第1章

入侵檢測概述.ppt第2章

入侵方法與手段.ppt第3章

入侵檢測系統(tǒng).ppt第4章

入侵檢測流程.ppt第5章

基于主機的入侵檢測技術(shù).ppt第6章

基于網(wǎng)絡(luò)的入侵檢測技術(shù).ppt第7章

基于存儲的入侵檢測技術(shù).ppt第8章

基于Hadoop海量日志的入侵

檢測技術(shù).ppt第9章

入侵檢測系統(tǒng)的標準與評估.ppt入侵檢測技術(shù)（第2版）（薛靜鋒祝烈煌）全套可編輯PPT幻燈片課件（共9章）入侵檢測概述2第1章

入侵檢測概述入侵檢測概述3第1章入侵檢測概述概述:網(wǎng)絡(luò)安全基本概念入侵檢測的產(chǎn)生與發(fā)展入侵檢測的基本概念入侵檢測面臨的問題入侵檢測技術(shù)的發(fā)展趨勢入侵檢測概述4網(wǎng)絡(luò)安全的實質(zhì)保障系統(tǒng)中的人、設(shè)備、設(shè)施、軟件、數(shù)據(jù)以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊，使它們發(fā)揮正常，保障系統(tǒng)能安全可靠地工作。為了提高網(wǎng)絡(luò)安全性，需要從多個層次和環(huán)節(jié)入手，分別分析應(yīng)用系統(tǒng)、宿主機、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、子網(wǎng)、分布式計算機系統(tǒng)和全網(wǎng)中的弱點，采取措施加以防范。

入侵檢測概述5網(wǎng)絡(luò)系統(tǒng)的安全對策與入侵檢測近年來，盡管對計算機安全的研究取得了很大進展，但安全計算機系統(tǒng)的實現(xiàn)和維護仍然非常困難，因為我們無法確保系統(tǒng)的安全性達到某一確定的安全級別。

入侵檢測是最近10余年發(fā)展起來的一種動態(tài)的監(jiān)控、預防或抵御系統(tǒng)入侵行為的安全機制。主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。入侵檢測概述6網(wǎng)絡(luò)安全的P2DR模型與入侵檢測Policy（安全策略）Protection（防護）Detection（檢測）Response（響應(yīng)）入侵檢測概述7入侵檢測的早期研究1980年，JamesAnderson在技術(shù)報告中指出，審計記錄可以用于識別計算機誤用。他提出了入侵嘗試（intrusionattempt）或威脅（threat）的概念，并將其定義為：潛在、有預謀的未經(jīng)授權(quán)訪問信息、操作信息，致使系統(tǒng)不可靠或無法使用的企圖。1983年，SRI用統(tǒng)計方法分析IBM大型機的SMF記錄?？偟膩碚f，由于80年代初期網(wǎng)絡(luò)還沒有今天這樣普遍和復雜，網(wǎng)絡(luò)之間也沒有完全連通，因此關(guān)于入侵檢測的研究主要是基于主機的事件日志分析。而且由于入侵行為在當時是相當少見的，因此入侵檢測在早期并沒有受到人們的重視。入侵檢測概述8主機IDS研究1986年，SRI的DorothyE.Denning首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御措施提出，并且建立了一個獨立于系統(tǒng)、程序應(yīng)用環(huán)境和系統(tǒng)脆弱性的通用入侵檢測系統(tǒng)模型。1988年，SRI開始開發(fā)IDES（IntrusionDetectionExpertSystem）原型系統(tǒng)，它是一個實時入侵檢測系統(tǒng)。從1992年到1995年，SRI加強優(yōu)化IDES，在以太網(wǎng)的環(huán)境下實現(xiàn)了產(chǎn)品化的NIDES。1988年，LosAlamos國家實驗室的TracorAppliedSciences和HaystackLaboratories采用異常檢測和基于Signature的檢測，開發(fā)了Haystack系統(tǒng)。1989年，LosAlamos國家實驗室的HankVaccaro為NCSC和DOE開發(fā)了W&S系統(tǒng)。1989年，PRC公司開發(fā)了ISOA。

入侵檢測概述9網(wǎng)絡(luò)IDS研究1990年出現(xiàn)的NSM（NetworkSecurityMonitor，網(wǎng)絡(luò)安全監(jiān)視器），是UCD（Carlifornia大學的Davis分校）設(shè)計的面向局域網(wǎng)的IDS。1994年，美國空軍密碼支持中心的一群研究人員創(chuàng)建了一個健壯的網(wǎng)絡(luò)入侵檢測系統(tǒng)ASIM。1996年，UCD（Carlifornia大學的Davis分校）的ComputerSecurity實驗室，以開發(fā)廣域網(wǎng)上的入侵檢測系統(tǒng)為目的，開發(fā)了GrIDS。1997年，Cisco公司兼并了Wheelgroup，并開始將網(wǎng)絡(luò)入侵檢測整合到Cisco路由器中。從1996年到1999年，SRI開始EMERALD的研究，它是NIDES的后繼者。入侵檢測概述10主機和網(wǎng)絡(luò)IDS的集成分布式入侵檢測系統(tǒng)（DIDS）最早試圖把基于主機的方法和網(wǎng)絡(luò)監(jiān)視方法集成在一起。DIDS的最初概念是采用集中式控制技術(shù)，向DIDS中心控制器發(fā)報告。DIDS主管安全管理員用戶界面專家系統(tǒng)通信管理器主機代理LAN代理主機事件發(fā)生器LAN事件發(fā)生器主機監(jiān)視器LAN監(jiān)視器入侵檢測概述11入侵檢測的概念入侵：是指任何試圖危及計算機資源的完整性、機密性或可用性的行為。入侵檢測：對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息，并對這些信息進行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（簡稱IDS）。入侵檢測概述12入侵檢測的作用監(jiān)控、分析用戶和系統(tǒng)的活動審計系統(tǒng)的配置和弱點評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別攻擊的活動模式對異?；顒舆M行統(tǒng)計分析對操作系統(tǒng)進行審計跟蹤管理，識別違反政策的用戶活動

訪問控制受保護系統(tǒng)內(nèi)部有職權(quán)的人員

防火墻

入侵檢測系統(tǒng)漏洞掃描系統(tǒng)

外部訪問內(nèi)部訪問

監(jiān)視內(nèi)部人員

監(jiān)視外部人員

實時監(jiān)測系統(tǒng)定時掃描系統(tǒng)入侵檢測概述13入侵檢測的優(yōu)點提高信息安全構(gòu)造的其他部分的完整性提高系統(tǒng)的監(jiān)控從入口點到出口點跟蹤用戶的活動識別和匯報數(shù)據(jù)文件的變化偵測系統(tǒng)配置錯誤并糾正他們識別特殊攻擊類型，并向管理人員發(fā)出警報，進行防御入侵檢測概述14入侵檢測的缺點不能彌補差的認證機制如果沒有人的干預，不能管理攻擊調(diào)查不能知道安全策略的內(nèi)容不能彌補網(wǎng)絡(luò)協(xié)議上的弱點不能彌補系統(tǒng)提供質(zhì)量或完整性的問題不能分析一個堵塞的網(wǎng)絡(luò)不能處理有關(guān)packet-level的攻擊入侵檢測概述15研究入侵檢測的必要性-1在實踐當中，建立完全安全系統(tǒng)根本是不可能的。Miller給出一份有關(guān)現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序研究報告，指出軟件中不可能沒有缺陷。另外，設(shè)計和實現(xiàn)一個整體安全系統(tǒng)相當困難。要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)需要相當長的時間。如果口令是弱口令并且已經(jīng)被破解，那么訪問控制措施不能夠阻止受到危害的授權(quán)用戶的信息丟失或者破壞。靜態(tài)安全措施不足以保護安全對象屬性。通常，在一個系統(tǒng)中，擔保安全特性的靜態(tài)方法可能過于簡單不充分，或者系統(tǒng)過度地限制用戶。例如，靜態(tài)技術(shù)未必能阻止違背安全策略造成瀏覽數(shù)據(jù)文件；而強制訪問控制僅允許用戶訪問具有合適的通道的數(shù)據(jù)，這樣就造成系統(tǒng)使用麻煩。因此，一種動態(tài)的方法如行為跟蹤對檢測和盡可能阻止安全突破是必要的。入侵檢測概述16研究入侵檢測的必要性-2加密技術(shù)方法本身存在著一定的問題。安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。安全訪問控制等級和用戶的使用效率成反比，訪問控制和保護模型本身存在一定的問題。在軟件工程中存在軟件測試不充足、軟件生命周期縮短、大型軟件復雜性等難解問題，工程領(lǐng)域的困難復雜性，使得軟件不可能沒有錯誤，而系統(tǒng)軟件容錯恰恰被表明是安全的弱點。修補系統(tǒng)軟件缺陷不能令人滿意。由于修補系統(tǒng)軟件缺陷，計算機系統(tǒng)不安全狀態(tài)將持續(xù)相當長一段時間。入侵檢測概述17研究入侵檢測的必要性-3基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個思路進行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，然后采取適當?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預防的措施以防止入侵事件的發(fā)生。入侵檢測非常必要，它將有效彌補傳統(tǒng)安全保護措施的不足。入侵檢測概述18入侵檢測面臨的問題高速網(wǎng)絡(luò)環(huán)境的性能提高問題。IDS主動防御能力不足的問題。IDS體系結(jié)構(gòu)問題。IDS自身的健壯性問題。云環(huán)境下的入侵檢測問題。入侵檢測概述19入侵檢測技術(shù)的發(fā)展趨勢智能化入侵檢測分布式入侵檢測入侵檢測系統(tǒng)的標準化集成網(wǎng)絡(luò)分析和管理能力高速網(wǎng)絡(luò)中的入侵檢測數(shù)據(jù)庫入侵檢測無線網(wǎng)絡(luò)入侵檢測入侵檢測概述20小結(jié)網(wǎng)絡(luò)安全的實質(zhì)網(wǎng)絡(luò)安全的P2DR模型入侵檢測的研究入侵檢測的概念入侵檢測的作用研究入侵檢測的必要性入侵檢測面臨的問題入侵檢技術(shù)的發(fā)展趨勢入侵方法與手段21第2章

