入侵检测系统

1、最新第6章入侵检测系统第6章基于网络的入侵检测技术最新第6章入侵检测系统6.1 分层协议模型与TCP/IP协议簇nOSI参考模型: 模型本身很通用,但与OSI模型相关的协议已经很少用了.nTCP/IP协议模型:模型本身不很有用,但协议却广泛使用nTCP/IP网络是采用包交换的网络,分4层:应用层,传输层, 网络层, 链路层最新第6章入侵检测系统TCP/IP参考模型n在TCP/IP参考模型中，去掉了OSI参考模型中的会话层和表示层（这两层的功能被合并到应用层实现）。同时将OSI参考模型中的数据链路层和物理层合并为主机到网络层。最新第6章入侵检测系统TCP/IP各层功能n网络接口层：实际上TCP/

2、IP参考模型没有真正描述这一层的实现，只是要求能够提供给其上层-网络互连层一个访问接口，以便在其上传递IP分组。n网络互连层：是整个TCP/IP协议栈的核心。它的功能是把分组发往目标网络或主机，网络互连层定义了分组格式和协议，即IP协议n传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种协议：传输控制协议TCP和用户数据报协议UDPn应用层面向不同的网络应用引入了不同的应用层协议 最新第6章入侵检测系统TCP报文格式n数据报文的分层封装n以太网IEEE802.3的帧格式0 8 16 24 32目标主机的以太网地址（第03字节）目标主机的以太网地址（第4、5字节）目

3、标主机的以太网地址（第0、1字节）目标主机的以太网地址（第25字节）帧 类 型TCPIPETHTCP数据区TCP报头IP数据区IP报头帧数据区帧头最新第6章入侵检测系统TCP/IP报文格式ARP/RARP报文格式0 8 16 24 32硬件类型协议类型硬件地址长度协议地址长度操作类型源主机硬件地址（第03字节）源主机硬件地址（第4、5字节）源主机IP地址（第0、1字节）源主机IP地址（第2、3字节）目的主机硬件地址（第0、1字节）目的主机硬件地址（第25字节）目的主机IP地址最新第6章入侵检测系统TCP/IP报文格式IP数据报头格式0 8 16 24 32版本号报头长度服务类型报文总长度报 文

4、 标 识标 志分段偏移量生 存 期协 议 号报头校验和源IP地址目的IP地址选项+填充数据报文数据最新第6章入侵检测系统TCP/IP报文格式ICMP报文格式0 8 16 24 32IP报头ICMP报文类型ICMP报文说明报文校验和其他信息（一般设为零）ICMP数据区最新第6章入侵检测系统TCP/IP报文格式0 8 16 24 32 ICMP报文类型ICMP报文说明报文校验和标 识 符序 号任 意 数 据ICMP回送请求/响应报文格式最新第6章入侵检测系统TCP/IP报文格式UDP报文格式0 8 16 24 32源 端 口 号目 的 端 口 号报 文 长 度校 验 和数 据最新第6章入侵检测系统

5、TCP/IP报文格式TCP报文格式0 8 16 24 32源 端 口 号目 的 端 口 号序 号确 认 号数据偏移保 留URGACKPSHRSTSYNFIN窗 口校 验 和紧 急 指 针选 项填 充数 据最新第6章入侵检测系统6.2 网络数据包的捕获n网络数据包捕获机制是网络入侵检测系统的基础n网络数据包捕获的要求:1. 保证采用的捕获机制能捕获到所有网络上的数据包2. 数据捕获机制的捕获数据包效率直接影响整个网络入侵检测系统的运行速度nSniffer是一种常用的数据捕获方法最新第6章入侵检测系统局域网和网络设备的工作原理nHub工作原理: 共享Hub是基于总线方式,物理上是广播网络;交换式H

6、ub只将数据发送到相应端口n网卡工作原理: 先接收数据头的目的MAC地址,如果该接收则产生中断信号通知CPU,如果不该接收则丢弃不管n局域网工作过程: 帧通过网络驱动程序进行封装, 通过网卡发送到网线上,到达目的机器,再执行相反的过程. 接收端机器的以太网卡捕获到帧并通知操作系统, 然后进行存储最新第6章入侵检测系统n每个网络接口都有一个硬件物理地址和一个广播地址n一个合法的网络接口应该只响应以下两种数据帧:1. 帧目标域含有和本地网络接口相匹配的硬件地址2. 帧的目标域含有”广播地址”n如果某台机器的网络接口处于混杂模式,则可以捕获网络上所有的报文和帧,成为一个Sniffer最新第6章入侵检

7、测系统Sniffer介绍nSniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具nSniffer工作原理: 通知网卡接收其收到的所有包, 在交换HUB下接收别人的数据包,可通过欺骗交换HUB的方法完成n大多数嗅探器至少能分析下面的协议: 标准以太网, TCP/IP, IPX和DECNet最新第6章入侵检测系统Sniffer的应用n正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题.n由于Sniffer可以捕获网络上的报文数据,所以也常被黑客作为网络监听工具nSniffer的危害:1. 嗅探器能够捕获口令,可以记录明文传送的userid和password2.

