入侵檢測(cè)技術(shù)概述

張　波

摘要入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。概述了入侵檢測(cè)系統(tǒng)的重要性,介紹了其分類,并對(duì)其規(guī)劃的建立進(jìn)行了闡述。

關(guān)鍵詞入侵檢測(cè);重要性;分類;規(guī)則建立

中圖分類號(hào)TP393.08文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào) 1007-5739(2009)15-0366-03

入侵檢測(cè)(Intrusion Detection)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,分析網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第2安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些功能是通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)的:一是監(jiān)視、分析用戶及系統(tǒng)活動(dòng);二是系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);三是識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;四是異常行為模式的統(tǒng)計(jì)分析;五是評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;六是操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。

對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來講,它不但可使系統(tǒng)管理員隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供指南。且它管理、配置簡(jiǎn)單,從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。此外,入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

1入侵檢測(cè)系統(tǒng)(IDS)的重要性

1.1應(yīng)用IDS的原因

提到網(wǎng)絡(luò)安全,人們第一個(gè)想到的就是防火墻。但隨著現(xiàn)代技術(shù)的發(fā)展,網(wǎng)絡(luò)日趨復(fù)雜,傳統(tǒng)防火墻暴露出來的不足和弱點(diǎn)促進(jìn)人們對(duì)入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)技術(shù)的研究和開發(fā)。一是傳統(tǒng)的防火墻在工作時(shí),入侵者可以找到防火墻滋生可能敞開的后門;二是防火墻不能阻止來自內(nèi)部的攻擊,通過調(diào)查發(fā)現(xiàn),50%的攻擊都來自內(nèi)部,對(duì)于企業(yè)內(nèi)部心懷不滿的員工來說,防火墻形同虛設(shè);三是由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)的能力,而這一點(diǎn),對(duì)于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的;四是防火墻對(duì)病毒也束手無策。因此,僅在Internet入口處部署防火墻系統(tǒng)就安全的想法是不切實(shí)際的。

入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等?；谝陨系墓δ?可給出一個(gè)統(tǒng)一的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)模型。這個(gè)模型由5個(gè)主要部分(信息收集器、分析器、響應(yīng)、數(shù)據(jù)庫及目錄服務(wù)器)組成(見圖1)。

1.2IDS所用信息的收集

入侵檢測(cè)的第1步是信息收集,內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且,需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,這樣除了盡可能擴(kuò)大檢測(cè)范圍的因素外,還有一個(gè)重要的因素就是從一個(gè)源來的信息有可能看不出疑點(diǎn),但從多個(gè)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。入侵檢測(cè)在很大程度上依賴于收集信息的可靠性和正確性。

入侵檢測(cè)利用的信息一般來自以下4個(gè)方面:一是系統(tǒng)和網(wǎng)絡(luò)日志文件。黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡,因此充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù),這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件,能夠發(fā)現(xiàn)成功的入侵或入侵企圖,并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動(dòng)”類型的日志,就包含登錄、用戶ID改變、用戶對(duì)文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然,對(duì)用戶活動(dòng)來講,不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等。二是目錄和文件中的不期望改變。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件,包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變(包括修改、創(chuàng)建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產(chǎn)生的指示和信號(hào)。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件,同時(shí)為了隱藏他們?cè)谙到y(tǒng)中的表現(xiàn)及活動(dòng)痕跡,都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。三是程序執(zhí)行中的不期望行為。網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序和特定目的的應(yīng)用,例如數(shù)據(jù)庫服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由1個(gè)到多個(gè)進(jìn)程來實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中,這種環(huán)境控制著進(jìn)程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來表現(xiàn),操作執(zhí)行的方式不同,它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其他進(jìn)程,以及與網(wǎng)絡(luò)間其他進(jìn)程的通訊。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵系統(tǒng)。四是物理形式的入侵信息。這包括2個(gè)方面的內(nèi)容,即未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接和對(duì)物理資源的未授權(quán)訪問。黑客會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi),如果他們能夠在物理上訪問內(nèi)部網(wǎng),就能安裝他們自己的設(shè)備和軟件。因此,黑客就可以知道網(wǎng)上的由用戶加上去的不安全(未授權(quán))設(shè)備,然后利用這些設(shè)備訪問網(wǎng)絡(luò)。例如,用戶在家里可能安裝Modem以訪問遠(yuǎn)程辦公室,與此同時(shí)黑客正在利用自動(dòng)工具來識(shí)別在公共電話線上的Modem,如果某一撥號(hào)訪問流量經(jīng)過了這些自動(dòng)工具,那么這一撥號(hào)訪問就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會(huì)利用這個(gè)后門來訪問內(nèi)部網(wǎng),從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施,然后捕獲網(wǎng)絡(luò)流量,進(jìn)而攻擊其他系統(tǒng),并偷取敏感的私有信息等。

