入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用(共11頁(yè))

1、第一章 緒論(xln) 11入侵檢測(cè)和網(wǎng)絡(luò)安全研究(ynji)現(xiàn)狀 網(wǎng)絡(luò)技術(shù)給生產(chǎn)(shngchn)和生活帶來(lái)了方便，人們之間的距離也因網(wǎng)絡(luò)的存在而變得更近。同時(shí)，計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)也面臨著日益嚴(yán)重的安全問(wèn)題。利用漏洞，攻擊者可能簡(jiǎn)單地得到系統(tǒng)的控制權(quán)；利用病毒、蠕蟲(chóng)或木馬，攻擊者可以讓攻擊自動(dòng)進(jìn)行，控制數(shù)量眾 多的主機(jī)；甚至發(fā)起拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS)攻擊。不少攻擊工具功能比過(guò)去完善，攻擊者在使用時(shí)不需要編程知識(shí)，使得網(wǎng)絡(luò)攻擊的門(mén)檻變低。攻擊者 的目的性比過(guò)去更為明確，經(jīng)濟(jì)利益驅(qū)使他們?cè)诰W(wǎng)絡(luò)中進(jìn)行詐騙、盜竊、獲取秘密等犯罪行為。面對(duì)網(wǎng)絡(luò)中海量的、轉(zhuǎn)瞬即逝的數(shù)據(jù)，發(fā)現(xiàn)攻擊并

2、對(duì)其取證的工作十分困難。 目前，網(wǎng)絡(luò)安全設(shè)備種類(lèi)繁多，功能強(qiáng)大，但配置仍然相對(duì)復(fù)雜。常見(jiàn)的安全設(shè)備有防火墻、反病毒設(shè)備、入侵檢測(cè)防御、虛擬專(zhuān)用網(wǎng)及與審計(jì)相關(guān)的認(rèn)證、授權(quán)系統(tǒng)。只有建立完整的網(wǎng)絡(luò)安全系統(tǒng)，才有可能保證網(wǎng)絡(luò)的安全。如果網(wǎng)絡(luò)安全體系沒(méi)有在網(wǎng) 絡(luò)建設(shè)的開(kāi)始就加以考慮，而是在完成網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)后再向網(wǎng)絡(luò)中添加安全設(shè)備，可能會(huì)造成更大的安全漏洞和隱患。入侵檢測(cè)作為網(wǎng)絡(luò)安全技術(shù)中最重要的分支之一，入侵檢測(cè)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)攻擊并采取相應(yīng)措施，它有著傳統(tǒng)的防火墻、安全審計(jì)工具所沒(méi)有的特點(diǎn)。通過(guò)對(duì)網(wǎng)絡(luò)關(guān)鍵 節(jié)點(diǎn)中的數(shù)據(jù)進(jìn)行收集和分析檢測(cè)，發(fā)現(xiàn)可能的攻擊行為。12本課題的研究意義網(wǎng)絡(luò)安全關(guān)乎國(guó)家安全

3、，建立網(wǎng)絡(luò)安全體系結(jié)構(gòu)需要可靠的入侵檢測(cè)系統(tǒng)。對(duì)國(guó)外優(yōu)秀的開(kāi)源入侵檢測(cè)系統(tǒng)進(jìn)行分析和研究，并對(duì)其加以改進(jìn)，對(duì)開(kāi)發(fā)擁有自主知識(shí)產(chǎn)權(quán)的入侵檢測(cè)系統(tǒng)有著積極的意義。 第二章 入侵檢測(cè)和網(wǎng)絡(luò)安全概述21入侵檢測(cè)系統(tǒng)概述211入侵和入侵檢測(cè)(jin c)的概念 入侵是所有試圖破壞網(wǎng)絡(luò)信息的完整性、保密性、可用性、可信任性的行為。入侵是一個(gè)廣義的概念，不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等危害計(jì)算機(jī)和網(wǎng)絡(luò)的行為。入侵行為主要(zhyo)有以下幾種：外部滲透指既未被授權(quán)使用計(jì)算機(jī)，又未被授權(quán)使用數(shù)據(jù)或程序(chngx)資源的滲透；內(nèi)部滲透指雖被授權(quán)使用計(jì)算機(jī)，但

