信息安全工程师-软考中级-备考笔记:第十章 入侵检测技术原理与应用

第10章 入侵检测技术原理与应用
入侵检测概述
入侵检测概念
• 入侵是指违背访问目标的安全策略的行为
• 具有入侵检测功能的系统称为入侵检测系统,简称为IDS
入侵检测模型
• 早期入侵检测模型:根据主机系统的审计记录数据,生成有关系统的若干轮廓,并检测变化差异,发现入侵行为

• CIDF

• 入侵系统需要分析的数据统称为事件
入侵检测作用
 发现受保护系统中的入侵或异常行为
 校验安全保护措施的有效性
 分析受保护系统所面临的威胁
 利于阻止安全事件扩大,及时报警触发应急响应机制
 为网络安全策略的制定提供重要指导
 报警信息可用作网络犯罪取证
 还常用于网络安全态势感知
入侵检测技术
基于误用的入侵检测技术
• 又称为基于特征的入侵检测方法,指根据已知的入侵模式检测入侵行为。

• 显然,误用入侵检测依赖于攻击模式库。攻击模式库决定了IDS的性能
• 常见几种误用检测方法,检测的过程实际上就是模式匹配的过程
• 基于条件概率的误用检测方法
• 将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理推理,推测入侵行为
• 缺点:先验概率难以给出,事件的独立性难以满足
• 基于状态迁移的误用检测方法
• 利用状态图表示攻击特征,通过检查系统状态变化发现入侵行为
• 例如STAT、USTAT
• 基于键盘监控的误用检测方法
• 缺点:没有系统支持下,缺少捕获用户击键的可靠方法;多种击键方式表示同一种攻击;没有击键语义分析;不能检测恶意程序自动攻击
• 基于规则的误用检测方法
• 优点:检测起来比较简单;缺点:受规则库限制,无法发现新攻击,容易受干扰
• 目前大部分IDS采用此方法
基于异常的入侵检测技术
• 是指通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象

• 异常检测的前提是异常行为包括入侵行为,但是现实中二者并不等同。
• 异常检测方法的基本思路就是构造异常行为合集,从中发现入侵行为
• 几种常见的异常检测方法
• 基于统计的异常检测方法
• 基于模式预测的异常检测方法
• 基于文本分类的异常检测方法
• 基于贝叶斯推理的异常检测方法
基于规范的检测方法
• 优点:不仅能够发现已知攻击,而且也能发现未知攻击
基于生物免疫的检测方法
• 关键技术:构造系统“自我”标志以及标志演变方法
基于攻击诱骗的检测方法
• 蜜罐技术
基于入侵警报的关联检测方法
• 基于报警数据的相似性进行报警关联分析
• 通过人为设置参数或机器学习进行报警关联分析
• 根据某种攻击的前提条件与结果进行报警关联分析
入侵检测系统组成与分类
• 入侵检测系统组成

• 基于主机的入侵检测系统(HIDS)
 HIDS一般适合检测以下入侵行为:
 针对主机的端口或漏洞扫描
 重复失败的登入尝试
 远程口令破解
 主机系统的用户账号添加
 服务启动或停止
 系统重启动
 文件的完整性或许可权变化
 注册表修改
 重要系统启动文件变更
 程序的异常调用
 拒绝服务攻击
 HIDS中的软件
 SWATCH、Tripwire、网页防篡改系统
 优点:
 可以检测基于网络入侵检测系统不能检测的攻击
 可以运行在应用加密系统的网络上,只要加密信息在到达被监控的主机时或到达前解密
 可以运行在交换网络中
 缺点:
 必须在每个监控的主机上都安装和维护信息收集模块
 HIDS可能受到攻击并被破坏者破坏
 占用主机系统资源,降低系统性能
 不能有效地检测针对网络中所有主机的网络扫描
 不能有效地检测和处理拒绝服务攻击
 只能使用它所监控的主机的计算资源
• 基于网络的入侵检测系统(NIDS)
 NIDS一般构成:探测器和管理控制器。能检测以下入侵行为:
 同步风暴(SYN Flood)
 分布式拒绝服务攻击(DDoS)
 网络扫描
 缓冲区溢出
 协议攻击
 流量异常
 非法网络访问
 优点:
 适当的配置可以监控一个大型网络的安全状况
 安装对网络影响很小
 可以很好地避免攻击
 缺点:
 在高速网络中很难处理所有网络包
 交换机不提供统一监测端口,减少监测范围
 网络流量被加密,探测器无法对数据包中的协议进行有效分析
 仅依靠网络流量无法推知命令的执行结果,无法判断攻击是否成功
• 分布式入侵检测系统(DIDS)
 基于主机检测的分布式入侵检测系统
 HDIDS结构分为两部分:主机探测器和入侵管理控制器。
 基于网络的分布式入侵检测系统
 NDIDS结构分为两部分:网络探测器和管理控制器
入侵检测系统主要技术指标与产品
入侵检测相关产品
主机入侵检测系统
 360安全卫士、北信源主机监控审计系统
网络入侵检测系统
 绿盟

统一威胁管理(UTM)
高级持续威胁检测(APT)
安天追影威胁分析系统、360天眼、华为FireHunter6000系列沙箱
入侵检测相关指标
可靠性、可用性、可扩展性、时效性、准确性和安全性
入侵检测应用场景
上网保护、网络入侵检测与保护、网络攻击阻断、主机/终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护
入侵检测系统应用
入侵检测系统部署方法

  1. 根据组织或公司等安全策略要求,确定IDS要监测等对象或保护网段
  2. 在监测对象或保护网段,安装IDS检测器,采集网络入侵检测所需要的信息
  3. 针对监测对象或保护网段的安全需求,制定相应的检测策略
  4. 依据检测策略,选用合适的IDS结构类型
  5. 在IDS上,配置入侵检测规则
  6. 测试验证IDS的安全策略是否正常执行
  7. 运行和维护IDS
    基于HIDS的主机威胁检测
  8. 单机应用:直接安全到受检测主机
  9. 分布式应用:

基于NIDS的内网威胁检测

基于NIDS的网络边界威胁检测

posted @ 2021-11-14 11:06  devdog  阅读(577)  评论(0编辑  收藏  举报