国家信息化安全培训之入侵检测技术

入侵检测技术国家信息化安全教育认证培训课程参加课程需掌握的知识TCP/IP协议原理对防火墙有初步认识对局域网和广域网有初步认识Unix简单操作课程内容入侵知识简介入侵检测技术入侵检测系统的选择和使用课程目标了解入侵检测的概念、术语掌握网络入侵技术和黑客惯用的各种手段掌握入侵检测系统防范入侵原理了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测技术发展方向§1.入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式动态安全模型P2DR§1.1背景介绍§1.1.1信息社会出现的新问题信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性，不能够确保系统的安全§1.1背景介绍§1.1.2信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理§1.1.3黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫这就是黑客§1.1背景介绍§1.1.4我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。§1.1背背景景介绍绍§我我国安安全形形势非非常严严峻（（续））1999年年4月月16日：：黑客客入侵侵中亚亚信托托投资资公司司上海海某证证券营营业部部，造造成340万元元损失失。1999年年11月14日日至17日日：新新疆乌乌鲁木木齐市市发生生首起针针对银银行自自动提提款机机的黑黑客案案件，用户户的信信用卡卡被盗盗1.799万万元。。1999年年11月23日日：银银行内内部人人员通通过更更改程程序，，用虚虚假信信息从从本溪溪某银银行提提取出出86万元元。§1.1背背景景介绍绍§我我国安安全形形势非非常严严峻（（续））2000年年2月月1日日：黑黑客攻攻击了了大连连市赛赛伯网网络服服务有有限公公司，，造成成经济济损失失20多万万元。。2000年年2月月1日日至2日：：中国国公共共多媒媒体信信息网网兰州州节点点————“飞飞天网网景信信息港港”遭遭到黑黑客攻攻击。。2000年年3月月2日日：黑黑客攻攻击世世纪龙龙公司司21CN。§1.1背背景景介绍绍§我我国安安全形形势非非常严严峻（（续））2000年年3月月6日日至8日：：黑客客攻击击实华华开EC123网站站达16次次，同同一时时期，，号称称全球球最大大的中中文网网上书书店““当当当书店店”也也遭到到多次次黑客客攻击击。2000年年3月月8日日：山山西日日报国国际互互联网网站遭遭到黑黑客数数次攻攻击，，被迫迫关机机，这这是国内首首例黑黑客攻攻击省省级党党报网网站事事件。2000年年3月月8日日：黑黑客攻攻击国国内最最大的的电子子邮局局--拥有有200万万用户户的广广州163，系系统无无法正正常登登录。。§1.1背背景景介绍绍§我我国安安全形形势非非常严严峻（（续））2001年年3月月9日日:IT163.com-全国国网上上连锁锁商城城遭到到黑客客袭击击，网网站页页面文文件全全部被被删除除，各各种数数据库库遭到到不同同程度度破坏坏，网网站无无法运运行，，15日才才恢复复正常常，损损失巨巨大。。2001年年3月月25日日：：重重庆庆某某银银行行储储户户的的个个人人帐帐户户被被非非法法提提走走5万万余余元元。。2001年年6月月11、、12日日：：中中国国香香港港特特区区政政府府互互联联网网服服务务指指南南主主页页遭遭到到黑黑客客入入侵侵，，服服务务被被迫迫暂暂停停。。被黑黑的的WEB页页面面DOJHOMEPAGE§1.2入入侵侵检检测测的的提提出出什什么么是是入入侵侵检检测测系系统统入侵侵检检测测系系统统是是一一套套监监控控计计算算机机系系统统或或网网络络系系统统中中发发生生的的事事件件，，根根据据规规则则进进行行安安全全审审计计的的软软件件或或硬硬件件系系统统。。§1.2入入侵侵检检测测的的提提出出§为为什什么么需需要要IDS？？