網(wǎng)絡(luò)安全理論與時間

1、金陵科技學(xué)院教案【教學(xué)單元首頁】第1次課授課學(xué)時4教案完成時間：2018.2*-H-早、節(jié)第4講IDS主要內(nèi)容入侵檢測概述入侵檢測原理及主要方法IDS的結(jié)構(gòu)與分類NIDSHIDSDIDSIDS設(shè)計上的考慮與部署IDS的發(fā)展方向目的與要求系統(tǒng)地介紹系統(tǒng)入侵檢測與預(yù)防技術(shù)。熟悉入侵的基本知識；掌握入侵攻 擊的一般步驟；掌握入侵檢測系統(tǒng)的構(gòu)件；了解入侵檢測系統(tǒng)的各種分類 方法，特別是HIDS和NIDS的區(qū)別；了解入侵檢測的信息源，如基于網(wǎng)絡(luò)、 基于主機等；理解入侵檢測的分析方式，如基于網(wǎng)絡(luò)信息的分析和基于主 機日志的分析；了解入侵檢測的部署機制及相關(guān)應(yīng)用。重點與難點掌握入侵攻擊的一般步驟；掌握入侵檢

2、測系統(tǒng)的構(gòu)件；理解入侵檢測的分 析方式，NIDS、HIDS、DIDS的原理。教學(xué)方法與手段課堂教學(xué)，多媒體課件與板書相結(jié)合授課內(nèi)容1入侵檢測概述1.1入侵檢測的主要作用：（1）檢測和記錄網(wǎng)絡(luò)中的攻擊事件，阻斷攻擊行為，防止入侵事件的發(fā)生。（2）檢測其他未授權(quán)操作或安全違規(guī)行為。（3）統(tǒng)計分析黑客在攻擊前的探測行為，管理員發(fā)出警報。（4）報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。（5）提供有關(guān)攻擊的詳細(xì)信息，幫助管理員診斷和修補網(wǎng)絡(luò)中存在的安全弱點。（6）在大型復(fù)雜的計算機網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，提高網(wǎng)絡(luò)安全管理的質(zhì)量。1.2入侵檢測的定義：（1）入侵檢測：不僅包括攻擊者非法取得系統(tǒng)的控制權(quán)的行為也

3、包括他們對系統(tǒng) 漏洞信息的收集，并由此對信息系統(tǒng)造成危害的行為。（2）入侵檢測系統(tǒng)：所有能夠執(zhí)行入侵檢測任務(wù)和實現(xiàn)入侵檢測功能的系統(tǒng)都稱 為入侵檢測系統(tǒng)（Intrusion Detection System, IDS）。包括軟件系統(tǒng)或軟、硬件 結(jié)合的系統(tǒng)。1.3入侵檢測系統(tǒng)模型（2）檢測器：分析和檢測入侵的任務(wù)并向控制器發(fā)出警報信號。（3）知識庫：為檢測器和控制器提供必需的數(shù)據(jù)信息支持。（4）控制器：根據(jù)警報信號人工或自動地對入侵行為做出響應(yīng)。IDS的主要功能：（1）防火墻之后的第二道安全閘門。（2）提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（3）在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊

4、、外部攻擊和誤操作的實時保護(hù)。1.5入侵檢測執(zhí)行的任務(wù)：（1）監(jiān)視、分析用戶及系統(tǒng)的活動（2）檢測其他未授權(quán)操作或安全違規(guī)行為。（3）系統(tǒng)構(gòu)造和弱點的審計（4）報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。（5）異常行為模式的統(tǒng)計分析（6）識別用戶違反安全策略的行為。IDS的主要功能：（1）網(wǎng)絡(luò)流量的跟蹤與分析功能（2）已知攻擊特征的識別功能（3）異常行為的分析、統(tǒng)計與響應(yīng)功能（4）特征庫的在線和離線升級功能（5）數(shù)據(jù)文件的完整性檢查功能（6）自定義的響應(yīng)功能（7）系統(tǒng)漏洞的預(yù)報警功能（8）IDS探測器集中管理功能IDS的功能模塊：（1）信息收集：系統(tǒng)和網(wǎng)絡(luò)的日志文件：日志文件中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上

