【文章內(nèi)容簡介】 長則會(huì)減慢 IDS的工作速度n 有人將 IDS所支持的特征數(shù)視為 IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的 IDS常用術(shù)語 —— Signatures（特征）n 默認(rèn)狀態(tài)下， IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的 nonpromiscuous（非混雜模式）n 如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地n 這對(duì)于網(wǎng)絡(luò) IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡(luò)通信量n 交換型 HUB可以解決這個(gè)問題，在能看到全面通信量的地方，會(huì)都許多跨越（ span）端口常用術(shù)語 ——Promiscuous （混雜模式）n 試驗(yàn)?zāi)Ｐ停?OperationalModel）n 平均值和標(biāo)準(zhǔn)差模型（ MeanandStandardDeviationModel） :n 多變量模型（ MultivariateModel） :多個(gè)隨機(jī)變量的相關(guān)性計(jì)算， n 馬爾可夫過程模型（ MarkovProcessModel）：初始分布和概率轉(zhuǎn)移矩陣；預(yù)測新的事件的出現(xiàn)頻率太低，則表明出現(xiàn)異常情況。n 時(shí)序模型（ TimeSeriesModel）：該模型通過間隔計(jì)時(shí)器和資源計(jì)數(shù)器兩種類型隨機(jī)變量參數(shù)之間的相隔時(shí)間和它們的值來判斷入侵入侵檢測相關(guān)的數(shù)學(xué)模型n 統(tǒng)計(jì)異常檢測n 基于特征選擇異常檢測n 基于貝葉斯推理異常檢測n 基于貝葉斯網(wǎng)絡(luò)異常檢測n 基于模式預(yù)測異常檢測n 基于神經(jīng)網(wǎng)絡(luò)異常檢測n 基于貝葉斯聚類異常檢測n 基于機(jī)器學(xué)習(xí)異常檢測n 基于數(shù)據(jù)挖掘異常檢測異常入侵檢測方法基于行為的檢測 —— 概率統(tǒng)計(jì)方法 n 操作密度n 審計(jì)記錄分布n 范疇尺度n 數(shù)值尺度記錄的具體操作包括： CPU 的使用， I/O 的使用，使用地點(diǎn)及時(shí)間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網(wǎng)絡(luò)上活動(dòng)等。 基本思想是用一系列信息單元 (命令 )訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測出輸出。當(dāng)前命令和剛過去的 w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測錯(cuò)誤率在一定程度上反映了用戶行為的異常程度。目前還不很成熟。 基于行為的檢測 —— 神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)檢測思想n 基于條件概率誤用檢測n 基于專家系統(tǒng)誤用檢測n 基于狀態(tài)遷移誤用檢測n 基于鍵盤監(jiān)控誤用檢測n 基于模型誤用檢測誤用入侵檢測方法基于知識(shí)的檢測 —— 模型推理 模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識(shí)被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。根據(jù)這些知識(shí)建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。 基于知識(shí)的檢測 —— 狀態(tài)遷移分析 狀態(tài) 遷移 法將入侵過程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài) 遷移 的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作 (特征事件 )。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。 