第10講：第六章-基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

1、0入侵檢測(cè)技術(shù)分析第第10講講1入侵檢測(cè)技術(shù)分析入侵檢測(cè)技術(shù)分析 第六章第六章基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)2課程安排課程安排n 入侵檢測(cè)概述入侵檢測(cè)概述 5學(xué)時(shí)n 入侵檢測(cè)技術(shù)分類(lèi)入侵檢測(cè)技術(shù)分類(lèi) 3學(xué)時(shí)n 基于主機(jī)的入侵檢測(cè)技術(shù)基于主機(jī)的入侵檢測(cè)技術(shù) 2學(xué)時(shí)n 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù) 3學(xué)時(shí)n 混合型的入侵檢測(cè)技術(shù)混合型的入侵檢測(cè)技術(shù) 2學(xué)時(shí)n先進(jìn)的入侵檢測(cè)技術(shù)先進(jìn)的入侵檢測(cè)技術(shù) 3學(xué)時(shí)n分布式入侵檢測(cè)架構(gòu)分布式入侵檢測(cè)架構(gòu) 3學(xué)時(shí)n設(shè)計(jì)考慮及響應(yīng)問(wèn)題設(shè)計(jì)考慮及響應(yīng)問(wèn)題 2學(xué)時(shí)n入侵檢測(cè)系統(tǒng)的評(píng)估與測(cè)試入侵檢測(cè)系統(tǒng)的評(píng)估與測(cè)試 3學(xué)時(shí)nSnort分析分析

2、 4學(xué)時(shí) n入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì) 2學(xué)時(shí) 3教材及參考書(shū)教材及參考書(shū)n 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)曹元大曹元大 人民郵電出版社人民郵電出版社n 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)唐正軍等唐正軍等 清華大學(xué)出版社清華大學(xué)出版社n 入侵檢測(cè)入侵檢測(cè)羅守山羅守山 北京郵電大學(xué)出版社北京郵電大學(xué)出版社 4上一節(jié)回顧上一節(jié)回顧n 網(wǎng)絡(luò)數(shù)據(jù)包的截獲網(wǎng)絡(luò)數(shù)據(jù)包的截獲l sniffierl 采用套接字編程方式完成數(shù)據(jù)包截獲采用套接字編程方式完成數(shù)據(jù)包截獲l 采用采用Libpcap庫(kù)函數(shù)方法完成數(shù)據(jù)包截獲庫(kù)函數(shù)方法完成數(shù)據(jù)包截獲l BPF的基本原理的基本原理5第六章第六章 基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于

3、網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)n 分層協(xié)議模型與分層協(xié)議模型與TCP/IP協(xié)議協(xié)議n 網(wǎng)絡(luò)數(shù)據(jù)包的截獲網(wǎng)絡(luò)數(shù)據(jù)包的截獲n 檢測(cè)引擎的設(shè)計(jì)檢測(cè)引擎的設(shè)計(jì)n 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 檢測(cè)實(shí)例分析檢測(cè)實(shí)例分析66.6 檢測(cè)引擎的設(shè)計(jì)檢測(cè)引擎的設(shè)計(jì)l 檢測(cè)引擎的設(shè)計(jì)是基于網(wǎng)絡(luò)入侵檢測(cè)的核心問(wèn)檢測(cè)引擎的設(shè)計(jì)是基于網(wǎng)絡(luò)入侵檢測(cè)的核心問(wèn)題。題。l從具體的實(shí)現(xiàn)機(jī)制看，檢測(cè)引擎可分為從具體的實(shí)現(xiàn)機(jī)制看，檢測(cè)引擎可分為l嵌入式規(guī)則檢測(cè)引擎嵌入式規(guī)則檢測(cè)引擎l可編程的檢測(cè)?？删幊痰臋z測(cè)。l 從具體采用的檢測(cè)技術(shù)看，網(wǎng)絡(luò)入侵檢測(cè)引擎從具體采用的檢測(cè)技術(shù)看，網(wǎng)絡(luò)入侵檢測(cè)引擎常見(jiàn)的技術(shù)類(lèi)型分為兩類(lèi)：常見(jiàn)的技術(shù)類(lèi)型

