【正文】 再加上其他的 Synscan屬性不會(huì)顯著地提高特征的精確度，只能增加資源的耗費(fèi)。 下面 ， 我們創(chuàng)建一個(gè)特征 ， 用于檢測(cè)由 Synscan發(fā)出的每個(gè) TCP信息包 ， 特征如下： l 只設(shè)置了 SYN和 FIN標(biāo)志； l IP鑒定號(hào)碼為 39426； l TCP窗口尺寸為 1028。沒(méi)有 ACK標(biāo)志的 ACK數(shù)值很明顯是非法的，因此非常適于選為特征數(shù)據(jù)。 TCP窗口尺寸 1028盡管有一點(diǎn)可疑，但也會(huì)自然的發(fā)生。 由此看來(lái)，選擇最佳特征是沒(méi)有固定標(biāo)準(zhǔn)的，完全應(yīng)由實(shí)際情況決定。 實(shí)際上 ，特征定義永遠(yuǎn)要在效率和精確度間取得折中 。 選擇以上 4項(xiàng)數(shù)據(jù)聯(lián)合作為特征也不現(xiàn)實(shí) ， 因?yàn)檫@顯得有些太特殊了 。 例如一個(gè)簡(jiǎn)單的特征可以是只具有 SYN和 FIN標(biāo)志的數(shù)據(jù)包 ， 雖然這可以很好地提示我們可能有一個(gè)可疑的行為發(fā)生 ， 但卻不能給出為什么會(huì)發(fā)生的更多信息 。 從以上 4個(gè)候選對(duì)象中 ， 我們可以單獨(dú)選出一項(xiàng)作為基于報(bào)頭的特征數(shù)據(jù) ， 也可以選出多項(xiàng)組合作為特征數(shù)據(jù) 。 l TCP窗口尺寸為 1028， IP鑒定號(hào)碼在所有數(shù)據(jù)包中為 39426。“ 反身 ” 端口本身并不違反 TCP標(biāo)準(zhǔn) ， 但大多數(shù)情況下它們并非預(yù)期數(shù)值 。 l 來(lái)源端口和目標(biāo)端口都被設(shè)置為 21的數(shù)據(jù)包 ， 經(jīng)常與 FTP服務(wù)器關(guān)聯(lián) 。 以下是特征數(shù)據(jù)的候選對(duì)象： l 只具有 SYN和 FIN標(biāo)志集的數(shù)據(jù)包 ， 這是公認(rèn)的惡意行為跡象 。 通過(guò)對(duì)以上數(shù)據(jù)進(jìn)行篩選 ， 看看哪個(gè)比較合適做特征數(shù)據(jù) 。 Synscan是一個(gè)流行的用于掃描和探測(cè)系統(tǒng)的工具 ， 由于它的代碼被用于創(chuàng)建蠕蟲(chóng) Ramen的開(kāi)始片斷而在 2021年早期大出風(fēng)頭 。例如，如果存在到端口 31337或 27374的可疑連接，就完全有理由懷疑有特洛伊木馬在活動(dòng)；再附加上其他探測(cè)信息，就能夠進(jìn)一步地判斷是 “ 真馬 ” 還是 “ 假馬 ” 。 這種數(shù)據(jù)包被許多入侵軟件采用 ， 向防火墻 、 路由器以及 IDS系統(tǒng)發(fā)起攻擊 。 報(bào)頭值 （ Header Values） 的結(jié)構(gòu)比較簡(jiǎn)單 ， 而且可以很清楚地識(shí)別出異常報(bào)頭信息 ， 因此 ， 特征數(shù)據(jù)的首席候選值就是報(bào)頭值 。 特征的定制或編寫(xiě)程度可粗可細(xì) ， 完全取決于實(shí)際需求 。 l未登錄情況下使用文件和目錄命令對(duì) FTP服務(wù)器的文件訪問(wèn)攻擊：通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的 FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)登錄命令的入侵企圖。 還有另外一個(gè)識(shí)別方法是：在負(fù)載中搜索 “ 殼代碼利用 ”（ exploit shellcode） 的序列代碼組合 。 l 含有特殊病毒信息的 Email：可通過(guò)對(duì)比每封 Email的主題信息和病態(tài) Email的主題信息來(lái)識(shí)別 ， 或者 ， 通過(guò)搜索相似的特定名字來(lái)識(shí)別 。 （ signature） 的基本概念 IDS中的特征就是指用于判別通訊信息種類(lèi)的樣板數(shù)據(jù) ， 通常分為多種 ， 以下是一些典型識(shí)別方法： l 來(lái)自保留 IP地址的連接企圖：可通過(guò)檢查 IP報(bào)頭 （ IP header） 的來(lái)源地址輕易地識(shí)別 。 但是 ， IDS一般所帶的特征數(shù)據(jù)庫(kù)都比較死板 ， 遇到 “ 變臉 ” 的入侵行為往往相逢不相識(shí) 。雖然我們必須注意掃描這個(gè)問(wèn)題，但在大多數(shù)情況下如果去追蹤源頭就太浪費(fèi)時(shí)間和資源了。而且每天如此大量的掃描使得我們無(wú)法去追蹤源頭。稱為攻擊追蹤可能更好一些，但也許掃描追蹤是最合適的稱呼。在大部分網(wǎng)絡(luò)環(huán)境下，漏洞掃描是經(jīng)常發(fā)生的事情。 在另一方面來(lái)說(shuō)它是指確定攻擊者的身份 。 狹義上來(lái)說(shuō) ， 就是找到事件發(fā)生的源頭 。 然而 ， 這一階段也是非常關(guān)鍵的 ， 如果這一步被忽略 ， 很難預(yù)想事件響應(yīng)工作的成功率有多大 。 6. 跟蹤階段 PDCERF方法學(xué)的最后一個(gè)階段是跟蹤 ， 其整體目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息 。另一種方法是從容錯(cuò)系統(tǒng)硬件（如冗余磁盤(pán)陣列 RAID）中恢復(fù)鏡像的數(shù)據(jù)。 數(shù)據(jù)恢復(fù)應(yīng)該十分小心。 這種策略能提供高度的可靠性 ， 保證系統(tǒng)和網(wǎng)絡(luò)部件確實(shí)回到他們正常的操作狀態(tài) 。 恢復(fù)的目標(biāo)是把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底地還原到它們正常的任務(wù)狀態(tài) 。 5. 恢復(fù)階段 PDCERF事件響應(yīng)方法學(xué)的第 5個(gè)階段是恢復(fù) 。 軟件對(duì)根除工作是很有幫助的 ， 比如 ， 防病毒軟件可以消滅大多數(shù)感染系統(tǒng)的病毒 ，如果有在抑制階段就應(yīng)該消除的特洛伊木馬程序 （ 其他后門(mén)程序或其他使得事件傳播的因素 ） 此時(shí)還駐留在系統(tǒng)中 ， 就該將其徹底清除 。 l 反擊攻擊者的系統(tǒng) ， 盡管一般來(lái)說(shuō)應(yīng)該避免這樣做 ， 而且在得到上級(jí)管理層明確的同意之前 ， 你一定不要這樣做 。 l 設(shè)置誘餌服務(wù)器作為陷阱 ， “ 陷阱及偽裝手段 ” 。 l 封鎖或刪除被攻破的登錄賬號(hào) 。 這樣至少允許本地用戶獲得一定的服務(wù) 。 決策包括下列一些措施： l 完全關(guān)閉所有系統(tǒng) 。 抑制相關(guān)的活動(dòng)當(dāng)然只有在第 2階段觀察到事件的確已經(jīng)發(fā)生的基礎(chǔ)上才能進(jìn)行 。這一點(diǎn)大大提升了檢測(cè)在其他 5個(gè)階段的相對(duì)重要性。 從操作的角度來(lái)講，事件響應(yīng)過(guò)程中所有的動(dòng)作都依賴于檢測(cè)。 比如 ，病毒感染可以用病毒檢測(cè)軟件而不是入侵檢測(cè)軟件來(lái)發(fā)現(xiàn) 。 檢測(cè)意味著弄清是否出現(xiàn)了惡意代碼 、 文件和目錄是否被篡改或者出現(xiàn)其他的特征；如果是的話 ， 問(wèn)題在哪里 ， 影響范圍有多大 。 準(zhǔn)備階段具體措施為： l 基于威脅建立一組合理的防御 /控制措施； l 建立一組盡可能高效的事件處理程序； l 獲得處理問(wèn)題必須的資源和人員； l 建立一個(gè)支持事件響應(yīng)活動(dòng)的基礎(chǔ)設(shè)施 。 1. 準(zhǔn)備階段 第 1個(gè)階段是準(zhǔn)備 ， 即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備 。 行動(dòng)可能來(lái)自于人也可能來(lái)自于計(jì)算機(jī)系統(tǒng) 。 “ 事件響應(yīng) ” 的意思是事件發(fā)生后采取的措施和行動(dòng) 。 