现代密码学理论与实践-入侵者.ppt

* */48 一个轻量级的网络IDS: snort 是一个基于简单模式匹配的IDS 源码开放，跨平台(C语言编写，可移植性好) 利用libpcap作为捕获数据包的工具 特点 性能强、简单、灵活 三个子系统：网络包解析器、检测引擎、日志和报警 内置一套插件子系统，作为系统扩展的手段 模式特征链——规则链 命令行方式运行，也可以用作一个sniffer工具 * */48 网络数据包解析 结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义 每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上的数据包头 从链路层，到传输层，直到应用层 在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据 支持链路层：以太网、令牌网、FDDI * */48 Snort规则链处理过程 二维链表结构 匹配过程 首先匹配到适当的Chain Header 然后匹配到适当的Chain Option 最后，满足条件的第一个规则指示相应的动作 * */48 Snort: 日志和报警子系统 当匹配到特定的规则之后，检测引擎会触发相应的动作 日志记录动作有三种格式 解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式 如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能 报警动作包括 Syslog 记录到alert文本文件中 发送WinPopup消息 * */48 关于snort的规则 Snort的规则比较简单 规则结构 规则头： alert tcp !/24 any - /24 any 规则选项： (flags: SF; msg: “SYN-FIN Scan”;) 针对已经发现的攻击类型，都可以编写出适当的规则来 规则与性能的关系 先后的顺序 Content option的讲究 许多cgi攻击和缓冲区溢出攻击都需要content option 现有大量的规则可供利用 * */48 Snort规则示例 规则示例 Option类型 * */48 关于snort 开放性 源码开放，最新规则库的开放 作为商业IDS的有机补充 特别是对于最新攻击模式的知识共享 Snort的部署 作为分布式IDS的节点 为高级的IDS提供基本的事件报告 发展 数据库的支持 互操作性，规则库的标准化 二进制插件的支持 预处理器模块：TCP流重组、统计分析，等 …… * */48 异常检测的网络IDS 基于规则和特征匹配的NIDS的缺点 对于新的攻击不能正确识别 人工提取特征，把攻击转换成规则，加入到规则库中 异常检测的NIDS可以有一定的自适应能力 利用网络系统的已知流量模式进行学习，把正常流量模式的知识学习到IDS中 当出现新的攻击时，根据异常行为来识别 对于新的攻击以及异常模式可以反馈到IDS系统中 * */48 3 口令管理 用户ID的作用 确定用户是否获得访问系统的授权 确定分配给用户的相应权利 用于自主discretionary的访问控制 UNIX口令模式 用户选择长度大于8个可打印字符的口令, 转换成56位的值, 作为加密例程的密钥输入。加密例程cryp(3)是基于DES的，使用12位的盐值salt修改DES算法。使用由0组成的64位数据输入执行DES算法，输出作为二次加密的输入，加密过程重复25次。 产生的64位输出被转换成11个字符序列，密文口令和明文盐值副本一起存放在口令文件相应用户ID项中。 * */48 UNIX Password Scheme * */48 口令的验证和盐值的作用 口令的验证 用户提供ID和口令，系统查找到相应盐值和加密口令，以盐值和输入口令作为加密例程输入，验证结果是否与存储的值相匹配。 盐值的功能 防止在口令文件中看到重复的口令 有效增加口令长度，增加猜测口令的难度 防止DES的硬件实现，提高抵御强行攻击的难度 * */48 口令的脆弱性 对UNIX口令模式存在两种威胁 用户使用访客帐户或通过某种方式在一台机器上获得访问权，然后运行口令猜测程序 强行攻击，测试字符的所有组合来发现口令 口令猜测策略 尝试用户名字姓氏首字母、帐户名和其他个人信息 测试来自不同词典中的单词 尝试单词的不同形式 尝试单词不同大写的修改形式 访问控制 拒绝对手访问口令文件，但是也存在缺陷 有效策略是强迫用户选择很难猜测的口令 * */48 观察到的口令长度 * */48 * */48 口令选择策略 用户教育 计算机生成的口令 如果口令本质上完全随机，难以被用户接受 反应的口令检查 系统定期运行口令偷盗程序来找到可猜测的口令并通知用户修正 预先的口令检查 允许用户选择口令，系统检查口令是否是允许的，使用户在相当大的空间中选择可记忆的且在词典攻击中不太可能猜出的口令。 简单的规则约束系统，