第5章系統(tǒng)攻擊與入侵檢測1

第5章系統(tǒng)攻擊與入侵檢測1第一頁，共223頁。本章學習目標本章主要講解系統(tǒng)入侵的基本原理、主要方法以及如何實現(xiàn)入侵檢測，進行主動防御。通過本章學習，讀者應該掌握以下內(nèi)容：l

系統(tǒng)入侵的概念l

幾種系統(tǒng)攻擊方法的原理l

入侵檢測的原理l

入侵檢測系統(tǒng)的組成及結構第二頁，共223頁。5.1系統(tǒng)攻擊概述系統(tǒng)攻擊或入侵是指利用系統(tǒng)安全漏洞，非授權進入他人系統(tǒng)（主機或網(wǎng)絡）的行為。了解自己系統(tǒng)的漏洞及入侵者的攻擊手段，才能更好的保護自己的系統(tǒng)。5.1.1黑客與入侵者黑客：Hacher,有較高技術水平，熱衷于系統(tǒng)漏洞的發(fā)現(xiàn)與修復。駭客/入侵者：Cracher\Intruder，非法獲得系統(tǒng)訪問權偷竊、破壞數(shù)據(jù)，拒絕合法用戶的請求，修改刪除程序，造成系統(tǒng)癱瘓。第三頁，共223頁。黑客步驟一窺探設施踩點掃描查點第四頁，共223頁。要確認的信息因特網(wǎng)環(huán)境中要確認的信息：域名網(wǎng)絡塊（IP地址范圍）經(jīng)因特網(wǎng)可到達的IP地址每個系統(tǒng)上運行的TCP/UDP服務系統(tǒng)的體系結構（X86或SPARC）訪問控制機制和相關的訪問控制列表入侵檢測系統(tǒng)IDS系統(tǒng)查點（用戶名，組名，系統(tǒng)旗標，路由表，SNMP信息）第五頁，共223頁。要確認的信息在內(nèi)聯(lián)網(wǎng)環(huán)境中要確認的信息連網(wǎng)協(xié)議（IP，IPX，DECNet等）內(nèi)部域名其他和因特網(wǎng)一樣。在外聯(lián)網(wǎng)環(huán)境中要確認的信息連接源地址和目標地址連接類型訪問控制機制第六頁，共223頁。要確認的信息遠程訪問要確認的信息：模擬/數(shù)字電話號碼遠程系統(tǒng)類型認證機制VPN及相關協(xié)議（IPSec,PPTP)第七頁，共223頁。黑客步驟二攻擊操作系統(tǒng)（windows/UNIX/NetWare)踩點（選擇目標）查點（確定是哪種操作系統(tǒng)及盡量多的信息）獲取Administrator賬號和密碼（猜，偷，搶，騙）鞏固權力（安裝后門或進一步獲取整個網(wǎng)絡的信息）掩蓋蹤跡（禁用審計，清空事件日志，隱藏文件）第八頁，共223頁。黑客步驟三攻擊網(wǎng)絡攻擊撥號攻擊PBX攻擊Voicemail攻擊VPN攻擊網(wǎng)絡設施防火墻攻擊拒絕服務攻擊第九頁，共223頁。黑客步驟四攻擊軟件攻擊Web服務器攻擊電子郵件服務器第十頁，共223頁。5.1.2系統(tǒng)攻擊的三個階段（1）收集信息(位置、路由、系統(tǒng)結構、技術細節(jié)）PingTracertNslookup（2）探測系統(tǒng)安全弱點（分析補丁接口、掃描器）（3）實施攻擊（掩蓋行跡，預留后門，安裝探測程序，取得特權、擴大攻擊范圍）第十一頁，共223頁。5.1.3網(wǎng)絡入侵的對象固有的安全漏洞

（協(xié)議、口令、緩沖區(qū)溢出）2.系統(tǒng)維護措施不完善的系統(tǒng)

3．缺乏良好安全體系的系統(tǒng)第十二頁，共223頁。5.2系統(tǒng)攻擊方法5.2.1口令攻擊1．獲取口令的一些方法（1）通過網(wǎng)絡監(jiān)聽獲得用戶口令（2）口令的窮舉攻擊（3）利用系統(tǒng)管理員的失誤2．設置安全的口令（1）口令的選擇：字母數(shù)字及標點的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產(chǎn)生口令：AfJoAld!。（2）口令的保存：記住、放到安全的地方，加密最好。（3）口令的使用：輸入口令不要讓別人看到；不要在不同的系統(tǒng)上使用同一口令；定期改變口令。第十三頁，共223頁。3．一次性口令（OTP，One-TimePassword）。所謂的一次性口令就是一個口令僅使用一次，能有效地抵制重放攻擊，這樣竊取系統(tǒng)的口令文件、竊聽網(wǎng)絡通信獲取口令及窮舉攻擊猜測口令等攻擊方式都不能生效。OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同。使用一次性口令的系統(tǒng)中，用戶可以得到一個口令列表，每次登錄使用完一個口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再隨機數(shù)、系統(tǒng)時間等參數(shù)一起通過散列得到一個一次性口令。

