计算机系统安全入侵检测.ppt

第7章入侵检测,第7章入侵检测,7.1入侵检测原理与技术7.2入侵检测的数学模型7.3入侵检测的特征分析和协议分析7.4入侵检测响应机制7.5绕过入侵检测的若干技术7.6入侵检测标准化工作,返回目录,第7章入侵检测,7.1入侵检测原理与技术,7.1.1入侵检测的起源7.1.2入侵检测系统的需求特性7.1.3入侵检测原理7.1.4入侵检测分类7.1.5入侵检测现状,返回本章首页,第7章入侵检测,7.1.1入侵检测的起源,入侵检测就是发觉入侵行为。负责入侵检测的软硬件组合称为入侵检测系统（IDS）入侵检测的概念最早由Anderson在1980年提出，它提出了入侵检测系统的3种分类方法。Denning对Anderson的工作进行了扩展，它详细探讨了基于异常和误用检测方法的优缺点，于1987年提出了一种通用的入侵检测模型。,返回本节,第7章入侵检测,1.IDES原型系统,第7章入侵检测,2.IDES原型系统的组成(1)异常检测器异常检测器采用统计技术刻画异常行为，异常检测器对行为的渐变是自适应的。(2)专家系统专家系统采用基于规则的方法检测已知的危害行为。专家系统的引入能有效防止逐步改变的入侵行为，提高准确率。,第7章入侵检测,3IDS的诞生1980年，Anderson在报告“ComputerSecurityThreatMonitoringandSurveillance”中提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，这是有关入侵检测的最早论述；19841986年DorothyDenning和PeterNeumann联合开发了一个实时入侵检测系统IDES(IntrusionDetectionExpertSystem)，IDES采用异常检测和专家系统的混合结构。,第7章入侵检测,Denning1986年的论文“AnIntrusionDetectionModel”亦被公认为入侵检测领域的另一篇开山之作；受Anderson和IDES的影响，在20世纪80年代出现了大量的原型系统如；AuditAnalysisProject、Discovery、taystack、NSM等；20世纪80年代后期出现商业化的IDS，如目前较有影响的公司ISS是在1994年成立的。,返回本节,第7章入侵检测,7.1.2入侵检测系统的需求特性,（1）实时性实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。（2）可扩展性入侵检测系统必须能够在新的攻击类型出现时，可通过某种机制使系统能够检测到新的攻击行为。,返回本节,第7章入侵检测,（3）适应性适应性包括：跨平台工作的能力，适应其宿主平台软、硬件配置的不同情况。（4）安全性与可用性不能向其宿主计算机系统以及其所属环境中引入新的安全问题及安全隐患。（5）有效性要求对于攻击事件的错报与漏报能够控制在一定范围内。,返回本节,第7章入侵检测,7.1.3入侵检测原理,入侵检测系统是根据入侵行为与正常访问之间的差别来识别入侵行为的。入侵检测系统根据识别采用的原理，可分为3种。1异常检测进行异常检测（AnomalyDetection）的前提是认为入侵是异常活动的子集。当用户活动与正常行为有重大偏离时即被认为是入侵。,返回本节,第7章入侵检测,(1)错报若系统错误地将异常活动定义为入侵，称为错报（falsepositive）；(2)漏报若系统未能检测出真正的入侵行为则称为漏报（falsenegative）。,第7章入侵检测,(3)异常检测模型,第7章入侵检测,(4)常见的异常检测方法统计异常检测；基于特征选择异常检测；基于贝叶斯推理异常检测；基于贝叶斯网络异常检测；基于模式预测异常检测；基于神经网络异常检测；基于贝叶斯聚类异常检测；基于机器学习异常检测等。,第7章入侵检测,概率统计方法概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否是异常行为。,第7章入侵检测,描述特征的变量类型有：操作密度：度量操作执行的速率，常用于检测通过长时间平均觉察不到的异常行为；审计记录分布：度量在最新纪录中所有操作类型的分布；范畴尺度：度量在一定动作范畴内特定操作的分布情况；数值尺度：度量那些产生数值结果的操作，如CPU使用量，IO使用量。