当前位置: 主页>网络技术>

入侵检测(ID)FAQ(初级)

时间:2015-03-26 14:28来源:www.58un.net 作者:网吧联盟
  

什么是ID?

  ID代表入侵检测,是一门检测不恰当的、错误的或者反常行为的艺术。入侵检测系统包括安装在主机上的用来检测恶意行为的“基于主机的入侵检测系统”和用来检测网络数据流量的“基于网络的入侵检测系统”。

  有的时候,我们需要区分“滥用”和“入侵检测”。术语“入侵”被用来描述来自外部的攻击,而“滥用”别用来描述来自内网的攻击。然而大部分人没有注意到这一区别。入侵检测最常用的手段是统计性的异常检测和规则匹配检测。

Dirk Lehmann    Siemens CERT

我如何向FAQ提交一个问题?

  下文是SANS入侵检测与响应FAQ的作者指南。 这个FAQ的建立者包括:

Fred Kerby - Naval Surface Warfare Center Dahlgren Division
Steven Moore - Mitre
Tim Aldrich - NEXTLINK
Editor: Stephen Northcutt
Copyeditor: Sandy J. Burd - Internet Security Advisor

  我希望共享大家的观点,我也希望我们能够建立一个有用的文档来帮人们更多的了解入侵检测。当一个用户点击问题列表里的一个条目的时候,就会有一个精确的、表述明确的、及时更新的、白皮书形式的文档来作为解答。为了达到这个目标,我们鼓励大家采纳问题,并且作出高质量的解答,并保持解答的时刻更新。

  如果你想参加,你要先选定一个问题,然后,对此作出完善的解答,其中也包括参考、图表和恰当的例子。一般的,你的解答应该有3到5段的介绍、文章主题和结尾。每封邮件请只寄一个问题!发送的网址是:info@sans.org,邮件请以"intrusion"(入侵)作为主题。SANS会将解答转发给我。文件格式以ASCII文本格式或者微软的Word文档格式为准。如果你想让别人知道你的工作,请在文件的尾部留下你的名字和组织名称。

  注意,如果你选择了一个以前存在的问题,我将试图将两份解答合并,但是如何做有我自己决定。如果你的解答不能保持更新,或者你的解答与FAQ的整体质量不符,我可能会换成别的作者的解答。我会尽量避免这么做,你也可以帮助我随时更新你的解答。

  我们会审查你的解答的准确性。如果我们无法对你的材料进行确定,我们会把它交给FAQ的评审部,评审部的成员是由FAQ的发起者和我认为合适的人组成。他们会阅读解答并作出决定。再一次感谢您的自愿参与。我迫不及待的期望您的解答。

Stephen Northcutt
SANS Institute
Director of Research for Intrusion Detection and Response

关于入侵检测与响应和安全方面有什么书籍?

Intrusion Detection 《入侵检测》- Amoroso, Edward
Intrusion Net Books 《入侵网络从书》1999
Intrusion Detection: Network Security Beyond the Firewall 《入侵检测:防火墙以外的网络安全》- Escamilla, Terry John Wiley & Sons, Inc. 1998
Practical UNIX & Internet Security 《实用Unix与互联网安全》- Garfinkel, Simson and Spafford, Gene O'Reilly & Associates, Inc., 2nd Edition, 1996
Hacker Proof: The Ultimate Guide to Network Security 《拒绝黑客:网络安全完全手册》- Klander, Lars Jamsa Press 1997
Network Intrusion Detection《网络入侵检测》 - Northcutt, Stephen New Riders, 1999
Sys Admin-Essential References Series. UNIX Security R&D Books 《系统管理-核心参考系列: Unix安全研发丛书》1997

Conde Vampiro编辑
J.J.F. / Hackers Team

  译者注:以上的书都比较老,但是都是经典类的图书,原理讲得不错。另外,由于翻译的问题,所列的书目的中文译本可能名字有所差别,请以英文名称为准。

我可以用以太网数据包的MAC地址来追查攻击者么?

