IDS.docx
《IDS.docx》由会员分享,可在线阅读,更多相关《IDS.docx(16页珍藏版)》请在冰豆网上搜索。
IDS
IDS简介
IDS是IntrusionDetectionSystem的缩写,即入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。
IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。
一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。
有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。
攻击(Attack)可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。
以下列出IDS能够检测出的最常见的Internet攻击类型:
●攻击类型1-DOS(DenialOfServiceattack,拒绝服务攻击):
DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。
其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。
●攻击类型2-DDOS(DistributedDenialofService,分布式拒绝服务攻击):
一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。
●攻击类型3-Smurf:
这是一种老式的攻击,但目前还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作,然后所有活动主机都会向该目标应答,从而中断网络连接。
以下是10大smurf放大器的参考资料URL:
http:
//www.powertech.no/smurf/。
●攻击类型4-Trojans(特洛伊木马):
Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城里,士兵就涌出木马向这个城市及其居民发起攻击。
在计算机术语中,它原本是指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。
这样,当用户运行合法程序时,在不知情的情况下,恶意软件就被安装了。
但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类工具,例如BackOrifice、SubSeven、NetBus等等。
除了对攻击发出警报,有些IDS还能自动抵御这些攻击。
抵御方式有很多:
首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接。
但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:
通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了。
发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:
使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求。
IDS分类
IDS有许多不同类型的,以下分别列出:
●IDS分类1-ApplicationIDS(应用程序IDS):
应用程序IDS为一些特殊的应用程序发现入侵信号,这些应用程序通常是指那些比较易受攻击的应用程序,如Web服务器、数据库等。
有许多原本着眼于操作系统的基于主机的IDS,虽然在默认状态下并不针对应用程序,但也可以经过训练,应用于应用程序。
例如,KSE(一个基于主机的IDS)可以告诉我们在事件日志中正在进行的一切,包括事件日志报告中有关应用程序的输出内容。
应用程序IDS的一个例子是Entercept的WebServerEdition。
●IDS分类2-ConsolesIDS(控制台IDS):
为了使IDS适用于协同环境,分布式IDS代理需要向中心控制台报告信息。
现在的许多中心控制台还可以接收其它来源的数据,如其它产商的IDS、防火墙、路由器等。
将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。
有些控制台还将它们自己的攻击特征添加到代理级别的控制台,并提供远程管理功能。
这种IDS产品有IntellitacticsNetworkSecurityMonitor和OpenEsecurityPlatform。
●IDS分类3-FileIntegrityCheckers(文件完整性检查器):
当一个系统受到攻击者的威胁时,它经常会改变某些关键文件来提供持续的访问和预防检测。
通过为关键文件附加信息摘要(加密的杂乱信号),就可以定时地检查文件,查看它们是否被改变,这样就在某种程度上提供了保证。
一旦检测到了这样一个变化,完整性检查器就会发出一个警报。
而且,当一个系统已经受到攻击后,系统管理员也可以使用同样的方法来确定系统受到危害的程度。