4、是未被授權(quán)使用數(shù)據(jù)或程序資源的滲透； 不法使用指利用授權(quán)使用計(jì)算機(jī)、數(shù)據(jù)和程序資源的合法用戶(hù)身份的滲透。這幾種入侵行為是可以相互轉(zhuǎn)變，互為因果的。例如，入侵者通過(guò)外部滲透獲取了某用戶(hù)的賬號(hào)和密碼，然后利用該用戶(hù)的賬號(hào)進(jìn)行內(nèi)部滲透；最后，內(nèi)部滲透也可以轉(zhuǎn)變?yōu)椴环ㄊ褂谩Ｈ肭謾z測(cè)是指通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。212入侵檢測(cè)系統(tǒng)的分類(lèi) 不同的入侵檢測(cè)系統(tǒng)有著技術(shù)、系統(tǒng)結(jié)構(gòu)、實(shí)現(xiàn)方式、檢測(cè)方法和檢測(cè)對(duì)象等方面的差別。從這些角度，可以將入侵檢測(cè)系統(tǒng)大致分為以下幾類(lèi)： 2121根據(jù)所檢測(cè)的對(duì)象分類(lèi) (1)基于網(wǎng)絡(luò)的IDS(NIDS) 通

5、過(guò)將網(wǎng)卡置于混雜模式，IDS可以被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)中的所有原始流量，并對(duì)獲取的數(shù)據(jù)進(jìn)行處理，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來(lái)識(shí)別攻擊事件。此類(lèi)IDS通常放置于網(wǎng)絡(luò)中的關(guān)鍵位置，如內(nèi)部網(wǎng)與外部網(wǎng)相連的邊界上。使用多個(gè)傳感器的分布式NIDS，它能夠?qū)崟r(shí)地監(jiān)測(cè)網(wǎng)絡(luò)中的所有數(shù)據(jù)，且不需要在每臺(tái)服務(wù)器上安裝和配置，部署成本較低，使用相當(dāng)廣泛。另外，除非入侵者攻陷IDS，否則即使能成功清除被攻擊主機(jī)的日志也無(wú)濟(jì)于事。目前，大多數(shù)企業(yè)將交換機(jī)和路由器作為主要的網(wǎng)絡(luò)設(shè)備，HUB已漸漸退出歷史舞臺(tái)。交換網(wǎng)絡(luò)的普及給HIDS的監(jiān)聽(tīng)?zhēng)?lái)了一定的困難。雖然某些型號(hào)的交換機(jī)支持將所有數(shù)據(jù)包發(fā)送到鏡像端口，

6、但這會(huì)犧牲一些性能。此外，這類(lèi)IDS對(duì)加密(ji m)后的數(shù)據(jù)流通常無(wú)能為力。 (2)基于(jy)主機(jī)的IDS(HIDS)這類(lèi)IDS試圖從操作系統(tǒng)的審計(jì)跟蹤(gnzng)日志判斷入侵事件的線(xiàn)索。一方面它對(duì)抵達(dá)主機(jī)的數(shù)據(jù)進(jìn)行分析并試圖確認(rèn)哪些是潛在的威脅，另一方面對(duì)入侵者留下的痕跡進(jìn)行分析，找到入侵的證據(jù)。此類(lèi)IDS可以對(duì)系統(tǒng)日志進(jìn)行分析，從中發(fā)現(xiàn)入侵企圖并向管理員報(bào)告。如登錄失敗、非授權(quán)訪(fǎng)問(wèn)等情況。它還能查找系統(tǒng)文件和系統(tǒng)配置的改變，為入侵行為提供證據(jù)。它能分析進(jìn)程的行為，如果進(jìn)程出現(xiàn)試圖訪(fǎng)問(wèn)內(nèi)核資源、訪(fǎng)問(wèn)其它進(jìn)程資源、蓄意制造溢出等情況時(shí)，則可能出現(xiàn)了入侵行為或感染了病毒。HIDS具有較高的

7、準(zhǔn)確性，記錄的內(nèi)容可能非常詳細(xì)，但它會(huì)明顯影響主機(jī)的性能，在服務(wù)器遭受毀滅性攻擊時(shí)，HIDS也可能同時(shí)被破壞。(3)混合式IDS，綜合基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的IDS，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。(4)文件完整性檢查工具，保護(hù)關(guān)鍵文件的完整性，檢查文件是否被修改，從而檢測(cè)出可能的入侵。它通常已經(jīng)包含在HIDS中。2122根據(jù)檢測(cè)的技術(shù)分類(lèi) (1)基于誤用(Misuse)的IDS 基于誤用的IDS又被稱(chēng)為基于濫用的IDS。誤用檢測(cè)技術(shù)主要通過(guò)某種方式預(yù)先定義入侵規(guī)則，然后監(jiān)視系統(tǒng)的運(yùn)行，從中找到符合預(yù)先定義的入侵行為。目前這類(lèi)入侵檢測(cè)系統(tǒng)主要有專(zhuān)家系統(tǒng)、模型推理

