信息对抗技术-ids

信息对抗技术韩宏入侵检测入侵检测系统定义入侵检测系统是通过诸如，数据审计，网络报文分析等手段，检测各种入侵行为，保证网络安全。英文是intrusiondetectionsystem（IDS）。IDS的存在理由网络防护中仅使用防火墙、访问控制、加解密技术并不能彻底解决安全问题。因为首先入侵者可寻找防火墙和访问控制背后敞开的后门；其次防火墙完全不能阻止内部袭击；第三，由于性能限制，防火墙通常不能提供实时入侵检测能力，而访问控制对取得根权限的入侵者束手无策。另外，加解密／认证技术不能完全杜绝IP欺骗、重放攻击(replayattack)等入侵。特别对于危害十分严重的缓冲区溢出（bufferoverflow）攻击，以上传统技术均无有效防护措施。IDS的历史在80年代就开展了早期基础理论研究工作。随着计算机系统软、硬件飞速发展，以及网络技术、分布式计算、系统工程、人工智能等计算机新兴技术与理论的不断完善，入侵检测理论也在发展变化中，至今仍未形成比较成熟的理论体系IDS的分类根据检测原理可分为异常入侵检测，误用入侵检测。根据数据来源和系统结构可分为基于主机的入侵检测和基于网络的入侵检测和分布式入侵检测。误用入侵检测或称为基于特征的入侵检测系统（Signature-basedIDS）必须从一个或多个网络数据包或审计数据中提取出特定模式。如果这些模式与已知入侵模式匹配，系统就能检测出攻击，因此它只能鉴别已知模式，不能检测新型攻击。同时，对特征错误理解将产生误报。获取特征有多种方法，包括手工提取特征和用传感器自动学习等。Snort是误用入侵检测的代表网站：该软件是开源软件。其基本原理是将网卡设定为混杂模式，然后监听网络上的报文，并将报文和用户自定义的规则进行比较，如果满足规则，则会根据用户要求将该次匹配命中的事件纪录到日志。一个简单的规则如下：alerttcpanyany-any7026(msg:“glacier”).这条规则的意思是：凡是从任何机器的任何端口到任何机器的7026端口的tcp访问，就纪录下来，而纪录的名字为glacier.因为后门冰河的缺省端口实7026所以满足该规则的就可能是冰河纪录下来的日志具有如下格式：[**][1:0:0]glacier[**][Priority:0]02/14-09:32:25.367646202.115.14.111123-202.115.14.1477026TCPTTL:255TOS:0x0ID:46482IpLen:20DgmLen:60Snort的规则中还有一个重要的选项，就是content，它指出如果报文中包含指定的字符串就告警。alerttcpanyany-anyany(content:“hell”).比如上面的规则就表明，如果报文中包含hell字符串就告警。很明显，snort的准确率依赖规则的准确性，更为重要的是，其判断依据往往会造成虚假告警或遗漏。Snort也对其加以改进。比如，它增加了一中规则叫动态规则，就是，当一个规则满足后，检测另外一条规则。这里有一定专家系统的影子。Snort在网络抓包方面，使用了一种libpcap库，这是unix上的一个抓包库，再linux和windows上都有相关的版本，windows上叫winpcap。可以在winpcap网站上下载到相关软件。异常入侵检测基于异常的入侵检测系统(Anomaly-basedIDS)，其思路如下：正常系统有一“正常基准”，如CPU利用率、磁盘活动、用户注册、文件活动等等。一旦偏离这一“正常基准”，检测系统将触发。基于异常检测的主要优点是能识别新型攻击。但正常操作产生变化时会导致误报，而入侵行为表现为正常又将导致漏报，且系统很难确定攻击类型。检测用户行为模式是一种异常入侵检测。H.S.JavitzandA.Valdes.TheSRIIDESstatisticalanomalydetector.InProceedingsofthe1991IEEESymposiumonSecurityandPrivacy,pages316¨C326,Oakland,California,May20¨C22,1991.IEEEComputerSocietyPress.基于系统调用序列的免疫系统该系统认为，对任何系统而言，存在一个基因库，该库中的基因是如下定义的：即一组系统调用序列，比如长度为4~5个系统调用。例如：socket—bind—listen—accept.就是一个基因。通过在正常无攻击环境下运行一个网络服务程序，可以得到其基因库。然后在检测时，比较这些库，如果基因出现偏差，就意味着异常或攻击发生。参见相关文章StephanieForrest,StevenHofmeyer,AsenseofselfforUNXIprocesses.InProceedingsofthe1996IEEESymposiumonSecurityandPrivacy.1996.StevenA.Hofmeyr,StephanieForrest,IntrusionDetectionusingSequencesofSystemCalls,JournalofComputerSecurity1998.按IDS结构分类基于主机的入侵检测系统基于主机的入侵检测系统历史最久，多用户计算机系统出现不久已有雏形。最早用于审计用户的活动，比如用户的登陆、命令操作、应用程序使用资源情况等方面。此类系统一般使用操作系统的审计日志作为输入，某些也会主动与主机系统交互获得其它信息。收集的信息集中在系统调用和应用层审计上，试图从日志记录中判断出滥用和入侵事件的线索。典型的有NIDES和NetStat基于网络的入侵检测系统由于来自网络的攻击事件逐渐成为信息系统的最大威胁，因而基于网络的入侵检测系统具有重要价值。基于网络的入侵检测系统监听网络原始流量，通过线路监听手段对捕获的网络报文进行处理，从中获取有用的信息。基于网络的入侵检测系统通过流量分析提取特征模式，与已知攻击特征匹配或与正常网络行为原型比较识别出攻击事件，如Snort、Bro。与基于主机的入侵检测不同，基于网络的IDS更适用于检测系统应用层以下的底层攻击事件混合分布式入侵检测系统合分布式入侵检测系统能从不同的主机、网络组件、或通过网络监听方式收集数据，系统可利用网络数据也可收集分析来自主机系统的高层事件发现可疑行为。掌握libpcap掌握libpcap可以为我们自主开发基于网络的入侵检测提供方便。设计一个可复用的报文分析引擎PortScanKicker检测网络扫描。