4、分為兩類(lèi)：l 模式匹配技術(shù)模式匹配技術(shù)l 協(xié)議分析技術(shù)協(xié)議分析技術(shù)l 模式匹配技術(shù)與協(xié)議分析技術(shù)比較模式匹配技術(shù)與協(xié)議分析技術(shù)比較繼續(xù)7嵌入式規(guī)則檢測(cè)引擎嵌入式規(guī)則檢測(cè)引擎l 具體代碼的實(shí)現(xiàn)對(duì)用戶(hù)是透明的。用戶(hù)可以配具體代碼的實(shí)現(xiàn)對(duì)用戶(hù)是透明的。用戶(hù)可以配置檢測(cè)規(guī)則置檢測(cè)規(guī)則,但無(wú)法了解系統(tǒng)內(nèi)部的實(shí)現(xiàn)機(jī)制但無(wú)法了解系統(tǒng)內(nèi)部的實(shí)現(xiàn)機(jī)制.l在嵌入式規(guī)則檢測(cè)引擎的設(shè)計(jì)中，存在兩點(diǎn)關(guān)在嵌入式規(guī)則檢測(cè)引擎的設(shè)計(jì)中，存在兩點(diǎn)關(guān)鍵問(wèn)題：鍵問(wèn)題： 檢測(cè)規(guī)則和引擎架構(gòu)設(shè)計(jì)。檢測(cè)規(guī)則和引擎架構(gòu)設(shè)計(jì)。l對(duì)于對(duì)于SnortSnort系統(tǒng)而言，它采用的是自己定義的檢系統(tǒng)而言，它采用的是自己定義的檢測(cè)規(guī)則格式。測(cè)規(guī)則格式

5、。 SnortSnort的檢測(cè)規(guī)則示例，如下圖的檢測(cè)規(guī)則示例，如下圖所示。所示。alert tcp any any - /24 111 (content:|00 01 86 a5|; msg: mountd access;)圖圖 Snort檢測(cè)規(guī)則示例檢測(cè)規(guī)則示例8嵌入式規(guī)則檢測(cè)引擎嵌入式規(guī)則檢測(cè)引擎l 檢測(cè)規(guī)則的設(shè)計(jì)在很大程度上決定了檢測(cè)引擎檢測(cè)規(guī)則的設(shè)計(jì)在很大程度上決定了檢測(cè)引擎的入侵檢測(cè)能力。另一方面的入侵檢測(cè)能力。另一方面, ,檢測(cè)引擎的架構(gòu)設(shè)檢測(cè)引擎的架構(gòu)設(shè)計(jì)對(duì)系統(tǒng)檢測(cè)性能也具有很大影響計(jì)對(duì)系統(tǒng)檢測(cè)性能也具有很大影響. .l Snort Snort的系統(tǒng)架構(gòu)分為

6、三大部分的系統(tǒng)架構(gòu)分為三大部分: :l協(xié)議解析器：從原始網(wǎng)絡(luò)流量數(shù)據(jù)中解析出協(xié)協(xié)議解析器：從原始網(wǎng)絡(luò)流量數(shù)據(jù)中解析出協(xié)議信息。議信息。l 規(guī)則檢測(cè)引擎：規(guī)則檢測(cè)引擎：規(guī)則鏈表構(gòu)造模塊、預(yù)處理器規(guī)則鏈表構(gòu)造模塊、預(yù)處理器模塊和規(guī)則匹配模塊模塊和規(guī)則匹配模塊l日志日志/ /警報(bào)系統(tǒng)：警報(bào)系統(tǒng)：規(guī)則匹配模塊所觸發(fā)的規(guī)則動(dòng)規(guī)則匹配模塊所觸發(fā)的規(guī)則動(dòng)作。作。9可編程的檢測(cè)引擎設(shè)計(jì)可編程的檢測(cè)引擎設(shè)計(jì)l 可編程的入侵檢測(cè)引擎，允許用戶(hù)采用特定的編程可編程的入侵檢測(cè)引擎，允許用戶(hù)采用特定的編程語(yǔ)言或者腳本語(yǔ)言，實(shí)現(xiàn)具體的檢測(cè)模塊。語(yǔ)言或者腳本語(yǔ)言，實(shí)現(xiàn)具體的檢測(cè)模塊。l 可編程入侵檢測(cè)引擎設(shè)計(jì)的要點(diǎn)就在于用

