第5章(2)-入侵檢測_第1頁
第5章(2)-入侵檢測_第2頁
第5章(2)-入侵檢測_第3頁
第5章(2)-入侵檢測_第4頁
第5章(2)-入侵檢測_第5頁
已閱讀5頁,還剩77頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、入侵檢測04/04/07 10:18概述入侵檢測系統(tǒng)的分類及特點(diǎn)入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的外圍支撐技術(shù)入侵檢測系統(tǒng)應(yīng)用指南入侵檢測系統(tǒng)的發(fā)展趨勢04/04/07 10:18一、概述什么是入侵檢測系統(tǒng)為什么需要入侵檢測入侵檢測系統(tǒng)的作用入侵檢測的相關(guān)術(shù)語傳統(tǒng)的安全防御技術(shù)防火墻 一種高級訪問控制設(shè)備,置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道,能根據(jù)企業(yè)有關(guān)的安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。 兩個安全域之間通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationPr

2、otocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為安全域2Host C Host D 安全域1Host A Host B 防火墻的局限性關(guān)于防火墻防火墻不能安全過濾應(yīng)用層的非法攻擊,如unicode攻擊防火墻對不通過它的連接無能為力,如內(nèi)網(wǎng)攻擊等防火墻采用靜態(tài)安全策略技術(shù),因此自身無法動態(tài)防御新的非法攻擊04/04/07 10:18對信息系統(tǒng)的非授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵 Intrusion入侵檢測 Intrusion Detection對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程入侵檢測系統(tǒng)(IDS)用于輔助進(jìn)行入侵檢測或者獨(dú)立進(jìn)行入侵檢

3、測的自動化工具什么是入侵檢測系統(tǒng)IDSIntrusion Detection:通過從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到入侵的跡象的一種安全技術(shù);Intrusion Detection System:作為防火墻的合理補(bǔ)充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 04/04/07 10:18邊界防御的局限攻擊工具唾手可得 入侵教程隨處可見內(nèi)部網(wǎng)的攻擊占總的攻擊事件的70%以上沒有監(jiān)測的內(nèi)部網(wǎng)是內(nèi)部人員的“自由王國”入侵行為日益嚴(yán)

4、重內(nèi)部的非法訪問防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能防止Internet上下載被病毒感染的程序?yàn)槭裁葱枰肭謾z測系統(tǒng)04/04/07 10:18為什么需要入侵檢測系統(tǒng)如:穿透防火墻的攻擊http:/http:/client網(wǎng)絡(luò)安全的P2DR模型與入侵檢測04/04/07 10:18監(jiān)控室=控制中心Card Key入侵檢測系統(tǒng)的作用監(jiān)控前門和保安監(jiān)控屋內(nèi)人員監(jiān)控后門監(jiān)控樓外入侵檢測的必要性因?yàn)樵L問控制和保護(hù)模型本身存著在以下問題。(1)弱口令問題。(2)靜態(tài)安全措施不足以保護(hù)安全對象屬性。 (3)軟件的Bug-Free近期無法解決

5、。 (4)軟件生命周期縮短和軟件測試不充分。(5)系統(tǒng)軟件缺陷的修補(bǔ)工作復(fù)雜,而且源代碼大多數(shù)不公開,也缺乏修補(bǔ)Bug的專門技術(shù),導(dǎo)致修補(bǔ)進(jìn)度太慢,因而計(jì)算機(jī)系統(tǒng)的不安全系統(tǒng)將持續(xù)一段時間。入侵檢測的主要目的有:識別入侵者;識別入侵行為;檢測和監(jiān)視已成功的安全突破;為對抗措施即時提供重要信息。因而,入侵檢測是非常必要的,可以彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。 入侵檢測系統(tǒng)的主要功能是檢測,當(dāng)然還有其他的功能選項(xiàng),因而增加了計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全性。使用入侵檢測系統(tǒng)有如下優(yōu)點(diǎn): 檢測防護(hù)部分阻止不了的入侵; 檢測入侵的前兆; 對入侵事件進(jìn)行歸檔; 對網(wǎng)絡(luò)遭受的威脅程度進(jìn)行評估; 對入侵事件進(jìn)行恢復(fù)。