入侵方法與手段

入侵方法與手段22第2章入侵方法與手段入侵方法與手段:黑客入侵模型與原理漏洞掃描拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊跨站腳本攻擊SQLInjection攻擊入侵方法與手段23黑客入侵的步驟確定目標信息收集攻擊網(wǎng)絡(luò)攻擊系統(tǒng)留下后門漏洞挖掘清除日志結(jié)束攻擊入侵方法與手段24常見的安全威脅口令破解拒絕服務(wù)（DoS）攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊特洛伊木馬網(wǎng)絡(luò)監(jiān)聽等等入侵方法與手段25主要入侵攻擊方法網(wǎng)絡(luò)信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計算機病毒后門、隱蔽通道蠕蟲特洛伊木馬入侵方法與手段26主機滲透攻擊方法口令破解漏洞攻擊特洛伊木馬攻擊自己姓名的中文拼音37%常用英文單詞23%計算機的中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%入侵方法與手段27網(wǎng)絡(luò)攻擊方法拒絕服務(wù)攻擊IP地址欺騙網(wǎng)絡(luò)監(jiān)聽入侵方法與手段28其他攻擊方法病毒攻擊隨著蠕蟲病毒的泛濫以及蠕蟲、計算機病毒、木馬和黑客攻擊程序的結(jié)合，病毒攻擊成為了互聯(lián)網(wǎng)發(fā)展以來遇到的巨大挑戰(zhàn)。社會工程攻擊社會工程學其實就是一個陷阱，黑客通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密，

入侵方法與手段29漏洞掃描掃描器：掃描器是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠程或本地主機安全性弱點的程序，通過使用掃描器，可以發(fā)現(xiàn)遠程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。這就能讓黑客或管理員間接或直接的了解到遠程主機存在的安全問題。

掃描器有三項功能：1、發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)；2、一旦發(fā)現(xiàn)一臺主機，可以發(fā)現(xiàn)有什么服務(wù)程序正運行在這臺主機上；3、通過測試這些服務(wù)，發(fā)現(xiàn)漏洞。入侵方法與手段30TCPConnect掃描入侵方法與手段31TCPSYN掃描這種掃描方法沒有建立完整的TCP連接，有時也被稱為“半打開掃描（half-openscanning）”。其步驟是先往端口發(fā)送一個SYN分組。如果收到一個來自目標端口的SYN/ACK分組，那么可以推斷該端口處于監(jiān)聽狀態(tài)。如果收到一個RST/ACK分組，那么它通常說明該端口不在監(jiān)聽。執(zhí)行端口的系統(tǒng)隨后發(fā)送一個RST/ACK分組，這樣并未建立一個完整的連接。這種技巧的優(yōu)勢比完整的TCP連接隱蔽，目標系統(tǒng)的日志中一般不記錄未完成的TCP連接。入侵方法與手段32TCPFIN掃描這種掃描方法是直接往目標主機的端口上發(fā)送FIN分組。按照RFC793，當一個FIN分組到達一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且回返回一個RST分組。否則，當一個FIN分組到達一個打開的端口，分組只是簡單地被丟掉（不返回RST分組）。入侵方法與手段33TCPXmas掃描無論TCP全連接掃描還是TCPSYN掃描，由于涉及TCP三次握手很容易被遠程主機記錄下來。Xmas掃描由于不包含標準的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱蔽得多。這種掃描向目標端口發(fā)送一個FIN、URG和PUSH分組。按照RFC793，目標系統(tǒng)應(yīng)該給所有關(guān)閉著的端口發(fā)回一個RST分組。。入侵方法與手段34TCP空掃描這種掃描發(fā)送一個關(guān)閉掉所有標志位的分組，按照RFC793，目標系統(tǒng)應(yīng)該給所有關(guān)閉著的端口返回一個RST分組。入侵方法與手段35TCPACK掃描這種掃描一般用來偵測防火墻，他可以確定防火墻是否只是支持簡單的分組過濾技術(shù)，還是支持高級的基于狀態(tài)檢測的包過濾技術(shù)。入侵方法與手段36UDP掃描這種掃描往目標主機的端口發(fā)送UDP數(shù)據(jù)分組，如果目標端口是關(guān)閉狀態(tài)，則返回一個“ICMP端口不可達（ICMPportunreachable）”消息。否則，如果沒有收到上述返回信息，可以判斷該端口是開啟的。入侵方法與手段37OSFingerprint技術(shù)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)，同時從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng),因此操作系統(tǒng)指紋探測成為了黑客攻擊中必要的環(huán)節(jié)。如何辨識一個操作系統(tǒng)是OSFingerprint技術(shù)的關(guān)鍵，常見的方法有：l

一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息；l

TCP/IP棧指紋；l

DNS泄漏出OS系統(tǒng)等等。入侵方法與手段38拒絕服務(wù)攻擊拒絕服務(wù)攻擊的主要目的是使被攻擊的網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。有很多方式可以實現(xiàn)這種攻擊，最簡單的方法是切斷網(wǎng)絡(luò)電纜或摧毀服務(wù)器；當然利用網(wǎng)絡(luò)協(xié)議的漏洞或應(yīng)用程序的漏洞也可以達到同樣的效果。DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進程或者向內(nèi)的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因為任何事都有一個極限，所以，總能找到一個方法使請求的值大于該極限值，因此就會使所提供的服務(wù)資源匱乏，象是無法滿足需求。入侵方法與手段39SYN湮沒

SYN是TCP/IP協(xié)議建立連接時使用的握手信號。在客戶機和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時，客戶機首先發(fā)出一個SYN消息，服務(wù)器使用SYN-ACK應(yīng)答表示接收到了這個消息，最后客戶機以再ACK消息響應(yīng)。這樣在客戶機和服務(wù)器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機和服務(wù)器之間傳遞。這種攻擊向一臺服務(wù)器發(fā)送許多SYN消息，該消息中攜帶的源地址根本不可用，但是服務(wù)器會當真的SYN請求處理，當服務(wù)器嘗試為每個請求消息分配連接來應(yīng)答這些SYN請求時，服務(wù)器就沒有其它資源來處理來真正用戶的合法SYN請求了。這就造成了服務(wù)器不能正常的提供服務(wù)。入侵方法與手段40Land攻擊

Land攻擊和其它拒絕服務(wù)攻擊相似，也是通過利用某些操作系統(tǒng)在TCP/IP協(xié)議實現(xiàn)方式上的漏洞來破壞主機。在Land攻擊中，一個精心制造的SYN數(shù)據(jù)包中的源地址和目標地址都被設(shè)置成某一個服務(wù)器地址，這將導致接收到這個數(shù)據(jù)包的服務(wù)器向它自己發(fā)送SYN-ACK消息，結(jié)果又返回ACK消息并創(chuàng)建一個空連接……每個這樣的連接都將一直保持到超時。不同的操作系統(tǒng)對Land攻擊反應(yīng)不同，多數(shù)UNIX操作系統(tǒng)將崩潰，而WindowsNT會變的極其緩慢（大約持續(xù)五分鐘）。入侵方法與手段41Smurf攻擊

Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復方法使大量數(shù)據(jù)充斥目標系統(tǒng)，引起目標系統(tǒng)不能為正常系統(tǒng)進行服務(wù)。簡單的Smurf攻擊將ICMP應(yīng)答請求（ping）數(shù)據(jù)包的回復地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，最終導致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求作出答復，從而導致網(wǎng)絡(luò)阻塞。因此它比pingofdeath攻擊的流量高出一到兩個數(shù)量級。復雜的Smurf攻擊將源地址改為第三方的受害者，最終導致第三方崩潰。入侵方法與手段42Teardrop攻擊

Teardrop是一種拒絕服務(wù)攻擊，可以令目標主機崩潰或掛起。目前多數(shù)操作系統(tǒng)已經(jīng)升級或有了補丁程序來避免受到這種攻擊。Teardrop攻擊和其他類似的攻擊發(fā)出的TCP或UDP包包含了錯誤的IP重組信息，這樣主機就會使用錯誤的信息來重新組合成一個完整的包。結(jié)果造成崩潰、掛起或者執(zhí)行速度極其緩慢。入侵方法與手段43PingofDeath攻擊

PingofDeath攻擊是利用網(wǎng)絡(luò)操作系統(tǒng)（包括UNIX的許多變種、windows和MacOS等）的缺陷，當主機接收到一個大的不合法的ICMP回應(yīng)請求包（大于64KB）時，會引起主機掛起或崩潰。入侵方法與手段44分布式拒絕服務(wù)攻擊入侵方法與手段45緩沖區(qū)溢出攻擊一個簡單的堆棧例子example1.c:voidfunction(inta,intb,intc){

charbuffer1[5];

charbuffer2[10];

}voidmain(){function(1,2,3);}入侵方法與手段46格式化字符串攻擊普通的緩沖區(qū)溢出就是利用了堆棧生長方向和數(shù)據(jù)存儲方向相反的特點，用后存入的數(shù)據(jù)覆蓋先前壓棧的數(shù)據(jù)，一般是覆蓋返回地址，從而改變程序的流程，這樣子函數(shù)返回時就跳到了黑客指定的地址，就可以按照黑客意愿做任何事情了。所謂格式化串，就是在*printf()系列函數(shù)中按照一定的格式對數(shù)據(jù)進行輸出，可以輸出到標準輸出，即printf()，也可以輸出到文件句柄，字符串等，對應(yīng)的函數(shù)有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在這一系列的*printf()函數(shù)中，可能有人會問：這些函數(shù)只是把數(shù)據(jù)輸出了，怎么能造成安全隱患呢？在正常情況下當然不會造成什么問題，但是*printf()系列函數(shù)有三條特殊的性質(zhì)，這些特殊性質(zhì)如果被黑客結(jié)合起來利用，就會形成漏洞。入侵方法與手段47跨站腳本攻擊因為CGI程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉(zhuǎn)換，從而導致了跨站腳本執(zhí)行的漏洞。CGI輸入的形式，主要分為兩種：顯示輸入；隱式輸入。其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來并不要求用戶輸入數(shù)據(jù)，但是用戶卻可以通過輸入數(shù)據(jù)來進行干涉。顯示輸入又可以分為兩種：輸入完成立刻輸出結(jié)果；輸入完成先存儲在文本文件或數(shù)據(jù)庫中，然后再輸出結(jié)果。后者可能會導致網(wǎng)站顯示中的問題。而隱式輸入除了一些正常的情況外，還可以利用服務(wù)器或CGI程序處理錯誤信息的方式來實施。入侵方法與手段48SQLInjection

攻擊目前，大部分應(yīng)用程序的架構(gòu)都采用了三層架構(gòu)，都存在后臺數(shù)據(jù)庫，以存儲大量信息。而數(shù)據(jù)庫中以結(jié)構(gòu)化查詢語言（SQL,StructureQueryLanguage）為基礎(chǔ)的關(guān)系數(shù)據(jù)庫（RDBMS,RelationalDatabaseManagementSystem）最為流行。在應(yīng)用程序中，往往采用VisualBasic等第三代語言來組織SQL語句，然后傳遞給后臺執(zhí)行，以建立、刪除、查詢和管理后臺數(shù)據(jù)庫資料。由于數(shù)據(jù)庫資料非常敏感，因此利用SQL實現(xiàn)的滲透和信息竊取，一般危害較大。入侵方法與手段49小結(jié)黑客入侵模型與原理漏洞掃描拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊格式化字符串攻擊跨站腳本攻擊SQLInjection攻擊入侵檢測系統(tǒng)50第3章

入侵檢測系統(tǒng)

入侵檢測系統(tǒng)51第3章入侵檢測系統(tǒng)入侵檢測系統(tǒng):入侵檢測系統(tǒng)的基本模型入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的構(gòu)架入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)52入侵檢測系統(tǒng)進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的主要功能包括：監(jiān)視、分析用戶及系統(tǒng)的活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)人士報警；對異常行為模式進行統(tǒng)計分析；對重要系統(tǒng)和數(shù)據(jù)文件的完整性進行評估；對操作系統(tǒng)進行審計跟蹤管理；識別用戶違反安全策略的行為。入侵檢測系統(tǒng)的建立依賴于入侵檢測技術(shù)的發(fā)展，而入侵檢測技術(shù)的價值最終要通過實用的入侵檢測系統(tǒng)來檢驗。入侵檢測系統(tǒng)53入侵檢測系統(tǒng)的基本模型通用入侵檢測模型（Denning模型）層次化入侵檢測模型（IDM）管理式入侵檢測模型（SNMP-IDSM）

入侵檢測系統(tǒng)54通用入侵檢測模型歷史簡檔更新

提取規(guī)則

審計記錄

計時器主體活動規(guī)則集處理引擎

異常記錄

活動簡檔規(guī)則設(shè)計和更新建立學習

新活動簡檔入侵檢測系統(tǒng)55IDM模型第一層：數(shù)據(jù)第二層：事件第三層：主體第四層：上下文第五層：威脅第六層：安全狀態(tài)入侵檢測系統(tǒng)56SNMP-IDSM模型IDSAIDSB從IDS事件MIB中進行SNMPGet操作端口掃描事件與用戶異常行為事件向腳本MIB實施SNMPSet操作SNMP通知

主機A主機B入侵檢測系統(tǒng)57入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)58入侵檢測系統(tǒng)的分類根據(jù)數(shù)據(jù)源分類：基于主機（Host-Based）的入侵檢測系統(tǒng)。通常，基于主機的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警，以采取措施?；诰W(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。基于混合數(shù)據(jù)源的入侵檢測系統(tǒng)。以多種數(shù)據(jù)源為檢測目標，來提高IDS的性能。混合數(shù)據(jù)源的入侵檢測系統(tǒng)可配置成分布式模式，通常在需要監(jiān)視的服務(wù)器和網(wǎng)絡(luò)路徑上安裝監(jiān)視模塊，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。入侵檢測系統(tǒng)59入侵檢測系統(tǒng)的分類根據(jù)入侵檢測分析方法：異常入侵檢測系統(tǒng)。異常入侵檢測系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和異常活動的依據(jù)。誤用入侵檢測系統(tǒng)。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息（知識、模式等）來檢測系統(tǒng)中的入侵和攻擊。

入侵檢測系統(tǒng)60入侵檢測系統(tǒng)的分類根據(jù)檢測方式分類：實時檢測系統(tǒng)。也稱為在線檢測系統(tǒng)，它通過實時監(jiān)測并分析網(wǎng)絡(luò)流量、主機審計記錄及各種日志信息來發(fā)現(xiàn)攻擊。在高速網(wǎng)絡(luò)中，檢測率難以令人滿意，但隨著計算機硬件速度的提高，對入侵攻擊進行實時檢測和響應(yīng)成為可能。非實時檢測系統(tǒng)。也稱為離線檢測系統(tǒng)，它通常是對一段時間內(nèi)的被檢測數(shù)據(jù)進行分析來發(fā)現(xiàn)入侵攻擊，并做出相應(yīng)的處理。非實時的離線批處理方式雖然不能及時發(fā)現(xiàn)入侵攻擊，但它可以運用復雜的分析方法發(fā)現(xiàn)某些實時方式不能發(fā)現(xiàn)的入侵攻擊，可以一次分析大量事件，系統(tǒng)的成本更低。入侵檢測系統(tǒng)61入侵檢測系統(tǒng)的分類根據(jù)檢測結(jié)果分類：二分類入侵檢測系統(tǒng)。只提供是否發(fā)生入侵攻擊的結(jié)論性判斷，不能提供更多可讀的、有意義的信息，只輸出有入侵發(fā)生，而不報告具體的入侵類型。多分類入侵檢測系統(tǒng)。能夠分辨出當前系統(tǒng)所遭受的入侵攻擊的具體類型，如果認為是非正常的行為時，輸出的不僅僅是有入侵發(fā)生，而且還會報告具體的入侵類型，以便于安全員快速采取合適的應(yīng)對措施。入侵檢測系統(tǒng)62入侵檢測系統(tǒng)的分類根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式：主動的入侵檢測系統(tǒng)。主動的入侵檢測系統(tǒng)在檢測出入侵后，可自動地對目標系統(tǒng)中的漏洞采取修補、強制可疑用戶（可能的入侵者）退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施。

