《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH2 入侵檢測(cè)與防御原理_第1頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH2 入侵檢測(cè)與防御原理_第2頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH2 入侵檢測(cè)與防御原理_第3頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH2 入侵檢測(cè)與防御原理_第4頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH2 入侵檢測(cè)與防御原理_第5頁(yè)
已閱讀5頁(yè),還剩124頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第二章入侵檢測(cè)與防御原理入侵檢測(cè)與防御基本概念入侵檢測(cè)系統(tǒng)的基本模型入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)與防御的關(guān)鍵技術(shù)入侵檢測(cè)與防御的流程入侵檢測(cè)系統(tǒng)的體系架構(gòu)入侵檢測(cè)與防御基本概念2.1入侵檢測(cè)基本概念入侵檢測(cè):依據(jù)一定的安全策略,對(duì)網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀況進(jìn)行檢測(cè),識(shí)別對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)信息的惡意行為,并對(duì)此行為做出響應(yīng)的過(guò)程。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS):具有入侵檢測(cè)功能的系統(tǒng),是進(jìn)行入侵檢測(cè)的軟件與硬件的組合。一般來(lái)講,攻擊分為來(lái)自外部網(wǎng)絡(luò)的攻擊,來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊以及內(nèi)部人員誤操作導(dǎo)致的虛假攻擊,IDS會(huì)從這三個(gè)方面進(jìn)行分析??梢詫DS理解為一位有豐富經(jīng)驗(yàn)的網(wǎng)絡(luò)偵查員,任務(wù)就是分析出可疑信息并做出相應(yīng)處理。IDS通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。IDS通過(guò)分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)和其他信息對(duì)應(yīng)執(zhí)行監(jiān)視系統(tǒng)活動(dòng)、審計(jì)系統(tǒng)漏洞、識(shí)別攻擊行為和報(bào)警攻擊。入侵檢測(cè)基本概念入侵檢測(cè)系統(tǒng)的主要功能:監(jiān)視、分析用戶及系統(tǒng)的活動(dòng);系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);識(shí)別已知的進(jìn)攻并報(bào)警;對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;對(duì)操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理;識(shí)別用戶違反安全策略的行為。入侵檢測(cè)系統(tǒng)的部署入侵檢測(cè)系統(tǒng)的類型不同、應(yīng)用環(huán)境不同,部署方案也就會(huì)有所差別。基于主機(jī)的入侵檢測(cè)系統(tǒng)一般用于保護(hù)關(guān)鍵主機(jī)或服務(wù)器,因此只要將它部署到這些關(guān)鍵主機(jī)或服務(wù)器中即可?;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)來(lái)說(shuō),根據(jù)網(wǎng)絡(luò)環(huán)境的不同,其部署方案也就會(huì)有所不同。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常采用旁路部署的方式常見(jiàn)的部署位置:服務(wù)器區(qū)域的交換機(jī)上;Internet接入路由器之后的第一臺(tái)交換機(jī)上;重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。入侵檢測(cè)系統(tǒng)的部署共享介質(zhì)網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲網(wǎng)卡默認(rèn)只接收廣播包和與自己MAC地址匹配的數(shù)據(jù)幀。要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機(jī)的所有數(shù)據(jù)流,就必須繞開(kāi)系統(tǒng)正常工作的處理機(jī)制,直接訪問(wèn)網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜(Promiscuous)模式,使之可以接收目標(biāo)地址不是自己的MAC地址的數(shù)據(jù)包,然后直接訪問(wèn)數(shù)據(jù)鏈路層,獲取數(shù)據(jù)并由應(yīng)用程序進(jìn)行過(guò)濾處理。UNIX中可用Libpcap包捕獲函數(shù)庫(kù)直接與內(nèi)核驅(qū)動(dòng)交互操作,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。WINDOW中可用Winpcap()或npcap(),通過(guò)VxD虛擬設(shè)備驅(qū)動(dòng)程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。在WindowsXp/2003/Vista/2008上可以使用WinpcapWin7及以后上可以使用npcap,64bit,要匹配入侵檢測(cè)系統(tǒng)的部署交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲正常情況下,處于監(jiān)聽(tīng)狀態(tài)下的網(wǎng)絡(luò)設(shè)備只能捕獲與它連接的HUB或交換機(jī)端口上的數(shù)據(jù),無(wú)法監(jiān)聽(tīng)其他端口和網(wǎng)段的數(shù)據(jù)。若想捕獲其他數(shù)據(jù),可用以下方法:(1)將數(shù)據(jù)包捕獲程序放在網(wǎng)關(guān)或代理服務(wù)器上(2)給交換機(jī)配置端口鏡像(3)在交換機(jī)和路由器之間連接一個(gè)HUB(4)實(shí)現(xiàn)ARP欺騙入侵檢測(cè)系統(tǒng)的部署網(wǎng)絡(luò)中沒(méi)有部署防火墻時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常安裝在網(wǎng)絡(luò)入口處的交換機(jī)上,以便監(jiān)聽(tīng)所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包并進(jìn)行相應(yīng)的保護(hù)。交換機(jī)上需要啟用端口鏡像。入侵檢測(cè)系統(tǒng)的部署網(wǎng)絡(luò)中部署防火墻時(shí)入侵檢測(cè)系統(tǒng)常部署在防火墻之后,在防火墻的一次過(guò)濾之后進(jìn)行二次防御。來(lái)自外部的針對(duì)防火墻本身的攻擊行為也需注意。安全性要求高的環(huán)境,也可在防火墻外部部署IDS。入侵防御技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量,對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊,對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。入侵防御技術(shù)是一種既能發(fā)現(xiàn)又能阻止入侵行為的新安全防御技術(shù)。通過(guò)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)入侵后,能自動(dòng)丟棄入侵報(bào)文或阻斷攻擊源,從而從根本上避免攻擊行為。IPS使得IDS和防火墻走向統(tǒng)一。入侵防御系統(tǒng)(IPS,IntrusionPreventionSystem)能夠檢測(cè)到攻擊行為(包括已知和未知攻擊),并能夠有效地阻斷攻擊的硬件和軟件系統(tǒng)。融合了防火墻和入侵檢測(cè)技術(shù)。是對(duì)防病毒軟件和防火墻的補(bǔ)充。入侵防御的基本概念入侵防御的基本概念入侵防御系統(tǒng)的功能:在線檢測(cè)網(wǎng)絡(luò)和主機(jī);根據(jù)預(yù)定的安全策略,對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè);發(fā)現(xiàn)攻擊后能實(shí)施有效的阻斷,防止攻擊到達(dá)目標(biāo)網(wǎng)絡(luò)或主機(jī)。(1)入侵防護(hù)。(2)應(yīng)用保護(hù)。(3)網(wǎng)絡(luò)架構(gòu)保護(hù)。(4)性能保護(hù)。(5)Web安全。(6)流量控制。(7)上網(wǎng)監(jiān)管。入侵防御系統(tǒng)的部署入侵防御系統(tǒng)(IPS)主要用于一些重要服務(wù)器的入侵防護(hù),比如OA系統(tǒng)、ERP系統(tǒng)數(shù)據(jù)庫(kù)、FTP服務(wù)器、Web服務(wù)器等。部署IPS時(shí)應(yīng)該首先保護(hù)重要設(shè)備,而不是保護(hù)所有的設(shè)備。當(dāng)然,如果是小型網(wǎng)絡(luò),可以將IPS部署在網(wǎng)絡(luò)前端保護(hù)所有服務(wù)器和辦公終端。在辦公網(wǎng)絡(luò)中,以下區(qū)域需要部署IPS:(1)網(wǎng)絡(luò)邊界,比如辦公網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的位置。(2)重要的集群服務(wù)器前端。(3)辦公網(wǎng)內(nèi)部接入層。(4)其他區(qū)域可根據(jù)情況酌情部署。入侵防御的基本概念入侵防御系統(tǒng)的部署(1)IPS串聯(lián)部署:實(shí)時(shí)監(jiān)控?cái)?shù)據(jù),阻斷各種隱蔽攻擊。內(nèi)網(wǎng)管理,對(duì)上網(wǎng)行為進(jìn)行管理。串聯(lián)的IPS死機(jī)時(shí),可使用硬件Bypass開(kāi)啟網(wǎng)絡(luò)全通功能(2)IPS并聯(lián)部署: 系統(tǒng)穩(wěn)定性高,部分設(shè)備宕機(jī)不會(huì)中斷網(wǎng)絡(luò)。監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù),可以分析數(shù)據(jù)、安全審計(jì)。入侵防御的基本概念入侵防御技術(shù)的優(yōu)勢(shì)(1)實(shí)時(shí)阻斷攻擊。(2)深層防護(hù)。(3)全方位防護(hù)。(4)內(nèi)外兼防。(5)不斷升級(jí),精準(zhǔn)防護(hù)。入侵防御的基本概念入侵檢測(cè)系統(tǒng)(IDS)可以對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵防御系統(tǒng)(IPS)作為一種新型網(wǎng)絡(luò)安全防護(hù)技術(shù),它在入侵檢測(cè)的基礎(chǔ)上添加了防御功能,一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊,可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施。