,第7章入侵检测,预测模式生成法使用该方法进行入侵检测的系统，利用动态的规则集来检测入侵。这些规则是由系统的归纳引擎，根据已发生的事件的情况来预测将来发生的事件的概率来产生的，归纳引擎为每一种事件设置可能发生的概率。归纳出来的规则一般可写成如下形式：E1，Ek：一(Ek+1，P(Ek+1)，(En，P(En),第7章入侵检测,神经网络方法利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并能自动学习并更新。基于神经网络的检测思想可用下图表示：,第7章入侵检测,Ischmodpwdvi,预测下一命令,输入层,输出层,第7章入侵检测,2误用检测进行误用检测（MisuseDetection）的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。,第7章入侵检测,(1)错报若入侵特征与正常的用户行为匹配，则系统会发生错报。(2)漏报若没有特征能与某种新的攻击行为匹配，则系统会发生漏报。,第7章入侵检测,(3)误用检测模型图,第7章入侵检测,(4)常见的误用检测方法基于条件概率的误用入侵检测；基于专家系统的误用入侵检测；基于状态迁移的误用入侵检测；基于键盘监控的误用入侵检测；基于模型的误用入侵检测等。,第7章入侵检测,专家系统专家系统是基于知识的检测中早期运用较多的一种方法。将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。,第7章入侵检测,基于模型基于模型的入侵检测系统(ModelBasedIntrusionDetectionSystem)采用的原理是：特定的场景脚本(Scenarios)可以由特定的可观察的活动来推导出来。因而通过观察能够推导出特定入侵场景脚本的一系列活动，可以检测出入侵企图。,第7章入侵检测,基于模型的入侵检测系统通常由3个模块组成：,预期者(Anticipator)：使用活动模型和脚本模型来预测脚本中下一个期望发生的事件，脚本模型是许多已知的入侵脚本的知识库；计划者(Planner)：将该假设转化成该行为在审计日志中应出现的格式。计划者利用预期者所预测的信息来计划下一步查找什么数据；解释者(Interpreter)：在审计日志中查找该数据。,第7章入侵检测,按键监视按键监视(KeystrokeMonitor)是一种很简单的入侵检测方法，用来监视攻击模式的按键。这种系统很容易被突破。UNIX下许多shell，如bash，ksh，csh等都允许用户自己定义命令别名，这样就可能容易地逃脱按键监视。只有对命令利用别名扩展以及语法分析等技术进行分析，才可能克服其缺点。,第7章入侵检测,模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。,第7章入侵检测,状态转换分析状态转换分析最早由RKemmerer提出，即将状态转换图应用于入侵行为的分析。状态转换法将入侵过程看做一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。,第7章入侵检测,Petri网状态转换Petri网用于入侵行为分析是一种类似于状态转换图分析的方法。利用Petri网的有利之处在于它能一般化、图形化地表达状态，并且简洁明了。虽然很复杂的入侵特征能用Petri网表达得很简单，但是对原始数据匹配时的计算量却会很大。,第7章入侵检测,3特征检测特征检测（Specification-basedDetection）关注的是系统本身的行为。定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。,第7章入侵检测,(1)错报错报与行为特征定义准确度有关。(2)漏报当系统特征不能囊括所有的状态时就会产生漏报。,返回本节,第7章入侵检测,7.1.4入侵检测分类,1基于主机的入侵检测系统(1)原理基于主机的入侵检测系统的输入数据来源于系统的审计日志，在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。基于主机的入侵检测系统在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件级别的可疑活动，寻找潜在的可疑活动(如尝试登录失败)。