10.1 入侵检测概述
- 入侵检测是网络安全态势感知的关键核心技术,支撑构建网络信息安全保障体系。主要阐述入侵检测的基本概念,入侵检测模型和入侵检测作用。
10.1.1 入侵检测概念
- 入侵是指未经授权蓄意尝试访问信息,篡改信息使系统不可用的行为。
- 非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作。
- 入侵是指违背访问目标的安全策略的行为。
- 入侵检测通过收集操作系统,系统程序,应用程序,网络包等信息,发现系统中违背安全策略或危及系统安全的行为。
- 具有入侵检测功能的系统称为入侵检测系统,简称为IDS。
10.1.2 入侵检测模型
- 通用的入侵检测框架模型,简称CIDF。
- 事件产生器(event generators)
- 事件分析器(event analyzers)
- 响应单元(response units)
- 事件数据库(event databases)
- CIDF将入侵检测系统需要分析的数据统称为事件,可以是网络中的数据包,也可以是系统日志等其他途径的信息。
- 事件产生器从整个计算环境中获得事件,并向系统的其他部分提供事件。
- 事件分析器分析所得到的数据,并产生分析结果。
- 响应单元对分析结果做出反应。
- 事件数据库存放数据。
10.1.3 入侵检测作用
- 入侵检测系统在网络安全保障过程中扮演类似”预警机“或者”安全巡逻人员“的角色,入侵检测系统的直接目的不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图或已经违背安全策略的行为。
10.2 入侵检测技术
- 基于误用的入侵检测技术。
- 基于异常的入侵检测技术。
- 其他技术(包括基于规范的检测方法,基于生物免疫的检测方法,基于攻击诱骗的检测方法,基于入侵报警的关联检测方法,基于沙箱动态分析的检测方法,基于大数据分析的检测方法)。
10.2.1 基于误用的入侵检测技术
- 误用入侵检测通常称为基于特征的入侵检测方法,是指根据已知的入侵模式检测入侵行为。
- 1.基于条件概率的误用检测方法
- 2.基于状态迁移的误用检测方法
- 3.基于键盘监控的误用检测方法
- 4.基于规则的误用检测方法
10.2.2 基于异常的入侵检测技术
- 异常检测方法是指通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象。
- 1.基于统计的异常检测方法
- 2.基于模式预测的异常检测方法
- 3.基于文本分类的异常检测方法
- 4.基于贝叶斯推理的异常检测方法
10.2.3 其他
- 1.基于规范的检测方法
- 用一种策略描述语言PE-grammars事先定义系统特权程序有关安全的操作执行序列,每个特权程序都有一组安全操作序列,这些操作序列构成特权程序的安全跟踪测量。若特权程序的操作序列不符合已定义的操作序列,就进行入侵报警。
- 这个基于规范的入侵检测方法介入异常检测和误用检测之间。
- 优点是不仅能够发现已知的攻击,而且能发现未知的攻击。
- 2.基于生物免疫的检测方法
- 是指模仿生物有机体的免疫系统工作机制,使受保护的系统能够“非自我(non-self)”的攻击行为与“自我(self)”的合法行为区分开来。
- 该方法综合了异常检测和误用检测两种方法。
- 3.基于攻击诱骗的检测方法
- 是指将一些虚假的系统或漏洞信息提供给入侵者,如果入侵者应用这些信息攻击系统,就可以推断系统正在遭受入侵。
- 4.基于入侵报警的关联检测方法
- 5.基于沙箱动态分析的检测方法
- 6.基于大数据分析的检测方法
- 是指通过汇聚系统日志,IDS报警日志,防火墙日志,DNS日志,网络威胁情报,全网流量等多种数据资源,形成网络安全大数据资源池,然后利用人工智能技术,基于网络安全大数据进行机器学习,以发现入侵行为。
- 常见的大数据分析检查技术有数据挖掘,深度学习,数据关联,数据可视化分析等。
10.3 入侵检测系统组成与分类
-
主要包括基于主机的入侵检测系统,基于网络的入侵检测系统和分布式入侵检测系统。
