来源:蜘蛛抓取(WebSpider)
时间:2017-05-13 07:20
标签:
ids如何部署
而为了实现对外部攻击的防御,入侵防御系统需要部署;入侵检测系统的核心价值在于通过对全网信息的分析,;明确了这些区别,用户就可以比较理性的进行产品类型;?若用户计划在一次项目中实施较为完整的安全解决方;?若用户计划分布实施安全解决方案,可以考虑先部署;?若用户仅仅关注网络安全状况的监控(如金融监管部;明确了IPS的主线功能是深层防御、精确阻断后,I;而在提升性
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施―对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
明确了这些区别,用户就可以比较理性的进行产品类型选择:
?若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。
?若用户计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。
?若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。
明确了IPS的主线功能是深层防御、精确阻断后,IPS未来发展趋势也就明朗化了:不断丰富和完善IPS可以精确阻断的攻击种类和类型,并在此基础之上提升IPS产品的设备处理性能。
而在提升性能方面存在的一个悖论就是:需提升性能,除了在软件处理方式上优化外,硬件架构的设计也是一个非常重要的方面,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子固件上,虽然能提升匹配的效率,但在攻击识别的灵活度上过于死板(对变种较难发现),在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,厂商的最新产品已经可以达到电信级骨干网络的流量要求,比如McAfee公司推出的电信级IPS产品M8000(10Gbps流量)、M6050(5Gbps)。
所以,入侵防御系统的未来发展方向应该有以下两个方面:
第一, 更加广泛的精确阻断范围:扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御。
第二, 适应各种组网模式:在确保精确阻断的情况下,适应电信级骨干网络的防御需求。
什么是IPS? 发布时间:
录入:启明星辰
入侵保护(阻止)系统(IPS)是新一代的入侵检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。 IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的入侵检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的入侵检测技术如基于签名的检测和异常检测。 同入侵检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。 基于主机 IPS 基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。 基于网络的 IPS 基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中: 指定的网络领域中,需要高度的安全和保护和/或 该网络领域中存在极可能发生的内部爆发 配置地址能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
三个维度区分IDS与IPS 发布时间:
录入:启明星辰
中国人民银行的张涨是IDS的骨灰级用户,对IDS玩得非常熟,但即使这样,他也仅仅是听说IPS而已,并没有真正使用和见过。他的担心是:IPS既然是网络威胁的阻断设备,误报、误阻影响网络的连通性怎么办?北京银行的魏武中也认为,如果在网络的入口处,串接了一串安全设备:IPS、防火墙/VPM以及杀病毒网关等,怎么保证网络的效率?是否会因增添一种新的设备而引起新的单点故障的风险?
事实上,这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于,在很多用户的安全设备的采购清单中,一直在出现“IDS或IPS”的选择,这证明用户依然不了解这两种技术的差别。
启明星辰公司的产品管理中心总监万卿认为,现在是重新审视这两种技术的时候了。他认为,要从三个维度上认清这两种技术的不同。
从趋势看差别
2004年,Gartner的报告曾经预言IDS即将死亡,但无论从用户的需求还是从厂商的产品销售来看,IDS依然处于旺盛的需求阶段,比如,国内最大的IDS生产厂商启明星辰公司,今年上半年IDS的增长超过了50%,并且,公司最大的赢利来源依然是IDS,事实证明,IDS即将死亡的论断是错误的。
万卿认为,IDC的报告是准确的,IDS和IPS分属两种不同产品领域,前者是一种检测技术,而后者是一种阻断技术,只不过后者阻断攻击的依据是检测,因此要用到很多的检测技术,很多用户就此搞混了。
从理论上看,IDS和IPS是分属两个不同的层次,这与用户的风险防范模型有关,用户首先要查找到风险,才能预防和阻断风险。而IDS是查找和评估风险的设备,IPS是阻断风险的设备。防火墙只能做网络层的风险阻断,不能做到应用层的风险阻断。过去,人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断,但由于是联动,阻断时间上会出现滞后,往往攻击已经发生了才出现阻断,这种阻断已经失去了意义,IPS就此产生。