7、實(shí)現(xiàn)入可編程入侵檢測(cè)引擎設(shè)計(jì)的要點(diǎn)就在于用實(shí)現(xiàn)入侵檢測(cè)功能的腳本語(yǔ)言的定義及其與引擎架構(gòu)的接侵檢測(cè)功能的腳本語(yǔ)言的定義及其與引擎架構(gòu)的接口設(shè)計(jì)口設(shè)計(jì)。l NFRNFR的的IDA/NIDIDA/NID采用可編程檢測(cè)引擎設(shè)計(jì)采用可編程檢測(cè)引擎設(shè)計(jì). .l N-Code N-Code語(yǔ)言類(lèi)似于語(yǔ)言類(lèi)似于C C語(yǔ)言的風(fēng)格語(yǔ)言的風(fēng)格, , 是專(zhuān)門(mén)的入侵檢是專(zhuān)門(mén)的入侵檢測(cè)腳本語(yǔ)言測(cè)腳本語(yǔ)言. .10可編程的檢測(cè)引擎設(shè)計(jì)可編程的檢測(cè)引擎設(shè)計(jì)n 下面給出一個(gè)實(shí)際的下面給出一個(gè)實(shí)際的N-Code檢測(cè)模塊，該模塊檢測(cè)模塊，該模塊用于檢測(cè)針對(duì)用于檢測(cè)針對(duì)Web服務(wù)器的若干種探測(cè)攻擊行為，服務(wù)器的若干種探測(cè)攻擊行為，

8、包括若干種包括若干種cgi探測(cè)和探測(cè)和phf攻擊。攻擊。# Sample for detecting Web cgi probesbadweb_schema = library_schema:new(1, time, int, ip, ip, str, scope();# list of web servers to watch. List IP address of servers or a netmask # that matches all. use : to match any server11可編程的檢測(cè)引擎設(shè)計(jì)可編程的檢測(cè)引擎設(shè)計(jì) da_web_serv

9、ers = : ;query_list = /cgi-bin/nph-test-cgi?,/cgi-bin/test-cgi?, /cgi-bin/perl.exe?, /cgi-bin/phf? ;filter bweb tcp (client, dport: 80)if (! (tcp.connDst inside da_web_servers)return;declare blob inside tcp.connSym;if (blob = null)12可編程的檢測(cè)引擎設(shè)計(jì)可編程的檢測(cè)引擎設(shè)計(jì)blob = tcp.blob;elseblob = cat (b

10、lob, tcp.blob);while (1 = 1) x = index(blob, n);if (x = 0) counter=1;# save the time, the connection hash, the client,# the server, and the command to a histogramrecord system.time, tcp.connHash, tcp.connSrc, tcp.connDst, t to badweb_hist;if (counter)break;14可編程的檢測(cè)引擎設(shè)計(jì)可編程的檢測(cè)引擎設(shè)計(jì)# keep us from gettin

11、g flooded if there is no newline in the dataif (strlen(blob) 4096)blob = ;# save the blob for next passblob = substr(blob, x + 1);badweb_hist = recorder (bin/histogram packages/test/badweb.cfg,badweb_schema);15模式匹配技術(shù)模式匹配技術(shù)n 使用基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。其特點(diǎn)使用基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。其特點(diǎn)是誤報(bào)率小。是誤報(bào)率小。n 傳統(tǒng)模式傳統(tǒng)模式匹配匹配工作過(guò)程如下