IPS能夠?qū)崿F(xiàn)積極、主動(dòng)地阻止入侵攻擊行為對(duì)網(wǎng)絡(luò)或系統(tǒng)造成危害,同時(shí)結(jié)合漏洞掃描、防火墻、IDS等構(gòu)成整體、深度的網(wǎng)絡(luò)安全防護(hù)體系。入侵檢測(cè)與入侵防御的區(qū)別IDS與IPS的區(qū)別(1)功能不同(2)實(shí)時(shí)性要求不同(3)部署方式不同:旁路VS串聯(lián)(4)部署位置不同:中心點(diǎn)VS網(wǎng)絡(luò)邊界(5)檢測(cè)攻擊的方法不同。IPS可以實(shí)施深層防御安全策略,可在應(yīng)用層檢測(cè)出攻擊并予以阻斷,這是防火墻和入侵檢測(cè)產(chǎn)品做不到的。(6)價(jià)值不同:監(jiān)管VS實(shí)施(7)響應(yīng)方式不同:報(bào)警VS阻斷入侵檢測(cè)與入侵防御的區(qū)別IPSVS防火墻(1)IPS可以發(fā)現(xiàn)從內(nèi)、外部的攻擊;防火墻只能發(fā)現(xiàn)流經(jīng)它的惡意流量。(2)防火墻是被動(dòng)防御,旨在保護(hù),屬于靜態(tài)安全防御技術(shù);而IDS/IPS則是主動(dòng)出擊尋找潛在的攻擊者,發(fā)現(xiàn)入侵行為,是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一。(3)一般來(lái)說(shuō),防火墻采用白名單機(jī)制;而IPS采用黑名單機(jī)制。(4)防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品,功能多。而IPS的功能則比較單一。如果把防火墻比作大門(mén)警衛(wèi),IDS/IPS就是網(wǎng)絡(luò)中的監(jiān)控系統(tǒng),不間斷地獲取網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行分析,發(fā)現(xiàn)問(wèn)題及時(shí)采取響應(yīng)措施。IDS/IPS是網(wǎng)絡(luò)的第二道安全閘門(mén),能夠積極主動(dòng)地阻止入侵攻擊行為對(duì)網(wǎng)絡(luò)或系統(tǒng)造成危害,是防火墻的必要補(bǔ)充,同時(shí)結(jié)合漏洞掃描、防火墻等構(gòu)成了整體、深度的網(wǎng)絡(luò)安全防護(hù)體系。入侵檢測(cè)與入侵防御的區(qū)別入侵檢測(cè)與防御技術(shù)發(fā)展趨勢(shì)主要包括五個(gè)方向。1)分布式入侵檢測(cè)2)更廣泛的信息源3)更快速的處理能力4)可擴(kuò)展性問(wèn)題5)綜合的安全態(tài)勢(shì)感知入侵檢測(cè)與防御的發(fā)展趨勢(shì)入侵檢測(cè)系統(tǒng)的基本模型2.2入侵檢測(cè)系統(tǒng)的基本模型入侵檢測(cè)系統(tǒng)的發(fā)展階段:集中式階段層次式階段集成式階段入侵檢測(cè)系統(tǒng)每階段代表性的基本模型:通用入侵檢測(cè)模型(Denning模型):是一個(gè)基于主機(jī)的入侵檢測(cè)模型。層次式入侵檢測(cè)模型(IDM)管理式入侵檢測(cè)模型(SNMP-IDSM)通用入侵檢測(cè)模型檢測(cè)原理:Denning入侵檢測(cè)模型認(rèn)為,非法用戶的操作與合法用戶的操作有很多不同點(diǎn),但異常行為并不一定是入侵的結(jié)果,為此需要建立活動(dòng)規(guī)則集并讓其進(jìn)行學(xué)習(xí)以分辨異常行為。系統(tǒng)在對(duì)按照一定的規(guī)則學(xué)習(xí)用戶行為模型后,將當(dāng)前發(fā)生的事件和模型進(jìn)行比較,如果不匹配則認(rèn)為異常。模型組成部分:主體:如進(jìn)程、服務(wù)連接等對(duì)象:系統(tǒng)上的資源審計(jì)記錄活動(dòng)簡(jiǎn)檔異常記錄活動(dòng)規(guī)則層次化入侵檢測(cè)模型(IDM)層次化入侵檢測(cè)系統(tǒng)基于異常檢測(cè)和誤用檢測(cè),將入侵檢測(cè)動(dòng)態(tài)地分為攻擊檢測(cè)和入侵檢測(cè)。(1)攻擊檢測(cè)是指在入侵檢測(cè)系統(tǒng)中已經(jīng)有對(duì)此種入侵的描述,利用誤用檢測(cè)可將其檢測(cè)出來(lái),比較簡(jiǎn)單、效率較高、誤用率較低。(2)入侵檢測(cè)是指在入侵檢測(cè)系統(tǒng)中沒(méi)有對(duì)此種入侵的描述,只能用異常檢測(cè)確定其是否為入侵行為,主要針對(duì)疑難的、未知的情況。該模型給出了推斷網(wǎng)絡(luò)主機(jī)受到攻擊時(shí)數(shù)據(jù)的抽象過(guò)程。通過(guò)把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和關(guān)聯(lián)操作,IDM構(gòu)造了一臺(tái)虛擬的機(jī)器環(huán)境,這臺(tái)機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看做一臺(tái)虛擬機(jī)器簡(jiǎn)化了對(duì)跨域單機(jī)的入侵行為識(shí)別。層次化入侵檢測(cè)模型結(jié)構(gòu)層次化模型將IDS分為六個(gè)部分,由低到高分別是數(shù)據(jù)層、事件層、主體層、上下文層、威脅曾和安全狀態(tài)層。(1)數(shù)據(jù)層:包括主機(jī)操作系統(tǒng)的審計(jì)記錄、局域網(wǎng)監(jiān)視器結(jié)果和第三方審計(jì)軟件包提供的數(shù)據(jù)。(2)事件層:用事件描述第一層客體內(nèi)容所表示的含義和固有的特征性質(zhì),通過(guò)動(dòng)作和領(lǐng)域說(shuō)明。(3)主體層:主體是唯一標(biāo)識(shí)號(hào),用來(lái)鑒別在網(wǎng)絡(luò)中跨越多臺(tái)主機(jī)使用的用戶。(4)上下文層:說(shuō)明事件發(fā)生時(shí)所處的環(huán)境和產(chǎn)生的背景,分為時(shí)間型和空間型。(5)威脅層:分析事件對(duì)網(wǎng)絡(luò)和主機(jī)構(gòu)成的威脅。(6)安全狀態(tài)層:用數(shù)字值(1-100)表示網(wǎng)絡(luò)的安全狀態(tài)。數(shù)字越大,安全性越低。管理式入侵檢測(cè)模型基于SNMP的IDS模型(SNMP-IDSM)管理式入侵檢測(cè)模型以SNMP為公共語(yǔ)言來(lái)實(shí)現(xiàn)IDS系統(tǒng)之間的消息交換和協(xié)同檢測(cè),明確原始事件和抽象事件之間關(guān)系。管理式入侵檢測(cè)系統(tǒng)管理式入侵檢測(cè)系統(tǒng)采用五元組形式<WHRER,WHEN,WHO,WHAT,HOW>來(lái)描述攻擊事件。(1)WHRER:描述產(chǎn)生攻擊的位置,包括目標(biāo)所在地和事件發(fā)生地點(diǎn)。(2)WHEN:事件的時(shí)間戳,說(shuō)明事件的起始時(shí)間、終止時(shí)間、信息頻度或發(fā)生的次數(shù)。(3)WHO:表明IDS觀察到的事件,記錄哪個(gè)用戶或進(jìn)程觸發(fā)事件。(4)WHAT:記錄詳細(xì)信息,例如協(xié)議類型、說(shuō)明數(shù)據(jù)和包的內(nèi)容。(5)HOW:用來(lái)連接原始事件和抽象事件。原始事件和抽象事件用四元組

<WHRER,WHEN,WHO,WHAT>來(lái)描述入侵檢測(cè)系統(tǒng)的分類2.3按數(shù)據(jù)源分類按數(shù)據(jù)來(lái)源分:(1)基于主機(jī)(Host-Based)的入侵檢測(cè)系統(tǒng)其檢測(cè)的目標(biāo)系統(tǒng)主要是主機(jī)系統(tǒng)和本地用戶。可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí),入侵檢測(cè)系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警,以采取措施。(2)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測(cè)系統(tǒng)不依賴于被保護(hù)的主機(jī)操作系統(tǒng),實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。(3)基于混合數(shù)據(jù)源的入侵檢測(cè)系統(tǒng)綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種特點(diǎn)的混合型入侵檢測(cè)系統(tǒng)。以多種數(shù)據(jù)源為檢測(cè)目標(biāo),來(lái)提高IDS的性能??膳渲贸煞植际侥J?,通常在需要監(jiān)視的服務(wù)器和網(wǎng)絡(luò)路徑上安裝監(jiān)視模塊,分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨平臺(tái)的入侵監(jiān)視解決方案?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)功能:可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。檢測(cè)的原理:每個(gè)被保護(hù)的主機(jī)系統(tǒng)上都運(yùn)行一個(gè)客戶端程序,用于實(shí)時(shí)檢測(cè)系統(tǒng)中的信息通信,若根據(jù)規(guī)則審計(jì)出有入侵的數(shù)據(jù),立即由檢測(cè)系統(tǒng)的主機(jī)進(jìn)行分析,如果是入侵行為,及時(shí)進(jìn)行響應(yīng)。關(guān)鍵點(diǎn):分析數(shù)據(jù)的準(zhǔn)確性和效率適用于檢測(cè)利用操作系統(tǒng)和應(yīng)用程序運(yùn)行特征的攻擊手段,如利用后門(mén)進(jìn)行的攻擊等?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取獲取方式:(1)直接監(jiān)測(cè)——直接監(jiān)測(cè)從數(shù)據(jù)產(chǎn)生或從屬的對(duì)象直接獲得數(shù)據(jù)。例如:為了直接監(jiān)測(cè)主機(jī)CPU的負(fù)荷,必須直接從主機(jī)相應(yīng)內(nèi)核的結(jié)構(gòu)獲得數(shù)據(jù);要監(jiān)測(cè)inetd進(jìn)程提供的網(wǎng)絡(luò)訪問(wèn)服務(wù),必須直接從inetd進(jìn)程獲得關(guān)于那些訪問(wèn)的數(shù)據(jù);(2)間接監(jiān)測(cè)——從反映被監(jiān)測(cè)對(duì)象行為的某個(gè)源獲得數(shù)據(jù)。例如:間接監(jiān)測(cè)主機(jī)CPU的負(fù)荷可以通過(guò)讀取一個(gè)記錄CPU負(fù)荷的日志文件獲得;間接監(jiān)測(cè)訪問(wèn)網(wǎng)絡(luò)服務(wù)可以通過(guò)讀取inetd進(jìn)程產(chǎn)生的日志文件或輔助程序獲得間接監(jiān)測(cè)還可以通過(guò)查看發(fā)往主機(jī)的特定端口的網(wǎng)絡(luò)數(shù)據(jù)包?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取入侵檢測(cè)時(shí),直接監(jiān)測(cè)要好于間接監(jiān)測(cè),原因如下:(1)間接數(shù)據(jù)源(如審計(jì)跟蹤)的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。(2)一些事件可能沒(méi)有被間接數(shù)據(jù)源記錄。(3)使用間接監(jiān)測(cè),數(shù)據(jù)是通過(guò)某些機(jī)制產(chǎn)生的,這些機(jī)制并不知道哪些數(shù)據(jù)是IDS真正需要的。間接監(jiān)測(cè)數(shù)據(jù)量大,需處理后才能用于檢測(cè)。