,返回本节,第7章入侵检测,(2)基于主机的入侵检测系统模型,第7章入侵检测,(3)基于主机的入侵检测过程,第7章入侵检测,(4)特点检测效率高、分析代价小、分析速度快，能迅速而准确的定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵做进一步分析。,返回本节,第7章入侵检测,(5)存在问题一定程度上依赖于系统可靠性，要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息。对操作系统熟悉的攻击者可能在入侵完成后抹去日志信息，而有些入侵不能体现在日志中。在数据提取的实时性、充分性和可靠性方面不如基于网络的IDS。,返回本节,第7章入侵检测,2基于网络的入侵检测系统(1)原理通过在共享网段上对通信数据进行侦听采集数据，分析可疑现象。这类系统对入侵者而言是透明的。由于这类系统不需要主机提供严格的审计，因而对主机资源消耗少，并且由于网络协议是标准的，它可以提供对网络通用的保护。,第7章入侵检测,(2)基于网络的入侵检测系统模型,第7章入侵检测,(3)基于网络的入侵检测过程,第7章入侵检测,(4)特点能够检测来自网络的攻击，能检测到超过授权的非法访问。不需要改变服务器等主机的配置，不会成为系统中的关键路径，发生故障不影响正常业务的运行。只检查直接链接网段的通信，不能检测在不同网段的网络包。可以检测出普通的攻击，很难对一些复杂的需要大量计算与分析时间的攻击进行检测。,第7章入侵检测,3分布式入侵检测系统分布式入侵检测系统一般由多个部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整个网络上的主机的入侵。,第7章入侵检测,4.入侵检测系统的工作方式(1)离线检测系统离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。(2)在线检测系统在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析以及实时主机审计分析。,第7章入侵检测,5.入侵检测技术(1)异常检测(AbnormalDetection)假定所有入侵行为都是与正常行为不同的，若建立了系统正常行为的轨迹后，对于异常阀值与特征的选择是异常发现技术的关键。如通过流量统计分析将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。,第7章入侵检测,(2)特征检测特征检测又称滥用检测(MisuseDetection)，它假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式发现的优点是误报少，但它只能发现已知的攻击，对未知的攻击无能为力。,返回本节,第7章入侵检测,7.1.5入侵检测现状,1.传统的入侵检测面临以下的问题：(1)随着能力的提高，入侵者会研制更多的攻击工具及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击。(2)入侵者采用加密手段传输攻击信息。(3)日益增长的网络流量导致检测分析难度加大。(4)缺乏统一的入侵检测术语和概念框架。,返回本节,第7章入侵检测,(5)不适当的自动响应机制存在着巨大的安全风险。(6)存在对入侵检测系统自身的攻击。(7)过高的错报率和误报率，导致很难确定真正的入侵行为。(8)采用交换方法限制了网络数据的可见性。(9)高速网络环境导致很难对所有数据进行高效实时的分析。,第7章入侵检测,2.入侵检测领域需解决的难点：更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，以减少虚假报警。在事件诊断中结合人工分析。提高对恶意代码的检测能力，包括Email攻击，Java，ActiveX等。,第7章入侵检测,采用一定的方法和策略来增强异种系统的互操作性和数据一致性。研制可靠的测试和评估标准。提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发。提供对更高级的攻击行为，如分布式攻击、拒绝服务攻击等的检测手段。,返回本节,第7章入侵检测,7.2入侵检测的数学模型,Dennying提出了可用于入侵检测的5种统计模型。1.