【文章內(nèi)容簡介】 部人員的威脅正變得更重要 ?基于主機的檢測威脅 ?基于主機的結構 ?優(yōu)點及問題 基于主機的檢測威脅 ?特權濫用 ?關鍵數(shù)據(jù)的訪問及修改 ?安全配置的變化 基于主機的入侵檢測系統(tǒng)結構 ?基于主機的入侵檢測系統(tǒng)通常是基于代理的，代理是運行在目標系統(tǒng)上的可執(zhí)行程序，與中央控制計算機通信 ?集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置 ?分布式：原始數(shù)據(jù)在目標系統(tǒng)上實時分析，只有告警命令被發(fā)送給控制臺 目標系統(tǒng) 審計記錄收集方法 審計記錄預處理 異常檢測 誤用檢測 安全管理員接口 審計記錄數(shù)據(jù) 歸檔 /查詢 審計記錄數(shù)據(jù)庫 審計記錄 基于審計的入侵檢測系統(tǒng)結構示意圖 集中式檢測的優(yōu)缺點 ? 優(yōu)點： ?不會降低目標機的性能 ?統(tǒng)計行為信息 ?多主機標志、用于支持起訴的原始數(shù)據(jù) ? 缺點： ?不能進行實時檢測 ?不能實時響應 ?影響網(wǎng)絡通信量 分布式檢測的優(yōu)缺點 ? 優(yōu)點： ?實時告警 ?實時響應 ? 缺點： ?降低目標機的性能 ?沒有統(tǒng)計行為信息 ?沒有多主機標志 ?沒有用于支持起訴的原始數(shù)據(jù) ?降低了數(shù)據(jù)的辨析能力 ?系統(tǒng)離線時不能分析數(shù)據(jù) 操作模式 ?操作主機入侵檢測系統(tǒng)的方式 ?警告 ?監(jiān)視 ?毀壞情況評估 ?遵從性 基于主機的技術面臨的問題 ?性能：降低是不可避免的 ?部署 /維護 ?損害 ?欺騙 基于網(wǎng)絡的入侵檢測系統(tǒng) ?入侵檢測系統(tǒng)分析網(wǎng)絡數(shù)據(jù)包 ?基于網(wǎng)絡的檢測威脅 ?基于網(wǎng)絡的結構 ?優(yōu)點及問題 基于網(wǎng)絡的檢測威脅 ?非授權訪問 ?數(shù)據(jù) /資源的竊取 ?拒絕服務 基于網(wǎng)絡的入侵檢測系統(tǒng)結構 ? 基于網(wǎng)絡的入侵檢測系統(tǒng)由遍及網(wǎng)絡的傳感器（ Sensor)組成，傳感器會向中央控制臺報告。傳感器通常是獨立的檢測引擎，能獲得網(wǎng)絡分組、找尋誤用模式，然后告警。 ? 傳統(tǒng)的基于傳感器的結構 ? 分布式網(wǎng)絡節(jié)點結構 傳統(tǒng)的基于傳感器的結構 ?傳感器（通常設置為混雜模式）用于嗅探網(wǎng)絡上的數(shù)據(jù)分組，并將分組送往檢測引擎 ?檢測引擎安裝在傳感器計算機本身 ?網(wǎng)絡分接器分布在關鍵任務網(wǎng)段上，每個網(wǎng)段一個 管理 /配置 入侵分析引擎器 網(wǎng)絡安全數(shù)據(jù)庫 嗅探器 嗅探器 分析結果 基于網(wǎng)絡的入侵檢測系統(tǒng)模型 分布式網(wǎng)絡節(jié)點結構 ? 為解決高速網(wǎng)絡上的丟包問題， 1999年 6月，出現(xiàn)的一種新的結構，將傳感器分布到網(wǎng)絡上的每臺計算機上 ? 每個傳感器檢查流經(jīng)他的網(wǎng)絡分組，然后傳感器相互通信，主控制臺將所有的告警聚集、關聯(lián)起來 數(shù)據(jù)采集構件 應急處理構件 通信傳輸構件 檢測分析構件 管理構件 安全知識庫 分布式入侵檢測系統(tǒng)結構示意圖 基于網(wǎng)絡的入侵檢測的好處 ?威懾外部人員 ?檢測 ?自動響應及報告 基于網(wǎng)絡的技術面臨的問題 ?分組重組 ?高速網(wǎng)絡 ?加密 基于異常的入侵檢測 ? 思想：任何正常人的行為有一定的規(guī)律 ? 需要考慮的問題： （ 1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為 （ 2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學習和檢測方法的不同 （ 3）考慮學習過程的時間長短、用戶行為的時效性等問題 數(shù)據(jù)選取的原則 （ 1） 數(shù)據(jù)能充分反映用戶行為特征的全貌 （ 2） 應使需要的數(shù)據(jù)量最小 （ 3） 數(shù)據(jù)提取難度不應太大 NIDS抓包 ?PF_PACKET ?從鏈路層抓包 ?libpcap ?提供 API函數(shù) ?winpcap ?Windows下的抓包庫 分析數(shù)據(jù)包 Ether IP TCP 模式匹配 Ether IP TCP 協(xié)議分析 HTTP Unicode XML 模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.......M....E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.@........ 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .....:..P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 ......GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a HTTP/.. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*..Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 . a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/..Accept c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: enus. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .AcceptEncoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .UserAgent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/ (pat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible。 MSIE 。 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT ) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 ..Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 ..Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: KeepAliv 160 650d 0a0d 0a e.... 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.......M....E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.@........ 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .....:..P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 ......GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a HTTP/.. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*..Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 . a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/..Accept c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: enus. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .AcceptEncoding e0 3a20 677a 697