1.3對(duì)信息的分析

信息收集器將收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,通過3種技術(shù)手段進(jìn)行分析,即模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前2種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。一是模式匹配。模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡(jiǎn)單(如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令),也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化)。一般來講,一種攻擊模式可以用一個(gè)過程(如執(zhí)行一條指令)或一個(gè)輸出(如獲得權(quán)限)來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合,顯著減少系統(tǒng)負(fù)擔(dān),且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣,檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是,該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法,不能檢測(cè)到從未出現(xiàn)過的黑客攻擊。二是統(tǒng)計(jì)分析。統(tǒng)計(jì)分析方法首先為系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何觀察值在正常值范圍之外時(shí),就認(rèn)為有入侵發(fā)生。例如,統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為,因?yàn)樗l(fā)現(xiàn)一個(gè)在晚8時(shí)早6時(shí)登錄的帳號(hào)卻在凌晨2時(shí)試圖登錄。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵,缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法,目前正處于研究熱點(diǎn)和迅速發(fā)展之中。三是完整性分析。完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?這通常包括文件和目錄的內(nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制,稱為消息摘要函數(shù)(如MD5),它能識(shí)別微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻擊導(dǎo)致了文件或其他對(duì)象的任何改變,它都能被發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn),不用于實(shí)時(shí)響應(yīng)。盡管如此,完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如,可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊,對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面的掃描檢查。

2IDS的分類

2.1根據(jù)檢測(cè)原理進(jìn)行分類

傳統(tǒng)的觀點(diǎn)根據(jù)入侵行為的屬性將其分為異常和濫用2種,然后分別對(duì)其建立異常檢測(cè)模型和濫用檢測(cè)模型。近4~5年來又涌現(xiàn)出了一些新的檢測(cè)方法,它們產(chǎn)生的模型對(duì)異常和濫用都適用,如人工免疫方法、遺傳算法、數(shù)據(jù)挖掘等。根據(jù)系統(tǒng)所采用的檢測(cè)模型,將IDS分為3類:一是異常檢測(cè)。異常檢測(cè)中,觀察到的不是已知的入侵行為,而是所研究的通信過程中的異常現(xiàn)象,它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前,首先必須建立統(tǒng)計(jì)概率模型,明確所觀察對(duì)象的正常情況,然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！?并如何做出具體決策。異常檢測(cè)只能識(shí)別出與正常過程有較大偏差的行為,而無法知道具體的入侵情況。由于對(duì)各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強(qiáng),且缺乏精確的判定準(zhǔn)則,異常檢測(cè)經(jīng)常會(huì)出現(xiàn)虛警情況。異常檢測(cè)可以通過以下系統(tǒng)實(shí)現(xiàn):①自學(xué)習(xí)系統(tǒng)。自學(xué)習(xí)系統(tǒng)通過學(xué)習(xí)事例構(gòu)建正常行為模型,又可分為時(shí)序和非時(shí)序2種;②編程系統(tǒng)。系統(tǒng)需要通過編程學(xué)習(xí)如何檢測(cè)確定的異常事件,從而讓用戶知道什么樣的異常行為足以破壞系統(tǒng)的安全。編程系統(tǒng)可以再細(xì)分為描述統(tǒng)計(jì)和缺省否認(rèn)2種。二是濫用檢測(cè)。在濫用檢測(cè)中,入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。因此,可事先定義某些特征的行為是非法的,然后將觀察對(duì)象與之進(jìn)行比較以做出判別。濫用檢測(cè)基于已知的系統(tǒng)缺陷和入侵模式,故又稱特征檢測(cè)。它能夠準(zhǔn)確地檢測(cè)到某些特征的攻擊,但卻過度依賴事先定義好的安全策略,所以無法檢測(cè)系統(tǒng)未知的攻擊行為,從而產(chǎn)生漏警。濫用檢測(cè)通過對(duì)確知決策規(guī)則編程實(shí)現(xiàn),可以分為以下4種:①狀態(tài)建模。將入侵行為表示成許多個(gè)不同的狀態(tài)。如果在觀察某個(gè)可疑行為期間,所有狀態(tài)都存在,則判定為惡意入侵。狀態(tài)建模從本質(zhì)上來講是時(shí)間序列模型,可以再細(xì)分為狀態(tài)轉(zhuǎn)換和Petri網(wǎng),前者將入侵行為的所有狀態(tài)形成一個(gè)簡(jiǎn)單的遍歷鏈,后者將所有狀態(tài)構(gòu)成一個(gè)更廣義的樹形結(jié)構(gòu)的Petri網(wǎng)。②專家系統(tǒng)。可以在給定入侵行為描述規(guī)則的情況下,對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行推理。一般情況下,專家系統(tǒng)的檢測(cè)能力強(qiáng)大,靈活性也很高,但計(jì)算成本較高,通常以降低執(zhí)行速度為代價(jià)。③串匹配。通過對(duì)系統(tǒng)之間傳輸?shù)幕蛳到y(tǒng)自身產(chǎn)生的文本進(jìn)行子串匹配實(shí)現(xiàn)。該方法靈活性欠差,但易于理解,目前有很多高效的算法,其執(zhí)行速度很快。④基于簡(jiǎn)單規(guī)則。類似于專家系統(tǒng),但相對(duì)簡(jiǎn)單一些,故執(zhí)行速度快。三是混合檢測(cè)。近幾年來,混合檢測(cè)日益受到人們的重視。這類檢測(cè)在做出決策之前,既分析系統(tǒng)的正常行為,同時(shí)還觀察可疑的入侵行為,所以判斷更全面、準(zhǔn)確、可靠。它通常根據(jù)系統(tǒng)的正常數(shù)據(jù)流背景來檢測(cè)入侵行為,故而也稱為“啟發(fā)式特征檢測(cè)”。Wenke Lee從數(shù)據(jù)挖掘得到啟示,開發(fā)出了一個(gè)混合檢測(cè)器RIPPER。它并不為不同的入侵行為分別建立模型,而是首先通過大量的事例學(xué)習(xí)什么是入侵行為以及什么是系統(tǒng)的正常行為,發(fā)現(xiàn)描述系統(tǒng)特征的一致使用模式,然后再形成對(duì)異常和濫用都適用的檢測(cè)模型。