入侵侵很很容容易易入侵侵教教程程随随处处可可见见各种种工工具具唾唾手手可可得得防火火墙墙不不能能保保证证绝绝对对的的安安全全网络络边边界界的的设设备备自身身可可以以被被攻攻破破对某某些些攻攻击击保保护护很很弱弱不是是所所有有的的威威胁胁来来自自防防火火墙墙外外部部防火火墙墙是是锁锁，，入入侵侵检检测测系系统统是是监监视视器器§1.2入入侵侵检检测测的的提提出出§入入侵侵检检测测的的任任务务检测测来来自自内内部部的的攻攻击击事事件件和和越越权权访访问问85％％以以上上的的攻攻击击事事件件来来自自于于内内部部的的攻攻击击防火火墙墙只只能能防防外外，，难难于于防防内内入侵侵检检测测系系统统作作为为防防火火墙墙系系统统的的一一个个有有效效的的补补充充入侵侵检检测测系系统统可可以以有有效效的的防防范范防防火火墙墙开开放放的的服服务务入入侵侵§1.2入入侵侵检检测测的的提提出出§入入侵侵检检测测的的任任务务通过过事事先先发发现现风风险险来来阻阻止止入入侵侵事事件件的的发发生生，，提提前前发发现现试试图图攻攻击击或或滥滥用用网网络络系系统统的的人人员员。。检测测其其它它安安全全工工具具没没有有发发现现的的网网络络工工具具事事件件。。提供供有有效效的的审审计计信信息息，，详详细细记记录录黑黑客客的的入入侵侵过过程程，，从从而而帮帮助助管管理理员员发发现现网网络络的的脆脆弱弱性性。。§1.2入入侵侵检检测测的的提提出出入入侵侵检检测测的的任任务务网络络中中可可被被入入侵侵者者利利用用的的资资源源在一一些些大大型型的的网网络络中中，，管管理理员员没没有有时时间间跟跟踪踪系系统统漏漏洞洞并并且且安安装装相相应应的的系系统统补补丁丁程程序序。。用户户和和管管理理员员在在配配置置和和使使用用系系统统中中的的失失误误。。对于于一一些些存存在在安安全全漏漏洞洞的的服服务务、、协协议议和和软软件件，，用用户户有有时时候候不不得得不不使使用用。。§1.2入入侵侵检检测测的的提提出出§入入侵侵检检测测的的发发展展历历史史1980年年，，JamesAnderson最最早早提提出出入入侵侵检检测测概概念念1987年年，，D．．E．．Denning首首次次给给出出了了一一个个入入侵侵检检测测的的抽抽象象模模型型，，并并将将入入侵侵检检测测作作为为一一种种新新的的安安全全防防御御措措施施提提出出。。1988年年，，Morris蠕蠕虫虫事事件件直直接接刺刺激激了了IDS的的研研究究1988年年，，创创建建了了基基于于主主机机的的系系统统,有有IDES，，Haystack等等1989年年，，提提出出基基于于网网络络的的IDS系系统统,有有NSM，，NADIR，，DIDS等等§1.2入入侵侵检检测测的的提提出出§入入侵侵检检测测的的发发展展历历史史（（续续））90年年代代，，不不断断有有新新的的思思想想提提出出，，如如将将人人工工智智能能、、神神经经网网络络、、模模糊糊理理论论、、证证据据理理论论、、分分布布计计算算技技术术等等引引入入IDS系系统统2000年年2月月，，对对Yahoo！！、、Amazon、、CNN等等大大型型网网站站的的DDOS攻攻击击引引发发了了对对IDS系系统统的的新新一一轮轮研研究究热热潮潮2001年年～～今今，，RedCode、、求求职职信信等等新新型型病病毒毒的的不不断断出出现现，，进进一一步步促促进进了了IDS的的发发展展。。§1.3入入侵侵检检测测相相关关术术语语IDS(IntrusionDetectionSystems)入侵检测测系统Promiscuous混杂模式式Signatures特征§1.3入入侵检测测相关术术语Alerts警告Anomaly异常§1.3入入侵检测测相关术术语Console控制台Sensor传感器§1.4入侵侵检测系系统分类类概要Host-BasedIDSNetwork-BasedIDSStack-BasedIDS§1.4入侵侵检测系系统分类类§1.4.1Host-BasedIDS(HIDS)基于主机机的入侵侵检测系系统系统安装装在主机机上面，，对本主主机进行行安全检检测§1.4入入侵检测测系统分分类HIDS优点性能价格格比高细腻性，，审计内内容全面面视野集中中适用于加加密及交交换环境境§1.4入入侵检测测系统分分类HIDS缺点额外产生生的安全全问题HIDS依赖性性强如果主机机数目多多，代价价过大不能监控控网络上上的情况况§1.4入入侵检测测系统分分类§1.4.2Network-BasedIDS(NIDS)基于网络络的入