6、入侵檢測系統(tǒng)利用優(yōu)化匹配模式和統(tǒng)計(jì)學(xué)技術(shù)把傳統(tǒng)的電子數(shù)據(jù)處理和安全審查結(jié)合起來,已經(jīng)發(fā)展成為構(gòu)筑完整的現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的一個必不可少的部分。04/04/07 10:18攻擊事件攻擊者利用工具,出于某種動機(jī),對目標(biāo)系統(tǒng)采取的行動,其后果是獲取/破壞/篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果;在入侵檢測系統(tǒng)中,事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。CIDF 將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件(event)入侵檢測相關(guān)術(shù)語檢測系統(tǒng)在檢測時把系統(tǒng)的正常行為判為入侵行為的錯誤被稱為虛警。檢測系統(tǒng)在檢測過程中出現(xiàn)虛警的概率稱為系統(tǒng)的虛警率。false

7、positives(虛警)false negatives(漏警)檢測系統(tǒng)在檢測時把某些入侵行為判為正常行為的錯誤現(xiàn)象稱為漏警。檢測系統(tǒng)在檢測過程中出現(xiàn)漏警的概率稱為系統(tǒng)的漏警率。04/04/07 10:18模擬脆弱性主機(jī)誘惑攻擊者在其上浪費(fèi)時間延緩對真正目標(biāo)的攻擊Honeypot(蜜罐)Promiscuous(混雜模式)網(wǎng)卡的一種接收模式在這種模式下的網(wǎng)卡能夠接收一切通過它的數(shù)據(jù),而不管該數(shù)據(jù)是否是 傳給它的1997年,DARPA(Defense Advanced Research Projects Agency)資助成立了CIDF(Common Intrusion Detection Fra

8、mework)工作組;其工作目標(biāo)是制定一套入侵檢測系統(tǒng)的公共框架,使得不同的IDR(Intrusion Detection and Response Projections)組件能夠互相交換和共享信息,并允許不同的IDR子系統(tǒng)能夠得到復(fù)用; CIDF將標(biāo)準(zhǔn)化的重點(diǎn)放在入侵檢測系統(tǒng)的不同組件之間的合作上;CIDF定義了四個方面的標(biāo)準(zhǔn):Architecture;Communication;Language;API。CIDFIETF(Internet Engineering Task Force)下屬的IDWG(ID Working Group)。入侵檢測信息交換格式(ID Message Exch

9、ange Format, IDMEF)對組件之間的通信進(jìn)行了標(biāo)準(zhǔn)化。IDMEF使用面向?qū)ο蟮哪P蛠肀硎酒鋽?shù)據(jù)格式,可以提供強(qiáng)大的兼容性與可擴(kuò)展性。IDMEF的通信規(guī)范就是入侵警告協(xié)議(Intrusion Alert Protocol, IAP)。CIWG04/04/07 10:18二、入侵檢測系統(tǒng)的分類按數(shù)據(jù)檢測方法分類按系統(tǒng)結(jié)構(gòu)分類按時效性分類按照數(shù)據(jù)來源分類異常檢測模型(Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓),當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵 誤用檢測模型(Misuse Detection):收集非正常操作的行為特征,建立相關(guān)的特征

10、庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認(rèn)為這種行為是入侵 按照分析方法(檢測方法)04/04/07 10:18集中式:系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機(jī)上運(yùn)行分布式:系統(tǒng)的各個模塊分布在不同的計(jì)算機(jī)和設(shè)備上按系統(tǒng)結(jié)構(gòu)分類04/04/07 10:18離線入侵檢測系統(tǒng)(off-line IDS)在線入侵檢測系統(tǒng)(On-line IDS) 根據(jù)時效性分類04/04/07 10:18基于主機(jī)的入侵檢測系統(tǒng)(HIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)混合型入侵檢測系統(tǒng)(Hybrid IDS)網(wǎng)絡(luò)節(jié)點(diǎn)入侵檢測系統(tǒng)(NNIDS)按數(shù)據(jù)來源分類04/04/07 10:18HIDS

11、定義運(yùn)行于被檢測的主機(jī)之上,通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài),發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件,進(jìn)行上報和處理特點(diǎn)安裝于被保護(hù)的主機(jī)中系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查主要分析主機(jī)內(nèi)部活動占用一定的系統(tǒng)資源04/04/07 10:18收集過程 ID:2092 用戶名: Administrator 登錄 ID:(0 x0,0 x141FA)分析處理 文 進(jìn) 日 注冊. 件 程 志 表. 結(jié)果主機(jī)入侵檢測系統(tǒng)運(yùn)行于被檢測的主機(jī)之上,通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài),發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件,進(jìn)行上報和處理。其監(jiān)測的資源主要包括:網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等04/

