【文章內(nèi)容簡介】 部人員的威脅正變得更重要 ?基于主機(jī)的檢測威脅 ?基于主機(jī)的結(jié)構(gòu) ?優(yōu)點(diǎn)及問題 基于主機(jī)的檢測威脅 ?特權(quán)濫用 ?關(guān)鍵數(shù)據(jù)的訪問及修改 ?安全配置的變化 基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu) ?基于主機(jī)的入侵檢測系統(tǒng)通常是基于代理的，代理是運(yùn)行在目標(biāo)系統(tǒng)上的可執(zhí)行程序，與中央控制計(jì)算機(jī)通信 ?集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置 ?分布式：原始數(shù)據(jù)在目標(biāo)系統(tǒng)上實(shí)時(shí)分析，只有告警命令被發(fā)送給控制臺(tái) 目標(biāo)系統(tǒng) 審計(jì)記錄收集方法 審計(jì)記錄預(yù)處理 異常檢測 誤用檢測 安全管理員接口 審計(jì)記錄數(shù)據(jù) 歸檔 /查詢 審計(jì)記錄數(shù)據(jù)庫 審計(jì)記錄 基于審計(jì)的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖 集中式檢測的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ?不會(huì)降低目標(biāo)機(jī)的性能 ?統(tǒng)計(jì)行為信息 ?多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù) ? 缺點(diǎn)： ?不能進(jìn)行實(shí)時(shí)檢測 ?不能實(shí)時(shí)響應(yīng) ?影響網(wǎng)絡(luò)通信量 分布式檢測的優(yōu)缺點(diǎn) ? 優(yōu)點(diǎn)： ?實(shí)時(shí)告警 ?實(shí)時(shí)響應(yīng) ? 缺點(diǎn)： ?降低目標(biāo)機(jī)的性能 ?沒有統(tǒng)計(jì)行為信息 ?沒有多主機(jī)標(biāo)志 ?沒有用于支持起訴的原始數(shù)據(jù) ?降低了數(shù)據(jù)的辨析能力 ?系統(tǒng)離線時(shí)不能分析數(shù)據(jù) 操作模式 ?操作主機(jī)入侵檢測系統(tǒng)的方式 ?警告 ?監(jiān)視 ?毀壞情況評(píng)估 ?遵從性 基于主機(jī)的技術(shù)面臨的問題 ?性能：降低是不可避免的 ?部署 /維護(hù) ?損害 ?欺騙 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) ?入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包 ?基于網(wǎng)絡(luò)的檢測威脅 ?基于網(wǎng)絡(luò)的結(jié)構(gòu) ?優(yōu)點(diǎn)及問題 基于網(wǎng)絡(luò)的檢測威脅 ?非授權(quán)訪問 ?數(shù)據(jù) /資源的竊取 ?拒絕服務(wù) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu) ? 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（ Sensor)組成，傳感器會(huì)向中央控制臺(tái)報(bào)告。傳感器通常是獨(dú)立的檢測引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。 ? 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ? 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) 傳統(tǒng)的基于傳感器的結(jié)構(gòu) ?傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測引擎 ?檢測引擎安裝在傳感器計(jì)算機(jī)本身 ?網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個(gè)網(wǎng)段一個(gè) 管理 /配置 入侵分析引擎器 網(wǎng)絡(luò)安全數(shù)據(jù)庫 嗅探器 嗅探器 分析結(jié)果 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu) ? 為解決高速網(wǎng)絡(luò)上的丟包問題， 1999年 6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上 ? 每個(gè)傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺(tái)將所有的告警聚集、關(guān)聯(lián)起來 數(shù)據(jù)采集構(gòu)件 應(yīng)急處理構(gòu)件 通信傳輸構(gòu)件 檢測分析構(gòu)件 管理構(gòu)件 安全知識(shí)庫 分布式入侵檢測系統(tǒng)結(jié)構(gòu)示意圖 基于網(wǎng)絡(luò)的入侵檢測的好處 ?威懾外部人員 ?檢測 ?自動(dòng)響應(yīng)及報(bào)告 基于網(wǎng)絡(luò)的技術(shù)面臨的問題 ?分組重組 ?高速網(wǎng)絡(luò) ?加密 基于異常的入侵檢測 ? 思想：任何正常人的行為有一定的規(guī)律 ? 需要考慮的問題： （ 1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為 （ 2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測方法的不同 （ 3）考慮學(xué)習(xí)過程的時(shí)間長短、用戶行為的時(shí)效性等問題 數(shù)據(jù)選取的原則 （ 1） 數(shù)據(jù)能充分反映用戶行為特征的全貌 （ 2） 應(yīng)使需要的數(shù)據(jù)量最小 （ 3） 數(shù)據(jù)提取難度不應(yīng)太大 NIDS抓包 ?PF_PACKET ?從鏈路層抓包 ?libpcap ?提供 API函數(shù) ?winpcap ?Windows下的抓包庫 分析數(shù)據(jù)包 Ether IP TCP 模式匹配 Ether IP TCP 協(xié)議分析 HTTP Unicode XML 模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.......M....E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.@........ 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .....:..P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 ......GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a HTTP/.. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*..Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 . a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/..Accept c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: enus. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .AcceptEncoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .UserAgent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/ (pat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible。 MSIE 。 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT ) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 ..Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 ..Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: KeepAliv 160 650d 0a0d 0a e.... 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.......M....E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.@........ 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .....:..P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 ......GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a HTTP/.. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*..Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 . a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/..Accept c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: enus. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .AcceptEncoding e0 3a20 677a 697