侵侵检测系系统系统安装装在比较较重要的的网段内内§1.4入入侵检测测系统分分类NIDS优点检测范围围广无需改变变主机配配置和性性能独立性和和操作系系统无关关性安装方便便§1.4入入侵检测测系统分分类NIDS缺点不能检测测不同网网段的网网络包很难检测测复杂的的需要大大量计算算的攻击击协同工作作能力弱弱难以处理理加密的的会话§1.4入侵侵检测系系统分类类§1.4.3Stack-BasedIDS(NNIDS)网络节点点入侵检检测系统统安装在网网络节点点的主机机中结合了NIDS和HIDS的的技术适合于高高速交换换环境和和加密数数据§1.5入入侵检测测系统构构件§1.5入入侵检测测系统构构件事件产生生器(Eventgenerators)事件产生生器的目目的是从从整个计计算环境境中获得得事件，，并向系系统的其其他部分分提供此此事件。。§1.5入入侵检测测系统构构件事件分析析器(Eventanalyzers)事件分析析器分析析得到的的数据，，并产生生分析结结果。§1.5入入侵检测测系统构构件响应单元元(Responseunits)响应单元元则是对对分析结结果作出出作出反反应的功功能单元元，它可可以作出出切断连连接、改改变文件件属性等等强烈反反应,甚甚至发动动对攻击击者的反反击，也也可以只只是简单单的报警警。§1.5入入侵检测测系统构构件事件数据据库(Eventdatabases)事件数据据库是存存放各种种中间和和最终数数据的地地方的统统称，它它可以是是复杂的的数据库库，也可可以是简简单的文文本文件件。§1.6入入侵检测测系统部部署方式式SwitchIDSSensorMonitoredServersConsole通过端口口镜像实实现（SPAN/PortMonitor）§1.6入入侵检测测系统部部署方式式检测器部部署位置置放在边界界防火墙墙之内放在边界界防火墙墙之外放在主要要的网络络中枢放在一些些安全级级别需求求高的子子网Internet检测器部部署示意意图部署一部署二部署三部署四§1.6入侵检检测系统部署署方式检测器放置于于防火墙的DMZ区域可以查看受保保护区域主机机被攻击状态态可以看出防火火墙系统的策策略是否合理理可以看出DMZ区域被黑黑客攻击的重重点§1.6入侵检检测系统部署署方式检测器放置于于路由器和边边界防火墙之之间可以审计所有有来自Internet上面对保护护网络的攻击击数目可以审计所有有来自Internet上面对保护护网络的攻击击类型§1.6入侵检检测系统部署署方式检测器放在主主要的网络中中枢监控大量的网网络数据，可可提高检测黑黑客攻击的可可能性可通过授权用用户的权利周周界来发现为为授权用户的的行为§1.6入侵检检测系统部署署方式检测器放在安安全级别高的的子网对非常重要的的系统和资源源的入侵检测测§1.7动态态安全模型P2DR§1.7动态态安全模型P2DRPolicy——策略Protection——防护Detection———检测Response——响响应§2.网络络入侵技术概要入侵知识简介介网络入侵的一一般步骤§2.1入侵侵知识简介入侵(Intrusion)入侵是指未经经授权蓄意尝尝试访问信息息、窜改信息息，使系统不不可靠或不能能使用的行为为。入侵企图破坏坏计算机资源源的完整性、、机密性、可用性、可控性§2.1入侵侵知识简介目前主要漏洞洞：缓冲区溢出拒绝服务攻击击漏洞代码泄漏、信信息泄漏漏洞洞配置修改、系系统修改漏洞洞脚本执行漏洞洞远程命令执行行漏洞其它类型的漏漏洞§2.1入侵侵知识简介入侵者入侵者可以是是一个手工发发出命令的人人，也可是一一个基于入侵侵脚本或程序序的自动发布布命令的计算算机。§2.1入侵侵知识简介侵入系统的主主要途径物理侵入本地侵入远程侵入§2.2网络络入侵的一般般步骤进行网络攻击击是一件系统统性很强的工工作，其主要工工作流程是：：目标探测和信信息收集自身隐藏利用漏洞侵入入主机稳固和扩大战战果清除日志§目标探测和信信息收集目标探测和信信息收集端口扫描漏洞扫描利用snmp了解网络结结构§目标探测和信信息收集利用扫描器软软件什么是扫描器器Scanner扫描器工作原原理扫描器能告诉诉我们什么§目标探测和信信息收集§目标探测和信信息收集§目标探测和信信息收集什么是SNMP简单网络管理理协议协议无关性搜集网络管理理信息网络管理软件件§目标探测和信信息收集Snmp用途途用于