实验模型（OperationalModel）实验模型的假设：若变量x出现的次数超过某个预定的值，就有可能出现异常的情况。此模型适用于入侵活动与随机变量相关的方面，如口令失效次数。,返回本章首页,第7章入侵检测,2.平均值和标准差模型(1)原理平均值和标准差模型（MeanandStandardDeviationModel）根据已观测到随机变量x的样值Xi(i=1,2,n)以及计算出这些样值的平均值mean和标准方差stddev。,第7章入侵检测,若新的取样值Xn+1不在可信区间mean-dstddev，m+dstddev内时，则出现异常，其中d是标准偏移均值mean的参数。(2)模型适用于事件计数器;间隔计时器;资源计数器。,第7章入侵检测,3.多变量模型多变量模型（MultivariateModel）基于两个或多个随机变量的相关性计算，适合于根据多个随机变量的综合结果来识别入侵行为，而不仅仅是单个变量。例如一个程序通过使用CPU时间和I/0、用户注册频度、通信会话时间等多个变量来检测入侵行为。,第7章入侵检测,4.马尔可夫过程模型马尔可夫过程模型（MarkovProcessModel）将离散的事件(审计记录)看作一个状态变量，然后用状态迁移矩阵刻画状态之间的迁移频度。若观察到一个新事件，而根据先前的状态和迁移检测矩阵得到新的事件的出现频率太低，则表明出现异常情况。,第7章入侵检测,5.时序模型时序模型（TimeSeriesModel）通过间隔计时器和资源计数器两种类型的随机变量来描述入侵行为。根据x1,x2,xn之间的相隔时间和它们的值来判断入侵，若在某个时间内x出现的概率太低，则表示出现异常情况。这个模型有利于描述行为随时间变化的趋势，缺点在于计算开销大。,返回本节,第7章入侵检测,7.3入侵检测的特征分析和协议分析,7.3.1特征分析7.3.2协议分析,返回本章首页,绝大多数入侵检测系统的检测机制是去捕获基本的数据包并加以非智能模式匹配与特征搜索技术来探测攻击。协议分析能够智能的理解协议，它利用网络协议的高度规则性快速探测攻击的存在，从而避免模式匹配所做的大量无用功，减少所需的计算了。,第7章入侵检测,7.3.1特征分析,1特征的基本概念IDS必须拥有一个强大的入侵特征库。IDS中的特征（signature）是指用于识别攻击行为的数据模板，常因系统而异。不同的IDS系统具有的特征功能也有所差异。例如：有些网络IDS系统只允许少量地定制存在的特征数据或者编写需要的特征数据，另外一些允许在很宽的范围内定制或编写特征数据。,返回本节,第7章入侵检测,典型的入侵识别方法(1)来自保留IP地址的连接企图：可通过检查IP报头的来源地址识别。(2)带有非法TCP标志的数据包：可通过参照TCP协议状态转换来识别。(3)含有特殊病毒信息的E-mail：可通过比较E-mail的主题信息或搜索特定附件来识别。,第7章入侵检测,(4)DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别。(5)针对POP3服务器的DoS（拒绝服务）攻击：通过跟踪记录某个命令的使用频率，并和设定的阈值进行比较而发出报警信息。(6)对FTP服务器文件的访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话，及时发现未经验证的使用命令等入侵企图。,第7章入侵检测,RFC基本的因特网通讯协定都在RFC文件中详细说明,2报头值特征异常报头值的来源大致有以下几种：(1)操作系统和应用软件都是在假定RFC（是一系列以编号排定的文件）被严格遵守的情况下编写的，没有添加针对异常数据的错误处理程序，所以许多包含报头值的漏洞都会利用故意违反RFC的标准定义。(2)许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据。,第7章入侵检测,(3)并非所有的操作系统和应用程序都能全面拥护RFC定义，会存在一些方面与RFC不协调。(4)新的协议可能不被包含于现有RFC中。另外合法但可疑的报头值也同样要重视。例如，如果检测到存在到端口31337或27374的连接，即可初步确定有特洛伊木马在活动。严格基于RFC的IDS特征数据有可能产生漏报或误报。