攻擊檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)

1、目錄4、入侵檢測(cè)技術(shù)4.1 引言4.2 入侵檢測(cè)的定義及評(píng)測(cè)標(biāo)準(zhǔn)4.3 入侵檢測(cè)防范的典型黑客攻擊類型4.4 異常檢測(cè)技術(shù)4.5 濫用檢測(cè)技術(shù)網(wǎng)絡(luò)入侵的特點(diǎn)：1 .沒有地域和時(shí)間的限制；2 .通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動(dòng)之間，隱蔽性強(qiáng)；3 .入侵手段更加隱蔽和復(fù)雜。防火墻的缺點(diǎn):1. 傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)平安防御技術(shù),對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反響；2. 難于防止內(nèi)部人員的攻擊，而網(wǎng)絡(luò)上來自內(nèi)部攻擊事件占70%左右；3. 難于管理和配置，易造成平安破綻；4. 因?yàn)榉阑饓σD(zhuǎn)發(fā)報(bào)文，往往成為網(wǎng)絡(luò)性能的瓶頸。這個(gè)問題隨著高帶寬網(wǎng)絡(luò)的流行尤為嚴(yán)

2、重；5. 單層防御體系，一旦被打破那么黑客可以為所欲為。(1)入侵檢測(cè)技術(shù)是動(dòng)態(tài)平安技術(shù)(P2DR)的最核心的技術(shù)之檢測(cè)是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵；檢測(cè)是動(dòng)態(tài)響應(yīng)的根據(jù)；檢測(cè)是落實(shí)/強(qiáng)迫執(zhí)行平安策略的有力工具。(2)入侵檢測(cè)系統(tǒng)IDS是對(duì)防火墻的必要補(bǔ)充；入侵檢測(cè)在其入侵檢測(cè)是為那些已經(jīng)采取了結(jié)合強(qiáng)防火墻和驗(yàn)證技術(shù)措施的客戶準(zhǔn)備的,上又增加了一層平安性。(3)對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)展實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者;(4)預(yù)防合法用戶對(duì)資源的誤操作以及發(fā)現(xiàn)內(nèi)部人員作案；(5)采用被動(dòng)式的監(jiān)聽報(bào)文的方式捕獲入侵，不會(huì)成為網(wǎng)絡(luò)性能的瓶頸。入侵檢測(cè)的定義入侵測(cè)：是指對(duì)于面向計(jì)算資源和網(wǎng)絡(luò)資源的惡

3、意行為的識(shí)別和響應(yīng)。入侵：是指任何試圖破壞資源完好性、機(jī)密性和可用性的行為。這里，應(yīng)該包括用戶對(duì)于系統(tǒng)資源的誤用。從入侵策略的角度可將入侵檢測(cè)的內(nèi)容分為：試圖闖入或成功闖入、冒充其它用戶、違犯平安策略、合法用戶的泄漏、獨(dú)占資源以及惡意使用等6個(gè)方面。入侵檢測(cè)的評(píng)價(jià)標(biāo)準(zhǔn)準(zhǔn)確性：指IDS對(duì)系統(tǒng)環(huán)境中的異常行為或入侵與合法行為進(jìn)展區(qū)分的才能；性能：指IDS處理審計(jì)事件的效率；完好性：指IDS可以檢測(cè)到所有的攻擊；容錯(cuò)性：指IDS本身對(duì)于攻擊的抵御才能和從系統(tǒng)崩潰中恢復(fù)的才能；時(shí)限性timeliness：指IDS執(zhí)行并完成分析，以及進(jìn)展響應(yīng)的時(shí)間快慢。此外，還應(yīng)考慮以下幾點(diǎn):1.IDS運(yùn)行時(shí)，盡量減少