5、的異常活動的證 據(jù)。通過日志發(fā)現(xiàn)入侵行為。目錄和文件中的異常改變：目錄和文件的異常改變，特別是那些限制訪問的重 要文件和數(shù)據(jù)的改變，很可能是一種入侵行為。黑客經(jīng)常替換、修改和破壞他們獲 得訪問權(quán)限。程序執(zhí)行中的異常行為：程序由一個或多個進(jìn)程來實現(xiàn)，每個進(jìn)程執(zhí)行在不同 權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問的資源、程序、和數(shù)據(jù)文件等。進(jìn)程出 現(xiàn)異常，表明可能被入侵。物理形式的入侵信息：一是對網(wǎng)絡(luò)硬件的非授權(quán)連接；二是對物理資源的未授 權(quán)訪問。（2）信息分析模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵模式的特征數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背 安全策略的行為。假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一

6、種模式或特征，那么所 有已知的入侵方法都可以用匹配的方法來發(fā)現(xiàn)。關(guān)鍵是如何表達(dá)入侵模式，把入侵行為與正常行為區(qū)分開來優(yōu)點：誤報率?。痪窒扌裕褐荒馨l(fā)現(xiàn)已知攻擊，對未知攻擊無能為力統(tǒng)計分析建立系統(tǒng)正常運行的行為軌跡：先創(chuàng)建系統(tǒng)對象（如用戶、文件、目錄和設(shè) 備等）的統(tǒng)計屬性（如訪問次數(shù)、操作失敗次數(shù)、訪問地點、訪問時間等），再將系統(tǒng)實際行為與之比較。優(yōu)點：檢測到未知入侵；缺點：誤報率高完整性分析利用雜湊函數(shù)，檢測某個文件或?qū)ο笫欠癖淮鄹膬?yōu)點：只要誰的或?qū)ο笥懈淖兌寄軌虮话l(fā)現(xiàn)缺點：完整性分析未開戶時，不能主動發(fā)現(xiàn)入侵行為，實時性差。（3）安全響應(yīng)主動響應(yīng)：由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行，可對入侵行為采取

7、終止網(wǎng)絡(luò)服務(wù)、 修正系統(tǒng)環(huán)境（如修改防火墻安全策略等）。被動響應(yīng)：發(fā)出告警信息和通知等。IDS的評價標(biāo)準(zhǔn)：先進(jìn)的檢測能力和響應(yīng)能力不影響被保護(hù)網(wǎng)絡(luò)正常運行無人監(jiān)管能正常運行具有堅固的自身安全性具有很好的可管理性消耗系統(tǒng)資源較少可擴展性好，能適應(yīng)變化。支持ip碎片重組支持TCP流重組支持TCP狀態(tài)檢測支持應(yīng)用層協(xié)議解碼靈活的用戶報告功能安裝、配置、調(diào)整簡單易行能與常用的其他安全產(chǎn)品集成支持常用網(wǎng)絡(luò)協(xié)議和拓?fù)浣Y(jié)構(gòu)2入侵檢測原理及主要方法2.1入侵檢測原理及主要方法（1）攻擊檢測：入侵檢測類似于治安巡邏隊，專門注重發(fā)現(xiàn)形跡可疑者。被動、離線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中的攻擊者。實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)系

8、統(tǒng)中的攻擊者。（2）異常檢測：IDS通常使用的兩種基本分析方法之一，又稱為基于行為的入侵檢測技術(shù)。收集操作活動的歷史數(shù)據(jù)，建立代表主機、用戶或網(wǎng)絡(luò)連接的正常行為描述， 判斷是否發(fā)生入侵。（3）誤用檢測：IDS通常使用的兩種基本分析方法之一，又稱基于知識的檢測技術(shù)。對已知的入侵行為和手段進(jìn)行分析，提取檢測特征，構(gòu)建攻擊模式或攻擊簽名， 判斷入侵行為。2.2基于異常檢測原理的入侵檢測方法:（1）（2）（3）（4）（5）統(tǒng)計異常檢測方法（較成熟）特征選擇異常檢測方法（較成熟）基于貝葉斯網(wǎng)絡(luò)異常檢測方法（理論研究階段） 基于貝葉斯推理異常檢測方法（理論研究階段） 基于模式預(yù)測異常檢測方法（理論研究階段