8、系統(tǒng)、誤用預(yù)測(cè)系統(tǒng)和模式匹配系統(tǒng)。其中，模式匹配是應(yīng)用最為廣泛的檢測(cè)手段，本文對(duì)IDS的探討也主要集中在snort(一種免費(fèi)開(kāi)源的基于模式匹配IDS系統(tǒng))上。 (2)基于異常(Anomaly)的IDS 基于異常的IDS假設(shè)任何人的正常行為都是有一定的規(guī)律的，并且可以通過(guò)分析這些行為產(chǎn)生的日志信息總結(jié)出這些規(guī)律。IDS檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征(用戶(hù)輪廓)，當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種入侵行為可能是已知的，也有可能是未知的?；诮y(tǒng)計(jì)學(xué)方法的異常檢測(cè)系統(tǒng)使用統(tǒng)計(jì)學(xué)的方法來(lái)學(xué)習(xí)和

9、檢測(cè)用戶(hù)的行為。一般地，在人們使用計(jì)算機(jī)的過(guò)程中是有一定規(guī)律的，當(dāng)IDS認(rèn)為用戶(hù)的行為與長(zhǎng)期積累的規(guī)律發(fā)生重大偏離時(shí)，則認(rèn)為可能發(fā)生了攻擊行為，從而產(chǎn)生警告。類(lèi)似地，基于神經(jīng)網(wǎng)絡(luò)的IDS也可以學(xué)習(xí)用戶(hù)的行為，并能緊密地模仿用戶(hù)的行為，根據(jù)最新的變化進(jìn)行調(diào)整。然而，基于誤用的IDS大多需要一段時(shí)間來(lái)學(xué)習(xí)其監(jiān)測(cè)的網(wǎng)絡(luò)，然后才能進(jìn)行檢測(cè)。如果網(wǎng)絡(luò)中的使用模式毫無(wú)規(guī)律，那么這類(lèi)IDS就無(wú)法正常工作了。而且，“正常”與“異?！钡拈撝惦y以確定，即使檢測(cè)出異常，也往往不能精確地報(bào)告攻擊的類(lèi)型和方式。這些缺點(diǎn)使這類(lèi)IDS僅僅是前一類(lèi)IDS的補(bǔ)充。213 NIDS的基本(jbn)結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NI

10、DS)是入侵檢測(cè)系統(tǒng)中最為重要(zhngyo)的部分。它獲取網(wǎng)絡(luò)中的所有數(shù)據(jù)并加以分析，發(fā)現(xiàn)潛在的威脅。NIDS通常由如下(rxi)幾個(gè)模塊組成：數(shù)據(jù)包獲取模塊、解碼模塊、數(shù)據(jù)包分析模塊、事件分析模塊、報(bào)警模塊和通訊模塊。數(shù)據(jù)包獲取模塊通過(guò)將網(wǎng)卡設(shè)置成混雜模式而得到網(wǎng)絡(luò)中的所有數(shù)據(jù)。該模塊通常由驅(qū)動(dòng)程序完成。NIDS面對(duì)的是網(wǎng)絡(luò)中的海量數(shù)據(jù)，使用專(zhuān)門(mén)為NIDS設(shè)計(jì)的數(shù)據(jù)包捕獲程序或直接由硬件完成，都可以提高系統(tǒng)性能。解碼模塊將原始數(shù)據(jù)包處理成IDS比較容易處理的形式，如分離數(shù)據(jù)包的各部分內(nèi)容，重組分片等在分析前必須完成的工作。這一部分還可以直接發(fā)現(xiàn)一小部分攻擊。數(shù)據(jù)包分析模塊是NIDS最重要的

