網(wǎng)絡(luò)安全導論 課件 第十三章 入侵檢測

1

第十三章

入侵檢測2二、入侵檢測討論議題

1.入侵檢測概述

2.入侵檢測系統(tǒng)

3.入侵檢測流程

4.基于主機的入侵檢測技術(shù)

5.基于網(wǎng)絡(luò)的入侵檢測技術(shù)

6.入侵檢測的發(fā)展趨勢3

1.入侵檢測概述4入侵檢測的基本概念入侵檢測是一種動態(tài)的監(jiān)控、預防或抵御系統(tǒng)入侵行為的安全機制。主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（簡稱IDS）。5入侵檢測的作用監(jiān)控、分析用戶和系統(tǒng)的活動審計系統(tǒng)的配置和弱點評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別攻擊的活動模式對異?；顒舆M行統(tǒng)計分析對操作系統(tǒng)進行審計跟蹤管理，識別違反政策的用戶活動

訪問控制受保護系統(tǒng)內(nèi)部有職權(quán)的人員

防火墻

入侵檢測系統(tǒng)漏洞掃描系統(tǒng)

外部訪問內(nèi)部訪問

監(jiān)視內(nèi)部人員

監(jiān)視外部人員

實時監(jiān)測系統(tǒng)定時掃描系統(tǒng)6入侵檢測的缺點不能彌補差的認證機制如果沒有人的干預，不能管理攻擊調(diào)查不能知道安全策略的內(nèi)容不能彌補網(wǎng)絡(luò)協(xié)議上的弱點不能彌補系統(tǒng)提供質(zhì)量或完整性的問題不能分析一個堵塞的網(wǎng)絡(luò)7研究入侵檢測的必要性-1在實踐當中，建立完全安全系統(tǒng)根本是不可能的。Miller給出一份有關(guān)現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序研究報告，指出軟件中不可能沒有缺陷。另外，設(shè)計和實現(xiàn)一個整體安全系統(tǒng)相當困難。要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)需要相當長的時間。如果口令是弱口令并且已經(jīng)被破解，那么訪問控制措施不能夠阻止受到危害的授權(quán)用戶的信息丟失或者破壞。靜態(tài)安全措施不足以保護安全對象屬性。通常，在一個系統(tǒng)中，擔保安全特性的靜態(tài)方法可能過于簡單不充分，或者系統(tǒng)過度地限制用戶。例如，靜態(tài)技術(shù)未必能阻止違背安全策略造成瀏覽數(shù)據(jù)文件；而強制訪問控制僅允許用戶訪問具有合適的通道的數(shù)據(jù)，這樣就造成系統(tǒng)使用麻煩。因此，一種動態(tài)的方法如行為跟蹤對檢測和盡可能阻止安全突破是必要的。8研究入侵檢測的必要性-2加密技術(shù)方法本身存在著一定的問題。安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。安全訪問控制等級和用戶的使用效率成反比，訪問控制和保護模型本身存在一定的問題。在軟件工程中存在軟件測試不充足、軟件生命周期縮短、大型軟件復雜性等難解問題，工程領(lǐng)域的困難復雜性，使得軟件不可能沒有錯誤，而系統(tǒng)軟件容錯恰恰被表明是安全的弱點。修補系統(tǒng)軟件缺陷不能令人滿意。由于修補系統(tǒng)軟件缺陷，計算機系統(tǒng)不安全狀態(tài)將持續(xù)相當長一段時間。9研究入侵檢測的必要性-3基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個思路進行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，然后采取適當?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預防的措施以防止入侵事件的發(fā)生。入侵檢測非常必要，它將有效彌補傳統(tǒng)安全保護措施的不足。10分布式入侵檢測——主機和網(wǎng)絡(luò)IDS的集成分布式入侵檢測系統(tǒng)（DIDS）最早試圖把基于主機的方法和網(wǎng)絡(luò)監(jiān)視方法集成在一起。DIDS的最初概念是采用集中式控制技術(shù)，向DIDS中心控制器發(fā)報告。DIDS主管安全管理員用戶界面專家系統(tǒng)通信管理器主機代理LAN代理主機事件發(fā)生器LAN事件發(fā)生器主機監(jiān)視器LAN監(jiān)視器112.入侵檢測系統(tǒng)12入侵檢測系統(tǒng)的基本模型通用入侵檢測模型（Denning模型）層次化入侵檢測模型（IDM）管理式入侵檢測模型（SNMP-IDSM）

