淺析網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)

第第頁淺析網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)淺析網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)-IDS的應(yīng)用（1）

發(fā)表于：2023-06-23來源：：點擊數(shù)：標(biāo)簽：

淺析網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)-IDS的應(yīng)用很多文章介紹了如何通過建立，改善，以及分析服務(wù)器日記文件的種種方式，監(jiān)測出來黑客入侵行為，但這些都是過去式，都是在入侵發(fā)生后你才知道存在這種行為而加以防范。最好的方法是能夠在當(dāng)場就能監(jiān)測出惡意的網(wǎng)絡(luò)入侵

淺析網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)-IDS的應(yīng)用

很多文章介紹了如何通過建立，改善，以及分析服務(wù)器日記文件的種種方式，監(jiān)測出來黑客入侵行為，但這些都是過去式，都是在入侵發(fā)生后你才知道存在這種行為而加以防范。最好的方法是能夠在當(dāng)場就能監(jiān)測出惡意的網(wǎng)絡(luò)入侵行為，并且馬上采取防范反擊措施加以糾正。因此即時監(jiān)測黑客入侵行為并以程序自動產(chǎn)生響應(yīng)的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)（又稱IDS）產(chǎn)生了。1、何謂IDS？

簡單的說，設(shè)立IDS的唯一目的就是當(dāng)場監(jiān)測到網(wǎng)絡(luò)入侵事件的發(fā)生。IDS就是一個網(wǎng)絡(luò)上的系統(tǒng)，這個系統(tǒng)包含了下面三個組件：

（1）網(wǎng)絡(luò)監(jiān)測組件，用以捕捉在網(wǎng)絡(luò)線上傳遞的封包。

（2）接口組件，用以決定監(jiān)測中的資料傳遞是否屬于惡意行為或惡意的使用。在網(wǎng)絡(luò)傳遞時，用來比較的資料樣式（pattern），以監(jiān)測惡意網(wǎng)絡(luò)活動。

（3）響應(yīng)組件，針對當(dāng)時的事件予以適當(dāng)?shù)捻憫?yīng)。這個響應(yīng)可以是簡單的，例如寄發(fā)一個電子郵件訊息給系統(tǒng)管理者，或者是復(fù)雜的，例如暫時將違規(guī)者的IP地址過濾掉，不要讓他連到這個網(wǎng)絡(luò)來。

2、IDS如何通過網(wǎng)頁監(jiān)測網(wǎng)絡(luò)入侵事件

IDS系統(tǒng)不只必須監(jiān)測各式各樣，從大到小，以及各種系列的系統(tǒng)上的網(wǎng)絡(luò)攻擊事件，它還必須能夠快速及時地的在第一時間內(nèi)監(jiān)測到入侵事件的發(fā)生。因此，IDS的數(shù)據(jù)庫以及式樣比對（pattern-matching）機制是復(fù)雜到令人難以置信的。

要使IDS能夠監(jiān)測通過網(wǎng)頁的入侵事件，其中的網(wǎng)絡(luò)監(jiān)測組件就必須要能夠捕捉所有通過網(wǎng)頁通訊端口上，借著HTTP通訊協(xié)議傳遞的網(wǎng)絡(luò)資料往來。（注意，SSL的網(wǎng)絡(luò)交通是完全繞過IDS的網(wǎng)絡(luò)監(jiān)測的，因為這些網(wǎng)絡(luò)交換資料都是經(jīng)過加密的。）式樣比對組件在這里，主要是用于比較URL解析的結(jié)果，看看是否符合數(shù)據(jù)庫中的惡意的HTTP回詢（request）。

接下來，我介紹如何制作兩個快速而簡易的IDS，用來監(jiān)測可疑的網(wǎng)頁回詢活動。這些解決方案的目的是在于提供系統(tǒng)管理者，讓他們擁有一個特別針對他們網(wǎng)絡(luò)而設(shè)計的監(jiān)測/響應(yīng)系統(tǒng)。

3、制作快速而簡易的IDS

（1）NetworkGrep工具

我們先從一個簡單的網(wǎng)絡(luò)監(jiān)視程序開始，這個程序是用來監(jiān)測HTTP通訊協(xié)議的網(wǎng)絡(luò)資料往來。HTTP回詢的特色是，它使用以下的語法：

〈HTTP-Request-Method〉〈URL〉HTTP/〈version〉

這個可在Packetfactory入口網(wǎng)站尋獲的程序ngrep針對在網(wǎng)絡(luò)上傳遞往來的資料，執(zhí)行正則表示法（regularexpression）式樣比對。我們可以用以下的指令來利用ngrep攔截并顯示所有純文字形式的HTTP資料往來：

#ngrep-iqt“^GET|^HEAD|^TRACE|^POST|^PUTandHTTP”

以上指令中，-iqt選項是指示ngrep不要區(qū)分資料中的大小寫，并且只有顯示封包中有符合式樣比對的資料，以及在顯示資料時加上日期以及時間的標(biāo)題。（注：比對的式樣，是基于GET，HEAD，TRACE，POST，PUT，以及HTTP等關(guān)鍵詞。欲知更多有關(guān)如何在ngrep使用正則表示法，你可以到/Projects/Ngrep/查看相關(guān)資料。）

以上面我們建議的方式使用ngrep再加上運行越來越受歡迎的Whisker程序，監(jiān)測地址為的IIS5.0服務(wù)器平臺，我們得到了以下的結(jié)果：

T03:37:30.0417391:2425-:80[AP]

HEAD/HTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Referer:/..Connection:close

T2023/01/1603:37:30.1086301:2426-:80[AP]

GET/cfdocs/HTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Cookie:ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;path=

/..Referer:/..Connection:close

T2023/01/1603:37:31.8424521:2427-:80[AP]

GET/scripts/HTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Cookie:ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;path=

/..Referer:/..Connection:close

T2023/01/1603:37:31.8542061:2428-:80[AP]

GET/scripts/cfcache.mapHTTP/1.0..User-Agent:Mozilla/5.0[en]

（Win95;U）..Cookie:ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;

path=/..Referer:/..Connection:close

T2023/01/1603:37:33.6445341:2429-:80[AP]

GET/cfcache.mapHTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Cookie:ASPSESSIONIDGQGQGL