11、模塊。它負(fù)責(zé)在數(shù)據(jù)包中搜索特定的字符串，以判斷數(shù)據(jù)包是否有惡意內(nèi)容。通常，它是NIDS中對(duì)性能要求最高的模塊。忽略協(xié)議類(lèi)別而直接進(jìn)行模式匹配的IDS，其性能通常是低下的，因?yàn)閿?shù)據(jù)包的類(lèi)型決定了其對(duì)應(yīng)可能出現(xiàn)的攻擊的數(shù)量的多少。為提高性能，很多NIDS采用協(xié)議細(xì)分的方式縮小搜索范圍，即在數(shù)據(jù)包到達(dá)后，僅僅進(jìn)行與該數(shù)據(jù)包相關(guān)的那些字符串。事件分析模塊分析和處理數(shù)據(jù)包分析模塊的結(jié)果，通常(tngchng)它們過(guò)濾并綜合各個(gè)數(shù)據(jù)包分析模塊產(chǎn)生的信息；報(bào)警模塊將事件分析模塊產(chǎn)生的結(jié)果，產(chǎn)生報(bào)警信息，并將這些信息告之用戶(hù)或?qū)懭肴罩局?；通訊模塊負(fù)責(zé)各個(gè)傳感器之間的通訊，為防止NIDS之間的通訊被黑客竊聽(tīng)、篡

12、改，常常需要將NIDS各模塊之間的通訊加密。 22入侵的常見(jiàn)手段(shudun)和防范 為了使入侵檢測(cè)系統(tǒng)能更準(zhǔn)確、更快速地報(bào)告入侵行為，設(shè)計(jì)者需要對(duì)已知的所有入侵手段進(jìn)行分析，更精確(jngqu)地描述入侵?jǐn)?shù)據(jù)包與正常通信數(shù)據(jù)包的本質(zhì)區(qū)別，才能減少誤報(bào)和漏報(bào)現(xiàn)象。 入侵手段通常是與系統(tǒng)或協(xié)議漏洞相關(guān)的，當(dāng)某些系統(tǒng)或協(xié)議被淘汰、漏洞被修補(bǔ)之后，這些入侵方式也就自然無(wú)法得逞了。入侵手段也是不斷變化著的，當(dāng)一種新的入侵手段被發(fā)現(xiàn)，或者源代碼被披露之后，可能會(huì)造成某種入侵的爆發(fā)，直到引起人們的足夠重視為止。攻擊被大致分為幾類(lèi)，包含了目前幾乎所有的攻擊方式。然而攻擊的手段隨時(shí)間的推移顯示出不同的特點(diǎn)，

13、新的攻擊思路和手段也日新月異，試圖對(duì)攻擊進(jìn)行完美的分類(lèi)很難做到。221網(wǎng)絡(luò)探測(cè)和嗅探 攻擊者在此類(lèi)攻擊中期望得到與網(wǎng)絡(luò)相關(guān)的信息。在得到目標(biāo)IP地址空間后，對(duì)其進(jìn)行掃描或嗅探。掃描技術(shù)可以偵察到允許連接的服務(wù)和開(kāi)放的端口，來(lái)發(fā)現(xiàn)目標(biāo)主機(jī)端口的分配情況、提供的各項(xiàng)服務(wù)以及服務(wù)器的操作系統(tǒng)和某些服務(wù)程序版本，從而為以后的入侵攻擊建立基礎(chǔ)。攻擊者在攻擊前首先要做的就是搜集目標(biāo)網(wǎng)絡(luò)的信息。網(wǎng)絡(luò)探測(cè)是攻擊的前提，大多數(shù)黑客都會(huì)在攻擊之前對(duì)目標(biāo)進(jìn)行掃描。目前一些掃描工具已經(jīng)擁有比較強(qiáng)大的功能，如NMAP、XScan、nessus、Retina，有的還兼?zhèn)渥詣?dòng)攻擊功能。為避免被對(duì)方的防火墻或IDS察覺(jué)，攻擊

14、者可能還會(huì)采用慢掃描或改變掃描手段(分布式掃描)。盡管如此，掃描作為一種主動(dòng)行為，很可能被受害者察覺(jué)。而嗅探則相對(duì)“安靜”得多。嗅探是指：在廣播式網(wǎng)絡(luò)中，攻擊者可以對(duì)網(wǎng)絡(luò)上流通的所有數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)，從而獲取有用的信息。如Hub連接的網(wǎng)絡(luò)上，只要將網(wǎng)卡設(shè)置為混雜模式就可以直接收到網(wǎng)絡(luò)內(nèi)的所有數(shù)據(jù)包。隨著交換網(wǎng)絡(luò)的普及，監(jiān)聽(tīng)的難度越來(lái)越大。但針對(duì)網(wǎng)絡(luò)中關(guān)鍵服務(wù)器或設(shè)備的監(jiān)聽(tīng)一旦成功，仍然可以得到大量有價(jià)值的數(shù)據(jù)。監(jiān)聽(tīng)是易于實(shí)現(xiàn)的，很多監(jiān)聽(tīng)網(wǎng)絡(luò)的軟件還具有強(qiáng)大的功能，如Sniffer Pro。處于混雜模式的計(jì)算機(jī)是有可能被發(fā)現(xiàn)的，在某些情況下，向監(jiān)聽(tīng)者發(fā)送特定格式的ARP包可以發(fā)現(xiàn)哪些網(wǎng)卡處于監(jiān)聽(tīng)模

