信息安全-第十章-入侵检测技术

入侵检测技术原理与应用

入侵指未经授权蓄意尝试访问信息、篡改信息使系统不可用的行为，即违背访问目标的安全策略的行为，具有入侵检测概念的系统称为入侵检测系统，简称IDS。

入侵检测模型：
CIDF入侵检测模型，由事件产生器、事件分析器、响应单元、事件数据库组成。

入侵检测的作用

入侵检测的作用不是阻止攻击，而是预警和安全检测巡逻功能。

• 发现受保护系统的入侵行为和异常行为
• 检验安全保护措施的有效性
• 发现受保护系统所面临的威胁
• 有利于阻止安全事件扩大，及时触发报警和响应
• 为网络安全策略提供数据以及指导
• 网络犯罪取证

入侵检测技术

基于误用的入侵检测技术：
也称基于特征的入侵检测方法，指根据已知的入侵检测没啥检测入侵行为。

• 基于条件概率的误用检测方法
• 基于状态迁移的误用检测方法
• 基于键盘监控的误用检测方法
• 基于规则的误用检测方法，大部分IDS是基于预先定义的规则进行检测。

基于异常的入侵检测技术：
通过计算机统计分析建立系统正常运行的轨迹，然后与系统运行时比较。

• 基于统计的异常检测方法
• 基于模式预测的异常检测方法
• 基于文本分类的异常检测方法
  基于贝叶斯推理的异常检测方法

入侵检测系统的组成与分类

主要包括基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）和分布式入侵检测系统(DIDS)。
入侵检测系统由数据采集模块、入侵分析引擎模块、应急处置模块、管理配置模块和相关的辅助模块组成。

基于主机的入侵检测系统：HIDS
一般安装在单台主机，通过收集主机的日志信息进行分析发现入侵攻击。主要功能：

• 针对主机的端口或者漏洞扫描
• 重复失败的登陆尝试
• 远程口令破解
• 主机系统的用户账号添加
• 服务的启动和停止
• 系统重启动
• 文件的完整性或许可权限变化
• 注册表修改
• 重要系统启动文件变更
• 程序的异常调用
• 拒绝服务攻击

基于网络的入侵检测系统：NIDS
通过侦查网络系统，捕获网络数据包进行分析是否具有攻击特征来识别入侵行为，分为探测器和管理器两部分。开源Snort

• 同步风暴（SYN Flood)
• 分布式拒绝服务攻击（DDOS）
• 网络扫描
• 缓冲区溢出
• 协议攻击
• 流量异常
• 非法网络访问

分布式入侵检测系统：
又分为基于主机检测的分布式入侵检测系统HDIDS和基于网络的分布式入侵检测系统NDIDS。

入侵检测技术

• 主机入侵检测系统
• 网络入侵检测系统
• 统一威胁管理（UTM）
• 高级持续威胁检测（APT）
• 其它