入侵特征库样本数据的建立

点评:必须有一个强大的入侵特征数据库有效地捕捉入侵行为,它就像一个强大的杀毒软件,它必须有一个强有力的、完善的病毒库。然而,特征数据库,入侵检测系统通常会滞后于新的攻击和入侵行为的微小变化会经常见面不相识。因此,有必要对管理者学习如何创建实际的需要






为了有效地捕获的入侵行为,入侵检测系统必须有一个强大的入侵特征数据库,这是一个强大的杀毒软件,它必须有一个强有力的、完善的病毒库。然而,特征数据库,入侵检测系统通常会滞后于新的攻击和入侵行为的微小变化会经常遇到不相识的人。因此,管理者需要学习如何创建特征数据模板,满足实际需要。本文将介绍入侵特征的概念和类型,以及如何创建特征,希望能帮助读者尽快掌握入侵的处理方法。



特征(签名)的基本概念

IDS中的特征通常是用来区分通信信息类型的特征数据。以下是一些典型案例和识别方法:



从IP地址保留的连接尝试可以通过检查IP报头(IP报头)的源地址来容易识别。



具有非法TCP标识的包:可以通过将TCP报头集与已知的正确和错误标记的不同点进行对比来识别。



通过比较每个电子邮件的主题信息和生病电子邮件的主题信息,或者搜索特定名称的附录,可以识别带有特殊病毒信息的电子邮件。



在DNS缓冲区溢出尝试查询负载:通过分析DNS域和检查每个域识别使用DNS缓冲区溢出尝试长度;另一个识别的方法是在负载壳搜索(利用Shellcode)编码序列的编码组合使用。



在POP3服务器的DoS攻击,它将报警信息通过跟踪连续命令的命令是否超过发行数量上限。



在没有登录的情况下,使用文件和目录命令对FTP服务器进行文件访问攻击:通过创建状态跟踪的特征数据来监视成功记录的FTP对话,并发现未经授权的发送命令的尝试。



从上面的分类可以看出,该功能涵盖范围很广,包括简单的头字段值、高度复杂的连接状态跟踪和扩展的协议分析,从最简单的特性开始,详细讨论了它的功能、开发和定制方法。



但是,用户需要知道的是,不同的IDS产品的功能特点也不同。如果一些网络入侵检测系统的特征数据,只允许很少存在或自定义编写需要的特征数据,别人都在一个范围广泛的定制或特征数据写在用户需求允许的,甚至可以是任意的特征;和头确定的一些入侵检测系统只能查询或负荷值,能得到他人的任何数据包的任何位置的数据。



角色的角色是什么



这似乎是对这一问题的答案显而易见:特征是控制,检测是否在一个包的可疑内容有一个攻击,入侵检测系统本身具有的特征库,为什么需要定制或编写特点,我想,也许你经常看到一些熟悉的通讯信息流在网络,由于IDS数据库系统滞后或沟通本身不是攻击或检测数据的特点,IDS系统不是很关注这个信息。但是作为网络管理员,我们必须怀疑这些数据要警惕,所以我们需要指定样本的一些特性,捕获它们,仔细分析它们来自何处,以及其目的是什么。因此,唯一的方法是配置一些现有的特征数据库或编写新的特征数据。



根据实际需求,自定义或编写特征的程度可以变得更细、更细,或者只判断异常行为是否发生,不知道具体攻击是什么,以便节省资源和时间,或者识别特定的攻击手段或漏洞,以便获得更多信息。



头值(头值)



报头值的结构比较简单,它可以清楚地识别出异常的头信息,所以想当写作特征数据是它的第一件事。一个典型的例子是一个明显违反规定在RFC793中TCP标准的TCP包SYN和FIN标记。这个包是由许多入侵软件用来攻击防火墙、路由器、和入侵检测系统,异常头值来源如下:



因为大多数操作系统和应用程序写入的假设,RFC是严格遵守,没有添加错误处理异常数据的程序,所以许多包含报头值会故意违反RFC标准定义的漏洞。许多不完善的软件包含错误代码也产生标头值的数据违反RFC定义,不所有的操作系统和应用程序可以完全支持RFC定义,至少一方面将与RFC兼容。当然,随着时间的推移,技术不断创新,并执行新功能的协议可能不被包含在现有的RFC。



