Unit3_数据源、数据采集其工具.ppt

入侵检测及扫描技术 —— 数据源与数据采集方法 主要内容 数据源分类 数据采集方法 Honeypots IDS存在的问题 两种体系结构与分布式数据收集 数据源 数据来源分类 入侵检测系统中数据来源主要分两类： 基于主机的数据源 基于网络的数据源 数据源的选择主要依据所要检测的内容 如：对于DOS攻击，要采用基于网络的监视器获取畸形数据包，并查明数据包的来源和攻击目标；同时要采用基于主机的监视器帮助确定系统是否由于DOS攻击而崩溃。 基于主机的数据源 主要有以下类型： 操作系统审计记录 系统日志 应用日志信息 数据库系统日志 www服务器日志 基于目标的对象信息 如：完整性校验技术 完整性校验工具tripwire Tripwire著名的完整性校验工具，能够帮助管理员判断系统的一些重要文件是否被攻击者修改。 1992年，Purdue大学COAST实验室的 Gene H.Kim和Eugene H. Spafford开发了tripwire。目的是建立一个工具，通过这个工具监视一些重要的文件和目录发生的任何改变。 1997年，Gene Kim和W.Wyatt Starnes发起成立了Tripwire公司。他们成立这个公司的目的之一是发布一个能够用于更多平台的商业升级版本 。 完整性校验工具tripwire（续） 支持的操作系统：win NT, win 2000, Solaris，Linux等。 采用的Hash算法：MD5, Haval, SHA和CRC-32 产品： Tripwire for server(针对服务器文件及数据的完整性检查) Tripwire Manager(中心管理平台) Tripwire for Web pages（针对Apache web服务器的网页完整性检查 网址： 基于网络的数据源 基本原理：当网络数据流在网段中传播时，采用特殊的数据提取技术，收集网络中传输的数据，作为IDS的数据源。 如：RealSecure，NFR，NetRanger，snort都采用了网络数据作为入侵检测的数据来源。 抓包工具： Windows平台下的wipcap Unix平台下的libpcap Wincap Windows平台下的抓包工具，是从unix 平台下的libpcap移植而来的. 由NetGroup开发完成 功能：抓包、提供底层的数据驱动、可使用raw mode在网络中发送和接收数据包 很多基于windows平台的IDS都使用wipcap作为获取网络入侵分析数据源的驱动程序。 Tcpdump和arpwatch Tcpdump和arpwatch是两种常用的网络监听程序，都使用BPF(Berkeley Packet Filter，用于数据包截取和过滤的内核架构，由美国Lawrence Berkely Laborary开发)做底层驱动。 Tcpdump：用于网络监听、数据提取、过滤器解释及数据包解析。有很多版本，适用于不同的OS Arpwatch是针对地址解析协议(ARP)的监视程序,用于跟踪硬件地址和IP地址治安的映射，当产生新地址绑定或出现异常行为时向管理员报告。 Libpcap Libpcap是Unix平台下应用最为广泛的数据包截取库，被许多IDS开发商所采用，如NFR（network flight recorder） 特点： 提供了可移植的底层网络监听功能 可将数据包直接截取并下载到内核内存中，提升系统监听性能 对Linux的支持(linux正成为开发IDS的流行平台) 数据收集方法 数据收集机制的重要意义 入侵检测系统的精确性、可靠性和效率与其采集数据的质量和完整性密切相关。 如果获得数据有很大延迟，那么检测就会因执行得太晚而失去意义； 如果获得的数据不完整，检测能力就会降低； 如果由于出错或入侵者做手脚而导致收集的数据不正确，那么入侵检测系统就可能无法检测出某些入侵，给用户造成一种安全的错觉 。 常用的数据收集工具 能否收集到充分的入侵证据常常是入侵检测成败的关键。 目前常用的数据收集工具有：审计记录（audit trials）、网络监视器、绊索（Tripwires）、蜜罐（Honey pots）、配置检查工具、操作系统命令、异常检测系统等。 按照数据来源 基于主机的数据收集：从主机获得作为入侵判据的数据 基于网络的数据收集：通过监视网络的通信来获得数据 基于主机的数据收集的优点 基于主机收集到的数据能够确切反映主机上发生的事件，而不是对流过网络的包进行猜测。 在高流量的网络中，一个网络监视器很可能会错过恶意的数据包，而正确实现的主机监视器却可以报告发生在每个主机上的每个事件。 基于网络的数据收集机制容易遭受插入和逃避攻击。这些问题在基于主机的数据收集中不会发生，因为插入和逃避攻击是在数据传输时改变数据的，而