9、）2.3基于誤用檢測原理的入侵檢測方法:（1）（2）（3）（4）（5）優(yōu)點：缺點：基于專家系統(tǒng)誤用檢測方法 基于狀態(tài)遷移分析誤用檢測方法 基于鍵盤監(jiān)控誤用檢測方法 基于模型誤用檢測方法準(zhǔn)確地檢測已知的入侵行為。不能檢測出未知的入侵行為。2.4各種入侵檢測技術(shù)基于概率統(tǒng)計的檢測：異常檢測中最常用的技術(shù)，對用戶歷史行為建立模型?；谏窠?jīng)網(wǎng)絡(luò)的檢測基：于專家系統(tǒng)的檢測：根據(jù)安全專家對可疑行為的分析經(jīng)驗 來形成一套推理規(guī)則，再在此基礎(chǔ)上建立專家系統(tǒng)。基于專家系統(tǒng)的檢測：用一系列信息單元訓(xùn)練神經(jīng)單元，在給定一個輸入后，就可 能預(yù)測出輸出?；谀Ｐ屯评淼臋z測：攻擊者采用一定的行為程序構(gòu)成的模型，根據(jù)其代表

10、的攻擊 意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。3 IDS的結(jié)構(gòu)與分類IDS入侵檢測步驟：信息收集：內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)用戶活動的狀態(tài)和行為。來自系統(tǒng)日志、目 錄及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息 數(shù)據(jù)分析：入侵檢測的核心。首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理建立模型，然后向模型中植入時 間數(shù)據(jù)，在知識庫中保存。響應(yīng)：主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行，可對入侵者采取行動、修正系統(tǒng) 環(huán)境或收集有用信息。被動響應(yīng)包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)陷阱和插件等。IDS的架構(gòu)：通用入侵檢測架構(gòu)(Common Intrusion Detection

11、 Framework, CIDF)闡述了入侵 檢測系統(tǒng)的通用模型。以下組件：事件產(chǎn)生器(Event Generation)事件分析器(Event Analyzers)響應(yīng)單元(Response Unites)事件數(shù)據(jù)庫(Event Databases)事件:將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件(Event)?？梢允腔诰W(wǎng)絡(luò)得到 的數(shù)據(jù)，也可是基于主機得到的數(shù)據(jù)。3.3. IDS的功能構(gòu)成：事件提?。贺?fù)責(zé)提取相關(guān)運行數(shù)據(jù)或記錄，并對數(shù)據(jù)進(jìn)行簡單過濾。入侵分析：找出入侵痕跡，區(qū)分正常和不正常的訪問，分析入侵行為并定位入侵者。入侵響應(yīng)：分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。遠(yuǎn)程管理：在一臺

12、管理站上實現(xiàn)統(tǒng)一的管理監(jiān)控。IDS的分類：按照數(shù)據(jù)來源分類NIDS :截獲數(shù)據(jù)包，提取特征并與知識庫中已知的攻擊簽名相比較。HIDS:通過對日志和審計記錄的監(jiān)控和分析來發(fā)現(xiàn)攻擊后的誤操作。DIDS：同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流。按照入侵檢測策略分類濫用檢測：將收集到的信息與數(shù)據(jù)庫進(jìn)行比較。異常檢測：測量屬性的平均值將被用來與系統(tǒng)行為比較。完整性分析：hash,關(guān)注是否被更改。NIDS 和 HIDS4 NIDSNIDS 概述：TelecommutersNIDS：根據(jù)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)數(shù)據(jù)包和協(xié)議來分析入侵檢測。使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)包。通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實現(xiàn)監(jiān)視并

13、分析通過網(wǎng)絡(luò)的 所有通信業(yè)務(wù)。4種常用技術(shù)：（1）模式、表達(dá)式或宇節(jié)匹配。（2）頻率或穿越閾值。（3）低級事件的相關(guān)性。（4）統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測。主要優(yōu)點：（1）擁有成本低。（2）攻擊者轉(zhuǎn)移證據(jù)困難。（3）實時檢測和響應(yīng)。（4）防火墻外部IDS能夠檢測未成功的攻擊企圖。（5）操作系統(tǒng)獨立。4.2基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理4.3NIDS關(guān)鍵技術(shù):（1）ip碎片重組技術(shù)（2）TCP流重組技術(shù)（3）TCP狀態(tài)檢測技術(shù)（4）協(xié)議分析技術(shù)（5）零復(fù)制技術(shù)（6）蜜罐技術(shù)IP碎片重組技術(shù)、TCP流重組技術(shù)：攻擊者將攻擊請求分成若干個IP碎片包。IP碎片包被發(fā)給目標(biāo)主機。碎片攻擊包括：碎片覆蓋、碎