第十四頁，共223頁。攻擊NT/2000踩點(選擇目標)查點(知道是否是NT/2000操作系統(tǒng))獲取Administrator賬號鞏固權力掩蓋蹤跡第十五頁，共223頁。獲取Administrator賬號手段遠程密碼猜測竊聽網(wǎng)絡密碼交換緩沖區(qū)溢出DoS攻擊特權升級第十六頁，共223頁。（一）遠程密碼猜測猜測：就是提示輸入用戶名和密碼時，人工的猜測密碼。對策：禁用TCP/UDP的135-139號端口賬號策略（最小長度，失敗登錄次數(shù)限制，有效期等）設置強裝密碼（大寫，小寫，數(shù)字非字母字符，7個符號）審計與記錄設置（注意529號，539號事件）入侵檢測：實時盜竊報警第十七頁，共223頁。（二）竅聽網(wǎng)絡密碼交換手段：在用戶登錄服務器時把密碼嗅控下來（一般在同一局域網(wǎng)中竅聽）工具：L0phtcrack過程：對己捕獲的NT密碼數(shù)據(jù)庫文件進行猜測，但這個文件不易獲取，所以就轉為捕獲SMB會話分組。危害：只要竅聽的時間足夠長（幾天），任何人都可以獲得管理員身份。第十八頁，共223頁。竅聽的對策改掉管理員和管理員組的名稱和描述禁止LanMan認證，防止域控制器接收LM認證請求，接收NTLMv2認證。（但此法將使Win9x用戶不能登錄域控制器）啟用SMB簽名（加密SMB分組，但性能會下降）。第十九頁，共223頁。（三）緩沖區(qū)溢出原理：一些不健壯的應用程序沒有對輸入的長度是否合適作出檢查，于是沒有預料的輸入內(nèi)容就溢出到“cpu執(zhí)行?！爸械牧硪徊糠謥韴?zhí)行，這樣一些精心設計的溢出程序就可以獲得管理員權限。常見溢出：Winhlp32：以system特權運行批文件。NTRAS:有system特權的命令提示。第二十頁，共223頁。緩沖區(qū)溢出對策程序員應具有良好的編程習慣。一般用戶及時打相關應用程序的補丁。網(wǎng)絡管理員應經(jīng)常上一些安全網(wǎng)站獲取最新漏洞信息，及時給系統(tǒng)打補丁，并告知一般用戶。用一些工具如：Bowall。長遠來看，編程模式或CPU體系結構的改進時才能根本解決此問題。第二十一頁，共223頁。（四）DoS（拒絕服務）當攻擊者把一些代碼潛在NT系統(tǒng)的啟動文件中時，通過該攻擊迫使目標系統(tǒng)重啟，從而達到獲取密碼的效果。對策：打補丁一些外圍安全產(chǎn)品第二十二頁，共223頁。（五）特權升級前期工作可獲得一些用戶名和密碼，但這些獲得的用戶可能不是管理員用戶，沒什么權限。因此就需要把這些用戶升級為管理員用戶。若系統(tǒng)管理員犯了配置時的致命錯誤，就有可能給攻擊者使用工具來升組特權。第二十三頁，共223頁。特權升級手段虹吸（hoovering)getAdmin工具Sechole工具欺騙用戶（最好是管理員）去執(zhí)行代碼，將攻擊者的賬號提升為超級用戶。特洛伊（Trojan）木馬可執(zhí)行注冊表鍵第二十四頁，共223頁。（1）虹吸獲得用戶賬號后，再去查點以汲取更多的信息（如下）：可寫的Web服務器或FTP目錄（Srvinfo工具）從.bat或腳本文件中找出應用程序密碼（Find工具）探測對注冊表部分內(nèi)容的訪問（Regdmp工具）第二十五頁，共223頁。（2）Getadmin工具把一個用戶加到管理員組缺點：在本地系統(tǒng)上運行，而一般用戶是無權本地登錄到一臺NT服務器的。適用的用戶：Operators用戶(Account,BackupServer等）因特網(wǎng)服務器賬號IUSR_machine_name第二十六頁，共223頁。（3）Sechole工具把一個用戶加到本地管理員或域管理員組。缺點：在目標系統(tǒng)上本地運行。優(yōu)點：若目標系統(tǒng)上運行IIS程序，且有可寫和可執(zhí)行的目錄，則該工具可從遠程啟動，而把IUSR_machine_name加入管理員組。對策：打補丁對可執(zhí)行目錄阻止寫權限審計Web服務器的執(zhí)行特權第二十七頁，共223頁。（4）欺騙用戶比如：將代碼放在文件（網(wǎng)頁，郵件附件，好友文件，安裝文件）中，當用戶（最好是管理員）打開這些文件時，也就執(zhí)行了這些文件中的代碼。這些代碼的功能就是將攻擊者的賬號提升為超級用戶。第二十八頁，共223頁。（5）特洛伊木馬把木馬程序放在系統(tǒng)文件夾中改裝為一個系統(tǒng)程序，當用戶使用這個系統(tǒng)程序時，木馬就運行了，當該木馬程序的功能是升級超級用戶時，就可以完成操作了。對策：安裝殺毒軟件。注意查看常用的系統(tǒng)文件的大小（創(chuàng)建時間，寫入時間）。運用一些工業(yè)組的文件系統(tǒng)保護工具（如Tripwire,對系統(tǒng)文件計算檢驗和）。備份好數(shù)據(jù)，重裝系統(tǒng)。第二十九頁，共223頁。（6）可執(zhí)行注冊表鍵修改一些注冊表鍵值以達到執(zhí)行批處理文件的結果，不過這種遠程訪問注冊表的權限屬于ServerOperators用戶組總結：特權升級很難實施。第三十頁，共223頁。鞏固權力這是取得（Administrator)管理員權限后動作。破解SAM（安全賬號管理器）文件發(fā)掘信任漏洞嗅探程序（Sniffer)遠程控制與后門端口重定向第三十一頁，共223頁。（一）破解SAM文件SAMSecurityAccountsManagerSAM包含本地系統(tǒng)或本地域上的所有用戶名和經(jīng)過加密的密碼。手段：獲取SAM文件破解文件里的密碼第三十二頁，共223頁。（1）獲取SAM文件手段位置：\winnt\system32\config目錄“SAM”\winnt\repair文件夾中有拷貝“SAM._”手段1：啟動到另一系統(tǒng)（因SAM在本系統(tǒng)是上鎖的），復制到軟盤。手段2：由NT修復磁盤工具創(chuàng)建SAM文件的拷貝。Rdisk/s命令會放到Repair文件夾中Expandsam._sam命令解壓第三十三頁，共223頁。（1）獲取SAM文件手段手段3：從SAM中直接從注冊表中抽取密碼散列值。工具1：pwdump工具2：pwdump2(適合經(jīng)過SYSKEY增強的SAM文件）工具3：L0phcrack手段4：直接從網(wǎng)絡嗅探SMB中的密碼散列值。工具是sniff和L0phcrack。第三十四頁，共223頁。（2）破解SAM密碼工具是L0phcrack第三十五頁，共223頁。破解SAM文件的對策強壯的NT密碼。最好是7位放一些不可顯示的ASCII字符，如按下Numlock鍵后，輸入alt-255或Alt-129保護SAM文件：鎖住服務器。實現(xiàn)syskey(128位），安裝補丁。審計對SAM的訪問（不現(xiàn)實的）第三十六頁，共223頁。（二）發(fā)掘信任漏洞當獲得的是某個獨立服務器的管理員賬號后，而不是域控制器的管理員賬號時，要想獲得整個域的信息所使用的。錯誤的配置：互為鏡像的本地和域管理員憑證LSA密碼自動登錄注冊表鍵鍵擊記錄器第三十七頁，共223頁。（1）本地和域管理員賬號互為鏡像的本地和域管理員憑證：就是本地系統(tǒng)管理員賬號密碼和域控制器中的域管理員賬號和密碼相同對策：無論是域還是本地管理員賬號應該經(jīng)常更改。第三十八頁，共223頁。（2）LSA密碼LSALocalSecurityAuthority本地安全權威外部系統(tǒng)登錄密碼不加密，當一個域用戶通過某獨立服務器登錄域時，這時這個用戶的密碼就保存在該獨立服務器的注冊表中。HLM\security\policy\secrets對策：打LSA補丁。第三十九頁，共223頁。LSA密碼LSA密碼有：服務器賬號密碼緩存最后10個用戶注冊到機器上的密碼散列FTP和Web用戶的明文密碼遠程訪問服務器（RAS）撥號賬戶和密碼進行域訪問的計算機賬號密碼第四十頁，共223頁。（3）自動登錄注冊表鍵\\HKLM\software\Microsoft\Winodws\CurrentVersion\winlogon\AutoAdminlogon。NT會設為自動登錄，但用戶名和密碼會話在\defaultUsername和\defaultPasswd鍵中。對策是刪除AutoAdminlogon鍵第四十一頁，共223頁。（4）鍵擊記錄器在己獲得管理員權限的服務器上安裝鍵擊記錄器程序。記下該服務器上的按鍵記錄放到一個文件中，以后再來取。對策：注意查看注冊表中的啟動項。\\HKLM\software\Microsoft\Winodws\CurrentVersion\run第四十二頁，共223頁。（三）嗅探程序利用占領的系統(tǒng)，在本地網(wǎng)段上進行竊聽。工具：BUTTsniff和WinPcap-Win32對策：盡量使用加密通信工具（如ssh,ssl,pgp或IP層加密IPSec)采用交換網(wǎng)絡可降低風險第四十三頁，共223頁。（四）遠程控制與后門取得了某系統(tǒng)的管理員權限后，在該系統(tǒng)中安裝遠程命令行工具和一些以后用的后門程序。實現(xiàn)的條件：調(diào)度服務（計劃任務）在目標系統(tǒng)上運行，可用SC程序實現(xiàn)。C:\>ScIP地址startschedule可用nettime命令檢查遠程系統(tǒng)上的時間。第四十四頁，共223頁。（四）遠程控制與后門常見的后門程序Netcat(nc俗名叫瑞士軍刀）netBus(nbsrv.exe)BackOrifice2000WinVNC(圖開界面的）（WinVNC.exeVnchooks.dll)第四十五頁，共223頁。(五）端口重定向一般是在攻占了防火墻后，在防火墻后的原始分組重定向到攻擊者的機器或其他目標。常用工具：Nc80|cmd.exe|nc25Rinetdfpipe第四十六頁，共223頁。（六）一般性的對策文件名：檢查常用后門程序的文件名（大多數(shù)后門程序可以改名）此法不太有效。注冊表項：注冊表中的啟動（HKLM或HKCU中Run和Runonce)啟動菜單第四十七頁，共223頁。（六）一般性的對策進程：熟悉那些后門程序的進程名，還有熟悉WinNT/2000中正常的進程名和數(shù)目。端口：netstat–a此命令可檢查本機打開了哪些端口。要知道后門程序打開的端口。要知道自己的機器平時常用的端口，發(fā)現(xiàn)可疑端口要注意。第四十八頁，共223頁。（七）終級破壞Rootkit控制操作系統(tǒng)代碼，對NT核心添補程序，搶奪系統(tǒng)調(diào)用，可以隱藏進程，注冊表鍵和文件，將調(diào)用重定向到木馬功能上。對策：重裝系統(tǒng)：不是系統(tǒng)恢復，完備的文檔及高度自動化的安裝過程，如GHOST備份或服務器的CD-ROM版的完整配置。代碼校驗和工具，如MD5Sum,Tripwire第四十九頁，共223頁。MD5Sum為什么要創(chuàng)建文件指紋驗證?1、共享文件從網(wǎng)上被下載回來運行，如果這個文件被人修改過了，添加了木馬或者病毒在里面，如何發(fā)現(xiàn)這種問題？2、下載一個iso文件，下了半天，又是斷點續(xù)傳，但文件到底有沒有被破壞？第五十頁，共223頁。掩蓋蹤跡禁止審計清空事件日志隱藏文件第五十一頁，共223頁。（一）禁止審計這是取得管理員權限后所做的第一件事。Auditpol/disable第五十二頁，共223頁。（二）清空事件日志Elsave–s\\主機名-l“security”-c第五十三頁，共223頁。(三）隱藏文件Attrib+h目錄名或文件名NTFS分流：把木馬程序附在一些系統(tǒng)文件后面

