何統(tǒng)計(jì)假設(shè),并且能自動(dòng)學(xué)習(xí)和更新;②有較好的抗干擾能力缺點(diǎn):網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定其他檢測方法免疫系統(tǒng)方法遺傳算法基于代理的檢測數(shù)據(jù)挖掘方法告警與響應(yīng)在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后,就要讓人們知道這些問題的存在,在某些情況下,還要另外采取行動(dòng)。在入侵檢測處理過程模型中,這個(gè)階段稱之為響應(yīng)期。理想的情況下,系統(tǒng)的這一部分應(yīng)該具有豐富的響應(yīng)功能特性,并且這些響應(yīng)特性在針對安全管理小組中的每一位成員進(jìn)行裁剪后,能夠?yàn)樗麄兌继峁┓?wù)。被動(dòng)響應(yīng)是系統(tǒng)僅僅簡單地記錄和報(bào)告所檢測出的問題。主動(dòng)響應(yīng)則是系統(tǒng)要為阻塞或影響進(jìn)程而采取行動(dòng)。響應(yīng)的類型主動(dòng)響應(yīng):入侵者采取反擊行動(dòng)修正系統(tǒng)環(huán)境收集額外信息響應(yīng)的類型被動(dòng)響應(yīng):告警和通知

SNMPTrap和插件394.基于主機(jī)的入侵檢測技術(shù)40基于主機(jī)的入侵檢測技術(shù)基于主機(jī)的入侵檢測技術(shù):審計(jì)數(shù)據(jù)的獲取審計(jì)數(shù)據(jù)的預(yù)處理基于統(tǒng)計(jì)模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)5.基于網(wǎng)絡(luò)的入侵檢測技術(shù)局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理HUB工作原理網(wǎng)卡工作原理局域網(wǎng)工作過程SnifferSniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。Sniffer要捕獲的東西必須是物理信號能收到的報(bào)文信息。所以,只要通知網(wǎng)卡接收其收到的所有包(該模式叫作混雜promiscuous模式:指網(wǎng)絡(luò)上的設(shè)備都對總線上傳送的所有數(shù)據(jù)進(jìn)行偵聽,并不僅僅是針對它們自己的數(shù)據(jù)。),在共享HUB下就能接收到這個(gè)網(wǎng)段的所有數(shù)據(jù)包,但是在交換HUB下就只能接收自己的包和廣播包。Sniffer的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下,用戶并不直接和該層打交道,有些甚至不知道有這一層存在。共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機(jī)的所有數(shù)據(jù)流,就必須繞開系統(tǒng)正常工作的處理機(jī)制,直接訪問網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜模式,使之可以接收目標(biāo)地址不是自己的MAC地址的數(shù)據(jù)包,然后直接訪問數(shù)據(jù)鏈路層,獲取數(shù)據(jù)并由應(yīng)用程序進(jìn)行過濾處理。在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫直接與內(nèi)核驅(qū)動(dòng)交互操作,實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。在Win32平臺上可以使用Winpcap,通過VxD虛擬設(shè)備驅(qū)動(dòng)程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。常用的包捕獲機(jī)制包捕獲機(jī)制系統(tǒng)平臺備注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX,SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

BPF的模型及其接口緩存緩存過濾器過濾器緩存協(xié)議棧鏈路層驅(qū)動(dòng)器鏈路層驅(qū)動(dòng)器程序1程序3程序2過濾器鏈路層驅(qū)動(dòng)器程序4Libpcap介紹

Libpcap的英文意思是PacketCapturelibrary,即數(shù)據(jù)包捕獲函數(shù)庫。它是勞倫斯伯克利國家實(shí)驗(yàn)室網(wǎng)絡(luò)研究組開發(fā)的UNIX平臺上的一個(gè)包捕獲函數(shù)庫,其源代碼可從/libpcap.tar.z獲得。它是一個(gè)獨(dú)立于系統(tǒng)的用戶層包捕獲的API接口,為底層網(wǎng)絡(luò)監(jiān)測提供了一個(gè)可移植的框架。Windows平臺下的Winpcap庫

Libpcap過去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過在Wiin32系統(tǒng)中安裝Winpcap來實(shí)現(xiàn)的,其官方網(wǎng)站是http://winpcap.polito.it/。Winpcap的主要功能在于獨(dú)立于主機(jī)協(xié)議而發(fā)送和接收原始數(shù)據(jù)報(bào),主要提供了四大功能:(1)捕獲原始數(shù)據(jù)報(bào),包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào);(2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前,按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉;(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào);(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。Winpcap結(jié)構(gòu)示意圖

檢測引擎的設(shè)計(jì)網(wǎng)絡(luò)檢測引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包,才能得到可能入侵的信息。檢測引擎首先需要利用數(shù)據(jù)包截獲機(jī)制,截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。經(jīng)過過濾后,引擎需要采用一定的技術(shù)對數(shù)據(jù)包進(jìn)行處理和分析,從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術(shù)是檢測引擎的重要組成部分。檢測引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等。模式匹配技術(shù)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較;如果比較結(jié)果相同,則檢測到一個(gè)可能的攻擊;如果比較結(jié)果不同,從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開始比較;直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢,一個(gè)攻擊特征匹配結(jié)束。對于每一個(gè)攻擊特征,重復(fù)1步到4步的操作。直到每一個(gè)攻擊特征匹配完畢,對給定數(shù)據(jù)包的匹配完畢。協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流,如果將協(xié)議分析和模式匹配方法結(jié)合起來,可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型,以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包??梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹,一個(gè)特定的協(xié)議是該樹結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn),可以用一棵二叉樹來表示。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識快速地判斷攻擊特征是否存在。他的高效使得匹配的計(jì)算量大幅度減小。特征(signature)的基本概念

IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù),通常分為多種,以下是一些典型情況及識別方法:來自保留IP地址的連接企圖:可通過檢查IP報(bào)頭的來源地址識別。帶有非法TCP標(biāo)志組合的數(shù)據(jù)包:可通過對比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來識別。含有特殊病毒信息的Email:可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別,或者通過搜索特定名字的附近來識別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖:可通過解析DNS域及檢查每個(gè)域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識別方法是:在負(fù)載中搜索“殼代碼利用”(exploitshellcode)的序列代碼組合。通過對POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù),看看是否超過了預(yù)設(shè)上限,而發(fā)出報(bào)警信息。未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊:通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。典型特征--報(bào)頭值

一般情況下,異常報(bào)頭值的來源有以下幾種:來自保留IP地址的連接企圖:可通過檢查IP報(bào)頭的來源地址識別。許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義。許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義。隨著時(shí)間推移,執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。候選特征

只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包,這是公認(rèn)的惡意行為跡象。沒有設(shè)置ACK標(biāo)志,但卻具有不同確認(rèn)號碼數(shù)值的數(shù)據(jù)包,而正常情況應(yīng)該是0。來源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包,經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”(reflexive),除了個(gè)別時(shí)候如進(jìn)行一些特別NetBIOS通訊外,正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象。“反身”端口本身并不違反TCP標(biāo)準(zhǔn),但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的FTP對話中,目標(biāo)端口一般是21,而來源端口通常都高于1023。TCP窗口尺寸為1028,IP標(biāo)識號碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義,這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同,因此,如果持續(xù)不變,就表明可疑。報(bào)頭值關(guān)鍵元素

IP地址,特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號,特別是眾所周知的協(xié)議端口號和木馬端口號。異常信息包片斷。特殊TCP標(biāo)志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。檢測實(shí)例-數(shù)據(jù)包捕獲08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論