4、對(duì)系統(tǒng)的開銷，以便不影響其它正常操作；2. 可以針對(duì)系統(tǒng)的平安策略對(duì)IDS進(jìn)展配置；3. 對(duì)系統(tǒng)和用戶行為隨時(shí)間的變化具有適應(yīng)性?；诰W(wǎng)絡(luò)的IDS還應(yīng)具有以下性質(zhì)：可伸縮性、部件相關(guān)性小、允許動(dòng)態(tài)重構(gòu)。尋找攻擊目的并搜集相關(guān)信息及破綻，如PingSweeps,TCP/UDPscan,SATAN,ortScan；搶占目的系統(tǒng)資源阻止合法用戶使用系統(tǒng)或使系統(tǒng)崩潰，如PingofDeath,SYNFlood,TearDrop,UDPBomb,Land/Latierra,WinNuke,Trinoo,TFN2K,Stacheldraht等；利用系統(tǒng)應(yīng)用程序中存在的錯(cuò)誤，執(zhí)行特定的代碼以獲取系統(tǒng)的超級(jí)權(quán)

5、限，如DNSoverflow,Statdoverflow等；4 .WEB攻擊:利用CGI、WEB效勞器和閱讀器中存在的平安漏洞，損害系統(tǒng)平安或?qū)е孪到y(tǒng)崩潰，如URL,HTTP,HTML,JavaScript,Frames,Java,andActiveX等；5 .郵件攻擊:郵件炸彈、郵件滾雪球、郵件欺騙等；6 .非授權(quán)訪問:越權(quán)訪問文件、執(zhí)行無權(quán)操作，如Admind,EvilFTPBackdoor,Finger_perl,FTP_Root,BackOrifice等；7 .網(wǎng)絡(luò)效勞缺陷攻擊:利用NFS，NIS，F(xiàn)TP等效勞存在的漏洞，進(jìn)展攻擊和非法訪問，如NfsGuess,NfsMknod等；8

6、.網(wǎng)絡(luò)監(jiān)聽:獲取有用信息，奪取網(wǎng)絡(luò)控制權(quán)，如snoop,tcpdump,Netwatch,sniffer等。(1) 基于統(tǒng)計(jì)方法的攻擊檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況,根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)展監(jiān)測(cè),當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。SRI(StanfordResearchInstitute)研制開發(fā)的IDES(IntrusionDetectionExpertSystem)是一個(gè)典型的實(shí)時(shí)檢測(cè)系統(tǒng)。IDES系統(tǒng)能根據(jù)用戶以前的歷史行為決定用戶當(dāng)前的行為是否合法。系統(tǒng)根據(jù)用戶的歷史行為,生成每個(gè)用戶的歷史行為記錄庫(kù)。IDES可以自適應(yīng)

7、地學(xué)習(xí)被檢測(cè)系統(tǒng)中每個(gè)用戶的行為習(xí)慣，當(dāng)某個(gè)用戶改變他的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來。目前IDES實(shí)現(xiàn)的監(jiān)測(cè)主要基于以下兩個(gè)方面：一般工程：例如CPU的使用時(shí)間：IO的使用通道和頻率，常用目錄的建立與刪除，文件的讀寫、修改、刪除，以及來自局域網(wǎng)的行為；特定工程：包括習(xí)慣使用的編輯器和編譯器、最常用的系統(tǒng)調(diào)用、用戶ID的存取、文件和目錄的使用?；诮y(tǒng)計(jì)的攻擊檢測(cè)系統(tǒng)的缺點(diǎn)因?yàn)橛脩舻男袨榭梢允欠浅?fù)雜的,所以想要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為相當(dāng)困難。錯(cuò)發(fā)的警報(bào)往往來自對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。(2) 基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測(cè)到

