【正文】 ，因此能有效檢測未知的入侵。其次，通過在網(wǎng)絡上發(fā)送 reset包切斷連接 ? 但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發(fā)動攻擊，然后 IDS就會配置路由器和防火墻來拒絕這些地址，這樣實際上就是對“自己人”拒絕服務了 ? 發(fā)送 reset包的方法要求有一個活動的網(wǎng)絡接口，這樣它將置于攻擊之下，一個補救的辦法是：使活動網(wǎng)絡接口位于防火墻內(nèi)，或者使用專門的發(fā)包程序，從而避開標準 IP棧需求 Automated Response ? IDS的核心是攻擊特征，它使 IDS在事件發(fā)生時觸發(fā) ? 特征信息過短會經(jīng)常觸發(fā) IDS，導致誤報或錯報，過長則會減慢 IDS的工作速度 ? 有人將 IDS所支持的特征數(shù)視為 IDS好壞的標準，但是有的產(chǎn)商用一個特征涵蓋許多攻擊，而有些產(chǎn)商則會將這些特征單獨列出，這就會給人一種印象，好像它包含了更多的特征，是更好的 IDS Signatures（ 特征 ） Promiscuous（ 混雜模式 ） ? 默認狀態(tài)下， IDS網(wǎng)絡接口只能看到進出主機的信息，也就是所謂的 nonpromiscuous（非混雜模式） ? 如果網(wǎng)絡接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡通信量，不管其來源或目的地 ? 這對于網(wǎng)絡 IDS是必要的，但同時可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡通信量 ? 交換型 HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（ span）端口 1. 概述 ? 入侵檢測方法 3. 入侵檢測系統(tǒng)的設計原理 4. 入侵檢測響應機制 5. 入侵檢測標準化工作 6. 其它 7. 展望 入侵檢測相關的數(shù)學模型 ?試驗模型 （ Operational Model） ?平均值和標準差模型 （ Mean and Standard Deviation Model） : ?多變量模型 （ Multivariate Model） : 多個隨機變量的相關性計算 ， ?馬爾可夫過程模型 （ Markov Process Model） ：初始分布和概率轉(zhuǎn)移矩陣；預測新的事件的出現(xiàn)頻率太低 ， 則表明出現(xiàn)異常情況 。 MSIE 。 4. 在數(shù)據(jù)采集上進行協(xié)同并充分利用各層次的數(shù)據(jù)，是提高入侵檢測能力的首要條件 數(shù)據(jù)分析協(xié)同 入侵檢測不僅需要利用模式匹配和異常檢測技術來分析某個檢測引擎所采集的數(shù)據(jù)，以發(fā)現(xiàn)一些簡單的入侵行為，還需要在此基礎上利用 數(shù)據(jù)挖掘 技術，分析多個檢測引擎提交的審計數(shù)據(jù)以發(fā)現(xiàn)更為復雜的入侵行為。這一計算速度要求大大超出了現(xiàn)有的技術條件。 命令解析器具有讀取攻擊串及其所有可能的變形，并發(fā)掘其本質(zhì)含義的能力。如果值是 0800，則說明這個以太網(wǎng)幀的數(shù)據(jù)域攜帶的是 IP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第二步的檢測工作。如果有一個端口號是0080，則說明這個 TCP幀的數(shù)據(jù)域攜帶的是 HTTP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第四步的檢測工作。 ● 提高了準確性 ：與非智能化的模式匹配相比，協(xié)議分析減少了虛警和誤判的可能性，命令解析（語法分析）和協(xié)議解碼技術的結合，在命令字符串到達操作系統(tǒng)或應用程序之前，模擬它的執(zhí)行，以確定它是否具有惡意。 ● 系統(tǒng)資源開銷小 ：協(xié)議分析入侵檢測系統(tǒng)的高效性降低了在網(wǎng)絡和主機探測中的資源開銷，而模式匹配技術卻是個可怕的系統(tǒng)資源消費者。 ? 將攻擊包以碎片方式發(fā)出 ?fragrouter 狀態(tài)性測試 ? Stateful ? ? 測試工具： Stick/Snot ?不建立連接，直接發(fā)送攻擊數(shù)據(jù)包 ?只分析單個數(shù)據(jù)包的 IDS會大量誤報 ? 要減少誤報， IDS必須維護連接狀態(tài) 狀態(tài)性測試： CGI攻擊舉例 三 次 握 手 SYN 1. SYN/ACK 2. ACK 3. GET /cgibin/phf 4. 200 OK 或 404 Not Found 5. 1) 不握手，直接發(fā)送第 4個包； 2) 握手，能否跟蹤返回的第 5個包，判斷攻擊成功與否？ 產(chǎn)品 ? 免費 ?Snort ? ?SHADOW ? 產(chǎn)品 ? 