12、04/07 10:18HIDS優(yōu)勢(1) 精確地判斷攻擊行為是否成功。(2) 監(jiān)控主機(jī)上特定用戶活動、系統(tǒng)運(yùn)行情況(3) HIDS能夠檢測到NIDS無法檢測的攻擊 (4) HIDS適用加密的和交換的環(huán)境。(5) 不需要額外的硬件設(shè)備。04/04/07 10:18HIDS的劣勢(1) HIDS對被保護(hù)主機(jī)的影響。(2) HIDS的安全性受到宿主操作系統(tǒng)的限制。(3) HIDS的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制。(4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDS。(5) 維護(hù)/升級不方便。04/04/07 10:18NIDS定義通過在共享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù),分析可疑現(xiàn)象。這類系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計(jì)

13、,對主機(jī)資源消耗少,并可以提供對網(wǎng)絡(luò)通用的保護(hù)而無需顧及異構(gòu)主機(jī)的不同架構(gòu)。 特點(diǎn)安裝在被保護(hù)的網(wǎng)段(通常是共享網(wǎng)絡(luò))中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時檢測和響應(yīng)NIDS在網(wǎng)絡(luò)的位置探測引擎交換機(jī)數(shù)據(jù)鏡像控制臺Internet路由器內(nèi)部局域網(wǎng)IDS防火墻04/04/07 10:18NIDS實(shí)現(xiàn)01 01 01 0101 01 01 01收集01 01 01 01 01 01 01 01 01 01 01 01分析處理結(jié)果網(wǎng)絡(luò)IDS通過抓取網(wǎng)絡(luò)上的所有報文,分析處理后,報告異常。04/04/07 10:18NIDS優(yōu)勢(1) 實(shí)時分析網(wǎng)絡(luò)數(shù)據(jù),檢測網(wǎng)絡(luò)系統(tǒng)的非法行為;(2) 網(wǎng)絡(luò)IDS系統(tǒng)

14、單獨(dú)架設(shè),不占用其它計(jì)算機(jī)系統(tǒng)的任何資源;(3) 網(wǎng)絡(luò)IDS系統(tǒng)是一個獨(dú)立的網(wǎng)絡(luò)設(shè)備,可以做到對黑客透明,因此其本身的安全性高;(4) 它既可以用于實(shí)時監(jiān)測系統(tǒng),也是記錄審計(jì)系統(tǒng),可以做到實(shí)時保護(hù),事后分析取證;(5) 通過與防火墻的聯(lián)動,不但可以對攻擊預(yù)警,還可以更有效地阻止非法入侵和破壞。(6)不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)04/04/07 10:18NIDS的劣勢(1)不適合交換環(huán)境和高速環(huán)境(2)不能處理加密數(shù)據(jù)(3) 資源及處理能力局限(4) 系統(tǒng)相關(guān)的脆弱性HIDS和NIDS的比較安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢查占用一定的系統(tǒng)資源安裝在被保護(hù)的網(wǎng)段中

15、混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)入侵檢測系統(tǒng)網(wǎng)絡(luò)型入侵檢測系統(tǒng)主機(jī)型入侵檢測系統(tǒng)04/04/07 10:18CIDF組件事件產(chǎn)生器(Event generators)事件分析器(Event analyzers)響應(yīng)單元(Response units)事件數(shù)據(jù)庫(Event databases)Common Intrusion Detection Frame組件04/04/07 10:18CIDF組件04/04/07 10:18常見產(chǎn)品形態(tài)組件策略下發(fā)上報事件控制中心探測引擎表現(xiàn)方式:軟件功能:接收事件策略下發(fā)日志記錄與分析事件庫升級表現(xiàn)方式

16、:硬件/軟件功能:抓包分析數(shù)據(jù)上報事件04/04/07 10:18三、入侵檢測系統(tǒng)關(guān)鍵技術(shù)數(shù)據(jù)采集技術(shù)數(shù)據(jù)檢測技術(shù)數(shù)據(jù)分析技術(shù)數(shù)據(jù)采集技術(shù)04/04/07 10:18數(shù)據(jù)采集技術(shù)高速網(wǎng)絡(luò)線速采集Dedicated NIC DriverDMA-based zero copy包俘獲包俘獲庫LibcapwindowsNT下Gobber、Ethdump和Ethload UNIX下CSPF、BPF基于流的包俘獲主機(jī)信息采集應(yīng)用程序日志 審計(jì)日志 網(wǎng)絡(luò)端口的連接狀況 系統(tǒng)文件04/04/07 10:18基于誤用的檢測方法基于異常的檢測方法數(shù)據(jù)檢測技術(shù)04/04/07 10:18運(yùn)用已知攻擊方法,根據(jù)已定義

