[ 笔记 ] 计算机网络安全_6_入侵检测系统
[笔记] 计算机网络安全:(6)入侵检测系统
- 网络安全基础
- internet协议的安全性
- Web安全
- 网络扫描和网络监听
- 防火墙原理与设计
- 入侵检测系统
- VPN技术
目录
- [笔记] 计算机网络安全:(6)入侵检测系统
- 6.1 入侵检测系统概述
- 定义
- 功能
- 主要任务
- 发展
- 工作流程
- 信息收集
- 信息分析
- 安全响应
- 分类
- 评价标准
- 6.2 入侵检测系统原理及主要方法
- 异常检测
- 误用检测
- 6.3 入侵检测系统
- 基于网络的入侵检测系统(NIDS)
- 主要特点
- 关键技术
- 实例-SNORT
- NIDS优缺点
- NIDS的部署
- 基于主机的入侵检测系统(HIDS)
- 关键技术
- HIDS关键技术
- 优缺点
- 实例TripWire
- NIDS vs HIDS
- 分布式入侵检测系统(DIDS)
- 6.4 IDS设计重点和部署
- IDS的设计
- IDS的部署
- 6.5 IDS发展趋势和方向
- 面临问题
- 发展方向
- 入侵防御系统IPS
- IPS与IDS:技术同源
- 部署方式对比
- 设计出发点对比
- 解决的问题
传统的网络安全防护技术存在局限:被动防御的网络安全技术
- 无法防御来自内部的攻击
- 无法防范数据驱动型的攻击
- 自身存在弱点,可能成为攻击对象
- 安全策略不能充分保证系统安全
积极主动的网络安全防护技术
- 即时监控网络数据传输
- 实时报告网络异常
- 迅速、主动地采取反应措施
6.1 入侵检测系统概述
定义
入侵检测是一种网络入侵识别技术,入侵检测是防火墙之后的第一道网络安全闸门
- 事前预防:识别网络入侵企图
- 事中反制:正在发生的网络入侵行为
- 事后分析:网络入侵发生后搜集相关信息
功能
- 统计、分析攻击者的探测行为,发出警报
- 检测、记录网络中的攻击行为,采取阻断措施
- 提供攻击的详细信息,诊断和修补安全弱点
- 检测未授权操作或安全违规行为
- 识别、报告系统中存在的安全威胁
主要任务
- 监视、分析用户及系统的活动
- 跟踪、分析网络数据流量
- 实现数据文件的完整性检查
- 构建已知攻击特征库,识别已知攻击
- 构建正常行为模式,识别异常行为
发展
- 《Computer Security Threat Monitoring and Surveillance》
- 第一次详细阐述了入侵检测的概念
- 将安全威胁分类:内部、外部和不法行为
- 利用审计数据监视入侵活动
- IDES(入侵检测专家系统):入侵检测中最有影响的一个系统
- 统计学原理
- 基于规则
- NSM(Network Security Monitor)
- 直接将网络流作为审计数据来源
- 无需转换审计数据格式监控异种主机
- 两大阵营:NIDS vs HIDS
- CIDF(Common Intrusion Detection Framework)
- CIDF体系结构
- CIDF通信机制
- CIDF语言:公共入侵规范语言
- CIDF的应用程序接口
- 共享信息和资源 & 入侵检测组件再利用
工作流程
- 信息收集:用户活动状态和行为
- 网络
- 系统
- 数据库
- 应用系统
- 信息分析:对用户行为进行分析
- 模式匹配
- 统计分析
- 完整性分析
- 安全响应:对分析结果安全响应
- 主动响应
- 被动响应
信息收集
在网络上中若干不同关键点收集信息
入侵检测很大程度上以来收集信息的可靠性和正确性
- 系统和网络日志
- 网络流量
- IDS信息收集
- 非正常的目录和文件改变
- 非正常的程序执行
- …
信息分析
模式匹配:将收集到的信息与已知的入侵行为模式进行比较
网络入侵行为模式:
一个输出(例如获得某种权限)
一个过程(例如执行某一条指令)
- 可能很简单。(例如字符串匹配查找指定的条目获指令)
- 也可能很复杂。(例如利用数学方式表示安全状态的变化)