15、式，Antisniff就是利用此原理工作的。除了掃描和嗅探，攻擊者還可以通過(guò)一些網(wǎng)絡(luò)實(shí)用工具(ping、nslookup、traceroute、whois、finger等)了解受害者所處的網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)搜索引擎查詢(xún)可能含有漏洞的w曲站點(diǎn)(如Google Hacking)。 222解碼(jim)類(lèi)攻擊 通過(guò)各種方法(fngf)獲取密碼文件，然后用口令猜測(cè)程序破譯用戶(hù)賬號(hào)和口令。據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)中82的口令不夠安全，使用生日、電話(huà)、姓名縮寫(xiě)、城市縮寫(xiě)、英文單詞或它們的組合作為密碼的例子比比皆是，很多人在不同的地方只使用一個(gè)密碼，或者長(zhǎng)期不修改自己的密碼。這些密碼很難經(jīng)得起字典攻擊。由于破解密碼的工具和

16、字典生成器隨處可見(jiàn)，破解口令不需要太多的技術(shù)(jsh)知識(shí)。類(lèi)似LC5工具能在短時(shí)間內(nèi)得到Windows系統(tǒng)的用戶(hù)名并攻破系統(tǒng)的弱密碼。223未授權(quán)訪(fǎng)問(wèn)攻擊 利用系統(tǒng)管理策略的疏忽，用戶(hù)可能獲得比合法用戶(hù)權(quán)限更高的操作權(quán)。目前的操作系統(tǒng)越來(lái)越復(fù)雜，很多系統(tǒng)在發(fā)布時(shí)，其默認(rèn)的配置往往隱藏著漏洞。這將造成大量計(jì)算機(jī)成為黑客的傀儡主機(jī)。例如，Windows2000可以接受空密碼的用戶(hù)從遠(yuǎn)程登錄，造成大量用戶(hù)的系統(tǒng)被黑客輕易控制?；ヂ?lián)網(wǎng)上很多路由設(shè)備也因SNMP協(xié)議的安全隱患而遭到攻擊或泄露太多的敏感信息。224緩沖區(qū)溢出緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩_沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過(guò)了緩沖區(qū)本身的容量，溢出

17、的數(shù)據(jù)覆蓋了合法數(shù)據(jù)。攻擊者用自己精心設(shè)計(jì)的指令覆蓋合法程序后，只要這些指令被執(zhí)行，攻擊者就擁有了系統(tǒng)的控制權(quán)。由于某些C語(yǔ)言庫(kù)函數(shù)(如strcpy、strcat、gets、sprintf等)的設(shè)計(jì)疏漏，很多操作系統(tǒng)都不可避免地存在此類(lèi)問(wèn)題。Windows、Linux和Unix的系統(tǒng)漏洞大多與緩沖區(qū)溢出相關(guān)，這使近年來(lái)全球用戶(hù)屢遭安全問(wèn)題的困擾。隨著安全編程受到廣泛關(guān)注，此類(lèi)攻擊會(huì)將在未來(lái)呈下降趨勢(shì)。已經(jīng)有一些漏洞發(fā)掘模型可以檢查出系統(tǒng)(xtng)中潛在的緩沖區(qū)漏洞，數(shù)據(jù)執(zhí)行保護(hù)(DEP)技術(shù)的發(fā)展也減輕了緩沖區(qū)溢出的危害。但由于CC+語(yǔ)言在操作系統(tǒng)中使用十分廣泛，這類(lèi)攻擊不可能在短時(shí)間內(nèi)消除