13通用入侵檢測模型（Denning模型）基本假設(shè):計算機安全的入侵行為可以通過檢查一個系統(tǒng)的審計記錄、從中辯識異常使用系統(tǒng)的入侵行為。這是一個基于規(guī)則的模式匹配系統(tǒng)，采用的是統(tǒng)計學的方法。缺點：沒有包含已知系統(tǒng)漏洞或系統(tǒng)攻擊方法的知識，而這些知識是非常有用的。14IDM模型這是在研究分布式IDS時提出的。將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。將收集到的分散數(shù)據(jù)進行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作。IDM將分布式系統(tǒng)看成一臺虛擬機，簡化了對跨越單機的入侵行為的識別。15SNMP-IDSM模型從管理者角度考慮IDS，目的是使IDS之間能夠順利交換信息，從而實現(xiàn)分布式協(xié)同檢測。需要一個公共語言和統(tǒng)一的數(shù)據(jù)表達格式（選用了SNMP為公共語言)定義了用來描述入侵事件的管理信息庫MIB,并將入侵事件分為原始事件和抽象事件兩層結(jié)構(gòu)。采用5元組來描述攻擊事件，where,when,who,what,how.16入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的工作模式體現(xiàn)為以下四步驟：從系統(tǒng)不同環(huán)節(jié)收集數(shù)據(jù)分析信息，試圖找到入侵活動的特征。自動對檢測的行為作出響應(yīng)。記錄并報告檢測過程和結(jié)果。17入侵檢測系統(tǒng)的組成部分18入侵檢測系統(tǒng)的分類根據(jù)目標系統(tǒng)的類型：基于主機（Host-Based）的入侵檢測系統(tǒng)。通常，基于主機的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警，以采取措施?；诰W(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。19入侵檢測系統(tǒng)的分類根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源：主機系統(tǒng)日志原始的網(wǎng)絡(luò)數(shù)據(jù)包應(yīng)用程序的日志防火墻報警日志其它入侵檢測系統(tǒng)的報警信息20入侵檢測系統(tǒng)的分類根據(jù)入侵檢測分析方法：基于正常行為特征的入侵檢測系統(tǒng)：利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和異?；顒拥囊罁?jù)。基于簽名的入侵檢測：根據(jù)已知入侵攻擊的信息（知識、模式等，稱為簽名）來檢測系統(tǒng)中的入侵和攻擊。21入侵檢測系統(tǒng)的分類根據(jù)系統(tǒng)各個模塊運行的分布方式：集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機上運行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計算機、設(shè)備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織的。

3.入侵檢測流程入侵檢測流程:入侵檢測的過程入侵檢測系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的方法模型告警與響應(yīng)入侵檢測的過程信息收集信息分析告警與響應(yīng)入侵檢測系統(tǒng)的數(shù)據(jù)源基于主機的數(shù)據(jù)源：

系統(tǒng)運行狀態(tài)信息系統(tǒng)記帳信息系統(tǒng)日志（Syslog）C2級安全性審計信息入侵檢測系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源：