2.2根據(jù)體系結(jié)構(gòu)分類

按照體系結(jié)構(gòu),IDS可分為集中式、等級(jí)式和協(xié)作式3種。一是集中式。這種結(jié)構(gòu)的IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序,但只有一個(gè)中央入侵檢測(cè)服務(wù)器。審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。但這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在著致命缺陷:①隨著網(wǎng)絡(luò)規(guī)模的增加,主機(jī)審計(jì)程序和服務(wù)器之間傳送的數(shù)據(jù)量會(huì)驟增,導(dǎo)致網(wǎng)絡(luò)性能大大降低;②系統(tǒng)安全性脆弱,一旦中央服務(wù)器出現(xiàn)故障,整個(gè)系統(tǒng)就會(huì)陷入癱瘓;③根據(jù)各個(gè)主機(jī)不同需求服務(wù)器配置也非常復(fù)雜。二是等級(jí)式。它用來監(jiān)控大型網(wǎng)絡(luò),定義了若干個(gè)分等級(jí)的監(jiān)控區(qū),每個(gè)IDS負(fù)責(zé)1個(gè)區(qū),每一級(jí)IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析,然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)IDS。這種結(jié)構(gòu)仍存2個(gè)問題:①當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí),區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整;②這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析,所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。三是協(xié)作式。將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS,這些IDS不分等級(jí),各司其職,負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。因此,其可伸縮性、安全性都得到了顯著的提高,但維護(hù)成本也高了很多,并且增加了所監(jiān)控主機(jī)的工作負(fù)荷,如通信機(jī)制、審計(jì)開銷、蹤跡分析等。

3IDS規(guī)則的建立

IDS要有效地捕捉入侵行為,必須擁有一個(gè)強(qiáng)大的攻擊特征數(shù)據(jù)庫。但是,IDS一般所帶的特征數(shù)據(jù)庫都比較死板,遇到“變臉”的入侵行為往往無法識(shí)別。因此,管理員有必要學(xué)會(huì)如何創(chuàng)建滿足實(shí)際需要的特征數(shù)據(jù)樣板,做到以不變應(yīng)萬變。

3.1特征的基本概念

特征也被稱為屬性,對(duì)應(yīng)IP數(shù)據(jù)包中的字段。在這些特征中有一些對(duì)攻擊的判別至關(guān)重要。以下是一些典型情況及通過相應(yīng)特征進(jìn)行識(shí)別的方法:①從某一固定IP發(fā)送的連接請(qǐng)示:可通過檢查IP頭文件的源地址輕易地識(shí)別。②帶有非法TCP標(biāo)記包的集合:可通過已知的合法與非法的標(biāo)記集合與TCP頭文件中的標(biāo)記進(jìn)行比較而得出結(jié)論。③含有特殊病毒信息的Email:IDS可以通過將郵件的標(biāo)題或附件的名稱與已知的病毒郵件相關(guān)的標(biāo)題做比較得出結(jié)論。④查詢負(fù)載中的DNS緩沖區(qū)溢出企圖:可通過解析DNS域及檢查每個(gè)域的長(zhǎng)度來識(shí)別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識(shí)別方法是:在負(fù)載中搜索“殼代碼利用”(exploit shell code)的序列代碼組合。⑤通過對(duì)POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù),看看是否超過了預(yù)設(shè)上限,而發(fā)出報(bào)警信息。⑥未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問攻擊:通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。