12、：工作過(guò)程如下：l (1) (1) 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較。從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較。l (2)(2)如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊。如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊。l (3)(3)如果比較結(jié)果不同，從數(shù)據(jù)包中下一個(gè)位置重新如果比較結(jié)果不同，從數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較。開(kāi)始比較。l (4) (4) 直到檢測(cè)到攻擊或數(shù)據(jù)包中的所有字節(jié)匹配完直到檢測(cè)到攻擊或數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束。畢，一個(gè)攻擊特征匹配結(jié)束。l (5) (5) 對(duì)于每一個(gè)攻擊特征，重復(fù)對(duì)于每一個(gè)攻擊特征，重復(fù)(1)(1) (4)(4)步的操作。步的操作。l

13、 (6) (6) 直到每一個(gè)攻擊特征匹配完畢，對(duì)給定數(shù)據(jù)包直到每一個(gè)攻擊特征匹配完畢，對(duì)給定數(shù)據(jù)包的匹配完畢。的匹配完畢。16協(xié)議分析技術(shù)協(xié)議分析技術(shù)n 傳統(tǒng)的模式匹配檢測(cè)方法的根本問(wèn)題是把網(wǎng)絡(luò)傳統(tǒng)的模式匹配檢測(cè)方法的根本問(wèn)題是把網(wǎng)絡(luò)數(shù)據(jù)包看作是無(wú)序的隨意的字節(jié)流?？墒蔷W(wǎng)絡(luò)數(shù)據(jù)包看作是無(wú)序的隨意的字節(jié)流?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流。和取值的數(shù)據(jù)流。n 協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類(lèi)型，以協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類(lèi)型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包。并便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包。并根據(jù)協(xié)議首

14、部相應(yīng)的字段確定上層協(xié)議根據(jù)協(xié)議首部相應(yīng)的字段確定上層協(xié)議, 直至完直至完成應(yīng)用層協(xié)議的解析。成應(yīng)用層協(xié)議的解析。n 可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹(shù)，一個(gè)特定可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹(shù)，一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)?？梢杂靡豢玫膮f(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)?？梢杂靡豢枚鏄?shù)來(lái)表示。二叉樹(shù)來(lái)表示。17協(xié)議分析技術(shù)協(xié)議分析技術(shù)n例如對(duì)一個(gè)例如對(duì)一個(gè)HTTP報(bào)文的解析報(bào)文的解析:l根據(jù)數(shù)據(jù)鏈路層以太網(wǎng)的幀頭部協(xié)議類(lèi)型字根據(jù)數(shù)據(jù)鏈路層以太網(wǎng)的幀頭部協(xié)議類(lèi)型字段為段為0800, 0800, 確定上一層為確定上一層為IPIP協(xié)議協(xié)議; ; l從從IP IP 包頭部讀取協(xié)議值為包頭部讀取協(xié)議值為0

15、6, 06, 傳輸層協(xié)議為傳輸層協(xié)議為T(mén)CP; TCP; l從從TCP TCP 包頭部讀取端口號(hào)為包頭部讀取端口號(hào)為80, 80, 則其內(nèi)容為則其內(nèi)容為HTTP HTTP 報(bào)文報(bào)文; ; l最后解析出最后解析出HTTP HTTP 頭部和報(bào)文中的內(nèi)容。頭部和報(bào)文中的內(nèi)容。18協(xié)議分析技術(shù)協(xié)議分析技術(shù)n以以TCP/IP協(xié)議為例實(shí)現(xiàn)一棵分析樹(shù)時(shí)協(xié)議為例實(shí)現(xiàn)一棵分析樹(shù)時(shí), 樹(shù)根是以樹(shù)根是以太網(wǎng)的幀太網(wǎng)的幀( 假定從數(shù)據(jù)鏈路層開(kāi)始分析假定從數(shù)據(jù)鏈路層開(kāi)始分析) , 靠近樹(shù)靠近樹(shù)根的是根的是IP, ARP,RARP協(xié)議協(xié)議, 然后是然后是TCP, UDP, ICMP 等等, 最后是最后是HTTP, SMT

