【文章內容簡介】 長則會減慢 IDS的工作速度n 有人將 IDS所支持的特征數視為 IDS好壞的標準，但是有的產商用一個特征涵蓋許多攻擊，而有些產商則會將這些特征單獨列出，這就會給人一種印象，好像它包含了更多的特征，是更好的 IDS常用術語 —— Signatures（特征）n 默認狀態(tài)下， IDS網絡接口只能看到進出主機的信息，也就是所謂的 nonpromiscuous（非混雜模式）n 如果網絡接口是混雜模式，就可以看到網段中所有的網絡通信量，不管其來源或目的地n 這對于網絡 IDS是必要的，但同時可能被信息包嗅探器所利用來監(jiān)控網絡通信量n 交換型 HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（ span）端口常用術語 ——Promiscuous （混雜模式）n 試驗模型（ OperationalModel）n 平均值和標準差模型（ MeanandStandardDeviationModel） :n 多變量模型（ MultivariateModel） :多個隨機變量的相關性計算， n 馬爾可夫過程模型（ MarkovProcessModel）：初始分布和概率轉移矩陣；預測新的事件的出現頻率太低，則表明出現異常情況。n 時序模型（ TimeSeriesModel）：該模型通過間隔計時器和資源計數器兩種類型隨機變量參數之間的相隔時間和它們的值來判斷入侵入侵檢測相關的數學模型n 統(tǒng)計異常檢測n 基于特征選擇異常檢測n 基于貝葉斯推理異常檢測n 基于貝葉斯網絡異常檢測n 基于模式預測異常檢測n 基于神經網絡異常檢測n 基于貝葉斯聚類異常檢測n 基于機器學習異常檢測n 基于數據挖掘異常檢測異常入侵檢測方法基于行為的檢測 —— 概率統(tǒng)計方法 n 操作密度n 審計記錄分布n 范疇尺度n 數值尺度記錄的具體操作包括： CPU 的使用， I/O 的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網絡上活動等。 基本思想是用一系列信息單元 (命令 )訓練神經單元，這樣在給定一組輸入后，就可能預測出輸出。當前命令和剛過去的 w個命令組成了網絡的輸入，其中w是神經網絡預測下一個命令時所包含的過去命令集的大小。根據用戶的代表性命令序列訓練網絡后，該網絡就形成了相應用戶的特征表，于是網絡對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟。 基于行為的檢測 —— 神經網絡方法神經網絡檢測思想n 基于條件概率誤用檢測n 基于專家系統(tǒng)誤用檢測n 基于狀態(tài)遷移誤用檢測n 基于鍵盤監(jiān)控誤用檢測n 基于模型誤用檢測誤用入侵檢測方法基于知識的檢測 —— 模型推理 模型推理是指結合攻擊腳本推理出入侵行為是否出現。其中有關攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。根據這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。 基于知識的檢測 —— 狀態(tài)遷移分析 狀態(tài) 遷移 法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài) 遷移 的轉換條件，即導致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作 (特征事件 )。然后用狀態(tài)轉換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。但是，狀態(tài)轉換是針對事件序列分析，所以不善于分析過分復雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關的入侵。 Petri網分析一分鐘內 4次登錄失敗 n 基于生物免疫檢測n 基于偽裝檢測其它基于協(xié)議分析的檢測n 檢測要點n TCP協(xié)議： protocol:tcpn 目地端口 21： dst port:21n 必須是已經建立的連接： conn_status:established（ TCP層狀態(tài)跟蹤）n 必須是 FTP已經登錄成功： ftp_login:success（應用層狀態(tài)跟蹤）n 協(xié)議命令分析，把 cd命令與后面的參數分開來，看 cd后面是目錄名是否為 “ \..