,第7章入侵检测,3确定报头值特征(1)实例Synscan是一个流行的用于扫描和探测系统的工具，其执行过程很具有典型性，它发出的信息包具有多种特征，如不同的源IP，源端口2l，目标端口21，服务类型0，IPID39426，设置SYN和FIN标志位，不同的序列号集合，不同的确认号码集合，TCP窗口尺寸1028。可以对以上这些特征进行筛选，查看比较合适的特征数据。,第7章入侵检测,(2)特征候选对象：只具有SYN和FIN标志集的数据包，这是公认的恶意行为迹象。没有设置ACK标志，却具有不同确认号的数据包，而正常情况应该是0。源端口和目标端口都被设置为21的数据包，经常与FTP服务器关联。TCP窗口尺寸为1028，IPID在所有的数据包中为39426。根据IPRFC的定义，这两类数值应有所变化，因此，如果持续不变就表明可疑。,第7章入侵检测,(3)创建特征用于寻找并确定Synscan发出的每个TCP信息包中的以下属性：只设置了SYN和FIN标志。IP鉴定号码为39426。TCP窗口尺寸为1028。,第7章入侵检测,4特征的广谱性对于变种的工具就需要结合特殊特征和通用特征。通用特征可以创建如下：(1)没有设置确认标志，但是确认数值却非0的TCP数据包。(2)只设置了SYN和FIN标志的TCP数据包。(3)初始TCP窗口尺寸低于一定数值的TCP数据包。使用以上通用特征可以有效识别上述的两种异常数据包，如果需要更加精确的探测，可以再通用特征上增加一些个性数据。,返回本节,第7章入侵检测,7.3.2协议分析,协议分析表明入侵检测系统能真正理解各层协议是如何工作的，而且能通过分析协议的通信情况来寻找可以或异常的行为。协议分析通过检查TCP和UDP包的内容来提取特征。1FTP的协议解码(1)典型的FTP命令MKD的缓冲区溢出漏洞可以通过发送包含shellcode的代码加以利用。标准的包内容查找的特征包含shellcode的序列（通常是1020字节），而且必须同FTP包中的数据完全匹配。,第7章入侵检测,(2)协议分析允许检测到MKD命令的参数并确认它的长度和是否包含二进制数据，通过检查可以发现各种不同的尝试性攻击，而不仅仅发现已知的那些漏洞。,第7章入侵检测,FTP命令“SITEEXEC”用来在FTP服务器上执行命令，它被用于许多攻击中。“SITE”是事实上的FTP命令，而“EXEC”是参数。对于包内容查找在包中寻找“SITEEXEC”，试图找到一个与大小写无关的匹配。入侵者在“SITE”和“EXEC”之间加入一些空格就可以避免被监测到，而许多FTP服务器忽略多余的空格。显然，只通过内容查找并不能查找到后一个命令。一个协议分析的特征理解为如何分解“SITEEXEC”，或其他变种，所以仍然可以准确地监测到该攻击。,第7章入侵检测,2HTTP的协议解码(1)攻击手段许多攻击者使用的一种简单的IDS逃避方法是路径模糊。这种技术的中心思想是改变路径，使它可以在不同的出现方式下做同样的事情。这种技术在URL中频繁使用，用来隐藏基于HTTP的攻击。攻击者通常利用反斜线符号、单点顺序、双点顺序等来模糊路径。,第7章入侵检测,(2)识别并“标准化”URL解码IP报头来检测有效负载包含的协议。解码TCP报头，查找TCP目的端口号。假定Web服务器监听端口为80，若目的端口为80，则表明用户正在发送http请求给服务器。依靠HTTP协议分析将该请求进行解析，包括URL路径。,第7章入侵检测,通过处理路径模糊、Hex编码、双重Hex编码和Unicode来处理URL路径。分离模糊路径，并进行异常匹配，在匹配成功时发出警告。网络入侵检测识别所有这种攻击的唯一方法就是执行协议分析。,返回本节,第7章入侵检测,7.4入侵检测响应机制,7.4.1对响应的需求7.4.2自动响应7.4.3蜜罐7.4.4主动攻击模型,返回本章首页,第7章入侵检测,7.4.1对响应的需求,1.完整的入侵检测组成(1)准备(2)检测(3)响应响应是一个入侵检测系统必须的部分，通常在准备阶段制订安全策略和支持过程，包括如何组织管理和保护网络资源，以及如何对入侵进行响应等。,返回本节,第7章入侵检测,2.设计响应机制必须考虑的因素（1）系统用户入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员必须区别对待。（2）操作运行环境入侵检测系统提供的信息形式依赖其运行环境。,第7章入侵检测,(3)系统目标为用户提供关键数据和业务的系统，需要部分地提供主现响应机制。