因为以上的情况下,入侵检测系统的特征数据,基于RFC可能有漏报或误报的影响。在这方面,RFC也随着新信息的出现,不断更新的违反。这就要求我们定期审查或更新现有的特征数据定义并及时发现不足之处。



非法报头的值是特征数据的一个非常基本的部分,合法的但可疑的头的值同样重要。例如,如果端口31337或27374之间存在可疑连接,特洛伊木马活动可能存在。如果我们添加更多的细节来检测信息,我们可以进一步确定是否存在特洛伊木马。



用于识别特征数据的候选对象



为了更好地理解如何开发基于报头值的特殊数据,通过一个示例详细说明了以下内容。



Synscan是扫描检测系统中常用的工具。因为它的代码用于创建蜗杆拉面头的片段,就在2001年初的一大趋势。对Synscan的执行行为是典型的,它将包有各种各样的区别特征,包括:



不同来源的IP地址信息

TCP源端口21,目标端口21

服务类型0

IP识别号39426(IP识别号)

设置SYN和鳍标志

不同的序列号集(序列号集)

不同的确认号集(确认号集)

TCP窗口大小1028





下面的数据进行筛选,看看哪个更适合做特征数据。我们正在寻找非法的,不正常的或可疑的数据。在大多数情况下,它反映了攻击者使用的漏洞或他们使用的特殊技术:



只有SYN和鳍标志的包是恶意行为的识别标志。



没有设置ACK标志,但具有不同数量的确认号的包,正常情况下应该是0。



源端口和目标端口都被设置为21个数据包,这些数据包通常与FTP服务器相关联。除了在某些时候对一些特殊的NETBIOS通信,这种现象在正常情况下不会发生。自反港口本身并不违反TCP的标准,但在大多数情况下,他们是没有料到的。例如,在一个正常的FTP会话,目标端口一般是21,和源端口通常高于1023。



在所有数据包中,TCP窗口的大小是1028,IP识别号是39426,根据IP RFC的定义,这2种数值在数据包中应该是不同的,所以如果它是常量,它是可疑的。

如何正确使用特性



从上述4个候选特征对象中,我们可以单独选择一个基于头部的特征数据,也可以选择多个组合作为特征数据。

这是选择一个数据作为一个功能非常有限。例如,一个简单的特征可以是只有SYN和FIN标志的数据包,但它可以提示我们,可能有一个可疑的行为发生,但它不能给出更多的信息,它为什么会happen.syn翅通常一起攻击墙壁和其他设备。只要它们出现,就意味着扫描正在发生,信息正在收集,攻击就要开始了,但仅此而已,我们需要更多的细节。



选择上述4个数据的结合是不现实的,因为它似乎有点太特殊,可能有太多的系统资源。虽然它能提供准确的信息,它将远比只使用一个数据作为一个功能效率不高。事实上,特征的定义总是效率和准确性之间的一种折衷。在大多数情况下,简单的功能比复杂的功能更容易(误报),误报,因为前者是普遍存在的;复杂的功能比简单的功能更有可能(假阴性)失败,因为前者太满,攻击软件的功能将随着时间的变化而变化。



不多,太少了,这应该是由实际情况决定的。例如,我们要确定什么是攻击工具,除了SYN和鳍的标志,其他性能也需要反口虽然可疑,但许多工具,但也有正常的沟通的现象,对选取的特征是不合适的。TCP窗口大小的1028,虽然有点可疑,会自然发生。IP识别号码39426是一样的。ACK值没有ACK标志显然是非法的,所以选择特征数据是非常合适的。当然,根据环境的不同,及时调整或组合的特征数据,以达到最佳的效果才是正途计算机断层扫描.