18、。225欺騙(qpin)攻擊 欺騙攻擊(gngj)可以從OSI任何一層發(fā)起。常見(jiàn)的第二層攻擊有MAC攻擊和ARP攻擊。攻擊者通過(guò)修改自己的MAC地址偽裝成合法用戶(hù)，稱(chēng)為MAC攻擊。ARP攻擊則是向網(wǎng)絡(luò)中宣告虛假的ARP信息，以誘騙受害者與之通信。最常見(jiàn)的第三層攻擊是IP欺騙。利用原始套接字(RAW Socket)可以發(fā)送偽造的IP包。這類(lèi)工具很容易找到，如libnet。使用這些工具發(fā)送包十分簡(jiǎn)單，最大困難是需要偵聽(tīng)對(duì)方發(fā)回的包并做出正確的響應(yīng)。常見(jiàn)的第四層攻擊有UDP和TCP欺騙。由于UDP包相對(duì)簡(jiǎn)單，僅有端口號(hào)、長(zhǎng)度等幾部分，因此更加易于偽裝。而TCP協(xié)議面向連接，其包傳輸受到序列號(hào)和確認(rèn)號(hào)

19、的控制。除非嗅探到完整的通信報(bào)文，否則不太可能對(duì)TCP協(xié)議進(jìn)行成功的攻擊。此外，通過(guò)指定路由或偽裝的假地址，以假冒身份與其它主機(jī)進(jìn)行合法通信，或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作。攻擊者可以向網(wǎng)絡(luò)添加無(wú)賴(lài)設(shè)備，比如很難發(fā)現(xiàn)的無(wú)線(xiàn)設(shè)備 226協(xié)議攻擊 利用TCPIP協(xié)議本身的一些缺陷對(duì)TCPIP網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：ARP欺騙、DNS欺騙、WEB欺騙以及電子郵件欺騙等。這些欺騙的結(jié)果可能是把用戶(hù)引向虛假的網(wǎng)站，誘騙它們?cè)谔摷俚木W(wǎng)站上提供真實(shí)的資料，如銀行帳號(hào)和密碼。這類(lèi)攻擊往往需要其它攻擊手段的配合才能奏效。227惡意代碼攻擊(gngj) 惡意代碼主要指腳本、病毒、蠕蟲(chóng)、木馬。黑客在服務(wù)器

20、上運(yùn)行惡意代碼，可使服務(wù)器崩潰(bngku)或泄露重要資料。木馬還可能偽裝成應(yīng)用程序或一個(gè)框騙取用戶(hù)輸入，一些跨站腳本漏洞則可能使服務(wù)器錯(cuò)誤地執(zhí)行惡意腳本。在過(guò)去，病毒、木馬和蠕蟲(chóng)有比較明顯的區(qū)別，現(xiàn)在，它們?cè)诠δ苌铣霈F(xiàn)了整合的態(tài)勢(shì)，很多惡意軟件兼有木馬和蠕蟲(chóng)的特點(diǎn)。入侵者還常常設(shè)計(jì)遠(yuǎn)程控制模塊，主機(jī)(zhj)感染惡意代碼后將被入侵者完全操縱。 第三章 入侵檢測(cè)系統(tǒng)的測(cè)試 入侵檢測(cè)系統(tǒng)的測(cè)試和評(píng)估一直是業(yè)界普遍關(guān)注的內(nèi)容。目前，入侵檢測(cè)系統(tǒng)的誤報(bào)率仍然較高，還常常出現(xiàn)漏報(bào)的情況，吞吐量也有待提高。在使用入侵檢測(cè)系統(tǒng)之前，首先需要對(duì)其進(jìn)行詳細(xì)的測(cè)試和評(píng)估。然后，作為一種網(wǎng)絡(luò)安全設(shè)備，對(duì)入侵檢測(cè)系

21、統(tǒng)的測(cè)試通常是復(fù)雜的。目前，對(duì)IDS的測(cè)試通常包含如下幾個(gè)主要方面：(1)盡可能模擬各種真實(shí)的網(wǎng)絡(luò)流量以測(cè)試入侵檢測(cè)的性能；(2)必須在網(wǎng)絡(luò)中引入攻擊工具，檢查入侵檢測(cè)系統(tǒng)是否準(zhǔn)確的報(bào)警或響應(yīng)；(3)測(cè)試其在高速網(wǎng)絡(luò)中的適應(yīng)性。目前，大多數(shù)商用IDS基于誤用的入侵檢測(cè)系統(tǒng)使用規(guī)則描述入侵行為。規(guī)則相當(dāng)于入侵行為的指紋，規(guī)則編寫(xiě)者需要準(zhǔn)確地提取這種“指紋”，使其必須是入侵行為特有 的，在正常數(shù)據(jù)包中不能出現(xiàn)，否則就可能誤報(bào)。入侵檢測(cè)系統(tǒng)還必須涵蓋所有的入侵手段，甚至預(yù)知這些手段的簡(jiǎn)單變化，否則就可能漏報(bào)。入侵檢測(cè)系統(tǒng)還必須真實(shí)地反映“規(guī)則”，即能夠真正檢測(cè)出符合規(guī)則的攻擊包，這是網(wǎng)絡(luò)協(xié)議的復(fù)雜造