被動的入侵檢測系統(tǒng)。被動的入侵檢測系統(tǒng)在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作則由系統(tǒng)管理員來完成。

入侵檢測系統(tǒng)63入侵檢測系統(tǒng)的分類根據(jù)系統(tǒng)各個模塊運行的分布方式：集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機上運行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計算機、設(shè)備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織的。入侵檢測系統(tǒng)64入侵檢測系統(tǒng)的構(gòu)架管理者

代理

代理

代理…

…

入侵檢測系統(tǒng)65入侵檢測系統(tǒng)的部署對于入侵檢測系統(tǒng)來說，其類型不同、應(yīng)用環(huán)境不同，部署方案也就會有所差別。對于基于主機的入侵檢測系統(tǒng)來說，它一般是用于保護關(guān)鍵主機或服務(wù)器，因此只要將它部署到這些關(guān)鍵主機或服務(wù)器中即可。但是對于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)來說，根據(jù)網(wǎng)絡(luò)環(huán)境的不同，其部署方案也就會有所不同。入侵檢測系統(tǒng)66網(wǎng)絡(luò)中沒有部署防火墻時

入侵檢測系統(tǒng)67網(wǎng)絡(luò)中部署防火墻時

入侵檢測系統(tǒng)68小結(jié)入侵檢測系統(tǒng)的基本模型入侵檢測系統(tǒng)的工作模式入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的構(gòu)架入侵檢測系統(tǒng)的部署入侵檢測流程69第4章

入侵檢測流程

入侵檢測流程70第4章入侵檢測流程入侵檢測流程:入侵檢測的過程入侵檢測系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的模型入侵檢測的分析方法告警與響應(yīng)入侵檢測流程71入侵檢測的過程信息收集信息分析告警與響應(yīng)入侵檢測流程72入侵檢測系統(tǒng)的數(shù)據(jù)源基于主機的數(shù)據(jù)源：

系統(tǒng)運行狀態(tài)信息

系統(tǒng)記帳信息

系統(tǒng)日志（Syslog）

C2級安全性審計信息

入侵檢測流程73入侵檢測系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源：

SNMP信息

網(wǎng)絡(luò)通信包

入侵檢測流程74入侵檢測系統(tǒng)的數(shù)據(jù)源應(yīng)用程序日志文件

其他入侵檢測系統(tǒng)的報警信息

其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息

入侵檢測流程75入侵分析的概念入侵檢測系統(tǒng)是一個復雜的數(shù)據(jù)處理系統(tǒng)，所涉及到的問題域中的各種關(guān)系也比較復雜。

從入侵檢測的角度來說，分析是指針對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理并提取特征，以鑒別出感興趣的行為。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責任人。入侵檢測流程76入侵分析的目的重要的威懾力：目標系統(tǒng)使用IDS進行入侵分析，對于入侵者來說具有很大的威懾力，因為這意味著攻擊行為可能會被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理：分析過程中可能會發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結(jié)果對系統(tǒng)進行重新配置，避免被攻擊者用來竊取信息或破壞系統(tǒng)。獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳細的、可信的證據(jù)，這些證據(jù)可以用于事后追究入侵者的責任。入侵檢測流程77入侵分析應(yīng)考慮的因素需求子目標目標劃分平衡入侵檢測流程78入侵分析的模型入侵分析處理過程可分為三個階段：

構(gòu)建分析器；

分析數(shù)據(jù)；

反饋和更新。入侵檢測流程79構(gòu)建分析器

收集并生成事件信息

預處理信息

建立行為分析引擎

將事件數(shù)據(jù)輸入引擎中

保存已輸入數(shù)據(jù)的模型

入侵檢測流程80分析數(shù)據(jù)

輸入事件記錄

事件預處理

比較事件記錄和知識庫產(chǎn)生響應(yīng)

入侵檢測流程81反饋和更新反饋和更新是一個非常重要的過程。在誤用檢測系統(tǒng)中，反映這個階段的主要功能是攻擊信息的特征數(shù)據(jù)庫是否可以更新。每天都能夠根據(jù)新攻擊方式的出現(xiàn)來更新攻擊信息特征數(shù)據(jù)庫是非常重要的。許多優(yōu)化的信號引擎能夠在系統(tǒng)正在監(jiān)控事件數(shù)據(jù)，沒有中斷分析過程的同時，由系統(tǒng)操作員來更新信號數(shù)據(jù)庫。在異常檢測系統(tǒng)中，依靠執(zhí)行異常檢測的類型，歷史統(tǒng)計特征輪廓被定時更新。例如，在第1個入侵檢測系統(tǒng)IDES中，每天都進行特征輪廓的更新。每個用戶的摘要資料被加入知識庫中，并且刪除最老的資料。入侵檢測流程82誤用入侵檢測模型模式庫攻擊者匹配報警入侵檢測流程83誤用檢測方法模式匹配方法：基于模式匹配的誤用入侵檢測方法是最基本的誤用入侵檢測方法，該方法將已知的入侵特征轉(zhuǎn)換成模式，存放于模式數(shù)據(jù)庫中，在檢測過程中，模式匹配模型將到來的事件與入侵模式數(shù)據(jù)庫中的入侵模式進行匹配，如果匹配成功，則認為有入侵行為發(fā)生。專家系統(tǒng)方法：基于專家系統(tǒng)的誤用入侵檢測方法是最傳統(tǒng)、最通用的誤用入侵檢測方法。在諸如MIDAS、IDES、下一代IDES（NIDES）、DIDS和CMDS中都使用了這種方法。在MIDAS、IDES和NIDES中，應(yīng)用的產(chǎn)品系統(tǒng)是P-BEST，該產(chǎn)品由AlanWhithurst設(shè)計。而DIDS和CMDS，使用的是CLIPS系統(tǒng)，是由美國國家航空和宇航局開發(fā)的系統(tǒng)。入侵檢測流程84狀態(tài)轉(zhuǎn)換方法S2狀態(tài)聲明狀態(tài)聲明狀態(tài)聲明S1S3入侵檢測流程85有色Petri網(wǎng)方法●SYNSYN+ACKACKstartafter_synafter_syn+ackafter_ack結(jié)束狀態(tài)開始狀態(tài)入侵檢測流程86異常入侵檢測模型異常行為正常行為命令系統(tǒng)調(diào)用活動度量CPU使用網(wǎng)絡(luò)連接…

…入侵檢測流程87Denning的原始模型可操作模型平均和標準偏差模型多變量模型Markov處理模型入侵檢測流程88量化分析閾值檢測啟發(fā)式閾值檢測基于目標的集成檢查量化分析和數(shù)據(jù)精簡入侵檢測流程89統(tǒng)計度量

IDES/NIDES

Haystack統(tǒng)計分析的力度統(tǒng)計分析的不足入侵檢測流程90非參統(tǒng)計度量非參統(tǒng)計異常檢測的前提是根據(jù)用戶特性把表示的用戶活動數(shù)據(jù)分成兩個明顯區(qū)別的群：一個指示異常活動，另一個指示正常活動。各種群集算法均可采用。這些算法包括利用簡單距離度量一個客體是否屬于一個群，以及比較復雜的概念式度量；即，根據(jù)一個條件集合對客體記分，并用這個分數(shù)來決定它是否屬于某一個特定群。不同的群集算法通常服務(wù)于不同的數(shù)據(jù)集和分析目標。統(tǒng)計分析的力度入侵檢測流程91基于規(guī)則的方法

