【正文】 的攻擊 3. 沒有理解能力：模式匹配系統(tǒng)沒有判別模式的真實含義和實際效果的能力，因此，所有的變形都將成為攻擊特征庫里一個不同的特征，這就是模式匹配系統(tǒng)有一個龐大的特征庫的原因 缺點 新技術的出現(xiàn) 1. 高速網(wǎng)絡的出現(xiàn) 基于模式匹配的入侵檢測系統(tǒng)在一個滿負荷的 100兆以太網(wǎng)上，將不得不丟棄 30%～ 75%的數(shù)據(jù)流量 某些系統(tǒng)，即使在利用率為 20%的 100兆以太網(wǎng)上也已經(jīng)開始漏掉某些攻擊行為 2. 攻擊技術的提高 3. 降低錯報率和漏報率的要求 ?協(xié)議分析加命令解析技術是一種新的入侵檢測技術，它結(jié)合高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析來進行入侵檢測，給入侵檢測戰(zhàn)場帶來了許多決定性的優(yōu)勢 ?由于有了協(xié)議分析加命令解析的高效技術，基于運行在單個 Intel架構(gòu)計算機上的入侵檢測系統(tǒng)的千兆網(wǎng)絡警戒系統(tǒng)，就能分析一個高負載的千兆以太網(wǎng)上同時存在的超過 300萬個連接，而不錯漏一個包 協(xié)議分析 ＋ 命令解析 協(xié)議分析充分利用了網(wǎng)絡協(xié)議的高度有序性，使用這些知識快速檢測某個攻擊特征的存在 協(xié)議分析 因為系統(tǒng)在每一層上都沿著協(xié)議棧向上解碼，因此可以使用所有當前已知的協(xié)議信息，來排除所有不屬于這一個協(xié)議結(jié)構(gòu)的攻擊。 協(xié)議解碼 ? Protocol Analysis ?Ether、 IP、 ARP ?TCP、 UDP、 ICMP ?HTTP、 Tel、 DNS、 FTP、 IRC、NetBIOS、 SMB、 SMTP、 SNMP、 TFTP、RPC、 POP Finger、 rlogin、 MIME、IMAP VNC、 RealAudio、 NetGames、MS SQL 協(xié)議分析的優(yōu)勢 ? 效率高 ? 檢測 0day漏洞腳本 ?例如大量的 90字符可能是 ShellCode中的NOOP操作。 ? 依據(jù) RFC，執(zhí)行協(xié)議異常分析 解析器是一個命令解釋程序，入侵檢測引擎包括了多種不同的命令語法解析器，因此，它能對不同的高層協(xié)議 —— 如Tel、 FTP、 HTTP、 SMTP、 SNMP、 DNS等的用戶命令進行詳細的分析。 命令解析器具有讀取攻擊串及其所有可能的變形，并發(fā)掘其本質(zhì)含義的能力。這樣，在攻擊特征庫中只需要一個特征，就能檢測這一攻擊所有可能的變形。 解析器在發(fā)掘出命令的真實含義后將給惡意命令做好標記，主機將會在這些包到達操作系統(tǒng)、應用程序之前丟棄它們。 命令解析 第一步 —— 直接跳到第 13個字節(jié)，并讀取 2個字節(jié)的協(xié)議標識。如果值是 0800，則說明這個以太網(wǎng)幀的數(shù)據(jù)域攜帶的是 IP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第二步的檢測工作。 第二步 —— 跳到第 24個字節(jié)處讀取 1字節(jié)的第四層協(xié)議標識。如果讀取到的值是 06，則說明這個 IP幀的數(shù)據(jù)域攜帶的是 TCP包，入侵檢測利用這一信息指示第三步的檢測工作。 第三步 —— 跳到第 35個字節(jié)處讀取一對端口號。如果有一個端口號是0080，則說明這個 TCP幀的數(shù)據(jù)域攜帶的是 HTTP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第四步的檢測工作。 第四步 —— 讓解析器從第 55個字節(jié)開始讀取 URL。 URL串將被提交給 HTTP解析器，在它被允許提交給 Web服務器前，由 HTTP解析器來分析它是否可能會做攻擊行為。 典型例子 ● 提高了性能 ：協(xié)議分析利用已知結(jié)構(gòu)的通信協(xié)議，與模式匹配系統(tǒng)中傳統(tǒng)的窮舉分析方法相比，在處理數(shù)據(jù)幀和連接時更迅速、有效。 ● 提高了準確性 ：與非智能化的模式匹配相比，協(xié)議分析減少了虛警和誤判的可能性，命令解析（語法分析）和協(xié)議解碼技術的結(jié)合，在命令字符串到達操作系統(tǒng)或應用程序之前，模擬它的執(zhí)行，以確定它是否具有惡意。 ● 基于狀態(tài)的分析 ：當協(xié)議分析入侵檢測系統(tǒng)引擎評估某個包時，它考慮了在這之前相關的數(shù)據(jù)包內(nèi)容，以及接下來可能出現(xiàn)的數(shù)據(jù)包。與此相反，模式匹配入侵檢測系統(tǒng)孤立地考察每個數(shù)據(jù)包。 ● 反規(guī)避能力 ：因為協(xié)議分析入侵檢測系統(tǒng)具有判別通信行為真實意圖的能力，它較少地受到黑客所用的像 URL編碼、干擾信息、 TCP/IP分片等入侵檢測系統(tǒng)規(guī)避技術的影響。 ● 系統(tǒng)資源開銷小 ：協(xié)議分析入侵檢測系統(tǒng)的高效性降低了在網(wǎng)絡和主機探測中的資源開銷，而模式匹配技術卻是個可怕的系統(tǒng)資源消費者。 優(yōu)點 部署 ? NIDS的位置必須要看到所有數(shù)據(jù)包 ?共享媒介 HUB ?交換環(huán)境 ?隱蔽模式 ?千兆網(wǎng) ? 分布式結(jié)構(gòu) ?Sensor ?Console 共享媒介 HUB IDS Sensor Monitored Servers Console 交換環(huán)境 Switch IDS Sensor Monitored Servers Console 通過端口鏡像實現(xiàn) （ SPAN / Port Monitor） 隱蔽模式 Switch IDS Sensor Monitored Servers Console 不設 IP 千兆網(wǎng)絡 IDS Sensors L4或 L7 交換設備 Advanced 1 Gb to many 100Mb Sensors (Advanced concept) Deployment of IDS Inter FireWall IDS 1 IDS 2 IDS 3 IDS1 Monitor of External Traffic IDS2 Monitor of Internal Traffic IDS3 Monitor of Firewalls External 性能測試 ? 實際生產(chǎn)環(huán)境 ? 模擬流量 ?硬件： SmartBits ? 人為構(gòu)造一定大小的數(shù)據(jù)報，從 64bytes到1500bytes，衡量不同 pps(packets per second)下IDS對攻擊的檢測情況。 ?軟件： tcpdump amp。 tcpreplay ? 對流量的回放 IDS躲避測試 ? URL編碼 ? “ cgibin”? “%63%67%69%2d%62%69%6e” ? Insersion，插入其他字符 ?“ GET /cgibin/phf” ? “GET //cgibin//phf” 以繞過攻擊特征庫。 ? 將攻擊包以碎片方式發(fā)出 ?fragrouter 狀態(tài)性測試 ? Stateful ? ? 測試工具： Stick/Snot ?不建立連接，直接發(fā)送攻擊數(shù)據(jù)包 ?只分析單個數(shù)據(jù)包的 IDS會大量誤報 ? 要減少誤報， IDS必須維護連接狀態(tài) 狀態(tài)性測試： CGI攻擊舉例 三 次 握 手 SYN 1. SYN/ACK 2. ACK 3. GET /cgibin/phf 4. 200 OK 或 404 Not Found 5. 1) 不握手，直接發(fā)送第 4個包； 2) 握手，能否跟蹤返回的第 5個包，判斷攻擊成功與否？ 產(chǎn)品 ? 免費 ?Snort ? ?SHADOW ? 產(chǎn)品 ? 商業(yè) ?CyberCop Monitor, NAI ?Dragon Sensor, Enterasys ?eTrust ID, CA ?NetProwler, Symantec ?NetRanger, Cisco ?NID100/200, NFR Security ?RealSecure, ISS ?SecureNet Pro, 資源 ? IDS FAQ ? ? FocusIDS Mailinglist ? ? Yawl ? ? OldHand ? ? Sinbad ? 1. 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設計原理 4. 入侵檢測響應機制 5. 入侵檢測標準化工作 6. 其它 ? 展望 面臨的問題 (1) 隨著能力的提高 ， 入侵者會研制更多的攻擊工具 ， 以及使用更為復雜精致的攻擊手段 ， 對更大范圍的目標類型實施攻擊； (2) 入侵者采用加密手段傳輸攻擊信息； (3) 日益增長的網(wǎng)絡流量導致檢測分析難度加大； (4) 缺乏統(tǒng)一的入侵檢測術語和概念框架； (5) 不適當?shù)淖詣禹憫獧C制存在著巨大的安全風險； (6) 存在對入侵檢測系統(tǒng)自身的攻擊； (7) 過高的錯報率和誤報率 ， 導致很難確定真正的入侵行為； (8) 采用交換方法限制了網(wǎng)絡數(shù)據(jù)的可見性； (9) 高速網(wǎng)絡環(huán)境導致很難對所有數(shù)據(jù)進行高效實時分析 發(fā)展方向 1. 更有效的集成各種入侵檢測數(shù)據(jù)源 ， 包括從不同的系統(tǒng)和不同的傳感器上采集的數(shù)據(jù) ， 提高報警準確率； 2. 在事件診斷中結(jié)合人工分析； 3. 提高對惡意代碼的檢測能力 ， 包括 攻擊 ， Java， ActiveX等； 4. 采用一定的方法和策略來增強異種系統(tǒng)的互操作性和數(shù)據(jù)一 致性； 5. 研制可靠的測試和評估標準； 6. 提供科學的漏洞分類方法 ， 尤其注重從攻擊客體而不是攻擊主體的觀點出發(fā)； 7. 提供對更高級的攻擊行為如分布式攻擊 、 拒絕服務攻擊等的檢測手段；