IDS侵入特徴ライブラリ作成例解析
IDSは侵入行為を効果的に捕らえるには、公安部門が健全な犯罪者情報庫を持っていなければならないような強力な侵入特徴データベースを持たなければならない。しかし、IDSは一般的に特徴的なデータベースを持っていますが、「顔を変える」侵入行為に遭遇するとよく出会います。従って、管理者はどのように実際の必要性を満たす特徴データサンプルを作成するかを学ぶ必要があります。本稿では、侵入の特徴の概念、種類及び特徴をどのように作成するかを紹介します。
一、特徴の基本概念
IDSの特徴とは、通信情報の種類を判別するためのサンプルデータのことで、通常は複数種類に分けられています。以下のように、いくつかの典型的な状況と識別方法があります。
IPアドレスの予約からの接続の試み:IPヘッダ(IPヘッダ)を確認することにより header)のソースアドレスは簡単に識別される。
不正なTCPがあります。 フラグ錯体のパケット:TCPヘッダのフラグセットと既知の正確さとエラーマーク錯体の異なる点を比較して識別することができる。
特殊ウイルス情報を含むEmail:Emailごとのテーマ情報と病的なメールのテーマ情報とを比較して識別するか、特定の名前の近くを検索することによって識別することができます。
クエリ負荷におけるDNSバッファオーバーフローの試み:DNSドメインを解析し、ドメインごとの長さを確認することにより、DNSドメインを利用するバッファオーバーフローの意図を識別することができる。もう一つの識別方法は、負荷の中から「シェルコード利用」を検索することです。 shellcode)のシリアルコードの組み合わせです。
POP 3サーバに対して千回以上の同じコマンドを発行したことによるDoS攻撃:あるコマンドが連続して発行された回数を追跡して記録することによって、予め設定された上限を超えているかどうか確認して、警報情報を出す。
ログインしていない場合は、ファイルとディレクトリコマンドを使用してFTPサーバのファイルアクセス攻撃:状態追跡を備えた特徴見本を作成することにより、ログインに成功したFTPセッションを監視し、未経験証を発見したのにコマンドを送る侵入企図。
以上の分類から特徴のカバー範囲が広いことが分かります。簡単なヘッダドメインの数値、複雑な接続状態の追跡、拡張されたプロトコルの分析があります。一葉は秋を知ることができます。本文は最も簡単な特徴から着手して、その機能と開発、カスタマイズ方法を詳しく討論します。
また、IDS製品によって特徴機能が異なりますのでご注意ください。例えば、いくつかのネットワークIDSシステムは、存在する特徴データを少なくカスタマイズしたり、必要な特徴データを作成したりするだけでなく、広い範囲で特徴データをカスタマイズしたり、作成したりすることができます。いくつかのIDSシステムは、決定されたヘッダまたは負荷値のみを検査することができ、他のいくつかは、任意のパケットの任意の位置のデータを取得することができる。
二、特徴は何の効果がありますか?
これは答えがはっきりしている問題のようです。データパッケージの中の不審な内容が本当に「必要ならない」サンプルであるかどうか、つまり「悪い分子クローン」です。IDSシステム自体はこの重要な部分を持っていますが、なぜカスタマイズや編纂が必要ですか?IDSシステムの特徴データベースが期限が切れていたり、これらの通信情報自体が攻撃や探知データではないため、IDSシステムはこれらに関心を持っていません。この時、あなたの好奇心が高まり、これらの疑わしいデータを再度経由して警察に通報したいです。それらを捕まえたいです。これらはいったいどこから来たのか、何の問題があるのかをよく見ると、唯一の方法は既存の特徴データベースをカスタマイズしたり、新しい特徴データを作成したりすることです。
特徴のカスタマイズや編纂の度合いは粗さがあり、実際のニーズに完全に依存します。或いは異常行為が発生したかどうかを判断するだけで、具体的に何の攻撃名号かを確定しないので、資源と時間を節約します。具体的な攻撃手段や脆弱性を判断して、より多くの情報を得ることができます。前者は指導者に適用されると思いますが、後者は具体的な仕事をする人が必要です。
三、首席特徴代表:ヘッダ値(Header) Values)
ヘッダ値の構造は比較的簡単で、かつ異常ヘッダ情報を明確に識別することができるので、特徴データの首席候補はこれである。古典的な例は、RFC 793に規定されたTCP標準に著しく違反し、SYNとFINマークが設定されたTCPパケットである。このようなパケットは多くの侵入ソフトに採用され、ファイアウォール、ルータ、IDSシステムに攻撃を開始します。異常ヘッダ値のソースは以下のいくつかあります。
大多数のオペレーティングシステムとアプリケーションソフトは、RFCが厳格に守られていると仮定して作成されたもので、異常データに対するエラー処理プログラムが追加されていないため、ヘッダ値を含む多くのホール利用は故意にRFCの標準定義に違反し、攻撃対象の手抜き行為をおおっぴらに暴露する。
多くのエラーコードが含まれている不完全なソフトウェアもRFCの定義に違反するヘッダ値データを発生します。
すべてのオペレーティングシステムとアプリケーションは、RFCの定義を全面的にサポートすることができるわけではなく、少なくとも一つの態様はRFCとは調和していない。
時間が経つにつれて、新しい機能を実行するプロトコルは既存のRFCに含まれないかもしれない。
上記のいくつかの状況のために、RFCのIDS特徴データに厳密に基づいて、リークまたは誤報効果が生じる可能性があります。これに対して、RFCも新たに発生した違反情報とともに継続的に更新されています。また、定期的に存在する特徴データ定義を振り返ったり更新したりする必要があります。