用一句话概括,IDS是帮助用户自我评估、自我认知的设备,而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制,而IDS注重的是入侵风险的管理。也许有一天,通过IDS,我们能确定到底在什么地方放IPS?到底在什么地方放防火墙?这些设备应该配备哪些策略?并可以通过IDS检测部署IPS/防火墙的效果如何。
从需求看差别
从用户对产品的需求看,两者之间也存在巨大差别。
对IDS,人们希望它能呈现攻击,要求呈现得越全面越好。对IPS,人们对它的需求有三个方面,首先是精确阻断,这是核心,是评价一款IPS好坏的最关键指标,也是IPS区别于IDS的重要指标,IDS不会仔细考虑攻击的准确性,而IPS必须考虑,因此,需要厂商 对攻击进行清楚的定义,并精确阻断攻击,准确率甚至要求达到100%;其次是防御及时,目前每天公布的攻击有22个之多,如果防御不及时,就会出现很多漏洞代码; 第三是效率要高,因为是在线部署的,效率低会直接影响网络性能。
IDS呈现的事件,绝对不能等同于IPS精确阻断的事件。因为,很多异常行为并不是入侵攻击,只需要让网管员了解就可以了,而不需要阻断。比如一个很特殊的访问过程,也许并不是攻击,但是对于IDS来讲,它可能需要告警,要让用户了解到这种异常状况,但是对IPS来讲,未必要阻断。所以IDS和IPS的的特征库、事件库有着本质的区别,是完全不同的。
从部署上看,目前可共分三种不同的部署情况,第一种是只需要IPS,不需要IDS,这种用户是只关注风险控制,不关注风险管理的单位,可以归类为低风险的行业。第二种是既需要IDS,也需要IPS的高风险行业;第三种是只需要IDS,不需要IPS的监管机构,只做监管,不做防御,比如远程监控中心。
从发展看差别
正因为有上述的不同,因此,这两种产品未来的发展道路也完全不同。从物理层次看,这两种技术无法融合,IPS和IDS资源消耗的重点不一样,IPS多了一个存储转发的过程,先要存储,然后进行分析,分析完后,再进行转发。IDS则不同,关注的是检测事件,怎么样更有效、更清晰地呈现给用户问题,然后让用户找到改进的办法。
因此,对IPS,厂商的技术发展策略重点是突出精确,比如启明星辰,对IPS的技术发展路线是将基于特征的检测和基于原理的检测进行融合,进行交叉验证,来保证要阻断的内容、对象等,确确实实就是攻击。为了保证及时性,启明星辰建立了两个非常重要的部门,一个是攻防实验室,一个是信息安全的博士后工作站,攻防实验室天天在研究漏洞、研究攻击,一旦发现新的攻击,就把这个特征定义清楚,放到特征库中。如果特征不唯一,就提交给信息安全博士后工作站,他们会结合这个攻击躲避的原理,来设计躲避机制和算法。形成一个新模块,纳入到产品的检测引擎中去,并不只是简单地在特征库中增加一个特征。
而IDS的发展防线,则是增强数据汇总、统计、关联分析、报表的呈现能力,是全面检测,IDS的发展目标是检测面越来越全,包括入侵、违规、异常甚至病毒等。同时,检测结果越来越具有可理解性,与事件进行关联,给出事件判断的依据,让网络管理员更容易看懂。
这三个维度呈现了IDS与IPS作为两种不同产品的巨大差别。
IDS与IPS各自的应用价值与部署目标 发布时间:
录入:启明星辰
从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
如上分析,入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施―对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。明确了这些区别,用户就可以比较理性的进行产品类型选择:
若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。
若用户计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。
若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。
合理的选择产品类型之后,下一个问题就是选择什么样的入侵检测系统或者入侵防御系统才能最有效的发挥作用呢?启明星辰认为,任何产品的开发应该围绕着核心产品价值展开,产品的各种能力都应该为核心产品价值服务。因此入侵检测系统应该是能够全面检测网络中各类安全事件,也就是说检测的全面性是考量入侵检测产品的优劣的主要标准;而入侵防御系统应该是能够精确阻断关键网络威胁,也就是说对关键网络威胁的防御能力以及防御的准确性是考量入侵防御系统优劣的主要标准。启明星辰是国内入侵检测类产品的领导企业,其研发的天阗入侵检测产品已经有八年的历史,该系列产品能够全面检测出网络中的各类攻击以及网络异常情况,并通过天阗管理中心综合分析可以及时有效的呈现出网络的安全状况,指导用户进行下一步的安全建设或者安全策略的调整。2007年初,凭借多年的技术积累,启明星辰又推出了天清系列入侵防御系统,该系列产品的研发目标即锁定为“精确阻断”。天清入侵防御系统可以精确的阻断DOS/DDOS、溢出攻击、网络嗅探扫描、蠕虫病毒等各类关键网络攻击,尤其是其区别于其他同类产品的抗SQL注入攻击模块,可以阻断当前最流行也是最难判断的SQL注入攻击,由于该系列产品最大限度的满足了用户需求,一经推出就获得了用户的极大好评。相信通过天阗入侵检测系统与天清入侵防御系统的协同工作,启明星辰可以为用户提供更加全面的安全解决方案。
三亿文库包含各类专业文献、行业资料、生活休闲娱乐、各类资格考试、高等教育、中学教育、应用写作文书、入侵检测17等内容。
