对于下一代防护系统(Cisco IPS)的五种识别攻击的算法
在本文中,“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动。签名所使用的算法可能是本文介绍的五种方法之一(例如:异常检测“签名”)。说明这一点很重要,因为“签名”一词经常与样式匹配相关。事实上,这个概念很可能引起误解,让读者以为基于签名的IDS仅限于样式匹配。上述定义的目的就是排除这种误解。
1、样式匹配
样式匹配的概念是查找单个分组中顺序固定的字节。顾名思义,这种方法不够灵活,但易于使用。在多数情况下,只有某项服务过程中发现可疑分组,或者更准确地说,只有可疑分组来往于某个端口,才会执行样式匹配。这种方式虽然能减轻对每个分组的检查工作量,但它使系统难以处理如通常可以随意移动的“特洛伊马”及其相关流量.
使用简单样式匹配方法的签名的结构如下:
如果分组是IPv4和TCP,目标端口是2222,且负载包含字串“foo”,则发出警报。
当然,这个例子非常简单,不过,它的变形也并不难。例如,用户可以在分组中包含特定的检查起点和终点,也可以为即将考虑的分组确定TCP标记。总之,这种技术是最简单、最基本的入侵检测模块。
2、状态样式匹配
更先进的一种方法是状态样式匹配分析。这种方法是签名方法的扩展,它扩展了样式匹配的概念,因为网络流通常包含多个基本分组,因而匹配应该在流状态内中执行。其含意是,执行这种签名分析的系统必须考虑TCP流中分组的到达顺序,而且必须处理分组边界以外的匹配样式。
那么,这种方法对在简单样式匹配段落中讨论的实例有什么影响呢?这种方法不查找每个分组中的样式,取而代之的是,系统必须开始保持正在监控的TCP流的状态信息。为了解其间的差别,可以考虑以下情况。假设正在查找的袭击来自与服务器连接的客户机,而且已经在IDS上部署了样式匹配方法。如果已经发动了袭击,即去往目标端口2222的所有TCP分组中都有“foo”字串,则警报响起。但是,如果袭击者在第一个分组中发送“fo”,在第二个分组中发送“o”,就不会响警报。如果部署状态样式匹配算法,检测器就会将字串的“fo”部分保存起来,因此,当客户机发送“.o”时,就可以完成匹配。
3、启发式分析
启发式签名使用某些算法逻辑作为警报决策的基础。这些算法通常是对正出现的流量类型的统计评估。这种签名的典型例子是,将用于检测端口清除的签名。这种签名寻找某机器上正在接触的某个端口的阈值。通过定义感兴趣的分组类型(例如SYN分组),还可以进一步限制自己。另外,还可以要求所有探针都必须来源相同。这种签名需要执行某些阈值操作,这样才能使之符合网络上正在监控的使用样式。这种签名可用于查找非常复杂的关系以及简单统计实例中说明的情况。
4、基于协议解码的分析
从许多方面看,基于协议解码的签名是状态样式匹配的智能扩展。实施这种签名时,对各种元素的解码方法与后面讨论的客户机或服务器解码相同。发现协议元素后,IDS将利用RFC制定的规则查找入侵。在某些情况下,这些入侵是通过某协议字段内的样式匹配发现的,随着字段长度或数量的增加,某些入侵变形需要更加先进的技术才能发现。需要注意的是,样式匹配和协议解码并非水火不相容。
为说明起见,可以再考虑一下基本检测的例子。假设袭击执行的基础协议是虚构的BGS协议,更确切地说,假设袭击要求,非法变量foo必须传递到BGS型字段中。为使情况进一步复杂,假设类型字段前面是称为BGS选项的长度可变的字段。合法选项表是fooh、mooh、tormer和buildo。在这种情况下,使用简单样式匹配或状态样式匹配算法将导致错误指示,因为选项fooh包含正在搜索的样式。另外,由于字段长度可变,因而无法通过定义搜索起止位置来限制这些错误指示。肯定foo正作为BGS型变量传递的唯一方法是对协议完全解码。
如果协议允许执行样式匹配算法难以处理的行为,协议解码不完全也会导致错误漏报。例如,如果BGS协议允许隔字节为空(数值设置在BGS报头中),则样式匹配将无法发现fx00ox00ox00。相反,协议解码型分析机制则能够跳过空字节,如果类型字节中包含foo,将能够如期发出警报。
5、异常分析
某些系统具有正常情况的硬性定义,在这种情况下,可以把它们看成是启发式系统。某些系统可以学习什么是正常情况,但问题是怎样消除将异常作为正常的可能性。不仅如此,如果将正在学习的流量样式假定为正常,则系统必须学会区分合理变形与非法流量。虽然几种商用产品声称自己使用了异常检测方法,但一般学术机构才从事这方面的工作。这种检测的一个子类是基于概况的检测方法。这些系统根据用户或系统在网络上交互时的方式的变化发送警报。但是,这种方法也存在相同的限制和问题,因为中心类别可能会推断行为变化的倾向。感兴趣的事实可以从趋势数据中学到,而且可以根据这些算法检测后来袭击。但是,这些系统提供的信息一般针对性不强,而且需要很多调查才能发挥作用。 在某些情况下,各种方法之间的界限是模糊的,因为多数协议解码分析机制会警告用户,协议违反情况并不直接与已知袭击相关,而属于"异常"(例如基于长度的缓冲器溢出检测)。因此,这种方法就具有异常检测的性质。
这些系统称为IDS的灵丹妙药,但是,虽然许多学术研究机构都对这些技术进行了长时间的研究,但成果有限,在生产中效果不佳。正如一句谚语所说的那样:“如果听起来完美得无法实现,事实就很可能如此。”
原文地址:
D-link交换机 cisco交换机 H3C交换机 H3C路由器
转载请注明出处,非常感谢!