不正ヘッダ値は、特徴データの非常に基礎的な部分であり、合法的であるが、疑わしいヘッダ値も同様に重要である。例えば、ポート31337または27374への不審な接続があれば、トロイの木馬が活動している可能性があると通報することができる。さらに他の詳細な探知情報を付加すれば、真馬か偽馬かをさらに判断することができる。
一、特徴の基本概念
IDSの特徴とは、通信情報の種類を判別するためのサンプルデータのことで、通常は複数種類に分けられています。以下のように、いくつかの典型的な状況と識別方法があります。
IPアドレスの予約からの接続の試み:IPヘッダ(IPヘッダ)を確認することにより header)のソースアドレスは簡単に識別される。
不正なTCPがあります。 フラグ錯体のパケット:TCPヘッダのフラグセットと既知の正確さとエラーマーク錯体の異なる点を比較して識別することができる。
特殊ウイルス情報を含むEmail:Emailごとのテーマ情報と病的なメールのテーマ情報とを比較して識別するか、特定の名前の近くを検索することによって識別することができます。
クエリ負荷におけるDNSバッファオーバーフローの試み:DNSドメインを解析し、ドメインごとの長さを確認することにより、DNSドメインを利用するバッファオーバーフローの意図を識別することができる。もう一つの識別方法は、負荷の中から「シェルコード利用」を検索することです。 shellcode)のシリアルコードの組み合わせです。
POP 3サーバに対して千回以上の同じコマンドを発行したことによるDoS攻撃:あるコマンドが連続して発行された回数を追跡して記録することによって、予め設定された上限を超えているかどうか確認して、警報情報を出す。
ログインしていない場合は、ファイルとディレクトリコマンドを使用してFTPサーバのファイルアクセス攻撃:状態追跡を備えた特徴見本を作成することにより、ログインに成功したFTPセッションを監視し、未経験証を発見したのにコマンドを送る侵入企図。
以上の分類から特徴のカバー範囲が広いことが分かります。簡単なヘッダドメインの数値、複雑な接続状態の追跡、拡張されたプロトコルの分析があります。一葉は秋を知ることができます。本文は最も簡単な特徴から着手して、その機能と開発、カスタマイズ方法を詳しく討論します。
また、IDS製品によって特徴機能が異なりますのでご注意ください。例えば、いくつかのネットワークIDSシステムは、存在する特徴データを少なくカスタマイズしたり、必要な特徴データを作成したりするだけでなく、広い範囲で特徴データをカスタマイズしたり、作成したりすることができます。いくつかのIDSシステムは、決定されたヘッダまたは負荷値のみを検査することができ、他のいくつかは、任意のパケットの任意の位置のデータを取得することができる。
二、特徴は何の効果がありますか?
これは答えがはっきりしている問題のようです。データパッケージの中の不審な内容が本当に「必要ならない」サンプルであるかどうか、つまり「悪い分子クローン」です。IDSシステム自体はこの重要な部分を持っていますが、なぜカスタマイズや編纂が必要ですか?IDSシステムの特徴データベースが期限が切れていたり、これらの通信情報自体が攻撃や探知データではないため、IDSシステムはこれらに関心を持っていません。この時、あなたの好奇心が高まり、これらの疑わしいデータを再度経由して警察に通報したいです。それらを捕まえたいです。これらはいったいどこから来たのか、何の問題があるのかをよく見ると、唯一の方法は既存の特徴データベースをカスタマイズしたり、新しい特徴データを作成したりすることです。
特徴のカスタマイズや編纂の度合いは粗さがあり、実際のニーズに完全に依存します。或いは異常行為が発生したかどうかを判断するだけで、具体的に何の攻撃名号かを確定しないので、資源と時間を節約します。具体的な攻撃手段や脆弱性を判断して、より多くの情報を得ることができます。前者は指導者に適用されると思いますが、後者は具体的な仕事をする人が必要です。
三、首席特徴代表:ヘッダ値(Header) Values)
ヘッダ値の構造は比較的簡単で、かつ異常ヘッダ情報を明確に識別することができるので、特徴データの首席候補はこれである。古典的な例は、RFC 793に規定されたTCP標準に著しく違反し、SYNとFINマークが設定されたTCPパケットである。このようなパケットは多くの侵入ソフトに採用され、ファイアウォール、ルータ、IDSシステムに攻撃を開始します。異常ヘッダ値のソースは以下のいくつかあります。
大多数のオペレーティングシステムとアプリケーションソフトは、RFCが厳格に守られていると仮定して作成されたもので、異常データに対するエラー処理プログラムが追加されていないため、ヘッダ値を含む多くのホール利用は故意にRFCの標準定義に違反し、攻撃対象の手抜き行為をおおっぴらに暴露する。
多くのエラーコードが含まれている不完全なソフトウェアもRFCの定義に違反するヘッダ値データを発生します。
すべてのオペレーティングシステムとアプリケーションは、RFCの定義を全面的にサポートすることができるわけではなく、少なくとも一つの態様はRFCとは調和していない。
時間が経つにつれて、新しい機能を実行するプロトコルは既存のRFCに含まれないかもしれない。
上記のいくつかの状況のために、RFCのIDS特徴データに厳密に基づいて、リークまたは誤報効果が生じる可能性があります。これに対して、RFCも新たに発生した違反情報とともに継続的に更新されています。また、定期的に存在する特徴データ定義を振り返ったり更新したりする必要があります。
不正ヘッダ値は、特徴データの非常に基礎的な部分であり、合法的であるが、疑わしいヘッダ値も同様に重要である。例えば、ポート31337または27374への不審な接続があれば、トロイの木馬が活動している可能性があると通報することができる。さらに他の詳細な探知情報を付加すれば、真馬か偽馬かをさらに判断することができる。