第10講：第六章-基于網(wǎng)絡(luò)的入侵檢測技術(shù)

1、0入侵檢測技術(shù)分析第第10講講1入侵檢測技術(shù)分析入侵檢測技術(shù)分析 第六章第六章基于網(wǎng)絡(luò)的入侵檢測技術(shù)基于網(wǎng)絡(luò)的入侵檢測技術(shù)2課程安排課程安排n 入侵檢測概述入侵檢測概述 5學(xué)時n 入侵檢測技術(shù)分類入侵檢測技術(shù)分類 3學(xué)時n 基于主機(jī)的入侵檢測技術(shù)基于主機(jī)的入侵檢測技術(shù) 2學(xué)時n 基于網(wǎng)絡(luò)的入侵檢測技術(shù)基于網(wǎng)絡(luò)的入侵檢測技術(shù) 3學(xué)時n 混合型的入侵檢測技術(shù)混合型的入侵檢測技術(shù) 2學(xué)時n先進(jìn)的入侵檢測技術(shù)先進(jìn)的入侵檢測技術(shù) 3學(xué)時n分布式入侵檢測架構(gòu)分布式入侵檢測架構(gòu) 3學(xué)時n設(shè)計考慮及響應(yīng)問題設(shè)計考慮及響應(yīng)問題 2學(xué)時n入侵檢測系統(tǒng)的評估與測試入侵檢測系統(tǒng)的評估與測試 3學(xué)時nSnort分析分析

2、 4學(xué)時 n入侵檢測技術(shù)的發(fā)展趨勢入侵檢測技術(shù)的發(fā)展趨勢 2學(xué)時 3教材及參考書教材及參考書n 入侵檢測技術(shù)入侵檢測技術(shù)曹元大曹元大 人民郵電出版社人民郵電出版社n 入侵檢測技術(shù)入侵檢測技術(shù)唐正軍等唐正軍等 清華大學(xué)出版社清華大學(xué)出版社n 入侵檢測入侵檢測羅守山羅守山 北京郵電大學(xué)出版社北京郵電大學(xué)出版社 4上一節(jié)回顧上一節(jié)回顧n 網(wǎng)絡(luò)數(shù)據(jù)包的截獲網(wǎng)絡(luò)數(shù)據(jù)包的截獲l sniffierl 采用套接字編程方式完成數(shù)據(jù)包截獲采用套接字編程方式完成數(shù)據(jù)包截獲l 采用采用Libpcap庫函數(shù)方法完成數(shù)據(jù)包截獲庫函數(shù)方法完成數(shù)據(jù)包截獲l BPF的基本原理的基本原理5第六章第六章 基于網(wǎng)絡(luò)的入侵檢測技術(shù)基于

3、網(wǎng)絡(luò)的入侵檢測技術(shù)n 分層協(xié)議模型與分層協(xié)議模型與TCP/IP協(xié)議協(xié)議n 網(wǎng)絡(luò)數(shù)據(jù)包的截獲網(wǎng)絡(luò)數(shù)據(jù)包的截獲n 檢測引擎的設(shè)計檢測引擎的設(shè)計n 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 檢測實例分析檢測實例分析66.6 檢測引擎的設(shè)計檢測引擎的設(shè)計l 檢測引擎的設(shè)計是基于網(wǎng)絡(luò)入侵檢測的核心問檢測引擎的設(shè)計是基于網(wǎng)絡(luò)入侵檢測的核心問題。題。l從具體的實現(xiàn)機(jī)制看，檢測引擎可分為從具體的實現(xiàn)機(jī)制看，檢測引擎可分為l嵌入式規(guī)則檢測引擎嵌入式規(guī)則檢測引擎l可編程的檢測?？删幊痰臋z測。l 從具體采用的檢測技術(shù)看，網(wǎng)絡(luò)入侵檢測引擎從具體采用的檢測技術(shù)看，網(wǎng)絡(luò)入侵檢測引擎常見的技術(shù)類型分為兩類：常見的技術(shù)類型