SNMP信息網(wǎng)絡(luò)通信包入侵檢測系統(tǒng)的數(shù)據(jù)源應(yīng)用程序日志文件其他入侵檢測系統(tǒng)的報警信息其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息入侵分析的概念入侵檢測系統(tǒng)是一個復雜的數(shù)據(jù)處理系統(tǒng)，所涉及到的問題域中的各種關(guān)系也比較復雜。從入侵檢測的角度來說，分析是指針對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理并提取特征，以鑒別出感興趣的行為。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責任人。入侵分析的目的重要的威懾力：目標系統(tǒng)使用IDS進行入侵分析，對于入侵者來說具有很大的威懾力，因為這意味著攻擊行為可能會被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理：分析過程中可能會發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結(jié)果對系統(tǒng)進行重新配置，避免被攻擊者用來竊取信息或破壞系統(tǒng)。獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳細的、可信的證據(jù)，這些證據(jù)可以用于事后追究入侵者的責任。基于異常行為的入侵檢測方法模型模式庫攻擊者匹配報警基于異常行為的檢測方法模式匹配方法：基于模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法，該方法將已知的入侵特征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫中，在檢測過程中，模式匹配模型將到來的事件與入侵模式數(shù)據(jù)庫中的入侵模式進行匹配，如果匹配成功，則認為有入侵行為發(fā)生。專家系統(tǒng)方法：基于專家系統(tǒng)的誤用入侵檢測方法是最傳統(tǒng)、最通用的誤用入侵檢測方法。在諸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了這種方法。在MIDAS、IDES和NIDES中，應(yīng)用的產(chǎn)品系統(tǒng)是P-BEST，該產(chǎn)品由AlanWhithurst設(shè)計。而DIDS和CMDS，使用的是CLIPS系統(tǒng)，是由美國國家航空和宇航局開發(fā)的系統(tǒng)。基于正常行為的入侵檢測模型異常行為正常行為命令系統(tǒng)調(diào)用活動度量CPU使用網(wǎng)絡(luò)連接……神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學習技術(shù)來描述異常行為。這種非參分析技術(shù)運作在歷史訓練數(shù)據(jù)集上。歷史訓練數(shù)據(jù)集假定是不包含任何指示入侵或其它不希望的用戶行為。神經(jīng)網(wǎng)絡(luò)由許多稱為單元的簡單處理元素組成。這些單元通過使用加權(quán)的連接相互作用。一個神經(jīng)網(wǎng)絡(luò)知識根據(jù)單元和它們權(quán)值間連接編碼成網(wǎng)絡(luò)機構(gòu)。實際的學習過程是通過改變權(quán)值和加入或移去連接進行的。使用神經(jīng)網(wǎng)絡(luò)進行入侵檢測的主要不足是神經(jīng)網(wǎng)絡(luò)不能為它們找到的任何異常提供任何解釋?；谡Ｐ袨榈臋z測技術(shù)總結(jié)●概率統(tǒng)計異常檢測原理：每一個輪廓保存記錄主體當前行為，并定時將當前輪廓與歷史輪廓合并形成統(tǒng)計輪廓（更新），通過比較當前輪廓與統(tǒng)計輪廓來判定異常行為。優(yōu)點：可應(yīng)用成熟的概率統(tǒng)計理論缺點：①由于用戶行為的復雜性，要想準確地匹配一個用戶的歷史行為非常困難，容易造成系統(tǒng)誤報和漏報；

②定義入侵閾值比較困難，閾值高則誤報率提高，閾值低則漏報率增高。

●神經(jīng)網(wǎng)絡(luò)異常檢測原理：對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。優(yōu)點：①更好地表達了變量間的非線性關(guān)系，能更好地處理原始數(shù)據(jù)的隨機特征，即不需要對這些數(shù)據(jù)做任何統(tǒng)計假設(shè)，并且能自動學習和更新；②有較好的抗干擾能力缺點：網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及各元素的權(quán)重很難確定其他檢測方法免疫系統(tǒng)方法遺傳算法基于代理的檢測數(shù)據(jù)挖掘方法告警與響應(yīng)在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動。在入侵檢測處理過程模型中，這個階段稱之為響應(yīng)期。理想的情況下，系統(tǒng)的這一部分應(yīng)該具有豐富的響應(yīng)功能特性，并且這些響應(yīng)特性在針對安全管理小組中的每一位成員進行裁剪后，能夠為他們都提供服務(wù)。被動響應(yīng)是系統(tǒng)僅僅簡單地記錄和報告所檢測出的問題。主動響應(yīng)則是系統(tǒng)要為阻塞或影響進程而采取行動。響應(yīng)的類型主動響應(yīng)：入侵者采取反擊行動修正系統(tǒng)環(huán)境收集額外信息響應(yīng)的類型被動響應(yīng)：告警和通知