%20.” ： ftpm_cd_para:” \..%20.” （協(xié)議解碼）n 分析下一個服務器回應的包，是 “250” （成功）還是 “550” （失?。? ftp_reply:”250”|”550” （應用層狀態(tài)跟蹤）n 很難讓這種分析產生誤報和漏報，而且還能跟蹤攻擊是否成功?；顒訑祿锤袘鞣治銎鞴芾砥鞑僮鲉T管理員事件警報通告應急安全策略安全策略入侵檢測系統(tǒng)原理圖攻擊模式庫入侵檢測器 應急措施配置系統(tǒng) 庫數據采集 安全控制系統(tǒng)審計記錄 /協(xié)議數據等 系統(tǒng)操作簡單的入侵檢測示意圖基于主機的入侵檢測系統(tǒng)n 系統(tǒng)分析主機產生的數據（應用程序及操作系統(tǒng)的事件日志）n 由于內部人員的威脅正變得更重要n基于主機的檢測威脅n基于主機的結構n優(yōu)點及問題基于主機的檢測威脅n 特權濫用n 關鍵數據的訪問及修改n 安全配置的變化基于主機的入侵檢測系統(tǒng)結構n 基于主機的入侵檢測系統(tǒng)通常是基于代理的，代理是運行在目標系統(tǒng)上的可執(zhí)行程序，與中央控制計算機通信n集中式：原始數據在分析之前要先發(fā)送到中央位置n分布式：原始數據在目標系統(tǒng)上實時分析，只有告警命令被發(fā)送給控制臺目標系統(tǒng)審計記錄收集方法審計記錄預處理異常檢測 誤用檢測安全管理員接口 審計記錄數據 歸檔 /查詢審計記錄數據庫審計記錄基于審計的入侵檢測系統(tǒng)結構示意圖集中式檢測的優(yōu)缺點n 優(yōu)點：n 不會降低目標機的性能n 統(tǒng)計行為信息n 多主機標志、用于支持起訴的原始數據n 缺點：n 不能進行實時檢測n 不能實時響應n 影響網絡通信量分布式檢測的優(yōu)缺點n 優(yōu)點：n 實時告警n 實時響應n 缺點：n 降低目標機的性能n 沒有統(tǒng)計行為信息n 沒有多主機標志n 沒有用于支持起訴的原始數據n 降低了數據的辨析能力n 系統(tǒng)離線時不能分析數據操作模式n 操作主機入侵檢測系統(tǒng)的方式n警告n監(jiān)視n毀壞情況評估n遵從性基于主機的技術面臨的問題n 性能：降低是不可避免的n 部署 /維護n 損害n 欺騙基于網絡的入侵檢測系統(tǒng)n 入侵檢測系統(tǒng)分析網絡數據包n 基于網絡的檢測威脅n 基于網絡的結構n 優(yōu)點及問題基于網絡的檢測威脅n 非授權訪問n 數據 /資源的竊取n 拒絕服務基于網絡的入侵檢測系統(tǒng)結構n 基于網絡的入侵檢測系統(tǒng)由遍及網絡的傳感器（ Sensor)組成，傳感器會向中央控制臺報告。傳感器通常是獨立的檢測引擎，能獲得網絡分組、找尋誤用模式，然后告警。n 傳統(tǒng)的基于傳感器的結構n 分布式網絡節(jié)點結構傳統(tǒng)的基于傳感器的結構n 傳感器（通常設置為混雜模式）用于嗅探網絡上的數據分組，并將分組送往檢測引擎n 檢測引擎安裝在傳感器計算機本身n 網絡分接器分布在關鍵任務網段上，每個網段一個管理 /配置入侵分析引擎器網絡安全數據庫嗅探器 嗅探器分析結果基于網絡的入侵檢測系統(tǒng)模型分布式網絡節(jié)點結構n 為解決高速網絡上的丟包問題， 1999年 6月，出現的一種新的結構，將傳感器分布到網絡上的每臺計算機上n 每個傳感器檢查流經他的網絡分組，然后傳感器相互通信，主控制臺將所有的告警聚集、關聯起來數據采集構件應急處理構件通信傳輸構件檢測分析構件管理構件安全知識庫分布式入侵檢測系統(tǒng)結構示意圖基于網絡的入侵檢測的好處n 威懾外部人員n 檢測n 自動響應及報告基于網絡的技術面臨的問題n 分組重組n 高速網絡n 加密n 對 NIDS的規(guī)避對 NIDS的規(guī)避及對策n 基于網絡層的規(guī)避及對策n 基于應用層的規(guī)避及對策基于網絡層的規(guī)避及對策n 理論n 1998年 1月 PtacekNewsham論文：《 Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection》n 主要思想n 一個網絡上被動的設備很難只根據網絡上的數據預計受保護的終端系統(tǒng)的行為，利用 IDS對數據包的分析處理方式與終端服務器 TCP/IP實現方式的不同，進行插入、逃避及拒絕服務攻擊，使 IDS無法正確地檢測到攻擊。