4、分為兩類：l 模式匹配技術(shù)模式匹配技術(shù)l 協(xié)議分析技術(shù)協(xié)議分析技術(shù)l 模式匹配技術(shù)與協(xié)議分析技術(shù)比較模式匹配技術(shù)與協(xié)議分析技術(shù)比較繼續(xù)7嵌入式規(guī)則檢測引擎嵌入式規(guī)則檢測引擎l 具體代碼的實現(xiàn)對用戶是透明的。用戶可以配具體代碼的實現(xiàn)對用戶是透明的。用戶可以配置檢測規(guī)則置檢測規(guī)則,但無法了解系統(tǒng)內(nèi)部的實現(xiàn)機(jī)制但無法了解系統(tǒng)內(nèi)部的實現(xiàn)機(jī)制.l在嵌入式規(guī)則檢測引擎的設(shè)計中，存在兩點關(guān)在嵌入式規(guī)則檢測引擎的設(shè)計中，存在兩點關(guān)鍵問題：鍵問題： 檢測規(guī)則和引擎架構(gòu)設(shè)計。檢測規(guī)則和引擎架構(gòu)設(shè)計。l對于對于SnortSnort系統(tǒng)而言，它采用的是自己定義的檢系統(tǒng)而言，它采用的是自己定義的檢測規(guī)則格式。測規(guī)則格式

5、。 SnortSnort的檢測規(guī)則示例，如下圖的檢測規(guī)則示例，如下圖所示。所示。alert tcp any any - /24 111 (content:|00 01 86 a5|; msg: mountd access;)圖圖 Snort檢測規(guī)則示例檢測規(guī)則示例8嵌入式規(guī)則檢測引擎嵌入式規(guī)則檢測引擎l 檢測規(guī)則的設(shè)計在很大程度上決定了檢測引擎檢測規(guī)則的設(shè)計在很大程度上決定了檢測引擎的入侵檢測能力。另一方面的入侵檢測能力。另一方面, ,檢測引擎的架構(gòu)設(shè)檢測引擎的架構(gòu)設(shè)計對系統(tǒng)檢測性能也具有很大影響計對系統(tǒng)檢測性能也具有很大影響. .l Snort Snort的系統(tǒng)架構(gòu)分為

6、三大部分的系統(tǒng)架構(gòu)分為三大部分: :l協(xié)議解析器：從原始網(wǎng)絡(luò)流量數(shù)據(jù)中解析出協(xié)協(xié)議解析器：從原始網(wǎng)絡(luò)流量數(shù)據(jù)中解析出協(xié)議信息。議信息。l 規(guī)則檢測引擎：規(guī)則檢測引擎：規(guī)則鏈表構(gòu)造模塊、預(yù)處理器規(guī)則鏈表構(gòu)造模塊、預(yù)處理器模塊和規(guī)則匹配模塊模塊和規(guī)則匹配模塊l日志日志/ /警報系統(tǒng)：警報系統(tǒng)：規(guī)則匹配模塊所觸發(fā)的規(guī)則動規(guī)則匹配模塊所觸發(fā)的規(guī)則動作。作。9可編程的檢測引擎設(shè)計可編程的檢測引擎設(shè)計l 可編程的入侵檢測引擎，允許用戶采用特定的編程可編程的入侵檢測引擎，允許用戶采用特定的編程語言或者腳本語言，實現(xiàn)具體的檢測模塊。語言或者腳本語言，實現(xiàn)具體的檢測模塊。l 可編程入侵檢測引擎設(shè)計的要點就在于用