Wisdomandsense

TIM入侵檢測流程92神經(jīng)網(wǎng)絡(luò)方法神經(jīng)網(wǎng)絡(luò)使用可適應(yīng)學習技術(shù)來描述異常行為。這種非參分析技術(shù)運作在歷史訓練數(shù)據(jù)集上。歷史訓練數(shù)據(jù)集假定是不包含任何指示入侵或其它不希望的用戶行為。神經(jīng)網(wǎng)絡(luò)由許多稱為單元的簡單處理元素組成。這些單元通過使用加權(quán)的連接相互作用。一個神經(jīng)網(wǎng)絡(luò)知識根據(jù)單元和它們權(quán)值間連接編碼成網(wǎng)絡(luò)機構(gòu)。實際的學習過程是通過改變權(quán)值和加入或移去連接進行的。使用神經(jīng)網(wǎng)絡(luò)進行入侵檢測的主要不足是神經(jīng)網(wǎng)絡(luò)不能為它們找到的任何異常提供任何解釋。入侵檢測流程93其他檢測方法免疫系統(tǒng)方法遺傳算法基于代理的檢測數(shù)據(jù)挖掘方法入侵檢測流程94告警與響應(yīng)在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動。在入侵檢測處理過程模型中，這個階段稱之為響應(yīng)期。理想的情況下，系統(tǒng)的這一部分應(yīng)該具有豐富的響應(yīng)功能特性，并且這些響應(yīng)特性在針對安全管理小組中的每一位成員進行裁剪后，能夠為他們都提供服務(wù)。被動響應(yīng)是系統(tǒng)僅僅簡單地記錄和報告所檢測出的問題。主動響應(yīng)則是系統(tǒng)要為阻塞或影響進程而采取行動。入侵檢測流程95對響應(yīng)的需求操作環(huán)境系統(tǒng)目標和優(yōu)先權(quán)規(guī)則或法令的需求給用戶傳授專業(yè)技術(shù)入侵檢測流程96響應(yīng)的類型主動響應(yīng)：入侵者采取反擊行動修正系統(tǒng)環(huán)境收集額外信息入侵檢測流程97響應(yīng)的類型被動響應(yīng)：告警和通知

SNMPTrap和插件入侵檢測流程98按策略配置響應(yīng)立即行動適時行動本地的長期行動全局的長期行動入侵檢測流程99聯(lián)動響應(yīng)機制聯(lián)動響應(yīng)向控制臺報告IDS安全檢測模塊聯(lián)動代理轉(zhuǎn)換模塊聯(lián)動控制臺事件分析模塊響應(yīng)模塊路由器．．．防火墻發(fā)現(xiàn)攻擊入侵檢測流程100小結(jié)入侵檢測的過程入侵檢測系統(tǒng)的數(shù)據(jù)源入侵分析的概念入侵分析的模型入侵檢測的分析方法告警與響應(yīng)基于主機的入侵檢測技術(shù)101第5章

基于主機的入侵檢測技術(shù)

基于主機的入侵檢測技術(shù)102第5章基于主機的入侵檢測技術(shù)基于主機的入侵檢測技術(shù):審計數(shù)據(jù)的獲取審計數(shù)據(jù)的預處理基于統(tǒng)計模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)檢測實例分析基于主機的入侵檢測技術(shù)103審計數(shù)據(jù)的獲取數(shù)據(jù)獲取劃分為直接監(jiān)測和間接監(jiān)測兩種方法。（1）直接監(jiān)測——直接監(jiān)測從數(shù)據(jù)產(chǎn)生或從屬的對象直接獲得數(shù)據(jù)。例如，為了直接監(jiān)測主機CPU的負荷，必須直接從主機相應(yīng)內(nèi)核的結(jié)構(gòu)獲得數(shù)據(jù)。要監(jiān)測inetd進程提供的網(wǎng)絡(luò)訪問服務(wù)，必須直接從inetd進程獲得關(guān)于那些訪問的數(shù)據(jù)；（2）間接監(jiān)測——從反映被監(jiān)測對象行為的某個源獲得數(shù)據(jù)。間接監(jiān)測主機CPU的負荷可以通過讀取一個記錄CPU負荷的日志文件獲得。間接監(jiān)測訪問網(wǎng)絡(luò)服務(wù)可以通過讀取inetd進程產(chǎn)生的日志文件或輔助程序獲得。間接監(jiān)測還可以通過查看發(fā)往主機的特定端口的網(wǎng)絡(luò)數(shù)據(jù)包?；谥鳈C的入侵檢測技術(shù)104審計數(shù)據(jù)的獲取入侵檢測時，直接監(jiān)測要好于間接監(jiān)測，原因如下：（1）間接數(shù)據(jù)源（如審計跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測，數(shù)據(jù)是通過某些機制產(chǎn)生的，這些機制并不知道哪些數(shù)據(jù)是IDS真正需要的。（4）間接數(shù)據(jù)源通常在數(shù)據(jù)產(chǎn)生時刻和IDS能夠訪問這些數(shù)據(jù)的時刻之間引入時延。而直接監(jiān)測時延更短，確保IDS能更及時地做出反應(yīng)?；谥鳈C的入侵檢測技術(shù)105審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠程站點發(fā)起的動作修改?；谥鳈C的入侵檢測技術(shù)106審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Acct或pacct：記錄每個用戶使用的命令記錄。

Aculog：保存著用戶撥出去的Modems記錄。

Loginlog：記錄一些不正常的Login記錄。

Wtmp：記錄當前登錄到系統(tǒng)中的所有用戶，這個文件伴隨著用戶進入和離開系統(tǒng)而不斷變化。

Syslog：重要的日志文件，使用syslogd守護程序來獲得日志信息。

Uucp：記錄的UUCP的信息，可以被本地UUCP活動更新，也可由遠程站點發(fā)起的動作修改?；谥鳈C的入侵檢測技術(shù)107審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

Access_log：主要使用于運行了NCSAHTTPD的服務(wù)器，這記錄文件記錄有什么站點連接過該服務(wù)器。

Lastlog：記錄了用戶最近的Login記錄和每個用戶的最初目的地，有時是最后不成功的Login的記錄。

Messages：記錄輸出到系統(tǒng)控制臺的記錄，另外的信息由syslog來生成。

Sulog：記錄使用su命令的記錄。

Utmp：記錄用戶登錄和退出事件?；谥鳈C的入侵檢測技術(shù)108審計數(shù)據(jù)的獲取系統(tǒng)日志與審計信息：

ftp日志：執(zhí)行帶-l選項的ftpd能夠獲得記錄功能。

httpd日志：HTTPD服務(wù)器在日志中記錄每一個Web訪問記錄。

history日志：這個文件保存了用戶最近輸入命令的記錄。

secure：記錄一些使用遠程登錄及本地登錄的事件?；谥鳈C的入侵檢測技術(shù)109審計數(shù)據(jù)的獲取

數(shù)據(jù)獲取系統(tǒng)的結(jié)構(gòu)圖基于主機的入侵檢測技術(shù)110審計數(shù)據(jù)的預處理網(wǎng)絡(luò)入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測系統(tǒng)使用，而且還可能造成檢測結(jié)果的偏差，降低系統(tǒng)的檢測性能。在被檢測模塊使用之前，如何對不理想的原始數(shù)據(jù)進行有效的歸納、進行格式統(tǒng)一、轉(zhuǎn)換和處理，是網(wǎng)絡(luò)入侵檢測系統(tǒng)需要研究的關(guān)鍵問題之一?；谥鳈C的入侵檢測技術(shù)111審計數(shù)據(jù)的預處理通常數(shù)據(jù)預處理應(yīng)該包括以下功能。

數(shù)據(jù)集成。

數(shù)據(jù)清理。

數(shù)據(jù)變換。

數(shù)據(jù)簡化。

數(shù)據(jù)融合?；谥鳈C的入侵檢測技術(shù)112審計數(shù)據(jù)的預處理基于主機的入侵檢測技術(shù)113審計數(shù)據(jù)的預處理預處理方法

基于粗糙集理論的約簡法

基于粗糙集理論的屬性離散化

屬性的約簡基于主機的入侵檢測技術(shù)114基于統(tǒng)計模型的入侵檢測技術(shù)異常檢測模型異常檢測模型是基于正常行為的統(tǒng)計，根據(jù)在過去一段時間內(nèi)正常行為的觀測，得到當前活動觀測值的“可信區(qū)間”。異常檢測模型可以通過不斷學習使模型趨于精確、完善，相比于特權(quán)濫用檢測模型，能在一定程度上識別未知類型的攻擊及資源的非授權(quán)訪問?；谥鳈C的入侵檢測技術(shù)115基于統(tǒng)計模型的入侵檢測技術(shù)在檢測系統(tǒng)中，從警報數(shù)據(jù)可獲取的并能衡量異常發(fā)生的原始特征數(shù)據(jù)如下。

