第10章 入侵檢測技術原理與應用
入侵檢測概述
入侵檢測概念
• 入侵是指違背訪問目標的安全策略的行為
• 具有入侵檢測功能的系統稱為入侵檢測系統,簡稱為IDS
入侵檢測模型
• 早期入侵檢測模型:根據主機系統的審計記錄數據,生成有關系統的若干輪廓,並檢測變化差異,發現入侵行為
• CIDF
• 入侵系統需要分析的數據統稱為事件
入侵檢測作用
發現受保護系統中的入侵或異常行為
校驗安全保護措施的有效性
分析受保護系統所面臨的威脅
利於阻止安全事件擴大,及時報警觸發應急響應機制
為網絡安全策略的制定提供重要指導
報警信息可用作網絡犯罪取證
還常用於網絡安全態勢感知
入侵檢測技術
基於誤用的入侵檢測技術
• 又稱為基於特征的入侵檢測方法,指根據已知的入侵模式檢測入侵行為。
• 顯然,誤用入侵檢測依賴於攻擊模式庫。攻擊模式庫決定了IDS的性能
• 常見幾種誤用檢測方法,檢測的過程實際上就是模式匹配的過程
• 基於條件概率的誤用檢測方法
• 將入侵方式對應一個事件序列,然后觀測事件發生序列,應用貝葉斯定理推理,推測入侵行為
• 缺點:先驗概率難以給出,事件的獨立性難以滿足
• 基於狀態遷移的誤用檢測方法
• 利用狀態圖表示攻擊特征,通過檢查系統狀態變化發現入侵行為
• 例如STAT、USTAT
• 基於鍵盤監控的誤用檢測方法
• 缺點:沒有系統支持下,缺少捕獲用戶擊鍵的可靠方法;多種擊鍵方式表示同一種攻擊;沒有擊鍵語義分析;不能檢測惡意程序自動攻擊
• 基於規則的誤用檢測方法
• 優點:檢測起來比較簡單;缺點:受規則庫限制,無法發現新攻擊,容易受干擾
• 目前大部分IDS采用此方法
基於異常的入侵檢測技術
• 是指通過計算機或網絡資源統計分析,建立系統正常行為的“軌跡”,定義一組系統正常情況的數值,然后將系統運行時的數值與所定義的“正常”情況相比較,得出是否有被攻擊的跡象
• 異常檢測的前提是異常行為包括入侵行為,但是現實中二者並不等同。
• 異常檢測方法的基本思路就是構造異常行為合集,從中發現入侵行為
• 幾種常見的異常檢測方法
• 基於統計的異常檢測方法
• 基於模式預測的異常檢測方法
• 基於文本分類的異常檢測方法
• 基於貝葉斯推理的異常檢測方法
基於規范的檢測方法
• 優點:不僅能夠發現已知攻擊,而且也能發現未知攻擊
基於生物免疫的檢測方法
• 關鍵技術:構造系統“自我”標志以及標志演變方法
基於攻擊誘騙的檢測方法
• 蜜罐技術
基於入侵警報的關聯檢測方法
• 基於報警數據的相似性進行報警關聯分析
• 通過人為設置參數或機器學習進行報警關聯分析
• 根據某種攻擊的前提條件與結果進行報警關聯分析
入侵檢測系統組成與分類
• 入侵檢測系統組成
• 基於主機的入侵檢測系統(HIDS)
HIDS一般適合檢測以下入侵行為:
針對主機的端口或漏洞掃描
重復失敗的登入嘗試
遠程口令破解
主機系統的用戶賬號添加
服務啟動或停止
系統重啟動
文件的完整性或許可權變化
注冊表修改
重要系統啟動文件變更
程序的異常調用
拒絕服務攻擊
HIDS中的軟件
SWATCH、Tripwire、網頁防篡改系統
優點:
可以檢測基於網絡入侵檢測系統不能檢測的攻擊
可以運行在應用加密系統的網絡上,只要加密信息在到達被監控的主機時或到達前解密
可以運行在交換網絡中
缺點:
必須在每個監控的主機上都安裝和維護信息收集模塊
HIDS可能受到攻擊並被破壞者破壞
占用主機系統資源,降低系統性能
不能有效地檢測針對網絡中所有主機的網絡掃描
不能有效地檢測和處理拒絕服務攻擊
只能使用它所監控的主機的計算資源
• 基於網絡的入侵檢測系統(NIDS)
NIDS一般構成:探測器和管理控制器。能檢測以下入侵行為:
同步風暴(SYN Flood)
分布式拒絕服務攻擊(DDoS)
網絡掃描
緩沖區溢出
協議攻擊
流量異常
非法網絡訪問
優點:
適當的配置可以監控一個大型網絡的安全狀況
安裝對網絡影響很小
可以很好地避免攻擊
缺點:
在高速網絡中很難處理所有網絡包
交換機不提供統一監測端口,減少監測范圍
網絡流量被加密,探測器無法對數據包中的協議進行有效分析
僅依靠網絡流量無法推知命令的執行結果,無法判斷攻擊是否成功
• 分布式入侵檢測系統(DIDS)
基於主機檢測的分布式入侵檢測系統
HDIDS結構分為兩部分:主機探測器和入侵管理控制器。
基於網絡的分布式入侵檢測系統
NDIDS結構分為兩部分:網絡探測器和管理控制器
入侵檢測系統主要技術指標與產品
入侵檢測相關產品
主機入侵檢測系統
360安全衛士、北信源主機監控審計系統
網絡入侵檢測系統
綠盟
統一威脅管理(UTM)
高級持續威脅檢測(APT)
安天追影威脅分析系統、360天眼、華為FireHunter6000系列沙箱
入侵檢測相關指標
可靠性、可用性、可擴展性、時效性、准確性和安全性
入侵檢測應用場景
上網保護、網絡入侵檢測與保護、網絡攻擊阻斷、主機/終端惡意代碼檢測、網絡安全監測預警與應急處置、網絡安全等級保護
入侵檢測系統應用
入侵檢測系統部署方法
- 根據組織或公司等安全策略要求,確定IDS要監測等對象或保護網段
- 在監測對象或保護網段,安裝IDS檢測器,采集網絡入侵檢測所需要的信息
- 針對監測對象或保護網段的安全需求,制定相應的檢測策略
- 依據檢測策略,選用合適的IDS結構類型
- 在IDS上,配置入侵檢測規則
- 測試驗證IDS的安全策略是否正常執行
- 運行和維護IDS
基於HIDS的主機威脅檢測 - 單機應用:直接安全到受檢測主機
- 分布式應用:
基於NIDS的內網威脅檢測
基於NIDS的網絡邊界威脅檢測