网络管理理，网管工具具Communitystrings也成为黑客入入侵的一直辅辅助手段§目标探测和信信息收集SolarWinds的的IPNetworkBrowserLanguardNetworkScanner§自身隐藏典型的黑客使使用如下技术术来隐藏IP地址通过telnet在以前前攻克的Unix主机上上跳转通过终端管理理器在windows主主机上跳转配置代理服务务器更高级的黑客客，精通利用用电话交换侵侵入主机§利利用漏洞侵侵入主机已经利用扫描描器发现漏洞洞例如CGI/IIS漏洞洞充分掌握系统统信息进一步入侵§稳稳固和扩大大战果安装后门添加系统账号号利用LKM利用信任主机机§稳稳固和扩大大战果什么是木马客户端软件服务端软件木马启动方式式修改注册表修改INI文文件作为服务启动动§稳稳固和扩大大战果BOBO的客户端端程序可以监监视、管理和和使用其他网网络中运行了了BO服务器器程序的计算算机系统冰河国产木马程序序一般杀毒软件件均可发现§稳稳固和扩大大战果黑客入侵主机机后，可添加加管理员账号号Windows主机账号号Unix主机机账号§稳稳固和扩大大战果什么是LKMLoadableKernelModules动态加载无需重新编译译内核§稳稳固和扩大大战果控制了主机以以后，可以利利用该主机对对其它邻近和和信任主机进进行入侵控制了代理服服务器，可以以利用该服务务器对内部网网络进一步入入侵§清清除日志清除入侵日志志使管理员无法法发现系统已已被入侵§清清除日志（（windows）清除系统日志志清除IIS日日志清除FTP日日志清除数据库连连接日志系统日志IIS日志§清清除日志（（Unix））登陆信息/var/log/home/user/.bash_historylastlog网络入侵步骤骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。§3IDS工作原理目标通过本章学习习，可以掌握握入侵检测系系统对网络入入侵事件分析析的方法和原原理。概要入侵检测引擎擎工作流程入侵检测的分分析方式入侵检测技术术§3.1入侵侵检测引擎工工作流程§监监听部分网络接口混杂杂模式根据设置过滤滤一些数据包包过滤程序的算算法的重要性性§监监听部分监听器设置如如下规则进行行过滤：Onlycheckthefollowingpacket§协协议分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI§数数据分析根据相应的协协议调用相应应的数据分析析函数一个协议数据据有多个数据据分析函数处处理数据分析的方方法是入侵检检测系统的核核心快速的模式匹匹配算法§引引擎管理协调和配置给给模块间工作作数据分析后处处理方式AlertLogCallFirewall§3.2入侵检测的分分析方式异常检测（AnomalyDetection）统计模型误报较多误用检测（MisuseDetection）维护一个入侵侵特征知识库库（CVE））准确性高完整性分析§3.2.1异常检检测基本原理正常行为的特特征轮廓检查系统的运运行情况是否偏离预设设的门限？§3.2.1异常检检测异常检测的优优点：可以检测到未未知的入侵可以检测冒用用他人帐号的的行为具有自适应，，自学习功能能不需要系统先先验知识§3.2.1异常检检测异常检测的缺缺点：漏报、误报率率高入侵者可以逐逐渐改变自己己的行为模式式来逃避检测测合法用户正常常行为的突然然改变也会造造成误警统计算法的计计算量庞大，，效率很低统计点的选取取和参考库的的建立比较困困难§3.2.2误用检检测采用匹配技术术检测已知攻攻击提前建立已出出现的入侵行行为特征检测当前用户户行为特征§3.2.2误用检检测误用检测的优优点算法简单系统开销小准确率高效率高§3.2.2误用检检测误用检测的缺缺点被动只能检测出已已知攻击新类型的攻击击会对系统造造成很大的威威胁模式库的建立立和维护难模式库要不断断更新知识依赖于硬件平台操作系统系统中运行的的应用程序§3.2.3完整性性分析通过检查系统统的当前系统统配置，诸如如系统文件的的内容或者系系统表，来检检查系统是否否已经或者可可能会遭到破破坏。其优点是不管管模式匹配方方法和统计分分析方法能否否发现入侵，，只要是成功功的攻击导致致了文件或其其它对象的任任何改变，它它都能够发现现。