(4)直接監(jiān)測(cè)比間接監(jiān)測(cè)時(shí)延更短,確保IDS能更及時(shí)地做出反應(yīng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取Linux與UNIX系統(tǒng)中可用于入侵檢測(cè)的日志文件和審計(jì)信息:Acct或pacct:記錄每個(gè)用戶使用的命令記錄。Aculog:保存著用戶撥出去的Modems記錄。Loginlog:記錄一些不正常的Login記錄。Wtmp:記錄當(dāng)前登錄到系統(tǒng)中的所有用戶,此文件隨著用戶進(jìn)入和離開(kāi)系統(tǒng)而不斷變化。Syslog:重要的日志文件,使用syslogd守護(hù)程序來(lái)獲得日志信息。Uucp:記錄UUCP的信息,可以被本地UUCP活動(dòng)更新,也可由遠(yuǎn)程站點(diǎn)發(fā)起的動(dòng)作修改。Access_log:用于運(yùn)行了NCSAHTTPD的服務(wù)器,記錄有什么站點(diǎn)連接過(guò)該服務(wù)器。history日志:保存了用戶最近輸入命令的記錄?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取Linux與UNIX系統(tǒng)中可用于入侵檢測(cè)的日志文件和審計(jì)信息:Lastlog:記錄了用戶最近的Login記錄和每個(gè)用戶的最初目的地,有時(shí)是最后不成功的Login的記錄。Messages:記錄輸出到系統(tǒng)控制臺(tái)的記錄,另外的信息由syslog來(lái)生成。Sulog:記錄使用su命令的記錄。Utmp:記錄用戶登錄和退出事件。ftp日志:執(zhí)行帶-l選項(xiàng)的ftpd能夠獲得記錄功能。httpd日志:HTTPD服務(wù)器在日志中記錄每一個(gè)Web訪問(wèn)記錄。secure:記錄一些使用遠(yuǎn)程登錄及本地登錄的事件。基于主機(jī)的入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)的獲取Windows基本審計(jì)信息:注冊(cè)登錄事件目錄服務(wù)訪問(wèn)審計(jì)賬戶管理對(duì)象訪問(wèn)審計(jì)策略變更特權(quán)使用進(jìn)程跟蹤系統(tǒng)事件等基于主機(jī)的入侵檢測(cè)系統(tǒng)數(shù)據(jù)預(yù)處理是IDS的輔助功能模塊,為核心檢測(cè)模塊服務(wù),它必須是一個(gè)快速的數(shù)據(jù)處理過(guò)程。常用的預(yù)處理方法基于粗糙集理論的約簡(jiǎn)法基于粗糙集理論的屬性離散化屬性的約簡(jiǎn)基于主機(jī)的入侵檢測(cè)技術(shù)基于統(tǒng)計(jì)模型的入侵檢測(cè)技術(shù)基于專家系統(tǒng)的入侵檢測(cè)技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測(cè)技術(shù)基于完整性檢查的入侵檢測(cè)技術(shù)基于智能體的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的IDS分析的數(shù)據(jù)主要包括網(wǎng)絡(luò)上的數(shù)據(jù)包,擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)?;诰W(wǎng)絡(luò)的IDS由遍及網(wǎng)絡(luò)的傳感器(sensor)組成,傳感器實(shí)際上是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī),用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。使用原始數(shù)據(jù)包作為數(shù)據(jù)源,利用運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器實(shí)時(shí)監(jiān)視分析通過(guò)網(wǎng)絡(luò)的通信業(yè)務(wù)。不依賴于操作系統(tǒng)根據(jù)相應(yīng)的網(wǎng)絡(luò)協(xié)議和工作原理,捕獲和過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包,并進(jìn)行入侵特征識(shí)別和協(xié)議分析,從而檢測(cè)出網(wǎng)絡(luò)中存在的入侵行為。協(xié)議的數(shù)據(jù)包結(jié)構(gòu)數(shù)據(jù)包的捕獲機(jī)制特征識(shí)別和協(xié)議分析基于混合數(shù)據(jù)源的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處,會(huì)造成防御體系的不全面。綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種特點(diǎn)的混合型入侵檢測(cè)系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。以多種數(shù)據(jù)源為檢測(cè)目標(biāo),來(lái)提高IDS的性能??膳渲贸煞植际侥J?,通常在需要監(jiān)視的服務(wù)器和網(wǎng)絡(luò)路徑上安裝監(jiān)視模塊,分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨平臺(tái)的入侵監(jiān)視解決方案。按分析方法分類按分析方法分類可分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)(1)異常入侵檢測(cè)系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測(cè)系統(tǒng)中入侵行為和異?;顒?dòng)的依據(jù)。建立系統(tǒng)或用戶的正常行為模式庫(kù),不屬于這個(gè)庫(kù)的行為將被視為異常行為。將異常活動(dòng)與異常閾值和特征比較,判斷入侵行為。異常閾值和特征的選擇是關(guān)鍵。但是,入侵活動(dòng)的特征并不總是與異常活動(dòng)的特征相符合,而是存在4種可能性:(1)是入侵行為,但不是異常行為。(2)不是入侵行為,但是表現(xiàn)為異常行為。(3)不是入侵行為,也不是異常行為。(4)是入侵行為,也表現(xiàn)為異常行為。常用的方法有基于數(shù)據(jù)挖掘的異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法、基于特征不匹配的異常檢測(cè)方法。按分析方法分類按分析方法分類可分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)(2)誤用入侵檢測(cè)系統(tǒng)依賴于入侵特征的模式庫(kù),根據(jù)已知入侵攻擊的信息來(lái)檢測(cè)系統(tǒng)中的入侵和攻擊。誤用入侵檢測(cè)能直接檢測(cè)出入侵特征模式庫(kù)中已涵蓋的入侵行為或不可接受的行為。而異常入侵檢測(cè)則是發(fā)現(xiàn)同正常行為相違背的行為。誤用入侵檢測(cè)的主要對(duì)象是那些能夠被精確地按某種方式編碼的攻擊。通過(guò)捕獲攻擊及重新整理,可確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。誤用入侵檢測(cè)系統(tǒng)的主要缺點(diǎn)是它只能檢測(cè)已知的攻擊行為,不能檢測(cè)未知的入侵行為。常用的方法有基于條件概率的誤用檢測(cè)、基于專家系統(tǒng)的誤用檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)的誤用檢測(cè)。按檢測(cè)方式分類按檢測(cè)方式分為實(shí)時(shí)檢測(cè)系統(tǒng)和非實(shí)時(shí)檢測(cè)系統(tǒng)(1)實(shí)時(shí)檢測(cè)系統(tǒng)也稱為在線檢測(cè)系統(tǒng),它通過(guò)實(shí)時(shí)監(jiān)測(cè)并分析網(wǎng)絡(luò)流量、主機(jī)審計(jì)記錄及各種日志信息來(lái)發(fā)現(xiàn)攻擊。它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包的分析、實(shí)時(shí)主機(jī)審計(jì)分析。其工作過(guò)程是實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行,系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷,一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接,并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)行的。在高速網(wǎng)絡(luò)中,檢測(cè)率難以令人滿意,但隨著計(jì)算機(jī)硬件速度的提高,對(duì)入侵攻擊進(jìn)行實(shí)時(shí)檢測(cè)和響應(yīng)成為可能。這種實(shí)時(shí)性是在一定的條件下,一定的系統(tǒng)規(guī)模中,具有的相對(duì)實(shí)時(shí)性。按檢測(cè)方式分類按檢測(cè)方式分為實(shí)時(shí)檢測(cè)系統(tǒng)和非實(shí)時(shí)檢測(cè)系統(tǒng)(2)非實(shí)時(shí)檢測(cè)系統(tǒng)也稱為離線檢測(cè)系統(tǒng),是非實(shí)時(shí)工作的入侵檢測(cè)系統(tǒng)。它在入侵事件發(fā)生后分析審計(jì)事件,從中檢查入侵活動(dòng)。事后入侵檢測(cè)由網(wǎng)絡(luò)管理人員進(jìn)行,他們具有網(wǎng)絡(luò)安全的專業(yè)知識(shí),根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶操作所做的歷史審計(jì)記錄判斷是否存在入侵行為。如果有,就斷開(kāi)連接,并記錄入侵證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。事后入侵檢測(cè)是管理員定期或不定期進(jìn)行的,不具有實(shí)時(shí)性。非實(shí)時(shí)的離線批處理方式雖然不能及時(shí)發(fā)現(xiàn)入侵攻擊,但它可以運(yùn)用復(fù)雜的分析方法發(fā)現(xiàn)某些實(shí)時(shí)方式不能發(fā)現(xiàn)的入侵攻擊,可以一次分析大量事件,系統(tǒng)的成本更低。按檢測(cè)結(jié)果分類按檢測(cè)結(jié)果分為二分類入侵檢測(cè)系統(tǒng)和多分類入侵檢測(cè)系統(tǒng)(1)二分類入侵檢測(cè)系統(tǒng)只提供是否發(fā)生入侵攻擊的結(jié)論性判斷,不能提供更多可讀的、有意義的信息,如具體的入侵行為。只輸出有入侵發(fā)生,而不報(bào)告具體的入侵類型。(2)多分類入侵檢測(cè)系統(tǒng)能夠分辨出當(dāng)前系統(tǒng)所遭受的入侵攻擊的具體類型,輸出的不僅僅是有無(wú)入侵發(fā)生,還會(huì)報(bào)告具體的入侵類型,以便于安全員快速采取合適的應(yīng)對(duì)措施。按響應(yīng)方式分類按響應(yīng)方式分為主動(dòng)的入侵檢測(cè)系統(tǒng)和被動(dòng)的入侵檢測(cè)系統(tǒng)。(1)主動(dòng)的入侵檢測(cè)系統(tǒng)主動(dòng)的入侵檢測(cè)系統(tǒng)在檢測(cè)出入侵行為后,可自動(dòng)地對(duì)目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)、強(qiáng)制可疑用戶(可疑的入侵者)退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對(duì)策和響應(yīng)措施。(2)被動(dòng)的入侵檢測(cè)系統(tǒng)被動(dòng)的入侵檢測(cè)系統(tǒng)在檢測(cè)出對(duì)系統(tǒng)的入侵攻擊后產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員,之后的處理工作則由系統(tǒng)管理員來(lái)完成。按分布方式分為集中式入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)。