稻瓜菜 2007-12-5 22:08
Juniper IDP入侵检测方法——后门检测
[font=宋体][size=12pt]我们已经讨论了如何检测违反协议的攻击(协议异常检测),以及已知的和特征化的攻击(签名检测),但是我们还需要知道如何检测没有违反协议的未知的攻击,比如特洛伊木马或蠕虫。这些攻击在网络资源上安装和打开了一个后门。这个后门处于睡眠状态,直到攻击者激活它,然后控制网络资源。它通过一系列的交互作用而完成,攻击者发出命令,资源回应。这个过程里没有攻击模式,也没有协议违反,因此需要另外一种方法去检测这个交互流量。[/size][/font][size=12pt][/size]
[size=12pt][font=Times New Roman] [/font][/size]
[font=宋体][size=12pt]由于蠕虫或特洛伊的种植可能已经通过了一个后门(调制解调器连接、即时信息、或与公司网络连接的家用笔记本电脑)或者被另一种检测机制漏掉,所以多重方法的检测会大大提高检测攻击的准确率。[/size][/font][size=12pt][/size]
[font=Arial][size=12pt] [/size][/font]
[i][u][font=宋体][size=12pt]实例[/size][/font][/u][/i][i][u][font=Arial][size=12pt]4[/size][/font][/u][/i][i][u][font=宋体][size=12pt]:通过[/size][/font][/u][/i][i][u][font=Arial][size=12pt]Instant Messaging[/size][/font][/u][/i][i][u][font=宋体][size=12pt]安装蠕虫[/size][/font][/u][/i][i][u][font=Arial][size=12pt][/size][/font][/u][/i]
[font=宋体][size=12pt]例如,很多公司允许员工使用即时消息,当它们成为一个很好的通讯工具的同时,也为攻击者在整个网络上打开了一条途径。大多数的即时消息产品如[/size][/font][size=12pt][font=Times New Roman]Yahoo! Messaging™[/font][/size][font=宋体][size=12pt]允许用户传送附件,这些附件可能包含恶意代码,如蠕虫,它可以在不提醒用户的前提下在下载过程中安装到用户的计算机上。一旦安装完成,攻击者可以返回或激活这些恶意代码,指导它们传送文件,重新格式化硬盘,启动其他攻击等。这种类型的攻击可以给与攻击者完全的控制你的系统和资源的能力。[/size][/font][size=12pt][/size]
[font=Arial][size=12pt] [/size][/font]
[size=12pt][font=Times New Roman]Juniper[/font][/size][font=宋体][size=12pt]开发了一种叫做后门检测的方法,它可以用来检测交互式流量的特征。[/size][/font][size=12pt][font=Times New Roman]Juniper-IDP[/font][/size][font=宋体][size=12pt]可以基于规则中管理员所定义的“允许”权限来查询所有交互式流量,然后检测检测出哪些[/size][/font][size=12pt][font=Times New Roman] [/font][/size][font=宋体][size=12pt]经过授权。这种方法实际上可以检测任何后门攻击,甚至流量被加密和未知协议。[/size][/font][size=12pt][/size]
