淺析網絡入侵監(jiān)測系統(tǒng)

第第頁淺析網絡入侵監(jiān)測系統(tǒng)淺析網絡入侵監(jiān)測系統(tǒng)-IDS的應用（1）

發(fā)表于：2023-06-23來源：：點擊數(shù)：標簽：

淺析網絡入侵監(jiān)測系統(tǒng)-IDS的應用很多文章介紹了如何通過建立，改善，以及分析服務器日記文件的種種方式，監(jiān)測出來黑客入侵行為，但這些都是過去式，都是在入侵發(fā)生后你才知道存在這種行為而加以防范。最好的方法是能夠在當場就能監(jiān)測出惡意的網絡入侵

淺析網絡入侵監(jiān)測系統(tǒng)-IDS的應用

很多文章介紹了如何通過建立，改善，以及分析服務器日記文件的種種方式，監(jiān)測出來黑客入侵行為，但這些都是過去式，都是在入侵發(fā)生后你才知道存在這種行為而加以防范。最好的方法是能夠在當場就能監(jiān)測出惡意的網絡入侵行為，并且馬上采取防范反擊措施加以糾正。因此即時監(jiān)測黑客入侵行為并以程序自動產生響應的網絡入侵監(jiān)測系統(tǒng)（又稱IDS）產生了。1、何謂IDS？

簡單的說，設立IDS的唯一目的就是當場監(jiān)測到網絡入侵事件的發(fā)生。IDS就是一個網絡上的系統(tǒng)，這個系統(tǒng)包含了下面三個組件：

（1）網絡監(jiān)測組件，用以捕捉在網絡線上傳遞的封包。

（2）接口組件，用以決定監(jiān)測中的資料傳遞是否屬于惡意行為或惡意的使用。在網絡傳遞時，用來比較的資料樣式（pattern），以監(jiān)測惡意網絡活動。

（3）響應組件，針對當時的事件予以適當?shù)捻憫＿@個響應可以是簡單的，例如寄發(fā)一個電子郵件訊息給系統(tǒng)管理者，或者是復雜的，例如暫時將違規(guī)者的IP地址過濾掉，不要讓他連到這個網絡來。

2、IDS如何通過網頁監(jiān)測網絡入侵事件

IDS系統(tǒng)不只必須監(jiān)測各式各樣，從大到小，以及各種系列的系統(tǒng)上的網絡攻擊事件，它還必須能夠快速及時地的在第一時間內監(jiān)測到入侵事件的發(fā)生。因此，IDS的數(shù)據(jù)庫以及式樣比對（pattern-matching）機制是復雜到令人難以置信的。

要使IDS能夠監(jiān)測通過網頁的入侵事件，其中的網絡監(jiān)測組件就必須要能夠捕捉所有通過網頁通訊端口上，借著HTTP通訊協(xié)議傳遞的網絡資料往來。（注意，SSL的網絡交通是完全繞過IDS的網絡監(jiān)測的，因為這些網絡交換資料都是經過加密的。）式樣比對組件在這里，主要是用于比較URL解析的結果，看看是否符合數(shù)據(jù)庫中的惡意的HTTP回詢（request）。

接下來，我介紹如何制作兩個快速而簡易的IDS，用來監(jiān)測可疑的網頁回詢活動。這些解決方案的目的是在于提供系統(tǒng)管理者，讓他們擁有一個特別針對他們網絡而設計的監(jiān)測/響應系統(tǒng)。

3、制作快速而簡易的IDS

（1）NetworkGrep工具

我們先從一個簡單的網絡監(jiān)視程序開始，這個程序是用來監(jiān)測HTTP通訊協(xié)議的網絡資料往來。HTTP回詢的特色是，它使用以下的語法：

〈HTTP-Request-Method〉〈URL〉HTTP/〈version〉

這個可在Packetfactory入口網站尋獲的程序ngrep針對在網絡上傳遞往來的資料，執(zhí)行正則表示法（regularexpression）式樣比對。我們可以用以下的指令來利用ngrep攔截并顯示所有純文字形式的HTTP資料往來：

#ngrep-iqt“^GET|^HEAD|^TRACE|^POST|^PUTandHTTP”

以上指令中，-iqt選項是指示ngrep不要區(qū)分資料中的大小寫，并且只有顯示封包中有符合式樣比對的資料，以及在顯示資料時加上日期以及時間的標題。（注：比對的式樣，是基于GET，HEAD，TRACE，POST，PUT，以及HTTP等關鍵詞。欲知更多有關如何在ngrep使用正則表示法，你可以到/Projects/Ngrep/查看相關資料。）

以上面我們建議的方式使用ngrep再加上運行越來越受歡迎的Whisker程序，監(jiān)測地址為的IIS5.0服務器平臺，我們得到了以下的結果：

T03:37:30.0417391:2425-:80[AP]

HEAD/HTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Referer:/..Connection:close

T2023/01/1603:37:30.1086301:2426-:80[AP]

GET/cfdocs/HTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Cookie:ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;path=

/..Referer:/..Connection:close

T2023/01/1603:37:31.8424521:2427-:80[AP]

GET/scripts/HTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Cookie:ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;path=

/..Referer:/..Connection:close

T2023/01/1603:37:31.8542061:2428-:80[AP]

GET/scripts/cfcache.mapHTTP/1.0..User-Agent:Mozilla/5.0[en]

（Win95;U）..Cookie:ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;

path=/..Referer:/..Connection:close

T2023/01/1603:37:33.6445341:2429-:80[AP]

GET/cfcache.mapHTTP/1.0..User-Agent:Mozilla/5.0[en]（Win95;U）..Cookie:ASPSESSIONIDGQGQGL