17、好的入侵模式,通過判斷這些入侵模式是否出現(xiàn)來檢測。通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。也被稱為違規(guī)檢測(Misuse Detection)。檢測準(zhǔn)確度很高?;谡`用的檢測方法數(shù)據(jù)檢測技術(shù)04/04/07 10:18專家系統(tǒng)模型匹配檢測系統(tǒng)狀態(tài)轉(zhuǎn)換分析具體實(shí)現(xiàn)數(shù)據(jù)檢測技術(shù)基于誤用的檢測方法04/04/07 10:18 攻擊信息使用的輸入使用ifthen的語法。指示入侵的具體條件放在規(guī)則的左邊(if側(cè)),當(dāng)滿足這些規(guī)則時,規(guī)則執(zhí)行右邊(then側(cè))的動作。專家系統(tǒng)基于誤用的檢測方法04/04/07 10:18模式匹配檢測基于誤用的檢測方法根據(jù)知識建立攻擊腳本庫

18、,每一腳本都由一系列攻擊行為組成。有關(guān)攻擊者行為的知識被描述為:攻擊者目的,攻擊者達(dá)到此目的的可能行為步驟,以及對系統(tǒng)的特殊使用等。04/04/07 10:18 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374

19、732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http:/www 90 2e61 6d6

20、5 7269 7465 6368 2e63 6f6d 2f70 ./p a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 64

21、65 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20

22、 7777 772e 616d 6572 .Host: www.amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.基于誤用的檢測方法模式匹配檢測示例04/04/07 10:18優(yōu)點(diǎn)可檢測出所有對系統(tǒng)來說是已知的入侵行為系統(tǒng)安全管理員能夠很容易地知道系統(tǒng)遭受到的是那種入侵攻擊并采取相應(yīng)的行動局限:它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為,而不能處理對新的入

23、侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。系統(tǒng)運(yùn)行的環(huán)境與知識庫中關(guān)于攻擊的知識有關(guān)。對于系統(tǒng)內(nèi)部攻擊者的越權(quán)行為,由于他們沒有利用系統(tǒng)的缺陷,因而很難檢測出來。基于誤用的檢測方法04/04/07 10:18基本原理前提:入侵是異?;顒拥淖蛹?用戶輪廓(Profile): 通常定義為各種行為參數(shù)及其閥值的集合,用于描述正常行為范圍過程 監(jiān)控 量化 比較 判定 修正指標(biāo):漏報率低,誤報率高基于異常的檢測方法04/04/07 10:18具體實(shí)現(xiàn)基于統(tǒng)計(jì)學(xué)方法的異常檢測基于神經(jīng)網(wǎng)絡(luò)的異常檢測基于數(shù)據(jù)挖掘的異常檢測04/04/07 10:18記錄的具體操作包括:CPU 的使用,I/O 的使用,使用地

24、點(diǎn)及時間,郵件使用,編輯器使用,編譯器使用,所創(chuàng)建、刪除、訪問或改變的目錄及文件,網(wǎng)絡(luò)上活動等?;诮y(tǒng)計(jì)學(xué)方法操作密度審計(jì)記錄分布范疇尺度數(shù)值尺度04/04/07 10:18基于神經(jīng)網(wǎng)絡(luò)04/04/07 10:18數(shù)據(jù)挖掘是指從大量實(shí)體數(shù)據(jù)抽象出模型的處理;目的是要從海量數(shù)據(jù)中提取對用戶有用的數(shù)據(jù);這些模型經(jīng)常在數(shù)據(jù)中發(fā)現(xiàn)對其它檢測方式不是很明顯的異常。主要方法:聚類分析、連接分析和順序分析?;跀?shù)據(jù)挖掘技術(shù)的異常檢測04/04/07 10:18優(yōu)點(diǎn)不需要操作系統(tǒng)及其安全性缺陷專門知識能有效檢測出冒充合法用戶的入侵 缺點(diǎn)為用戶建立正常行為模式的特征輪廓和對用戶活動的異常性報警的門限值的確定都比