(1)集中式入侵檢測(cè)系統(tǒng)系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺(tái)主機(jī)上運(yùn)行,把分析結(jié)果輸出或通知管理員。適用于網(wǎng)絡(luò)環(huán)境比較簡(jiǎn)單的情況。(2)分布式入侵檢測(cè)系統(tǒng)系統(tǒng)由多個(gè)模塊組成,各模塊分布在網(wǎng)絡(luò)中不同的設(shè)備上,完成數(shù)據(jù)的收集、數(shù)據(jù)分析、控制輸出分析結(jié)果等功能。一般來(lái)說(shuō)分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上,如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大,那么數(shù)據(jù)分析模塊也會(huì)分布,一般是按照層次性的原則進(jìn)行組織的。按分布方式分類入侵檢測(cè)系統(tǒng)的體系架構(gòu)2.4入侵檢測(cè)系統(tǒng)的體系架構(gòu)CIDF的體系結(jié)構(gòu)文檔將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)相對(duì)獨(dú)立的組件:(1)事件產(chǎn)生器:負(fù)責(zé)原始數(shù)據(jù)采集,從系統(tǒng)的不同環(huán)節(jié)收集信息,并將收集到的原始數(shù)據(jù)轉(zhuǎn)換成事件,向系統(tǒng)的其他部分提供此事件。(2)事件分析器:接收事件信息,并對(duì)其進(jìn)行分析,判斷是否為入侵行為或異?,F(xiàn)象,之后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔ⅰ7治龇椒ㄓ心J狡ヅ?、統(tǒng)計(jì)分析、完整性分析3種。(3)事件數(shù)據(jù)庫(kù):存放中間數(shù)據(jù)和最終數(shù)據(jù)的地方。(4)響應(yīng)單元:根據(jù)告警信息做出反應(yīng)。入侵檢測(cè)系統(tǒng)的工作模式無(wú)論是什么類型的入侵檢測(cè)系統(tǒng),其工作模式都可以總結(jié)為以下4個(gè)步驟:(1)從系統(tǒng)的不同環(huán)節(jié)收集信息。(2)分析該信息,試圖尋找入侵活動(dòng)的特征。(3)自動(dòng)對(duì)檢測(cè)到的行為進(jìn)行響應(yīng)。(4)記錄并且報(bào)告檢測(cè)過(guò)程和結(jié)果。入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)一個(gè)典型的入侵檢測(cè)系統(tǒng)從功能上分為感應(yīng)器、分析器、管理器3個(gè)部分感應(yīng)器:收集信息分析器:分析信息管理器:展示分析結(jié)果入侵檢測(cè)與防御的流程2.5入侵檢測(cè)與防御的流程入侵檢測(cè)與防御技術(shù)的核心問(wèn)題就是如何獲取描述行為特征的數(shù)據(jù),如何利用特征數(shù)據(jù)精確地判斷行為的性質(zhì)以及如何按照預(yù)定策略實(shí)施響應(yīng)。入侵檢測(cè)與防御的流程可以分為信息收集、信息分析和告警與響應(yīng)3個(gè)階段。(1)信息收集階段從入侵檢測(cè)系統(tǒng)的信息源中收集信息,包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等。信息的可靠性和準(zhǔn)確性直接影響檢測(cè)結(jié)果。(2)信息分析階段分析從信息源中收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,找到表示入侵行為的異常信息。入侵檢測(cè)的分析方法包括模式匹配、統(tǒng)計(jì)分析、完整性分析等。(3)告警與響應(yīng)階段:根據(jù)檢測(cè)到的攻擊企圖或事件的類型或性質(zhì),選擇通知管理員,或者采取相應(yīng)的響應(yīng)措施阻止入侵行為的繼續(xù)。信息收集階段信息收集,即從入侵檢測(cè)系統(tǒng)的信息源中收集信息,這些信息是能反映受保護(hù)系統(tǒng)運(yùn)行狀態(tài)的原始數(shù)據(jù),包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等,以便為后續(xù)的入侵分析提供安全審計(jì)數(shù)據(jù)。在進(jìn)行信息收集時(shí),需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的不同關(guān)鍵點(diǎn)(不同網(wǎng)段、不同主機(jī))收集。信息收集的范圍越廣,入侵檢測(cè)系統(tǒng)的檢測(cè)范圍越大。從一個(gè)信息源收集到的信息可能看不出疑點(diǎn),但從幾個(gè)信息源收集到的信息的不一致性卻可能是可疑行為或入侵的最好標(biāo)志。信息收集階段信息收集獲取的原始數(shù)據(jù)可能非常龐大,并存在雜亂性、重復(fù)性和不完整性等問(wèn)題。(1)雜亂性是指各個(gè)代理服務(wù)器的審計(jì)機(jī)制的配置并不完全相同,所產(chǎn)生的審計(jì)日志信息存在一些差異,所以有些數(shù)據(jù)就顯得雜亂無(wú)章。(2)重復(fù)性是指對(duì)于同一個(gè)客觀事物,系統(tǒng)中存在多個(gè)物理描述。(3)不完整性是指由于實(shí)際系統(tǒng)存在的缺陷以及一些人為因素,造成數(shù)據(jù)記錄中出現(xiàn)數(shù)據(jù)屬性的值丟失或不確定的情況。數(shù)據(jù)源的可靠性數(shù)據(jù)質(zhì)量、數(shù)據(jù)數(shù)量和數(shù)據(jù)預(yù)處理的效率都會(huì)直接影響IDS的檢測(cè)性能,所以信息收集是整個(gè)IDS的基礎(chǔ)工作。在獲得原始數(shù)據(jù)之后,還需要通過(guò)數(shù)據(jù)集成、數(shù)據(jù)清洗、數(shù)據(jù)簡(jiǎn)化等幾個(gè)方面對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理。信息收集階段典型的數(shù)據(jù)獲取系統(tǒng):AAFID,采用主機(jī)分布式檢測(cè)框架數(shù)據(jù)獲取系統(tǒng)的結(jié)構(gòu)圖信息收集階段數(shù)據(jù)的預(yù)處理入侵檢測(cè)系統(tǒng)分析數(shù)據(jù)的來(lái)源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性,實(shí)際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計(jì)數(shù)據(jù)中可能存在大量的無(wú)意義信息等問(wèn)題,使得系統(tǒng)提供的原始信息很難直接被檢測(cè)系統(tǒng)使用,而且還可能造成檢測(cè)結(jié)果的偏差,降低系統(tǒng)的檢測(cè)性能。在被檢測(cè)模塊使用之前,如何對(duì)不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)一、轉(zhuǎn)換和處理,是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要研究的關(guān)鍵問(wèn)題之一。信息收集階段通常數(shù)據(jù)預(yù)處理應(yīng)包括的功能:數(shù)據(jù)集成、數(shù)據(jù)清理、數(shù)據(jù)變換、數(shù)據(jù)簡(jiǎn)化、數(shù)據(jù)融合。信息收集階段入侵檢測(cè)系統(tǒng)的信息源可以包括以下方面:(1)基于主機(jī)數(shù)據(jù)源(2)基于網(wǎng)絡(luò)數(shù)據(jù)源(3)應(yīng)用程序日志文件(4)其他入侵檢測(cè)系統(tǒng)的報(bào)警信息(5)其它網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息基于主機(jī)的數(shù)據(jù)源審計(jì)數(shù)據(jù)是收集一個(gè)給定機(jī)器用戶活動(dòng)信息的唯一方法。系統(tǒng)的審計(jì)數(shù)據(jù)很可能被修改,所以要求滿足實(shí)時(shí)性條件:檢測(cè)者必須在攻擊者接管并暗中破壞系統(tǒng)審計(jì)數(shù)據(jù)或入侵檢測(cè)系統(tǒng)之前完成對(duì)審計(jì)數(shù)據(jù)的分析、采取報(bào)警等相應(yīng)的措施?;谥鳈C(jī)的數(shù)據(jù)源主要包括:系統(tǒng)運(yùn)行狀態(tài)信息:可利用系統(tǒng)命令獲得,但因無(wú)法以結(jié)構(gòu)化的方式收集或存儲(chǔ)信息,很難滿足IDS連續(xù)收集數(shù)據(jù)的要求。系統(tǒng)記賬信息:是通用性的信息源,有記錄格式一致、壓縮以節(jié)省空間、開(kāi)銷(xiāo)小、易集成等優(yōu)點(diǎn),但也有空間達(dá)到90%自動(dòng)停止、缺乏精確的時(shí)間戳、缺乏精確的命令識(shí)別(只記錄命令的前8個(gè)字符)、缺乏活動(dòng)記錄(只記錄運(yùn)行終止的信息)、獲取信息的時(shí)間太遲等缺點(diǎn),導(dǎo)致其不能可靠地作為IDS的數(shù)據(jù)源,一般只作為審計(jì)數(shù)據(jù)的一個(gè)補(bǔ)充?;谥鳈C(jī)數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源主要包括:系統(tǒng)日志:易用但不安全,只有少數(shù)IDS常用。C2級(jí)安全審計(jì)信息:記錄了所有潛在的安全相關(guān)事件的信息是唯一能對(duì)系統(tǒng)活動(dòng)信息進(jìn)行可靠收集的機(jī)制,是大多數(shù)IDS的主要信息源。優(yōu)點(diǎn):可對(duì)用戶進(jìn)行驗(yàn)證、可通過(guò)配置審計(jì)系統(tǒng)實(shí)現(xiàn)審計(jì)事件的分類、可根據(jù)用戶/類別/審計(jì)事件/系統(tǒng)調(diào)用的成功和失敗獲取詳細(xì)的參數(shù)化信息。缺點(diǎn):詳細(xì)監(jiān)控時(shí)耗費(fèi)大量系統(tǒng)資源、通過(guò)填充磁盤(pán)空間可造成DOS攻擊、異構(gòu)環(huán)境獲得的審計(jì)數(shù)據(jù)量大且復(fù)雜?;诰W(wǎng)絡(luò)的數(shù)據(jù)源商業(yè)入侵檢測(cè)產(chǎn)品中,最常見(jiàn)的是基于網(wǎng)絡(luò)的數(shù)據(jù)源?;诰W(wǎng)絡(luò)的入侵檢測(cè)方法:需要從網(wǎng)絡(luò)上傳輸?shù)木W(wǎng)絡(luò)通信流中采集信息?;诰W(wǎng)絡(luò)的數(shù)據(jù)源的優(yōu)勢(shì):通過(guò)網(wǎng)絡(luò)監(jiān)控獲得信息的性能代價(jià)低,不影響網(wǎng)絡(luò)上運(yùn)行的其他系統(tǒng)的性能。網(wǎng)絡(luò)監(jiān)控器對(duì)用戶是透明的,攻擊者難以發(fā)現(xiàn)。網(wǎng)絡(luò)監(jiān)控器可以發(fā)現(xiàn)一些不易被發(fā)現(xiàn)的攻擊的證據(jù),如基于非法格式包和各種拒絕服務(wù)攻擊的網(wǎng)絡(luò)攻擊等?;诰W(wǎng)絡(luò)的數(shù)據(jù)源兩種基于網(wǎng)絡(luò)的數(shù)據(jù)源:SNMP信息網(wǎng)絡(luò)通信包將網(wǎng)絡(luò)通信包作為入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)源,可以解決以下安全相關(guān)的問(wèn)題。(1)檢測(cè)只能通過(guò)分析網(wǎng)絡(luò)業(yè)務(wù)才能檢測(cè)出的網(wǎng)絡(luò)攻擊,如拒絕服務(wù)攻擊。