网络安全教程 教学课件 田园 第4章 反入侵技术（I）：基于第4章 反入侵技术（I）：基于.pptVIP

第4章 反入侵技术（I）：基于主机的机制 ;4.1 栈的一致性保护技术 ;图4-1 StackGuard保护机制; 以上过程很容易由编译生成的前导代码和清场代码自动完成（参考第3章注释3）。 这一解决方案要求改变编译器，这对编译器开发商和GNU C++/C这样的开放源代码编译器是不难做到的，程序运行期间增加的额外代价也微不足道，是一个针对性很强的解决方案。 这就是著名的StackGuard栈一致性保护技术。; 可以将StackGuard的思想扩展到解决单字节溢出入侵，如图4-2所示，方法是使编译器将一个攻击者未知的特征值插入到紧邻“上一栈帧地址”项之前：若输入缓冲区溢出到“上一栈帧地址”项或“返回地址”项则必然改变该特征值。 编译器总将输入缓冲区置于最高地址（如图4-2所示中的buffer[]），以避免其他局部变量因溢出而被篡改。这就是著名的ProPilice栈一致性保护技术。;图4-2 Propilice保护机制; 还有其他防止栈溢出措施。 在正常情况下一个进程的栈是用于暂存函数调用的上下文，如栈帧这类数据，从来不会被用于保存指令代码。 操作系统为进程分配任何页面时，每个页面是有严格的存取属性的，这些属性包括可读（PG_READ）、可写（PG_WRITE）、可执行（PG_EXEC），而作为数据页面被分配给栈空间的页面应该具有不可执行这一属性（!PG_EXEC）。; 因此，一个简单（但需要修改操作系统内核）的解决方案就是使操作系统在为栈空间分配页面时关闭页面的PG_EXEC属性，从而禁止从栈空间执行（病毒）程序代码。 一种不必修改操作系统的用户模态机制是在运行时对函数入口进行检查保护，主要保护对象之一就是最常用的标准C函数库。 已经开发出了Linux 的（用户模态）共享库LibSafe，它针对某些常用的C库函数具体检验该函数当前是否有过长的以至覆盖当前栈帧的“上一栈帧地址”项和“返回地址”项的输入参数。;图4-3 对函数入口进行检查;4.2 代码注入检测技术 ;4.3 入侵检测系统 ; IDS实现为软件，按照其目的划分为两类：第一类是所谓基于主机的IDS(Host-based IDS，HIDS)，这类软件运行于个人计算机、工作站和服务器，所保护的对象仅仅涉及其运行环境中的系统本身，目的在于识别出针对这一系统的来自外部的入侵行为； ; 第二类是所谓基于网络的IDS（Network-based IDS，NIDS），这类软件运行于网络设备，如防火墙、有安全功能的路由器/交换机，也可以是起边界网关作用的普通计算机，但这类IDS的目的主要不是保护其运行的系统本身，而是保护网络或网络中的一个区域，这一区域与其他区域之间的所有信息（IP分组）都要流经该NIDS所运行的设备。 从基本检测方式上讲，HIDS主要通过分析本机上各个进程的行为来判定当前是否存在入侵，NIDS则主要通过分析所观测到的IP分组的数据特征来判定当前是否存在入侵。; 仅仅依靠检测来对抗入侵是不够的，在检测出入侵现象之后还应该自动实施保护或反制行为，检测与保护的智能化结合才能构成最完整意义上的反入侵系统，这就是入侵保护系统（Intrusion Protection System，IPS）的概念。 ; 实现IDS的具体技术途径有多种，可以将IDS（无论HIDS还是NIDS）的检测方法分为两类：第一类是所谓基于误用模型的方法（misuse-based），这类方法首先建立各种入侵行为的模型和特征，IDS在实际运行期间识别进程的行为（HIDS）或IP分组的特征（NIDS）是否符合预先建立的入侵模型，如果符合则判定为入侵事件；; 第二类是所谓基于反常或基于规范的方法（anomaly-based/specification-based），这类方法首先建立被保护对象正确的行为模型和特征（即系统规范），IDS在运行期间识别进程的实际行为（HIDS）或IP分组的实际特征（NIDS）是否偏离预先建立的规范，如果偏离则判定为入侵事件。 IDS实施其检测算法的速度是影响其性能的重要因素之一，IDS的实际运行速度又取决于许多因素，任何IDS都很难达到完美检测。;4.4 HIDS实例：基于进程的系统调用模型的HIDS ; 这是一个典型的基于规范方法的HIDS，具体思路是：进程行为可以由其程序所允许的运行期间的函数调用序列的形态完全刻画，如果实际调用序列偏离所允许的调用序列就意味着出现异常行为，即入侵。 ;4.4.1 基于有限状态自动机的检测模型; 这一方法的技术实现虽然简单，但不足以完成有实际意义的入侵检测，原因在于这里用来描述程