7、實現(xiàn)入可編程入侵檢測引擎設(shè)計的要點就在于用實現(xiàn)入侵檢測功能的腳本語言的定義及其與引擎架構(gòu)的接侵檢測功能的腳本語言的定義及其與引擎架構(gòu)的接口設(shè)計口設(shè)計。l NFRNFR的的IDA/NIDIDA/NID采用可編程檢測引擎設(shè)計采用可編程檢測引擎設(shè)計. .l N-Code N-Code語言類似于語言類似于C C語言的風(fēng)格語言的風(fēng)格, , 是專門的入侵檢是專門的入侵檢測腳本語言測腳本語言. .10可編程的檢測引擎設(shè)計可編程的檢測引擎設(shè)計n 下面給出一個實際的下面給出一個實際的N-Code檢測模塊，該模塊檢測模塊，該模塊用于檢測針對用于檢測針對Web服務(wù)器的若干種探測攻擊行為，服務(wù)器的若干種探測攻擊行為，

8、包括若干種包括若干種cgi探測和探測和phf攻擊。攻擊。# Sample for detecting Web cgi probesbadweb_schema = library_schema:new(1, time, int, ip, ip, str, scope();# list of web servers to watch. List IP address of servers or a netmask # that matches all. use : to match any server11可編程的檢測引擎設(shè)計可編程的檢測引擎設(shè)計 da_web_serv

9、ers = : ;query_list = /cgi-bin/nph-test-cgi?,/cgi-bin/test-cgi?, /cgi-bin/perl.exe?, /cgi-bin/phf? ;filter bweb tcp (client, dport: 80)if (! (tcp.connDst inside da_web_servers)return;declare blob inside tcp.connSym;if (blob = null)12可編程的檢測引擎設(shè)計可編程的檢測引擎設(shè)計blob = tcp.blob;elseblob = cat (b

10、lob, tcp.blob);while (1 = 1) x = index(blob, n);if (x = 0) counter=1;# save the time, the connection hash, the client,# the server, and the command to a histogramrecord system.time, tcp.connHash, tcp.connSrc, tcp.connDst, t to badweb_hist;if (counter)break;14可編程的檢測引擎設(shè)計可編程的檢測引擎設(shè)計# keep us from gettin

11、g flooded if there is no newline in the dataif (strlen(blob) 4096)blob = ;# save the blob for next passblob = substr(blob, x + 1);badweb_hist = recorder (bin/histogram packages/test/badweb.cfg,badweb_schema);15模式匹配技術(shù)模式匹配技術(shù)n 使用基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。其特點使用基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。其特點是誤報率小。是誤報率小。n 傳統(tǒng)模式傳統(tǒng)模式匹配匹配工作過程如下

12、：工作過程如下：l (1) (1) 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較。從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較。l (2)(2)如果比較結(jié)果相同，則檢測到一個可能的攻擊。如果比較結(jié)果相同，則檢測到一個可能的攻擊。l (3)(3)如果比較結(jié)果不同，從數(shù)據(jù)包中下一個位置重新如果比較結(jié)果不同，從數(shù)據(jù)包中下一個位置重新開始比較。開始比較。l (4) (4) 直到檢測到攻擊或數(shù)據(jù)包中的所有字節(jié)匹配完直到檢測到攻擊或數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束。畢，一個攻擊特征匹配結(jié)束。l (5) (5) 對于每一個攻擊特征，重復(fù)對于每一個攻擊特征，重復(fù)(1)(1) (4)(4)步的操作。步的操作。l

13、 (6) (6) 直到每一個攻擊特征匹配完畢，對給定數(shù)據(jù)包直到每一個攻擊特征匹配完畢，對給定數(shù)據(jù)包的匹配完畢。的匹配完畢。16協(xié)議分析技術(shù)協(xié)議分析技術(shù)n 傳統(tǒng)的模式匹配檢測方法的根本問題是把網(wǎng)絡(luò)傳統(tǒng)的模式匹配檢測方法的根本問題是把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流?？墒蔷W(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流。和取值的數(shù)據(jù)流。n 協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。并便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包。并根據(jù)協(xié)議首