以前的文件检查器在事件发生好久之后才能将入侵检测出来,是“事后诸葛亮”,最近出现的许多产品能在文件被访问的同时就进行检查,可以看做是实时IDS产品了。
该类产品有Tripwire和Intact。
●IDS分类4-Honeypots(蜜罐):
关于蜜罐,前面已经介绍过。
蜜罐的例子包括Mantrap和Sting。
●IDS分类5-Host-basedIDS(基于主机的IDS):
这类IDS对多种来源的系统和事件日志进行监控,发现可疑活动。
基于主机的IDS也叫做主机IDS,最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。
除了完成类似事件日志阅读器的功能,主机IDS还对“事件/日志/时间”进行签名分析。
许多产品中还包含了启发式功能。
因为主机IDS几乎是实时工作的,系统的错误就可以很快地检测出来,技术人员和安全人士都非常喜欢它。
现在,基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。
该类产品包括KaneSecureEnterprise和DragonSquire。
●IDS分类6-HybridIDS(混合IDS):
现代交换网络的结构给入侵检测操作带来了一些问题。
首先,默认状态下的交换网络不允许网卡以混杂模式工作,这使传统网络IDS的安装非常困难。
其次,很高的网络速度意味着很多信息包都会被NIDS所丢弃。
HybridIDS(混合IDS)正是解决这些问题的一个方案,它将IDS提升了一个层次,组合了网络节点IDS和HostIDS(主机IDS)。
虽然这种解决方案覆盖面极大,但同时要考虑到由此引起的巨大数据量和费用。
许多网络只为非常关键的服务器保留混合IDS。
有些产商把完成一种以上任务的IDS都叫做HybridIDS,实际上这只是为了广告的效应。
混合IDS产品有CentraxICE和RealSecureServerSensor。
●IDS分类7-NetworkIDS(NIDS,网络IDS):
NIDS对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。
NIDS原本就是带有IDS过滤器的混合信息包嗅探器,但是近来它们变得更加智能化,可以破译协议并维护状态。
NIDS存在基于应用程序的产品,只需要安装到主机上就可应用。
NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。
网络IDS的产品有SecureNetPro和Snort。
●IDS分类8-NetworkNodeIDS(NNIDS,网络节点IDS):
有些网络IDS在高速下是不可靠的,装载之后它们会丢弃很高比例的网络信息包,而且交换网络经常会防碍网络IDS看到混合传送的信息包。
NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。
虽然NNIDS与个人防火墙功能相似,但它们之间还有区别。
对于被归类为NNIDS的个人防火墙,应该对企图的连接做分析。
例如,不像在许多个人防火墙上发现的“试图连接到端口xxx”,一个NNIDS会对任何的探测都做特征分析。
另外,NNIDS还会将主机接收到的事件发送到一个中心控制台。
NNIDS产品有BlackICEAgent和TinyCMDS。
●IDS分类9-PersonalFirewall(个人防火墙):
个人防火墙安装在单独的系统中,防止不受欢迎的连接,无论是进来的还是出去的,从而保护主机系统。
注意不要将它与NNIDS混淆。
个人防火墙有ZoneAlarm和Sybergen。
●IDS分类10-Target-BasedIDS(基于目标的IDS):
这是不明确的IDS术语中的一个,对不同的人有不同的意义。
可能的一个定义是文件完整性检查器,而另一个定义则是网络IDS,后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。
后面这个定义的目的是为了提高IDS的速度,因为它不搜寻那些不必要的攻击。
IDS性能指标
对于IDS,用户会关注每秒能处理的网络数据流量、每秒能监控的网络连接数等指标。
但除了上述指标外,其实一些不为一般用户了解的指标也很重要,甚至更重要,例如每秒抓包数、每秒能够处理的事件数等。
1.每秒数据流量(Mbps或Gbps)
每秒数据流量是指网络上每秒通过某节点的数据量。
这个指标是反应网络入侵检测系统性能的重要指标,一般涌Mbps来衡量。
例如10Mbps,100Mbps和1Gbps。
网络入侵检测系统的基本工作原理是嗅探(Sniffer),它通过将网卡设置为混杂模式,使得网卡可以接收网络接口上的所有数据。
如果每秒数据流量超过网络传感器的处理能力,NIDS就可能会丢包,从而不能正常检测攻击。
但是NIDS是否会丢包,不主要取决于每秒数据流量,而是主要取决于每秒抓包数。
2.每秒抓包数(pps)
每秒抓包数是反映网络入侵检测系统性能的最重要的指标。
因为系统不停地从网络上抓包,对数据包作分析和处理,查找其中的入侵和误用模式。
所以,每秒所能处理的数据包的多少,反映了系统的性能。
