欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

IDS入侵特征庫(kù)創(chuàng)建實(shí)例解析

 更新時(shí)間:2007年01月16日 00:00:00   作者:  
IDS要有效地捕捉入侵行為,必須擁有一個(gè)強(qiáng)大的入侵特征數(shù)據(jù)庫(kù),這就如同公安部門(mén)必須擁有健全的罪犯信息庫(kù)一樣。但是,IDS一般所帶的特征數(shù)據(jù)庫(kù)都比較死板,遇到“變臉”的入侵行為往往相逢不相識(shí)。因此,管理員有必要學(xué)會(huì)如何創(chuàng)建滿足實(shí)際需要的特征數(shù)據(jù)樣板,做到萬(wàn)變應(yīng)萬(wàn)變!本文將對(duì)入侵特征的概念、種類(lèi)以及如何創(chuàng)建特征進(jìn)行介紹,希望能幫助讀者盡快掌握對(duì)付“變臉”的方法。  

  一、特征(signature)的基本概念  

  IDS中的特征就是指用于判別通訊信息種類(lèi)的樣板數(shù)據(jù),通常分為多種,以下是一些典型情況及識(shí)別方法:  

  來(lái)自保留IP地址的連接企圖:可通過(guò)檢查IP報(bào)頭(IP header)的來(lái)源地址輕易地識(shí)別。  

  帶有非法TCP 標(biāo)志聯(lián)合物的數(shù)據(jù)包:可通過(guò)對(duì)比TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記聯(lián)合物的不同點(diǎn)來(lái)識(shí)別。  

  含有特殊病毒信息的Email:可通過(guò)對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別,或者,通過(guò)搜索特定名字的附近來(lái)識(shí)別。  

  查詢(xún)負(fù)載中的DNS緩沖區(qū)溢出企圖:可通過(guò)解析DNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別利用DNS域的緩沖區(qū)溢出企圖。還有另外一個(gè)識(shí)別方法是:在負(fù)載中搜索“殼代碼利用”(exploit shellcode)的序列代碼組合。  

  通過(guò)對(duì)POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過(guò)跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù),看看是否超過(guò)了預(yù)設(shè)上限,而發(fā)出報(bào)警信息?! ?nbsp; 

  未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問(wèn)攻擊:通過(guò)創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話、發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖。  

  從以上分類(lèi)可以看出特征的涵蓋范圍很廣,有簡(jiǎn)單的報(bào)頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴(kuò)展的協(xié)議分析。一葉即可知秋,本文將從最簡(jiǎn)單的特征入手,詳細(xì)討論其功能及開(kāi)發(fā)、定制方法。  

  另外請(qǐng)注意:不同的IDS產(chǎn)品具有的特征功能也有所差異。例如:有些網(wǎng)絡(luò)IDS系統(tǒng)只允許很少地定制存在的特征數(shù)據(jù)或者編寫(xiě)需要的特征數(shù)據(jù),另外一些則允許在很寬的范圍內(nèi)定制或編寫(xiě)特征數(shù)據(jù),甚至可以是任意一個(gè)特征;一些IDS系統(tǒng)只能檢查確定的報(bào)頭或負(fù)載數(shù)值,另外一些則可以獲取任何信息包的任何位置的數(shù)據(jù)。  

  二、特征有什么作用?  

  這似乎是一個(gè)答案很明顯的問(wèn)題:特征是檢測(cè)數(shù)據(jù)包中的可疑內(nèi)容是否真正“不可就要”的樣板,也就是“壞分子克隆”。IDS系統(tǒng)本身就帶有這個(gè)重要的部分,為什么還需要定制或編寫(xiě)特征呢?是這樣:也許你經(jīng)常看到一些熟悉的通訊信息流在網(wǎng)絡(luò)上游蕩,由于IDS系統(tǒng)的特征數(shù)據(jù)庫(kù)過(guò)期或者這些通訊信息本身就不是攻擊或探測(cè)數(shù)據(jù),IDS系統(tǒng)并沒(méi)有對(duì)它們進(jìn)行關(guān)注,而這時(shí)你的好奇心升起,想在這些可疑數(shù)據(jù)再次經(jīng)由時(shí)發(fā)出報(bào)警,想捕捉它們、仔細(xì)看看它們到底來(lái)自何方、有何貴干,因此,唯一的辦法就是對(duì)現(xiàn)有特征數(shù)據(jù)庫(kù)進(jìn)行一些定制配置或者編寫(xiě)新的特征數(shù)據(jù)了。  

  特征的定制或編寫(xiě)程度可粗可細(xì),完全取決于實(shí)際需求?;蛘呤侵慌袛嗍欠癜l(fā)生了異常行為而不確定具體是什么攻擊名號(hào),從而節(jié)省資源和時(shí)間;或者是判斷出具體的攻擊手段或漏洞利用方式,從而獲取更多的信息。我感覺(jué),前者適用于領(lǐng)導(dǎo)同志,后者需要具體做事者使用,宏觀加微觀,敵人別想遛進(jìn)來(lái)!  

  三、首席特征代表:報(bào)頭值(Header Values)       

  報(bào)頭值的結(jié)構(gòu)比較簡(jiǎn)單,而且可以很清楚地識(shí)別出異常報(bào)頭信息,因此,特征數(shù)據(jù)的首席候選人就是它。一個(gè)經(jīng)典的例子是:明顯違背RFC793中規(guī)定的TCP標(biāo)準(zhǔn)、設(shè)置了SYN和FIN標(biāo)記的TCP數(shù)據(jù)包。這種數(shù)據(jù)包被許多入侵軟件采用,向防火墻、路由器以及IDS系統(tǒng)發(fā)起攻擊。異常報(bào)頭值的來(lái)源有以下幾種:  

  因?yàn)榇蠖鄶?shù)操作系統(tǒng)和應(yīng)用軟件都是在假定RFC被嚴(yán)格遵守的情況下編寫(xiě)的,沒(méi)有添加針對(duì)異常數(shù)據(jù)的錯(cuò)誤處理程序,所以許多包含報(bào)頭值的漏洞利用都會(huì)故意違反RFC的標(biāo)準(zhǔn)定義,明目張膽地揭發(fā)被攻擊對(duì)象的偷工減料行為。  

  許多包含錯(cuò)誤代碼的不完善軟件也會(huì)產(chǎn)生違反RFC定義的報(bào)頭值數(shù)據(jù)。  

  并非所有的操作系統(tǒng)和應(yīng)用程序都能全面擁護(hù)RFC定義,至少會(huì)存在一個(gè)方面與RFC不協(xié)調(diào)。  

  隨著時(shí)間推移,執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中。  

  由于以上幾種情況,嚴(yán)格基于RFC的IDS特征數(shù)據(jù)就有可能產(chǎn)生漏報(bào)或誤報(bào)效果。對(duì)此,RFC也隨著新出現(xiàn)的違反信息而不斷進(jìn)行著更新,我們也有必要定期地回顧或更新存在的特征數(shù)據(jù)定義。  

  非法報(bào)頭值是特征數(shù)據(jù)的一個(gè)非?;A(chǔ)的部分,合法但可疑的報(bào)頭值也同等重要。例如,如果存在到端口31337或27374的可疑連接,就可報(bào)警說(shuō)可能有特洛伊木馬在活動(dòng);再附加上其他更詳細(xì)地探測(cè)信息,就能夠進(jìn)一步地判斷是真馬還是假馬。 

相關(guān)文章

最新評(píng)論