(4)规则或法令的需求在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为。,返回本节,第7章入侵检测,7.4.2自动响应,存在的问题：有可能错误的针对一个从未攻击过我们的网络结点进行响应如果攻击者判定系统有自动响应，则可能会利用这一点来攻击系统,返回本节,第7章入侵检测,7.4.2自动响应,常见的自动响应方式如下：（1）压制调速其原理是在检测到端口扫描或SYNFlood行为时就开始增加延时，如果该行为仍然继续，就继续增加延时。这可挫败几种由脚本程序驱动的扫描，例如对0-255广播地址ping映射，因为它们要靠计时来区分UNIX和非UNIX系统的目标。这种方式也被广泛地应用于防火墙，作为其响应引擎。,返回本节,第7章入侵检测,（2）SYN|ACK响应设想入侵检测系统已知某个网络节点用防火墙或过滤路由器对某些端口进行防守，当入侵检测系统检测到向这些端口发送的TCPSYN包后，就用一个伪造的SYN|ACK进行回答。这样，攻击者就会以为他们找到了许多潜在的攻击目标，而实际上他们得到的只不过是一些错误报警。,第7章入侵检测,（3）RESETs这种响应的思想是如果发现一个TCP连接被建立，而它连接的是你要保护的某种东西，就伪造一个RESET并将其发送给发起连接的主机，使连接断开。尽管在商用入侵检测系统中很可能得到这一响应功能，但它不是经常被用到。另外攻击者可能很快就会修补他们的TCP程序使其忽略RESET信号。当然，还有一种方式是向内部发送RESET。,返回本节,第7章入侵检测,7.4.3蜜罐,高级的网络节点可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被称为蜜罐（Honeypot）。蜜罐是一种欺骗手段，它可以用于错误的诱导攻击者，也可用于收集攻击信息，以改进防御能力。蜜罐能采集的信息量由自身能提供的手段及攻击行为的数量决定。,返回本节,第7章入侵检测,7.4.3蜜罐,几种常见的蜜罐：（1）BOF由NFR公司的MarcusRanum和crew开发，能运行于大多数Windows平台。它能够记录针对这些端口的攻击场景，并通过伪造数据包对攻击者进行欺骗。,返回本节,第7章入侵检测,（2）DeceptionToolkit由FredCohen开发，结合Perl和C两种语言编写，可模仿大量服务程序。DTK是一个状态机，实际上它能虚拟任何服务，并可方便地利用其中的功能直接模仿许多服务程序。,第7章入侵检测,（3）SpecterSpecter是运行在Windows平台上的商业产品。它能模拟多种操作系统上较大范围的端口；同时提供信息自动收集和处理功能。（4）Mantrap由Recourse公司开发的商用软件。它最多能模拟4种操作系统，并允许管理员动态配置，并能在模拟平台上加载应用程序，收集包括从网络层到应用层的各种攻击信息。,第7章入侵检测,（5）Honeynets这是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习。,第7章入侵检测,7.4.4主动攻击模型,1.主动攻击模型图,返回本节,第7章入侵检测,2.分析主动攻击是探测到进攻时发起对攻击者的反击；但这个方法是非常危险的，它不但是非法的，也会影响到网络上无辜的用户。,返回本节,第7章入侵检测,7.5绕过入侵检测的若干技术,7.5.1对入侵检测系统的攻击7.5.2对入侵检测系统的逃避7.5.3其他方法,返回本章首页,目前市场上的入侵检测产品所采用的检测技术主要分为：1、特征分析法2、协议分析法,第7章入侵检测,7.5.1对入侵检测系统的攻击,1直接攻击(1)存在的问题网络入侵检测系统通常运行在一定的操作系统之上，其本身也是一个复杂的协议栈实现，这就意味着NID本身可能受到smurf、synflood或jolt2等攻击。如果安装IDS的操作系统本身存在漏洞或IDS自身防御力差，此类攻击很有可能造成IDS的探测器丢包、失效或不能正常工作。,返回本节,第7章入侵检测,(2)解决办法采用双网卡技术，一个绑定IP用于控制台通信，一个则无IP，用于收集网络数据包。对于没有IP的NIDS（网络入侵检测系统）则无法直接攻击，而且新的IDS一般采用了协议分析技术，提高了IDS捕获和处理数据的性能，所以直接攻击的方法会失效。