业界不熟悉入侵检测系统的往往把每秒网络流量作为判断网络入侵检测系统的决定性指标,这种想法是错误的。
每秒网络流量等于每秒抓包数乘以网络数据包的平均大小。
由于网络数据包的平均大小差异很大时,在相同抓包率的情况下,每秒网络流量的差异也会很大。
例如,网络数据包的平均大小为1024字节左右,系统的性能能够支持10,000pps的每秒抓包数,那么系统每秒能够处理的数据流量可达到78Mbps,当数据流量超过78Mbps时,会因为系统处理不过来而出现丢包现象;如果网络数据包的平均大小为512字节左右,在10,000pps的每秒抓包数的性能情况下,系统每秒能够处理的数据流量可达到40Mbps,当数据流量超过40Mbps时,就会因为系统处理不过来而出现丢包现象。
在相同的流量情况下,数据包越小,处理的难度越大。
小包处理能力,也是反映防火墙性能的主要指标。
3.每秒能监控的网络连接数
网络入侵检测系统不仅要对单个的数据包作检测,还要将相同网络连接的数据包组合起来作分析。
网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。
这种分析延伸出很多网络入侵检测系统的功能,例如:
检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。
4.每秒能够处理的事件数
网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。
每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。
有的厂商将反映这两种处理能力的指标分开,称为事件处理引擎的性能参数和报警事件记录的性能参数。
大多数网络入侵检测系统报警事件记录的性能参数小于事件处理引擎的性能参数,主要是Client/Server结构的网络入侵检测系统,因为引入了网络通信的性能瓶颈。
这种情况将导致事件的丢失,或者控制台响应不过来了。
IDS在结构上可划分为数据收集和数据分析两部分。
一、数据收集机制
数据收集机制在IDS中占据着举足轻重的位置。
如果收集的数据时延较大,检测就会失去作用;如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。
1.分布式与集中式数据收集机制
分布式数据收集:
检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。
集中式数据收集:
检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。
集中式和分布式数据收集方式的区别通常是衡量IDS数据收集能力的标志,它们几乎以相同的比例应用于当前的IDS产品中。
据专家预言,分布式数据收集机制在若干年后将会占有优势。
2.直接监控和间接监控
如果IDS从它所监控的对象处直接获得数据,则称为直接监控;反之,如果IDS依赖一个单独的进程或工具获得数据,则称为间接监控。
就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。
3.基于主机的数据收集和基于网络的数据收集
基于主机的数据收集是从所监控的主机上获取的数据;基于网络的数据收集是通过被监视网络中的数据流获得数据。
总体而言,基于主机的数据收集要优于基于网络的数据收集。
4.外部探测器和内部探测器
外部探测器是负责监测主机中某个组件(硬件或软件)的软件。
它将向IDS提供所需的数据,这些操作是通过独立于系统的其他代码来实施的。
内部探测器是负责监测主机中某个组件(硬件或软件)的软件。
它将向IDS提供所需的数据,这些操作是通过该组件的代码来实施的。
外部探测器和内部探测器在用于数据收集时各有利弊,可以综合使用。
由于内部探测器实现起来的难度较大,所以在现有的IDS产品中,只有很少的一部分采用它。
二、数据分析机制
根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。
分布式IDS:
在一些与受监视组件相应的位置对数据进行分析的IDS。
集中式IDS:
在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。
请注意这些定义是基于受监视组件的数量而不是主机的数量,所以如果在系统中的不同组件中进行数据分析,除了安装集中式IDS外,有可能在一个主机中安装分布式数据分析的IDS。
分布式和集中式IDS都可以使用基于主机、基于网络或两者兼备的数据收集方式。
由于分布式不易实现,目前的IDS产品多是集中式的。
三、缩短数据收集与数据分析的距离
在实际操作过程中,数据收集和数据分析通常被划分成两个步骤,在不同的时间甚至是不同的地点进行。
但这一分离存在着缺点,在实际使用过程中,数据收集与数据分析功能之间应尽量缩短距离。
IDS规则定义
IDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征数据库,这就如同公安部门必须拥有健全的罪犯信息库一样。
但是,IDS一般所带的特征数据库都比较死板,遇到“变脸”的入侵行为往往相逢不相识。
因此,管理员有必要学会如何创建满足实际需要的特征数据样板,做到万变应万变!