3.2頭文件屬性

一些頭文件屬性在出現(xiàn)攻擊時(shí)會(huì)有明顯的不正?，F(xiàn)象,所以可用于制定規(guī)則。這一規(guī)則的經(jīng)典例子是帶有SYN和FIN標(biāo)志的TCP包設(shè)置。在RFC793(用來定義TCP標(biāo)準(zhǔn))中存在一個(gè)漏洞,使很多工具都試圖通過這一漏洞來嘗試?yán)@過防火墻、路由器和入侵檢測(cè)系統(tǒng)。很多攻擊程序包括頭文件屬性其目的在于違背RFCs,因?yàn)楹芏嗖僮飨到y(tǒng)和應(yīng)用程序是基于遵守RFCs的假定而寫成的,且對(duì)在此基礎(chǔ)上的通訊中的錯(cuò)誤不進(jìn)行糾正。也有很多工具包含錯(cuò)誤或不完整的代碼,于是由這些工具制成的包中包含了違背RFCs的頭文件屬性。那些寫得很糟糕的工具和各種入侵技術(shù)提供了用于寫規(guī)則的可辨別屬性。

基于頭文件屬性來開發(fā)規(guī)則的最好辦法就是通過實(shí)例。Synscan是一種應(yīng)用廣泛的掃描和探測(cè)系統(tǒng)工具。在2001年初的互聯(lián)網(wǎng)上,它頻繁活動(dòng),因?yàn)樗拇a經(jīng)常被用于制造Ramen蠕蟲的第1階段。這一活動(dòng)提供了很好的實(shí)例,因?yàn)樗陌泻写罅康目勺R(shí)別特征。這里有一些在蠕蟲傳播初期存在于Ramen蠕蟲包中的IP和TCP頭文件屬性:①各種不同的源IP地址;②TCP源端口21,目標(biāo)端口21;③服務(wù)類型為0;④IP識(shí)別號(hào)39426;⑤SYN和F1N標(biāo)記設(shè)置;⑥各種序列號(hào)碼設(shè)置;⑦各種確認(rèn)號(hào)碼設(shè)置;⑧TCP windows大小為1 028。

現(xiàn)在已經(jīng)知道Synscan包的頭文件含有的特征,可以開始考慮怎樣制訂一個(gè)好的規(guī)則。首先尋找那些非法的、不正常的、可疑的屬性,在很多事件中,這些特征都有相對(duì)應(yīng)的攻擊者試圖利用的漏洞或者對(duì)應(yīng)于攻擊者使用的一種特殊技術(shù)。

Synscan包的某些不正常的特征可以使用以下規(guī)則識(shí)別:僅有SYN和FIN標(biāo)記設(shè)置是惡意行為的明顯標(biāo)志;另一種特征是,這些包的確認(rèn)號(hào)有各種不同的值,但ACK標(biāo)志未設(shè)置。如果沒有設(shè)置ACK標(biāo)志的話,確認(rèn)號(hào)碼應(yīng)該設(shè)為0;還有一種可疑的特征是,源端口和目標(biāo)端口都被設(shè)為21,這是一種不正常的與FTP服務(wù)器的聯(lián)接。如果這兩者端口號(hào)相同,則稱之為反身。除了某些特殊的通訊(如特定的NetBIOS通訊),通常都不應(yīng)該存在這樣的情況。反身端口不違背TCP標(biāo)準(zhǔn),但在大多數(shù)的事件中是不正常的。在正常的FTP通訊中,會(huì)看見一個(gè)高端口(大于1 023)作為源端口,而目標(biāo)端口為21。

4參考文獻(xiàn)

[1] 李俊霞,劉其群.淺談網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].河南農(nóng)業(yè)教育報(bào),2007,4(2):56-58.

[2] 陳浩.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的應(yīng)用研究[J].雅安職業(yè)技術(shù)學(xué)院學(xué)報(bào),2006, 20(3):8-11.

[3] 李新遠(yuǎn),吳宇紅,狄文遠(yuǎn).基于數(shù)據(jù)發(fā)掘的入侵檢測(cè)建模[J].計(jì)算機(jī)工程,2002,28(2):159-161.

[4] 韓東海,王超,李群.入侵檢測(cè)系統(tǒng)實(shí)例分析[M].北京:清華大學(xué)出版社,2002.

[5] 陳波.入侵檢測(cè)規(guī)則一[J].信息網(wǎng)絡(luò)安全(技術(shù)廣場(chǎng)),2002,5(32):44-45.

[6] 郭山清,謝立,曾英佩.入侵檢測(cè)在線規(guī)則生成[J].模型計(jì)算機(jī)學(xué)報(bào),2006,29(9):1523-1532.