(2)不存在HIDS在網(wǎng)絡(luò)環(huán)境下遇到的審計(jì)記錄格式的異構(gòu)性問(wèn)題,因?yàn)镮T網(wǎng)絡(luò)的協(xié)議基本采用標(biāo)準(zhǔn)的TCP/IP。(3)由于使用專門(mén)的設(shè)備進(jìn)行信息收集和分析,不會(huì)影響網(wǎng)絡(luò)的性能。(4)某些工具可通過(guò)簽名分析報(bào)文的頭信息來(lái)檢測(cè)針對(duì)主機(jī)的攻擊。這種方法也存在一些典型的弱點(diǎn):(1)報(bào)文信息和發(fā)出命令的用戶之間沒(méi)有可靠的聯(lián)系,因此很難確定入侵者。(2)若使用了加密技術(shù),這些檢測(cè)工具將會(huì)失去大量有用的信息。應(yīng)用程序日志文件系統(tǒng)應(yīng)用服務(wù)器化,使得應(yīng)用程序日志文件更加重要。優(yōu)勢(shì)精確性(Accuracy):直接從應(yīng)用日志中提取信息,可以保證入侵檢測(cè)系統(tǒng)獲取安全信息的準(zhǔn)確性。完整性(Completeness):應(yīng)用程序的日志文件包含所有的相關(guān)信息,還能提供審計(jì)記錄或網(wǎng)絡(luò)包中沒(méi)有的內(nèi)部數(shù)據(jù)信息。性能(Performance):通過(guò)應(yīng)用程序選擇與安全相關(guān)的信息,使得系統(tǒng)的信息收集機(jī)制的開(kāi)銷(xiāo)遠(yuǎn)小于安全審計(jì)記錄的情況。缺點(diǎn)只要系統(tǒng)能正常寫(xiě)應(yīng)用程序日志才能檢測(cè)出攻擊行為無(wú)法檢測(cè)不利用應(yīng)用程序代碼的攻擊行為其他入侵檢測(cè)系統(tǒng)的報(bào)警信息其他IDS的報(bào)警信息也是重要的數(shù)據(jù)來(lái)源IDS從針對(duì)主機(jī)發(fā)展為針對(duì)網(wǎng)絡(luò)、分布式系統(tǒng)基于網(wǎng)絡(luò)、分布式環(huán)境的檢測(cè)系統(tǒng)采用分層結(jié)構(gòu)以覆蓋較大的范圍。局部入侵檢測(cè)系統(tǒng)(如傳統(tǒng)的基于主機(jī)的入侵檢測(cè)系統(tǒng))進(jìn)行局部的檢測(cè),然后把局部檢測(cè)結(jié)果匯報(bào)給上層的檢測(cè)系統(tǒng),各局部入侵檢測(cè)系統(tǒng)也可參考其他局部入侵檢測(cè)系統(tǒng)的結(jié)果,以彌補(bǔ)不同檢測(cè)機(jī)制的入侵檢測(cè)系統(tǒng)的不足。其它設(shè)備網(wǎng)絡(luò)設(shè)備大多具有完善的關(guān)于設(shè)備的性能、使用統(tǒng)計(jì)資料的日志信息,如交換機(jī)、路由器、網(wǎng)絡(luò)管理系統(tǒng)等,幫助判斷已探測(cè)出的問(wèn)題是與安全相關(guān)的還是與系統(tǒng)其它方面原因相關(guān)。安全產(chǎn)品大多能夠產(chǎn)出自己的與安全相關(guān)的活動(dòng)日志,如防火墻、安全掃描系統(tǒng)、訪問(wèn)控制系統(tǒng)等,日志包含信息。信息分析階段信息分析是入侵檢測(cè)行為過(guò)程中的核心環(huán)節(jié),沒(méi)有信息分析就沒(méi)有入侵檢測(cè)。入侵檢測(cè)分析引擎也稱為入侵檢測(cè)模型,是IDS的核心模塊,負(fù)責(zé)對(duì)信息收集階段提交的數(shù)據(jù)進(jìn)行分析。從入侵檢測(cè)的角度來(lái)說(shuō),信息分析是指針對(duì)用戶和系統(tǒng)活動(dòng)數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征,以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和被攻擊的跡象。信息分析可以實(shí)時(shí)進(jìn)行,也可以事后分析。在很多情況下,事后的進(jìn)一步分析是為了尋找行為的負(fù)責(zé)人。信息分析階段信息分析的主要目的是提高信息系統(tǒng)的安全性。除了檢測(cè)入侵行為,還要達(dá)到以下目標(biāo):(1)威懾攻擊者:目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析對(duì)入侵者具有很大的威懾力,因?yàn)槠涔粜袨榭赡軙?huì)被發(fā)現(xiàn)或被追蹤。(2)安全規(guī)劃和管理:入侵分析可能會(huì)發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞,安全管理員可以根據(jù)分析結(jié)果對(duì)系統(tǒng)進(jìn)行重新配置,避免被攻擊者用來(lái)竊取信息或破壞系統(tǒng)。(3)獲取入侵證據(jù):入侵分析可以提供有關(guān)入侵行為詳細(xì)、可信的證據(jù),用于追究入侵者的責(zé)任。信息分析階段入侵分析應(yīng)考慮的因素(1)需求:入侵檢測(cè)系統(tǒng)支持可說(shuō)明性和實(shí)時(shí)檢測(cè)和響應(yīng)兩個(gè)需求可說(shuō)明性指連接一個(gè)活動(dòng)與人或負(fù)責(zé)它的實(shí)體的能力,要求一致、可靠地識(shí)別和鑒別系統(tǒng)中的每個(gè)用戶。實(shí)時(shí)檢測(cè)和響應(yīng)包括快速識(shí)別與攻擊相關(guān)的事件鏈,阻斷攻擊或隱蔽系統(tǒng),以避免攻擊者的影響。(2)入侵分析的子目標(biāo):包括保留系統(tǒng)執(zhí)行的情況、識(shí)別影響性能的問(wèn)題、歸檔和保護(hù)時(shí)間日志的完整性等。(3)目標(biāo)劃分:目標(biāo)和要求應(yīng)按照優(yōu)先順序區(qū)分開(kāi),這決定了子系統(tǒng)的結(jié)構(gòu)。(4)平衡:在系統(tǒng)的需求與目標(biāo)有沖突時(shí)進(jìn)行適當(dāng)?shù)钠胶?。信息分析階段分析是入侵檢測(cè)的核心功能,可以很簡(jiǎn)單(如根據(jù)日志建立決策表),也可以很復(fù)雜(如集成數(shù)百萬(wàn)個(gè)非參數(shù)的統(tǒng)計(jì)量)。入侵分析模型包含了能在系統(tǒng)事件日志中找到入侵證據(jù)的所有方法,它把入侵分析過(guò)程分為3個(gè)階段:構(gòu)建分析器:即構(gòu)建分析引擎,負(fù)責(zé)執(zhí)行預(yù)處理、分類和后處理的核心功能。分析數(shù)據(jù):分析現(xiàn)場(chǎng)實(shí)際數(shù)據(jù),識(shí)別入侵和其他重要活動(dòng)。反饋和更新:如更新攻擊特征數(shù)據(jù)庫(kù)前兩個(gè)階段都包含三個(gè)功能,即數(shù)據(jù)處理、數(shù)據(jù)分類(數(shù)據(jù)可分為入侵指示、非入侵指示或不確定)和后處理。信息分析階段1.構(gòu)建分析器(1)收集事件信息:收集一個(gè)系統(tǒng)或?qū)嶒?yàn)環(huán)境的事件信息。(2)預(yù)處理信息:將收集的事件信息進(jìn)行轉(zhuǎn)換,以備分析引擎使用。誤用檢測(cè)中包括轉(zhuǎn)換表格中的事件信息,異常檢測(cè)中將事件數(shù)據(jù)轉(zhuǎn)換成數(shù)據(jù)表或規(guī)范的表格。(3)建立行為分析引擎:按設(shè)計(jì)原則建立一個(gè)數(shù)據(jù)區(qū)分器,此區(qū)分器能把入侵指示數(shù)據(jù)和非入侵指示數(shù)據(jù)分開(kāi)。誤用檢測(cè)在規(guī)則或其他模式描繪的行為上建立數(shù)據(jù)區(qū)分引擎,異常檢測(cè)由用戶過(guò)去行為的統(tǒng)計(jì)特征輪廓建立。(4)將預(yù)處理過(guò)的事件數(shù)據(jù)輸入分析引擎中:誤用檢測(cè)將收集到的有意義的攻擊數(shù)據(jù)輸入到分析引擎,異常檢測(cè)通過(guò)運(yùn)行異常檢測(cè)器,輸入收集到的數(shù)據(jù),基于這些數(shù)據(jù)計(jì)算用戶輪廓。(5)保存已輸入數(shù)據(jù)模型:將輸入數(shù)據(jù)模型存儲(chǔ)到預(yù)定的位置信息分析階段2.分析數(shù)據(jù)在對(duì)實(shí)際數(shù)據(jù)分析階段,分析器需要分析現(xiàn)場(chǎng)實(shí)際數(shù)據(jù),識(shí)別入侵和其他重要活動(dòng)。(1)輸入事件記錄:收集可靠的信息源產(chǎn)生的事件記錄。(2)事件預(yù)處理:誤用檢測(cè)中事件數(shù)據(jù)通常都轉(zhuǎn)化成對(duì)應(yīng)于攻擊信號(hào)的表格,異常檢測(cè)中事件數(shù)據(jù)通常被精簡(jiǎn)成一個(gè)輪廓向量。(3)比較事件記錄和知識(shí)庫(kù):對(duì)格式化的事件記錄和知識(shí)庫(kù)的內(nèi)容進(jìn)行比較,進(jìn)行判定處理。(4)產(chǎn)生響應(yīng):若事件記錄是入侵或其它重要行為的返回一個(gè)響應(yīng)。響應(yīng)可以是警報(bào)、日志或其他指定的行為。信息分析階段3.反饋和更新(1)反饋和更新是一個(gè)非常重要的過(guò)程。這個(gè)階段的功能:根據(jù)每天出現(xiàn)的新攻擊方式更新攻擊信息的特征數(shù)據(jù)庫(kù)。(2)反饋時(shí)間間隔:大多數(shù)基于誤用檢測(cè)分析方案都有一些關(guān)于最大時(shí)間間隔的主張,以便在這段時(shí)間內(nèi)匹配一次攻擊事件。異常檢測(cè)系統(tǒng)中,依靠執(zhí)行異常檢測(cè)的類型定時(shí)更新歷史統(tǒng)計(jì)特征輪廓,將每個(gè)用戶的摘要資料加入知識(shí)庫(kù)中,并且刪除最老的資料。信息分析階段入侵檢測(cè)的分析方法:(1)誤用檢測(cè)(2)異常檢測(cè)(3)基于狀態(tài)的協(xié)議分析技術(shù)(4)其他檢測(cè)方法信息分析方法1.誤用檢測(cè)(1)誤用入侵檢測(cè)原理:根據(jù)已知的入侵模式來(lái)檢測(cè)入侵,如果入侵者的攻擊方式與檢測(cè)系統(tǒng)中的模式庫(kù)匹配,則認(rèn)為入侵發(fā)生。依賴于模式庫(kù)(2)誤用入侵檢測(cè)的局限性:僅適用于已知使用模式的可靠檢測(cè),只能檢測(cè)到已知的入侵方式。信息分析方法誤用檢測(cè)的主要方法(1)模式匹配方法是最基本的誤用入侵檢測(cè)方法,該方法將已知的入侵特征轉(zhuǎn)換成模式,存放于模式數(shù)據(jù)庫(kù)中模式匹配模型將發(fā)送的事件與入侵模式庫(kù)中的入侵模式進(jìn)行匹配,如果匹配成功,則認(rèn)為有入侵行為發(fā)生。(2)專家系統(tǒng)方法是最傳統(tǒng)、最通用的誤用入侵檢測(cè)方法。通過(guò)利用專家系統(tǒng)內(nèi)大量豐富的專家水平的經(jīng)驗(yàn)和知識(shí)(if-then規(guī)則),分析發(fā)生事件是否是入侵行為。缺點(diǎn):不適于處理大批量數(shù)據(jù);不能對(duì)連續(xù)有序的數(shù)據(jù)進(jìn)行處理;不能處理不確定性(3)狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來(lái)描述和檢測(cè)已知入侵。主要方法有狀態(tài)轉(zhuǎn)換分析和有色Petri網(wǎng)誤用檢測(cè)的主要方法狀態(tài)轉(zhuǎn)換分析使用高級(jí)狀態(tài)轉(zhuǎn)換圖表分析和檢測(cè)已知的入侵攻擊方式入侵由系統(tǒng)初始狀態(tài)到入侵狀態(tài)的一系列動(dòng)作組成通過(guò)用戶動(dòng)作實(shí)現(xiàn)系統(tǒng)狀態(tài)的轉(zhuǎn)換入侵可通過(guò)系統(tǒng)狀態(tài)的變化進(jìn)行檢測(cè)誤用檢測(cè)的主要方法有色Petri網(wǎng)(ColouredPetriNets,簡(jiǎn)稱CP-Nets或者CPNs)CP-Nets是描述事件與條件關(guān)系的網(wǎng)絡(luò),是一種用于建模和驗(yàn)證并發(fā)和分布式系統(tǒng)以及其他系統(tǒng)的語(yǔ)言。