,第7章入侵检测,2间接攻击一般的NIDS都有入侵响应的能力，攻击者可以利用其响应进行间接攻击，如使入侵次数迅速增多，发送大量的报警信息，并占用大量的CPU资源；或使防火墙错误配置，造成一些正常的IP无法访问等。,返回本节,第7章入侵检测,7.5.2对入侵检测系统的逃避,1针对HTTP请求(1)URL编码将URL进行编码，可以避开一些采用规则匹配的NIDS。如十六进制编码、Unicode/Wide编码、斜线（包括“”和“”）、增加目录以及各种等价命令替换等。,返回本节,第7章入侵检测,(2)会话组合如果将请求放在不同的报文中发出，IDS就可能不会匹配出攻击了，但这种攻击行为无法逃避采用协议分析和会话重组技术的NIDS。(3)大小写敏感DOS/Windows和UNIX不同，它对大小写不敏感。这种手段可能造成一些老式的IDS匹配失败。,第7章入侵检测,2针对缓冲区溢出一些NIDS检测远程缓冲区溢出的主要方式是通过检测数据载荷里是否包含“bin/sh”或是否含有大量的NOP。针对这种识别方法，某些溢出程序的NOP考虑用“eb02”代替。另外，目前出现了一种多形态代码技术，使攻击者能潜在的改变代码结构来欺骗许多NIDS，经过伪装的溢出程序，每次攻击所采用的shellcode都不相同，这样降低了被检测到的可能。,第7章入侵检测,3针对木马IDS对木马和后门程序一般是通过端口来判断的。如果按照木马的默认端口进行连接，很容易就能识别。目前大部分的木马都使用浮动端口，且采用加密方式传输数据，这样NIDS就很难检测。,返回本节,第7章入侵检测,7.5.3其他方法,(1)慢扫描网络入侵检测系统按照特定数据源的访问频率来判断网络扫描。扫描器可以通过延长扫描时间，降低扫描频率来躲避这种检测。(2)分片数据报分片是TCP/IP协议适应各种网络环境应用的机制之一。很多入侵检测系统一般都不进行分片重组，因此，一些攻击数据可以通过分布在不同的数据分片中，逃避检测。,返回本节,第7章入侵检测,(3)地址欺骗利用代理或者伪造IP包进行攻击，隐藏攻击者的IP，使NIDS不能发现攻击者。(4)利用LLKM处理网络通信利用LLKM简单、临时改变TCP/IP协议栈的行为，如改变出现在网络传输线路上的TCP标志位，就可以躲避一些NIDS。,返回本节,第7章入侵检测,7.6入侵检测标准化工作,7.6.1CIDF体系结构7.6.2CIDF规范语言7.6.3CIDF的通信机制7.6.4入侵检测系统,返回本章首页,第7章入侵检测,7.6.1CIDF体系结构,1.CIDF模型(1)DARPA建议为了提高IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG)发起制定了一系列建议草案标准。,返回本节,第7章入侵检测,(2)公共入侵检测框架(CIDF)通用模型,第7章入侵检测,2.CIDF组成(1)事件产生器CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息;事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件;,第7章入侵检测,可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器;可以是SQL数据库中产生描述事务的事件的应用代码。,第7章入侵检测,(2)事件分析器事件分析器分析从其他组件收到的GIDO，并将产生的新GIDO再传送给其他组件;可以是一个轮廓描述工具，统计性地检查现在的事件；可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的滥用攻击特征；,第7章入侵检测,(3)事件数据库事件数据库用来存储GIDO，以备系统需要的时候使用。(4)响应单元响应单元处理收到的GIDO，并据此采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。,返回本节,第7章入侵检测,7.6.2CIDF规范语言,CIDF的规范语言文档定义了一个公共入侵标准语言（CommonIntrusionSpecificationLanguage，以下简称为CISL）。各IDS使用统一的CISL，来表示原始事件信息、分析结果和响应指令，从而建立了IDS之间信息共享的基础。