14、部相應(yīng)的字段確定上層協(xié)議根據(jù)協(xié)議首部相應(yīng)的字段確定上層協(xié)議, 直至完直至完成應(yīng)用層協(xié)議的解析。成應(yīng)用層協(xié)議的解析。n 可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹，一個特定可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點?？梢杂靡豢玫膮f(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點。可以用一棵二叉樹來表示。二叉樹來表示。17協(xié)議分析技術(shù)協(xié)議分析技術(shù)n例如對一個例如對一個HTTP報文的解析報文的解析:l根據(jù)數(shù)據(jù)鏈路層以太網(wǎng)的幀頭部協(xié)議類型字根據(jù)數(shù)據(jù)鏈路層以太網(wǎng)的幀頭部協(xié)議類型字段為段為0800, 0800, 確定上一層為確定上一層為IPIP協(xié)議協(xié)議; ; l從從IP IP 包頭部讀取協(xié)議值為包頭部讀取協(xié)議值為0

15、6, 06, 傳輸層協(xié)議為傳輸層協(xié)議為TCP; TCP; l從從TCP TCP 包頭部讀取端口號為包頭部讀取端口號為80, 80, 則其內(nèi)容為則其內(nèi)容為HTTP HTTP 報文報文; ; l最后解析出最后解析出HTTP HTTP 頭部和報文中的內(nèi)容。頭部和報文中的內(nèi)容。18協(xié)議分析技術(shù)協(xié)議分析技術(shù)n以以TCP/IP協(xié)議為例實現(xiàn)一棵分析樹時協(xié)議為例實現(xiàn)一棵分析樹時, 樹根是以樹根是以太網(wǎng)的幀太網(wǎng)的幀( 假定從數(shù)據(jù)鏈路層開始分析假定從數(shù)據(jù)鏈路層開始分析) , 靠近樹靠近樹根的是根的是IP, ARP,RARP協(xié)議協(xié)議, 然后是然后是TCP, UDP, ICMP 等等, 最后是最后是HTTP, SMT

16、P等高層協(xié)議的特征等高層協(xié)議的特征, 如圖如圖所示。所示。n 19協(xié)議分析技術(shù)協(xié)議分析技術(shù)l 協(xié)議分析的檢測模型協(xié)議分析的檢測模型20協(xié)議分析技術(shù)協(xié)議分析技術(shù)n按協(xié)議類型對規(guī)則進(jìn)行分類按協(xié)議類型對規(guī)則進(jìn)行分類21特征分析與協(xié)議分析技術(shù)比較特征分析與協(xié)議分析技術(shù)比較l 這兩種入侵檢測分析技術(shù)也在不斷發(fā)展，一個基本這兩種入侵檢測分析技術(shù)也在不斷發(fā)展，一個基本的趨勢是二者相互融合，取長補(bǔ)短，逐步演變成為的趨勢是二者相互融合，取長補(bǔ)短，逐步演變成為混合型的分析技術(shù)?；旌闲偷姆治黾夹g(shù)。l 對于現(xiàn)在的特征分析技術(shù)而言，也逐步加入了許多對于現(xiàn)在的特征分析技術(shù)而言，也逐步加入了許多基本的協(xié)議分析功能。當(dāng)前的特

17、征分析技術(shù)，通?；镜膮f(xié)議分析功能。當(dāng)前的特征分析技術(shù)，通常對對OSI模型中的第三層（網(wǎng)絡(luò)層）和第四層（傳輸模型中的第三層（網(wǎng)絡(luò)層）和第四層（傳輸層）進(jìn)行解碼分析，通常包含了層）進(jìn)行解碼分析，通常包含了IP、ICMP、TCP、UDP等網(wǎng)絡(luò)協(xié)議。等網(wǎng)絡(luò)協(xié)議。l 與此同時，協(xié)議分析技術(shù)也在不斷地發(fā)展。除了上與此同時，協(xié)議分析技術(shù)也在不斷地發(fā)展。除了上述的對第三層和第四層協(xié)議的解碼分析，許多現(xiàn)代述的對第三層和第四層協(xié)議的解碼分析，許多現(xiàn)代的基于協(xié)議分析技術(shù)的系統(tǒng)通常還會對第七層的應(yīng)的基于協(xié)議分析技術(shù)的系統(tǒng)通常還會對第七層的應(yīng)用層協(xié)議進(jìn)行詳盡的分析。用層協(xié)議進(jìn)行詳盡的分析。22特征分析與協(xié)議分析技術(shù)比

