第11講系統(tǒng)安全性-入侵檢測

網絡與信息安全技術

第十一講

入侵檢測華中科技大學軟件工程碩士課程網絡入侵基本步驟

第一步踩點利用經驗和工具分析對方的網絡結構和組織信息WHOIS查詢DNS查詢Hosttracerouter

第二步掃描使用端口掃描工具(猜測操作系統(tǒng)類型)NmapSuperScanX-Scan……..漏洞掃描端口CGI漏洞(避開IDS)RPC漏洞SQL-Server漏洞NT弱口令，F(xiàn)TP賬戶，NETBIOS信息………….

第三步攻擊緩沖區(qū)溢出輸入驗證漏洞應用程序漏洞或者配置錯誤漏洞暴力猜解密碼拒絕服務攻擊信任關系欺騙攻擊(客戶機攻擊模式)……

第四步清除日志清除系統(tǒng)日志SysLogd(/var/log)%WINNT%\system32\config\….清除應用程序日志${prefix}/logs/%WINNT%\system32\logfiles\…..湮沒日志……

第六步隱藏自己隱藏的win32服務NTFS流文件LoadableKernelModulesDLL和動態(tài)嵌入技術…..

第七步后門LoginBackdoorBindshellCGIBackdoorPingBackdoorACKBackdoorDatabaseBackdoorAapacheBackdoor……

入侵檢測系統(tǒng)IDS為什么需要IDS？Firewall是網絡邊界的設備，自身可能被攻破不是所有的威脅來自防火墻外部，85％以上的攻擊事件來自于內部的攻擊，防火墻只能防外，難于防內。IDS的功能檢測攻擊，包括外部攻擊或試探、內部用戶的未授權訪問、誤操作；實現(xiàn)原理：從系統(tǒng)的關鍵點收集信息，并分析這些信息是否有違反安全策略的行為和遭到攻擊的跡象。

入侵檢測系統(tǒng)結構數(shù)據(jù)采集（Sensor）分析器知識庫響應/控制響應政策

配置信息告警控制遠程管理

主要功能模塊信息收集：包括用戶在網絡、系統(tǒng)、數(shù)據(jù)庫以及應用系統(tǒng)中活動的狀態(tài)和行為。信息分析：通過模式匹配、統(tǒng)計分析和完整性分析，得到實時檢測所必須的信息。安全響應：在發(fā)現(xiàn)入侵行為后會及時作出響應，包括中止網絡服務、記錄事件、報警和阻斷等。

入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)Host-BasedIDS(HIDS)通常安裝在被保護的主機上，對該主機的網絡實時連接以及系統(tǒng)審計日志進行檢查和分析；缺點:占用系統(tǒng)資源;事后分析,實時性差;異構平臺支持困難基于網絡的入侵檢測系統(tǒng)Network-BasedIDS(NIDS)安裝在需要保護的網段中，實時監(jiān)視網段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)包進行分析和檢測。缺點：數(shù)據(jù)量龐大，存在丟包問題；監(jiān)測范圍有限，不能結合操作系統(tǒng)特征分析攻擊行為；

基于網絡的入侵檢測RouterIDSSensorMonitoredServersWANLAN

基于網絡的入侵檢測HUBIDSSensorMonitoredServersWANLAN

混合分布式入侵檢測系統(tǒng)主機主機流量

分析器主機Agent管理器網絡Agent流量

分析器主機主機

檢測模型1誤用檢測

根據(jù)已知的攻擊方法或系統(tǒng)安全缺陷方面的知識，建立特征數(shù)據(jù)庫，然后在收集到的網絡活動中尋找匹配的使用模式—特征匹配/檢測，準確率高但只能檢測已知的攻擊。

0050dac6f2d600b0d04dcbaa08004500015731054000800600000a0a0231d850數(shù)據(jù)包：dac6f2d6攻擊特征：發(fā)現(xiàn)攻擊，報警！特征模式匹配技術缺陷

計算的負載計算量大，消耗系統(tǒng)資源：攻擊特征字節(jié)數(shù)×數(shù)據(jù)包字節(jié)數(shù)×每秒的數(shù)據(jù)包數(shù)×數(shù)據(jù)庫的攻擊特征數(shù)；探測準確性只能探測出明確的、唯一的攻擊特征，即便是基于最輕微變換的攻擊串都會被忽略。

誤用檢測技術2

利用網絡協(xié)議的高度規(guī)則性快速探測攻擊的存在。解析命令字符串：在不同的上層應用協(xié)議上，對每一個用戶命令作出詳細分析。探測碎片攻擊和協(xié)議確認：如果出現(xiàn)IP碎片設置，數(shù)據(jù)包將首先被重裝，然后詳細分析來了解潛在的攻擊行為。通過重裝數(shù)據(jù)包，系統(tǒng)可以檢測到利用IDS逃避技術的攻擊手段。協(xié)議分析

IDS的評價標準性能測試：衡量IDS在高負荷條件下的運行情況，如數(shù)據(jù)包截獲和過濾的速度，是否丟包，檢測引擎的總體吞吐量功能測試：衡量IDS自身功能特征的強大程度，如系統(tǒng)架構是否支持可擴展性，是否支持規(guī)則定制，警報系統(tǒng)功能是否強大，是否提供強大友好的報表功能。用戶可用性測試：衡量操作界面友好性，如界面設計是否合理、使用是否方便。入侵檢測系統(tǒng)舉例—Snort系統(tǒng)

免費NIDS基于GPL最新版本