网络入侵检测技术的研究与分析 【摘 要】 网络入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现 并报告系统中未授权或异常现象的技术,是一种... 以下对 Snort 的描述不正确的是( B ) A、snort 是一个网络入侵检测软件 B、snort 是由四个子系统构成 C、snort 是用 C 语言写的 D、snort 使用插件技术来... 入侵检测实验报告_互联网_IT/计算机_专业资料。入侵检测实验课程大作业 入侵检测实验报告 一 实验环境搭建 1 安装 winpcap 按向导提示完成即可 (有时会提示重启... 在通用入侵检测模型的活动简档中未定义的随机变量是(D) B 间隔计时器 C 资源计量器 D 告警响应计时器 4.异常入侵检测依靠的假定是(D) A 一切网络入侵行为都... 入侵检测与防御_互联网_IT/计算机_专业资料。入侵检测与防御 1.背景随着网络安全风险系数不断提高, 曾经作为最主要的安全防范手段的防火墙, 巳经不能 满足人们对... 入侵检测_计算机软件及应用_IT/计算机_专业资料。入侵检测系统及部署一.什么是入侵检测系统?入侵检测系统(intrusion detection system,简称“IDS” ) ,是一种对网络... 4、 为什么说入侵检测是一种动态的监控、 预防或抵制系统入侵行为的安全机 制? 5、入侵检测主要通过监控哪些方面来检测内部或外部的入侵企图? 6、与传统的预防型... 入侵检测_计算机硬件及网络_IT/计算机_专业资料。入侵检测系统综述文章 入侵检测系统综述【摘要】internet 的高速发展,我们的工作生活也变得更加的便利,同时网络的广泛...NIDS使用原始网络信息作为数据源,利用运行在随机模式下的网络适配器实时监听和分析通过网络的所有通信,收集相关信息并记入日志;而HIDS则通常安装在被检测的主机之上,与该主机的网络实时连接,负责对系统审计日志进行智能分析和判断。若发现非法入侵或者违反统计规律的行为异常,IDS会立即发出警报,由系统管理员进行决策处理。IDS的传统优势在于:
整体部署,实时检测,可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型,对用户当前的操作进行判断,及时发现入侵事件;
对于入侵与异常不必做出阻断通信的决定,能够从容提供大量的网络活动数据,有利于在事后入侵分析中评估系统关键资源和数据文件的完整性;
独立于所检测的网络,黑客难于消除入侵证据,便于入侵追踪与网络犯罪取证;
同一网段或者一台主机上一般只需部署一个监测点就近监测,速度快,拥有成本低。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上
防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!
在实际的使用中,目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前行为,并且IDS的阻断范围也很小,只能阻断建立在TCP基础之上的一些行为,如Telnet、FTP、HTTP等,而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好的保护网络的安全,所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度。
IDS入侵特征库创建实例解析
IDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征数据库,这就如同公安部门必须拥有健全的罪犯信息库一样。但是,IDS一般所带的特征数据库都比较死板,遇到“变脸”的入侵行为往往相逢不相识。因此,管理员有必要学会如何创建满足实际需要的特征数据样板,做到万变应万变!本文将对入侵特征的概念、种类以及如何创建特征进行介绍,希望能帮助读者尽快掌握对付“变脸”的方法。
一、特征(signature)的基本概念
IDS中的特征就是指用于判别通讯信息种类的样板数据,通常分为多种,以下是一些典型情况及识别方法:
来自保留IP地址的连接企图:可通过检查IP报头(IP header)的来源地址轻易地识别。
带有非法TCP 标志联合物的数据包:可通过对比TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。
含有特殊病毒信息的Email:可通过对比每封Email的主题信息和病态Email的主题信息来识别,或者,通过搜索特定名字的附近来识别。
查询负载中的DNS缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是:在负载中搜索“壳代码利用”(exploit
shellcode)的序列代码组合。
通过对POP3服务器发出上千次同一命令而导致的dos攻击:通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。
未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。
从以上分类可以看出特征的涵盖范围很广,有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。一叶即可知秋,本文将从最简单的特征入手,详细讨论其功能及开发、定制方法。
另外请注意:不同的IDS产品具有的特征功能也有所差异。例如:有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据,另外一些则允许在很宽的范围内定制或编写特征数据,甚至可以是任意一个特征;一些IDS系统只能检查确定的报头或负载数值,另外一些则可以获取任何信息包的任何位置的数据。
二、特征有什么作用?