8、的信息有效地加以處理作出攻擊可能性的判斷。神經(jīng)網(wǎng)絡(luò)技術(shù)可以用于解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的以下問題：1. 難于建立確切的統(tǒng)計(jì)分布：統(tǒng)計(jì)方法根本上是依賴于用戶行為的主觀假設(shè)，如偏向高斯分布；錯(cuò)發(fā)警報(bào)常由這種假設(shè)所導(dǎo)致;2. 難于實(shí)現(xiàn)方法的普適性：適用于某類用戶行為的檢測(cè)措施一般無法適用于另一類用戶；3 .算法實(shí)現(xiàn)比較昂貴：由于基于統(tǒng)計(jì)的算法對(duì)不同類型的用戶行為不具有自適應(yīng)性，因此算法比較復(fù)雜而且龐大，導(dǎo)致算法實(shí)現(xiàn)上的昂貴；4 .系統(tǒng)臃腫難于剪裁：由于采用統(tǒng)計(jì)方法檢測(cè)具有大量用戶的計(jì)算機(jī)系統(tǒng)，將不得不保存大量的用戶行為信息，導(dǎo)致系統(tǒng)的臃腫和難于剪裁。目前，雖然神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)

9、的攻擊檢測(cè)方法的改進(jìn)方向，但尚不非常成熟，所以傳統(tǒng)的統(tǒng)計(jì)方法仍將繼續(xù)發(fā)揮作用?；趯＜蚁到y(tǒng)的攻擊檢測(cè)技術(shù)根據(jù)平安專家對(duì)可疑行為的分析經(jīng)歷來形成一套推理規(guī)那么，然后再在此根底之上構(gòu)成相應(yīng)的專家系統(tǒng)，并應(yīng)用于入侵檢測(cè)。所謂專家系統(tǒng)是基于一套由專家經(jīng)歷事先定義的規(guī)那么的推理系統(tǒng)。例如，在數(shù)分鐘之內(nèi)某個(gè)用戶連續(xù)進(jìn)展登錄，而且失敗超過三次就可以被認(rèn)為是一種攻擊行為。專家系統(tǒng)對(duì)歷史數(shù)據(jù)的依賴性總的來說比基于統(tǒng)計(jì)的檢測(cè)技術(shù)的審計(jì)系統(tǒng)較少，因此系統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈敏地適應(yīng)廣泛的平安策略和檢測(cè)需求?；谝?guī)那么的專家系統(tǒng)或推進(jìn)系統(tǒng)的局限性:因?yàn)樽鳛檫@類系統(tǒng)的根底的推理規(guī)那么一般都是根據(jù)的平安破綻進(jìn)展安排和

10、籌劃的，而對(duì)系統(tǒng)的最危險(xiǎn)的威脅那么主要是來自未知的平安破綻；其功能應(yīng)當(dāng)可以隨著經(jīng)歷的積累而利用其自學(xué)習(xí)才能進(jìn)展規(guī)那么的擴(kuò)大和修正，實(shí)際操作起來很困難?；谀Ｐ屯评淼墓魴z測(cè)技術(shù)攻擊者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。用基于模型的推理方法人們可以為某些行為建立特定的模型，從而可以監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本?；谛问狡ヅ涞臋z測(cè)技術(shù)在大多數(shù)入侵檢測(cè)系統(tǒng)中，識(shí)別網(wǎng)絡(luò)攻擊采用的方法還是形式匹配，這主要是因?yàn)槟壳捌渌夹g(shù)或者實(shí)用性較差或者實(shí)時(shí)性不能滿足要求。形式匹配的根本思想是：提取各種攻擊的特征如協(xié)議、IP地址、效勞端口等，建立一個(gè)用于檢測(cè)的特征庫(kù)，以特征庫(kù)為根據(jù)來執(zhí)行形式匹配從而識(shí)別大量的攻擊和試探。目前常見的形式匹配算法，如Snort,存在效率低、不能適應(yīng)高速網(wǎng)絡(luò)的入侵檢測(cè)等缺點(diǎn)。因此針對(duì)規(guī)那么庫(kù)采用的規(guī)那么構(gòu)造，改進(jìn)規(guī)那么的存儲(chǔ)構(gòu)造、數(shù)據(jù)構(gòu)造以及匹配方法，可以有效進(jìn)步規(guī)那么的匹配效率。m KiGNATunt6m 任彥中蚱用冉E6尊胃 即幽 再中8)中wr鼎國(guó)&quo