Petri網(wǎng)分析一分鐘內(nèi) 4次登錄失敗 n 基于生物免疫檢測n 基于偽裝檢測其它基于協(xié)議分析的檢測n 檢測要點(diǎn)n TCP協(xié)議： protocol:tcpn 目地端口 21： dst port:21n 必須是已經(jīng)建立的連接： conn_status:established（ TCP層狀態(tài)跟蹤）n 必須是 FTP已經(jīng)登錄成功： ftp_login:success（應(yīng)用層狀態(tài)跟蹤）n 協(xié)議命令分析，把 cd命令與后面的參數(shù)分開來，看 cd后面是目錄名是否為 “ \..%20.” ： ftpm_cd_para:” \..%20.” （協(xié)議解碼）n 分析下一個(gè)服務(wù)器回應(yīng)的包，是 “250” （成功）還是 “550” （失?。? ftp_reply:”250”|”550” （應(yīng)用層狀態(tài)跟蹤）n 很難讓這種分析產(chǎn)生誤報(bào)和漏報(bào)，而且還能跟蹤攻擊是否成功?；顒?dòng)數(shù)據(jù)源感應(yīng)器分析器管理器操作員管理員事件警報(bào)通告應(yīng)急安全策略安全策略入侵檢測系統(tǒng)原理圖攻擊模式庫入侵檢測器 應(yīng)急措施配置系統(tǒng) 庫數(shù)據(jù)采集 安全控制系統(tǒng)審計(jì)記錄 /協(xié)議數(shù)據(jù)等 系統(tǒng)操作簡單的入侵檢測示意圖基于主機(jī)的入侵檢測系統(tǒng)n 系統(tǒng)分析主機(jī)產(chǎn)生的數(shù)據(jù)（應(yīng)用程序及操作系統(tǒng)的事件日志）n 由于內(nèi)部人員的威脅正變得更重要n基于主機(jī)的檢測威脅n基于主機(jī)的結(jié)構(gòu)n優(yōu)點(diǎn)及問題基于主機(jī)的檢測威脅n 特權(quán)濫用n 關(guān)鍵數(shù)據(jù)的訪問及修改n 安全配置的變化基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu)n 基于主機(jī)的入侵檢測系統(tǒng)通常是基于代理的，代理是運(yùn)行在目標(biāo)系統(tǒng)上的可執(zhí)行程序，與中央控制計(jì)算機(jī)通信n集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置n分布式：原始數(shù)據(jù)在目標(biāo)系統(tǒng)上實(shí)時(shí)分析，只有告警命令被發(fā)送給控制臺(tái)目標(biāo)系統(tǒng)審計(jì)記錄收集方法審計(jì)記錄預(yù)處理異常檢測 誤用檢測安全管理員接口 審計(jì)記錄數(shù)據(jù) 歸檔 /查詢審計(jì)記錄數(shù)據(jù)庫審計(jì)記錄基于審計(jì)的入侵檢測系統(tǒng)結(jié)構(gòu)示意圖集中式檢測的優(yōu)缺點(diǎn)n 優(yōu)點(diǎn)：n 不會(huì)降低目標(biāo)機(jī)的性能n 統(tǒng)計(jì)行為信息n 多主機(jī)標(biāo)志、用于支持起訴的原始數(shù)據(jù)n 缺點(diǎn)：n 不能進(jìn)行實(shí)時(shí)檢測n 不能實(shí)時(shí)響應(yīng)n 影響網(wǎng)絡(luò)通信量分布式檢測的優(yōu)缺點(diǎn)n 優(yōu)點(diǎn)：n 實(shí)時(shí)告警n 實(shí)時(shí)響應(yīng)n 缺點(diǎn)：n 降低目標(biāo)機(jī)的性能n 沒有統(tǒng)計(jì)行為信息n 沒有多主機(jī)標(biāo)志n 沒有用于支持起訴的原始數(shù)據(jù)n 降低了數(shù)據(jù)的辨析能力n 系統(tǒng)離線時(shí)不能分析數(shù)據(jù)操作模式n 操作主機(jī)入侵檢測系統(tǒng)的方式n警告n監(jiān)視n毀壞情況評(píng)估n遵從性基于主機(jī)的技術(shù)面臨的問題n 性能：降低是不可避免的n 部署 /維護(hù)n 損害n 欺騙基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)n 入侵檢測系統(tǒng)分析網(wǎng)絡(luò)數(shù)據(jù)包n 基于網(wǎng)絡(luò)的檢測威脅n 基于網(wǎng)絡(luò)的結(jié)構(gòu)n 優(yōu)點(diǎn)及問題基于網(wǎng)絡(luò)的檢測威脅n 非授權(quán)訪問n 數(shù)據(jù) /資源的竊取n 拒絕服務(wù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)n 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（ Sensor)組成，傳感器會(huì)向中央控制臺(tái)報(bào)告。