對數據包的不同處理方式n 當處理到重疊的 TCP/IP分片時，有些系統(tǒng)保留新數據，有些系統(tǒng)保留老數據， IDS處理重疊時可能與終端系統(tǒng)不同n Windows NT n Linux保留新數據n 終端系統(tǒng)可能會丟棄某些帶了不被支持或不尋常的 TCP/IP選項的數據包， IDS則可能還會處理那些包n 終端系統(tǒng)可能被配置成丟棄源路由的包n 終端系統(tǒng)可能丟棄有老時間戳的包n 終端系統(tǒng)可能丟棄某些帶有特殊 TCP/IP選項組合的包n 因為網絡拓撲與數據包 TTL值的設置， IDS和終端系統(tǒng)可能收到不同的數據包更多的不同 …n 在進行 TCP/IP分片的重組時， IDS與終端系統(tǒng)的所設定的超時可能不同，造成重組的結果不同n IDS與終端系統(tǒng)的硬件能力不同，導致一方能夠完成的重組對另一方來說不可能完成所有以上這些的不同，使下面的這幾種攻擊成為可能 。插入攻擊n 在數據流中插入多余的字符，而這些多余的字符會使 IDS接受而被終端系統(tǒng)所丟棄。逃避攻擊n 想辦法使數據流中的某些數據包造成終端系統(tǒng)會接受而 IDS會丟棄局面。拒絕服務攻擊n IDS本身的資源也是有限的，攻擊者可以想辦法使其耗盡其中的某種資源而使之失去正常的功能。n CPU，攻擊者可以迫使 IDS去執(zhí)行一些特別耗費計算時間而又無意義的事n 內存，連接狀態(tài)的保留、數據包的重組都需要大量的內存，攻擊者可以想辦法使 IDS不停的消耗內存n 日志記錄空間，攻擊者可以不停地觸發(fā)某個事件讓 IDS不停地記錄，最終占滿記錄空間n IDS需要處理網絡上所有的數據包，如果攻擊者能使 IDS所在的網絡達到很高的流量， IDS的檢測能力將急劇下降基于網絡的入侵檢測系統(tǒng)的主要優(yōu)點有 ：（ 1）成本低。（ 2）攻擊者轉移證據很困難。（ 3）實時檢測和應答。一旦發(fā)生惡意訪問或攻擊，基于網絡的 IDS檢測可以隨時發(fā)現它們，因此能夠更快地作出反應。從而將入侵活動對系統(tǒng)的破壞減到最低。（ 4）能夠檢測未成功的攻擊企圖。（ 5）操作系統(tǒng)獨立?；诰W絡的 IDS并不依賴主機的操作系統(tǒng)作為檢測資源。而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C的 IDS的主要優(yōu)勢有：（ 1）非常適用于加密和交換環(huán)境。（ 2）實時的檢測和應答。（ 3）不需要額外的硬件。主機 IDS和網絡 IDS的比較基于異常的入侵檢測n 思想：任何正常人的行為有一定的規(guī)律n 需要考慮的問題：（ 1）選擇哪些數據來表現用戶的行為（ 2）通過以上數據如何有效地表示用戶的行為，主要在于學習和檢測方法的不同（ 3）考慮學習過程的時間長短、用戶行為的時效性等問題數據選取的原則（ 1）數據能充分反映用戶行為特征的全貌（ 2） 應使需要的數據量最?。?3） 數據提取難度不應太大NIDS抓包n PF_PACKETn從鏈路層抓包n libpcapn提供 API函數n winpcapnWindows下的抓包庫分析數據包EtherIPTCP模式匹配EtherIPTCP協(xié)議分析HTTPUnicodeXML模式匹配協(xié)議分析一個攻擊檢測實例n 老版本的 Sendmail漏洞利用$ tel 25WIZshell或者DEBUG 直接獲得 rootshell！簡單的匹配n 檢查每個 packet是否包含：“WIZ”| “DEBUG”檢查端口號n 縮小匹配范圍 Port 25:{“WIZ”| “DEBUG” }深入決策樹n 只判斷客戶端發(fā)送部分 Port 25:{Clientsends: “WIZ”