0%

第10章 入侵检测技术原理与应用

入侵检测概述

通用入侵检测模型:CIDF(事件产生器、事件分析器、响应单元、事件数据库)

入侵检测作用

表现:

  1. 发现受保护系统中的入侵行为或异常行为
  2. 检验安全保护措施的有效性
  3. 分析受保护系统所面临的威胁
  4. 有利于阻止安全事件扩大,及时报警触发网络安全应急响应
  5. 可以为网络安全策略的制定提供重要指导
  6. 报警信息可用作网络犯罪取证

入侵检测技术

基于误用的入侵检测技术

通常称为基于特征的入侵检测方法,常用的误用检测方法:

  1. 基于条件概率的误用检测方法

    先验概率:P(Intrusion)、后验概率:P(ES|Intrusion)、事件序列出现概率:P(ES)

    缺点:先验概率难以给出,事件的独立性难以满足

  2. 基于状态迁移的误用检测方法

    利用状态图表示攻击特征,通过检查系统状态变化发现入侵行为。示例:STAT和USTAT

  3. 基于键盘监控的误用检测方法

    缺点:没有系统支持下,缺少捕获用户击键的可靠方法;多种击键方式表示同一种攻击;没有击键语义分析;不能检测恶意程序自动攻击

  4. 基于规则的误用检测方法

    优点:检测起来比较简单;缺点:受规则库限制,无法发现新攻击,容易受干扰。示例:Snort

基于异常的入侵检测技术

基本思路:构造异常行为集合,从中发现入侵行为。

常见的异常检测方法:

  1. 基于统计的异常检测方法

    典型的系统主体特征有:系统登录与注销时间,资源被占用的时间以及处理机、内存和外设的使用情况。

  2. 基于模式预测的异常检测方法

    前提条件:事件序列服从某种可辨别的模式;特点:考虑了事件序列之间的相互联系;优点:能较好的处理变化多样的用户行为,集中考察少数几个相关安全事件,容易发现针对检测系统的攻击。

  3. 基于文本分类的异常检测方法

    利用K-最近邻聚类文本分类算法,分析相似性,发现异常的系统调用

  4. 基于贝叶斯推理的异常检测方法

    任意时刻,测量$A_1$到$A_n$变量值,推断系统是否发生入侵,$A_i$表示系统某一方面特征。

其他

  1. 基于规范的检测方法

    优点:不仅能够发现已知攻击,而且也能发现未知攻击。

  2. 基于生物免疫的检测方法

    关键:构造系统“自我”标志以及标志演变方法

  3. 基于攻击诱骗的检测方法

    提供虚假系统或漏洞诱惑入侵者

  4. 基于入侵报警的关联检测方法

    • 基于报警数据的相似性进行报警关联分析
    • 通过人为设置参数或机器学习进行报警关联分析
    • 根据某种攻击的前提条件与结果进行报警关联分析
  5. 基于沙箱动态分析的检测方法

  6. 基于大数据分析的检测方法

    常见技术:数据挖掘、深度学习、数据关联、数据可视化分析

入侵检测系统组成与分类

入侵检测系统组成

基于主机的入侵检测系统

HIDS一般适合检测以下入侵行为:

  • 针对主机的端口或漏洞扫描
  • 重复失败的登入尝试
  • 远程口令破解
  • 主机系统的用户账号添加
  • 服务启动或停止
  • 系统重启动
  • 文件的完整性或许可权变化
  • 注册表修改
  • 重要系统启动文件变更
  • 程序的异常调用
  • 拒绝服务攻击

HIDS软件:SWATCH、Tripwire、网页防篡改系统

优点:检测基于网络入侵检测系统不能检测的攻击;可以运行在应用加密系统的网络上,只要加密信息在到达被监控的主机时或到达前解密;可以运行在交换网络中。

缺点:必须在每个监控的主机上都安装和维护信息收集模块;HIDS可能受到攻击并被破坏者破坏;占用主机系统资源,降低系统性能;不能有效地检测针对网络中所有主机的网络扫描;不能有效地检测和处理拒绝服务攻击;只能使用它所监控的主机的计算资源。

基于网络的入侵检测系统

NIDS构成:探测器和管理控制器。能检测以下入侵行为:

  • 同步风暴(SYN Flood)
  • 分布式拒绝服务攻击(DDoS)
  • 网络扫描
  • 缓冲区溢出
  • 协议攻击
  • 流量异常
  • 非法网络访问

优点:适当的配置可以监控一个大型网络的安全状况;安装对网络影响很小;可以很好地避免攻击

缺点:在高速网络中很难处理所有网络包;交换机不提供统一监测端口,减少监测范围;网络流量被加密,探测器无法对数据包中的协议进行有效分析;仅依靠网络流量无法推知命令的执行结果,无法判断攻击是否成功。

分布式入侵检测系统

  1. 基于主机检测的分布式入侵检测系统

    HDIDS结构分为两部分:主机探测器和入侵管理控制器。

  2. 基于网络的分布式入侵检测系统

    NDIDS结构分为两部分:网络探测器和管理控制器

入侵检测系统主要产品与技术指标

入侵检测相关产品

  1. 主机入侵检测系统

    技术方法:特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析

  2. 网络入侵检测系统

    技术原理:根据网络流量数据进行分析,利用特征检测、协议异常检测等技术方法发现入侵行为

  3. 统一威胁管理

    UTM部署在内外网边界。部署方式:透明网桥、路由转发和NAT网关

  4. 高级持续威胁检测

    高级持续威胁APT通常将恶意代码嵌入文档或电子邮件中,以隐蔽网络攻击。

    技术原理:基于静态/动态分析检测可疑恶意电子文件及关联分析网络安全大数据以发现高级持续威胁活动

  5. 其他

    根据入侵检测应用对象,常见产品类型:Web IDS、数据库IDS、工控IDS

入侵检测相关指标

可靠性、可用性、可扩展性、时效性、准确性和安全性

入侵检测系统应用

入侵检测应用场景类型

上网保护、网络入侵检测与保护、网络攻击阻断、主机/终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护

入侵检测系统部署方法

IDS部署基本过程:

  1. 根据组织或公司等安全策略要求,确定IDS要监测等对象或保护网断
  2. 在监测对象或保护网段,安装IDS检测器,采集网络入侵检测所需要的信息
  3. 针对监测对象或保护网段的安全需求,制定相应的检测策略
  4. 依据检测策略,选用合适的IDS结构类型
  5. 在IDS上,配置入侵检测规则
  6. 测试验证IDS的安全策略是否正常执行
  7. 运行和维护IDS

基于HIDS的主机威胁检测(应用方式:单机应用;分布式应用)、基于NIDS的内网威胁检测、基于NIDS的网络边界威胁检测、网络安全态势感知应用参考、开源网络入侵检测系统、华为CIS网络安全智能系统应用详见P209-P214

-------本文结束  感谢您的阅读-------