《网络攻防与协议分析》课件——5.关于用户操作行为的入侵检测配置.pptxVIP

关于用户操作行为

的入侵检测配置

1行为管控简介

用户行为管控行为管控常用于对内网户的上或流量进理。入侵检测系统支持对内网用户的HTTP行为、邮件行为（SMTP、POP3、IMAP协议）、FTP行为、Telnet行为、RLOGIN远程登录行为、MSSQL数据库行为、VoIP行为（SIP、H225-RAS、H225-931、MGCP、SCCP协议）和电网3761协议进行检测。IDSInternet网络交互行为网络交互行为入侵检测防火墙服务器个人PC上网行为监控告警

HTTP协议行为POST操作：一般用于向服务器发送信息，例如论坛发帖、表单提交、用户名/密码登录。代理上网：使用代理服务器访问特定网站。此时要求防火墙必须部署在代理服务器与上网用户之间。阻断后用户无法通过代理服务器上网。浏览网页：用户通过浏览器打开网页。文件上传：用户通过HTTP协议向网站上传文件。文件下载：用户通过HTTP协议从网站下载文件。

FTP协议行为针对FTP协议工作过程中的指令进行管控，其中一些常见指令如下：命令描述ACCT某些系统将帐号和用户与文件系统相关联。ALLO为即将传送的文件分配空间。APPE将文件附加到已经存在的文件后面。CDUP在远程系统上将当前目录切换到上级父目录。CWD改变远程系统的工作目录。DELE删除远程系统的文件。LIST在一个新建立的数据连接上发送当前工作目录下的文件名列表。MKD创建目录。MODE指定传输模式。PASS提供一个用户登录密码。PASV指定服务器数据传输过程监听等待客户端的数据连接连接建立请求。PORT指定客户端监听等待服务器端建立的连接的端口号。PWD显示服务器端的当前工作目录名。REIN重新初始化，退出登录但是并不断开连接。命令描述REST从服务器的一个标识处重新开始传输。RETR从远程系统取回一个文件。RMD删除一个目录。RNFR指定要被命名的文件的老的路径名，随后必须是一个RNTO命令。RNTO指定要被命名的文件的新的路径名。STOR上载一个文件到服务器上，若文件已经存在则覆盖。STOU上载一个文件到服务器上，不覆盖已经存在的文件SYST显示远程主机的操作系统类型。TYPE设置或显示文件传输类型。USER指定连接到远程计算机的用户。XCUP切换到父目录。XCWD切换到工作目录。XMKD建立目录。XPWD显示当前目录。XRMD删除目录。

TELNET协议行为Telnet协议的行为，表现为建立连接后输入的命令行操作，因而对于Telnet协议的行为管控主要是对关键命令进行监控，命令支持关键字匹配。

SMTP协议行为针对SMTP协议工作过程中的指令进行管控，其中一些常见指令如下：命令描述DATA开始信息写作EHLOEHLO即extendHELO，可以支持用户认证。EXPN验证给定的邮箱列表是否存在，扩充邮箱列表，也常被禁用。HELO向服务器标识用户身份，返回邮件服务器身份。HELP返回指定命令中的信息。MAILFROM在主机上初始化一个邮件会话。NOOP无操作，服务器应响应OK。QUIT终止邮件会话。RCPTTO标识邮件接收人的地址。RSET重置会话，取消当前传输。SAMLFROM发送邮件到用户终端和邮箱。SENDFROM发送邮件到用户终端。SOMLFROM发送邮件到用户终端或邮箱。TURN接收端和发送端交换角色。VRFY用于验证指定的用户/邮箱是否存在；由于安全方面的原因，服务器常禁止此命令。

POP3协议行为针对POP3协议工作过程中的指令进行管控，其中一些常见指令如下：命令描述APOP认可一种安全传输口令的办法，执行成功导致状态转换。DELE处理服务器标记删除，QUIT命令执行时才真正删除。LIST处理服务器返回指定邮件的大小等。NOOP无操作，服务器应响应OK。PASS密码认证，认证通过则状态转换。QUIT希望终止会话。RETR处理服务器返回邮件的全部文本。RSET撤销所有的DELE命令。STAT处理请求服务器回送邮箱统计资料，如邮件数、邮件总字节数。TOP处理服务器返回某个邮件的某几行内容。UIDL处理服务器返回用于该指定邮件的唯一标示，如果没有指定返回所有的。USER认证用户名。

IMAP协议行为针对IMAP协议工作过程中的指令进行管控，其中一些常见指令如下：命令描述CREATE创建指定名字的新邮箱。DELETE删除指定名字的文件夹。RENAME修改文件夹的名称。LIST列出邮箱中已有的文件夹，有点像操作系统的列目录命令。APPEND允许Client上载一个邮件到指定的Folder（文件夹/邮箱）中。SELECT让Client选定某个邮箱（Folder），表示即将对该邮箱（Folder）内的邮件作操作。STORE用于修改指定邮件的属性，包括给邮件打上已读标记、删除