客戶網(wǎng)絡(luò)發(fā)生的攻擊數(shù)目總量。

客戶網(wǎng)絡(luò)發(fā)起攻擊和受攻擊主機數(shù)目。

邊緣網(wǎng)絡(luò)（Internet）的發(fā)起攻擊和受攻擊主機和網(wǎng)絡(luò)數(shù)目。

用戶主機和網(wǎng)絡(luò)被攻擊的分布概率?；谥鳈C的入侵檢測技術(shù)116基于統(tǒng)計模型的入侵檢測技術(shù)基于上述分析，異常分析的特征值如下。

攻擊強度特征值：基于攻擊數(shù)目總量統(tǒng)計值的特征值。

攻擊實體量特征值：基于發(fā)起攻擊和被攻擊的主機數(shù)目總量的統(tǒng)計值的特征值。

攻擊分布特征值：基于攻擊數(shù)目最大值的特征值?；谥鳈C的入侵檢測技術(shù)117基于統(tǒng)計模型的入侵檢測技術(shù)根據(jù)這些特征值，異常判斷方法概括如下。

當攻擊實體量在正常區(qū)間內(nèi)，即檢測環(huán)境中沒有明顯的變化，采用攻擊強度判斷當前狀態(tài)是否異常。

當攻擊強度在正常區(qū)間內(nèi)，即攻擊強度表示沒有明顯變化，采用攻擊實體量判斷當前狀態(tài)是否異常。

當攻擊強度和攻擊實體量都不在正常區(qū)間，即表示兩者都發(fā)生明顯變化，采用比較兩者的變化幅度的方法判斷異常。

對上述方法判斷為正常的數(shù)據(jù)，采用離線計算攻擊分布概率判斷異常?；谥鳈C的入侵檢測技術(shù)118基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)的工作過程基于主機的入侵檢測技術(shù)119基于專家系統(tǒng)的入侵檢測技術(shù)采用基于規(guī)則的方法，主要具備以下幾個優(yōu)點。

模塊化特征。規(guī)則使得知識容易封裝并不斷擴充。

解釋機制。通過規(guī)則容易建立解釋機，這是因為一個規(guī)則的前件指明了激活這個規(guī)則的條件。通過追蹤已觸發(fā)的規(guī)則，解釋機可以得到推出某個結(jié)論的推理鏈。

類似人類認知過程。規(guī)則似乎是模擬人類怎樣解決問題的一個自然方法。規(guī)則的簡單表示方法“if…then”使得容易解釋知識的結(jié)構(gòu)?；谥鳈C的入侵檢測技術(shù)120基于專家系統(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)總體功能模塊基于主機的入侵檢測技術(shù)121基于專家系統(tǒng)的入侵檢測技術(shù)專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準確度高。但在具體實現(xiàn)中，專家系統(tǒng)主要面臨如下問題。

專家知識獲取問題，即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識構(gòu)造，因此難以科學地從各種入侵手段中抽象出全面的規(guī)則化知識。

規(guī)則動態(tài)更新問題，用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學習、自適應(yīng)的功能?；谥鳈C的入侵檢測技術(shù)122基于專家系統(tǒng)的入侵檢測技術(shù)

自適應(yīng)入侵檢測專家系統(tǒng)模型結(jié)構(gòu)圖基于主機的入侵檢測技術(shù)123基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)當前的基于特征的檢測方法過渡依賴審計數(shù)據(jù)，而對IP欺騙攻擊而言依賴審計數(shù)據(jù)的規(guī)則很難定義，狀態(tài)分析法的基本思想是將攻擊看成一個連續(xù)的、分步驟的并且各個步驟之間有一定關(guān)聯(lián)的過程。

在網(wǎng)絡(luò)中發(fā)生入侵時及時阻斷入侵行為。

防范可能還會進一步發(fā)生的類似攻擊行為?；谥鳈C的入侵檢測技術(shù)124基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)入侵檢測系統(tǒng)STAT通過分析系統(tǒng)的各種狀態(tài)，及狀態(tài)轉(zhuǎn)移過程中的各種特征操作制訂各種基于狀態(tài)轉(zhuǎn)移的入侵規(guī)則，完成系統(tǒng)的入侵檢測。在狀態(tài)轉(zhuǎn)移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統(tǒng)從某個初始狀態(tài)轉(zhuǎn)變?yōu)樽罱K某種被危害了的狀態(tài)。在這個狀態(tài)轉(zhuǎn)變過程，對應(yīng)著系統(tǒng)的一連串行為，那些關(guān)鍵的行為就稱為特征行為?；谥鳈C的入侵檢測技術(shù)125基于完整性檢查的入侵檢測技術(shù)通常入侵者入侵時都會對一些文件進行改動，因此采用對文件系統(tǒng)進行完整性檢驗的入侵檢測方式能夠檢測出對文件內(nèi)容的非法更改，從而可判定入侵，與其他檢測技術(shù)相結(jié)合將增強現(xiàn)有的入侵檢測能力。文件完整性檢驗根據(jù)用戶定制的配置文件對需要校驗的文件系統(tǒng)內(nèi)容進行散列計算，將生成的散列值與文件完整性數(shù)據(jù)庫中存儲的預先計算好的文件內(nèi)容的散列值進行比較。不一致則說明文件被非法更改，并可判定發(fā)生入侵?；谥鳈C的入侵檢測技術(shù)126基于完整性檢查的入侵檢測技術(shù)文件完整性校驗文件備份主機B上存儲了主機A上的文件系統(tǒng)的備份。主機A上的文件完整性數(shù)據(jù)庫存儲的是需要被檢測的文件的各種inode屬性值和文件內(nèi)容的散列值。檢測時主機A首先與文件備份主機B認證，然后對A上的配置文件和預先生成的文件完整性數(shù)據(jù)庫的內(nèi)容分別進行散列計算，將生成的散列值傳輸給B進行校驗。如果該散列值與B上存儲的值不一致，則B將存儲的配置文件和文件完整性數(shù)據(jù)庫的備份加密傳輸給A，進行文件恢復，然后再進行完整性校驗?；谥鳈C的入侵檢測技術(shù)127基于完整性檢查的入侵檢測技術(shù)散列算法常用的散列算法有MD5，CRC16，CRC32，Snefru，MD4，MD2，SHA和Haval等。散列算法通常實現(xiàn)了將任意長度的消息m壓縮成一固定長度的散列值h，通過對散列值的校驗?zāi)軝z測到對消息m的篡改、抵賴或偽造。它有下列特性。（1）易用性：對任意長度的m，計算h=H（m）很容易。（2）單向性：給定h，計算m，使得m=F（h）很困難。（3）無碰撞性：給定m，要找到另一個消息m’，滿足H（m’）=H（m）很困難，這就保證了對原文有改動，但很難使文件內(nèi)容的散列值保持不變?；谥鳈C的入侵檢測技術(shù)128基于智能體的入侵檢測技術(shù)智能體的定義智能體又稱智能代理，是人工智能研究的新成果，它是在用戶沒有明確具體要求的情況下，根據(jù)用戶需要，能自動執(zhí)行用戶委托的任務(wù)的計算實體。像郵件過濾智能體、信息獲取智能體、桌面自動智能體等，將使Web站點、應(yīng)用程序更加智能化和實用化。從技術(shù)的角度看，智能體是由各種技術(shù)支撐著的、許多實用的應(yīng)用特性的集合，開發(fā)者正是使用這些應(yīng)用特性來擴展應(yīng)用的功能和價值，從而達到應(yīng)用能自動執(zhí)行用戶委托的任務(wù)的目的?；谥鳈C的入侵檢測技術(shù)129基于智能體的入侵檢測技術(shù)智能體的特點（1）智能性（2）代理性（3）移動性（4）主動性（5）協(xié)作性基于主機的入侵檢測技術(shù)130基于智能體的入侵檢測技術(shù)

在入侵檢測中，采用智能體采集和分析數(shù)據(jù)有以下主要特點。（1）因為智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個智能體由于某種原因（如下線維護）而停止了工作，損失只局限在有限的范圍內(nèi)，不會造成整個系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運行。（3）如果將智能體以分級結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。（4）系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活，基于主機的入侵檢測技術(shù)131系統(tǒng)配置分析技術(shù)系統(tǒng)配置分析（又可稱為靜態(tài)分析）的技術(shù)目標是檢查系統(tǒng)是否已經(jīng)受到入侵活動的侵害，或者存在有可能被入侵的危險。靜態(tài)分析技術(shù)通過檢查系統(tǒng)的當前配置情況，例如，系統(tǒng)文件的內(nèi)容以及相關(guān)的數(shù)據(jù)表等，來判斷系統(tǒng)的當前安全狀況。之所以稱為“靜態(tài)”分析，是因為該技術(shù)只檢查系統(tǒng)的靜態(tài)特性，并不分析系統(tǒng)的活動情況。基于主機的入侵檢測技術(shù)132系統(tǒng)配置分析技術(shù)配置分析技術(shù)的基本原理是基于如下兩個觀點：（1）一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當前的狀態(tài)來發(fā)現(xiàn)。（2）系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機。系統(tǒng)配置分析技術(shù)的一個最著名的實現(xiàn)工具是COPS系統(tǒng)（ComputerOracleandPasswordSystem）。COPS是功能強大的系統(tǒng)安全檢查工具，可檢查系統(tǒng)的安全漏洞并以郵件或文件的形式報告給用戶；還可以普通用戶的身份運行，進行一些常規(guī)檢查。COPS的檢查方法為以后的許多系統(tǒng)安全掃描商業(yè)軟件所借鑒?；谥鳈C的入侵檢測技術(shù)133檢測實例分析