14、片重寫、碎片超時和針對網(wǎng)絡(luò)拓?fù)涞乃槠夹g(shù)等。IDS需要在內(nèi)存中緩存所有的碎片。模擬目標(biāo)主機對碎片包進(jìn)行重組還原出真正的請求內(nèi)容。進(jìn)行入侵檢測分析。IP分片：鏈路層具有最大傳輸單元MTU這個特性，它限制了數(shù)據(jù)幀的最大長度。不同的網(wǎng)絡(luò)類型都有一個上限值。以太網(wǎng)的MTU是1500。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了 MTU，那么IP層就要對數(shù) 據(jù)包進(jìn)行分片（fragmentation）操作，使每一片的長度都小于或等于MTU。關(guān)鍵域：IDMFDFOFFSET首部數(shù)據(jù)部分共3800字節(jié)字節(jié)01400需分片的 數(shù)據(jù)報偏移=0/8 =028003799 首部1*首部2首部313992799140

15、0數(shù)據(jù)報片3偏移=2800/8 = 350數(shù)據(jù)報片2偏移=1400/8 = 175字節(jié)。數(shù)據(jù)報片1 偏移=0/8 = 028003799IP碎片攻擊指的是一種計算機程序重組的漏洞：IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包的長度，所以IP數(shù)據(jù)包最長只能為 0 xFFFF，就是65535字節(jié)。如果有意發(fā)送總長度超過65535的IP碎片，一些老的 系統(tǒng)內(nèi)核在處理的時候就會出現(xiàn)問題，導(dǎo)致崩潰或者拒絕服務(wù)。另外，如果分片之 間偏移量經(jīng)過精心構(gòu)造，一些系統(tǒng)就無法處理，導(dǎo)致死機。所以說，漏洞的起因是 出在重組算法上。（1）ping o deathping o death是利用ICMP協(xié)議的一種碎片攻擊。攻擊者發(fā)

16、送一個長度超過 65535的Echo Request數(shù)據(jù)包，目標(biāo)主機在重組分片的時候會造成事先分配的65535 字節(jié)緩沖區(qū)溢出，系統(tǒng)通常會崩潰或掛起。ping不就是發(fā)送ICMP Echo Request 數(shù)據(jù)包的嗎？jolt2jolt2.c是在一個死循環(huán)中不停的發(fā)送一個ICMP/UDP的IP碎片，可以使 Windows系統(tǒng)的機器死鎖。我測試了沒打SP的Windows 2000，CPU利用率會立即上 升到100%，鼠標(biāo)無法移動。（2）Teardrop利用重疊分片由于目標(biāo)系統(tǒng)能夠重組IP分片，因此需要網(wǎng)絡(luò)入侵檢測系統(tǒng)具有重組IP碎片 的能力。如果網(wǎng)絡(luò)入侵檢測系統(tǒng)沒有重組IP碎片的能力，將無法檢測通

17、過IP碎片進(jìn)入 的攻擊數(shù)據(jù)。由于目標(biāo)系統(tǒng)能夠重組IP分片，因此需要網(wǎng)絡(luò)入侵檢測系統(tǒng)具有重組IP碎片 的能力。如果網(wǎng)絡(luò)入侵檢測系統(tǒng)沒有重組IP碎片的能力，將無法檢測通過IP碎片進(jìn)入 的攻擊數(shù)據(jù)?；镜腎P碎片重組問題：IP碎片通常會按照順序到達(dá)目的地，最后的碎片的MF位為0（表示這是最后一 個碎片）。不過，IP片有可能不按照順序到達(dá)，目標(biāo)系統(tǒng)必須能夠重組碎片。但是， 如果網(wǎng)絡(luò)入侵檢測系統(tǒng)總是假設(shè)IP碎片是按照順序到達(dá)就會出現(xiàn)漏報的情況。攻擊者可以打亂碎片的到達(dá)順序，達(dá)到欺騙IDS的目的。IP碎片緩沖問題：IDS必須把IP碎片保存到一個緩沖區(qū)里，等所有的碎片到達(dá)之后重組IP分組。如果攻擊者不送出所