商業(yè) ?CyberCop Monitor, NAI ?Dragon Sensor, Enterasys ?eTrust ID, CA ?NetProwler, Symantec ?NetRanger, Cisco ?NID100/200, NFR Security ?RealSecure, ISS ?SecureNet Pro, 資源 ? IDS FAQ ? ? FocusIDS Mailinglist ? ? Yawl ? ? OldHand ? ? Sinbad ? 1. 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設計原理 4. 入侵檢測響應機制 5. 入侵檢測標準化工作 6. 其它 ? 展望 面臨的問題 (1) 隨著能力的提高 ， 入侵者會研制更多的攻擊工具 ， 以及使用更為復雜精致的攻擊手段 ， 對更大范圍的目標類型實施攻擊； (2) 入侵者采用加密手段傳輸攻擊信息； (3) 日益增長的網(wǎng)絡流量導致檢測分析難度加大； (4) 缺乏統(tǒng)一的入侵檢測術語和概念框架； (5) 不適當?shù)淖詣禹憫獧C制存在著巨大的安全風險； (6) 存在對入侵檢測系統(tǒng)自身的攻擊； (7) 過高的錯報率和誤報率 ， 導致很難確定真正的入侵行為； (8) 采用交換方法限制了網(wǎng)絡數(shù)據(jù)的可見性； (9) 高速網(wǎng)絡環(huán)境導致很難對所有數(shù)據(jù)進行高效實時分析 發(fā)展方向 1. 更有效的集成各種入侵檢測數(shù)據(jù)源 ， 包括從不同的系統(tǒng)和不同的傳感器上采集的數(shù)據(jù) ， 提高報警準確率； 2. 在事件診斷中結合人工分析； 3. 提高對惡意代碼的檢測能力 ， 包括 攻擊 ， Java， ActiveX等； 4. 采用一定的方法和策略來增強異種系統(tǒng)的互操作性和數(shù)據(jù)一 致性； 5. 研制可靠的測試和評估標準； 6. 提供科學的漏洞分類方法 ， 尤其注重從攻擊客體而不是攻擊主體的觀點出發(fā)； 7. 提供對更高級的攻擊行為如分布式攻擊 、 拒絕服務攻擊等的檢測手段； 。 ?軟件： tcpdump amp。與此相反，模式匹配入侵檢測系統(tǒng)孤立地考察每個數(shù)據(jù)包。 URL串將被提交給 HTTP解析器，在它被允許提交給 Web服務器前，由 HTTP解析器來分析它是否可能會做攻擊行為。如果讀取到的值是 06，則說明這個 IP幀的數(shù)據(jù)域攜帶的是 TCP包，入侵檢測利用這一信息指示第三步的檢測工作。 解析器在發(fā)掘出命令的真實含義后將給惡意命令做好標記，主機將會在這些包到達操作系統(tǒng)、應用程序之前丟棄它們。 協(xié)議解碼 ? Protocol Analysis ?Ether、 IP、 ARP ?TCP、 UDP、 ICMP ?HTTP、 Tel、 DNS、 FTP、 IRC、NetBIOS、 SMB、 SMTP、 SNMP、 TFTP、RPC、 POP Finger、 rlogin、 MIME、IMAP VNC、 RealAudio、 NetGames、MS SQL 協(xié)議分析的優(yōu)勢 ? 效率高 ? 檢測 0day漏洞腳本 ?例如大量的 90字符可能是 ShellCode中的NOOP操作。 4. 模型產(chǎn)生的主要目的是為了加快開發(fā)以及分發(fā)新的入侵檢測模型的速度 響應協(xié)同 理想的情況是，建立相關安全產(chǎn)品能夠相互通信并協(xié)同工作的安全體系，實現(xiàn)防火墻、 IDS、病毒防護系統(tǒng)和審計系統(tǒng)等的互通與聯(lián)動，以實現(xiàn)整體安全防護 響應協(xié)同 ：當 IDS檢測到需要阻斷的入侵行為時，立即迅速啟動聯(lián)動機制，自動通知防火墻或其他安全控制設備對攻擊源進行封堵，達到整體安全控制的效果。 MSIE 。傳感器通常是獨立的檢測引擎，能獲得網(wǎng)絡分組、找尋誤用模式，然后告警。 Anomaly Detection activity measures 0102030405060708090C P U P r oc e s sS i z en or m al p r of i l eab n or m alprobable intrusion Relatively high false positive rate anomalies can just be new normal activities. System Audit Metrics Pattern Matcher Intrusion Normal Activity No Signature Match Signature Match 誤用檢測模型 誤用檢測 1. 前提：所有的入侵行為都有可被檢測到的特征 2. 攻擊特征庫 : 當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 3. 過程 監(jiān)控 ? 特征提取 ? 匹配 ? 判定 4. 指標