入侵检测系统基本知识1.PPTVIP

七、一个攻击检测实例1、Sendmail漏洞利用2、简单的匹配3、检查端口号4、深入决策树5、更加深入6、响应策略1、Sendmail漏洞利用老版本的Sendmail漏洞利用$telnet25WIZshell或者DEBUG#直接获得rootshell2、简单的匹配检查每个packet是否包含： “WIZ” |“DEBUG”3、检查端口号缩小匹配范围Port25:{ “WIZ” |“DEBUG”}4、深入决策树只判断客户端发送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}5、更加深入状态检测+引向异常的分支Port25:{ statefulclient-sends:“WIZ”| statefulclient-sends:“DEBUG” afterstateful“DATA”client-sends line1024bytesmeans possiblebufferoverflow}3、根据检测技术进行分类异常入侵检测根据异常行为和使用计算机资源的情况检测出来的入侵。误用入侵检测利用已知系统和应用软件的弱点攻击模式来检测入侵。4、根据体系结构分类集中式多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。等级式定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。协作式将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。5、根据响应方式分类主动响应对被攻击系统实施控制和对攻击系统实施控制。被动响应只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。五、入侵检测的分析方式1、入侵检测的分析方式2、异常检测3、误用检测4、完整性分析5、入侵检测的过程1、入侵检测的分析方式异常检测（AnomalyDetection）统计模型误报较多误用检测（MisuseDetection）维护一个入侵特征知识库（CVE）准确性高完整性分析2、异常检测（1）基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？举例多次错误登录、午夜登录2、异常检测（2）实现技术和研究重点实现技术统计神经网络研究重点如何定义、描述和获取系统的行为知识如何提高可信度、检测率，降低报警的虚警率2、异常检测（3）优点可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应，自学习功能不需要系统先验知识2、异常检测（4）缺点漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大，效率很低统计点的选取和参考库的建立比较困难3、误用检测（1）检测已知攻击匹配建立已出现的入侵行为特征当前用户行为特征举例Land攻击源地址=目标地址?3、误用检测（2）优点算法简单系统开销小准确率高效率高3、误用检测（3）缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序4、完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。5、入侵检测的过程信息收集包括系统、网络、数据及用户活动的状态和行为。信息分析分析收集到的信息，发现违背安全策略的行为。响应根据攻击或事件的类型或性质，做出相应的响应六、异常检测技术1、异常检测技术概念2、异常检测技术的优势3、主要方法4、统计学5、典型系统6、数据挖掘技术7、异常检测技术的缺陷8、异常检测技术的发展趋势1、异常检测技术概念异常检测就是为系统中的用户、程序或资源建立正常行为模式，然后通过比较用户行为与正常行为模式之间的差异进行检测。1、异常检测技术概念