缺点是一般以以批处理方式式实现，不用用于实时响应应。§3.3入侵侵检测具体技技术基于统计方法法的入侵检测测技术基于神经网络络的入侵检测测技术基于专家系统统的入侵检测测技术基于模型推理理的入侵检测测技术§基基于统计方方法审计系统实时时地检测用户户对系统的使使用情况，根根据系统内部部保持的用户户行为的概率率统计模型进进行监测，当当发现有可疑疑的用户行为为发生时，保保持跟踪并监监测、记录该该用户的行为为。§基基于神经网网络采用神经网络络技术，根据据实时检测到到的信息有效效地加以处理理作出攻击可可能性的判断断。神经网络络技术可以用用于解决传统统的统计分析析技术所面临临的以下问题题：难于建立确切切的统计分布布导致难于实现方法法的普适性算法实现比较较昂贵系统臃肿难于于剪裁§基基于专家系系统根据安全专家家对可疑行为为的分析经验验来形成一套套推理规则，，然后再在此此基础之上构构成相应的专专家系统，并并应用于入侵侵检测。基于于规则的专家家系统或推进进系统的也有有一定的局限限性。§3.3.4基于模模型推理用基于模型的的推理方法人人们能够为某某些行为建立立特定的模型型，从而能够够监视具有特特定行为特征征的某些活动动。根据假设设的攻击脚本本，这种系统统就能检测出出非法的用户户行为。一般为了准确确判断，要为为不同的攻击击者和不同的的系统建立特特定的攻击脚脚本。§3.4其其他的检测测技术免疫系统方法法遗传算法基于代理检测测数据挖掘§4入侵检测测缺陷目标通过本章学习习，学员可以以了解黑客如如何逃避入侵侵检测系统的的审计。概要利用字符串匹匹配缺陷分割IP数据据包拒绝服务攻击击§4.1利用用字符串匹配配缺陷路径欺骗HEX编码二次HEX编编码Unicode(UTF-8)§路路径欺骗改变字符串外外形，但是实实质相同如果入侵检测测对scripts/iisadmin匹配可以通过如下下逃避：scripts/./iisadminScripts/sample/../iisadminScripts\iisadmin§路路径欺骗解解决办法协议分析URL标准化化§4.1.3HEX编码码URL中将%20代替空空格WEB服务器器可识别HEX编码入侵检测系统统无法识别使用%73代代替s，提交交/script%73/iisadmin§4.1.4HEX编码码解决方法依赖协议分析析使用于WEB服务器相同同的分析器分分析HEX编编码然后进行URL分析发现现攻击§二二次HEX编码微软IIS服服务器对HEX码进行二二次解码解码前：scripts/..%255c../winnt%25是%的的编码第一次解码：：scripts/..%5c../winnt%5是\的编编码第二次解码：：scripts/..\../winnt等同于scripts/../../winnt§4.1.6Unicode(UTF-8)%7f以上的的编码属于unicode序列%c0%af是一个合法法的Unicode序列列Scripts/..%c0%af../winnt转换后为：scripts/../../winnt§避避免字符匹匹配缺陷小结结解码IP包头头文件，确定定协议类型分析HTTP请求所有成成分进行URL处处理，避免路路径欺骗、HEX编码、、二次编码和和Unicode字符串匹配Alert§4.2分割割IP数据包包有效的逃避手手段切割一个攻击击IP包分割后的IP包单独通过过入侵检测入侵检测系统统无法匹配成成功§4.3拒绝绝服务攻击攻击原理发送大量的的黑客入侵侵包入侵检测系系统会发出出大量的Alert审计数据库库空间将溢溢出入侵检测系系统停止工工作§4.3拒拒绝服务攻攻击攻击后果大量消耗设设备处理能能力，使黑黑客有机可可乘硬盘空间满满，导致审审计无法继继续产生大量Alert，导致管管理机无法法处理导致管理员员无法审查查所有的Alert导致设备死死锁§5入侵检检测标准化化概要：入侵检测框框架标准草草案入侵检测数数据交换标标准化标准化工作作总结§5.1入入侵检测框框架标准草草案入侵检测系系统的体系系结构通信机制描述语言§5.1.1CIDF的体系结构构的的体系结构构事件产生器器事件分析器器事件数据库库响应单元§5.1.2CIDF的六种协同同方式1.分析（（Analyzing）：如如下图所示示。§5.1.2CIDF的六种协同同方式2.互补（Complementing））：如下图所示示。§5.1.2CIDF的六种协同同方式3.