入侵檢測與病毒防范入侵檢測系統提綱入侵檢測概述計算機和網絡系統的防御措施不是絕對平安的，IDS作為平安防護的第二道防線入侵檢測系統〔IDS〕用來檢測對計算機、網絡或者更廣泛的信息系統的攻擊，包括外部非法入侵者的惡意攻擊或試探、內部合法用戶的未授權訪問。對入侵檢測系統的需求：實時地檢測如入侵行為有效地阻止入侵或者與其它的控制機制聯動入侵檢測概述數據的來源主機的審計日志，基于主機的〔Host-Based〕IDS網絡流量數據，基于網絡的〔Network-Based〕IDS分析方法特征匹配，Rule-based,Misuse異常檢測,Abnomal提綱入侵檢測系統結構入侵檢測系統的一般結構數據采集〔Sensor〕分析器知識庫響應/控制告警控制基于主機的入侵檢測信息來源系統狀態信息〔CPU,Memory,Network〕記賬〔Accounting〕信息審計信息〔Audit〕，登錄認證、操作審計，如syslog等應用系統提供的審計記錄基于主機的入侵檢測基于主機的入侵檢測的缺點需要在主機上運行，占用系統資源多數是事后的分析，實時性差異構的平臺支持困難基于主機的分布式入侵檢測分布式入侵檢測系統Agent基于網絡的入侵檢測信息來源于網絡上的數據包被動監聽方式工作，不影響網絡性能分析網絡協議數據，與系統平臺無關。HUBIDSSensorMonitoredServers基于網絡的入侵檢測FrameHeaderIPDatagramHeaderICMP/UDP/TCPHeaderFrameDataAreaIPDataProtocolDataInterfaceLayerInternetLayerTransportLayer協議分析基于網絡的入侵檢測EthernetIPTCP模式匹配EthernetIPTCP協議分析HTTPUnicodeXML直接的模式匹配00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:://www902e616d657269746563682e636f6d2f70.ameritech/pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:amer14069746563682e636f6d0d0a436f6e6e65itech..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....經過協議解碼之后的協議分析00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:://www902e616d657269746563682e636f6d2f70.ameritech/pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:amer14069746563682e636f6d0d0a436f6e6e65itech..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....混合型的分布式入侵檢測系統主機主機流量

分析器流量

分析器主機代理管理器AgentAgent主機代理網絡代理管理器混合型的分布式入侵檢測系統分布式入侵檢測系統需要考慮的主要問題不同的入侵檢測Agent之間的協調；不同審計記錄格式：主機，網絡；網絡上傳輸的數據量可能會影響網絡性能；數據傳輸的保密性與完整性，比方SNMPTrapv2；層次結構提綱入侵檢測方法入侵檢測方法異常〔Anomaly〕檢測非規那么檢測建立在如下假設的根底上：入侵行為與合法用戶或者系統的正常或者期望的行為有偏差。正常的行為模式可以從大量歷史活動資料的分析統計中得到。任何不符合以往活動規律的行為都被視為是入侵行為。能夠檢測出未知的攻擊誤報率很高提綱入侵檢測系統舉例SnortIDES(IntrusionDetctionExpertSystem)NFR(NetworkFlightRecorderInc.)IDASnort入侵檢測系統Snort系統概述MartinRoesch,開放源代碼支持多種平臺：Linux,Solaris,Windows不僅是一個功能強大的入侵檢測系統，還可以作為網絡信息包的分析器、記錄器基于網絡的入侵檢測系統，利用Libpcap捕獲數據包基于規那么的檢測方法，可以檢測出緩存溢出、端口掃描、等多種攻擊，目前有1800多條規那么Snort入侵檢測系統Snort系統概述支持多種告警方式：記錄到文件、Syslog、Snmptrap、SMB消息直接記錄到數據庫：mySQL://Snort系統結構數據包

分析器檢測引擎日志/告警LibpcapRules數據包解碼器〔PacketDecoder〕EthernetIPheaderTCPtelnetnetworkpacket檢測引擎Snort規那么形式

規那么頭 規那么選項alerttcpanyany->/24111(content:〞|000186a5|〞;msg:〞mountedaccess〞)檢測引擎規那么頭規那么動作Alert/Log/Pass協議目前支持TCP/UDP/ICMP以后支持ARP,RIP,OSPF等IP地址Any匹配任何地址支持CIDR〔classlessInter-DomainRecord〕比方：端口號Port檢測引擎規那么頭方向單向：—>雙向：<>##記錄所有非本網的telnet包Logudpanyany->/241:1024

檢測引擎規那么選項選項之間用;分隔msg在告警信息中顯示的消息ttl:IP的TTL選項id：IP分片的dsize：數據包的大小content：數據包中的內容offset：從何處開始檢索contentdepth：在content中檢索的深度檢測引擎規那么選項nocaseflagsseqackitypeicodeipoptionresp檢測引擎Snort規那么的二維鏈表規那么鏈表頭源地址目標地址源端口

目標端口規那么鏈表頭源地址目標地址源端口

目標端口規那么鏈表選項PayloadContentTCPFlagICMPTypeLength規那么鏈表選項PayloadContentTCPFlagICMPTypeLength檢測引擎各種監測功能通過各種插件〔Plug-in〕模塊來完成。用戶可以編寫自己的模塊來擴展新的功能日志/告警子系統3種日志模式關閉文本方式二進制方式，與tcpdump格式相同4種告警方式SyslogwinPopupSnmptrapMysql數據庫IDES(IntrusionDetectionExpertSystem)目標系統根據用戶的活動產生審計數據，用IDES定義的一種專用的格式。收到審計數據以后，IDES調用統計分析和規那么分析兩個部件來檢測是否存在異常。一旦檢測出異常就通過用戶界面向管理員告警。特點：同時使用了統計的方法和基于規那么的方法使用了統計的記錄格式，獨立于被監控的系統平臺TargetSystemStatisticalIntrusion

DetectionRule-BasedIntrusion

DetectionAuditRecordsUserInterfaceIDES的統計入侵檢測被監控對象主體〔Subject〕：用戶、主機、組(Group)、整個系統描述主體行為的尺度〔Metrics〕Metric是描述用戶行為的一個變量〔參數〕，比方每次登