【正文】 ? 將攻擊包以碎片方式發(fā)出 ?fragrouter 狀態(tài)性測試 ? Stateful ? ? 測試工具： Stick/Snot ?不建立連接，直接發(fā)送攻擊數(shù)據(jù)包 ?只分析單個(gè)數(shù)據(jù)包的 IDS會(huì)大量誤報(bào) ? 要減少誤報(bào)， IDS必須維護(hù)連接狀態(tài) 狀態(tài)性測試： CGI攻擊舉例 三 次 握 手 SYN 1. SYN/ACK 2. ACK 3. GET /cgibin/phf 4. 200 OK 或 404 Not Found 5. 1) 不握手，直接發(fā)送第 4個(gè)包； 2) 握手，能否跟蹤返回的第 5個(gè)包，判斷攻擊成功與否？ 產(chǎn)品 ? 免費(fèi) ?Snort ? ?SHADOW ? 產(chǎn)品 ? 商業(yè) ?CyberCop Monitor, NAI ?Dragon Sensor, Enterasys ?eTrust ID, CA ?NetProwler, Symantec ?NetRanger, Cisco ?NID100/200, NFR Security ?RealSecure, ISS ?SecureNet Pro, 資源 ? IDS FAQ ? ? FocusIDS Mailinglist ? ? Yawl ? ? OldHand ? ? Sinbad ? 1. 概述 2. 入侵檢測方法 3. 入侵檢測系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測響應(yīng)機(jī)制 5. 入侵檢測標(biāo)準(zhǔn)化工作 6. 其它 ? 展望 面臨的問題 (1) 隨著能力的提高 ， 入侵者會(huì)研制更多的攻擊工具 ， 以及使用更為復(fù)雜精致的攻擊手段 ， 對更大范圍的目標(biāo)類型實(shí)施攻擊； (2) 入侵者采用加密手段傳輸攻擊信息； (3) 日益增長的網(wǎng)絡(luò)流量導(dǎo)致檢測分析難度加大； (4) 缺乏統(tǒng)一的入侵檢測術(shù)語和概念框架； (5) 不適當(dāng)?shù)淖詣?dòng)響應(yīng)機(jī)制存在著巨大的安全風(fēng)險(xiǎn)； (6) 存在對入侵檢測系統(tǒng)自身的攻擊； (7) 過高的錯(cuò)報(bào)率和誤報(bào)率 ， 導(dǎo)致很難確定真正的入侵行為； (8) 采用交換方法限制了網(wǎng)絡(luò)數(shù)據(jù)的可見性； (9) 高速網(wǎng)絡(luò)環(huán)境導(dǎo)致很難對所有數(shù)據(jù)進(jìn)行高效實(shí)時(shí)分析 發(fā)展方向 1. 更有效的集成各種入侵檢測數(shù)據(jù)源 ， 包括從不同的系統(tǒng)和不同的傳感器上采集的數(shù)據(jù) ， 提高報(bào)警準(zhǔn)確率； 2. 在事件診斷中結(jié)合人工分析； 3. 提高對惡意代碼的檢測能力 ， 包括 攻擊 ， Java， ActiveX等； 4. 采用一定的方法和策略來增強(qiáng)異種系統(tǒng)的互操作性和數(shù)據(jù)一 致性； 5. 研制可靠的測試和評估標(biāo)準(zhǔn)； 6. 提供科學(xué)的漏洞分類方法 ， 尤其注重從攻擊客體而不是攻擊主體的觀點(diǎn)出發(fā)； 7. 提供對更高級的攻擊行為如分布式攻擊 、 拒絕服務(wù)攻擊等的檢測手段； 。 ?軟件： tcpdump amp。 ● 系統(tǒng)資源開銷小 ：協(xié)議分析入侵檢測系統(tǒng)的高效性降低了在網(wǎng)絡(luò)和主機(jī)探測中的資源開銷，而模式匹配技術(shù)卻是個(gè)可怕的系統(tǒng)資源消費(fèi)者。與此相反，模式匹配入侵檢測系統(tǒng)孤立地考察每個(gè)數(shù)據(jù)包。 ● 提高了準(zhǔn)確性 ：與非智能化的模式匹配相比，協(xié)議分析減少了虛警和誤判的可能性，命令解析（語法分析）和協(xié)議解碼技術(shù)的結(jié)合，在命令字符串到達(dá)操作系統(tǒng)或應(yīng)用程序之前，模擬它的執(zhí)行，以確定它是否具有惡意。 URL串將被提交給 HTTP解析器，在它被允許提交給 Web服務(wù)器前，由 HTTP解析器來分析它是否可能會(huì)做攻擊行為。如果有一個(gè)端口號是0080，則說明這個(gè) TCP幀的數(shù)據(jù)域攜帶的是 HTTP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第四步的檢測工作。如果讀取到的值是 06，則說明這個(gè) IP幀的數(shù)據(jù)域攜帶的是 TCP包，入侵檢測利用這一信息指示第三步的檢測工作。如果值是 0800，則說明這個(gè)以太網(wǎng)幀的數(shù)據(jù)域攜帶的是 IP包，基于協(xié)議解碼的入侵檢測利用這一信息指示第二步的檢測工作。 解析器在發(fā)掘出命令的真實(shí)含義后將給惡意命令做好標(biāo)記，主機(jī)將會(huì)在這些包到達(dá)操作系統(tǒng)、應(yīng)用程序之前丟棄它們。 命令解析器具有讀取攻擊串及其所有可能的變形，并發(fā)掘其本質(zhì)含義的能力。 協(xié)議解碼 ? Protocol Analysis ?Ether、 IP、 ARP ?TCP、 UDP、 ICMP ?HTTP、 Tel、 DNS、 FTP、 IRC、NetBIOS、 SMB、 SMTP、 SNMP、 TFTP、RPC、 POP Finger、 rlogin、 MIME、IMAP VNC、 RealAudio、 NetGames、MS SQL 協(xié)議分析的優(yōu)勢 ? 效率高 ? 檢測 0day漏洞腳本 ?