18、有的碎片，就可能使那些緩存所有碎片的IDS消耗掉 所有內(nèi)存。使用盡可能小的碎片：例如:每個碎片只有8個字節(jié)（碎片最小8個字節(jié)，8個字節(jié)是指數(shù)據(jù)段的長度， 不過每個IP包的第一個分片好像最小是24個字節(jié)，我記得在那邊看到過不過不肯 定了），而每個碎片中都沒有足夠的信息，從而逃過檢測?，F(xiàn)在的包過濾設(shè)備一般會主動丟棄這種碎片，入侵檢測設(shè)備也會發(fā)出碎片攻擊 的報警，因此這種逃避方式很難奏效。IP碎片重組技術(shù)、TCP流重組技術(shù)：TCP是一種面向連接的協(xié)議，客戶與服務(wù)器之間的任何一次會話都必須建立， 退出會話時必須斷開連接。由于網(wǎng)絡(luò)問題，數(shù)據(jù)包可能會經(jīng)過不同的路由傳輸?shù)侥康牡?，并且到達(dá)目的地 的數(shù)據(jù)包可能

19、順序會發(fā)生改變。只有將數(shù)據(jù)包重組以后，才能還原一次完整的TCP會話。TCP流重組技術(shù)：由于監(jiān)視TCP會話的入侵檢測系統(tǒng)是被動的監(jiān)視系統(tǒng)，因此無法使用TCP重傳 機制。如果在傳輸過程中丟失了很多報文，就可能使入侵檢測系統(tǒng)無法進(jìn)行序列號跟 蹤。如果沒有恢復(fù)機制，就可能使入侵檢測系統(tǒng)不能同步監(jiān)視TCP連接。即使入侵檢測系統(tǒng)能夠恢復(fù)序列號跟蹤，也能被攻擊。TCP建立連接：一次TCP會話建立的時候需要3個報文交換，即需要3次握手（如圖1）。 其SEQ和ACK的關(guān)系如下：（1）客戶發(fā)送一個SYN段，SYN=1表示發(fā)起一個連接，生成隨機SEQ。（2）對方收到后將SEQ+1置于ACK發(fā)回給本機。表示對前者的確

20、認(rèn)，生成隨 機SE Q發(fā)回本機。（3）本機收到后將SEQ+1置于ACK發(fā)回給對方，將對方ACK置于SEQ。TCP數(shù)據(jù)傳輸：當(dāng)雙方建立TCP連接以后，就可以傳輸數(shù)據(jù)了，傳輸過程中發(fā)送方每發(fā)送一 個數(shù)據(jù)包，接收方都要給予一個應(yīng)答。數(shù)據(jù)包的先后關(guān)系可以由TCP首部的序號和確認(rèn)序號確定。雙方序號的及確認(rèn)序號之間的關(guān)系為：SYN的計算：在TCP建立連接的以后，會為后續(xù)TCP數(shù)據(jù)的傳輸設(shè)定一個初始的序列號。 以后每傳送一個包含有效數(shù)據(jù)的TCP包，后續(xù)緊接著傳送的一個TCP數(shù)據(jù)包的序 列號都要做出相應(yīng)的修改。序列號是為了保證TCP數(shù)據(jù)包的按順序傳輸來設(shè)計的，可以有效的實現(xiàn)TCP 數(shù)據(jù)的完整傳輸，特別是在數(shù)據(jù)

21、傳送過程中出現(xiàn)錯誤的時候可以有效的進(jìn)行錯誤修 正。在TCP會話的重新組合過程中我們需要按照數(shù)據(jù)包的序列號對接收到的數(shù)據(jù)包 進(jìn)行排序。一臺主機即將發(fā)出的報文中的SEQ值應(yīng)等于它所剛收到的報文中的ACK值， 而它所要發(fā)送報文中的ACK值應(yīng)為它所收到報文中的SEQ值加上該報文中所發(fā) 送的TCP數(shù)據(jù)的長度，即兩者存在：（1）本次發(fā)送的SEQ=上次收到的ACK ；（2）本次發(fā)送的ACK=上次收到的SEQ+本次收到的TCP數(shù)據(jù)長度； 表中初始的序列號Init_seq可以從攜帶SYN標(biāo)記的TCP包中獲得。數(shù)據(jù)包長度序列號初始值1lnit_seq報文段1lenlInitseq-l報文段2len2Init_se