18、較特征分析與協(xié)議分析技術(shù)比較l 下表總結(jié)了特征分析和協(xié)議分析技術(shù)各自的優(yōu)下表總結(jié)了特征分析和協(xié)議分析技術(shù)各自的優(yōu)缺點。缺點。類型優(yōu)點缺點特征分析 在小規(guī)則集合情況下，工作速度快 檢測規(guī)則易于編寫、便于理解并且容易進(jìn)行定制 對新出現(xiàn)的攻擊手段，具備快速升級支持能力 對低層的簡單腳本攻擊行為，具備良好的檢測性能 對所發(fā)生的攻擊行為類型，具備確定性的解釋能力 隨著規(guī)則集合規(guī)模的擴(kuò)大，檢測速度迅速下降 各種變種的攻擊行為，易于造成過度膨脹的規(guī)則集合 較易產(chǎn)生虛警信息 僅能檢測到已知的攻擊類型，前提是該種攻擊類型的檢測特征已知協(xié)議分析 具備良好的性能可擴(kuò)展性，特別是在規(guī)則集合規(guī)模較大的情況下 能夠發(fā)現(xiàn)最

19、新的未知安全漏洞（Zero-Day Exploits） 較少出現(xiàn)虛警信息 在小規(guī)則集合情況下，初始的檢測速度相對較慢 檢測規(guī)則比較復(fù)雜，難以編寫和理解并且通常是由特定廠商實現(xiàn) 協(xié)議復(fù)雜性的擴(kuò)展以及實際實現(xiàn)的多樣性，容易導(dǎo)致規(guī)則擴(kuò)展的困難 對發(fā)現(xiàn)的攻擊行為類型，缺乏明確的解釋信息236.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.1 特征（特征（signature）的基本概念）的基本概念 l IDSIDS中的特征就是指用于判別通訊信息種類的樣中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識別方法：識別方法：

20、來自保留來自保留IPIP地址的連接企圖：可通過檢查地址的連接企圖：可通過檢查IPIP報頭報頭的來源地址識別。的來源地址識別。帶有非法帶有非法TCP TCP 標(biāo)志組合的數(shù)據(jù)包：可通過對比標(biāo)志組合的數(shù)據(jù)包：可通過對比TCPTCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記組合報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記組合的不同點來識別。的不同點來識別。含有特殊病毒信息的含有特殊病毒信息的EmailEmail：可通過對比每封：可通過對比每封EmailEmail的主題信息和病態(tài)的主題信息和病態(tài)EmailEmail的主題信息來識別，的主題信息來識別，或者通過搜索特定名字的附件識別?；蛘咄ㄟ^搜索特定名字的附件識別。246.

21、7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.1 特征（特征（signature）的基本概念）的基本概念 查詢負(fù)載中的查詢負(fù)載中的DNSDNS緩沖區(qū)溢出企圖：可通過解析緩沖區(qū)溢出企圖：可通過解析DNSDNS域及檢查每個域的長度來識別利用域及檢查每個域的長度來識別利用DNSDNS域的緩域的緩沖區(qū)溢出企圖。沖區(qū)溢出企圖。通過對通過對POP3POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoSDoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預(yù)設(shè)上限，而發(fā)出報警信息。數(shù)，看看是否超過了預(yù)設(shè)上限，而發(fā)出報警信息。未登