16、P等高層協(xié)議的特征等高層協(xié)議的特征, 如圖如圖所示。所示。n 19協(xié)議分析技術(shù)協(xié)議分析技術(shù)l 協(xié)議分析的檢測(cè)模型協(xié)議分析的檢測(cè)模型20協(xié)議分析技術(shù)協(xié)議分析技術(shù)n按協(xié)議類(lèi)型對(duì)規(guī)則進(jìn)行分類(lèi)按協(xié)議類(lèi)型對(duì)規(guī)則進(jìn)行分類(lèi)21特征分析與協(xié)議分析技術(shù)比較特征分析與協(xié)議分析技術(shù)比較l 這兩種入侵檢測(cè)分析技術(shù)也在不斷發(fā)展，一個(gè)基本這兩種入侵檢測(cè)分析技術(shù)也在不斷發(fā)展，一個(gè)基本的趨勢(shì)是二者相互融合，取長(zhǎng)補(bǔ)短，逐步演變成為的趨勢(shì)是二者相互融合，取長(zhǎng)補(bǔ)短，逐步演變成為混合型的分析技術(shù)。混合型的分析技術(shù)。l 對(duì)于現(xiàn)在的特征分析技術(shù)而言，也逐步加入了許多對(duì)于現(xiàn)在的特征分析技術(shù)而言，也逐步加入了許多基本的協(xié)議分析功能。當(dāng)前的特

17、征分析技術(shù)，通?；镜膮f(xié)議分析功能。當(dāng)前的特征分析技術(shù)，通常對(duì)對(duì)OSI模型中的第三層（網(wǎng)絡(luò)層）和第四層（傳輸模型中的第三層（網(wǎng)絡(luò)層）和第四層（傳輸層）進(jìn)行解碼分析，通常包含了層）進(jìn)行解碼分析，通常包含了IP、ICMP、TCP、UDP等網(wǎng)絡(luò)協(xié)議。等網(wǎng)絡(luò)協(xié)議。l 與此同時(shí)，協(xié)議分析技術(shù)也在不斷地發(fā)展。除了上與此同時(shí)，協(xié)議分析技術(shù)也在不斷地發(fā)展。除了上述的對(duì)第三層和第四層協(xié)議的解碼分析，許多現(xiàn)代述的對(duì)第三層和第四層協(xié)議的解碼分析，許多現(xiàn)代的基于協(xié)議分析技術(shù)的系統(tǒng)通常還會(huì)對(duì)第七層的應(yīng)的基于協(xié)議分析技術(shù)的系統(tǒng)通常還會(huì)對(duì)第七層的應(yīng)用層協(xié)議進(jìn)行詳盡的分析。用層協(xié)議進(jìn)行詳盡的分析。22特征分析與協(xié)議分析技術(shù)比

18、較特征分析與協(xié)議分析技術(shù)比較l 下表總結(jié)了特征分析和協(xié)議分析技術(shù)各自的優(yōu)下表總結(jié)了特征分析和協(xié)議分析技術(shù)各自的優(yōu)缺點(diǎn)。缺點(diǎn)。類(lèi)型優(yōu)點(diǎn)缺點(diǎn)特征分析 在小規(guī)則集合情況下，工作速度快 檢測(cè)規(guī)則易于編寫(xiě)、便于理解并且容易進(jìn)行定制 對(duì)新出現(xiàn)的攻擊手段，具備快速升級(jí)支持能力 對(duì)低層的簡(jiǎn)單腳本攻擊行為，具備良好的檢測(cè)性能 對(duì)所發(fā)生的攻擊行為類(lèi)型，具備確定性的解釋能力 隨著規(guī)則集合規(guī)模的擴(kuò)大，檢測(cè)速度迅速下降 各種變種的攻擊行為，易于造成過(guò)度膨脹的規(guī)則集合 較易產(chǎn)生虛警信息 僅能檢測(cè)到已知的攻擊類(lèi)型，前提是該種攻擊類(lèi)型的檢測(cè)特征已知協(xié)議分析 具備良好的性能可擴(kuò)展性，特別是在規(guī)則集合規(guī)模較大的情況下 能夠發(fā)現(xiàn)最