这似乎是一个答案很明显的问题:特征是检测数据包中的可疑内容是否真正“不可就要”的样板,也就是“坏分子克隆”。IDS系统本身就带有这个重要的部分,为什么还需要定制或编写特征呢?是这样:也许你经常看到一些熟悉的通讯信息流在网络上游荡,由于IDS系统的特征数据库过期或者这些通讯信息本身就不是攻击或探测数据,IDS系统并没有对它们进行关注,而这时你的好奇心升起,想在这些可疑数据再次经由时发出报警,想捕捉它们、仔细看看它们到底来自何方、有何贵干,因此,唯一的办法就是对现有特征数据库进行一些定制配置或者编写新的特征数据了。
特征的定制或编写程度可粗可细,完全取决于实际需求。或者是只判断是否发生了异常行为而不确定具体是什么攻击名号,从而节省资源和时间;或者是判断出具体的攻击手段或漏洞利用方式,从而获取更多的信息。我感觉,前者适用于领导同志,后者需要具体做事者使用,宏观加微观,敌人别想遛进来!
三、首席特征代表:报头值(Header Values)
报头值的结构比较简单,而且可以很清楚地识别出异常报头信息,因此,特征数据的首席候选人就是它。一个经典的例子是:明显违背RFC793中规定的TCP标准、设置了SYN和FIN标记的TCP数据包。这种数据包被许多入侵软件采用,向防火墙、路由器以及IDS系统发起攻击。异常报头值的来源有以下几种:
因为大多数操作系统和应用软件都是在假定RFC被严格遵守的情况下编写的,没有添加针对异常数据的错误处理程序,所以许多包含报头值的漏洞利用都会故意违反RFC的标准定义,明目张胆地揭发被攻击对象的偷工减料行为。
许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据。
并非所有的操作系统和应用程序都能全面拥护RFC定义,至少会存在一个方面与RFC不协调。
随着时间推移,执行新功能的协议可能不被包含于现有RFC中。
由于以上几种情况,严格基于RFC的IDS特征数据就有可能产生漏报或误报效果。对此,RFC也随着新出现的违反信息而不断进行着更新,我们也有必要定期地回顾或更新存在的特征数据定义。
非法报头值是特征数据的一个非常基础的部分,合法但可疑的报头值也同等重要。例如,如果存在到端口3的可疑连接,就可报警说可能有特洛伊木马在活动;再附加上其他更详细地探测信息,就能够进一步地判断是真马还是假马。
四、确定特征“候选人”
为了更好地理解如何开发基于报头值的特殊数据,下面通过分析一个实例的整个过程进行详细阐述。
Synscan是一个流行的用于扫描和探测系统的工具,由于它的代码被用于创建蠕虫Ramen的开始片断而在2001年早期大出风头。Synscan的执行行为很具典型性,它发出的信息包具有多种可分辨的特性,包括:
不同的来源IP地址信息
TCP来源端口21,目标端口21
服务类型0
IP鉴定号码39426(IP identification number)
设置SYN和FIN标志位
不同的序列号集合(sequence numbers set)
不同的确认号码集合(acknowledgment numbers set)
TCP窗口尺寸1028
下面我们对以上这些数据进行筛选,看看哪个比较合适做特征数据。我们要寻找的是非法、异常或可疑数据,大多数情况下,这都反映出攻击者利用的漏洞或者他们使用的特殊技术。以下是特征数据的候选对象:
只具有SYN和FIN标志集的数据包,这是公认的恶意行为迹象。
没有设置ACK标志,但却具有不同确认号码数值的数据包,而正常情况应该是0。
来源端口和目标端口都被设置为21的数据包,经常与FTP服务器关联。这种端口相同的情况一般被称为“反身”(reflexive),除了个别时候如进行一些特别NetBIOS通讯外,正常情况下不应该出现这种现象。“反身”端口本身并不违反TCP标准,但大多数情况下它们并非预期数值。例如在一个正常的FTP对话中,目标端口一般是21,而来源端口通常都高于1023。
TCP窗口尺寸为1028,IP鉴定号码在所有数据包中为39426。根据IP
RFC的定义,这2类数值应在数据包间有所不同,因此,如果持续不变,就表明可疑。