接下来我们创建一个功能是用来寻找和确定在每个发送的TCP包Synscan以下属性:



只有SYN和鳍标志设置。

IP标识号是39426

TCP窗口大小是1028。





第一个项目很常见。在同一个包中,第二个和第三个项目一起出现的案例不多。因此,结合这三项可以定义一个详细的特征。添加其他Synscan属性不会显著地提高特征的精确度,只能增加资源的成本。在这一点上,区分Synscan软件的特点完成。



扩展以创建标识异常通信的功能



上面创建的特征可以满足标准Synscan软件检测。然而,可能会有各种各样的变化Synscan,和其他工具可以在任何时候改变,上述特征不能一一证实。为了创造一个更好、更全面的解决方案,有必要结合特殊的特征和共同特征的使用。如果一个入侵检测特征不仅可以揭示已知的威胁,而且预测潜在的威胁,入侵检测系统的性能将大大提供。



首先,看一个变脸Synscan的数据特征。



只设置SYN标志,这纯粹是一个普通的TCP分组特性。



TCP窗口的大小总是40,而不是1028.40,在初始SYN包中是一个罕见的小窗口大小,比正常值为1028要少得多。



自反端口值是53,而不是21。旧版本的绑定使用反自反端口进行特殊操作,新版本绑定不再使用它。因此,我们经常看到这些信息会使我们的眼睛张开。



以上3个数据的生成标准Synscan很相似。因此,可以推断其工具或版本Synscan,或其他工具基于Synscan代码。显然,特征先前定义的无法识别的脸因为3个特征子项已经面目全非。在这一点上,我们可以采取三种方式:



再次创建与这些内容匹配的特殊特性。



我们应该调整检测目标,将注意力集中在普通的异常行为上,而不是特殊的异常行为,并建立一般特征来识别常见的异常行为。



1和2被创建,不仅在全网,而且在捕鱼,真正的犯罪分子必须抓住,和可疑的元素不运行。



可以创建如下的一般特性:



没有设置确认标志,但该值不是TCP包的0。



只设置SYN和鳍标志TCP数据包。



初始TCP窗口大小低于TCP包的某个值。



利用上面的一般特征,上面提到的两个异常包可以被有效地识别出来。



当然,如果我们需要检测更多的细节,并在这些共同特征的基础上添加一些单独的数据,我们可以创建一个特殊的特性或视图,创建什么特性,根据实际需要创建什么特性,并且实践是唯一的标准来检测您创建的特性。

报头值的关键元素和信息包类型的分析总结

在上面讨论的示例中,我们看到了可以用来创建IDS功能的各种头值信息:



IP地址,特别保留地址,非路由地址,广播地址。



不应该使用的端口号,尤其是众所周知的协议端口号和特洛伊端口号。



异常信息包碎片。



特殊TCP标志组合值。



不应该频繁出现的ICMP字节或代码。



知道如何使用基于头部特征数据,以确定下一步是什么样的信息检查。标准仍然是根据实际需求决定的。因为ICMP和UDP数据包是无状态的,在大多数情况下,他们每个人都需要检查。和TCP数据包的连接,所以有时你可以只检查第一个包的连接。例如,如IP地址和端口的功能将所有的数据包,连接保持不变,这是安全检查一次。其他功能如TCP标志将谈话过程中在不同分组的不同。如果我们想找到特殊的标志组合值,我们需要检查每一个包,检查越多,消耗的资源和时间就越多。



我们还必须理解,TCP、UDP或ICMP的标题比关注DNS头信息更方便,因为TCP、UDP和ICMP属于IP协议。它们的报头信息和负载信息都位于IP包的有效负载部分。例如,把TCP标头值,我们首先分析IP报头,然后我们可以预测负荷的父类是TCP协议,DNS,它包含在UDP和TCP数据包的负载,如果你想从DNS获得信息,你必须深入2层看到的真实面貌。此外,这种协议的决定要求更多和更复杂的编程代码,不是简单的TCP等。事实上,这种分析操作是区分不同协议的关键。评估IDS系统的质量也反映在它是否能更好地分析更多的协议。



结论



本文详细描述了如何自定义关键零部件特征数据库的ID,我相信你已经有了一个进一步的认识。入侵者总是滑的,我们不能让刀片的手不轻,我们必须不断地磨它,修改它,改变现状让侵略者胆战心惊!