任何系統(tǒng)都可抽象為狀態(tài)、活動(dòng)(或事件)及其之間關(guān)系的三元組。Petri網(wǎng)結(jié)構(gòu)是一個(gè)三元組N=(P,T,F),其中P為位置,表示系統(tǒng)狀態(tài);T為遷移,表示資源的消耗、使用及使系統(tǒng)產(chǎn)生變化的活動(dòng);F為流關(guān)系,表示位置和遷移之間的依賴關(guān)系??捎肅P-Net的變種表示和檢測(cè)入侵模式:一個(gè)入侵為一個(gè)CP-Net,通過(guò)令牌顏色來(lái)模擬事件上下文,通過(guò)從起始狀態(tài)到結(jié)束狀態(tài)逐步移動(dòng)令牌來(lái)表示一個(gè)入侵,當(dāng)模式匹配時(shí),指定的動(dòng)作被執(zhí)行。入侵可通過(guò)模式匹配構(gòu)成攻擊的特征進(jìn)行檢測(cè)每個(gè)入侵信號(hào)表示為代表事件和其上下文關(guān)系的一種模式誤用檢測(cè)的主要方法有色Petri網(wǎng)(ColouredPetriNets,簡(jiǎn)稱CP-Nets或者CPNs)TCP連接的CP-Net信息分析方法2.異常檢測(cè)異常檢測(cè)的前提假設(shè):用戶表現(xiàn)為可預(yù)測(cè)的、一致的系統(tǒng)使用模式。異常檢測(cè)需要建立正常系統(tǒng)或用戶行為特征輪廓,將實(shí)際系統(tǒng)或用戶行為和這些輪廓進(jìn)行比較,來(lái)檢測(cè)入侵行為。異常檢測(cè)模型異常檢測(cè)異常判斷結(jié)果(1)入侵性而非異常:活動(dòng)具有入侵性卻因?yàn)椴皇钱惓6鴮?dǎo)致不能檢測(cè),IDS不報(bào)告入侵,發(fā)生漏檢現(xiàn)象。(2)非入侵性而卻異常:活動(dòng)不具有入侵性,但因?yàn)樗钱惓5?,IDS報(bào)告入侵,發(fā)生誤報(bào)現(xiàn)象。(3)非入侵也非異常:活動(dòng)不具有入侵性,因此IDS沒(méi)有將活動(dòng)報(bào)告為入侵,這屬于正確判斷。(4)入侵且異常:活動(dòng)具有入侵性,且活動(dòng)是異常的,I因此DS將其報(bào)告為入侵。異常檢測(cè)異常檢測(cè)的方法:Denning的原始模型量化分析統(tǒng)計(jì)度量非統(tǒng)計(jì)度量基于規(guī)則的方法神經(jīng)網(wǎng)絡(luò)Denning的原始模型IDES模型主張?jiān)谝粋€(gè)系統(tǒng)中包括4個(gè)統(tǒng)計(jì)模型,每個(gè)模型適合于一個(gè)特定類型的系統(tǒng)度量。(1)可操作模型:將度量和閾值比較,在度量超過(guò)閾值時(shí)觸發(fā)異常。(2)平均和標(biāo)準(zhǔn)偏差模型:假定所有的分析器知道系統(tǒng)行為度量是平均和標(biāo)準(zhǔn)偏差,將觀察落在信任間隔之外的行為定義為異常。(3)多變量模型:多變量模型是對(duì)平均和標(biāo)準(zhǔn)偏差模型的一個(gè)擴(kuò)展,是基于兩個(gè)或多個(gè)度量來(lái)執(zhí)行的。(4)Markov處理模型:檢測(cè)器把不同類型的審計(jì)事件作為一個(gè)狀態(tài)變量,并且使用一個(gè)狀態(tài)轉(zhuǎn)換矩陣來(lái)描述在不同狀態(tài)間的轉(zhuǎn)換頻率。量化分析量化分析采用計(jì)算形式進(jìn)行分析,檢測(cè)規(guī)則和屬性以數(shù)值形式表述。常見(jiàn)的量化分析形勢(shì)如下:(1)閾值檢測(cè):根據(jù)屬性計(jì)數(shù)描述用戶和系統(tǒng)行為,這些計(jì)數(shù)是有許可級(jí)別的。(2)啟發(fā)式閾值檢測(cè):在簡(jiǎn)單閾值檢測(cè)的基礎(chǔ)上進(jìn)一步分析觀察。(3)基于目標(biāo)的集成檢測(cè):使用消息函數(shù)計(jì)算可疑客體的加密校驗(yàn)和,將結(jié)果保存,系統(tǒng)定期重新計(jì)算校驗(yàn)和,并與存儲(chǔ)的參考值比較。(4)量化分析和數(shù)據(jù)精簡(jiǎn):使用量化分析從龐大的時(shí)間信息中刪除過(guò)?;蛉哂嘈畔ⅰ=y(tǒng)計(jì)度量(1)IDES/NIDES:應(yīng)用統(tǒng)計(jì)分析技術(shù)為每個(gè)用戶和系統(tǒng)建立和維護(hù)歷史統(tǒng)計(jì)特征輪廓。(2)Haystack:通過(guò)分析用戶會(huì)話與已建立的入侵類型的相似度和使用互補(bǔ)統(tǒng)計(jì)方法檢測(cè)用戶會(huì)話活動(dòng)與正常用戶會(huì)話特征輪廓之間的偏差,統(tǒng)計(jì)異常檢測(cè)。(3)統(tǒng)計(jì)分析:用戶行為的變化必須在相應(yīng)的度量上產(chǎn)生一個(gè)經(jīng)常的、顯著地變化以便統(tǒng)計(jì)分析檢測(cè)。非統(tǒng)計(jì)度量(1)檢測(cè)原理:系統(tǒng)使用非統(tǒng)計(jì)度量可以容納可預(yù)測(cè)性比較低的行為,并且可以引入在參數(shù)分析中無(wú)法引入的系統(tǒng)屬性。(2)非統(tǒng)計(jì)度量的優(yōu)點(diǎn):可根據(jù)實(shí)驗(yàn)結(jié)果對(duì)相似操作系統(tǒng)操作分組??梢跃?jiǎn)事件數(shù)據(jù)。基于規(guī)則的方法(1)WisdomandSenseW&S能在多種系統(tǒng)平臺(tái)上運(yùn)行并能在操作系統(tǒng)和應(yīng)用級(jí)描述活動(dòng),其使用兩種移植規(guī)則庫(kù)的方法:手工輸入它們(反映一個(gè)策略陳述)和從歷史審計(jì)記錄中產(chǎn)生它們。(2)TIMTIM使用一個(gè)引導(dǎo)方法動(dòng)態(tài)產(chǎn)生定義入侵的規(guī)則,與其他異常監(jiān)測(cè)系統(tǒng)不同,TIM在時(shí)間順序中查找模式,而不是在單個(gè)事件中查找模式。神經(jīng)網(wǎng)絡(luò)(1)神經(jīng)網(wǎng)絡(luò)的構(gòu)成:神經(jīng)網(wǎng)絡(luò)由許多簡(jiǎn)單處理元素單元組成,這些單元通過(guò)使用加權(quán)的連接相互作用,神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學(xué)習(xí)技術(shù)來(lái)描述異常行為。(2)神經(jīng)網(wǎng)絡(luò)的處理涉及兩個(gè)階段:將代表用戶行為的歷史或其他樣本數(shù)據(jù)集移入網(wǎng)絡(luò)。網(wǎng)絡(luò)接受事件數(shù)據(jù)并與歷史行為參數(shù)比較,判斷之間的相似處和不同處。信息分析方法3.協(xié)議分析(1)模式匹配技術(shù)特征檢測(cè)的傳統(tǒng)方法是模式匹配技術(shù),其基本原理是將發(fā)生的事件模式與特征庫(kù)中的模式匹配分析。工作過(guò)程

從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較;如果比較結(jié)果相同,則檢測(cè)到一個(gè)可能的攻擊;如果比較結(jié)果不同,從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較;直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢,一個(gè)攻擊特征匹配結(jié)束。對(duì)于每一個(gè)攻擊特征,重復(fù)1到4步的操作。直到每一個(gè)攻擊特征匹配完畢,對(duì)給定數(shù)據(jù)包的匹配完畢。缺點(diǎn):計(jì)算量大,只能檢測(cè)特定類型的攻擊,對(duì)攻擊特征的微小變形都會(huì)使檢測(cè)失敗,攻擊特征庫(kù)必須足夠龐大。協(xié)議分析(2)協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流,把協(xié)議分析和模式匹配方法結(jié)合起來(lái),可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析技術(shù)是新一代IDS/IPS探測(cè)攻擊手法的主要技術(shù),它利用網(wǎng)絡(luò)協(xié)議高度的規(guī)則性可以精確定位檢測(cè)域,分析攻擊特征,有針對(duì)性地使用詳細(xì)具體的檢測(cè)手段,提高檢測(cè)的全面性、準(zhǔn)確性和效率。協(xié)議分析需要根據(jù)其所屬協(xié)議的類型,將數(shù)據(jù)包進(jìn)行解碼后再進(jìn)行分析。相對(duì)于模式匹配技術(shù),它更準(zhǔn)確、分析速度更快。協(xié)議分析技術(shù)根據(jù)協(xié)議精確定位檢測(cè)域,分析攻擊特征,有針對(duì)性地使用詳細(xì)具體的檢測(cè)手段,提高檢測(cè)的全面性、準(zhǔn)確性和效率。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型,以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包??砂阉袇f(xié)議看成一棵協(xié)議樹(shù),一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn),可用一棵二叉樹(shù)來(lái)表示。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹(shù)結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。數(shù)據(jù)報(bào)文的分層封裝TCP/IP包格式以太網(wǎng)幀格式IP數(shù)據(jù)報(bào)頭格式TCP/IP包格式總結(jié):Source和Destination即IP源目地址字段,是IP協(xié)議最核心的字段Id+Flags+FO三個(gè)字段可以實(shí)現(xiàn)IP數(shù)據(jù)分片和重組TotalLength和HeaderLength標(biāo)記IP頭部和上層數(shù)據(jù)的邊界TTL生存時(shí)間字段可以實(shí)現(xiàn)網(wǎng)絡(luò)防環(huán)和生存計(jì)時(shí)DSCP服務(wù)區(qū)分符可以實(shí)現(xiàn)流量控制Checksum字段可以數(shù)據(jù)包完整性校驗(yàn)Protocol字段標(biāo)記上層應(yīng)用ARP/RARP報(bào)文格式TCP/IP包格式Hardwaretype硬件類型,標(biāo)識(shí)鏈路層協(xié)議Protocoltype協(xié)議類型,標(biāo)識(shí)網(wǎng)絡(luò)層協(xié)議Hardwaresize硬件地址大小,標(biāo)識(shí)MAC地址長(zhǎng)度Protocolsize協(xié)議地址大小,標(biāo)識(shí)IP地址長(zhǎng)度Opcode操作代碼,標(biāo)識(shí)ARP數(shù)據(jù)包類型SenderMACaddress發(fā)送者M(jìn)ACSenderIPaddress發(fā)送者IPTargetMACaddress目標(biāo)MAC,此處全0表示在請(qǐng)求TargetIPaddress目標(biāo)IPICMP回應(yīng)請(qǐng)求與應(yīng)答報(bào)文格式TCP/IP包格式TCP報(bào)文格式TCP/IP包格式TCP報(bào)文格式TCP/IP包格式UDP報(bào)文格式TCP/IP包格式協(xié)議分析利用協(xié)議分析技術(shù)可以解決以下問(wèn)題:(1)分析數(shù)據(jù)包中的命令字符串。例如,黑客經(jīng)常使用的HTTP攻擊,因?yàn)镠TTP允許用十六進(jìn)制表示URL。(2)進(jìn)行IP碎片重組,防止IP碎片攻擊。不同類型的網(wǎng)絡(luò),鏈路層數(shù)據(jù)都有一個(gè)上限。如果IP層數(shù)據(jù)包的長(zhǎng)度超過(guò)這個(gè)上限,就要分片處理,各自路由到達(dá)目標(biāo)主機(jī)后再進(jìn)行重組。因此,黑客可以利用碎片重組算法進(jìn)行攻擊。