10.3.1 入侵检测系统组成
- 主要功能模块组成如下:
- 数据采集模块。
- 入侵分析引擎模块。
- 应急处理模块。
- 管理配置模块和相关的辅助模块。
- IDS分为三大类
- 基于主机的入侵检测系统(简称HIDS),通过分析主机的信息来检测入侵行为。
- 基于网络的入侵检测系统(简称NIDS),通过获取网络通信中的数据包,对数据包进行攻击特征扫描或异常建模来发现入侵行为。
- 分布式入侵检测系统(简称DIDS),从多台主机,多个网段采集检测数据,或者收集单个IDS的报警信息,根据收集到的信息进行综合分析,以发现入侵行为。
10.3.2 基于主机的入侵检测系统
- 简称HIDS,HIDS通过收集主机系统的日志文件,系统调用以及应用程序的使用,系统资源,网络通信和用户使用等信息,分析这些信息是否包含攻击特征或异常情况,并依此来判断该主机是否收到入侵。
- 因为入侵行为会引起主机系统的变化,因此在实际的HIDS产品中,CPU利用率,内存利用率,磁盘空间大小,网络端口使用情况,注册表,文件的完整性,进程信息,系统调用等常作为识别入侵事件的依据。
- 1.SWATCH
- 2.Tripwire
- 3.网页防篡改系统
10.3.3 基于网络的入侵检测系统
-
检测NIDS,NIDS通过侦听网络系统,捕获网络数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。
-
基于网络的入侵检测系统的优点:
-
适当的配置可以监控一个大型网络的安全状况;
-
对已有的网络影响很小,通常属于被动型的设备,只监听网络而不干扰网络的正常运作。
-
可以很好的避免攻击,对于攻击者甚至是不可不见的。
-
-
基于网络的入侵检测系统的缺点:
- 在高速网络中,NIDS很难处理所有的网络包,因此有可能出现遗检现象;
- 交换机可以将网络分为许多小单元VLAN,而多数交换机不提供统一的监测端口,这就减少了基于网络的入侵检测系统的监测范围。
- 如果网络流量被加密,NIDS中的探测器无法对数据包中的协议进行有效的分析;
- NIDS仅依靠网络流量无法推知命令的执行结果,从而无法判断攻击是否成功;
10.3.4 分布式入侵检测系统
- 面对新的入侵检测问题,分布式入侵检测系统应运而生,它可以跨越多个子网检测攻击行为,特别是大型网络。
- 分布式入侵检测系统分成两种类型,一种是基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。
- 1.基于主机检测的分布式入侵检测系统
- 简称HDIDS,其结构分为两个部分,主机探测器和入侵管理控制器。
- 主机探测器多以安全代理(Agent)的形式直接安装在每个被保护的主机系统上。
- 2.基于网络的分布式入侵检测系统
- NDIDS的结构分为两部分:网络探测器和管理控制器。
10.4 入侵检测系统主要产品与技术指标
- 入侵检测系统是常见的网络安全产品,产品类型有主机入侵检测系统,网络入侵检测系统以及统一威胁管理,高级持续威胁检测。
10.4.1 入侵检测相关产品
-
1.主机入侵检测系统
- 360安全卫士
- EDR
-
2.网络入侵检测系统
- 绿盟
- 启明
-
3.统一威胁管理
- UTM
-
4.高级持续威胁检测
- 360天眼新一代威胁感知系统
-
5.其他
10.4.2 入侵检测相关指标
- 1.可靠性
- 2.可用性
- 3.可扩展性
- 4.时效性
- 5.准确性
- 6.安全性
10.5 入侵检测系统应用
10.5.1 入侵检测应用场景类型
- 1.上网保护
- 2.网站入侵检测与保护
- 3.网络攻击阻断
- 4.主机/终端恶意代码检测
- 5.网络安全监测预警与应急处置
- 6.网络安全等级保护
10.5.2 入侵检测系统部署方法
10.5.3 基于HIDS主机威胁检测
10.5.4 基于NIDS的内网威胁检测
10.5.5 基于NIDS的网络边界威胁检测
10.5.6 网络安全态势感知应用参考
10.5.7 开源网络入侵检测系统
- Snort,Suricata