入侵行為1及應(yīng)對措施入侵行為2及應(yīng)對措施

入侵行為3及應(yīng)對措施

入侵行為4及應(yīng)對措施基于主機的入侵檢測技術(shù)134小結(jié)審計數(shù)據(jù)的獲取與預處理基于統(tǒng)計模型的入侵檢測技術(shù)基于專家系統(tǒng)的入侵檢測技術(shù)基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)基于完整性檢查的入侵檢測技術(shù)基于智能體的入侵檢測技術(shù)系統(tǒng)配置分析技術(shù)檢測實例分析基于網(wǎng)絡(luò)的入侵檢測技術(shù)135第6章

基于網(wǎng)絡(luò)的入侵檢測技術(shù)

基于網(wǎng)絡(luò)的入侵檢測技術(shù)136第6章基于網(wǎng)絡(luò)的入侵檢測技術(shù)基于網(wǎng)絡(luò)的入侵檢測技術(shù):分層協(xié)議模型與TCP/IP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包的捕獲包捕獲機制BPF模型基于Libpcap庫的數(shù)據(jù)捕獲技術(shù)檢測引擎的設(shè)計網(wǎng)絡(luò)入侵特征實例分析檢測實例分析基于網(wǎng)絡(luò)的入侵檢測技術(shù)137TCP/IP協(xié)議分層結(jié)構(gòu)TCP/IP分層協(xié)議OSI分層應(yīng)用層FTPSMTPTelnetDNSSNMP7傳輸層TCPUDP4網(wǎng)絡(luò)層IP,ICMP

(RIP,OSPF)3ARP,RARP鏈路層EthernetTokenBusTokenRingFDDIWLAN21基于網(wǎng)絡(luò)的入侵檢測技術(shù)138數(shù)據(jù)報文的分層封裝基于網(wǎng)絡(luò)的入侵檢測技術(shù)139以太網(wǎng)幀格式基于網(wǎng)絡(luò)的入侵檢測技術(shù)140ARP/RARP報文格式基于網(wǎng)絡(luò)的入侵檢測技術(shù)141IP數(shù)據(jù)報頭格式基于網(wǎng)絡(luò)的入侵檢測技術(shù)142ICMP回應(yīng)請求與應(yīng)答報文格式基于網(wǎng)絡(luò)的入侵檢測技術(shù)143UDP報文格式基于網(wǎng)絡(luò)的入侵檢測技術(shù)144TCP報文格式基于網(wǎng)絡(luò)的入侵檢測技術(shù)145局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理HUB工作原理網(wǎng)卡工作原理局域網(wǎng)工作過程基于網(wǎng)絡(luò)的入侵檢測技術(shù)146SnifferSniffer是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。Sniffer要捕獲的東西必須是物理信號能收到的報文信息。所以，只要通知網(wǎng)卡接收其收到的所有包（該模式叫作混雜promiscuous模式：指網(wǎng)絡(luò)上的設(shè)備都對總線上傳送的所有數(shù)據(jù)進行偵聽，并不僅僅是針對它們自己的數(shù)據(jù)。），在共享HUB下就能接收到這個網(wǎng)段的所有數(shù)據(jù)包，但是在交換HUB下就只能接收自己的包和廣播包。Sniffer的正當用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)147共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲要想捕獲流經(jīng)網(wǎng)卡的但不屬于自己主機的所有數(shù)據(jù)流，就必須繞開系統(tǒng)正常工作的處理機制，直接訪問網(wǎng)絡(luò)底層。首先需要將網(wǎng)卡的工作模式設(shè)置為混雜模式，使之可以接收目標地址不是自己的MAC地址的數(shù)據(jù)包，然后直接訪問數(shù)據(jù)鏈路層，獲取數(shù)據(jù)并由應(yīng)用程序進行過濾處理。在UNIX系統(tǒng)中可以用Libpcap包捕獲函數(shù)庫直接與內(nèi)核驅(qū)動交互操作，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。在Win32平臺上可以使用Winpcap，通過VxD虛擬設(shè)備驅(qū)動程序?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)捕獲的功能。基于網(wǎng)絡(luò)的入侵檢測技術(shù)148常用的包捕獲機制包捕獲機制系統(tǒng)平臺備注BPFBSD系列BerkeleyPacketFilterDLPISolaris,HP-UNIX，SCOUNIXDataLinkProviderInterfaceNITSunOS3NetworkInterfaceTapSNOOPIRIX

SNITSunOS4StreamsNetworkInterfaceTapSOCK-PACKETLinux

LSF>=Linux2.1.75LinuxSocketFilterDrainIRIX

基于網(wǎng)絡(luò)的入侵檢測技術(shù)149BPF的模型及其接口緩存緩存過濾器過濾器緩存協(xié)議棧鏈路層驅(qū)動器鏈路層驅(qū)動器程序1程序3程序2過濾器鏈路層驅(qū)動器程序4基于網(wǎng)絡(luò)的入侵檢測技術(shù)150Libpcap介紹

Libpcap的英文意思是PacketCapturelibrary，即數(shù)據(jù)包捕獲函數(shù)庫。它是勞倫斯伯克利國家實驗室網(wǎng)絡(luò)研究組開發(fā)的UNIX平臺上的一個包捕獲函數(shù)庫，其源代碼可從/libpcap.tar.z獲得。它是一個獨立于系統(tǒng)的用戶層包捕獲的API接口，為底層網(wǎng)絡(luò)監(jiān)測提供了一個可移植的框架。基于網(wǎng)絡(luò)的入侵檢測技術(shù)151Windows平臺下的Winpcap庫

Libpcap過去只支持Unix,現(xiàn)在已經(jīng)可以支持Win32,這是通過在Wiin32系統(tǒng)中安裝Winpcap來實現(xiàn)的,其官方網(wǎng)站是http://winpcap.polito.it/。Winpcap的主要功能在于獨立于主機協(xié)議而發(fā)送和接收原始數(shù)據(jù)報，主要提供了四大功能：(1)捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡(luò)上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；

(2)在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報；(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。

基于網(wǎng)絡(luò)的入侵檢測技術(shù)152Winpcap結(jié)構(gòu)示意圖

基于網(wǎng)絡(luò)的入侵檢測技術(shù)153檢測引擎的設(shè)計網(wǎng)絡(luò)檢測引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。檢測引擎首先需要利用數(shù)據(jù)包截獲機制，截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。經(jīng)過過濾后，引擎需要采用一定的技術(shù)對數(shù)據(jù)包進行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術(shù)是檢測引擎的重要組成部分。檢測引擎主要的分析技術(shù)有模式匹配技術(shù)和協(xié)議分析技術(shù)等?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)154模式匹配技術(shù)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較；如果比較結(jié)果相同，則檢測到一個可能的攻擊；如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個位置重新開始比較；直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結(jié)束。對于每一個攻擊特征，重復1步到4步的操作。直到每一個攻擊特征匹配完畢，對給定數(shù)據(jù)包的匹配完畢?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)155協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點，可以用一棵二叉樹來表示。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。在程序中動態(tài)地維護和配置此樹結(jié)構(gòu)即可實現(xiàn)非常靈活的協(xié)議分析功能。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識快速地判斷攻擊特征是否存在。他的高效使得匹配的計算量大幅度減小?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)156特征（signature）的基本概念

IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識別方法：

來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。帶有非法TCP標志組合的數(shù)據(jù)包：可通過對比TCP報頭中的標志集與已知正確和錯誤標記組合的不同點來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附近來識別。查詢負載中的DNS緩沖區(qū)溢出企圖：可通過解析DNS域及檢查每個域的長度來識別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個識別方法是：在負載中搜索“殼代碼利用”（exploitshellcode）的序列代碼組合。通過對POP3服務(wù)器發(fā)出上千次同一命令而導致的DoS攻擊：通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù)，看看是否超過了預設(shè)上限，而發(fā)出報警信息。未登錄情況下使用文件和目錄命令對FTP服務(wù)器的文件訪問攻擊：通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對話、發(fā)現(xiàn)未經(jīng)驗證卻發(fā)命令的入侵企圖。