25、較困難不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性有經(jīng)驗(yàn)的入侵者還可以通過緩慢地改變他的行為,來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式,使其入侵行為逐步變?yōu)楹戏āU`用檢測和異常檢測的對比入侵檢測模型異常檢測(Anomaly Detection)指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵,而不依賴于具體行為是否出現(xiàn)來檢測。 誤用檢測( Misuse Detection )指運(yùn)用已知攻擊方法,根據(jù)已定義好的入侵模式,通過判斷這些入侵模式是否出現(xiàn)來檢測。模式匹配為誤用檢測的典型應(yīng)用異常檢測模型誤用檢測模型04/04/07 10:18數(shù)據(jù)分析技術(shù)協(xié)議解析有限狀態(tài)自動機(jī)ACBM字符串匹配正則表達(dá)式事件規(guī)

26、則樹完整性分析04/04/07 10:18協(xié)議分析與解碼ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNS04/04/07 10:18匹配規(guī)則子集ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。DNSETHER規(guī)則子集IP規(guī)則子集TCP規(guī)則子集HTTP規(guī)則子集匹配的規(guī)則子集HTTP報文的解析路徑04/04/07 10:18協(xié)議分析的優(yōu)點(diǎn)提高了性能提高了準(zhǔn)確性基于狀態(tài)的分析反規(guī)避能力系統(tǒng)資源開銷小檢測實(shí)例老版本的Sendmail有一個漏洞,telnet到25端口,輸入wiz,然后接著輸入超過1024Kb的shellcode,就能

27、獲得一個rootshell,還有通過debug命令的方式,也能獲得root權(quán)限,進(jìn)而控制系統(tǒng)。 $ telnet 25WIZShellecx 0 x943a3145 -1808125627edx 0 x408d17fc 1082988540?;蛘逥EBUG#*直接獲得rootshell!04/04/07 10:18檢查每個packet是否包含:“WIZ”| “DEBUG”簡單的匹配檢測實(shí)例04/04/07 10:18檢測實(shí)例縮小匹配范圍 Port 25:“WIZ”| “DEBUG” 檢查端口號04/04/07 10:18檢測實(shí)例只判斷客戶端發(fā)送部分 Port 25:Client-sends:

28、“WIZ” |Client-sends: “DEBUG” 深入決策樹04/04/07 10:18檢測實(shí)例狀態(tài)檢測 + 引向異常的分支 Port 25:stateful client-sends: “WIZ” |stateful client-sends: “DEBUG”after stateful “DATA” client-sends line 1024 bytes means possible buffer overflow 更加深入04/04/07 10:18四、入侵檢測系統(tǒng)的外圍支撐技術(shù)聯(lián)動機(jī)制響應(yīng)機(jī)制日志分析事件過濾技術(shù)漏洞機(jī)理研究04/04/07 10:18五、入侵檢測系統(tǒng)應(yīng)用指南

29、IDS的部署評價IDS的性能和功能指標(biāo)典型IDS產(chǎn)品介紹04/04/07 10:18IDS的部署共享模式隱蔽模式交換模式In-line模式 TAP模式04/04/07 10:18共享環(huán)境HUBIDS 探測器被監(jiān)測機(jī)器控制臺 SPAM模式通過鏡像端口從HUB上的任意一個接口,或者在交換機(jī)上設(shè)置成監(jiān)聽模式的監(jiān)聽端口上收集信息。04/04/07 10:18交換機(jī)IDS 探測器被監(jiān)測機(jī)器控制臺通過端口鏡像實(shí)現(xiàn)交換環(huán)境隱蔽模式HUBIDS 探測器被監(jiān)測機(jī)器控制臺監(jiān)測口無IP地址 隱蔽模式使得IDS在對外界不可見的情況下正常工作。這種IDS大多數(shù)用在DMZ外,在防火墻的保護(hù)之外。它有自動響應(yīng)的缺點(diǎn)。例如采用雙網(wǎng)卡的技術(shù),一個網(wǎng)卡綁定IP,用來與console(控制臺)通信,另外一個網(wǎng)卡無IP,用來收集網(wǎng)絡(luò)數(shù)據(jù)包,其中連在網(wǎng)絡(luò)中的是無IP的網(wǎng)卡,因?yàn)闆]有IP,所以可以免受直接攻擊。04/04/07 10:18In-Line模式 直接將IDS串接在通信線路中。 04/04/07 10:18TAP模式 以雙向監(jiān)聽全雙工以太網(wǎng)連接中的網(wǎng)絡(luò)通信信息,這樣能捕捉到網(wǎng)絡(luò)中的所有流量,能更好地了解網(wǎng)絡(luò)攻擊的發(fā)生源和攻擊的性質(zhì),為阻止網(wǎng)絡(luò)攻擊提供豐富的信

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論