22、錄情況下使用文件和目錄命令對未登錄情況下使用文件和目錄命令對FTPFTP服務(wù)器服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的樣板以監(jiān)視成功登錄的FTPFTP對話、發(fā)現(xiàn)未經(jīng)驗證對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。卻發(fā)命令的入侵企圖。256.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.2 典型典型特征特征- -報頭值報頭值 一般情況下，異常報頭值的來源有以下幾一般情況下，異常報頭值的來源有以下幾種：種：l許多包含報頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會故意違許多包含報頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會故意違反反RFCRFC的標(biāo)準(zhǔn)定義。的標(biāo)準(zhǔn)

23、定義。 l許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFCRFC定義的報頭值數(shù)據(jù)。定義的報頭值數(shù)據(jù)。 l并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFCRFC定義。定義。 l隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有于現(xiàn)有RFCRFC中。中。266.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.3 候選特征候選特征 l SynscanSynscan發(fā)出的信息包具有多種可分辨的特性發(fā)出的信息包具有多種可分辨的特性: : 不同來源不同來源IPIP地址信息地址信息 T

24、CPTCP來源端口來源端口21, 21, 目標(biāo)端口目標(biāo)端口2121 服務(wù)類型服務(wù)類型0 0 IP IP標(biāo)識號碼標(biāo)識號碼3942639426 不同的序列號集合不同的序列號集合 不同的確認(rèn)號碼集合不同的確認(rèn)號碼集合 TCPTCP窗口尺寸窗口尺寸10281028l 可以對以上數(shù)據(jù)進(jìn)行篩選可以對以上數(shù)據(jù)進(jìn)行篩選, , 選擇好的特征數(shù)據(jù)選擇好的特征數(shù)據(jù). .276.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.3 候選特征候選特征 l以下是特征數(shù)據(jù)的候選對象以下是特征數(shù)據(jù)的候選對象只具有只具有SYNSYN和和FINFIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象。為

25、跡象。 來源端口和目標(biāo)端口都被設(shè)置為來源端口和目標(biāo)端口都被設(shè)置為2121的數(shù)據(jù)包，經(jīng)常與的數(shù)據(jù)包，經(jīng)常與FTPFTP服務(wù)器關(guān)聯(lián)。這服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為種端口相同的情況一般被稱為“反身反身”（reflexivereflexive），除了個別時候如進(jìn)行一些），除了個別時候如進(jìn)行一些特別特別NetBIOSNetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象。象?！胺瓷矸瓷怼倍丝诒旧聿⒉贿`反端口本身并不違反TCPTCP標(biāo)準(zhǔn)，但大多數(shù)標(biāo)準(zhǔn)，但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個正常的情況下它們并非預(yù)期數(shù)值。例如在一個正常的FTPFTP對對話中，目

26、標(biāo)端口一般是話中，目標(biāo)端口一般是2121，而來源端口通常都高于，而來源端口通常都高于10231023。 286.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.3 候選特征候選特征l以下是特征數(shù)據(jù)的候選對象以下是特征數(shù)據(jù)的候選對象沒有設(shè)置沒有設(shè)置ACKACK標(biāo)志，但卻具有不同確認(rèn)號碼數(shù)值的標(biāo)志，但卻具有不同確認(rèn)號碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是數(shù)據(jù)包，而正常情況應(yīng)該是0 0。 TCPTCP窗口尺寸為窗口尺寸為10281028，IPIP標(biāo)識號碼在所有數(shù)據(jù)包中標(biāo)識號碼在所有數(shù)據(jù)包中為為3942639426。根據(jù)。根據(jù)IP RFCIP RFC的定義，這的定義，這2 2類數(shù)值應(yīng)在數(shù)類數(shù)值應(yīng)在數(shù)

27、據(jù)包間有所不同，因此，如果持續(xù)不變，就表明據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑?？梢?。 296.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.4 最佳特征最佳特征 l 選擇一項數(shù)據(jù)作為特征有很大局限性選擇一項數(shù)據(jù)作為特征有很大局限性; ; 選擇太多選擇太多的項數(shù)作為特征也不現(xiàn)實的項數(shù)作為特征也不現(xiàn)實. . l 特征定義要在效率和精度間取得折中特征定義要在效率和精度間取得折中. .l 可以創(chuàng)建一個特征可以創(chuàng)建一個特征, , 用于尋找并確定用于尋找并確定SynscanSynscan發(fā)發(fā)出的出的TCPTCP信息包中的以下屬性信息包中的以下屬性: : 只設(shè)置了只設(shè)置了SYNSYN和