SNMPTrap和插件394.基于主機的入侵檢測技術(shù)40基于主機的入侵檢測技術(shù)基于主機的入侵檢測技術(shù):審計數(shù)據(jù)的獲取審計數(shù)據(jù)的預處理基于統(tǒng)計模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)5.基于網(wǎng)絡(luò)的入侵檢測技術(shù)局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理HUB工作原理網(wǎng)卡工作原理局域網(wǎng)工作過程SnifferSniffer是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。Sniffer要捕獲的東西必須是物理信號能收到的報文信息。所以，只要通知網(wǎng)卡接收其收到的所有包（該模式叫作混雜promiscuous模式：指網(wǎng)絡(luò)上的設(shè)備都對總線上傳送的所有數(shù)據(jù)進行偵聽，并不僅僅是針對它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個網(wǎng)段的所有數(shù)據(jù)包，但是在交換HUB下就只能接收自己的包和廣播包。Sniffer的正當用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機的所有數(shù)據(jù)流，就必須繞開系統(tǒng)正常工作的處理機制，直接訪問網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜模式，使之可以接收目標地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應(yīng)用程序進行過濾處理。在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫直接與內(nèi)核驅(qū)動交互操作，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。在Win32平臺上可以使用Winpcap，通過VxD虛擬設(shè)備驅(qū)動程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。常用的包捕獲機制包捕獲機制系統(tǒng)平臺備注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX，SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

BPF的模型及其接口緩存緩存過濾器過濾器緩存協(xié)議棧鏈路層驅(qū)動器鏈路層驅(qū)動器程序1程序3程序2過濾器鏈路層驅(qū)動器程序4Libpcap介紹

Libpcap的英文意思是PacketCapturelibrary，即數(shù)據(jù)包捕獲函數(shù)庫。它是勞倫斯伯克利國家實驗室網(wǎng)絡(luò)研究組開發(fā)的UNIX平臺上的一個包捕獲函數(shù)庫，其源代碼可從/libpcap.tar.z獲得。它是一個獨立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡(luò)監(jiān)測提供了一個可移植的框架。Windows平臺下的Winpcap庫

Libpcap過去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過在Wiin32系統(tǒng)中安裝Winpcap來實現(xiàn)的,其官方網(wǎng)站是http://winpcap.polito.it/。Winpcap的主要功能在于獨立于主機協(xié)議而發(fā)送和接收原始數(shù)據(jù)報，主要提供了四大功能：(1)捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡(luò)上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；(2)在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報；(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。Winpcap結(jié)構(gòu)示意圖

檢測引擎的設(shè)計網(wǎng)絡(luò)檢測引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。檢測引擎首先需要利用數(shù)據(jù)包截獲機制，截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。經(jīng)過過濾后，引擎需要采用一定的技術(shù)對數(shù)據(jù)包進行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術(shù)是檢測引擎的重要組成部分。檢測引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等。模式匹配技術(shù)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較；如果比較結(jié)果相同，則檢測到一個可能的攻擊；如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個位置重新開始比較；直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束。對于每一個攻擊特征，重復1步到4步的操作。直到每一個攻擊特征匹配完畢，對給定數(shù)據(jù)包的匹配完畢。協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點，可以用一棵二叉樹來表示。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。在程序中動態(tài)地維護和配置此樹結(jié)構(gòu)即可實現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識快速地判斷攻擊特征是否存在。他的高效使得匹配的計算量大幅度減小。特征（signature）的基本概念

IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識別方法：來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。帶有非法TCP標志組合的數(shù)據(jù)包：可通過對比TCP報頭中的標志集與已知正確和錯誤標記組合的不同點來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附近來識別。查詢負載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是：在負載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。通過對POP3服務(wù)器發(fā)出上千次同一命令而導致的DoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預設(shè)上限，而發(fā)出報警信息。未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。典型特征--報頭值

一般情況下，異常報頭值的來源有以下幾種：來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。許多包含報頭值漏洞利用的入侵數(shù)據(jù)都會故意違反RFC的標準定義。許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護RFC定義。隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。候選特征

只具有SYN和FIN標志集的數(shù)據(jù)包，這是公認的惡意行為跡象。沒有設(shè)置ACK標志，但卻具有不同確認號碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0。來源端口和目標端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個別時候如進行一些特別NetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標準，但大多數(shù)情況下它們并非預期數(shù)值。例如在一個正常的FTP對話中，目標端口一般是21，而來源端口通常都高于1023。TCP窗口尺寸為1028，IP標識號碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義，這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑。報頭值關(guān)鍵元素

IP地址，特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號，特別是眾所周知的協(xié)議端口號和木馬端口號。異常信息包片斷。特殊TCP標志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。檢測實例-數(shù)據(jù)包捕獲08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+