22、成的，入侵檢測(cè)系統(tǒng)有時(shí)雖然含有準(zhǔn)確的入侵“指紋”，卻無(wú)法準(zhǔn)確地從指紋的描述中找出相應(yīng)的攻擊包。目前，對(duì)于IDS仍然沒(méi)有一個(gè)公開(kāi)的測(cè)試或評(píng)估標(biāo)準(zhǔn)。最常用的測(cè)試方法是，搭建一個(gè)小型網(wǎng)絡(luò)，在小型網(wǎng)絡(luò)中釋放一些攻擊數(shù)據(jù)。但這種小型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和復(fù)雜度都沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。另種測(cè)試的方式是在測(cè)試網(wǎng)絡(luò)中重放真實(shí)網(wǎng)絡(luò)中捕獲的流量，這種測(cè)試方式的缺陷是無(wú)法將新的入侵手段及時(shí)有效地加入流量中。一種比較合理的測(cè)試方法是，搜集所有已知的攻擊工具，并將這些工具產(chǎn)生的攻擊流與背景流混合。對(duì)背景流的流量和攻擊流的比例進(jìn)行控制，可以得知IDS在何種情況(qngkung)下會(huì)出現(xiàn)丟包、漏報(bào)或誤報(bào)等情況。DARPA與I DS測(cè)試

23、理論DARPAl23J于1998年啟動(dòng)了一項(xiàng)入侵檢測(cè)系統(tǒng)評(píng)估項(xiàng)目。它主要涉及背景流的生成和惡意攻擊行為的研究。通過(guò)使用在背景流中混雜惡意數(shù)據(jù)的方式，可以測(cè)試IDS的算法和系統(tǒng)設(shè)計(jì)是否合理。雖然(surn)該項(xiàng)目于1999年終止，但它留下了大量可用的測(cè)試數(shù)據(jù)，成為評(píng)估入侵檢測(cè)系統(tǒng)的重要數(shù)據(jù)來(lái)源，是迄今為止最權(quán)威的IDS評(píng)估。DARPA是第一個(gè)系統(tǒng)地測(cè)試和評(píng)估IDS的項(xiàng)目，其工作是開(kāi)創(chuàng)性的。DARPA所關(guān)注的不是測(cè)試一個(gè)完整的IDS，而是評(píng)估IDS時(shí)所采用的技術(shù)手段。由于從未有人研究過(guò)類(lèi)似的問(wèn)題，在項(xiàng)目的開(kāi)始階段，沒(méi)有測(cè)試標(biāo)準(zhǔn)可依，也沒(méi)有用于測(cè)試的標(biāo)準(zhǔn)攻擊、背景流和已知的理論。DARPA采用如下的

24、方式對(duì)IDS進(jìn)行評(píng)估。它包含兩種測(cè)試數(shù)據(jù)：離線(xiàn)訓(xùn)練數(shù)據(jù)(TrainingData)和在線(xiàn)測(cè)試數(shù)據(jù)(Testing Data)。離線(xiàn)數(shù)據(jù)是時(shí)長(zhǎng)7星期，其中標(biāo)明了哪些數(shù)據(jù)包是正常的，哪些數(shù)據(jù)包是惡意的，它們可以用于訓(xùn)練入侵檢測(cè)系統(tǒng)，使入侵檢測(cè)系統(tǒng)完成對(duì)網(wǎng)絡(luò)情況的學(xué)習(xí)。在線(xiàn)數(shù)據(jù)時(shí)長(zhǎng)2星期，用于模擬真實(shí)網(wǎng)絡(luò)。在使用這些數(shù)據(jù)時(shí)，使用tcpreplay將其重放。有幾種方式可以得到背景流數(shù)據(jù)。最簡(jiǎn)單的方式是在真實(shí)網(wǎng)絡(luò)(wnglu)中安裝偵聽(tīng)器，收集網(wǎng)絡(luò)中所有數(shù)據(jù)。然而由于這些數(shù)據(jù)中常常包含用戶(hù)名、密碼等隱私信息，公布它們是不妥當(dāng)?shù)摹Ａ硪环N方式是仔細(xì)分析這些數(shù)據(jù)，把隱私信息從中剔除。這項(xiàng)工作是艱巨的，研究者不