五、公布最佳特征“得主”
从以上4个候选对象中,我们可以单独选出一项作为基于报头的特征数据,也可以选出多项组合作为特征数据。
选择一项数据作为特征有很大的局限性。例如一个简单的特征可以是只具有SYN和FIN标志的数据包,虽然这可以很好地提示我们可能有一个可疑的行为发生,但却不能给出为什么会发生的更多信息。SYN和FIN通常联合在一起攻击防护墙和其他设备,只要有它们出现,就预示着扫描正在发生、信息正在收集、攻击将要开始。但仅仅这些而已,我们需要的是更多的细节资料。
选择以上4项数据联合作为特征也不现实,因为这显得有些太特殊了。尽管能够精确地提供行为信息,但是比仅仅使用一个数据作为特征而言,会显得远远缺乏效率。实际上,特征定义永远要在效率和精确度间取得折中。大多数情况下,简单特征比复杂特征更倾向于误报(false
positives),因为前者很普遍;复杂特征比简单特征更倾向于漏报(false
negatives),因为前者太过全面,攻击软件的某个特征会随着时间的推进而变化。
多也不行,少亦不可,完全应由实际情况决定。例如,我们想判断攻击可能采用的工具是什么,那么除了SYN和FIN标志以外,还需要什么其他属性?“反身”端口虽然可疑,但是许多工具都使用到它,而且一些正常通讯也有此现象,因此不适宜选为特征。TCP窗口尺寸1028尽管有一点可疑,但也会自然的发生。IP鉴定号码39426也一样。没有ACK标志的ACK数值很明显是非法的,因此非常适于选为特征数据。当然,根据环境的不同,及时地调整或组合特征数据,才是达到最优效果的不二法门。
接下来我们真正创建一个特征,用于寻找并确定synscan发出的每个TCP信息包中的以下属性:
只设置了SYN和FIN标志
IP鉴定号码为39426
TCP窗口尺寸为1028
第一个项目太普遍,第二个和第三个项目联合出现在同一数据包的情况不很多,因此,将这三个项目组合起来就可以定义一个详细的特征了。再加上其他的synscan属性不会显著地提高特征的精确度,只能增加资源的耗费。到此,判别synscan软件的特征如此就创建完毕了。
六、拓宽特征的“社会关系”,创建识别更多异常通讯的特征
以上创建的特征可以满足对标准synscan软件的探测了。但synscan可能存在多种“变脸”,而其它工具也可能是“变化多端”的,这样,上述建立的特征必然不能将它们一一识别。这时就需要结合使用特殊特征和通用特征,才能创建一个更好、更全面的解决方案。如果一个入侵检测特征既能揭示已知“坏蛋”,还能预测“潜在的罪犯”,那么它的魅力将大大提高。
首先看一个“变脸”synscan所发出的数据信息特征:
只设置了SYN标志,这纯属正常的TCP数据包“长相”。
TCP窗口尺寸总是40而不是1028。40是初始SYN信息包中一个罕见的小窗口尺寸,比正常的数值1028少见得多。
“反身”端口数值为53而不是21。老版本的BIND使用“反身”端口用于特殊操作,新版本BIND则不再使用它,因此,经常看到这个信息会让我们睁大怀疑的眼睛。
以上3种数据与标准synscan产生的数据有很多相似出,因此可以初步推断产生它的工具或者是synscan的不同版本,或者是其他基于synscan代码的工具。显然,前面定义的特征已经不能将这个“变脸”识别出来,因为3个特征子项已经面目全非。这时,我们可以采取三种方法:
再单独创建一个匹配这些内容的特殊特征。
调整我们的探测目标,只关注普通的异常行为,而不是特殊的异常行为,创建识别普通异常行为的通用特征。
1和2都创建,既全面撒网,也重点垂钓,真实的罪犯必抓,可疑的分子也别跑。
通用特征可以创建如下:
没有设置确认标志,但是确认数值却非0的TCP数据包。
只设置了SYN和FIN标志的TCP数据包。
初始TCP窗口尺寸低于一定数值的TCP数据包。
使用以上的通用特征,上面提到过的两种异常数据包都可以有效地识别出来。看来,网大好捞鱼啊。
当然,如果需要更加详细地探测,再在这些通用特征的基础上添加一些个性数据就可以创建出一个特殊特征来。还是那个观点,创建什么样的特征、创建哪些特征,取决于实际需求,实践是检测创建何种特征的唯一标准吗!