本文将对入侵特征的概念、种类以及如何创建特征进行介绍,希望能帮助读者尽快掌握对付“变脸”的方法。
一、特征(signature)的基本概念
IDS中的特征就是指用于判别通讯信息种类的样板数据,通常分为多种,以下是一些典型情况及识别方法:
来自保留IP地址的连接企图:
可通过检查IP报头(IPheader)的来源地址轻易地识别。
带有非法TCP标志联合物的数据包:
可通过对比TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。
含有特殊病毒信息的Email:
可通过对比每封Email的主题信息和病态Email的主题信息来识别,或者,通过搜索特定名字的附近来识别。
查询负载中的DNS缓冲区溢出企图:
可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。
还有另外一个识别方法是:
在负载中搜索“壳代码利用”(exploitshellcode)的序列代码组合。
通过对POP3服务器发出上千次同一命令而导致的DoS攻击:
通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。
未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:
通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。
从以上分类可以看出特征的涵盖范围很广,有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。
一叶即可知秋,本文将从最简单的特征入手,详细讨论其功能及开发、定制方法。
另外请注意:
不同的IDS产品具有的特征功能也有所差异。
例如:
有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据,另外一些则允许在很宽的范围内定制或编写特征数据,甚至可以是任意一个特征;一些IDS系统只能检查确定的报头或负载数值,另外一些则可以获取任何信息包的任何位置的数据。
二、特征有什么作用?
这似乎是一个答案很明显的问题:
特征是检测数据包中的可疑内容是否真正“不可就要”的样板,也就是“坏分子克隆”。
IDS系统本身就带有这个重要的部分,为什么还需要定制或编写特征呢?
是这样:
也许你经常看到一些熟悉的通讯信息流在网络上游荡,由于IDS系统的特征数据库过期或者这些通讯信息本身就不是攻击或探测数据,IDS系统并没有对它们进行关注,而这时你的好奇心升起,想在这些可疑数据再次经由时发出报警,想捕捉它们、仔细看看它们到底来自何方、有何贵干,因此,唯一的办法就是对现有特征数据库进行一些定制配置或者编写新的特征数据了。
特征的定制或编写程度可粗可细,完全取决于实际需求。
或者是只判断是否发生了异常行为而不确定具体是什么攻击名号,从而节省资源和时间;或者是判断出具体的攻击手段或漏洞利用方式,从而获取更多的信息。
我感觉,前者适用于领导同志,后者需要具体做事者使用,宏观加微观,敌人别想遛进来!
三、首席特征代表:
报头值(HeaderValues)
报头值的结构比较简单,而且可以很清楚地识别出异常报头信息,因此,特征数据的首席候选人就是它。
一个经典的例子是:
明显违背RFC793中规定的TCP标准、设置了SYN和FIN标记的TCP数据包。
这种数据包被许多入侵软件采用,向防火墙、路由器以及IDS系统发起攻击。
异常报头值的来源有以下几种:
因为大多数操作系统和应用软件都是在假定RFC被严格遵守的情况下编写的,没有添加针对异常数据的错误处理程序,所以许多包含报头值的漏洞利用都会故意违反RFC的标准定义,明目张胆地揭发被攻击对象的偷工减料行为。
许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据。
并非所有的操作系统和应用程序都能全面拥护RFC定义,至少会存在一个方面与RFC不协调。
随着时间推移,执行新功能的协议可能不被包含于现有RFC中。
