取证方法:网络入侵监测系统
取证方法:网络入侵监测系统
目录
网络入侵检测系统
1.1、简介:
随着网络入侵检测系统(Intrusion Detection System, IDS) 和入侵防御系统(Instrusion Prevention System, IPS) 在企业环境中的不断普及, 各企业开始追求更高层次的信息安全:不仅要对抗外来攻击, 还要应对来自内部的威胁, 比如商业间谍、负面信息和敏感信息的暴露等。
创建包含所有数据隐藏程序签名的规则是创建用于检测数据隐藏行为数据签名的主要基础。此外, 对于每个数据隐藏工具, 其版本不同, 数字签名也不同。因此, 检测的重点不仅是区分不同的签名, 还要输出包含程序名称和版本的检测报告。除此以外, 还要有源IP 地址和目的IP 地址, 以便调查人员识别可疑设备。
用嗅探器可以有效测试入侵检测系统的策略并验证映射是否合适。Wireshark 可以嗅探网络中载体文件的传输或隐蔽通信。
用Wireshark 抓取网络包, 通过分析可发现其中的Hiderman 签名, 即“ CDN" 。虽然这串字符也有可能是随机出现的, 但可能性很低, 它很可能是Hiderman 这个隐写程序的签名。
1.2、Snort
简介:
创建一个Snort 签名并对其进行检测,可以在IDS 中添加Snort的检测策略。由于IDS 的规则一般都会产生很多误报, 所以确保规则的准确性很重要(签名越长, 准确率越高), 签名内容匹配规则中的签名可以是ASCII 码形式的, 也可以是十六进制的。由于很多隐写工具的签名都没有对应的ASCII 码形式, 因此十六进制的形式会更有效。
下载:
(从Backtrack中下载):
http://www.backtrack-linux.org
(官网):
Snort Rules and IDS Software Download
https://www.snort.org/downloads
https://www.snort.org/downloads1.3、检测
语法:
匹配不同编码形式签名的IDS 规则语法:
ASCII 码形式:
Alert tcp any any <> any any (msg:"Message"; content:"content";)十六进制形式:
Alert tcp any any <> any any (msg: "Message": content:" | hex string |";)
示例:
检测Hiderman 签名(ASCII 和十六进制形式)的IDS 规则(签名位于规则的content 区域)
Alert tcp any any<> any any (msg:"Hiderman Detected"; content:"CDN";)
Alert tcp any any<> any any (msg:"Hiderman Detected"; content:"43 444E";)
缺点:
使用上述规则进行检测的话, 误报率会很高, 因为规则中的签名太简单了。
1.4、Jpegx 隐写检测
下面的示例中的规则是用来检测Jpegx 隐写程序的, 其中包含的签名比较长。Jpegx V2.1.1 的签名是“ 36 45 35 3B 32 00 00 ” 。这种形式的签名很难用ASCII 码表示, 所以只能使用十六进制的形式。
Jpegx V2. 1.1的具体规则应如下:
Alert tcp any any<> any any (msg:"Jpegx VZ.1.1 Detected"; content:"36 45 35 3B 32 00 00";)
如果签名比较复杂, 在IDS 中使用十六进制表示会比用ASCII 表示有效得多, 所以坚持在IDS 规则中使用十六进制
如果我们能检测到网络中的隐写行为, 就意味着我们有能力识别网络中潜在的恶意人群, 发现由外网发送到内网的包含隐藏信息的载体文件。各大厂商都创建了IDS 数字签名来检测隐写行为,但大多数IDS 和DLP (Data Leakage Prevention) 供应商都没有可以检测网络中隐写行为的数据签名。也许, 这就是未来隐写检测技术发展的新趋势。
- 点赞
- 收藏
- 关注作者
评论(0)