网站Logo 记录生活
首页
速查
精选
朋友圈
月报
信息安全工程师
百个渗透靶场
关于

信息安全工程师-第十章 入侵检测技术原理与应用

123456
4
2025-09-13

第十章 入侵检测技术原理与应用

10.1 入侵检测概述

10.1.1 入侵检测概述

判断是否为入侵的依据是:对目标的操作是否超出了目标的安全策略范围。

入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。

具有入侵检测功能的系统称为入侵检测系统,简称为IDS.

10.1.2 入侵检测模型

·早期入侵检测模型根据审计记录数据,生成系统的轮廓,并检测轮廓的变化,发现入侵行为。

·通用入侵检测模型CIDF,把入侵检测系统分成:事件产生器、事件分析器、响应单元和事件数据库。

·事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供事件。

·事件分析器分析所得到的数据,并产生分析结果。

·响应单元对分析结果做出反应。

·事件数据库存在各种中间和最终数据。

image-20250912155136245

10.1.3 入侵检测作用

入侵检测系统扮演“预警机”“安全巡逻人员”的角色,不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图或已经违背安全策略的行为,主要作用:

(1)发现受保护系统中的入侵行为或异常行为;

(2)检验安全保护措施的有效性;

(3)分析受保护系统所面临的威胁;

(4)有利于阻止安全事件扩大,及时报警触发网络安全应急响应;

(5)可以为网络安全策略的制定提供重要指导;

(6)报警信息可用作网络犯罪取证。

入侵检测技术还常用于安全态势感知,以获取网络信息系统的安全状况。网络安全态势感知平台通常汇聚入侵检测系统的报警数据,特别是分布在不同安全区域的报警,然后对其采取数据关联分析、时间序列分析等综合技术手段,给出网络安全状况判断及攻击发展演变趋势。

10.2 入侵检测技术原理

10.2.1 入侵检测技术原理

误用检测:又称基于特征的入侵检测方法,是指根据已知的入侵模式检测入侵行为。

·分类:基于条件概率(贝叶斯定理)、基于状态迁移、基于键盘监控、基于规则

·缺点:高度依赖特征库,检测不出新的攻击。

异常检测:通过统计分析,建立系统正常行为的“轨迹”,定义一组系统正常数值,然后将系统运行时的数值与定义的“正常”情况相比较,得出否有被攻击。【异常登录】

·分类:基于统计、基于模式预测、基于文本分类、基于贝叶斯推理

·缺点:存在较多误报,可以检测出新的攻击

image-20250912163455296

10.3 入侵检测系统组成

10.3.1 入侵检测系统组成

入侵检测系统组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块(提供配置服务,是模块和用户的接口)和相关的辅助模块(为入侵分析引擎模块提供信息)。

image-20250912164113671

10.3.2 入侵检测分类

根据IDS的检测数据来源和它的安全作用范围,可分为三类:

·基于主机的入侵检测系统(简称HIDS(host),分析主机的信息)

·基于网络的入侵检测系统(简称NIDS(network),扫描网络通信数据包)

·分布式入侵检测系统(简称DIDS(dd),多台主机、多个网段采集数据综合分析)

10.3.3 入侵检测分类-HIDS

HIDS基于主机的入侵检测系统通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息,分析这些信息是否包含攻击特征或异常情况,并依次来判断该主机是否受到入侵。CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。

HIDS软件

SWATCH(实施监视日志的程序)

Tripwire(文件和目录完整性检测工具软件包)

网页防篡改系统(防止网页文件被入侵者非法修改)

image-20250912164613783

10.3.4 入侵检测分类-NIDS

NIDS基于网络的入侵检测系统通过侦听网络系统,捕获数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。

NIDS能够检测:同步风暴 (SYN Flood)、分布式拒绝服务攻击 (DDoS);网络扫描;缓冲区溢出攻击;协议攻击;流量异常;非法网络访问。

NIDS通常分为两部分:探测器和管理控制器。

探测器:分布在网络中的不同区域,通过侦听方式获取网络包,探测器将检测到攻击行为形成报警事件,向管理控制器发送报警信息,报告发生入侵行为。

管理控制器:可监控不同网络区域的探测器,接收来自探测器的报警信息。

基于网络的入侵检测系统的优点

· 可以监控大型网络的安全状况;

· 对网络影响很小,通常属于被动型的设备,它们只监听网络而不干扰网络的正常运作;

