设为主页 | 加入收藏 | 繁體中文
当前位置:首页 > 新闻中心 > 行业资讯 > 计算机技巧 > 网吧技巧

IDS入侵特征库创建实例解析(一)

  IDS要有用地捕捉入侵行为,必需拥有一个强大的入侵特征数据库,这就如同公安部分必需拥有健全的罪犯信息库一样。但是,IDS一样平常所带的特征数据库都比较去世板,遇到“变脸”的入侵行为往往相逢不相识。因而,管理员有必要学会如何创建满足实际需要的特征数据样板,做到万变应万变!本文将对入侵特征的概念、种类以及如何创建特征进行先容,盼望能资助读者尽快掌握对付“变脸”的要领。
  一、特征(signature)的基本概念
  IDS中的特征便是指用于判别通讯信息种类的样板数据,通常分为多种,以下是一些典范情况及识别要领:
  来自保存IP地点的连接计划:可经过查抄IP报头(IP header)的泉源地点方便地识别。
  带有非法TCP 标记联合物的数据包:可经过比拟TCP报头中的标记集与已知正确和错误标记联合物的差别点来识别。
  含有特别病毒信息的Email:可经过比拟每封Email的主题信息和病态Email的主题信息来识别,或者,经过搜索特命名字的附近来识别。
  盘问负载中的DNS缓冲区溢出计划:可经过解析DNS域及查抄每个域的长度来识别利用DNS域的缓冲区溢出计划。还有别的一个识别要领是:在负载中搜索“壳代码利用”(exploit shellcode)的序列代码组合。
  经过对POP3服务器收回上千次同一命令而导致的DoS打击:经过跟踪记载某个命令一连收回的次数,看看是否凌驾了预设上限,而收回报警信息。  
  未登录情况下利用文件和目次命令对FTP服务器的文件拜访打击:经过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未履历证却发命令的入侵计划。
  从以上分类可以看出特征的涵盖范围很广,有简单的报头域数值、有高度庞大的连接状态跟踪、有扩展的协议阐发。一叶即可知秋,本文将从最简单的特征入手,细致讨论其功能及开发、定制要领。
  别的请细致:差别的IDS产品具有的特征功能也有所差异。比方:有些网络IDS系统只容许很少地定制存在的特征数据或者编写需要的特征数据,别的一些则容许在很宽的范围内定制或编写特征数据,乃至可以是任意一个特征;一些IDS系统只能查抄确定的报头或负载数值,别的一些则可以获取任何信息包的任何位置的数据。
  二、特征有什么作用?
  这似乎是一个答案很明显的问题:特征是检测数据包中的可疑内容是否真正“不可就要”的样板,也便是“坏分子克隆”。IDS系统本身就带有这个重要的部分,为什么还需要定制或编写特征呢?是如许:也许你每每看到一些熟习的通讯信息流在网络上游荡,由于IDS系统的特征数据库逾期或者这些通讯信息本身就不是打击或探测数据,IDS系统并没有对它们进行关注,而这时你的猎奇心升起,想在这些可疑数据再次经过时收回报警,想捕捉它们、细致看看它们到底来自何方、有何贵干,因而,唯一的措施便是对现有特征数据库进行一些定制设置装备摆设或者编写新的特征数据了。
  特征的定制或编写程度可粗可细,完全取决于实际需求。或者是只果断是否产生了十分行为而不确定具体是什么打击名号,从而节省资源和时间;或者是果断出具体的打击本领或漏洞利用方式,从而获取更多的信息。我感觉,前者适用于领导同志,后者需要具体办事者利用,宏观加微观,敌人别想遛出去!
  三、首席特征代表:报头值(Header Values)     
  报头值的结构比较简单,而且可以很明白地识别出十分报头信息,因而,特征数据的首席候选人便是它。一个经典的例子是:明显违犯RFC793中划定的TCP标准、设置了SYN和FIN标记的TCP数据包。这种数据包被许多入侵软件采用,向防火墙、路由器以及IDS系统提倡打击。十分报头值的泉源有以下几种:
  由于大少数操作系统和应用软件都是在假定RFC被严格遵守的情况下编写的,没有添加针对十分数据的错误处理步伐,所以许多包罗报头值的漏洞利用都会存心违犯RFC的标准定义,明火执仗地检举被打击对象的偷工减料行为。
  许多包罗错误代码的不美满软件也会孕育产生违犯RFC定义的报头值数据。
  并非全部的操作系统和应用步伐都能片面附和RFC定义,至多会存在一个方面与RFC不和谐。
  随着时间推移,执行新功能的协议可能不被包罗于现有RFC中。
  由于以上几种情况,严格基于RFC的IDS特征数据就有可能孕育产生漏报或误报结果。对此,RFC也随着新呈现的违犯信息而不断进行着更新,我们也有必要定期地回首或更新存在的特征数据定义。
  非法报头值是特征数据的一个十分基础的部分,合法但可疑的报头值也划一重要。比方,如果存在到端口31337或27374的可疑连接,就可报警说可能有特洛伊木马在活动;再附加上其他更细致地探测信息,就能够进一阵势果断是真马照旧假马。
 


    文章作者: 福州军威计算机技术有限公司
    军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:
评论加载中...
内容:
评论者: 验证码:
  
上一篇: 浅谈代理服务器的作用
下一篇: 木马档案(广外女生篇)

友情链接