七、报头值关键元素小结,信息包种类检查分析
从上面讨论的例子中,我们看到了可用于创建IDS特征的多种报头值信息。通常,最有可能用于生成报头相关特征的元素为以下几种:
IP地址,特别保留地址、非路由地址、广播地址。
不应被使用的端口号,特别是众所周知的协议端口号和木马端口号。
异常信息包片断。
特殊TCP标志组合值。
不应该经常出现的ICMP字节或代码。
知道了如何使用基于报头的特征数据,接下来要确定的是检查何种信息包。确定的标准依然是根据实际需求而定。因为ICMP和UDP信息包是无状态的,所以大多数情况下,需要对它们的每一个“属下”都进行检查。而TCP信息包是有连接状态的,因此有时候可以只检查连接中的第一个信息包。例如,象IP地址和端口这样的特征将在连接的所有数据包中保持不变,只对它们检查一次就可放心。其他特征如TCP标志会在对话过程的不同数据包中有所不同,如果要查找特殊的标志组合值,就需要对每一个数据包进行检查。检查的数量越多,消耗的资源和时间也就越多。
另外我们还要了解一点:关注TCP、UDP或者ICMP的报头信息要比关注DNS报头信息更方便。因为TCP、UDP以及ICMP都属于IP协议,它们的报头信息和载荷信息都位于IP数据包的payload部分,比如要获取TCP报头数值,首先解析IP报头,然后就可以判断出这个载荷的“父亲”是TCP。而象DNS这样的协议,它又包含在UDP和TCP数据包的载荷中,如果要获取DNS的信息,就必须深入2层才能看到真面目。而且,解析此类协议还需要更多更复杂的编程代码,完全不如TCP等简单。实际上,这个解析操作也正是区分不同协议的关键所在,评价IDS系统的好坏也体现在是否能够很好地分析更多的协议。
八、结语
本文对如何定制IDS的关键部件特征数据库做了详细地介绍,相信你已经对此有了进一步的认识。入侵者总是狡猾多变的,我们不能让手中的钢刀有刃无光,要经常地磨砺它、改装它,才可能以万变应万变,让入侵者胆战心惊!
解读IDS入侵检测系统术语
【IT专家网独家】入侵检测技术07年已经取得了越来越多的应用,很多用户对IDS(入侵检测系统)具体信息并不是十分了解,但随着其快速发展,我们有必要了解IDS,为日后做好准备。与IDS相关的新名词也日新月异,这里按字母顺序罗列了相关的术语,有的可能很普遍了,但是有的却很少见。
警报(Alerts)
警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵,IDS会以各种方式向分析员发出警报。如果控制台在本地,IDS警报通常会显示在监视器上。IDS还可以通过声音报警(但在繁忙的IDS上,建议关闭声音)。警报还可以通过厂商的通信手段发送到远程控制台,除此之外,还有利用SNMP协议(安全性有待考虑)、email、SMS/Pager或者这几种方式的组合进行报警。
异常(Anomaly)
大多IDS在检测到与已知攻击特征匹配的事件就会发出警报,而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起IDS警报,也就是说,当有人进行以前从没有过的活动,IDS就会发出警报。比如一个用户突然获得管理员权限(或者root权限)。一些厂商把这种方法称为启发式IDS,但是真正的启发式IDS比这种方法有更高的智能性。
硬件IDS(Appliance )
现在的IDS做成硬件放到机架上,而不是安装到现有的操作系统中,这样很容易就可以把IDS嵌入网络。这样的IDS产品如CaptIO,
Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。
网络入侵特征数据库(ArachNIDS - Advanced Reference Archive of Current
Heuristics for Network Intrusion Detection Systems)
由白帽子住持Max
Vision开发维护的ArachNIDS是一个动态更新的攻击特征数据库,适用于多种基于网络的入侵检测系统。
攻击注册和信息服务(ARIS - Attack Registry &
Intelligence Service )
ARIS是SecurityFocus推出的一项安全信息服务,允许用户向SecurityFocus匿名报告网络安全事件。SecurityFocus整理这些数据,并和其它信息综合,形成详细的网络安全统计分析和趋势预测。
攻击(Attacks )
攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息,更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见攻击的列表和解释:
拒绝服务攻击(dos - Denial Of Service attack )
dos攻击只是使系统无法向其用户提供服务,而不是通过黑客手段渗透系统。拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源,不一而足。随着对拒绝服务攻击的认识和防范不断加强,又出现了分布式拒绝服务攻击。
分布式拒绝服务攻击(ddos - Distributed Denial of Service )
分布式拒绝服务攻击是一种标准的拒绝服务攻击,通过控制多台分布的远程主机向单一主机发送大量数据,并因此得名。
攻Smurf攻击(Smurf )
Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法通过欺骗方法向“Smurf放大器”的网络发送广播地址的ping,放大器网络向欺骗地址——攻击目标系统返回大量的ICMP回复消息,引起目标系统的拒绝服务。
特洛伊木马(Trojans )
特洛伊密码来自于古希腊著名的木马攻击特洛伊城的故事。在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时,恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具,特洛伊木马也就专指这类工具,如BackOrifice,
SubSeven, NetBus 等。
自动响应(Automated Response )
如对攻击发出警报,一些IDS 能够自动对攻击作出防御性反应,可以通过以下途径实现:
1 重新配置路由器或者防火墙,拒绝来自相同地址的流量;
2 发送reset包切断连接。
这两种方法都有问题。攻击者可以通过信任地址欺骗实施攻击,引起设备重新配置,使得设备拒绝这些信任地址,达到拒绝服务的目的。发包需要有一个活动的网络接口,又使得其本身易受攻击。解决办法是可以把活动网卡放在防火墙内,或者使用专门的发包程序,避开标准IP栈的需求。
CERT计算机应急响应组(CERT - Computer Emergency Response Team )
CERT来自成立于Carnegie Mellon
University的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT(计算机事件响应组)相区别,CERT侧重于紧急事件的快速反应,而不是长期监视。
通用入侵检测框架:(CIDF - Common Intrusion Detection Framework )
CIDF是为了在某种程度上对入侵检测进行标准化,开发了一些协议和应用程序接口,使得入侵检测研究项目的软件能够共享信息和资源,同样入侵检测系统组件也可以被其他系统应用。
计算机事件响应组(CIRT - Computer Incident Response Team )
源自CERT,
CIRT的不同在于对安全事件的处理方式。CERT的目标是特殊的计算机紧急事件。而CIRT中的事件并不都是紧急事件,还包括其它安全事件。
通用入侵描述语言(CISL - Common Intrusion Specification Language )
CISL是为了在CIDF组件之间进行通信而描述入侵的通用语言。同CIDF的标准化工作一样,CISL也是试图对入侵检测研究的描述语言进行标准化。
通用漏洞披露(CVE - Common Vulnerabilities and Exposures )
关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时,不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞,并解释为可以检测更多的攻击。MITRE建设了CVE,对漏洞名称进行了标准化,加入CVE的厂商都使用标准化漏洞描述。
构造数据包(Crafting Packets )
不遵循通常的数据包结构,通过构造自己的数据包,能够进行数据包欺骗,或者使接收者无法处理这样的数据包。
Nemesis就是这样一个工具。
同步失效( Desyncronization )
最初,同步实效是指利用序列号的躲避IDS的方法。一些IDS无法确定期望的序列号,从而对这种数据包无能为力,无法重构数据包。这种技术98年产生,现在已经过时。有的文章用来指代其他IDS躲避方法。
黑客们在写漏洞开发程序时,经常会留下标记,最常见的就是“elite” (精华,精锐),通常是elite =
eleet,转换为数字就是3 经常被用作端口号或者序列号等。现在流行的词是"skillz".