22、q-l-len】報文段3Len3hitseq 1 -len 1 -Ien2TCP狀態(tài)檢測技術(shù):攻擊NIDS最有效的辦法是利用Coretez Giovanni寫的Stick程序，Stick使用了很巧妙的辦法，它可以在2秒內(nèi)模擬450次沒有經(jīng)過3步握手的 攻擊，快速的告警信息的產(chǎn)生會讓IDS反應(yīng)不過來、產(chǎn)生失去反應(yīng)甚至死機現(xiàn)象。由于Stick發(fā)出多個有攻擊特征（按照snort的規(guī)則組包）的數(shù)據(jù)包，所以IDS 匹配了這些數(shù)據(jù)包的信息時，就會頻繁發(fā)出警告，造成管理者無法分辨哪些警告是 針對真正的攻擊發(fā)出的，從而使IDS失去作用。當(dāng)有攻擊表現(xiàn)的信息包數(shù)量超過IDS的處理能力，IDS會陷入拒絕服務(wù)狀態(tài)。饒

23、過IDS:饒過IDS的檢測，主要是針對IDS模式匹配所采用的方法來逃避IDS的監(jiān)視. 我們來詳細(xì)看一下：1.針對HTTP請求以繞過IDS監(jiān)視 URL編碼問題，將URL進(jìn)行 編碼，可以避開一些采用規(guī)則匹配的NIDS。二進(jìn)制編碼中HTTP協(xié)議允許在URL中 使用任意ASCII字符，把二進(jìn)制字符表示成形如T%xx的十六進(jìn)制碼，有的IDS并 不會去解碼。如cgi-bin可以表示成%63%67%69%2d%62%69%6e，有些IDS的規(guī) 則匹配不出，但web服務(wù)器可以正確處理。不過現(xiàn)在大多數(shù)IDS已經(jīng)是在匹配規(guī)則 之前解碼，目前這個手段已經(jīng)不適用了，一般的IDS都可以檢測到的！# %u編碼， 是用來代

24、表Unicode/wide特征字符，但微軟IIS web服務(wù)器支持這種非標(biāo)準(zhǔn)的web 請求編碼方式由于%u編碼不是標(biāo)準(zhǔn)的編碼，IDS系統(tǒng)不能解碼%u，所以可以繞過IDS 的檢測。網(wǎng)絡(luò)中斜線問題即/和/。# /問題：如果在HTTP的提交的請求中把 /轉(zhuǎn)換成/，如7cgi-bin/test.cgi”轉(zhuǎn)換成”/cgi-bin/test.cgi”，雖然 兩個字符串不匹配，但對許多web服務(wù)器的解釋是一樣的。如果把雙斜線換成三斜 線或更多效果也是一樣的。目前有些IDS無法檢測到這種類型的請求。#/問題： Microsoft用/來分隔目錄，Unix用/來分隔，而HTTP RFC規(guī)定用/，Microsoft

25、 的web服務(wù)器如IIS會主動把/轉(zhuǎn)換成/。例如發(fā)送/cgi-bin/test.cgi”之 類的命令，IIS可以正確識別，但這樣IDS就不會匹配/cgi-bin/test.cgiT，此 法可以逃避一些IDS。-協(xié)議分析技術(shù)：協(xié)議分析技術(shù)的優(yōu)點：性能提高。準(zhǔn)確性提高。基于狀態(tài)的分析。反規(guī)避能力大大增強。系統(tǒng)資源開銷小。協(xié)議分析技術(shù)的缺點：根據(jù)現(xiàn)有協(xié)議模式到固定位置取值根據(jù)取得的值，分析這些協(xié)議的流量，尋找可疑的或不正常的行為。狀態(tài)協(xié)議分析在常規(guī)協(xié)議分析技術(shù)基礎(chǔ)上加入狀態(tài)特性分析，將一個會話的所 有流量作為一個整體來考慮。當(dāng)流量不是期望值時，IDS就發(fā)出告警。-零復(fù)制技術(shù)基本思想：在數(shù)據(jù)包傳遞過程

