入侵檢測系統
- 防火牆可以根據IP和服務端口過濾數據報文,極少深入數據包檢查內容(合法IP和端口從事破壞活動);
- 防火牆只在網絡邊界提供安全保護,對內網用戶的違規行為或者攻擊者將內網終端作為跳板的惡意行為無能為力;
IDS的必要性
- 在造成損害前切斷連接或終止操作
- 對攻擊者震懾作用
- 可以搜集入侵信息,與防火牆聯動更新全工具的配置
IDS體系結構
CIDF通用入侵檢測框架
四個組件:
- 事件產生器:所需要分析的數據都稱為事件。可以是網絡中的數據包,或是系統日志或進程消息。其作用是從IDS之外的整個計算環境中搜集事件,將這些事件轉換為CIDF的GIDO格式像其他組件提供此事件。
- 事件分析器:分析從其他組件發送來的GIDO,經過分析得到數據,分析產生結構GIDO,並將結果向其他組件分發。(入侵檢測的核心,可以用不同算法對其 進行精確分析)。
- 響應單元:處理其他組件發來的GIDO,並作出反應的功能單元,可以作出切斷連接、改變文件屬性等強烈反應,也可以是簡單的報警。
- 事件數據庫:存放各種中間和最終GIDO的介質的統稱,可以是復雜的數據庫也可以是簡單的文本文件。
應用程序:事件產生器+事件分析器+響應單元(數據收集器、數據分析器、控制中心)
文本or數據庫:事件數據庫
決定主要性能:事件發生器和事件分析器
搜集的原始數據+分析算法的效率
根據事件分析器采用數據來源不同分類:基於主機的入侵檢測系統、基於網絡的入侵檢測系統、分布式的入侵檢測系統
根據事件分析器分析算法類型的不同分類:基於異常的入侵檢測系統、基於誤用的入侵檢測系統
核心功能:對各種事件進行分析,從這個發現違反安全策略的行為
IDS的兩大類分析檢測方法(基於異常檢測、基於誤用檢測)分別對應經驗主義和理性主義
基於誤用檢測
定義了一套規則來判斷特定的行為是否是一個入侵行為。這些規則是基於特征對已知攻擊行為的描述(公理)。
優點:誤報率低
缺點:對新的入侵行為防范能力很弱
黑名單模式
建立入侵行為特征庫
缺點是規則庫對系統類型依賴度很高,不同的系統需要有不同的規則庫
定義入侵行為數據庫,以及匹配與入侵行為分析方法。
- 專家系統:建立數據庫
- 模式匹配與協議分析
- 狀態建模:入侵行為建模一個行為序列
基於異常檢測
通過大量的觀察和統計,建立正常行為的輪廓,只要一個行為不嚴重偏離正常行為輪廓就是一個正常行為,反之則是入侵行為。
優點:檢出率高
缺點:誤報率高
白名單模式
存在假陽性和假陰性的情況;
難點在於合理的選擇閾值,以最大限度地減少誤報率和漏報率。閾值的選擇是一種折中的藝術。
概率統計入侵檢測
系統首先定義一個能夠描述合法用戶行為的特征數據集合,利用數理統計方法對特征數據進行分析,形成正常行為輪廓。
采用多個變量的統計值進行入侵檢測也叫做多元變量的入侵檢測
基礎是審計記錄或日志數據
作用:
- 對一段時間內的審計記錄分析可以缺點平均用戶活動曲線,形成合法用戶的行為輪廓。
- 用戶當前的審計記錄可以作為入侵檢測系統的輸入,根據當前記錄與行為輪廓的偏差判斷入侵行為。
- 原始審計記錄:事實上現有的所有操作系統均有系統日志,缺點是原始日志不便於直接分析使用
- 面向入侵檢測的審計記錄:專門的審計記錄收集工具,優點是可以采用特別地工具滿足ids特定的需求,缺點是增加了系統的開銷
具體的審計記錄至少應當包括以下內容:
主體,行為,客體,異常條件,資源使用情況,時間戳,計數器,計量器,計時器,積分器,定時器
優點:
不需要具備太多系統安全弱點的先驗知識,統計本身具有一定的自學習能力(依賴閾值時一種比較粗糙的檢測方法)
缺點:
對事件發生的次序不敏感,可能會漏檢依賴彼此關聯事件的入侵行為。
預測模型入侵檢測
- 馬爾可夫過程
- 時間序列模型
網絡中行為是動態變化的,以前合法的行為可能會變成不合法的行為
基於監督學習的入侵檢測
KNN(K近鄰算法)、決策樹(DT)、支持向量機(SVM)
基於無監督學習的入侵檢測
K-means聚類、層次聚類
入侵檢測系統的部署方式
基於主機的入侵檢測系統(HIDS)
檢測目標是運行於網絡中的主機或主機上的用戶;
運行在網絡中的主要主機、服務器、工作站或關鍵路由器上。
數據來源:主機的系統審計日志或網絡流量
基於網絡的入侵檢測系統(NIDS)
被動在網絡中監聽整個網段的數據流,通過補貨數據報文進行分析。
分布式入侵檢測系統(DIDS)
每台被監控主機上的檢測代理、網絡檢測代理和中央控制器
中央控制器:
- 通信管理控制整個分布式入侵檢測系統中的信息流
- 專家系統負載分析個各代理發來的過濾后的數據,進行高層次的入侵檢測分析
- 用戶接口主要負責給安全管理員良好的的人機界面