互纠（Reinforcing）：如下图所示示。§5.1.2CIDF的六种协同同方式4.核实（Verifying））：如下图图所示。§5.1.2CIDF的六种协同同方式5.调整（AdjustingMonitoring）：：如下图所所示。§5.1.2CIDF的六种协同同方式6.响应（Responding）：如下下图所示。。§5.1.3CIDF的通信信机制CIDF通通信机制的的模型GIDO层层；消息层；协商传输层层CIDF通通信机制的的内容配对服务；；路由；消息层；消息层处理理。CIDF通通信机制的的模型GIDO层层消息层协商传输层层的的描述语言言应用层的语语言CISL（公共共入侵规范范语言）CISL可可以表示CIDF中中的各种信信息：如原原始事件信信息（审计计踪迹记录录和网络数数据流信息息）、分析析结果（系系统异常和和攻击特征征描述）、、响应提示示（停止某某些特定的的活动或修修改组件的的安全参数数）等等。。§5.2数数据交换标标准数据交换标标准定义了了数据格式式和交换规规程，用于于入侵检测测或响应（（IDR））系统之间间或与需要要交互的管管理系统之之间的信息息共享；数据交换标标准主要内内容：入侵检测消消息交换格格式（IDMEF））；入侵检测交交换协议（（IDXP）。§5.2.1入侵检检测消息交交换格式IDMEFIDMEF描述了表表示入侵检检测系统输输出信息的的数据模型型（该数据据模型用XML实现现），并解解释了使用用此模型的的基本原理理，并设计计了一个XML文档档类型定义义（XMLDTD）；自动入侵检检测系统可可以使用IDMEF提供的标标准数据格格式对可疑疑事件发出出警报，提提高商业、、开放资源源和研究系系统之间的的互操作性性；IDMEF最适用于于入侵检测测分析器（（或称为““探测器””）和接收收警报的管管理器（或或称为“控控制台”））之间的数数据信道。。§5.2.2IDMEF的数数据模型图图文文档标记语语言XMLXML（ExtensibleMarkupLanguage可扩展展标记语言言）是SGML（StandardGeneralizedMarkupLanguage标标准通用标标记语言））的简化版版本，是ISO8879标标准对文本本标记说明明进行定义义的一种语语法。作为为一种表示示和交换网网络文档及及数据的语语言，XML能够有有效地解决决HTML面临的许许多问题。。§5.2.4入侵检检测交换协协议IDXP§5.2.5IDXP通信§5.3IDS标标准化发展展要使得国内内厂商做出出的安全产产品，能够够符合国际际标准、与与其它安全全产品互相相沟通、并并且具有长长久的生命命力，就必必须把IDS的标准准化提高到到一个重要要的高度；；目前国内还还没有制定定出成熟的的入侵检测测系统标准准草案。要要建立国内内的入侵检检测系统标标准和IDS产品的的测试开展展。§6IDS产品评评估与选型型原则目标通过本章学学习，学员员可以具备备对自己或或者客户的的网络结构构提出入侵侵检测系统统方面的建建议。概要IDS评估估与测试环境和策略略考虑IDS产品品功能和品品质§6.1IDS评估估与测试入侵检测系系统能发现现入侵行为为吗？入侵检测系系统是否达达到了开发发者的设计计目标？什么样的入入侵检测系系统才是用用户需要的的性能优良良的入侵检检测系统呢呢？要回答这些些问题，就就要对入侵侵检测系统统进行测试试和评估。。§6.1.1IDS的评价标标准Porras等给出出了评价入入侵检测系系统性能的的三个因素素：准确性（Accuracy））处理性能（（Performance））完备性（Completeness））Debar等增加了了两个性能能评价测度度容错性（FaultTolerance）及时性（Timeliness）§6.1.2IDS测试评估估步骤创建、选择择一些测试试工具或测测试脚本确定计算环环境所要求求的条件，，比如背景景计算机活活动的级别别配置运行入入侵检测系系统运行测试工工具或测试试脚本分析入侵检检测系统的的检测结果果§6.1.3IDS测试分类入侵识别测测试（也可可说是入侵侵检测系统统有效性测测试）资源消耗测测试强度测试评评估IDS的性能指指标检测率、虚虚警率及检检测可信度度(最重要要的指标)入侵检测系系统本身的的抗攻击能能力延迟时间资源的占用用情况系统的可用用性。系统统使用的友友好程度。。