网络与信息安全-入侵检测技术.ppt

第一步——直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。 第二步——跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。 第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。 第四步——让解析器从第55个字节开始读取URL。 URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。 典型例子 ● 提高了性能：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。 ● 提高了准确性：与非智能化的模式匹配相比，协议分析减少了虚警和误判的可能性，命令解析（语法分析）和协议解码技术的结合，在命令字符串到达操作系统或应用程序之前，模拟它的执行，以确定它是否具有恶意。 ● 基于状态的分析：当协议分析入侵检测系统引擎评估某个包时，它考虑了在这之前相关的数据包内容，以及接下来可能出现的数据包。与此相反，模式匹配入侵检测系统孤立地考察每个数据包。 ● 反规避能力：因为协议分析入侵检测系统具有判别通信行为真实意图的能力，它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。 ● 系统资源开销小：协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销，而模式匹配技术却是个可怕的系统资源消费者。 优点 部署 NIDS的位置必须要看到所有数据包 共享媒介HUB 交换环境 隐蔽模式 千兆网 分布式结构 Sensor Console 共享媒介 HUB IDS Sensor Monitored Servers Console 交换环境 Switch IDS Sensor Monitored Servers Console 通过端口镜像实现 （SPAN / Port Monitor） 隐蔽模式 Switch IDS Sensor Monitored Servers Console 不设IP 千兆网络 IDS Sensors L4或L7 交换设备 Advanced 1 Gb to many 100Mb Sensors (Advanced concept) Deployment of IDS Internet FireWall IDS #1 IDS #2 IDS #3 IDS#1　Monitor of External Traffic IDS#2　Monitor of Internal Traffic IDS#3　Monitor of Firewalls External 性能测试 实际生产环境 模拟流量 硬件：SmartBits 人为构造一定大小的数据报，从64bytes到1500bytes，衡量不同pps(packets per second)下IDS对攻击的检测情况。 软件：tcpdump tcpreplay 对流量的回放 IDS躲避测试 URL编码 “cgi-bin”? “%63%67%69%2d%62%69%6e” Insersion，插入其他字符 “GET /cgi-bin/phf” ? “GET //cgi-bin//phf” 以绕过攻击特征库。 将攻击包以碎片方式发出 fragrouter 状态性测试 Stateful ? 测试工具：Stick/Snot 不建立连接，直接发送攻击数据包 只分析单个数据包的IDS会大量误报 要减少误报，IDS必须维护连接状态 状态性测试：CGI攻击举例 三 次 握 手 SYN 1. SYN/ACK 2. ACK 3. GET /cgi-bin/phf 4. 200 OK 或 404 Not Found 5. 1) 不握手，直接发送第4个包； 2) 握手，能否跟踪返回的第5个包，判断攻击成功与否？ 产品 免费 Snort SHADOW /ISSEC/CID/ 产品 商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I 资源 IDS FAQ /pubs/ Focus-IDS Mailinglist /archive/96 Yawl OldHand S