信息对抗技术ids.pptVIP

信息对抗技术IDS 入侵检测 入侵检测系统定义 入侵检测系统是通过诸如，数据审计，网络报文分析等手段，检测各种入侵行为，保证网络安全。英文是intrusion detection system （IDS）。 IDS的存在理由 网络防护中仅使用防火墙、访问控制、加解密技术并不能彻底解决安全问题。 因为首先入侵者可寻找防火墙和访问控制背后敞开的后门； 其次防火墙完全不能阻止内部袭击； 第三，由于性能限制，防火墙通常不能提供实时入侵检测能力，而访问控制对取得根权限的入侵者束手无策。 另外，加解密／认证技术不能完全杜绝IP欺骗、重放攻击(replay attack)等入侵。特别对于危害十分严重的缓冲区溢出（buffer overflow）攻击，以上传统技术均无有效防护措施。 IDS的历史 在80年代就开展了早期基础理论研究工作。随着计算机系统软、硬件飞速发展，以及网络技术、分布式计算、系统工程、人工智能等计算机新兴技术与理论的不断完善，入侵检测理论也在发展变化中，至今仍未形成比较成熟的理论体系 IDS的分类 根据检测原理可分为异常入侵检测，误用入侵检测。 根据数据来源和系统结构可分为基于主机的入侵检测和基于网络的入侵检测和分布式入侵检测。 误用入侵检测 或称为基于特征的入侵检测系统（Signature-based IDS） 必须从一个或多个网络数据包或审计数据中提取出特定模式。如果这些模式与已知入侵模式匹配，系统就能检测出攻击，因此它只能鉴别已知模式，不能检测新型攻击。同时，对特征错误理解将产生误报。获取特征有多种方法，包括手工提取特征和用传感器自动学习等。 Snort是误用入侵检测的代表 网站： 该软件是开源软件。其基本原理是将网卡设定为混杂模式，然后监听网络上的报文，并将报文和用户自定义的规则进行比较，如果满足规则，则会根据用户要求将该次匹配命中的事件纪录到日志。 一个简单的规则如下： alert tcp any any - any 7026 (msg: “glacier”). 这条规则的意思是：凡是从任何机器的任何端口到任何机器的7026端口的tcp访问，就纪录下来，而纪录的名字为glacier. 因为后门冰河的缺省端口实7026所以满足该规则的就可能是冰河 纪录下来的日志具有如下格式： [**] [1:0:0] glacier [**] [Priority: 0] 02/14-09:32:25.367646 11123- 47 7026 TCP TTL:255 TOS:0x0 ID:46482 IpLen:20 DgmLen:60 Snort的规则中还有一个重要的选项，就是content，它指出如果报文中包含指定的字符串就告警。 alert tcp any any - any any (content: “hell”). 比如上面的规则就表明，如果报文中包含hell字符串就告警。 很明显，snort的准确率依赖规则的准确性，更为重要的是，其判断依据往往会造成虚假告警或遗漏。 Snort也对其加以改进。比如，它增加了一中规则叫动态规则，就是，当一个规则满足后，检测另外一条规则。这里有一定专家系统的影子。 Snort在网络抓包方面，使用了一种libpcap库，这是unix上的一个抓包库，再linux和windows上都有相关的版本，windows上叫winpcap。可以在winpcap网站上下载到相关软件。 异常入侵检测 基于异常的入侵检测系统(Anomaly-based IDS)，其思路如下：正常系统有一“正常基准”，如CPU利用率、磁盘活动、用户注册、文件活动等等。一旦偏离这一“正常基准”，检测系统将触发。基于异常检测的主要优点是能识别新型攻击。但正常操作产生变化时会导致误报，而入侵行为表现为正常又将导致漏报，且系统很难确定攻击类型。 检测用户行为模式是一种异常入侵检测。 H. S. Javitz and A. Valdes. The SRI IDES statistical anomaly detector. In Proceedings of the 1991 IEEE Symposium on Security and Privacy, pages 316¨C326, Oakland, California, May 20¨C22, 1991. IEEE Computer Society Press. 基于系统调用序列的免疫系统 该系统认为，对任何系统而言，存在一个基因库，该库中的基因是如下定义的：即一组系统调用序列，比如长度为4~5个系统调用。例如：socket—bind—listen—accept.就是一个基因。 通过在正常无攻击环境下运行一个网络服务程