cpnc.exe1.txt:nc.exe{把NC放在1.txt文件后面）Cp1.txt:nc.exenc.exe反分流執(zhí)行這樣的文件用：start1.txt:nc.exe第五十四頁，共223頁。WIN2000中的EFS對文件加密EFS（Encrypting)隨機產(chǎn)生的文件加密密鑰由其他密鑰加密的。由用戶公鑰加密后的FEK以一個稱為DDF（數(shù)據(jù)解密字段）的文件屬性保存，當用戶訪問文件時，他的私鑰對DDF進行解密，解出FEK，然后再解密文件。第五十五頁，共223頁。WIN2000中的EFS對文件加密而用恢復代理RA密鑰對FEK進行加密后的結果，保存在叫DRF（數(shù)據(jù)恢得字段）的屬性中，本地管理員是恢復代理時（缺省是這樣），任何獲得管理員身份的人，就可以用其私鑰解開DRF，然后揭求FEK，用FEK就可解密EFS保護的文件了。FEK：Key文件加密密鑰第五十六頁，共223頁。WIN2000中的EFS對文件加密加密文件的方法是：創(chuàng)建一個空的加密文件夾，再在此文件夾中直接創(chuàng)建文件。第五十七頁，共223頁。5.2.2IP欺騙1．IP欺騙的工作原理（1）使被信任主機喪失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B……………t3:X＜－－－RST－－－B第五十八頁，共223頁。（2）序列號猜測攻擊者先與被攻擊主機的一個端口（SMTP是一個很好的選擇）建立起正常的連接。通常，這個過程被重復若干次，并將目標主機最后所發(fā)送的ISN（初始序列號）存儲起來。攻擊者還需要估計他的主機與被信任主機之間的RTT時間（往返時間），這個RTT時間是通過多次統(tǒng)計平均求出的。RTT對于估計下一個ISN是非常重要的。一般每秒鐘ISN增加128000，每次連接增加64000?，F(xiàn)在就不難估計出ISN的大小了，它是128000乘以RTT的一半，如果此時目標主機剛剛建立過一個連接，那么再加上一個64000。

第五十九頁，共223頁。(3）實施欺騙Z偽裝成A信任的主機B攻擊目標A的過程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A第六十頁，共223頁。2.IP欺騙的防止（1）拋棄基于地址的信任策略（2）進行包過濾（3）使用加密方法（4）使用隨機化的初始序列號第六十一頁，共223頁。5.2.3端口掃描1．端口與服務許多的TCP/IP程序都是可以通過網(wǎng)絡啟動的客戶/服務器結構。服務器上運行著一個守護進程，當客戶有請求到達服務器時，服務器就啟動一個服務進程與其進行通信。為簡化這一過程，每個應用服務程序（如、Telnet等）被賦予一個唯一的地址，這個地址稱為端口。端口號由16位的二進制數(shù)據(jù)表示，范圍為0~65535。守護進程在一個端口上監(jiān)聽，等待客戶請求。

第六十二頁，共223頁。端口的分類1、公認端口：0-1023

HTTP：80、TELNET：23SMTP：25、DNS：53SNMP：1692、注冊端口：1024---49151松散的綁定一些服務3、動態(tài)和私有端口：49152—65535一般不分配第六十三頁，共223頁。2．端口掃描

一種常用方法，可以了解遠程服務器提供的各種服務及其TCP端口分配，了解服務器的操作系統(tǒng)及目標網(wǎng)絡結構等信息。系統(tǒng)管理員使用掃描工具，可以及時檢查和發(fā)現(xiàn)自己系統(tǒng)的安全弱點和安全漏洞。端口掃描也廣泛被入侵者用來尋找攻擊線索和攻擊入口。比如：是否能用匿名登陸，是否有可寫的FTP目錄，是否能用TELNET等等。端口掃描程序在網(wǎng)上很容易找到，因而許多人認為掃描工具是入侵工具中最危險的一類。

第六十四頁，共223頁。掃描器簡介數(shù)據(jù)庫掃描器操作系統(tǒng)掃描器網(wǎng)絡安全掃描器（網(wǎng)絡服務、應用程序、網(wǎng)絡設備、網(wǎng)絡協(xié)議）常用：NSS、SSTAN、ISS、NESSUSHSCAN第六十五頁，共223頁。5.2.4網(wǎng)絡監(jiān)聽

網(wǎng)絡監(jiān)聽可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔?，是網(wǎng)絡管理員的一種監(jiān)視和管理網(wǎng)絡的一種方法，但網(wǎng)絡監(jiān)聽工具也常是黑客們經(jīng)常使用的工具。當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡監(jiān)聽的方式來進行攻擊。只要將網(wǎng)絡接口設置在監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的主機、網(wǎng)關或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。

第六十六頁，共223頁。1．網(wǎng)絡監(jiān)聽的原理以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)幀發(fā)往物理連接在一起的所有主機。在幀頭中包含著應該接收數(shù)據(jù)包的主機的地址。數(shù)據(jù)幀到達一臺主機的網(wǎng)絡接口時，在正常情況下，網(wǎng)絡接口讀入數(shù)據(jù)幀，并檢查數(shù)據(jù)幀幀頭中的地址字段，如果數(shù)據(jù)幀中攜帶的物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，否則就將這個幀丟棄。對于每一個到達網(wǎng)絡接口的數(shù)據(jù)幀，都要進行這個過程。然而，當主機工作在監(jiān)聽模式下，不管數(shù)據(jù)幀的目的地址是什么，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。第六十七頁，共223頁。2．網(wǎng)絡監(jiān)聽工具及其作用

嗅探器（sniffer）就是一種網(wǎng)絡監(jiān)聽工具。sniffer工作在網(wǎng)絡環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡上傳送的數(shù)據(jù)，并且通過相應的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的網(wǎng)絡狀態(tài)和整體布局,Sniffer實施的是一種消極的安全攻擊，它們極其安靜地躲在某個主機上偷聽別人的通信，具有極好隱蔽性。

網(wǎng)絡監(jiān)聽對系統(tǒng)管理員是很重要的，系統(tǒng)管理員通過監(jiān)聽可以診斷出大量的不可見問題，這些問題有些涉及兩臺或多臺計算機之間的異常通訊，有些牽涉到各種協(xié)議的漏洞和缺陷。

第六十八頁，共223頁。第六十九頁，共223頁。第七十頁，共223頁。第七十一頁，共223頁。第七十二頁，共223頁。第七十三頁，共223頁。第七十四頁，共223頁。3．如何發(fā)現(xiàn)sniffer通過下面的方法可以分析出網(wǎng)絡上是否存在sniffer進行分析。網(wǎng)絡通訊掉包率反常的高。網(wǎng)絡帶寬將出現(xiàn)異常。對于懷疑運行監(jiān)聽程序的主機，用正確的IP地址和錯誤的物理地址去PING，正常的機器不接受錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接受，這種方法依賴系統(tǒng)的IPSTACK，對有些系統(tǒng)可能行不通。

往網(wǎng)上發(fā)大量包含著不存在的物理地址的包,由于監(jiān)聽程序將處理這些包，將導致性能下降，通過比較前后該機器性能（icmpechodelay等方法）加以判斷。第七十五頁，共223頁。5.2.5拒絕服務（DoS）1．什么是拒絕服務拒絕服務攻擊（DenialofService）是指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其它用戶提供服務的一種攻擊方式。拒絕服務攻擊的結果可以降低系統(tǒng)資源的可用性，