例如大量的 90字符可能是 ShellCode中的NOOP操作。這一計(jì)算速度要求大大超出了現(xiàn)有的技術(shù)條件。 4. 模型產(chǎn)生的主要目的是為了加快開發(fā)以及分發(fā)新的入侵檢測模型的速度 響應(yīng)協(xié)同 理想的情況是，建立相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的安全體系，實(shí)現(xiàn)防火墻、 IDS、病毒防護(hù)系統(tǒng)和審計(jì)系統(tǒng)等的互通與聯(lián)動(dòng)，以實(shí)現(xiàn)整體安全防護(hù) 響應(yīng)協(xié)同 ：當(dāng) IDS檢測到需要阻斷的入侵行為時(shí)，立即迅速啟動(dòng)聯(lián)動(dòng)機(jī)制，自動(dòng)通知防火墻或其他安全控制設(shè)備對攻擊源進(jìn)行封堵，達(dá)到整體安全控制的效果。 4. 在數(shù)據(jù)采集上進(jìn)行協(xié)同并充分利用各層次的數(shù)據(jù)，是提高入侵檢測能力的首要條件 數(shù)據(jù)分析協(xié)同 入侵檢測不僅需要利用模式匹配和異常檢測技術(shù)來分析某個(gè)檢測引擎所采集的數(shù)據(jù)，以發(fā)現(xiàn)一些簡單的入侵行為，還需要在此基礎(chǔ)上利用 數(shù)據(jù)挖掘 技術(shù)，分析多個(gè)檢測引擎提交的審計(jì)數(shù)據(jù)以發(fā)現(xiàn)更為復(fù)雜的入侵行為。 MSIE 。 MSIE 。傳感器通常是獨(dú)立的檢測引擎，能獲得網(wǎng)絡(luò)分組、找尋誤用模式，然后告警。其次，通過在網(wǎng)絡(luò)上發(fā)送 reset包切斷連接 ? 但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設(shè)備，其方法是：通過偽裝成一個(gè)友方的地址來發(fā)動(dòng)攻擊，然后 IDS就會(huì)配置路由器和防火墻來拒絕這些地址，這樣實(shí)際上就是對“自己人”拒絕服務(wù)了 ? 發(fā)送 reset包的方法要求有一個(gè)活動(dòng)的網(wǎng)絡(luò)接口，這樣它將置于攻擊之下，一個(gè)補(bǔ)救的辦法是：使活動(dòng)網(wǎng)絡(luò)接口位于防火墻內(nèi)，或者使用專門的發(fā)包程序，從而避開標(biāo)準(zhǔn) IP棧需求 Automated Response ? IDS的核心是攻擊特征，它使 IDS在事件發(fā)生時(shí)觸發(fā) ? 特征信息過短會(huì)經(jīng)常觸發(fā) IDS，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過長則會(huì)減慢 IDS的工作速度 ? 有人將 IDS所支持的特征數(shù)視為 IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的 IDS Signatures（ 特征 ） Promiscuous（ 混雜模式 ） ? 默認(rèn)狀態(tài)下， IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的 nonpromiscuous（非混雜模式） ? 如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地 ? 這對于網(wǎng)絡(luò) IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡(luò)通信量 ? 交換型 HUB可以解決這個(gè)問題，在能看到全面通信量的地方，會(huì)都許多跨越（ span）端口 1. 概述 ? 入侵檢測方法 3. 入侵檢測系統(tǒng)的設(shè)計(jì)原理 4. 入侵檢測響應(yīng)機(jī)制 5. 入侵檢測標(biāo)準(zhǔn)化工作 6. 其它 7. 展望 入侵檢測相關(guān)的數(shù)學(xué)模型 ?試驗(yàn)?zāi)Ｐ?（ Operational Model） ?平均值和標(biāo)準(zhǔn)差模型 （ Mean and Standard Deviation Model） : ?多變量模型 （ Multivariate Model） : 多個(gè)隨機(jī)變量的相關(guān)性計(jì)算 ， ?馬爾可夫過程模型 （ Markov Process Model） ：初始分布和概率轉(zhuǎn)移矩陣；預(yù)測新的事件的出現(xiàn)頻率太低 ， 則表明出現(xiàn)異常情況 。 Anomaly Detection activity measures 0102030405060708090C P U P r oc e s sS i z en or m al p r of i l eab n or m alprobable intrusion Relatively high false positive rate anomalies can just be new normal activities. System Audit Metrics Pattern Matcher Intrusion Normal Activity No Signature Match Signature Match 誤用檢測模型 誤用檢測 1. 前提：所有的入侵行為都有可被檢測到的特征 2. 攻擊特征庫 : 當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 3. 過程 監(jiān)控 ? 特征提取 ? 匹配 ? 判定 4. 指標(biāo) 錯(cuò)報(bào)低 漏報(bào)高