笔者注
对网络中传输的各种流量进行分析,从中发现违反已定安全策略的行为,这是NIDS的核心功能。从检测技术上分为三种:
-
基于协议分析的特征检测 -
IOC类:IP、域名、端口、特征URL等 -
特征字符串:header、body、ua、参数、包大小等 -
违背协议标准的异常特征 -
基于行为分析的异常检测,主要有两种算法:模式比较、聚类 -
聚类比较好理解
-
模式比较分为两种:
-
关联规则 -
从用户定义的”支持度”和”可信度”两个维度出发,设定用户合法行为的阈值,通过和用户实际行为的比较来发现攻击。同时,还会分析一种行为与其它行为之间的相互关联性或相互依靠性,比如常用的统计学。 -
序列规则 -
和关联规则类似,也是挖掘出数据之间的关系。不同的是序列规则增加了时间的概念,比如常用的时序、心跳等
。 -
基于信誉的恶意流量检测 -
依赖于 持续的威胁分析和检测并与之对应的信誉评级,并记录资源内容和行为的变化
工具:shiro_attack-2.2
行为:爆破利用链
特征
-
请求-header
techo:f25a2fc72690b780b2a14e140ef6a9e0
行为:命令执行
特征
-
请求-header
c:base64编码后的命令
-
响应-body
$$$base64编码之后的命令执行结果$$$
内存马
特征
-
请求-header
p:pass1234
-
响应-header
dy=编码后的恶意class
-
响应-body
->|Success|<-
无回显
-
dnslog -
下载并分析恶意字节码
原文始发于微信公众号(小宝的安全学习笔记):入侵检测NIDS之Shiro反序列化流量分析