19、新的未知安全漏洞（Zero-Day Exploits） 較少出現(xiàn)虛警信息 在小規(guī)則集合情況下，初始的檢測(cè)速度相對(duì)較慢 檢測(cè)規(guī)則比較復(fù)雜，難以編寫(xiě)和理解并且通常是由特定廠商實(shí)現(xiàn) 協(xié)議復(fù)雜性的擴(kuò)展以及實(shí)際實(shí)現(xiàn)的多樣性，容易導(dǎo)致規(guī)則擴(kuò)展的困難 對(duì)發(fā)現(xiàn)的攻擊行為類(lèi)型，缺乏明確的解釋信息236.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.1 特征（特征（signature）的基本概念）的基本概念 l IDSIDS中的特征就是指用于判別通訊信息種類(lèi)的樣中的特征就是指用于判別通訊信息種類(lèi)的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識(shí)別方法：識(shí)別方法：

20、來(lái)自保留來(lái)自保留IPIP地址的連接企圖：可通過(guò)檢查地址的連接企圖：可通過(guò)檢查IPIP報(bào)頭報(bào)頭的來(lái)源地址識(shí)別。的來(lái)源地址識(shí)別。帶有非法帶有非法TCP TCP 標(biāo)志組合的數(shù)據(jù)包：可通過(guò)對(duì)比標(biāo)志組合的數(shù)據(jù)包：可通過(guò)對(duì)比TCPTCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記組合的不同點(diǎn)來(lái)識(shí)別。的不同點(diǎn)來(lái)識(shí)別。含有特殊病毒信息的含有特殊病毒信息的EmailEmail：可通過(guò)對(duì)比每封：可通過(guò)對(duì)比每封EmailEmail的主題信息和病態(tài)的主題信息和病態(tài)EmailEmail的主題信息來(lái)識(shí)別，的主題信息來(lái)識(shí)別，或者通過(guò)搜索特定名字的附件識(shí)別?；蛘咄ㄟ^(guò)搜索特定名字的附件識(shí)別。246.

21、7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.1 特征（特征（signature）的基本概念）的基本概念 查詢(xún)負(fù)載中的查詢(xún)負(fù)載中的DNSDNS緩沖區(qū)溢出企圖：可通過(guò)解析緩沖區(qū)溢出企圖：可通過(guò)解析DNSDNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別利用域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別利用DNSDNS域的緩域的緩沖區(qū)溢出企圖。沖區(qū)溢出企圖。通過(guò)對(duì)通過(guò)對(duì)POP3POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoSDoS攻擊：通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次攻擊：通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù)，看看是否超過(guò)了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。數(shù)，看看是否超過(guò)了預(yù)設(shè)上限，而發(fā)出報(bào)警信息。未登

22、錄情況下使用文件和目錄命令對(duì)未登錄情況下使用文件和目錄命令對(duì)FTPFTP服務(wù)器服務(wù)器的文件訪問(wèn)攻擊：通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征的文件訪問(wèn)攻擊：通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的樣板以監(jiān)視成功登錄的FTPFTP對(duì)話(huà)、發(fā)現(xiàn)未經(jīng)驗(yàn)證對(duì)話(huà)、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。卻發(fā)命令的入侵企圖。256.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.2 典型典型特征特征- -報(bào)頭值報(bào)頭值 一般情況下，異常報(bào)頭值的來(lái)源有以下幾一般情況下，異常報(bào)頭值的來(lái)源有以下幾種：種：l許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違許多包含報(bào)頭值漏洞利用的入侵?jǐn)?shù)據(jù)都會(huì)故意違反反RFCRFC的標(biāo)準(zhǔn)定義。的標(biāo)準(zhǔn)

23、定義。 l許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFCRFC定義的報(bào)頭值數(shù)據(jù)。定義的報(bào)頭值數(shù)據(jù)。 l并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFCRFC定義。定義。 l隨著時(shí)間推移，執(zhí)行新功能的協(xié)議可能不被包含隨著時(shí)間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有于現(xiàn)有RFCRFC中。中。266.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.3 候選特征候選特征 l SynscanSynscan發(fā)出的信息包具有多種可分辨的特性發(fā)出的信息包具有多種可分辨的特性: : 不同來(lái)源不同來(lái)源IPIP地址信息地址信息 T