  如果攻击来自于和你直接相连的系统,中间没有网关的话,你可以用MAC地址来追查。但是,如果中间有网关,那么网关会将发送者的MAC地址替换为自己的MAC地址。结果就是你只能依据MAC追查到网关。如果网关有日志记录功能,你可以搜索系统日志来获得更多信息。

Dirk Lehmann
Siemens CERT

我一直在监视我的网络活动日志,发现有大量的连接请求,这些请求没有任何恶意的行为。那么,我是不是应该对此关注?

  你应该对此有所担心,你可以这么想:

  假设有一辆身份不明的汽车在你家的附近穿梭,并且记下了每一个房子的地址。汽车里的人对每一个房子都作了详细的记录。你开始注意到同样的人群,在不同的时间会回来确认你房子周围的情况。这会不会让你觉得烦扰? 我显然会。

  对攻击者的采访揭示出两大趋势:他们愿意用大量的时间和经历来对目标进行探测,并且能轻易得到很多的信息。防御者也应该了解许多现代网络复杂的扫描工具,比如NMAP。使用Nmap,攻击者有可能发现操作系统的类型,预测TCP的序列号,以及运行的服务。这么多的信息被泄露出去,攻击者就会选择相应的代码来对目标进行攻击。

  以上所讲的,确实是那些人对你的网络的所作所为。他们试图发现你的网络上有哪些主机,哪些是开机的,那些是关机的,那些主机会对特定的连接请求作出回答。而针对你的网络所作的这些收集信息的行为,其目的就是要用某种方式来窃取信息。

  个人来讲,我不希望被攻击并窃取信息,你呢?

在入侵检测中,类似于Tripwire的文件完整性检测工具起了什么样的作用?

  如果不对系统文件做任何修改,很难真正的损害一个系统,因此文件完整性检测是入侵检测一个重要能力。文件完整性检测,会对每一个需要保护的文件进行校验计算,然后将校验值保存起来。随后,你可以再次对文件的校验值进行计算,并且与原来保存的值进行比较,来确定文件是否有改动。文件完整性校验是每一个商业性的基于主机的入侵检测系统所应该具有的一个功能。

  用的最多的校验值计算方法是32位的CRC(循环冗余码校验)。但是攻击者确有方法修改文件内容,而不改变文件的CRC校验值。因此更强的校验值算法,例如密码学中的哈希函数,更适合于此用途。典型的有MD5和snefru(一个埃及法老的名字)算法。

  使用文件完整性检验的一个问题是误报。当你更新了一个文件或者为系统打了安全补丁,文件的内容就变了。创建初始的特征数据库是很容易的,但是保持数据库的更新是很难的。虽然如此,即使你只运行检验一次(比如说刚装完系统的时候),也是非常有价值的。如果以后你怀疑你的系统被入侵并篡改,你可以再次运行交验程序,就可以发现哪些文件已经被修改,哪些文件还没有。

  使用文件完整性检测的另一个问题,是你得保证创建初始特征参考数据库时,系统必须是干净的(没被攻击过)。否则,你可能在为一个被入侵过的系统创建特征数据库,心里却认为你的系统安全性无懈可击。另外需要强调的是你必须把参考数据库离线保存,否则攻击者有可能在篡改系统以后通过修改参考数据库来掩盖他们的行为。

  完整性检测工具,包括tripwire(ftp://coast.cs.purdue.edu/pub/tools/unix或者 www.tripwiresecurity.com),L5,和SPI(SPI只允许美国政府用户使用,http://ciac.llnl.gov

关于入侵检测,有什么开放的标准存在么?