日志、报警警、报告以以及响应能能力§6.1.5性能指指标接收器特性性（ROC）曲线§6.2环环境和策略略考虑§6.2.1你的系系统环境网络中存在在那些应用用和设备？？目前前拥拥有有那那些些防防范范措措施施？？你企企业业的的业业务务经经营营方方向向？？企业业中中系系统统环环境境和和网网络络管管理理的的正正式式度度？？§你你的的安安全全目目标标和和任任务务是否否主主要要关关注注来来自自企企业业外外部部的的入入侵侵事事件件？？你企企业业关关注注来来自自内内部部人人员员的的入入侵侵吗吗？？你企企业业是是否否使使用用IDS用用于于管管理理控控制制超超过过于于网网络络入入侵侵防防范范？？§6.3IDS产产品品功功能能和和品品质质产品品是是否否可可扩扩展展产品品是是如如何何测测试试的的产品品管管理理和和操操作作难难易易度度产品品售售后后服服务务如如何何产品品平平常常维维护护具具体体承承诺诺§产产品品是是否否可可扩扩展展？？针对对你你自自己己的的网网络络结结构构，，IDS系系统统是是否否具具有有良良好好的的可可扩扩展展性性？？§产产品品是是如如何何测测试试的的？？针对对你你网网络络特特点点，，产产品品提提供供者者是是否否已已测测试试？？该产产品品是是否否进进行行过过攻攻击击测测试试？？§产产品品售售后后服服务务如如何何？？产品品安安装装和和配配置置的的承承诺诺是是什什么么？？产品品平平常常维维护护的的承承诺诺是是什什么么？？产品品培培训训的的承承诺诺是是什什么么？？还能能提提供供哪哪些些额额外外的的培培训训及及其其费费用用？？§产产品品维维护护的的具具体体承承诺诺？？入侵侵检检测测规规则则库库升升级级费费用用？？入侵侵检检测测规规则则库库升升级级周周期期？？当一一直直新新的的攻攻击击出出现现后后，，规规则则升升级级的的速速度度？？是否否包包含含软软件件升升级级（（费费用用））？？当发发现现软软件件问问题题后后，，厂厂商商响响应应速速度度？？§7Liunx下下实实现现一一个个简简单单的的入入侵侵检检测测系系统统本章章内内容容简简介介：：系统统框框架架数据据采采集集部部分分数据据分分析析部部分分告警与响应性能分析§7.1系统统框架从实现结构上上看，waRcher分分成三个应用用程序，它们们分别是：数据收集及分分析程序(agent)；告警信息收集集程序(listener)；告警信息显示示程序(console)。§7.2数数据采集部分分Agent采采用了linux2.2内核中提供供的PF_PACKET类型的socket（（并未采用libpcap提供的API接口））,直接从从链路层获取取数据帧数据采集部分分还做了一项项工作就是将将网卡置于混混杂模式，这这样可以监听听到整个网段段的数据§7.3数数据分析部部分数据分析部分分事实上与数数据采集部分分作为一个进进程(agent)存在在,主要是为为了简化程序序设计的复杂杂性。框图详见下一一页§7.4告警警与响应经过采集和分分析模块后，，如果判断为为攻击行为或或异常行为，，IDS进行行告警发生告警后，，可以人为的的进行响应，，也可以通过过预先设定的的相应模块进进行自动响应应最常见的响应应方式是IDS和防火墙墙联动§7.5性能能分析IDS系统面面临的一个矛矛盾便是性能能与功能的折折衷对waRcher而言，，其可能影响响性能的有三三个地方：内核到应用层层的转换（涉涉及数据拷贝贝）；数据分析（大大量的数据匹匹配操作）；；记录日志（IO操作）。。§8Snort分分析内容概要：Snort安安装与配置Snort的的使用Snort的的规则Snort总总体结构分析析§8.1Snort安装与配配置Snort是是一个用C语语言编写的开开放源代码软软件，符合GPL（GNUGeneralPublicLicense））的要求，当当前的最新版版本是1.8，其作者为为MartinRoesch。Snort称称自己是一个个跨平台、轻轻量级的网络络入侵检测软软件，实际上上它是一个基基于libpcap的网网络数据包嗅嗅探器和日志志记录工具，，可以用于入入侵检测。从从入侵检测分分类上来看，，Snort应该算是一一个基于网络络和误用的入入侵检测软件件。