20210310 -
0. 引言
今天阅读了安全客的一篇文章《我们来谈一谈IDS签名》,实际上这篇文章是作者翻译过来的,机翻的感觉很强,例如指纹,就被翻译为了签名。
1. 文章简介
这篇文章主要介绍了,IDS的主要功能以及其大致的工作方式,利用字符串指纹的模式匹配的方法,之前的时候也提到过,对于IDS来说,都是采用字符串硬匹配或者正则表达式的方法。
而本篇文章所传递的想法就是,利用IDS指纹匹配过程中,正则表达式匹配中可能出现的类DDos的漏洞,来绕过IDS,本质上就是通过构造恶意的样本,消耗IDS在匹配过程中的计算资源。
2. 读后思考
实际上,这篇文章感觉读起来比较晦涩,就是因为很多地方的翻译不够准确,而且读起来也不通顺,就给人感觉很奇怪。但是在阅读这篇文章的时候,也引起了很多我的思考。之前的时候就看到过一些安全公司招聘,需要员工维护IDS规则库。
2.1 规则的生成
研究人员对于突然出现的网络攻击威胁,首先会对其分析,得到如何检测这一攻击的规则。抽取其中的特征,并将结果转化为一个或多个签名并用IDS能够理解的语言编写出来。
在这种规则生成的过程中,很多论文都有这方面的涉及,比较有代表性的,就是利用频繁项挖掘算法。当然,我觉得比较有经验的工程师应该也能直接人眼看出来,不过这种的话,利用机器来进行学习,同时进行一些互斥性,完备性的验证,会更好。
规则生成的过程中,需要考虑一些因素,这个规则的表现形式是什么样子,是直接的某个字符串,还是利用正则表达式。这个有时候就要结合底层的模式匹配引擎来分析。
所以这方面应该考虑两个问题:1)规则如何生成,是否有现有的工具2)规则生成的形式是什么样子,是否有较为成熟的管理工具
2.2 规则的匹配过程
在我写的另外一篇文章《深度包检测(DPI)的记录》也思考过这方面的问题,今天在看这篇文章的时候,也想到了这部分。在这篇文章中,开始时提到了几个假设,这些假设在文章中也被验证。
1)找到子字符串比证明没有找到匹配的子字符串耗时更短
2)正则表达式方式比直接字符查找更耗时
而他利用这些假设进行绕过的方式,就是因为正则表达式中存在的一个问题,灾难性回溯,之前研究字符串匹配算法的时候简单了解过。
而通过这个问题让我开始思考,IDS使用的引擎,他们的底层的字符串匹配过程是什么原理,这个一定要清楚,这样才能在查看每条规则的匹配耗时时,能够更清晰的有改进方案。
扫一扫
4419
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