24、CPTCP來(lái)源端口來(lái)源端口21, 21, 目標(biāo)端口目標(biāo)端口2121 服務(wù)類(lèi)型服務(wù)類(lèi)型0 0 IP IP標(biāo)識(shí)號(hào)碼標(biāo)識(shí)號(hào)碼3942639426 不同的序列號(hào)集合不同的序列號(hào)集合 不同的確認(rèn)號(hào)碼集合不同的確認(rèn)號(hào)碼集合 TCPTCP窗口尺寸窗口尺寸10281028l 可以對(duì)以上數(shù)據(jù)進(jìn)行篩選可以對(duì)以上數(shù)據(jù)進(jìn)行篩選, , 選擇好的特征數(shù)據(jù)選擇好的特征數(shù)據(jù). .276.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.3 候選特征候選特征 l以下是特征數(shù)據(jù)的候選對(duì)象以下是特征數(shù)據(jù)的候選對(duì)象只具有只具有SYNSYN和和FINFIN標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行標(biāo)志集的數(shù)據(jù)包，這是公認(rèn)的惡意行為跡象。為

25、跡象。 來(lái)源端口和目標(biāo)端口都被設(shè)置為來(lái)源端口和目標(biāo)端口都被設(shè)置為2121的數(shù)據(jù)包，經(jīng)常與的數(shù)據(jù)包，經(jīng)常與FTPFTP服務(wù)器關(guān)聯(lián)。這服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱(chēng)為種端口相同的情況一般被稱(chēng)為“反身反身”（reflexivereflexive），除了個(gè)別時(shí)候如進(jìn)行一些），除了個(gè)別時(shí)候如進(jìn)行一些特別特別NetBIOSNetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象。象?！胺瓷矸瓷怼倍丝诒旧聿⒉贿`反端口本身并不違反TCPTCP標(biāo)準(zhǔn)，但大多數(shù)標(biāo)準(zhǔn)，但大多數(shù)情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的情況下它們并非預(yù)期數(shù)值。例如在一個(gè)正常的FTPFTP對(duì)對(duì)話(huà)中，目

26、標(biāo)端口一般是話(huà)中，目標(biāo)端口一般是2121，而來(lái)源端口通常都高于，而來(lái)源端口通常都高于10231023。 286.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.3 候選特征候選特征l以下是特征數(shù)據(jù)的候選對(duì)象以下是特征數(shù)據(jù)的候選對(duì)象沒(méi)有設(shè)置沒(méi)有設(shè)置ACKACK標(biāo)志，但卻具有不同確認(rèn)號(hào)碼數(shù)值的標(biāo)志，但卻具有不同確認(rèn)號(hào)碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是數(shù)據(jù)包，而正常情況應(yīng)該是0 0。 TCPTCP窗口尺寸為窗口尺寸為10281028，IPIP標(biāo)識(shí)號(hào)碼在所有數(shù)據(jù)包中標(biāo)識(shí)號(hào)碼在所有數(shù)據(jù)包中為為3942639426。根據(jù)。根據(jù)IP RFCIP RFC的定義，這的定義，這2 2類(lèi)數(shù)值應(yīng)在數(shù)類(lèi)數(shù)值應(yīng)在數(shù)

27、據(jù)包間有所不同，因此，如果持續(xù)不變，就表明據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑?？梢伞?296.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.4 最佳特征最佳特征 l 選擇一項(xiàng)數(shù)據(jù)作為特征有很大局限性選擇一項(xiàng)數(shù)據(jù)作為特征有很大局限性; ; 選擇太多選擇太多的項(xiàng)數(shù)作為特征也不現(xiàn)實(shí)的項(xiàng)數(shù)作為特征也不現(xiàn)實(shí). . l 特征定義要在效率和精度間取得折中特征定義要在效率和精度間取得折中. .l 可以創(chuàng)建一個(gè)特征可以創(chuàng)建一個(gè)特征, , 用于尋找并確定用于尋找并確定SynscanSynscan發(fā)發(fā)出的出的TCPTCP信息包中的以下屬性信息包中的以下屬性: : 只設(shè)置了只設(shè)置了SYNSYN和