· 很好地避免攻击,对于攻击者甚至是不可见的。

基于网络的入侵检测系统的缺点

· 在高速网络中,NIDS很难处理所有的网络包,因此有可能出现漏检现象;

· 交换机可以将网络分为许多小单元VLAN,而多数交换机不提供统一的监测端口,这就减少了基于网络的入侵检测系统的监测范围;

· 如果网络流量被加密,NIDS中的探测器无法对数据包中的协议进行有效的分析;

· NIDS仅依靠网络流量无法推知命令的执行结果,从而无法判断攻击是否成功。

10.3.5 入侵检测分类-DIDS

分布式入侵检测系统:网络系统结构的复杂化和大型化,带来许多新的入侵检测问题。

(1) 系统的漏洞分散在网络中的各个主机上,这些弱点有可能被攻击者一起用来攻击网络,仅依靠基于主机或网络的IDS不会发现入侵行为。

(2) 入侵行为不再是单一的行为,而是相互协作的入侵行为。

(3) 入侵检测所依靠的数据来源分散化,收集原始的检测数据变得困难。如交换型网络使监听网络数据包受到限制。

(4) 网络传输速度加快,网络的流量增大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。

面对这些新的入侵检测问题,分布式入侵检测系统应运而生,它可以跨越多个子网检测攻击行为,特别是大型网络。分布式入侵检测系统可以分成两种类型,即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。

基于主机检测的分布式入侵检测系统 (HDIDS),分成两个部分:主机探测器和入侵管理控制器。

基于网络的分布式入侵检测系统 (NDIDS),分成两个部分:网络探测器和管理控制器。

image-20250912170051837

10.4 入侵检测产品与应用

10.4.1 入侵检测产品

(1)主机入侵检测系统。

北信源主机监控审计系统、360安全卫士、Mcafee MVISION Endpoint Detection and Response (EDR) .

(2)网络入侵检测系统。商业IDS产品,所有安全厂商都有。

(3)统一威胁管理。简称UTM,集成防火墙、入侵检测、防病毒等多种功能。

(4)APT高级持续威胁检测。复杂性攻击技术,通常将恶意代码嵌入word excel, ppt, pdf文档或电子邮件中,以实现更隐蔽的网络攻击,以逃避普通的网络安全检查。

入侵检测相关指标:可靠性、可用性、可扩展性、时效性、准确性、安全性。

10.4.2 APT攻击案例

肚脑虫 (Donot)组织以“克什米尔问题”命名的诱饵漏洞文档,该文档利用了CVE-2017-8570漏洞,攻击流程如图。

解决思路:基于静态/动态分析检测可疑恶意电子文件及关联分析网络安全大数据以发现高级持续威胁活动。APT防护产品有安天追影威胁分析系统、360天眼新一代威胁感知系统、华为Fire Hunter6000系列沙箱及CIS网络安全智能系统。

image-20250912170827478

10.4.3 入侵检测系统部署方法

IDS部署的基本过程包含以下几个步骤:

①根据组织或公司的安全策略要求,确定IDS要监测的对象或保护网段;

②在监测对象或保护网段,安装IDS探测器,采集网络入侵检测所需要的信息;

③针对监测对象或保护网段的安全需求,制定相应的检测策略;

④依据检测策略,选用合适的IDS结构类型;

⑤在IDS上,配置入侵检测规则;

⑥测试验证IDS的安全策略是否正常执行;

⑦运行和维护IDS.

10.4.4 HIDS主机威胁检测系统部署

HIDS一般用于检测针对单台主机的入侵行为,其主要应用方式如下:

(1) 单机应用。在这种应用方式下,把HIDS系统直接安装在受监测的主机上即可。

(2) 分布式应用,这种应用方式需要安装管理器和多个主机探测器(Sensor)。管理器控制多个主机探测器(Sensor),从而可以远程监控多台主机的安全状况,如图所示。

image-20250912171831709

10.4.5 NIDS网络入侵检测部署

基于NIDS的内网成功检测:将网络IDS的探测器接在内部网的广播式Hub或交换机的Probe端口,探测器通过采集内网流量,基于流量分析从而发现入侵行为。

基于NIDS的网络边界威胁检测:将NIDS的探测器接在网络边界处,采集出口流量,然后分析来自外部的入侵行为。


动物装饰