基于網(wǎng)絡(luò)的入侵檢測技術(shù)157典型特征--報頭值

一般情況下，異常報頭值的來源有以下幾種：來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。許多包含報頭值漏洞利用的入侵數(shù)據(jù)都會故意違反RFC的標準定義。許多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)。并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護RFC定義。隨著時間推移，執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)158候選特征

只具有SYN和FIN標志集的數(shù)據(jù)包，這是公認的惡意行為跡象。沒有設(shè)置ACK標志，但卻具有不同確認號碼數(shù)值的數(shù)據(jù)包，而正常情況應(yīng)該是0。來源端口和目標端口都被設(shè)置為21的數(shù)據(jù)包，經(jīng)常與FTP服務(wù)器關(guān)聯(lián)。這“種端口相同的情況一般被稱為“反身”（reflexive），除了個別時候如進行一些特別NetBIOS通訊外，正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?！胺瓷怼倍丝诒旧聿⒉贿`反TCP標準，但大多數(shù)情況下它們并非預期數(shù)值。例如在一個正常的FTP對話中，目標端口一般是21，而來源端口通常都高于1023。TCP窗口尺寸為1028，IP標識號碼在所有數(shù)據(jù)包中為39426。根據(jù)IPRFC的定義，這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同，因此，如果持續(xù)不變，就表明可疑?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)159報頭值關(guān)鍵元素

IP地址，特別保留地址、非路由地址、廣播地址。不應(yīng)被使用的端口號，特別是眾所周知的協(xié)議端口號和木馬端口號。異常信息包片斷。特殊TCP標志組合值。不應(yīng)該經(jīng)常出現(xiàn)的ICMP字節(jié)或代碼。基于網(wǎng)絡(luò)的入侵檢測技術(shù)160檢測實例-數(shù)據(jù)包捕獲08/19-10:35:22.409202:137->55:137UDPTTL:128TOS:0x0ID:19775IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:23.152199:137->55:137UDPTTL:128TOS:0x0ID:19776IpLen:20DgmLen:78Len:50=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+08/19-10:35:32.467024:1221->90:80TCPTTL:128TOS:0x0ID:4643IpLen:20DgmLen:48******S*Seq:0x811D5ED1Ack:0x0Win:0xFFFFTcpLen:28TCPOptions(4)=>MSS:1460NOPNOPSackOK=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+…………基于網(wǎng)絡(luò)的入侵檢測技術(shù)161檢測實例-端口掃描基于網(wǎng)絡(luò)的入侵檢測技術(shù)162檢測實例-拒絕服務(wù)攻擊基于網(wǎng)絡(luò)的入侵檢測技術(shù)163小結(jié)分層協(xié)議模型與TCP/IP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包的捕獲包捕獲機制BPF模型基于Libpcap庫的數(shù)據(jù)捕獲技術(shù)檢測引擎的設(shè)計網(wǎng)絡(luò)入侵特征實例分析檢測實例分析基于存儲的入侵檢測技術(shù)164第7章

基于存儲的入侵檢測技術(shù)

基于存儲的入侵檢測技術(shù)165第7章基于存儲的入侵檢測技術(shù)基于存儲的入侵檢測技術(shù):主動存儲設(shè)備塊存儲設(shè)備的數(shù)據(jù)存取過程存儲級入侵檢測研究現(xiàn)狀存儲級入侵檢測框架基于數(shù)據(jù)挖掘的攻擊模式自動生成存儲級異常檢測方法IDS間基于協(xié)作的聯(lián)合防御基于存儲的入侵檢測技術(shù)166主動存儲設(shè)備存儲級入侵檢測是入侵檢測體系的重要組成部分之一，它通過收集計算機存儲器的操作數(shù)據(jù)，盡可能實時地發(fā)現(xiàn)非法入侵。

在存儲系統(tǒng)中實現(xiàn)入侵檢測具有其特有的優(yōu)勢。入侵者的入侵目標通常是系統(tǒng)中存儲的數(shù)據(jù)信息，入侵行為還伴隨著一系列存儲操作，因此基于存儲的IDS能夠檢測出入侵行為。另一方面，存儲設(shè)備內(nèi)部的IDS具有獨立性，入侵者無法干預其運行，在主機被攻破的情況下仍然具有防護能力。

基于存儲的入侵檢測技術(shù)167傳統(tǒng)存儲器架構(gòu)和主動存儲器架構(gòu)對比基于存儲的入侵檢測技術(shù)168傳統(tǒng)存儲器架構(gòu)和主動存儲器架構(gòu)對比基于存儲的入侵檢測技術(shù)169現(xiàn)代存儲系統(tǒng)架構(gòu)基于存儲的入侵檢測技術(shù)170塊存儲設(shè)備的數(shù)據(jù)存取過程無論是Windows或是Unix等操作系統(tǒng)，都把程序?qū)τ诖鎯υO(shè)備的訪問和存儲設(shè)備尋道操作等分割開來。由于I/O操作大多是與機械設(shè)置的情況相關(guān)，比如存儲設(shè)備就要把磁頭轉(zhuǎn)到指定位置才能進行數(shù)據(jù)塊的傳送，因此I/O操作的持續(xù)時間通常是不可預知的。因此，宏觀上程序進程對于存儲設(shè)備的操作是立即執(zhí)行的，微觀上卻是異步執(zhí)行的。這種人為的延遲是提高塊設(shè)備性能的關(guān)鍵機制。但也成為人們研究存儲級入侵檢測的重要影響因素。

基于存儲的入侵檢測技術(shù)171塊存儲設(shè)備的數(shù)據(jù)存取過程Linux下存儲設(shè)備的I/O操作Windows下存儲設(shè)備的I/O操作基于存儲的入侵檢測技術(shù)172存儲級入侵檢測研究現(xiàn)狀自安全存儲系統(tǒng)基于存儲的入侵檢測技術(shù)173存儲級入侵檢測研究現(xiàn)狀貫通客戶主機的管道式管理基于存儲的入侵檢測技術(shù)174存儲級入侵檢測框架主機節(jié)點存儲操作請求操作系統(tǒng)文件系統(tǒng)RPC或設(shè)備驅(qū)動器防火墻和NIDSSmartDisk存儲+SIDS基于存儲的入侵檢測技術(shù)175數(shù)據(jù)采集發(fā)起攻擊的主機攻擊模擬平臺目標主機存儲設(shè)備數(shù)據(jù)收集模塊數(shù)據(jù)預處理模塊基于存儲的入侵檢測技術(shù)176數(shù)據(jù)特征分析時間戳：精確顯示每次打開、讀取、寫入或刪除的時間；進程名稱：存儲操作動作的發(fā)出者；操作請求：包括FastI/O操作請求和IRP操作請求；被操作的文件路徑：存儲操作響應(yīng)的接受者；操作結(jié)果狀態(tài)：顯示操作的最終結(jié)果；具體讀寫信息：提供了與讀寫相關(guān)的數(shù)據(jù)長度和偏移量等。基于存儲的入侵檢測技術(shù)177數(shù)據(jù)預處理和規(guī)約未處理的存儲操作數(shù)據(jù)存在以下問題：（1）某些正常和異常數(shù)據(jù)具有相同的取值特征，對于區(qū)分攻擊類型起不到直接的作用；（2）某些數(shù)據(jù)屬性的表達方式不適合直接輸入算法進行處理；（3）對比網(wǎng)絡(luò)數(shù)據(jù)和存儲數(shù)據(jù)發(fā)現(xiàn)：網(wǎng)絡(luò)數(shù)據(jù)產(chǎn)生于ISO模型的網(wǎng)絡(luò)層或傳輸層，可靠性較高；而存儲層次的數(shù)據(jù)質(zhì)量相對較低，冗余操作、低信息量和錯誤數(shù)據(jù)充斥在正常操作的數(shù)據(jù)集里。基于存儲的入侵檢測技術(shù)178基于數(shù)據(jù)挖掘的攻擊模式自動生成入侵數(shù)據(jù)會隨著用戶應(yīng)用的變化而變化，而誤用檢測是基于預先定義好的模式。這就意味著它不可能根據(jù)應(yīng)用數(shù)據(jù)的變化而自適應(yīng)地修改攻擊檢測模式。對于現(xiàn)有的攻擊手段的簡單變種，誤用檢測就顯得無能為力了，更不用說對于新的攻擊技術(shù)了。攻擊檢測模型的更新需要