8、能够捕获专用的或者机密的信息3. 窥探低级的协议信息,用来获取更高级别的访问权限最新第6章入侵检测系统共享和交换网络环境下的数据捕获nLibpcap和Winpcapn使用交换Hub或交换机连接的网络环境中采用以下方法:1. 将数据包捕获程序放在网关或代理服务器上,可以捕获整个局域网的数据包2. 对交换机实行端口映射,将所有端口的数据包全映射到某连接监控机器的端口上3. 在交换机和路由器之间连接一个Hub, 以广播的方式发送4. 实行ARP欺骗, 即在负责数据包捕获的机器上实现整个网络的数据包的转发,但会降低整个局域网的效率最新第6章入侵检测系统6.3 包捕获机制与BPF模型n包捕获机制的3个主

9、要部分: 1. 最底层是针对特定操作系统的包捕获机制, 其原理是在数据链路层增加一个旁路处理, 对发送和接收到的数据包做过滤/缓冲等相关处理, 最后传递到应用程序2. 包过滤机制, 便于用户程序通过简单设置的一系列过滤条件, 以获得满足条件的数据包. 包过滤机制实际上是布尔值操作函数,如果返回true, 则通过过滤, 反之则丢弃3. 最高层是针对用户程序的接口最新第6章入侵检测系统BPF模型n组成: 网络分接头和数据包过滤器最新第6章入侵检测系统6.4 基于Libpcap库的数据捕获技术nLibpcap是unix/linux平台下的网络数据包捕获函数库nLibpcap最主要的优点是平台无关性,

10、被广泛应用在各种网络监控软件中nLibpcap头文件: 数据流存储文件头(pcap_)和数据信息包(pcap_pkthdr)nLibpcap库主要函数nLibpcap应用框架最新第6章入侵检测系统Windows平台下的Winpcap库nWinPcap 是在Windows 操作平台上来实现对底层包的截取过滤 nWinpcap不能阻塞、过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报nWinpcap提供的四大功能: 1. 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报； 2. 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；

11、3. 在网络上发送原始的数据报； 4.收集网络通信过程中的统计信息 最新第6章入侵检测系统Winpcap结构示意图最新第6章入侵检测系统Winpcap的组成nNPF(Netgroup Packet Filter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块 npacket.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同 nWpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数 最新第6章入侵检测系统Winpcap的基本使用步骤n枚举本机网卡信

12、息: pcap_findalldevs函数,主要功能是枚举系统所有网络设备的信息n打开相应网卡并设置为混杂模式: pcap_open_live函数, 主要功能是根据网卡名字打开网卡设置为混杂模式n截获数据包并保存为文件:1. pcap_dumper_t* pcap_dump_open函数,功能是建立或者打开存储数据包内容的文件2. int pcap_next_ex函数,功能是从网卡或者数据包文件中读取数据内容3. void pcap_dump函数,功能是将数据包内容依次写入pcap_dump_open()指定的文件中n捕获数据包的完整代码最新第6章入侵检测系统6.5 检测引擎的设计n检测引擎的

13、主要分析技术:1. 模式匹配技术: 使用基于攻击特征的网络数据包分析技术,分析速度快,误报率小,缺点是计算量大,只能检测特定类型的攻击,影响检测准确性2. 协议分析技术: 辨别数据包的协议类型,以便使用相应的数据分析程序来检测数据包最新第6章入侵检测系统6.6 网络入侵特征实例分析n特征的基本概念:1. 来自保留IP地址的连接企图2. 带非法TCP标志组合的数据包3. 含有特殊病毒信息的E-mail4. 查询负载中的DNS缓冲区溢出企图5. 通过对POP3服务器发出上千次同一命令而导致的DOS攻击6. 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击最新第6章入侵检测系统典型特征-报

14、头值n经典的例子:明显违背RFC793中规定的TCP标准、设置了SYN和FIN标记的TCP数据包n许多包含报头值的漏洞利用都会故意违反RFC的标准定义 n许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据n并非所有的操作系统和应用程序都能全面拥护RFC定义，至少会存在一个方面与RFC不协调 n执行新功能的协议可能不被包含于现有RFC中 最新第6章入侵检测系统候选特征nSynscan是一个流行的用于扫描和探测系统的工具，执行行为很具典型性，它发出的信息包具有多种可分辨的特性n特征数据的候选对象: 1.只具有SYN和FIN标志集的数据包，这是公认的恶意行为迹象 2.没有设置ACK标志，但却具有不同确认号码数值的数据包，而正常情况应该是03.来源端口和目标端口都被设置为21的数据包，经常与FTP服务器关联 最新第6章入侵检测系统最佳特征n选择一项数据作为特征有很大的局限性,选择以上4项数据联合作为特征显得有些太特殊 n创建一个特征: 1. 只设置了SYN和FIN标志2. IP鉴定号码为394263. TCP窗口尺寸为1028最新第6章入侵检测系统通用特征nSynscan变脸:1. 只设置了SYN标志，这纯属正常的TCP数据包“长相”。 2. TCP