2．拒絕服務攻擊的方式信息數(shù)據(jù)包流量式：SYN-Flooding攻擊:過載攻擊:服務過載、進程過載攻擊、系統(tǒng)過載攻擊、磁盤過載攻擊

第七十六頁，共223頁。3．分布式拒絕服務（DDoS）DDoS就是利用通過組織和操縱更多的機器來發(fā)起進攻，來實現(xiàn)拒絕服務攻擊。分布式拒絕服務攻擊程序由兩部分組成：在主控主機上的客戶端和在代理主機上的守護進程。主控端向其代理端發(fā)送要攻擊的目標主機的列表，代理端據(jù)此列表對目標進行拒絕服務攻擊。由一個主控端控制的多個代理端能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。

第七十七頁，共223頁。5.2.6緩沖區(qū)溢出緩沖區(qū)溢出是目前最為常見的安全漏洞，也是黑客利用最多的攻擊漏洞。

1．緩沖區(qū)溢出的原理在程序試圖將數(shù)據(jù)放到機器內(nèi)存中的某一個位置的時候，如果沒有足夠的空間就會發(fā)生緩沖區(qū)溢出。大多造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入?yún)?shù)而造成的。

危害：一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導致系統(tǒng)崩潰；另有一個結果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)根用戶的權限。第七十八頁，共223頁。例如下面一段簡單的C程序：voidfuction(char*str){charbuf[10];gets(buf);strcat(str,buf);}main(){charstr[20];scanf(“%s”,str);printf(“%s”,fuction(str));}第七十九頁，共223頁。緩沖區(qū)溢出漏洞攻擊的分析代碼放置的方法（植入法、利用已經(jīng)存在代碼）控制程序的轉移（激活記錄、函數(shù)指針、長跳轉緩沖區(qū)）第八十頁，共223頁。3．緩沖區(qū)溢出的保護目前有四種基本的方法保護緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響：一是強制編寫正確的代碼的方法。二是通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。三是利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護。四是一種間接的方法，該方法在程序指針失效前進行完整性檢查。第八十一頁，共223頁。5.2.7電子郵件的攻擊電子郵件轟炸電子郵件欺騙第八十二頁，共223頁。5.2.8各種攻擊第八十三頁，共223頁。緩沖區(qū)溢出身份欺騙撥號式掃描/移位式掃描病毒/蠕蟲/特洛伊木馬直接訪問遠程控制軟件探測掃描Rootkit嗅探第八十四頁，共223頁。應用程序泛洪UDP欺騙無賴設備WEB應用程序數(shù)據(jù)整理中間人（MITM）分布式拒絕服務（DDoS)TCP欺騙ARP重定向/ARP欺騙TCP/SYN泛洪第八十五頁，共223頁。IP欺騙IP重定向傳輸重定向Smurf(利用Ping程序中使用的ICMP協(xié)議。攻擊者首先制造出源地址是受攻擊主機的IP地址的包;然后攻擊者將這些包發(fā)送...因此,Smurf攻擊實際上是一種IP欺騙式的攻擊,將導致拒絕服務攻擊的結果。)MAC泛洪MAC欺騙網(wǎng)絡操縱STP重定向第八十六頁，共223頁。安全技術身份識別技術主機和應用安全網(wǎng)絡防火墻內(nèi)容過濾網(wǎng)絡入侵檢測系統(tǒng)NIDS加密技術第八十七頁，共223頁。身份識別技術可重用密碼RADIUS/TACACS+OTP一次性密碼PKI智能卡生物特征識別第八十八頁，共223頁?？芍赜妹艽a注意健壯性（可用主動密碼檢測工具進行檢查）。教育員工。限制登錄次數(shù)?？梢詸z測身份欺騙，可以阻止直接訪問。第八十九頁，共223頁。RADIUS/TACACS+是為網(wǎng)絡提供集中認證服務的協(xié)議。通常稱為AAA服務器（認證，授權，記賬）。RADIUS是開放標準，使用UDP協(xié)議，只對密碼加密。TACACS+是Cisco開發(fā)的協(xié)議，使用TCP，并對整個通信加密?？梢詸z測身份欺騙，可以阻止直接訪問。第九十頁，共223頁。OTP一次性密碼OneTimePassword一般需要令牌和個人識別碼PINpersonalidentificationnumber.或者令牌與PIN碼一起生成登錄密碼?；蛘吡钆粕傻卿浢艽a，然后與PIN碼一起使用。用戶要記住PIN碼。一般和RADIUS一起使用。第九十一頁，共223頁。PKIPKIPublicKeyInfrastructure公鑰基礎設施。一種檢驗用戶身份識別的數(shù)字證書機制。最主要的是認證中心CA。用在：安全電子郵件；安全站點訪問—SSL；VPN；電子文檔數(shù)字簽名。第九十二頁，共223頁。智能卡智能卡提供了在卡里存儲身份識別信息的能力。如：SIM卡subscriberidentitymodules客戶身份識別卡。是一臺功能齊全的計算機。因為是計算機，所以易受攻擊。價錢可能較貴。電子證書可以存儲在智能卡中。第九十三頁，共223頁。5.3入侵檢測5.3.1入侵檢測概述談到網(wǎng)絡安全，人們第一個想到的是防火墻。但隨著技術的發(fā)展，網(wǎng)絡日趨復雜，傳統(tǒng)防火墻所暴露出來的不足和弱點引出了人們對入侵檢測系統(tǒng)(IDS)技術的研究和開發(fā)。首先，傳統(tǒng)的防火墻在工作時，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因為入侵者可以找到防火墻背后可能敞開的后門。其次，防火墻完全不能阻止來自內(nèi)部的襲擊，而通過調(diào)查發(fā)現(xiàn)，50%的攻擊都將來自于內(nèi)部，對于企業(yè)內(nèi)部心懷不滿的員工來說，防火墻形同虛設。再者，由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，而這一點，對于現(xiàn)在層出不窮的攻擊技術來說是至關重要的。第四，防火墻對于病毒也束手無策。因此，以為在Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實際的。第九十四頁，共223頁。為什么要用IDS?入侵檢測系統(tǒng)(IDS)可以彌補防火墻的不足，為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤、恢復、斷開網(wǎng)絡連接等。第九十五頁，共223頁。IDS有些專家把入侵檢測系統(tǒng)（IDS）比喻成網(wǎng)絡中的攝像機。就現(xiàn)場監(jiān)視和記錄數(shù)據(jù)而言，二者確實有很多相似之處。任何一個企業(yè)和機構都想讓自己的網(wǎng)絡更安全、可靠，但對價格不菲的IDS所能起到的真正作用卻心存狐疑。IDS最大的尷尬是：性能價格比還遠未達到企業(yè)所能欣然接受的程度。第九十六頁，共223頁。IDS的發(fā)展歷程從實驗室原型研究到推出商業(yè)化產(chǎn)品、走向市場并獲得廣泛認同，入侵檢測系統(tǒng)（IDS）已經(jīng)走過了二十多年的風雨坎坷路。概念的誕生模型的發(fā)展百花齊放的春天第九十七頁，共223頁。概念的誕生1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術報告，第一次詳細闡述了入侵檢測的概念。他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。第九十八頁，共223頁。模型的發(fā)展從1984年到1986年，喬治敦大學的DorothyDenning和SRI/CSL（SRI公司計算機科學實驗室）的PeterNeumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為IDES（入侵檢測專家系統(tǒng)）。該模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則。它獨立于特定的系統(tǒng)平臺、應用環(huán)境、系統(tǒng)弱點以及入侵類型，為構建入侵檢測系統(tǒng)提供了一個通用的框架。

1988年，SRI/CSL的TeresaLunt等人改進了Denning的入侵檢測模型，并開發(fā)出了一個IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測（如圖2所示）。第九十九頁，共223頁。百花齊放的春天1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學開發(fā)出了NSM（NetworkSecurityMonitor）。該系統(tǒng)第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉換成統(tǒng)一格式的情況下監(jiān)控異種主機。從此之后，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡的IDS和基于主機的IDS。1988年的莫里斯蠕蟲事件發(fā)生之后，網(wǎng)絡安全才真正引起了美國軍方、學術界和企業(yè)的高度重視，開發(fā)了DIDS。第一百頁，共223頁。百花齊放的春天DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品，它的檢測模型采用了分層結構，包括數(shù)據(jù)、事件、主體、上下文、威脅、安全狀態(tài)等6層。從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。第一百零一頁，共223頁。5.3.2.入侵檢測的主要任務和作用入侵檢測系統(tǒng)（IDS）：是主動保護自己免受攻擊的一種網(wǎng)絡安全技術。IDS對網(wǎng)絡或系統(tǒng)上的可疑行為作出策略反應，及時切斷入侵源，記錄并通過各種途徑通知網(wǎng)絡管理員最大幅度地保障系統(tǒng)安全。O監(jiān)視、分析用戶及系統(tǒng)活動O系統(tǒng)構造和弱點的審計O識別進攻，并報警O異常行為模式的統(tǒng)計分析O評估重要系統(tǒng)和數(shù)據(jù)文件的完整性O操作系統(tǒng)的審計跟蹤管理，識別違反安全策略行為第一百零二頁，共223頁。5.3.3入侵檢測系統(tǒng)的工作原理1.信息收集