列举(Enumeration )
在经过被动探测和社会工程学的工作之后,攻击者开始列举网络资源。列举就是当攻击者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的,并且可以被探测到,但是攻击者的活动仍会尽可能地隐蔽,避免被探测到。
躲避(Evasion)
躲避是实施攻击计划,避开IDS检测的过程。躲避的技巧就是使IDS只看到攻击的一面,而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的TTL值。因此经过IDS的信息看上去并没有什么问题,然而,这些并不影响攻击到达目标。一旦到达目标,就只有有用的攻击了。这里大大简化了实际躲避的复杂性。Ptacek
and Nesham的文章《嵌入、逃避和拒绝服务:如何躲避网络入侵检测》(Insertion, Evasion, and Denial
of Service: Eluding Network Intrusion
Detection)讲述了实施躲避的基本原理和方法。
漏洞利用(Exploits )
对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或教本。
漏洞利用:零日攻击(Zero Day Exploit)
零时间漏洞利用指的是还没有被公布或者传播的漏洞利用。一旦安全界发现一个漏洞,厂商会发布补丁,IDS系统会加入相应的攻击特征检测。对攻击者而言,零时间漏洞利用的价值最大。
漏报(False Negatives )
漏报:攻击事件没有被IDS检测到或者逃过分析员的眼睛。
误报(False Positives )
误报:IDS对正常事件识别为攻击并进行报警。
防火墙(Firewalls )
防火墙作为网络安全的第一道闸门,它与IDS功能不同,但其日志可以为IDS提供有用的信息。防火墙依据对IP地址或者端口的规则拒绝非法连接。
FIRST - Forum of Incident Response and Security Teams
FIRST是一个由国际上政府或者民间组织建立的联盟,以进行安全信息交换和协调安全事件响应。FIRST年会总是受到很大关注。
分片(Fragmentation )
如果数据包过大,将会被分片传输。分片依据是网络最大传输单元(MTU)。例如灵牌环网是4464,而以太网是1500。当一个数据包从令牌环网向以太网传输,它将被按照以太网的MTU进行分片。在有限的网络条件下,分片传输是很正常的。但是黑客们利用分片来逃避IDS检测,有几种臭名昭著的dos攻击也是利用了分片技术。
黑客规范:(Hacker Ethics )
尽管每个人的认识不同,对大多数成熟的黑客而言,黑客规范是神圣的,应该受到尊敬并得到遵守。例如无条件信息共享,不得偷窃、修改和泄漏被攻击系统的数据信息等。
黑客规范1:黑帽(Hacker Ethics: Black Hat )
藐视法律,做事不考虑任何约束的反面黑客。一旦发现漏洞他们往往会私下传播利用,而不是向社会公布。
黑客规范2:白帽(Hacker Ethics: White Hat )
正面黑客:一旦发现漏洞,他们首先通知厂商,在发布修补补丁之前,他们不会公布漏洞。关于白帽对黑客规范的观点和一些免费的IDS工具,见Jude
Thaddeus的文章Confessions of a white hat hacker.
黑客规范3:灰帽(Hacker Ethics: Grey Hat )
灰帽黑客介于前两者之间,一旦发现漏洞,他们会向黑客群体发布,同时通知厂商,然后观察事态发展。他们遵循了黑客守则的两点道德规范。许多人认为厂商应该最先得到通知,很多厂商利用这些信息。Rain
Forest Puppy 发布了一个策略既能保证厂商利益,又不影响安全研究。
启发(Heuristics )
“启发“中包含了应用于IDS中的人工智能的思想。启发式IDS已经提出近十年,然而至今仍进展不大,而黑客却可以“训练”IDS使其忽视恶意攻击。一些IDS使用异常模型来探测入侵攻击,然而IDS需要大量时间来“学习”以识别正常事件。厂商在市场上把这称为启发式IDS,但至少这种IDS并没有应用人工智能对输入数据进行分析。
Honeynet 工程(Honeynet Project )
根据Honeynet
工程的定义:Honeynet是一个学习工具,是一个被设计含有缺陷的网络系统。一旦系统安全受到威胁,相关信息就会被捕捉,并被小组人员分析和学习。因此Honeynet是一个非常有用的,透视攻击全过程的资源。Honeynet小组由30个安全专家组成,每人都设置了一系列的“蜜罐”来引诱攻击者,通过观察研究策略、工具和黑客行为。
蜜罐(Honeypot )
蜜罐是模拟存在漏洞的系统,为攻击者提供攻击目标。蜜罐在网络中没有任何用途,因此任何连接都是可能的攻击。蜜罐的另一个目的就是诱惑攻击者在其上浪费时间,延缓对真正目标的攻击。尽管蜜罐的最初设计目标是为起诉攻击者提供证据收集,但是关于应用蜜罐做陷阱的讨论很多。如果蜜罐在网络内部,攻击者至少要攻陷一个网络设备。有的国家法律规定,蜜罐收集的证据不能最为起诉证据。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