傳感器通常是獨(dú)立的檢測引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。n 傳統(tǒng)的基于傳感器的結(jié)構(gòu)n 分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)傳統(tǒng)的基于傳感器的結(jié)構(gòu)n 傳感器（通常設(shè)置為混雜模式）用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)分組，并將分組送往檢測引擎n 檢測引擎安裝在傳感器計(jì)算機(jī)本身n 網(wǎng)絡(luò)分接器分布在關(guān)鍵任務(wù)網(wǎng)段上，每個(gè)網(wǎng)段一個(gè)管理 /配置入侵分析引擎器網(wǎng)絡(luò)安全數(shù)據(jù)庫嗅探器 嗅探器分析結(jié)果基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型分布式網(wǎng)絡(luò)節(jié)點(diǎn)結(jié)構(gòu)n 為解決高速網(wǎng)絡(luò)上的丟包問題， 1999年 6月，出現(xiàn)的一種新的結(jié)構(gòu)，將傳感器分布到網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)上n 每個(gè)傳感器檢查流經(jīng)他的網(wǎng)絡(luò)分組，然后傳感器相互通信，主控制臺(tái)將所有的告警聚集、關(guān)聯(lián)起來數(shù)據(jù)采集構(gòu)件應(yīng)急處理構(gòu)件通信傳輸構(gòu)件檢測分析構(gòu)件管理構(gòu)件安全知識(shí)庫分布式入侵檢測系統(tǒng)結(jié)構(gòu)示意圖基于網(wǎng)絡(luò)的入侵檢測的好處n 威懾外部人員n 檢測n 自動(dòng)響應(yīng)及報(bào)告基于網(wǎng)絡(luò)的技術(shù)面臨的問題n 分組重組n 高速網(wǎng)絡(luò)n 加密n 對(duì) NIDS的規(guī)避對(duì) NIDS的規(guī)避及對(duì)策n 基于網(wǎng)絡(luò)層的規(guī)避及對(duì)策n 基于應(yīng)用層的規(guī)避及對(duì)策基于網(wǎng)絡(luò)層的規(guī)避及對(duì)策n 理論n 1998年 1月 PtacekNewsham論文：《 Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection》n 主要思想n 一個(gè)網(wǎng)絡(luò)上被動(dòng)的設(shè)備很難只根據(jù)網(wǎng)絡(luò)上的數(shù)據(jù)預(yù)計(jì)受保護(hù)的終端系統(tǒng)的行為，利用 IDS對(duì)數(shù)據(jù)包的分析處理方式與終端服務(wù)器 TCP/IP實(shí)現(xiàn)方式的不同，進(jìn)行插入、逃避及拒絕服務(wù)攻擊，使 IDS無法正確地檢測到攻擊。對(duì)數(shù)據(jù)包的不同處理方式n 當(dāng)處理到重疊的 TCP/IP分片時(shí)，有些系統(tǒng)保留新數(shù)據(jù)，有些系統(tǒng)保留老數(shù)據(jù)， IDS處理重疊時(shí)可能與終端系統(tǒng)不同n Windows NT n Linux保留新數(shù)據(jù)n 終端系統(tǒng)可能會(huì)丟棄某些帶了不被支持或不尋常的 TCP/IP選項(xiàng)的數(shù)據(jù)包， IDS則可能還會(huì)處理那些包n 終端系統(tǒng)可能被配置成丟棄源路由的包n 終端系統(tǒng)可能丟棄有老時(shí)間戳的包n 終端系統(tǒng)可能丟棄某些帶有特殊 TCP/IP選項(xiàng)組合的包n 因?yàn)榫W(wǎng)絡(luò)拓?fù)渑c數(shù)據(jù)包 TTL值的設(shè)置， IDS和終端系統(tǒng)可能收到不同的數(shù)據(jù)包更多的不同 …n 在進(jìn)行 TCP/IP分片的重組時(shí)， IDS與終端系統(tǒng)的所設(shè)定的超時(shí)可能不同，造成重組的結(jié)果不同n IDS與終端系統(tǒng)的硬件能力不同，導(dǎo)致一方能夠完成的重組對(duì)另一方來說不可能完成所有以上這些的不同，使下面的這幾種攻擊成為可能 。