(1)系統(tǒng)和網(wǎng)絡日志文件

(2)目錄和文件中的不期望的改變

(3)程序執(zhí)行中的不期望行為

(4)物理形式的入侵信息

2.信號分析

(1)模式匹配：

(2)統(tǒng)計分析

(3)完整性分析第一百零三頁，共223頁。5.3.4入侵檢測系統(tǒng)的分類按照入侵檢測系統(tǒng)的數(shù)據(jù)來源劃分（1）基于主機的入侵檢測系統(tǒng)（2）基于網(wǎng)絡的入侵檢測系統(tǒng)（3）采用上述兩種數(shù)據(jù)來源的分布式的入侵檢測系統(tǒng)2．按照入侵檢測系統(tǒng)采用的檢測方法來分類（1）基于行為的入侵檢測系統(tǒng)：（2）基于模型推理的入侵檢測系統(tǒng)：（3）采用兩者混合檢測的入侵檢測系統(tǒng)：

第一百零四頁，共223頁。3．按照入侵檢測的時間的分類（1）實時入侵檢測系統(tǒng)：根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象，立即斷開入侵者與主機的連接，并征集證據(jù)和實施數(shù)據(jù)恢復。（自動地、循環(huán)地進行）（2）事后入侵檢測系統(tǒng)：由網(wǎng)絡管理員根據(jù)專業(yè)知識和計算機系統(tǒng)對用戶操作所做的歷史審計記錄判斷用戶有無入侵行為第一百零五頁，共223頁。5.3.5入侵檢測系統(tǒng)的CIDF模型

通用入侵檢測框架（CIDF）是由美國加州大學Davis分校的安全實驗室提出的框架。CIDF從邏輯上把IDS分成面向任務的一個組件集合，這些組件一起定義了入侵檢測系統(tǒng)的結構。這些組件包括：事件發(fā)生器（E-boxes）、分析引擎(A-boxes)、存貯機制（D-boxes）以及對抗措施（C-boxes）。

第一百零六頁，共223頁。圖5-1CIDF組件關系

第一百零七頁，共223頁。5.4入侵檢測系統(tǒng)的結構入侵檢測系統(tǒng)的結構大體上可分為三種模式：基于主機系統(tǒng)的結構、基于網(wǎng)絡系統(tǒng)的結構、基于分布式系統(tǒng)的結構第一百零八頁，共223頁。5.4.1基于主機的入侵檢測系統(tǒng)第一百零九頁，共223頁。

這種類型的系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志的準確性、完整性以及安全事件的定義。若入侵者設法逃避審計或進行合作入侵，則基于主機的檢測系統(tǒng)的弱點就暴露出來了。特別是在現(xiàn)代的網(wǎng)絡環(huán)境下，單獨地依靠主機審計信息進行入侵檢測難以適應網(wǎng)絡安全的需求。

第一百一十頁，共223頁。這主要表現(xiàn)在以下四個方面：一是主機的審計信息弱點，如易受攻擊，入侵者可通過使用某些系統(tǒng)特權或調(diào)用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網(wǎng)絡攻擊。三是IDS的運行或多或少影響服務器性能。四是基于主機的IDS只能對服務器的特定用戶、應用程序執(zhí)行動作、日志進行檢測，所能檢測到的攻擊類型受到限制。第一百一十一頁，共223頁。5.4.2基于網(wǎng)絡的入侵檢測系統(tǒng)第一百一十二頁，共223頁?；诰W(wǎng)絡的IDS的優(yōu)點是：（1）服務器平臺獨立：基于網(wǎng)絡的IDS監(jiān)視通信流量而不影響服務器平臺的變化和更新。（2）配置簡單：基于網(wǎng)絡的IDS環(huán)境只需要一個普通的網(wǎng)絡訪問接口。（3）檢測多種攻擊：基于網(wǎng)絡的IDS探測器可以監(jiān)視多種多樣的攻擊包括協(xié)議攻擊和特定環(huán)境的攻擊，長于識別與網(wǎng)絡低層操作有關的攻擊。第一百一十三頁，共223頁。5.4.3基于分布式系統(tǒng)的入侵檢測技術典型的入侵檢測系統(tǒng)是一個統(tǒng)一集中的代碼塊，它位于系統(tǒng)內(nèi)核或內(nèi)核之上，監(jiān)控傳送到內(nèi)核的所有請求。但是，隨著網(wǎng)絡系統(tǒng)結構復雜化和大型化，系統(tǒng)的弱點或漏洞將趨于分布化。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作的入侵特點，在這種背景下，產(chǎn)生了基于分布式的入侵檢測系統(tǒng)。

第一百一十四頁，共223頁。

基于分布式系統(tǒng)的IDS結構

第一百一十五頁，共223頁。5.5入侵檢測產(chǎn)品簡介5.5.1Cisco公司的NetRangerNetRanger是基本網(wǎng)絡的入侵檢測系統(tǒng)，可在Internet/Intranet兩種環(huán)境中運行。系統(tǒng)包括兩部分：檢測網(wǎng)絡包和發(fā)出報警的檢測器，接收并分析報警和啟動對策的控制器。