25、但要面對(duì)海量的數(shù)據(jù)，還需要有扎實(shí)的專(zhuān)業(yè)基礎(chǔ)，因?yàn)樵谶@些數(shù)據(jù)中可能混雜著攻擊數(shù)據(jù)。最后一種方式是將都提取并重新合成所有會(huì)話(huà)。這將避免隱私信息的泄露，還可以自動(dòng)生成實(shí)驗(yàn)所需要的數(shù)據(jù)。DARPA使用最后一種方式獲取網(wǎng)絡(luò)數(shù)據(jù)，其網(wǎng)絡(luò)環(huán)境主要是Unix服務(wù)器群，主要的協(xié)議有HTTP、XWindows、SQL、SMTP、POP3、FTP、Telnet和DNS等。大約120種攻擊工具被分為38類(lèi)加入這些數(shù)據(jù)中，后來(lái)，又在實(shí)驗(yàn)網(wǎng)絡(luò)中加入了一些受害WindowsNT服務(wù)器。雖然業(yè)界對(duì)DARPA存有很多批評(píng)，但它對(duì)IDS測(cè)試有著極其重要的貢獻(xiàn)，也為今后的工作奠定了基礎(chǔ)，其測(cè)試數(shù)據(jù)在今天仍然有一定價(jià)值。近年來(lái)，網(wǎng)絡(luò)

26、數(shù)據(jù)的成分已發(fā)生重大變化。過(guò)去，網(wǎng)絡(luò)中大約70左右的流量都是HTTP協(xié)議?，F(xiàn)在，P2P軟件(如BT、Emule、PPLive)的盛行使網(wǎng)絡(luò)中有大約一半流量流向不知名的端口，高峰時(shí)可能達(dá)到整個(gè)網(wǎng)絡(luò)流量的2030。而且更多的攻擊工具和攻擊手段也層出不窮，使用 1999年的數(shù)據(jù)測(cè)試現(xiàn)在的IDS，已是不合時(shí)宜的了。但DARPA所指出的測(cè)試IDS的方法，仍然是適用的。第四章 測(cè)試IDS需要解決(jiju)的問(wèn)題使用DARPA的思想生成(shn chn)用于測(cè)試IDS的流量時(shí)，需要解決兩個(gè)問(wèn)題。一是如何生成背景流，背景流是不含任何惡意的數(shù)據(jù)包的流量。二是如何生成攻擊。兩種流量經(jīng)過(guò)混合后，進(jìn)入入侵檢測(cè)系統(tǒng)。

27、一個(gè)具有良好適應(yīng)性的IDS應(yīng)當(dāng)能準(zhǔn)確(zhnqu)地從背景流中區(qū)分出攻擊數(shù)據(jù)。模擬真實(shí)網(wǎng)絡(luò)環(huán)境的背景流是十分必要的，然而這很困難。采用SmartBits流量發(fā)生器人工生成的請(qǐng)求通常是偽造源地址的虛假請(qǐng)求，它們是完全隨機(jī)的，但真實(shí)的網(wǎng)絡(luò)中并非如此。而基于統(tǒng)計(jì)的用戶(hù)行為分析模型常常針對(duì)某個(gè)特定網(wǎng)絡(luò)或站點(diǎn)，其結(jié)果的一般性值得商榷。腳本工具用于模擬用戶(hù)行為。它們可以模擬成一個(gè)網(wǎng)絡(luò)瀏覽器，或者FTP、POP、SMTP和Telnet客戶(hù)端。由于這類(lèi)工具少有分析用戶(hù)行為，它們往往發(fā)送完全隨機(jī)的請(qǐng)求。由于請(qǐng)求數(shù)量太大，這使它像一個(gè)DoS工具，令服務(wù)器過(guò)載。另外，從服務(wù)器返回的巨大流量也會(huì)影響腳本工具的正常運(yùn)行。攻擊流量通?；诠籼卣鲾?shù)據(jù)庫(kù)，其中保存了所有惡意流，測(cè)試者可在必要的時(shí)候發(fā)動(dòng)攻擊。這個(gè)數(shù)據(jù)庫(kù)需要維護(hù)和更新，因?yàn)槊刻於伎赡艹霈F(xiàn)新的攻擊。目前，使用窮舉所有攻擊的方式來(lái)測(cè)試IDS是不可行的?？?/p>