28、和FINFIN標(biāo)志標(biāo)志 IPIP簽定號(hào)碼為簽定號(hào)碼為3942639426 TCP TCP窗口尺寸為窗口尺寸為10281028306.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.5 通用特征通用特征l 由于由于SynscanSynscan可能存在多種可能存在多種”變臉變臉”, , 需要結(jié)合需要結(jié)合使用特殊特征和通用特征使用特殊特征和通用特征l “變臉變臉” SynscanSynscan所發(fā)出的數(shù)據(jù)信息特征所發(fā)出的數(shù)據(jù)信息特征: :只設(shè)置了只設(shè)置了SYNSYN標(biāo)志標(biāo)志TCPTCP窗口尺寸是窗口尺寸是4040“反身反身”端口數(shù)值為端口數(shù)值為5353而不是而不是2121l 可以采取以下可以

29、采取以下3 3種方法種方法, ,識(shí)別識(shí)別“變臉變臉” SynscanSynscan再創(chuàng)建一個(gè)特殊特征再創(chuàng)建一個(gè)特殊特征創(chuàng)建識(shí)別普通異常行為的通用特征創(chuàng)建識(shí)別普通異常行為的通用特征二者都創(chuàng)建二者都創(chuàng)建316.7 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 6.7.6 報(bào)頭值關(guān)鍵元素報(bào)頭值關(guān)鍵元素 l IPIP地址，特別保留地址、非路由地址、廣播地地址，特別保留地址、非路由地址、廣播地址。址。 l不應(yīng)被使用的端口號(hào)，特別是眾所周知的協(xié)議端不應(yīng)被使用的端口號(hào)，特別是眾所周知的協(xié)議端口號(hào)和木馬端口號(hào)?？谔?hào)和木馬端口號(hào)。 l異常信息包片斷。異常信息包片斷。 l特殊特殊TCPTCP標(biāo)志組合值。標(biāo)志組合值。

30、 l不應(yīng)該經(jīng)常出現(xiàn)的不應(yīng)該經(jīng)常出現(xiàn)的ICMPICMP字節(jié)或代碼。字節(jié)或代碼。 326.8 檢測(cè)實(shí)例分析檢測(cè)實(shí)例分析n 6.8.1 檢測(cè)實(shí)例-數(shù)據(jù)包捕獲08/19-10:35:22.409202 :137 - 55:137UDP TTL:128 TOS:0 x0 ID:19775 IpLen:20 DgmLen:78Len: 50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199 :137 - 192.168.0

31、.255:137UDP TTL:128 TOS:0 x0 ID:19776 IpLen:20 DgmLen:78Len: 50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024 :1221 - 90:80TCP TTL:128 TOS:0 x0 ID:4643 IpLen:20 DgmLen:48*S* Seq: 0 x811D5ED1 Ack: 0 x0 Win: 0 xFFFF TcpLen: 28TCP Options (4

32、) = MSS: 1460 NOP NOP SackOK=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+336.8 檢測(cè)實(shí)例分析檢測(cè)實(shí)例分析n 6.8.2 端口掃描的檢測(cè)端口掃描的檢測(cè)l 346.8 檢測(cè)實(shí)例分析檢測(cè)實(shí)例分析n 6.8.3 拒絕服務(wù)攻擊的檢測(cè)拒絕服務(wù)攻擊的檢測(cè)l 35小結(jié)小結(jié)n 嵌入式規(guī)則檢測(cè)引擎設(shè)計(jì)嵌入式規(guī)則檢測(cè)引擎設(shè)計(jì)n 可編程檢測(cè)引擎設(shè)計(jì)可編程檢測(cè)引擎設(shè)計(jì)n 模式匹配與協(xié)議分析技術(shù)模式匹配與協(xié)議分析技術(shù)n 網(wǎng)絡(luò)入侵特征實(shí)例分析網(wǎng)絡(luò)入侵特征實(shí)例分析n 檢測(cè)實(shí)例分析檢測(cè)實(shí)例分析36補(bǔ)充補(bǔ)充1: 理解理解