入侵检测技术培训.pptVIP

基于知识的检测-----模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。CIDF模型CommonIntrusionDetectionFrame组件：事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）CIDF组件结构图事件响应单元R-Box事件分析器A-Box事件数据库D-Box事件生成器E-Box输出：分析结论输出：原始或低级事件输入：存储事件输出：采取的措施CIDF(CommonIntrusionDetectionFramework)组件结构图输入：原始事件源NIDS抓包从链路层抓包PF_PACKET提供API函数libpcapWindows下的抓包库winpcap分析技术的发展早期的网络IDS——匹配方式类似于防病毒系统——纯粹的模式匹配技术目前的网络IDS——协议分析技术（状态检测、协议确认、异常分析、基于行为）分析技术发展历程1990纯模式匹配1996Netranger协议解码+模式匹配1999SNORT简单协议分析技术2002联想网御IDS真正意义上的协议分析技术（完全协议分析）协议分析技术与模式匹配技术协议分析是相对模式匹配而言的，二者是在分析程度上有所不同EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML模式匹配00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029W