(3)減低誤報(bào)率。因?yàn)楹?jiǎn)單模式識(shí)別很難限定匹配的開(kāi)始點(diǎn)和終結(jié)點(diǎn),也就不能準(zhǔn)確定位攻擊串的位置,當(dāng)某協(xié)議的其他位置出現(xiàn)該字串時(shí),也會(huì)被認(rèn)為是攻擊串,這就產(chǎn)生了誤報(bào)現(xiàn)象。協(xié)議分析技術(shù)可以針對(duì)不同的異常和攻擊,靈活定制檢測(cè)方式,由此可檢測(cè)大量異常。但對(duì)于一些多步驟、分布式的復(fù)雜攻擊的檢測(cè),單憑單一數(shù)據(jù)包檢測(cè)或簡(jiǎn)單重組是無(wú)法實(shí)現(xiàn)的。所以,可以在協(xié)議分析的基礎(chǔ)上引入狀態(tài)轉(zhuǎn)移檢測(cè)技術(shù)。特征(signature)的基本概念I(lǐng)DS中的特征是指用于判別通訊信息種類的樣板數(shù)據(jù),可分為多種,以下是一些典型情況及識(shí)別方法:來(lái)自保留IP地址的連接企圖:可通過(guò)檢查IP報(bào)頭的來(lái)源地址識(shí)別。帶有非法TCP標(biāo)志組合的數(shù)據(jù)包:可通過(guò)對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來(lái)識(shí)別。含有特殊病毒信息的Email:可通過(guò)對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別,或者通過(guò)搜索特定名字的附近來(lái)識(shí)別。查詢負(fù)載中的DNS緩沖區(qū)溢出企圖:可通過(guò)解析DNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識(shí)別方法是:在負(fù)載中搜索“殼代碼利用”(exploitshellcode)的序列代碼組合。通過(guò)對(duì)POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù),看看是否超過(guò)了預(yù)設(shè)上限,而發(fā)出報(bào)警信息。未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問(wèn)攻擊:通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。典型特征--報(bào)頭值一般情況下,異常報(bào)頭值的來(lái)源有以下幾種:許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義。許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義。隨著時(shí)間推移,執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。候選特征只具有SYN和FIN標(biāo)志集的數(shù)據(jù)包,這是公認(rèn)的惡意行為跡象。沒(méi)有設(shè)置ACK標(biāo)志,但卻具有不同確認(rèn)號(hào)碼數(shù)值的數(shù)據(jù)包,而正常情況應(yīng)該是0。來(lái)源端口和目標(biāo)端口都被設(shè)置為21的數(shù)據(jù)包,經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”(reflexive),除了個(gè)別時(shí)候如進(jìn)行一些特別NetBIOS通訊外,正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?!胺瓷怼倍丝诒旧聿⒉贿`反TCP標(biāo)準(zhǔn),但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的FTP對(duì)話中,目標(biāo)端口一般是21,而來(lái)源端口通常都高于1023。TCP窗口尺寸為1028,IP標(biāo)識(shí)號(hào)碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義,這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同,因此,如果持續(xù)不變,就表明可疑。報(bào)頭值關(guān)鍵元素IP地址,特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號(hào),特別是眾所周知的協(xié)議端口號(hào)和木馬端口號(hào)。異常信息包片斷。特殊TCP標(biāo)志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。信息分析方法4.其他檢測(cè)方法(1)免疫系統(tǒng)方法(2)遺傳算法(3)基于代理的檢測(cè)(4)數(shù)據(jù)挖掘免疫系統(tǒng)方法(1)進(jìn)行異常檢測(cè)系統(tǒng)按照兩個(gè)階段對(duì)入侵檢測(cè)分析處理,第一階段建立一個(gè)正常行為特征輪廓的知識(shí)庫(kù),第二階段將特征輪廓用于監(jiān)控異常系統(tǒng)行為。(2)比較描述正常行為的不同方法研究監(jiān)控更復(fù)雜的系統(tǒng)時(shí),基于時(shí)間的較簡(jiǎn)單的順序模型比一些有力的數(shù)據(jù)模型技術(shù)(例如隱馬爾可夫模型)的效果更好。遺傳算法(1)遺傳算法的分析步驟:使用一位串對(duì)問(wèn)題的解決辦法進(jìn)行編碼。與進(jìn)化標(biāo)準(zhǔn)比較,找到一個(gè)合適的函數(shù)測(cè)試群體中的每個(gè)個(gè)體。(2)遺傳算法的優(yōu)點(diǎn):準(zhǔn)確率高、時(shí)間復(fù)雜度低。(3)遺傳算法的缺點(diǎn):系統(tǒng)不能檢測(cè)多個(gè)同時(shí)攻擊。如果幾個(gè)攻擊有相同的事件或組事件,并且攻擊者使用這個(gè)共性進(jìn)行多個(gè)同時(shí)攻擊,系統(tǒng)不能找到一個(gè)優(yōu)化的假設(shè)向量。系統(tǒng)不能在審計(jì)跟蹤中精確地定位攻擊?;诖淼臋z測(cè)(1)定義:是指在一個(gè)主機(jī)上執(zhí)行某種安全監(jiān)控功能的軟件實(shí)體。(2)基于代理的入侵檢測(cè)方法有:入侵檢測(cè)的自動(dòng)代理代理需要實(shí)現(xiàn)一個(gè)分層順序控制和報(bào)告結(jié)構(gòu),可以是多層分層結(jié)構(gòu)的監(jiān)控器控制和合并來(lái)自多個(gè)接收器的信息。EMERLDEMERLD是一個(gè)復(fù)合入侵檢測(cè)器,使用特征分析和統(tǒng)計(jì)特征輪廓來(lái)檢測(cè)安全問(wèn)題,支持大規(guī)模網(wǎng)絡(luò)下的自動(dòng)響應(yīng)。數(shù)據(jù)挖掘(1)數(shù)據(jù)挖掘的目的:是發(fā)現(xiàn)能用于描述程序和用戶行為的系統(tǒng)特性一致使用模式。(2)數(shù)據(jù)挖掘的常用方法有:分類:給幾個(gè)預(yù)定義種類賦予一個(gè)數(shù)據(jù)條目。關(guān)聯(lián)分析:識(shí)別數(shù)據(jù)實(shí)體中字段間的自相關(guān)和互相關(guān)。序列模式分析:使序列模式模型化。告警與響應(yīng)階段經(jīng)過(guò)信息分析確定系統(tǒng)存在問(wèn)題之后,就要讓管理員知道這些問(wèn)題的存在或采取行動(dòng),這個(gè)階段稱為響應(yīng)期。響應(yīng)處理模塊根據(jù)預(yù)先設(shè)定的策略,記錄入侵過(guò)程采集入侵證據(jù)、追蹤入侵源、執(zhí)行入侵報(bào)警、恢復(fù)受損系統(tǒng)或以自動(dòng)或用戶設(shè)置的方式阻斷攻擊過(guò)程,響應(yīng)處理模塊同時(shí)也向信息收集模塊、檢測(cè)分析引擎和模式庫(kù)提交反饋信息。例如,要求信息收集模塊提供更詳細(xì)的審計(jì)數(shù)據(jù)或采集其他類型的審計(jì)數(shù)據(jù)源;優(yōu)化檢測(cè)分析引擎的檢測(cè)規(guī)則;更新模式庫(kù)中的正常或入侵行為模式等。理想情況下,IDS/IPS的這一部分應(yīng)該具有豐富的響應(yīng)功能特性,并且可以根據(jù)不同用戶的需求自定義響應(yīng)機(jī)制。告警與響應(yīng)階段1.IDS對(duì)響應(yīng)的要求:應(yīng)符合特定的需求環(huán)境,符合通用的安全管理或事件處理標(biāo)準(zhǔn),或者要能夠反映本地管理的關(guān)注點(diǎn)和策略。商業(yè)IDS應(yīng)該允許不同用戶自定義響應(yīng)機(jī)制。3類用戶:安全管理員、系統(tǒng)管理員、調(diào)查員。響應(yīng)需求的影響因素:IDS的運(yùn)行環(huán)境(操作系統(tǒng)):基于網(wǎng)絡(luò)OR主機(jī)、聲響告警、可視化告警。所監(jiān)控的系統(tǒng)的功能:關(guān)鍵業(yè)務(wù)系統(tǒng)需提供主動(dòng)響應(yīng)機(jī)制,能終止攻擊行為,保證可用性。規(guī)則或法令的需求:如軍事計(jì)算環(huán)境、在線股票交易環(huán)境等給用戶傳授專業(yè)技術(shù):提供有效的信息和解釋說(shuō)明,指導(dǎo)用戶采取適當(dāng)?shù)男袆?dòng)。告警與響應(yīng)階段2.響應(yīng)的類型(1)主動(dòng)響應(yīng)主動(dòng)響注重在檢測(cè)到入侵后立即采取行動(dòng),主動(dòng)響應(yīng)有對(duì)入侵者采取反擊行動(dòng)、修正系統(tǒng)環(huán)境、收集盡可能多的信息三種形式。(2)被動(dòng)響應(yīng)被動(dòng)響應(yīng)是指僅向用戶報(bào)告和記錄所檢測(cè)出的問(wèn)題,依靠用戶去采取下一步行動(dòng)的響應(yīng),有告警和通知、SNMPTrap和插件兩種形式。告警與響應(yīng)階段主動(dòng)響應(yīng)的方法(1)記錄事件日志對(duì)入侵事件記錄在日志里,方便復(fù)查和長(zhǎng)期分析;在用戶的行為被確定為入侵之前,記錄附加日志,以便收集信息。最好把日志記錄在專門(mén)的數(shù)據(jù)庫(kù)中,這樣可起到長(zhǎng)期保存的效果。(2)隔離入侵者的IP地址通過(guò)重新配置邊緣路由器或防火墻,阻斷該IP地址的數(shù)據(jù)包進(jìn)入,以免受到更嚴(yán)重的攻擊。(3)禁止被攻擊對(duì)象的特定端口或服務(wù)關(guān)閉已受攻擊的特定端口或服務(wù),可以避免影響其他服務(wù)。必要時(shí)可以停止已受攻擊的主機(jī),以免其他主機(jī)受影響。告警與響應(yīng)階段主動(dòng)響應(yīng)的方法(4)修正系統(tǒng)環(huán)境是常用的最佳響應(yīng)方案,特別是與提供調(diào)查支持的響應(yīng)結(jié)合的時(shí)候。修正導(dǎo)致入侵發(fā)生的漏洞(5)收集額外信息常用于被保護(hù)系統(tǒng)非常重要,且系統(tǒng)的擁有者想進(jìn)行規(guī)則矯正時(shí)。這種響應(yīng)常與特殊服務(wù)器(蜜罐、誘餌、玻璃魚(yú)缸)配合使用,營(yíng)造裝備著文件系統(tǒng)和其他帶有欺騙性的系統(tǒng)屬性的服務(wù)器迷惑入侵者。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。有商業(yè)蜜罐,也有開(kāi)源蜜罐(如Kippo、HFish、bap、Opencanary、RiotPot、T-Pot等)告警與響應(yīng)階段告警與響應(yīng)階段主動(dòng)響應(yīng)的方法(6)對(duì)入侵者采取反擊行動(dòng)最主要的方式是對(duì)攻擊者實(shí)施反擊。追蹤入侵者的攻擊來(lái)源,切斷入侵者的機(jī)器或網(wǎng)絡(luò)的連接以保護(hù)系統(tǒng)。對(duì)攻擊者實(shí)施反擊行動(dòng)可能帶來(lái)的危險(xiǎn)性:黑客通常的做法是:先黑掉一個(gè)系統(tǒng),再以此為跳板去攻擊別的系統(tǒng)。