返回
入侵检测规则基础知识

入侵检测规则基础知识

ID:34674079

大小:34.00 KB

页数:4页

时间:2019-03-09

入侵检测规则基础知识_第1页
入侵检测规则基础知识_第2页
入侵检测规则基础知识_第3页
入侵检测规则基础知识_第4页
资源描述:

《入侵检测规则基础知识》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、入侵检测规则基础知识规则的基础知识 网络入侵检测系统规则是指我们在网络通讯中需要寻找的一种模式。为了让你对各种不同类型的规则有一个基本的概念,让我们来看一些可以用于鉴别的实例和方法。从某一固定IP发送的连接请求。这可以通过IP头文件中的原地址区域很容易地鉴别出来。带有非法TCP标记包的集合。这可以通过已知的合法与非法的标记集合与TCP头文件中的标记进行比较而得出结论。包含特殊病毒的电子邮件。IDS可以通过将邮件的标题或附件的名称与已知的病毒邮件相关的标题做比较得出结论。包含在队列有效载荷中的DNS缓冲区溢出尝试。可以通过分析DNS域和检查每个队列的长度,从而使IDS能够辨别出在DNS域中

2、是否存在缓冲区溢出的尝试。或者另外一种方式,就是在有效荷载队列中寻找是否存在溢出程序。通过提交上千次相同命令来实施对POP3服务器的拒绝服务攻击。对付这种攻击的办法就是设定命令提交的次数,一旦超过设定的次数系统将会发出警报。通过提交文件或目录试图跳过先前的登陆过程来对FTP服务器进行文件存取攻击。可以开发一种跟踪系统,用来监控成功登陆的FTP通讯,如果发现有人试图在经过系统认证前进入,则将发出警报。正如你从上面所看到的,规则的范围非常广泛,从最简单的检查头文件到高度复杂的,例如真正跟踪连接状态或进行广泛的协议分析等。在本文中,我们将着眼于一些简单的规则,并讨论它们在开发中的复杂性。请注意

3、,规则的能力在不同的IDS中会有所变化,所以本文中所描述的技术可能在你使用的防火墙中未必适用。例如,一些网络IDS产品提供给客户自己写规则或配置现有规则的能力很弱,而有一些产品几乎可以让你自定义所有现有的规则且将你能想到的所有规则定义进系统中。另外需要考虑的一个重要因素是一些IDS产品只能检查特定的头文件有效载荷属性,而有些产品可以给出任何包中任何部分的数据。规则为哪些功能服务入侵检测规则的目的究竟何在呢?答案是,不同的规则其目的也不相同。我们所需要的结果就是当入侵发生时,系统发出警报。但让我们再想想,为什么我们需要自己定制或者修改规则呢?可能你看见网络上存在一些单一的通讯,而你希望在下

4、次此类通讯出现时给出警报。你可能已经注意到,它具有特殊的头文件标志,你希望自己定义一个规则来匹配这种已知的标志;或许,你希望自己配置IDS来检测那些不正常或可疑的通讯,而非光是检测攻击和探测。一些规则可以告诉你哪种特定的攻击正在进行,或攻击者试图尝试针对哪种漏洞的攻击,而另一些规则只是指出有不正常的行为存在,而非指出是特定的哪种攻击。前者势必花费更多时间和资源,但却能给你更多的信息,例如为什么你会被攻击或者攻击者的目的是什么。头文件属性我们已经快速讲述了规则的类型,接着让我们着眼于一个简单的规则特性:头文件属性。一些头文件属性很明显不正常,所以我们要在规则中制定很多选项。这一规则的经典例

5、子是带有SYN和FIN标志的TCP包设置。在RFC793(用来定义TCP标准)中存在一个漏洞,使得很多工具都试图通过这一漏洞来尝试绕过防火墙,路由器和入侵检测系统。很多攻击程序包括头文件属性其目的在于违背RFCs,因为很多操作系统和应用程序是基于遵守RFCs假定上写成的,且对在此基础上的通讯中的错误不进行纠正。也有很多工具包含错误或不完整的代码,于是由这些工具制成的包其中包含了违背RFCs的头文件属性。那些写得很糟糕的工具和各种入侵技术提供了用于写规则的可辨别属性。这听上去不错,但请注意,并不是所有的操作系统和应用程序都是完全继承RFCs的。事实上,很多系统或程序都至少在一方面是违背RF

6、C的。所以,随着时间的流逝,协议可能被赋予不包含在RFC中的新属性,然后新的标准出现了,将以前不合法的标准变为现在合法的。RFC3168就是一个很好的例子。所以,IDS的规则完全依赖于RFC可能会导致很多积极的错误产生。当然,RFC仍然在规则开发中占很重要的地位,因为很多恶意的攻击都是针对RFCs而来的。由于RFC的升级和其他因素(这些我们将在以后讨论),所以需要阶段性地回顾和升级现有的规则。虽然非法的头文件属性是规则的基础组成部分,合法但可疑的头文件属性也很重要。例如,对于连接可疑端口如31337或27374(这些经常是与木马有关的端口),若对这些连接发出警告,可以快速识别木马的行动。

7、不幸的是,一些正常良性的通讯也可能使用相同的端口。如果没有使用更详细的规则来定义通讯中的其他特征,你将很难确定通讯的真正属性。可疑但合法的属性,如一些端口号,最好与其他属性综合考虑。识别可能的规则成分基于头文件属性来开发规则的最好办法就是通过实例。Synscan是一种应用广泛的扫描和探测系统工具。在2001年初的互连网上,它频繁活动,因为它的代码经常被用于制造Ramen蠕虫的第一阶段。这一活动提供了很好的实例,因为它的包中含有大量的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。