§8.1.1Snort简介Snort由由三个重要的的子系统构成成：数据包解码器器检测引擎日志与报警系系统§8.1.2底层库库的安装与配配置安装Snort所必须的的底层库有三三个：Libpcap提供的接接口函数主要要实现和封装装了与数据包包截获有关的的过程Libnet提供的接口口函数主要实实现和封装了了数据包的构构造和发送过过程NDISpacketcaptureDriver是为了方便便用户在Windows环境下抓取取和处理网络络数据包而提提供的驱动程程序§8.1.2底层库库的安装与配配置以Libpcap为例，，讲解库的安安装：检查Libpcap解开压缩包#tar–正式安装#cdlibpcap#./configure#make#makecheck#makeinstall§8.1.3Snort的安装装Linux环环境下的安装装（确认Libpcap已经安装成成功），安装装过程如下：：#tar–#cdsnort-1.8#./configure#make#makeinstall§8.1.3Snort的安装装Solaris环境下的的安装（确认认Libpcap已经安安装成功）在Solaris下，同同样可以按照照Linux下的步骤和和方法使用源源代码包进行行安装，另外外还提供了Solaris特有的PacketFormat包，安安装方法则比比较冷门一点点，所以在此此另行说明。。安装过程如如下：#pkgadd在此选择“Mrsnort”选项进进行安装即可可。§8.1.3Snort的安装装Win32环境下的安安装用VC++打打开位于snort-1.8-win32-source\snort-1.7\win32-Prj目录下的的snort.dsw文文件选择“Win32Release”编译选选项进行编译译在Release目录下下会生成所需需的Snort.exe可执行文件件。§Snort的安装§Snort的安装§8.1.4Snort的配配置配置Snort并不需要要自已编写配配置文件，只只需对Snort.conf文件进进行修改即可可设置网络变量量配置预处理器器配置输出插件件配置所使用的的规则集§8.2Snort的使使用§8.2.1Libpcap的命令令行Snort和大多数基于于Libpcap的应用程序一一样，可以使使用标准BPF类型的过滤器器。设置过滤滤器关键字分为以以下几类：属性类关键字字：说明后面面所跟值的意意义，这样的的关键字有host、net、port方向类关键字字：说明报文文的流向，这这样的关键字字有：src、dst、srcordst、srcanddst协议类关键字字：用来限制制协议，这样样的关键字有有：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等§的命令行Snort的命令行参数数很多，可使使用Snort-?命令列出这些些参数及其简简单的解释常见的参数有有：-A<alert>设置警警告模式-a显显示ARP报文-b以tcpdump格式记录报文文到日志文件件-c<cf>使用配置文件件<cf>-d：显示应用层层数据-v：更详细细地输出详细的解释可可以使用mansnort命令查看帮助助页，或者直直接阅读README文件和USAGE文件§高性能的配置置方式如果在一个高高数据流量（（比如大于100Mbps）的网络环境境下运行Snort，就需要考虑虑如何配置Snort才能使它高效效率地运行./snort–b––Afast–csnort-lib./snort–d–––rsnort.log§8.2.4Snort配置实例§8.2.4Snort配置实例§8.2.4Snort配置实例§8.2.4Snort配置实例§8.2.4Snort配置实例§使用Snort§使用Snort§8.3Snort的规则本节内容包括括：规则的语法规则头规则选项预处理器输出模块对规则的更新新规则的语法Snort使使用了一种简简单但是灵活活、高效的规规则描述语言言来对检测规规则进行表述述每一个Snort规则的的描述都必须须在单独一行行内完成Snort规规则可以划分分为两个逻辑辑部分：规则则头（RuleHeader）和和规则选项（（RuleOptions）规则头规则动作（Alert、、Log、Pass）协议IP地址端口号方向操作符规则选项是Snort系统入侵检检测引擎的核核心部分所有的Snort规则选选项之间都使使用分号来分分离规则选项中的的关键字与选选项参数之间间使用冒号隔隔离当前有三十几几种关键字（（msg、log、ttl、id、、content、flags、seq等