惡意事件包括對(duì)系統(tǒng)的破壞 、 在某個(gè)網(wǎng)絡(luò)內(nèi) IP包的泛濫 、 未經(jīng)授權(quán)的情況下使用另一個(gè)用戶的賬戶或系統(tǒng)的特殊權(quán)限 、 黑掉了一個(gè)或若干個(gè)網(wǎng)頁(yè)以及執(zhí)行惡意代碼并毀壞了數(shù)據(jù) 。 所謂 “ 事件 ” ， 我們指的是那些影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為 。 規(guī)則頭定義了規(guī)則的行為 、 所匹配網(wǎng)絡(luò)報(bào)文的協(xié)議 、 源地址 、 目標(biāo)地址及其網(wǎng)絡(luò)掩碼 、 源端口和目標(biāo)端口等信息；規(guī)則選項(xiàng)部分則包含了所要顯示給用戶查看的警告信息以及用來(lái)判定此報(bào)文是否為攻擊報(bào)文的其他信息 。 （ 3）日志和報(bào)警子系統(tǒng) 日志和報(bào)警子系統(tǒng)可以在運(yùn)行 Snort的時(shí)候以命令行交互的方式進(jìn)行選擇 。 當(dāng)數(shù)據(jù)包滿足一個(gè)規(guī)則時(shí) ， 就會(huì)觸發(fā)相應(yīng)的操作 。 為了提高檢測(cè)速度 ， 通常把最常用的源 /目的 IP地址和端口信息放在規(guī)則頭鏈表中 ， 而把一些獨(dú)特的檢測(cè)標(biāo)志放在規(guī)則選項(xiàng)鏈表中 。 (2)檢測(cè)引擎 Snort用一個(gè)二維鏈表存儲(chǔ)它的檢測(cè)規(guī)則 ， 其中一維稱為規(guī)則頭 ， 另一維稱為規(guī)則選項(xiàng) 。 因?yàn)楫?dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)流速度很快 ， 如何保障較高的速度是解碼器子系統(tǒng)中的一個(gè)重點(diǎn) 。 （ 1） 數(shù)據(jù)包解碼器 數(shù)據(jù)包解碼器主要是對(duì)各種協(xié)議棧上的數(shù)據(jù)包進(jìn)行解析 、 預(yù)處理 ， 以便提交給檢測(cè)引擎進(jìn)行規(guī)則匹配 。 Snort安裝在一臺(tái)主機(jī)上可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視，其典型運(yùn)行環(huán)境如圖 93所示。 Snort具有實(shí)時(shí)報(bào)警的能力，它的警報(bào)信息可以發(fā)往 syslog、 Server Message Block（ SMB）、 WinPopup messages 或者單獨(dú) alert文件。 主要工作是捕捉流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包 ， 一旦發(fā)現(xiàn)與非法入侵的組合一致 ， 便向管理員發(fā)出警告 。從入侵檢測(cè)分類(lèi)上來(lái)看， Snort應(yīng)該是一個(gè)基于網(wǎng)絡(luò)和誤用入侵檢測(cè)軟件。較適用的方法是將專家系統(tǒng)與采用軟計(jì)算方法技術(shù)的入侵檢測(cè)系統(tǒng)結(jié)合在一起，構(gòu)成一個(gè)以已知的入侵規(guī)則為基礎(chǔ)，可擴(kuò)展的動(dòng)態(tài)入侵事件檢測(cè)系統(tǒng)，自適應(yīng)地進(jìn)行特征與異常檢測(cè)，實(shí)現(xiàn)高效的入侵檢測(cè)及其防御。 由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性。 將有關(guān)入侵的知識(shí)轉(zhuǎn)化為 ifthen結(jié)構(gòu) (也可以是復(fù)合結(jié)構(gòu) )， if部分為入侵特征 ， then部分是系統(tǒng)防范措施 。 專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性 ， 知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性 。 所謂的規(guī)則 ， 即是知識(shí) 。 時(shí)間序列分析：將事件計(jì)數(shù)