雨笑残荷 2007-12-6 17:51
Juniper IDP入侵检测方法——流量异常
[font=宋体][size=12pt]在一个给定的通信会话([/size][/font][size=12pt][font=Times New Roman]communication session[/font][/size][font=宋体][size=12pt])里含有很多攻击,但重要的是也要检测出发生在多会话流量中的攻击。这种攻击里最好的例子是端口和网络扫描([/size][/font][size=12pt][font=Times New Roman]port[/font][/size][font=宋体][size=12pt]和[/size][/font][size=12pt][font=Times New Roman]network scans[/font][/size][font=宋体][size=12pt])。当攻击者用工具查找出哪种服务被允许,并且系统有响应时,端口和网络扫描就会发生。攻击者是透过端口扫描(对同一台机器试探每个端口),或网络扫描(针对某个端口在整个网络进行试探)以发现漏点。对于这种类型的攻击,必须在全流量中检测出其攻击模式,通常这样需要某种频率或基准击发。所以这种攻击是需要流量异常检测方法以识别的。[/size][/font][size=12pt][/size]
[font=Arial][size=12pt] [/size][/font]
[i][u][font=宋体][size=12pt]实例[/size][/font][/u][/i][i][u][font=Arial][size=12pt]5[/size][/font][/u][/i][i][u][font=宋体][size=12pt]:检测网络扫描[/size][/font][/u][/i][i][u][font=Arial][size=12pt][/size][/font][/u][/i]
[font=宋体][size=12pt]该例子描述了网络扫描攻击和如何检测该攻击。正像以上所解释的,在网络扫描攻击中,攻击者试图在整个网络中访问特定服务如[/size][/font][size=12pt][font=Times New Roman]SMTP[/font][/size][font=宋体][size=12pt]端口。它是针对特定服务进行攻击的先驱。由于扫描符合协议在特定会话中不出现攻击样本,因此协议异常检测和状态签名检测都不能检测此种攻击。唯一的检测该种攻击的方法是使用流量异常检测,它针对整个数据流进行样本匹配。需要说明的是,网络扫描不是真实的攻击。然而,它是一个即将攻击来临的非常好的指示器,因为它意味着某些人正在尝试发现系统上运行着什么应用。如果你有网络扫描的知识,你可以观察和预测将要来临的攻击,这就是为什么检测网络扫描和检测攻击本身一样重要。[/size][/font][size=12pt][/size]