  目前为止入侵检测还没有成熟的开放标准。但是我们正在向这一方向努力。
  Internet工程任务组(IETF)是制定互联网标准的实体。他们有一个工作小组专门致力于开发一个通用的IDS报警格式。该小组已经完成了需求调查的阶段,具体的设计方案已经基本结束,但是具体的细节可能会稍有变化。初步的实现工作可能会因为标准的最终确定而进行少量修改。现在的设计是通过类似HTTP的连接格式来发送基于XML的IDS警告。为了满足IDS分析的需要,并且使该协议能够以自然的方式穿越防火墙,人们为此做了许多工作。
  我们欢迎更多的人员参与进来。IEFT工作组对任何想参与并且技术过硬的人都是开放的。这是因为个人总是能为了解决问题提出最佳的方法,而不是按照老板的日程来给出答案。
  工作组的宗旨可以参考http://www.ietf.org/html.charters/idwg-charter.html,邮件列表:http://www.semper.org/idwg-public/工作组的文档可以查看http://www.silicondefense.com/idwg
ISO的T4委员会也为此付出了不少努力,提出了入侵检测框架。该项目的进展情况目前仍是未知的,FAQ作者也无法对此获得已知数据。
通用入侵检测框架(CIDF)是美国国防高级研究项目局(DARPA)为IDS数据交换而作出的一个尝试。CIDF并不是想做成一个可以影响商业产品的标准,它只是一个研究项目。现在的CIDF开发似乎已经停止。CIDF使用类似于Lisp的格式来交换入侵相关事件的信息,并且为使用这些消息定义了大量的系统原型。你可以在http://www.gidos.org上获得更多的信息。
Stuart Staniford-Chen
President, Silicon Defense
stuart@silicondefense.com

如何在一个网络流量繁重的交换环境下实现入侵检测系统(基于网络)?  在交换环境下实现入侵检测系统的主要困难,是由集线器和交换机的不同所造成的。集线器没有连接的概念,因此每从一个端口收到数据包,都会向其他的端口进行复制。然而交换机是基于连接的,当一个数据包从交换机的一个临时连接端口进入,该数据包会被转发到目的端口。因此在集线器环境下,我们可以把我们的探测器放到任何位置,但是对于交换机,必须使用某些手段才能够使探测器监视需要的流量。
  目前的选择有TAPS(中文为水龙头的意思),集线器和跨越端口(spanning port,有些地方也称为Mirror Port镜像端口),跨越端口可以将交换机配置成对某个端口像集线器一样工作。例如在图一中,我们希望监视交换机和资源机(Resource Machine)之间的连接状况。为此我们可以让交换机把资源机端口的经过的数据传到IDS所在的端口上。我们可以传送资源机发出的数据包,或者收到的数据包,或者两者。某些现有的交换机无法保证将100%的监视流量传送到跨越端口上,因此即使入侵检测系统被设置成监视所有攻击,某些攻击行为也可能未被察觉。交换机有时也只允许传送一个端口的数据包,因此同时监视多个主机就非常困难,甚至不可能。



  使用集线器或者TAP是差不多的解决方案。集线器或者tap被放置在被监视连接的中间,通常是位于两个交换机之间,或者交换机和路由器之间,或者服务器和交换机之间,等等。在图二中,集线器被放置在资源主机和交换机之间。这样,资源主机和交换机之间的网络仍然正常运行,但是由于集线器的特性,网络数据被复制到IDS上。这个和跨越端口有些类似,但是跨越端口只能监视单个主机。集线器上连接多台机器会使网络出现问题从而抵消交换机带来的好处,另外,使用一个容错集线器会大大增加成本。Tap被用来设计成对主连接(也就是从资源主机到交换机的连接)容错,并且用硬件实现,确保不会出错。



  图三中,一个tap被用来监视一台资源主机。Tap是单方向的,只允许从交换机和资源主机之间到IDS的流量通过。这样就避免了IDS到交换机或者资源主机的流量,这个流量也不会再回到IDS。既然tap是单方向的,我们可以把网络流量从几个tap引导到hub上,最终由IDS来监视,这样就不会引起网络问题,参见图四





什么是蜜罐?如何使用蜜罐?

  蜜罐是一些程序,这些程序可以模拟在你计算机的指定端口上运行的一个或多个网络服务。攻击者会认为你在运行某些有漏洞的服务,可以通过这些来攻破系统。蜜罐可以用来记录下所有的连接那些端口的活动,甚至包括攻击者的击键记录。这会为你提供某些联合攻击的预警。
  有一个蜜罐程序叫做欺骗工具包(Deception Tool Kit),可以从http://www.all.net/dtk/index.html下载。你可以为每一个端口配置连接反应。
  蜜罐上运行众所周知的服务器,比如说网页,邮件或者域名服务器,是和合适的,因为这些系统是经常被攻击的对象。蜜罐也可以用来替换正在被攻击的系统。
Richard Caasi SAIC

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------