第8章 攻击检测及攻击容忍.ppt

　　攻击检测机制是防火墙机制的一种补充。如果把安全的信息系统比作一座城堡的话，身份识别或访问控制就好像进城时检查证件一样，重点在于防范奸细的混入或者限制内部人员的活动范围；攻击检测类似巡警或治安巡逻队，专门注重于发现形迹可疑者。 　　通过攻击检测，可以监控、分析用户和系统的活动，可以审计系统的配置和弱点，可以评估关键系统和数据文件的完整性，还可以识别攻击者的攻击活动模式。 8.1.2 攻击检测系统的架构 　　最具代表性的攻击检测系统的架构是通用攻击检测框架CIDF，这一架构来自于美国国防部高级研究计划局的一个项目。这一架构由事件产生器、事件分析器、事件数据库和响应单元四部分组成，如图8-1所示。 　　事件产生器：从攻击检测系统之外的环境中收集事件，并将事件规范化为通用攻击检测对象GIDO的格式送给其他部分。 　　事件分析器：接受事件产生器生成的GIDO，并对其进行孤立或关联分析，分析方式由实际系统决定，可以使用统计特征，也可以使用其他特征。 　　事件数据库：完成对必要的GIDO的存储，方便将来的进一步使用。 　　响应单元：根据信息产生响应动作，如报警、关闭连接、终止进程、更改文件权限等。 　　CIDF最主要的工作就是不同组件间所使用语言的标准化，CIDF用通用攻击说明语言CISL对事件、分析结果、响应指示等过程进行表示说明，以达到IDS之间的语法互操作。 CISL语言使用符号表达式(简称S-表达式)，类似于LISP语言。 8.1.3 攻击检测系统的工作流程 　　攻击检测系统的工作流程可分为信息收集、信息分析和动作响应三个阶段，这三个阶段对应的CIDF功能单元分别是事件产生器、事件分析器和响应单元。 　　信息收集阶段的主要工作是收集被保护网络和系统的特征信息，攻击检测系统的数据源主要来自主机、网络和其他安全产品。基于主机的数据源主要有系统的配置信息、系统运行状态信息、系统记账信息、系统日志、系统安全性审计信息和应用程序的日志；基于网络的数据源主要有SNMP信息和网络通信数据包；其他攻击检测系统的报警信息、其他网络设备和安全产品的信息也是重要的数据源之一。 　　信息分析阶段的主要工作是利用一种或多种攻击检测技术对收集到的特征信息进行有效的组织、整理、分析和提取，从而发现存在的攻击事件。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。 　　动作响应阶段的主要工作是对信息分析的结果做出相应的响应。被动响应是系统仅仅简单地记录和报告所检测出的问题，主动响应则是系统要为阻塞或影响进程而采取反击行动。理想的情况下，系统的这一部分应该具有丰富的响应功能特性，并且这些响应特性在针对安全管理小组中的每一位成员进行裁剪后，能够为他们提供服务。 8.1.4 攻击检测系统的部署 　　攻击检测系统中事件产生器所收集信息的来源可以是主机、网络和其他安全产品。如果信息源仅为单个主机，则这种攻击检测系统往往直接运行于被保护的主机之上；如果信息源来自多个主机或其他地方，则这种攻击检测系统一般由多个传感器和一个控制台组成，其中传感器负责对信息进行收集和初步分析，控制台负责综合分析、攻击响应和传感器控制。图8-2为一典型的“传感器-控制台”结构的攻击检测系统的部署方案。 8.1.5 攻击检测软件Snort 　　Snort是一款用C语言开发的开放源代码()的跨平台网络入侵检测系统，能够方便地安装和配置在网络的任何一个节点上。 　　Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，但也是可配置的。 　　Snort使用基于规则的模式匹配技术来实现入侵检测功能，其规则文件是一个ASCII文本文件，可以用常用的文本编辑器对其进行编辑。为了能够快速、准确地进行检测，Snort将检测规则采用链表的形式进行组织。Snort的发现和分析能力取决于规则库的容量和更新频率。 8.1.6 网络数据包的捕获 　　在共享HUB下的任一台计算机都能接收到本网段的所有数据包，这需要将网卡的工作模式设置为混杂模式，使之可以接收目标地址不是自己的MAC地址的数据包。在UNIX系统中可以用Libpcap包捕获的函数库直接与内核驱动交互操作，实现对网络数据包的捕获。在Win 32 平台上可以使用Winpcap，通过VxD虚拟设备驱动程序实现网络数据捕获的功能。 　　在交换HUB下的计算机只能接收发往自己的数据包和广播包， 交换HUB下数据包的捕获需要在HUB处通过镜像方法实现。 8.2 攻击检测方法 　　攻击检测的基本假设是攻击者的攻击行为是能够被感知的。根据检测策略可以把攻击检测方法