5.5.2ISS公司的RealSecure

RealSecure2.0forWindowsNT是一種領導市場的攻擊檢測方案，它提供了分布式的安全體系結構。多個檢測引擎可以監(jiān)控不同的網(wǎng)絡并向中央管理控制臺報告?？刂婆_與引擎之間的通信可以通過128bitRSA進行認證和加密。第一百一十六頁，共223頁。免費IDS資源目前，IDS產(chǎn)品可分為硬件和軟件兩種類型，但無論選擇哪種，都有一個共同的特點:昂貴。即便在單點安裝的情況下，無論是硬件類型的費用，還是軟件類型的許可費，動輒數(shù)萬元乃至十余萬元。相對于規(guī)模不是很大、費用支出有限的企業(yè)，承受起來勉為其難。是不是安全防御可以不搞了？答案是否定的。事實上，互聯(lián)網(wǎng)在給我們帶來挑戰(zhàn)的同時，也給我們帶來無數(shù)的寶貴資源，只等我們?nèi)ラ_發(fā)、利用。開放源代碼軟件（OpenSourceSoftware）便是其中之一。第一百一十七頁，共223頁。免費IDS資源第一百一十八頁，共223頁。IDMEFIDMEF描述了表示入侵檢測系統(tǒng)輸出信息的數(shù)據(jù)模型，并解釋了使用此模型的基本原理。該數(shù)據(jù)模型用XML實現(xiàn)，并設計了一個XML文檔類型定義。自動入侵檢測系統(tǒng)可以使用IDMEF提供的標準數(shù)據(jù)格式對可疑事件發(fā)出警報，提高商業(yè)、開放資源和研究系統(tǒng)之間的互操作性。IDMEF最適用于入侵檢測分析器（或稱為“探測器”）和接收警報的管理器（或稱為“控制臺”）之間的數(shù)據(jù)信道。IDMEF的數(shù)據(jù)模型使用XML描述IDMEF文檔標記第一百一十九頁，共223頁。IDMEF數(shù)據(jù)模型IDMEF數(shù)據(jù)模型以面向對象的形式表示探測器傳遞給控制臺的警報數(shù)據(jù)，設計數(shù)據(jù)模型的目標是為警報提供確定的標準表達方式，并描述簡單警報和復雜警報之間的關系。IDMEF數(shù)據(jù)模型各個主要部分之間的關系如圖1所示。第一百二十頁，共223頁。IDMEF數(shù)據(jù)模型所有IDMEF消息的最高層類是IDMEF-Message，每一種類型的消息都是該類的子類。IDMEF目前定義了兩種類型的消息：Alert（警報）和Heartbeat（心跳），這兩種消息又分別包括各自的子類，以表示更詳細的消息。需要注意的是，IDMEF數(shù)據(jù)模型并沒有對警報的分類和鑒別進行說明。例如，對一個端口的掃描，一個分析器可能將其確定為一個多目標的單一攻擊，而另一個分析器可能將其確定為來自同一個源的多次攻擊。只有一個分析器決定了發(fā)送的警報類型，數(shù)據(jù)模型才能規(guī)定怎樣對這個警報進行格式化。IDMEF數(shù)據(jù)模型是用統(tǒng)一建模語言（UML）描述的。UML用一個簡單的框架表示實體以及它們之間的關系，并將實體定義為類。IDMEF包括的主要類有IDMEF-Message類、Alert類、Heartbeat類、Core類、Time類和Support類，這些類還可以再細分為許多子類。第一百二十一頁，共223頁。使用XML描述IDMEF文檔標記IDWG最早曾提出兩個建議實現(xiàn)IDMEF：用SMI(管理信息結構)描述一個SNMPMIB和使用DTD（文檔類型定義）描述XML文檔。IDWG在1999年9月和2000年2月分別對這兩個建議進行了評估，認為XML最能符合IDMEF的要求，于是，在2000年2月的會議上決定采用XML方案。XML是SGML(標準通用標記語言)的簡化版本，是ISO8879標準對文本標記說明進行定義的一種語法。作為一種表示和交換網(wǎng)絡文檔及數(shù)據(jù)的語言，XML能夠有效地解決HTML面臨的許多問題，所以獲得了業(yè)界的普遍青睞。1998年10月，WWW聯(lián)盟(W3C)將XML作為一項建議公布于眾。此后不久，WWW聯(lián)盟又發(fā)布了一份建議，定義了XML文檔中的名字空間。XMLDTD（文檔類型定義）可用來聲明文檔所用的標記，它包括元素（文檔包括的不同信息部分）、屬性（信息的特征）和內(nèi)容模型（各部分信息之間的關系）。第一百二十二頁，共223頁。IDXPIDXP（入侵檢測交換協(xié)議）是一個用于入侵檢測實體之間交換數(shù)據(jù)的應用層協(xié)議，能夠實現(xiàn)IDMEF消息、非結構文本和二進制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認證、完整性和保密性等安全特征。IDXP是BEEP的一部分，后者是一個用于面向連接的異步交互通用應用協(xié)議，IDXP的許多特色功能（如認證、保密性等）都是由BEEP框架提供的。IDXP模型如下：建立連接傳輸數(shù)據(jù)斷開連接第一百二十三頁，共223頁。建立連接使用IDXP傳送數(shù)據(jù)的入侵檢測實體被稱為IDXP的對等體，對等體只能成對地出現(xiàn)，在BEEP會話上進行通信的對等體可以使用一個或多個BEEP信道傳輸數(shù)據(jù)。對等體可以是管理器，也可以是分析器。分析器和管理器之間是多對多的關系，即一個分析器可以與多個管理器通信，同樣，一個管理器也可以與多個分析器通信；管理器與管理器之間也是多對多的關系，所以，一個管理器可以通過多個中間管理器接收來自多個分析器的大量警報。但是，IDXP規(guī)定，分析器之間不可以建立交換。第一百二十四頁，共223頁。建立連接入侵檢測實體之間的IDXP通信在BEEP信道上完成。兩個希望建立IDXP通信的入侵檢測實體在打開BEEP信道之前，首先要進行一次BEEP會話，然后就有關的安全特性問題進行協(xié)商，協(xié)商好BEEP安全輪廓之后，互致問候，然后開始IDXP交換。圖2是兩個入侵檢測實體“Alice”和“Bob”之間建立IDXP通信的過程。注意：IDXP對等實體之間可能有多個代理，這些代理可能是防火墻，也可能是將公司每個部門分析器的數(shù)據(jù)轉發(fā)給總管理器的代理。隧道輪廓描述了使用代理時的IDXP交換。第一百二十五頁，共223頁。傳輸數(shù)據(jù)一對入侵檢測實體進行BEEP會話時，可以使用IDXP輪廓打開一個或多個BEEP信道，這樣就可以使用額外的信道建立額外的BEEP會話。但是，大多數(shù)情況下，額外信道都應在已有的BEEP會話上打開，而不是用IDXP輪廓打開一個包含額外信道的新BEEP會話。在每個信道上，對等體都以客戶機/服務器模式進行通信，BEEP會話發(fā)起者為客戶機，而收聽者則為服務器。第一百二十六頁，共223頁。傳輸數(shù)據(jù)圖3描述了一個分析器將數(shù)據(jù)傳送給一個管理器的簡單過程。

第一百二十七頁，共223頁。傳輸數(shù)據(jù)在一次BEEP會話時，使用多個BEEP信道有利于對在IDXP對等體之間傳輸?shù)臄?shù)據(jù)進行分類和優(yōu)先權設置。例如，一個管理器M1在向另一個管理器M2傳送警報數(shù)據(jù)時，可以用不同的信道傳送不同類型的警報數(shù)據(jù)，在每個信道上管理器M1的作用都相當于一個客戶器，而M2則對不同信道上的數(shù)據(jù)作出相應的處理，如圖4所示。第一百二十八頁，共223頁。斷開連接

在有些情況下，一個IDXP對等體可以選擇關閉某個IDXP信道。在關閉一個信道時，對等體在0信道上發(fā)送一個“關閉”元素，指明要關閉哪一個信道。一個IDXP對等體也可以通過在0信道上發(fā)送一個指明要“關閉”0信道的元素，來關閉整個BEEP會話。在上面這個模型中，IDXP對等實體之間采用了一個BEEP安全輪廓實現(xiàn)端到端的安全，而無需通過中間的代理建立安全信任，因此，只有IDXP對等體之間是相互信任的，而代理是不可信的。第一百二十九頁，共223頁。公共入侵檢測框架（CIDF）CIDF所做的工作主要包括四部分：IDS的體系結構通信機制描述語言應用編程接口API第一百三十頁，共223頁。IDS的體系結構CIDF在IDES和NIDES的基礎上提出了一個通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應單元和事件數(shù)據(jù)庫。結構如圖5所示。在這個模型中，事件產(chǎn)生器、事件分析器和響應單元通常以應用程序的形式出現(xiàn)，而事件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的形式，很多IDS廠商都以數(shù)據(jù)收集部分、數(shù)據(jù)分析部分和控制臺部分三個術語來分別代替事件產(chǎn)生器、事件分析器和響應單元。第一百三十一頁，共223頁。IDS的體系結構

CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡中的數(shù)據(jù)包，也可以是從系統(tǒng)日志或其他途徑得到的信息。以上四個組件只是邏輯實體，一個組件可能是某臺計算機上的一個進程甚至線程，也可能是多個計算機上的多個進程，它們以GIDO（統(tǒng)一入侵檢測對象）格式進行數(shù)據(jù)交換。GIDO是對事件進行編碼的標準通用格式（由CIDF描述語言CISL定義），GIDO數(shù)據(jù)流在圖5中以虛線表示，它可以是發(fā)生在系統(tǒng)中的審計事件，也可以是對審計事件的分析結果。第一百三十二頁，共223頁。事件產(chǎn)生器事件產(chǎn)生器的任務是從入侵檢測系統(tǒng)之外的計算環(huán)境中收集事件，并將這些事件轉換成CIDF的GIDO格式傳送給其他組件。例如，事件產(chǎn)生器可以是讀取C2級審計蹤跡并將其轉換為GIDO格式的過濾器，也可以是被動地監(jiān)視網(wǎng)絡并根據(jù)網(wǎng)絡數(shù)據(jù)流產(chǎn)生事件的另一種過濾器，還可以是SQL數(shù)據(jù)庫中產(chǎn)生描述事務的事件的應用代碼。第一百三十三頁，共223頁。事件分析器事件分析器分析從其他組件收到的GIDO,并將產(chǎn)生的新GIDO再傳送給其他組件。分析器可以是一個輪廓描述工具，統(tǒng)計性地檢查現(xiàn)在的事件是否可能與以前某個事件來自同一個時間序列;也可以是一個特征檢測工具，用于在一個事件序列中檢查是否有已知的濫用攻擊特征；此外，事件分析器還可以是一個相關器，觀察事件之間的關系，將有聯(lián)系的事件放到一起，以利于以后的進一步分析。第一百三十四頁，共223頁。事件數(shù)據(jù)庫用來存儲GIDO，以備系統(tǒng)需要的時候使用。第一百三十五頁，共223頁。響應單元響應單元處理收到的GIDO，并據(jù)此采取相應的措施，如殺死相關進程、將連接復位、修改文件權限等。由于CIDF有一個標準格式GIDO，所以這些組件也適用于其他環(huán)境，只需要將典型的環(huán)境特征轉換成GIDO格式，這樣就提高了組件之間的消息共享和互通。第一百三十六頁，共223頁。CIDF的通信機制為了保證各個組件之間安全、高效的通信，CIDF將通信機制構造成一個三層模型：GIDO層、消息層和協(xié)商傳輸層。要實現(xiàn)有目的的通信，各組件就必須能正確理解相互之間傳遞的各種數(shù)據(jù)的語義，GIDO層的任務就是提高組件之間的互操作性，所以它就如何表示各種各樣的事件做了詳細的定義。消息層確保被加密認證消息在防火墻或NAT等設備之間傳輸過程中的可靠性。消息層只負責將數(shù)據(jù)從發(fā)送方傳遞到接收方，而不攜帶任何有語義的信息；同樣，GIDO層也只考慮所傳遞信息的語義，而不關心這些消息怎樣被傳遞。單一的傳輸協(xié)議無法滿足CIDF各種各樣的應用需求，只有當兩個特定的組件對信道使用達成一致認識時，才能進行通信。協(xié)商傳輸層規(guī)定GIDO在各個組件之間的傳輸機制。第一百三十七頁，共223頁。CIDF的通信機制CIDF的通信機制主要討論消息的封裝和傳遞，主要分為四個方面：配對服務

路由

消息層

消息層處理

第一百三十八頁，共223頁。配對服務配對服務采用了一個大型目錄服務LDAP（輕量級目錄訪問協(xié)議），每個組件都要到此目錄服務進行注冊，并通告其他組件它所使用或產(chǎn)生的GIDO類型。在此基礎上，組件才能被歸入它所屬的類別中，組件之間才能互相通信。配對服務還支持一些安全選項（如公鑰證書、完整性機制等），為各個組件之間安全通信、共享信息提供了一種統(tǒng)一的標準機制，大大提高了組件的互操作性，降低了開發(fā)多組件入侵檢測與響應系統(tǒng)的難度。第一百三十九頁，共223頁。路由組件之間要通信時，有時需經(jīng)過非透明的防火墻，發(fā)送方先將數(shù)據(jù)包傳遞給防火墻的關聯(lián)代理，然后再由此代理將數(shù)據(jù)包轉發(fā)到目的地。CIDF采用了兩種路由：源路由和絕對路由。第一百四十頁，共223頁。消息層消息層要實現(xiàn)的功能包括：（1）提供一個開放的體系結構。（2）使消息獨立于操作系統(tǒng)、編程語言和網(wǎng)絡協(xié)議。（3）簡化向CIDF中增添新組件的過程。（4）支持鑒定與保密等安全需求。（5）同步（封鎖進程與非封鎖進程）。第一百四十一頁，共223頁。消息層處理消息層處理規(guī)定了消息層消息的處理方式它包括四個規(guī)程：標準規(guī)程、可靠傳輸規(guī)程、保密規(guī)程和鑒定規(guī)程。第一百四十二頁，共223頁。CIDF語言CIDF的總體目標是實現(xiàn)軟件的復用和IDR（入侵檢測與響應）組件之間的互操作性。首先，IDR組件基礎結構必須是安全、健壯、可伸縮的，CIDF的工作重點是定義了一種應用層的語言CISL（公共入侵規(guī)范語言），用來描述IDR組件之間傳送的信息，以及制定一套對這些信息進行編碼的協(xié)議。CISL可以表示CIDF中的各種信息，如原始事件信息（審計蹤跡記錄和網(wǎng)絡數(shù)據(jù)流信息）、分析結果（系統(tǒng)異常和攻擊特征描述）、響應提示（停止某些特定的活動或修改組件的安全參數(shù)）等。第一百四十三頁，共223頁。CIDF語言CISL使用了一種被稱為S表達式的通用語言構建方法，S表達式可以對標記和數(shù)據(jù)進行簡單的遞歸編組，即對標記加上數(shù)據(jù)，然后封裝在括號內(nèi)完成編組，這跟LISP有些類似。S表達式的最開頭是語義標識符（簡稱為SID），用于顯示編組列表的語義。例如下面的S表達式：(HostName‘’)該編組列表的SID是HostName，它說明后面的字符串“”將被解釋為一個主機的名字。有時侯，只有使用很復雜的S表達式才能描述出某些事件的詳細情況，這就需要使用大量的SID。SID在CISL中起著非常重要的作用，用來表示時間、定位、動作、角色、屬性等，只有使用大量的SID，才能構造出合適的句子。CISL使用范例對各種事件和分析結果進行編碼，把編碼的句子進行適當?shù)姆庋b，就得到了GIDO。GIDO的構建與編碼是CISL的重點。第一百四十四頁，共223頁。CIDF的API接口CIDF的API負責GIDO的編碼、解碼和傳遞，它提供的調(diào)用功能使得程序員可以在不了解編碼和傳遞過程具體細節(jié)的情況下，以一種很簡單的方式構建和傳遞GIDO。GIDO的生成分為兩個步驟：第一，構造表示GIDO的樹型結構；第二，將此結構編成字節(jié)碼。第一百四十五頁，共223頁。構造樹形結構在構造樹形結構時，SID被分為兩組：一組把S表達式作為參數(shù)（即動詞、副詞、角色、連接詞等），另一組把單個數(shù)據(jù)或一個數(shù)據(jù)陣列作為參數(shù)（即原子），這樣就可以把一個完整的句子表示成一棵樹，每個SID表示成一個節(jié)點，最高層的SID是樹根。因為每個S表達式都包含一定的數(shù)據(jù)，所以，樹的每個分支末端都有表示原子SID的葉子。第一百四十六頁，共223頁。編碼和解碼由于編碼規(guī)則是定義好的，所以對樹進行編碼只是一個深度優(yōu)先遍歷和對各個節(jié)點依次編碼的過程。在這種情況下，我們可以先對V編碼，然后對R1子樹編碼，再對R2子樹編碼。如果上面的句子是一個連接句的一部分，那么，每個成分句都可以從中完好地提取出來。也就是說，如果句子事先已經(jīng)編碼，在插入到一個連接句時無須再進行編碼。將字節(jié)碼進行解碼跟上面的過程正好相反，在SID碼的第一個字節(jié)里有一個比特位顯示其需要的參數(shù)：是基本數(shù)據(jù)類型，還是S表達式序列。然后語法分析器再對后面的字節(jié)進行解釋。CIDF的API并不能根據(jù)樹構建邏輯GIDO，但提供了將樹以普通GIDO的S表達式格式進行打印的功能。CIDF的API為實現(xiàn)者和應用開發(fā)者都提供了很多的方便，它分為兩類：GIDO編碼/解碼API和消息層API。第一百四十七頁，共223頁。IDS分類根據(jù)檢測原理進行分類根據(jù)系統(tǒng)特征分類根據(jù)體系結構分類發(fā)展趨勢第一百四十八頁，共223頁。根據(jù)檢測原理進行分類傳統(tǒng)的觀點根據(jù)入侵行為的屬性將其分為異常和濫用兩種，然后分別對其建立異常檢測模型和濫用檢測模型。近四五年來又涌現(xiàn)出了一些新的檢測方法，它們產(chǎn)生的模型對異常和濫用都適用，如人工免疫方法、遺傳算法、數(shù)據(jù)挖掘等。根據(jù)系統(tǒng)所采用的檢測模型，將IDS分為三類。異常檢測濫用檢測混合檢測第一百四十九頁，共223頁。異常檢測在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異?，F(xiàn)象，它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標為“異?！保⑷绾巫龀鼍唧w決策。異常檢測只能識別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。由于對各種網(wǎng)絡環(huán)境的適應性不強，且缺乏精確的判定準則，異常檢測經(jīng)常會出現(xiàn)虛警情況。異常檢測可以通過以下系統(tǒng)實現(xiàn)。（1）自學習系統(tǒng)（2）編程系統(tǒng)第一百五十頁，共223頁。自學習系統(tǒng)自學習系統(tǒng)通過學習事例構建正常行為模型，又可分為時序和非時序兩種。第一百五十一頁，共223頁。編程系統(tǒng)該類系統(tǒng)需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。編程系統(tǒng)可以再細分為描述統(tǒng)計和缺省否認兩種。異常檢測IDS分類如表1所示。第一百五十二頁，共223頁。濫用檢測在濫用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別。濫用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。濫用檢測通過對確知決策規(guī)則編程實現(xiàn)，可以分為以下四種：狀態(tài)建模