由于以上几种情况,严格基于RFC的IDS特征数据就有可能产生漏报或误报效果。
对此,RFC也随着新出现的违反信息而不断进行着更新,我们也有必要定期地回顾或更新存在的特征数据定义。
非法报头值是特征数据的一个非常基础的部分,合法但可疑的报头值也同等重要。
例如,如果存在到端口31337或27374的可疑连接,就可报警说可能有特洛伊木马在活动;再附加上其他更详细地探测信息,就能够进一步地判断是真马还是假马。
四、确定特征“候选人”
为了更好地理解如何开发基于报头值的特殊数据,下面通过分析一个实例的整个过程进行详细阐述。
Synscan是一个流行的用于扫描和探测系统的工具,由于它的代码被用于创建蠕虫Ramen的开始片断而在2001年早期大出风头。
Synscan的执行行为很具典型性,它发出的信息包具有多种可分辨的特性,包括:
不同的来源IP地址信息
TCP来源端口21,目标端口21
服务类型0
IP鉴定号码39426(IPidentificationnumber)
设置SYN和FIN标志位
不同的序列号集合(sequencenumbersset)
不同的确认号码集合(acknowledgmentnumbersset)
TCP窗口尺寸1028
下面我们对以上这些数据进行筛选,看看哪个比较合适做特征数据。
我们要寻找的是非法、异常或可疑数据,大多数情况下,这都反映出攻击者利用的漏洞或者他们使用的特殊技术。
以下是特征数据的候选对象:
只具有SYN和FIN标志集的数据包,这是公认的恶意行为迹象。
没有设置ACK标志,但却具有不同确认号码数值的数据包,而正常情况应该是0。
来源端口和目标端口都被设置为21的数据包,经常与FTP服务器关联。
这种端口相同的情况一般被称为“反身”(reflexive),除了个别时候如进行一些特别NetBIOS通讯外,正常情况下不应该出现这种现象。
“反身”端口本身并不违反TCP标准,但大多数情况下它们并非预期数值。
例如在一个正常的FTP对话中,目标端口一般是21,而来源端口通常都高于1023。
TCP窗口尺寸为1028,IP鉴定号码在所有数据包中为39426。
根据IPRFC的定义,这2类数值应在数据包间有所不同,因此,如果持续不变,就表明可疑。
五、公布最佳特征“得主”
从以上4个候选对象中,我们可以单独选出一项作为基于报头的特征数据,也可以选出多项组合作为特征数据。
选择一项数据作为特征有很大的局限性。
例如一个简单的特征可以是只具有SYN和FIN标志的数据包,虽然这可以很好地提示我们可能有一个可疑的行为发生,但却不能给出为什么会发生的更多信息。
SYN和FIN通常联合在一起攻击防护墙和其他设备,只要有它们出现,就预示着扫描正在发生、信息正在收集、攻击将要开始。
但仅仅这些而已,我们需要的是更多的细节资料。
选择以上4项数据联合作为特征也不现实,因为这显得有些太殊了。
尽管能够精确地提供行为信息,但是比仅仅使用一个数据作为特征而言,会显得远远缺乏效率。
实际上,特征定义永远要在效率和精确度间取得折中。
大多数情况下,简单特征比复杂特征更倾向于误报(falsepositives),因为前者很普遍;复杂特征比简单特征更倾向于漏报(falsenegatives),因为前者太过全面,攻击软件的某个特征会随着时间的推进而变化。
多也不行,少亦不可,完全应由实际情况决定。
例如,我们想判断攻击可能采用的工具是什么,那么除了SYN和FIN标志以外,还需要什么其他属性?
“反身”端口虽然可疑,但是许多工具都使用到它,而且一些正常通讯也有此现象,因此不适宜选为特征。
TCP窗口尺寸1028尽管有一点可疑,但也会自然的发生。
IP鉴定号码39426也一样。
没有ACK标志的ACK数值很明显是非法的,因此非常适于选为特征数据。
当然,根据环境的不同,及时地调整或组合特征数据,才是达到最优效果的不二法门。
接下来我们真正创建一个特征,用于寻找并确定synscan发出的每个TCP信息包中的以下属性:
只设置了SYN和FIN标志
IP鉴定号码为39426
TCP窗口尺寸为1028
第一个项目太普遍,第二个和第三个项目联合出现在同一数据包的情况不很多,因此,将这三个项目组合起来就可以定义一个详
升级会员 