,返回本节,第7章入侵检测,1.CISL组成CISL使用了一种类似Lisp语言的S表达式，它的基本单位由语义标志符SID、数据和圆括号组成。例如：（HostName），其中HostName为SID，表示后面的数据是一个主机名，为数据，括号将两者关联。多个S表达式的基本单位递归组合在一起，构成整个CISL的S表达式。,第7章入侵检测,2.S表达式下面的S表达式：(Delete(Context(HostName)(Time16:40:32Jun141998)(Initiator(UserNamejoe)(Source(FileName/etc/passwd),第7章入侵检测,(1)joe表示用户名(2)事件joe在1998年6月14日16点40分32秒删除了主机名为的主机上的文件/etc/passwd。,返回本节,第7章入侵检测,7.6.3CIDF的通信机制,1.CIDF的内部通信机制(1)匹配服务（MatchmakingService）法;(2)消息层（MessageLayer）法。,返回本节,第7章入侵检测,2.匹配服务（MatchmakingService）法(1)为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一机制。(2)匹配器的实现是基于轻目录存取协议（TheLightweightDirectoryAccessProtocol，以下简称为LDAP）的。,第7章入侵检测,(3)CIDF的匹配器的构成通信模块（thecommunicationsmodule）。匹配代理（thebroker）。认证和授权模块（theauthentication/authorizationmodule）。客户端缓冲区（theclient-sidecache）。,第7章入侵检测,3.消息层法(1)功能提供了路由信息追踪、数据加密和认证等功能，这些功能是在客户端与服务器之间的握手阶段完成的，从而既保证了数据的安全性又最大程度地减少了传输开销。,第7章入侵检测,(2)消息处理过程在CIDF的内部通信文档中还描述了各种情况下的消息处理过程，其中包括与传输层协议无关的标准消息处理过程，基于可信UDP的消息处理过程，基于CIDF加密认证机制的消息处理过程等。,返回本节,第7章入侵检测,7.6.4入侵检测系统,1.简单的分布式人侵检测系统(1)功能进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。有的系统的中心控制部件可以监督和控制其他部件的活动，修改其配置等。,返回本节,第7章入侵检测,(2)简单的分布式入侵检测系统图(DIDS，DistributedIntrusionDetectionSystern),第7章入侵检测,(3)DIDSDirector的主要组成部分通信管理器控制整个系统的信息流；专家系统，负责分析从各个监视源来的归纳过的信息，进行入侵检测；用户接口，主要负责给安全管理者提供友好的人机界面。,第7章入侵检测,2.基于智能代理技术的分布式人侵检测系统(1)现存的入侵检测系统局限性：中心分析器往往存在成为单点故障的可能。如果入侵者攻入了分析系统，使其不能正常工作，将造成整个入侵检测系统的瘫痪，从而使整个网络失去保护。,第7章入侵检测,扩展性限制。在一个中心主机上处理所有的信息，限制了所能监视的网络的扩展。网络的扩展，使得中心主机负载过重，来不及处理所有的信息流。而且随着网络的扩展，网上的通信数据加大，可能给分布式数据收集带来困难。,第7章入侵检测,不易于对入侵检测系统进行更新配置和增加配置功能。通常，配置的改变和增加是通过编辑配置文件、在配置表中增加相应的项、安装一个模块来实现的。为了使配置生效，入侵检测系统常需要重起。网络数据分析可能出错。由于网络数据的收集是在不同于目的主机的主机上进行的，这样使得攻击者可以采用插入和逃避(InsertionandEvasion)攻击手段来攻击系统。,第7章入侵检测,(2)基于自治代理的入侵检测系统AAFIDPurdue大学COAST实验室提出了一种新的基于自治代理的入侵检测系统结构，它的原型实现称为AAFID(AutonomousAgentsForIntrusionDetection)。利用自治代理来做入侵检测系统的数据采集及数据分析部件，可以克服上述的局限性。,第7章入侵检测,(3)AAFID的系统结构部件：代理(Agents)收