28、和FINFIN標(biāo)志標(biāo)志 IPIP簽定號碼為簽定號碼為3942639426 TCP TCP窗口尺寸為窗口尺寸為10281028306.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.5 通用特征通用特征l 由于由于SynscanSynscan可能存在多種可能存在多種”變臉變臉”, , 需要結(jié)合需要結(jié)合使用特殊特征和通用特征使用特殊特征和通用特征l “變臉變臉” SynscanSynscan所發(fā)出的數(shù)據(jù)信息特征所發(fā)出的數(shù)據(jù)信息特征: :只設(shè)置了只設(shè)置了SYNSYN標(biāo)志標(biāo)志TCPTCP窗口尺寸是窗口尺寸是4040“反身反身”端口數(shù)值為端口數(shù)值為5353而不是而不是2121l 可以采取以下可以

29、采取以下3 3種方法種方法, ,識別識別“變臉變臉” SynscanSynscan再創(chuàng)建一個特殊特征再創(chuàng)建一個特殊特征創(chuàng)建識別普通異常行為的通用特征創(chuàng)建識別普通異常行為的通用特征二者都創(chuàng)建二者都創(chuàng)建316.7 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 6.7.6 報頭值關(guān)鍵元素報頭值關(guān)鍵元素 l IPIP地址，特別保留地址、非路由地址、廣播地地址，特別保留地址、非路由地址、廣播地址。址。 l不應(yīng)被使用的端口號，特別是眾所周知的協(xié)議端不應(yīng)被使用的端口號，特別是眾所周知的協(xié)議端口號和木馬端口號。口號和木馬端口號。 l異常信息包片斷。異常信息包片斷。 l特殊特殊TCPTCP標(biāo)志組合值。標(biāo)志組合值。

30、 l不應(yīng)該經(jīng)常出現(xiàn)的不應(yīng)該經(jīng)常出現(xiàn)的ICMPICMP字節(jié)或代碼。字節(jié)或代碼。 326.8 檢測實例分析檢測實例分析n 6.8.1 檢測實例-數(shù)據(jù)包捕獲08/19-10:35:22.409202 :137 - 55:137UDP TTL:128 TOS:0 x0 ID:19775 IpLen:20 DgmLen:78Len: 50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199 :137 - 192.168.0

31、.255:137UDP TTL:128 TOS:0 x0 ID:19776 IpLen:20 DgmLen:78Len: 50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024 :1221 - 90:80TCP TTL:128 TOS:0 x0 ID:4643 IpLen:20 DgmLen:48*S* Seq: 0 x811D5ED1 Ack: 0 x0 Win: 0 xFFFF TcpLen: 28TCP Options (4

32、) = MSS: 1460 NOP NOP SackOK=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+336.8 檢測實例分析檢測實例分析n 6.8.2 端口掃描的檢測端口掃描的檢測l 346.8 檢測實例分析檢測實例分析n 6.8.3 拒絕服務(wù)攻擊的檢測拒絕服務(wù)攻擊的檢測l 35小結(jié)小結(jié)n 嵌入式規(guī)則檢測引擎設(shè)計嵌入式規(guī)則檢測引擎設(shè)計n 可編程檢測引擎設(shè)計可編程檢測引擎設(shè)計n 模式匹配與協(xié)議分析技術(shù)模式匹配與協(xié)議分析技術(shù)n 網(wǎng)絡(luò)入侵特征實例分析網(wǎng)絡(luò)入侵特征實例分析n 檢測實例分析檢測實例分析36補(bǔ)充補(bǔ)充1: 理解理解