26、中，減少數(shù)據(jù)復(fù)制次數(shù)，減少系統(tǒng)調(diào)用，實現(xiàn)CPU 的零參與，徹底消除CPU在這方面的負(fù)載。傳統(tǒng)的方法：需通過系統(tǒng)調(diào)用將網(wǎng)卡中的數(shù)據(jù)包復(fù)制到上層應(yīng)用系統(tǒng)中，會占 用系統(tǒng)資源，造成IDS性能下降。改進(jìn)后的方法：通過重寫網(wǎng)卡驅(qū)動，使網(wǎng)卡驅(qū)動與上層系統(tǒng)共享一塊內(nèi)存區(qū)域， 網(wǎng)卡從網(wǎng)絡(luò)上捕獲到的數(shù)據(jù)包直接傳遞給入侵檢測系統(tǒng)。蜜罐技術(shù):蜜罐（honeypot）的作用：把潛在入侵者的注意力從關(guān)鍵系統(tǒng)移開。收集入侵者的動作信息。設(shè)法讓攻擊者停留一段時間，使管理員能檢測到它并采取相應(yīng)的措施。蜜罐的實現(xiàn)：在外部Internet上的一臺計算機上運行沒有打上補丁的微軟Windows或 Red Hat Linux引誘黑客來

27、攻擊設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)，記錄進(jìn)出計算機的所有流量下游責(zé)任：蜜罐會被黑客用來攻擊其他系統(tǒng)。蜜網(wǎng)（honeynet）:另外采用了各種入侵檢測和安全審計技術(shù)的蜜罐。減小或排除對其它系統(tǒng)造成的風(fēng)險。蜜罐技術(shù)優(yōu)勢：大大減少了所要分析的數(shù)據(jù)。蜜網(wǎng)計劃已經(jīng)收集了大量信息，很少有黑客采用新的攻擊手法。蜜罐不僅是一種研究工具，同樣有著真正的商業(yè)應(yīng)用價值。虛擬蜜網(wǎng)的出現(xiàn)大大降低了蜜罐的成本及管理難度，節(jié)省了機器占用的空間。HIDSHIDS 概述：檢測目標(biāo)：主機系統(tǒng)和本地用戶。檢測原理：根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運行 在被檢測的主機或單獨的主機上。當(dāng)有文件發(fā)生變化時，IDS將新的記錄條目與

28、攻擊標(biāo)記相比較，看二者是否匹 配，如果匹配，系統(tǒng)就會向管理員報警并向其他的目標(biāo)報告，以采取措施。HIDS的特點：（1）監(jiān)視特定的系統(tǒng)活動：監(jiān)視用戶和訪問文件的活動，包括文件訪問、改變文件的權(quán)限、試圖建立新的 可執(zhí)行文件或試圖訪問特殊設(shè)備。監(jiān)視只有管理員才能實施的異常行為。監(jiān)視主要系統(tǒng)文件和可執(zhí)行文件的改變。（2）非常適用于加密和交換環(huán)境。NIDS無法檢測密文HIDS駐留在主機中，OS做解密（3）近實時的檢測和應(yīng)答。（4）不需要額外的硬件。（5）NIDS不能檢測針對主機的攻擊，而HIDS能檢測該攻擊（6）HIDS能監(jiān)測系統(tǒng)文件、進(jìn)程和日志文件，尋找可疑活動。（7）HIDS可檢測緩沖區(qū)溢出攻擊，在某些時刻阻止入侵。（8）一旦檢測到入侵，HIDS代理程序可以利用多種方式做出反應(yīng)Host-based IDSTelecommutersHIDS的關(guān)鍵技術(shù)HTTP 請求類型緩沖區(qū)溢出關(guān)鍵字物理目錄DIDS分布式入侵檢測6.1入侵檢測系統(tǒng)的實際應(yīng)用問題：系統(tǒng)的弱點或漏洞分散在網(wǎng)絡(luò)的各個主機上，這些弱點有可能被入侵者一起用 來攻擊網(wǎng)絡(luò)，而依靠唯一的主機或網(wǎng)絡(luò)，IDS不能發(fā)現(xiàn)入侵行為。入侵行為不再是單一的行為，而表現(xiàn)出協(xié)作入侵的特點，如分布式拒絕服務(wù)攻 擊（DDo