插入攻擊n 在數(shù)據(jù)流中插入多余的字符，而這些多余的字符會(huì)使 IDS接受而被終端系統(tǒng)所丟棄。逃避攻擊n 想辦法使數(shù)據(jù)流中的某些數(shù)據(jù)包造成終端系統(tǒng)會(huì)接受而 IDS會(huì)丟棄局面。拒絕服務(wù)攻擊n IDS本身的資源也是有限的，攻擊者可以想辦法使其耗盡其中的某種資源而使之失去正常的功能。n CPU，攻擊者可以迫使 IDS去執(zhí)行一些特別耗費(fèi)計(jì)算時(shí)間而又無意義的事n 內(nèi)存，連接狀態(tài)的保留、數(shù)據(jù)包的重組都需要大量的內(nèi)存，攻擊者可以想辦法使 IDS不停的消耗內(nèi)存n 日志記錄空間，攻擊者可以不停地觸發(fā)某個(gè)事件讓 IDS不停地記錄，最終占滿記錄空間n IDS需要處理網(wǎng)絡(luò)上所有的數(shù)據(jù)包，如果攻擊者能使 IDS所在的網(wǎng)絡(luò)達(dá)到很高的流量， IDS的檢測能力將急劇下降基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點(diǎn)有 ：（ 1）成本低。（ 2）攻擊者轉(zhuǎn)移證據(jù)很困難。（ 3）實(shí)時(shí)檢測和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的 IDS檢測可以隨時(shí)發(fā)現(xiàn)它們，因此能夠更快地作出反應(yīng)。從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低。（ 4）能夠檢測未成功的攻擊企圖。（ 5）操作系統(tǒng)獨(dú)立?；诰W(wǎng)絡(luò)的 IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源。而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用?；谥鳈C(jī)的 IDS的主要優(yōu)勢有：（ 1）非常適用于加密和交換環(huán)境。（ 2）實(shí)時(shí)的檢測和應(yīng)答。（ 3）不需要額外的硬件。主機(jī) IDS和網(wǎng)絡(luò) IDS的比較基于異常的入侵檢測n 思想：任何正常人的行為有一定的規(guī)律n 需要考慮的問題：（ 1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為（ 2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測方法的不同（ 3）考慮學(xué)習(xí)過程的時(shí)間長短、用戶行為的時(shí)效性等問題數(shù)據(jù)選取的原則（ 1）數(shù)據(jù)能充分反映用戶行為特征的全貌（ 2） 應(yīng)使需要的數(shù)據(jù)量最?。?3） 數(shù)據(jù)提取難度不應(yīng)太大NIDS抓包n PF_PACKETn從鏈路層抓包n libpcapn提供 API函數(shù)n winpcapnWindows下的抓包庫分析數(shù)據(jù)包EtherIPTCP模式匹配EtherIPTCP協(xié)議分析HTTPUnicodeXML模式匹配協(xié)議分析一個(gè)攻擊檢測實(shí)例n 老版本的 Sendmail漏洞利用$ tel 25WIZshell或者DEBUG 直接獲得 rootshell！簡單的匹配n 檢查每個(gè) packet是否包含：“WIZ”| “DEBUG”檢查端口號(hào)n 縮小匹配范圍 Port 25:{“WIZ”| “DEBUG” }深入決策樹n 只判斷客戶端發(fā)送部分 Port 25:{Clientsends: “WIZ”