第10讲：第六章-基于网络的入侵检测技术讲述.ppt

* 6.7 网络入侵特征实例分析 6.7.5 通用特征 由于Synscan可能存在多种”变脸”, 需要结合使用特殊特征和通用特征 “变脸” Synscan所发出的数据信息特征: 只设置了SYN标志 TCP窗口尺寸是40 “反身”端口数值为53而不是21 可以采取以下3种方法,识别“变脸” Synscan 再创建一个特殊特征 创建识别普通异常行为的通用特征 二者都创建 * 6.7 网络入侵特征实例分析 6.7.6 报头值关键元素 IP地址，特别保留地址、非路由地址、广播地址。 不应被使用的端口号，特别是众所周知的协议端口号和木马端口号。 异常信息包片断。 特殊TCP标志组合值。 不应该经常出现的ICMP字节或代码。 * 6.8 检测实例分析 6.8.1 检测实例-数据包捕获 08/19-10:35:22.409202 :137 - 55:137 UDP TTL:128 TOS:0x0 ID:19775 IpLen:20 DgmLen:78 Len: 50 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 08/19-10:35:23.152199 :137 - 55:137 UDP TTL:128 TOS:0x0 ID:19776 IpLen:20 DgmLen:78 Len: 50 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 08/19-10:35:32.467024 :1221 - 90:80 TCP TTL:128 TOS:0x0 ID:4643 IpLen:20 DgmLen:48 ******S* Seq: 0x811D5ED1 Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) = MSS: 1460 NOP NOP SackOK =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ ………… * 6.8 检测实例分析 6.8.2 端口扫描的检测 * 6.8 检测实例分析 6.8.3 拒绝服务攻击的检测 * 小结 嵌入式规则检测引擎设计 可编程检测引擎设计 模式匹配与协议分析技术 网络入侵特征实例分析 检测实例分析 ● —— 重要知识点 * 补充1: 理解”蜜罐” 蜜罐(Honey pot)是专门创建的单台计算机或整个网络, 能够作为诱捕入侵者的陷阱. 蜜罐能吸引入侵者注意力,吸引的时间越长,系统管理员就会有更多的时间来研究分析攻击,并对入侵者进行识别. 蜜罐的使用引出了有关引诱(enticement)与诱捕(entrapment)问题的讨论. * 补充2: 理解”填充单元” 填充单元(padded cell)系统与蜜罐类似,但它使用不同的方式来隔离入侵. 当入侵者被IDS检测到时,入侵者被自动地转移到一个填充单元. 填充单元是一个模拟环境, 通过提供伪造数据来吸引入侵者的兴趣. 填充单元系统被严密监控, 被用于收集入侵者的入侵证据. * 补充3: 渗透测试 当攻击成功和入侵者能够突破安全防线时,就会发生渗透(penetration) 测试安全措施强度的一个常用方法是进行渗透测试. 这是一种使用任何必要的方法强行进入受保护网络的尝试. 渗透测试试图查找现有安全防护的任意和所有可检测弱点. * 补充3: 渗透测试 一些开源代码和商业工具(例如Metasploit和Core IPMACT)能够进一步执行渗透测试并试图利用系统和网络中的已知脆弱性(好人和坏人都可用) 渗透测试只能在管理人员同意和了解的情况下执行.执行没有得到许可的安全测试,可能会造成生产率的下降, 甚至产生更严重的后果. 为了评估你的系统,可以从站点上下载基准和测试工具 * 入侵检测技术分析 北京信息科技大学 刘凯 liukai@ 第10讲 * 入侵检测技术分析 第六章 基于网络的入侵检测技术 * 课程安排 入侵检测概述 5学时 入侵检测技术分类 3学时 基于主机的入侵检测技术 2学时 基于网络的入侵检测技术 3学时 混合型的入侵检测技术