2020软考 信息安全工程师(第二版)学习总结【六】

第十章 入侵检测技术原理与应用

入侵检测概述

• 入侵检测概念

  • 入侵是指违背访问目标的安全策略的行为
  • 具有入侵检测功能的系统称为入侵检测系统，简称为IDS

• 入侵检测模型

  • 早期入侵检测模型：根据主机系统的审计记录数据，生成有关系统的若干轮廓，并检测变化差异，发现入侵行为

    

  • CIDF

    

    • 入侵系统需要分析的数据统称为事件

• 入侵检测作用

  • 发现受保护系统中的入侵或异常行为
  • 校验安全保护措施的有效性
  • 分析受保护系统所面临的威胁
  • 利于阻止安全事件扩大，及时报警触发应急响应机制
  • 为网络安全策略的制定提供重要指导
  • 报警信息可用作网络犯罪取证
  • 还常用于网络安全态势感知

入侵检测技术

• 基于误用的入侵检测技术

  • 又称为基于特征的入侵检测方法，指根据已知的入侵模式检测入侵行为。

    

  • 显然，误用入侵检测依赖于攻击模式库。攻击模式库决定了IDS的性能

  • 常见几种误用检测方法，检测的过程实际上就是模式匹配的过程

    • 基于条件概率的误用检测方法
      • 将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理推理，推测入侵行为
      • 缺点：先验概率难以给出，事件的独立性难以满足
    • 基于状态迁移的误用检测方法
      • 利用状态图表示攻击特征，通过检查系统状态变化发现入侵行为
      • 例如STAT、USTAT
    • 基于键盘监控的误用检测方法
      • 缺点：没有系统支持下，缺少捕获用户击键的可靠方法；多种击键方式表示同一种攻击；没有击键语义分析；不能检测恶意程序自动攻击
    • 基于规则的误用检测方法
      • 优点：检测起来比较简单；缺点：受规则库限制，无法发现新攻击，容易受干扰
      • 目前大部分IDS采用此方法

• 基于异常的入侵检测技术

  • 是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象

    

  • 异常检测的前提是异常行为包括入侵行为，但是现实中二者并不等同。

  • 异常检测方法的基本思路就是构造异常行为合集，从中发现入侵行为

  • 几种常见的异常检测方法

    • 基于统计的异常检测方法
    • 基于模式预测的异常检测方法
    • 基于文本分类的异常检测方法
    • 基于贝叶斯推理的异常检测方法

• 基于规范的检测方法

  • 优点：不仅能够发现已知攻击，而且也能发现未知攻击

• 基于生物免疫的检测方法

  • 关键技术：构造系统“自我”标志以及标志演变方法

• 基于攻击诱骗的检测方法

  • 蜜罐技术

• 基于入侵警报的关联检测方法

  • 基于报警数据的相似性进行报警关联分析
  • 通过人为设置参数或机器学习进行报警关联分析
  • 根据某种攻击的前提条件与结果进行报警关联分析

入侵检测系统组成与分类

• 入侵检测系统组成

  

• 基于主机的入侵检测系统（HIDS）

  • HIDS一般适合检测以下入侵行为：
    • 针对主机的端口或漏洞扫描
    • 重复失败的登入尝试
    • 远程口令破解
    • 主机系统的用户账号添加
    • 服务启动或停止
    • 系统重启动
    • 文件的完整性或许可权变化
    • 注册表修改
    • 重要系统启动文件变更
    • 程序的异常调用
    • 拒绝服务攻击
  • HIDS中的软件
    • SWATCH、Tripwire、网页防篡改系统
  • 优点：
    • 可以检测基于网络入侵检测系统不能检测的攻击
    • 可以运行在应用加密系统的网络上，只要加密信息在到达被监控的主机时或到达前解密
    • 可以运行在交换网络中
  • 缺点：
    • 必须在每个监控的主机上都安装和维护信息收集模块
    • HIDS可能受到攻击并被破坏者破坏
    • 占用主机系统资源，降低系统性能
    • 不能有效地检测针对网络中所有主机的网络扫描
    • 不能有效地检测和处理拒绝服务攻击
    • 只能使用它所监控的主机的计算资源

• 基于网络的入侵检测系统（NIDS）

  • NIDS一般构成：探测器和管理控制器。能检测以下入侵行为：
    • 同步风暴（SYN Flood）
    • 分布式拒绝服务攻击（DDoS）
    • 网络扫描
    • 缓冲区溢出
    • 协议攻击
    • 流量异常
    • 非法网络访问
  • 优点：
    • 适当的配置可以监控一个大型网络的安全状况
    • 安装对网络影响很小
    • 可以很好地避免攻击
  • 缺点：
    • 在高速网络中很难处理所有网络包
    • 交换机不提供统一监测端口，减少监测范围
    • 网络流量被加密，探测器无法对数据包中的协议进行有效分析
    • 仅依靠网络流量无法推知命令的执行结果，无法判断攻击是否成功

• 分布式入侵检测系统（DIDS）

  • 基于主机检测的分布式入侵检测系统
    • HDIDS结构分为两部分：主机探测器和入侵管理控制器。
  • 基于网络的分布式入侵检测系统
    • NDIDS结构分为两部分：网络探测器和管理控制器

入侵检测系统主要技术指标与产品

• 入侵检测相关产品
  • 主机入侵检测系统
    • 360安全卫士、北信源主机监控审计系统
  • 网络入侵检测系统
    • 绿盟
    • 
  • 统一威胁管理（UTM）
  • 高级持续威胁检测（APT）
    • 安天追影威胁分析系统、360天眼、华为FireHunter6000系列沙箱
• 入侵检测相关指标
  • 可靠性、可用性、可扩展性、时效性、准确性和安全性
• 入侵检测应用场景
  • 上网保护、网络入侵检测与保护、网络攻击阻断、主机/终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护

入侵检测系统应用

• 入侵检测系统部署方法

  1. 根据组织或公司等安全策略要求，确定IDS要监测等对象或保护网断
  2. 在监测对象或保护网段，安装IDS检测器，采集网络入侵检测所需要的信息
  3. 针对监测对象或保护网段的安全需求，制定相应的检测策略
  4. 依据检测策略，选用合适的IDS结构类型
  5. 在IDS上，配置入侵检测规则
  6. 测试验证IDS的安全策略是否正常执行
  7. 运行和维护IDS

• 基于HIDS的主机威胁检测

  • 单机应用：直接安全到受检测主机
  • 分布式应用：

  

• 基于NIDS的内网威胁检测

  

• 基于NIDS的网络边界威胁检测