黑客可能利用IP地址欺騙使用虛假地址或別人的地址進(jìn)行攻擊。簡(jiǎn)單的反擊可能會(huì)引來(lái)對(duì)方更大的反擊。反擊會(huì)使你自己冒違法犯罪的風(fēng)險(xiǎn):無(wú)辜的對(duì)方告你要求賠償、反擊行為本身違反法律法規(guī)、受到紀(jì)律處分等建議的做法:上報(bào)權(quán)威部門(mén),并請(qǐng)求它們的幫助。比較溫和的做法:中斷TCP連接,或與防火墻路由器聯(lián)動(dòng)阻塞入侵來(lái)源的數(shù)據(jù)包。還可以聯(lián)系攻擊源的系統(tǒng)管理員,請(qǐng)求協(xié)助確認(rèn)和處理相關(guān)問(wèn)題。告警與響應(yīng)階段被動(dòng)響應(yīng)的方法(1)告警和通知包括告警顯示屏和遠(yuǎn)程通知兩種方法。前者令屏幕告警或窗口告警消息出現(xiàn)在入侵檢測(cè)系統(tǒng)控制臺(tái)上,或由用戶配置的其他系統(tǒng)上,后者通過(guò)撥號(hào)尋呼、移動(dòng)電話、EMAIL等方式向系統(tǒng)管理員和安全工作人員發(fā)出告警和警報(bào)消息。攻擊連續(xù)的情況下不建議用EMAIL。(2)利用網(wǎng)絡(luò)管理協(xié)議入侵檢測(cè)系統(tǒng)設(shè)計(jì)成與網(wǎng)絡(luò)管理工具一起使用利用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)的消息或SNMPTrap作為告警選項(xiàng)使用系統(tǒng)網(wǎng)絡(luò)管理基礎(chǔ)設(shè)施來(lái)傳送告警,并可在網(wǎng)絡(luò)管理控制臺(tái)看到告警和警報(bào)信息。告警與響應(yīng)階段3.常見(jiàn)的告警與響應(yīng)方式自動(dòng)終止攻擊終止用戶連接禁止用戶賬號(hào)重新配置防火墻,阻塞攻擊的源地址向管理控制臺(tái)發(fā)出警告向網(wǎng)管平臺(tái)發(fā)出SNMPTrap記錄事件日志向管理員發(fā)出電子郵件執(zhí)行用戶自定義程序告警與響應(yīng)階段4.聯(lián)動(dòng)響應(yīng)機(jī)制(1)聯(lián)動(dòng)響應(yīng)機(jī)制的定義:入侵檢測(cè)系統(tǒng)與其他安全技術(shù)聯(lián)動(dòng)響應(yīng),可聯(lián)動(dòng)的安全技術(shù)包括防火墻、安全掃描器、防病毒系統(tǒng)、安全加密系統(tǒng)等。(2)聯(lián)動(dòng)的基本過(guò)程是“報(bào)警-轉(zhuǎn)換-響應(yīng)”:告警與響應(yīng)階段4.聯(lián)動(dòng)響應(yīng)機(jī)制IDS和防火墻之間的聯(lián)動(dòng)包含以下三種方式:(1)嵌入結(jié)合方式:把IDS嵌入防火墻中,把兩個(gè)產(chǎn)品合成一體。由于IDS本身就是一個(gè)復(fù)雜的系統(tǒng),合成后的系統(tǒng)從實(shí)施到性能都會(huì)受到很大影響。(2)端口映像方式:防火墻將網(wǎng)絡(luò)中指定的一部分流量鏡像到IDS中,IDS再將處理后的結(jié)果通知防火墻,要求其相應(yīng)地修改安全策略。這種方式適用于通信量不大但在內(nèi)網(wǎng)和非軍事區(qū)都有需求的情況。(3)接口開(kāi)放方式:IDS和防火墻各開(kāi)放一個(gè)接口供對(duì)方調(diào)用,并按照預(yù)定的協(xié)議進(jìn)行通信。當(dāng)IDS發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)存在攻擊企圖時(shí),通過(guò)開(kāi)放的接口實(shí)現(xiàn)與防火墻的通信,雙方按照固定的協(xié)議進(jìn)行網(wǎng)絡(luò)安全事件的傳輸,更改防火墻安全策略,對(duì)攻擊的源頭進(jìn)行封堵。這種方式比較靈活,目前常見(jiàn)的形式是安全廠家以自己的產(chǎn)品為核心,提供開(kāi)放接口,以實(shí)現(xiàn)互動(dòng)。告警與響應(yīng)階段《毛澤東選集》第七卷總而言之,要團(tuán)結(jié)一切可以團(tuán)結(jié)的人,這樣,我們就可以把敵人縮小到最少,只剩下帝國(guó)主義和本國(guó)的少數(shù)親帝國(guó)主義分子,即同帝國(guó)主義有密切聯(lián)系的大資本家和大地主。對(duì)我們來(lái)說(shuō),朋友越多越好,敵人越少越好。為了這個(gè)目的,我們黨必須充分利用一切可以利用的力量。思政要點(diǎn):團(tuán)結(jié)入侵檢測(cè)與防御的關(guān)鍵技術(shù)2.6數(shù)據(jù)包分析技術(shù)IP分片重組技術(shù)TCP狀態(tài)檢測(cè)技術(shù)TCP流重組技術(shù)應(yīng)用識(shí)別與管理技術(shù)入侵檢測(cè)與防御的關(guān)鍵技術(shù)數(shù)據(jù)包分析,也叫數(shù)據(jù)包嗅探或協(xié)議分析,是指捕獲和解釋網(wǎng)絡(luò)上在線傳輸數(shù)據(jù)的過(guò)程,并充分利用通信協(xié)議的已知結(jié)構(gòu),更快更有效地處理信息數(shù)據(jù)幀和連接。數(shù)據(jù)包分析的目的通常是為了更好地了解網(wǎng)絡(luò)上正在發(fā)生的事情,了解用戶使用了什么協(xié)議和應(yīng)用,傳輸了什么信息。數(shù)據(jù)包分析技術(shù)的主要應(yīng)用:了解網(wǎng)絡(luò)特征、查看網(wǎng)絡(luò)上的通信主體、確認(rèn)誰(shuí)或是哪些應(yīng)用在占用網(wǎng)絡(luò)帶寬、識(shí)別網(wǎng)絡(luò)使用高峰時(shí)間、識(shí)別可能的攻擊或惡意活動(dòng)、尋找不安全以及濫用網(wǎng)絡(luò)資源的應(yīng)用等。數(shù)據(jù)包分析技術(shù)對(duì)接口上接收到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解碼,分析其鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議。根據(jù)不同的協(xié)議選擇解碼器,解析數(shù)據(jù)包內(nèi)部?jī)?nèi)容,通過(guò)匹配不同的規(guī)則庫(kù)和安全模型確定該數(shù)據(jù)包是否阻斷或者轉(zhuǎn)發(fā)。數(shù)據(jù)包解析過(guò)程如圖所示。數(shù)據(jù)包分析技術(shù)接收數(shù)據(jù)包解碼器協(xié)議解碼器規(guī)則庫(kù)匹配MTU:以太網(wǎng)默認(rèn)為1500字節(jié)MSS:1460字節(jié)IP分片重組技術(shù)TCP分段當(dāng)TCP要傳輸長(zhǎng)度超過(guò)MSS的數(shù)據(jù)時(shí),會(huì)先對(duì)數(shù)據(jù)進(jìn)行分段正常情況下,TCP不會(huì)造成IP分片的,而UDP,只要數(shù)據(jù)大于MSS,就會(huì)造成IP分片。數(shù)據(jù)拆分為MSS的長(zhǎng)度,放進(jìn)單獨(dú)的網(wǎng)絡(luò)包中,加上各層的頭部進(jìn)行封裝IP分片發(fā)生在網(wǎng)絡(luò)接口層,不僅源端主機(jī)會(huì)進(jìn)行分片,中間的路由器也有可能分片TCP分段避免了IP分片的發(fā)生,因此,IP分片多用于UDP協(xié)議思考:使用TCP時(shí)會(huì)有IP分片嗎?IP分片重組技術(shù)IP分片重組技術(shù)IP首部與分片相關(guān)的字段:(1)標(biāo)識(shí)字段:16位,是一個(gè)計(jì)數(shù)器,用來(lái)產(chǎn)生數(shù)據(jù)包的標(biāo)識(shí),來(lái)自同一個(gè)IP報(bào)文的分片具有相同的ID。(2)標(biāo)志字段:3位,目前只有前兩位有意義,標(biāo)志字段的最低位是MF,中間位是DF,只有當(dāng)DF=0時(shí)才允許分片。(3)偏移位:13位,其作用是指出較長(zhǎng)的分組在分片后在原分組中的相對(duì)位置,片偏移以8字節(jié)為偏移單位。IP分片重組技術(shù)對(duì)于長(zhǎng)度超過(guò)MTU(1500字節(jié))的IP報(bào)文,網(wǎng)絡(luò)接口層會(huì)將其分片分成若干個(gè)長(zhǎng)度不超過(guò)1500字節(jié)的IP報(bào)文(分片)進(jìn)行傳輸。20B8BIP分片重組的定義:是指IP協(xié)議在傳輸數(shù)據(jù)包時(shí),將數(shù)據(jù)報(bào)文分成若干個(gè)分片進(jìn)行傳輸,并且在目標(biāo)系統(tǒng)中進(jìn)行重組的過(guò)程。分片數(shù)據(jù)的重組只會(huì)發(fā)生在目的端的網(wǎng)絡(luò)接口層。IP分片重組的流程:IP層接收到發(fā)送的IP數(shù)據(jù)包后,需要判斷向本地哪個(gè)接口發(fā)送數(shù)據(jù)(選路),并查詢?cè)摻涌讷@得其MTU,將MTU與數(shù)據(jù)包長(zhǎng)度進(jìn)行比較,如果需要?jiǎng)t進(jìn)行分片。IP分片重組可以發(fā)生在原始發(fā)送端主機(jī)上,或者發(fā)生在中間路由器上。IP分片重組技術(shù)在IP分片包中,用分片偏移字段標(biāo)志分片包的順序,但只有第一個(gè)分片包含有端口信息。當(dāng)IP分片包通過(guò)分組過(guò)濾防火墻時(shí),防火墻只根據(jù)第一個(gè)分片包的信息判斷是否允許通過(guò),后續(xù)其他的分片防火墻不再進(jìn)行檢測(cè),直接讓它們通過(guò)。攻擊者就可以先發(fā)送第一個(gè)合法的IP分片,騙過(guò)防火墻的檢測(cè),封裝了惡意數(shù)據(jù)的后續(xù)分片包就可以直接繞過(guò)防火墻,到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī),從而威脅網(wǎng)絡(luò)和主機(jī)的安全。攻擊者利用IP分片的原理,使用分片數(shù)據(jù)包轉(zhuǎn)發(fā)工具(如Fragroute),將攻擊請(qǐng)求分成若干IP分片包發(fā)送給目標(biāo)主機(jī);目標(biāo)主機(jī)接收到分片包后,進(jìn)行分片重組還原出真正的請(qǐng)求。分片攻擊包括分片覆蓋、分片重寫(xiě)、分片超時(shí)和針對(duì)網(wǎng)絡(luò)拓?fù)涞姆制夹g(shù)等。分片增加了入侵檢測(cè)和防御系統(tǒng)的檢測(cè)難度,是目前攻擊者繞過(guò)攻擊的普通手段。IP分片重組技術(shù)入侵防御系統(tǒng)需要在內(nèi)存中緩存分片,模擬目標(biāo)主機(jī)對(duì)網(wǎng)絡(luò)上傳輸?shù)姆制M(jìn)行重組,還原出真正的請(qǐng)求內(nèi)容后再分析,以防止分片攻擊。(1)入侵防御系統(tǒng)通過(guò)包的段偏移判斷是否是分片;(2)通過(guò)源IP和ID號(hào)判斷是否來(lái)自同一個(gè)包;(3)通過(guò)標(biāo)志位是否為0和數(shù)據(jù)長(zhǎng)度判斷包的所有分片到達(dá)。IP分片重組技術(shù)入侵防御系統(tǒng)對(duì)TCP的連接狀態(tài)進(jìn)行檢測(cè)和監(jiān)控,判斷不同狀態(tài)下可能存在的攻擊方式,同時(shí)對(duì)應(yīng)用內(nèi)容進(jìn)行數(shù)據(jù)采集和特征檢測(cè)。TCP的狀態(tài)有:(1)CLOSED:關(guān)閉狀態(tài)(初始狀態(tài))。(2)LISTEN:服務(wù)器端的某個(gè)SOCKET處于監(jiān)聽(tīng)狀態(tài),可以接受連接。(3)SYN_SENT:客戶端已發(fā)送SYN報(bào)文。(4)SYN_RCVD:接收到SYN報(bào)文。(5

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論