浅析网络入侵监测系统.doc

　　浅析网络入侵监测系统 　　很多文章介绍了如何通过建立，改善，以及分析服务器日记文件的种种方式，监测出来黑客入侵行为，但这些都是过去式，都是在入侵发生后你才知道存在这种行为而加以防范。最好的方法是能够在当场就能监测出恶意的网络入侵行为，并且马上采取防范反击措施加以纠正。因此即时监测黑客入侵行为并以程序自动产生响应的网络入侵监测系统（又称IDS）产生了。 　　1、何谓IDS？ 　　简单的说，设立IDS的唯一目的就是当场监测到网络入侵事件的发生。IDS就是一个网络上的系统，这个系统包含了下面三个组件： 　　（1）网络监测组件，用以捕捉在网络线上传递的封包。 　　（2）接口组件，用以决定监测中的资料传递是否属于恶意行为或恶意的使用。在网络传递时，用来比较的资料样式 （pattern），以监测恶意网络活动。 　　（3）响应组件，针对当时的事件予以适当的响应。这个响应可以是简单的，例如寄发一个电子邮件讯息给系统管理者，或者是复杂的，例如暂时将违规者的IP地址过滤掉，不要让他连到这个网络来。 　　2、IDS如何通过网页监测网络入侵事件 　　IDS系统不只必须监测各式各样，从大到小，以及各种系列的系统上的网络攻击事件，它还必须能够快速及时地的在第一时间内监测到入侵事件的发生。因此，IDS的数据库以及式样比对（pattern-matching）机制是复杂到令人难以置信的。 　　要使IDS能够监测通过网页的入侵事件，其中的网络监测组件就必须要能够捕捉所有通过网页通讯端口上，借着HTTP 通讯协议传递的网络资料往来。（注意，SSL的网络交通是完全绕过IDS的网络监测的，因为这些网络交换资料都是经过加密的。）式样比对组件在这里，主要是用于比较URL解析的结果，看看是否符合数据库中的恶意的HTTP回询（request）。 　　接下来，我介绍如何制作两个快速而简易的IDS，用来监测可疑的网页回询活动。这些解决方案的目的是在于提供系统管理者，让他们拥有一个特别针对他们网络而设计的监测/响应系统。 　　3、制作快速而简易的IDS 　　（1）Netap HTTP/1.0..User-Agent: Mozilla/5.0 [en] （ozilla/5.0 [en] （Win95; U）..Cookie: ASPSESSIONIDGQGQGLAC=HDJNBOGBIPOCPNCKOJOPBCFD;path= /..Referer:/..Connection: close.. 123下一页 友情提醒：，特别！.. 　　现在你就可以采取行动了！ 　　（2）执行式样比对 　　使用ngrep拦截网络资料往来很简单。然而，分析捕捉到的资料并从中抽取URL则略具难度。因为ngrep将资料输出拆成一行一行的，所以我们必须额外耗费很多精力，去重组输出的资料，并将该资料中的URL与已知的网络攻击行为模式做比对。 　　此时，我向大家介绍另一个用来监测网页传送的犀利工具软件了。这个软件就叫做urlsnarf，它是由Dug Song写成的dsniff工具软件套件的一部份。urlsnarf 从所拦截的网络资料传送中，捕捉所有的 HTTP 回询，并且将结果以共享日记文件格式（mon Log Format ,CLF）显示出来，这种格式就跟市面上的网页服务器，诸如Apache或者是IIS所用的格式一样。 　　跟当初我们用ngrep的方式一样，我们使用urlsnarf并且在 的服务器上执行ozilla/5.0 [en] （ozilla/5.0 [en] （ozilla/5.0 [en] （ozilla/5.0 [en] （ozilla/5.0 [en] （ozilla/5.0 [en] （ozilla/5.0 [en] （S-proxy）以及8080（generic/squid proxy）。从其它通讯端口传输的HTTP协议资料则完全被忽略。要想改变这种限制，你必须在urlsnarf的原始程序代码中做一些小小的改变。然而，光是urlsnarf所提供的功能，就已经远远的超过它所给我们的限制了。 　　因为urlsnarf以CLF格式产生日记，我们可以将它的输出结果，转送到任何在网页服务器上使用CLF格式分析日记的日记分析软件。 　　4、监测恶性入侵性网页浏览行为 　　通过urlsnarf的输出，我们可以开始建立式样比对程序，以寻找网络入侵事件。在这里我利用一个简单的Perl程序来跟urlsnarf一起监测一些基本的网络入侵行为。我们会把urlsnarf的执行结果转传给这个式样比对程序，通过式样比对的方法监测网络入侵行为。 　　式样比对程序的第一步是，定义一连串入侵性的URL查询。为了简单起见，我们只列出某些UR