專家系統(tǒng)

串匹配

基于簡單規(guī)則第一百五十三頁，共223頁。狀態(tài)建模它將入侵行為表示成許多個不同的狀態(tài)。如果在觀察某個可疑行為期間，所有狀態(tài)都存在，則判定為惡意入侵。狀態(tài)建模從本質(zhì)上來講是時間序列模型，可以再細分為狀態(tài)轉換和Petri網(wǎng)，前者將入侵行為的所有狀態(tài)形成一個簡單的遍歷鏈，后者將所有狀態(tài)構成一個更廣義的樹形結構的Petri網(wǎng)。第一百五十四頁，共223頁。專家系統(tǒng)它可以在給定入侵行為描述規(guī)則的情況下，對系統(tǒng)的安全狀態(tài)進行推理。一般情況下，專家系統(tǒng)的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低執(zhí)行速度為代價。第一百五十五頁，共223頁。串匹配它通過對系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進行子串匹配實現(xiàn)。該方法靈活性欠差，但易于理解，目前有很多高效的算法，其執(zhí)行速度很快。第一百五十六頁，共223頁?；诤唵我?guī)則類似于專家系統(tǒng)，但相對簡單一些，故執(zhí)行速度快。第一百五十七頁，共223頁。濫用檢測濫用檢測IDS分類如表2所示

第一百五十八頁，共223頁?；旌蠙z測近幾年來，混合檢測日益受到人們的重視。這類檢測在做出決策之前，既分析系統(tǒng)的正常行為，同時還觀察可疑的入侵行為，所以判斷更全面、準確、可靠。它通常根據(jù)系統(tǒng)的正常數(shù)據(jù)流背景來檢測入侵行為，故而也有人稱其為“啟發(fā)式特征檢測”。WenkeLee從數(shù)據(jù)挖掘得到啟示，開發(fā)出了一個混合檢測器RIPPER。它并不為不同的入侵行為分別建立模型，而是首先通過大量的事例學習什么是入侵行為以及什么是系統(tǒng)的正常行為，發(fā)現(xiàn)描述系統(tǒng)特征的一致使用模式，然后再形成對異常和濫用都適用的檢測模型。第一百五十九頁，共223頁。根據(jù)系統(tǒng)特征分類作為一個完整的系統(tǒng)，IDS顯然不應該只包括檢測器，它的很多系統(tǒng)特征同樣值得認真研究。為此，將以下一些重要特征作為分類的考慮因素：檢測時間數(shù)據(jù)處理的粒度審計數(shù)據(jù)來源入侵檢測響應方式數(shù)據(jù)收集地點數(shù)據(jù)處理地點互操作性第一百六十頁，共223頁。檢測時間有些系統(tǒng)以實時或近乎實時的方式檢測入侵活動，而另一些系統(tǒng)在處理審計數(shù)據(jù)時則存在一定的延時。一般的實時系統(tǒng)可以對歷史審計數(shù)據(jù)進行離線操作，系統(tǒng)就能夠根據(jù)以前保存的數(shù)據(jù)重建過去發(fā)生的重要安全事件。第一百六十一頁，共223頁。數(shù)據(jù)處理的粒度有些系統(tǒng)采用了連續(xù)處理的方式，而另一些系統(tǒng)則在特定的時間間隔內(nèi)對數(shù)據(jù)進行批處理操作，這就涉及到處理粒度的問題。它跟檢測時間有一定關系，但二者并不完全一樣，一個系統(tǒng)可能在相當長的時延內(nèi)進行連續(xù)數(shù)據(jù)處理，也可以實時地處理少量的批處理數(shù)據(jù)。第一百六十二頁，共223頁。審計數(shù)據(jù)來源主要有兩種來源：網(wǎng)絡數(shù)據(jù)和基于主機的安全日志文件。后者包括操作系統(tǒng)的內(nèi)核日志、應用程序日志、網(wǎng)絡設備（如路由器和防火墻）日志等。第一百六十三頁，共223頁。入侵檢測響應方式分為主動響應和被動響應。被動響應型系統(tǒng)只會發(fā)出告警通知，將發(fā)生的不正常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊者采取反擊行動。主動響應系統(tǒng)可以分為兩類：對被攻擊系統(tǒng)實施控制。它通過調(diào)整被攻擊系統(tǒng)的狀態(tài)，阻止或減輕攻擊影響，例如斷開網(wǎng)絡連接、增加安全日志、殺死可疑進程等。對攻擊系統(tǒng)實施控制的系統(tǒng)。這種系統(tǒng)多被軍方所重視和采用。目前，主動響應系統(tǒng)還比較少，即使做出主動響應，一般也都是斷開可疑攻擊的網(wǎng)絡連接，或是阻塞可疑的系統(tǒng)調(diào)用，若失敗，則終止該進程。但由于系統(tǒng)暴露于拒絕服務攻擊下，這種防御一般也難以實施。第一百六十四頁，共223頁。數(shù)據(jù)處理地點審計數(shù)據(jù)可以集中處理，也可以分布處理。第一百六十五頁，共223頁。安全性和互操作性安全性：指系統(tǒng)本身的抗攻擊能力?；ゲ僮餍裕翰煌腎DS運行的操作系統(tǒng)平臺往往不一樣，其數(shù)據(jù)來源、通信機制、消息格式也不盡相同，一個IDS與其他IDS或其他安全產(chǎn)品之間的互操作性是衡量其先進與否的一個重要標志。第一百六十六頁，共223頁。系統(tǒng)特征IDS分類表

第一百六十七頁，共223頁。根據(jù)體系結構分類按照體系結構，IDS可分為集中式、等級式和協(xié)作式三種，如表4所示。

第一百六十八頁，共223頁。集中式這種結構的IDS可能有多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務器。審計程序把當?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務器進行分析處理。但這種結構的IDS在可伸縮性、可配置性方面存在致命缺陷：第一，隨著網(wǎng)絡規(guī)模的增加，主機審計程序和服務器之間傳送的數(shù)據(jù)量就會驟增，導致網(wǎng)絡性能大大降低；第二，系統(tǒng)安全性脆弱，一旦中央服務器出現(xiàn)故障，整個系統(tǒng)就會陷入癱瘓；第三，根據(jù)各個主機不同需求配置服務器也非常復雜。第一百六十九頁，共223頁。等級式它用來監(jiān)控大型網(wǎng)絡，定義了若干個分等級的監(jiān)控區(qū)，每個IDS負責一個區(qū)，每一級IDS只負責所監(jiān)控區(qū)的分析，然后將當?shù)氐姆治鼋Y果傳送給上一級IDS。這種結構仍存兩個問題：首先，當網(wǎng)絡拓撲結構改變時，區(qū)域分析結果的匯總機制也需要做相應的調(diào)整；第二，這種結構的IDS最后還是要把各地收集到的結果傳送到最高級的檢測服務器進行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進。第一百七十頁，共223頁。協(xié)作式將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監(jiān)控當?shù)刂鳈C的某些活動。所以，其可伸縮性、安全性都得到了顯著的提高，但維護成本卻高了很多，并且增加了所監(jiān)控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。第一百七十一頁，共223頁。IDS的發(fā)展趨勢一個有趣的現(xiàn)象是:基于網(wǎng)絡的IDS被人們討論得最多，似乎它應該代表IDS的發(fā)展潮流，但實際情況并非如此。部分原因是：①所監(jiān)控的網(wǎng)絡流量超過100Mbps之后，計算量非常之大，系統(tǒng)的數(shù)據(jù)處理與分析能力會顯著降低，這使得它面臨著一個難以逾越的技術門檻；②只能監(jiān)控明文格式數(shù)據(jù)流，無法監(jiān)