统计分析:将系统对象观测值与正常测量属性进行对比,发现偏差
- 入侵检测常用的异常发现方法:
- 构建系统对象正常情况下的统计测量属性
- 将当前观察值与统计测量属性进行比较
- 观测值无偏差——无入侵行为发生
- 观测值有偏差——存在入侵发生
- 入侵检测常用的异常发现方法:
完整性分析:在发现被恶意代码感染的应用程序方面效果特别明显
- 关注文件或系统对象是否被非法更改
- 文件的内容和属性
- 目录的内容和属性
- 其他系统对象的内容和属性
- 关注文件或系统对象是否被非法更改
安全响应
安全响应分为被动响应和主动响应两种类型
入侵检测系统一般采取的响应措施
- 分析结果记录到日志
- 告警信息
- 阻断攻击
分类
- 依据入侵检测方法
- 异常检测模型(Anomaly Detection)
- 总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
- 误用检测模型(Misuse Detection)
- 建立入侵行为特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
- 异常检测模型(Anomaly Detection)
- 依据入侵检测信息来源
- 基于主机的入侵检测
- 检测系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机
- 基于网络的入侵检测
- 检测系统获取数据的依据是网络传输的数据包,保护的目标是网络的正常运行
- 混合型
- 检测系统获取数据的依据二者兼而有之
- 基于主机的入侵检测
- 依据体系结构和模块运行方式
- 集中式入侵检测系统
- 分布式入侵检测系统
- 依据时效性
- 脱机分析型入侵检测系统
- 联机分析型入侵检测系统
评价标准
- 功能
- 性能
- 可用性
- 误报 (false positive)——假阳性:误报率 = 误报事件数/事件数总量
- 漏报 (false negative)——假阴性:漏报率 = 漏报事件数/事件数总量
先进的检测能力和响应能力
不影响被保护网络正常运行
无人监管能正常运行
具有坚固的自身安全性
具有很好的可管理性
消耗系统资源较少
可扩展性好,能适应变化
支持IP碎片重组
支持TCP流重组
支持TCP状态检测
支持应用层协议解码
灵活的用户报告功能 安装、配置、调整简单易行
能与常用的其他安全产品集成
支持常用网络协议和拓扑结构 IDS评价标准
6.2 入侵检测系统原理及主要方法
异常检测
能检测未知入侵但误报率高
- 基于行为的入侵检测
- 识别主机或网络中的异常行为
假设前提:入侵行为是异常活动的子集
用户轮廓:各种行为参数及其阀值的集合
检测过程:监控、量化、比较、判定、修正
特点
- 效率取决于用户轮廓的完备性和监控的频率
- 能够有效地检测未知入侵
- 自我调整和优化
分类
统计信息异常检测
对用户行为按照一定地频率进行采样
依据样本计算得到参数变量描述用户轮廓
优点
- 统计学方法非常成熟
- 学习用户使用习惯
缺点
- 计算量巨大
- 可能被攻击者训练
- 对事件发生的顺序不敏感
神经网络异常检测
- 将神经网络用于对系统或用户行为的学习
- 根据用户已执行命令预测用户的下一条命令
- 优点
- 能处理原始数据的随机性和干扰性
- 能够自动学习
- 缺点
- “黑盒”建模
- 难以确定各元素的权重
- 无法利用已有的经验和知识
其它异常检测方法如下
模式预测异常检测
马尔可夫过程异常检测
数据挖掘异常检测
时间序列分析异常检测
优点
- 能检测新的网络入侵
- 较少依赖于特定的主机操作系统
- 内部合法用户的越权行为检测能力强
缺点
- 误报率高
- 行为模型建立困难
- 难以对入侵行为分类和命名
误用检测
不能检测未知入侵,准确检测已知入侵
- 基于知识的入侵检测
- 将系统当前行为状态与已知入侵特征进行比较
假设前提:入侵行为都有可被检测到的特征
入侵特征:检测用户或系统行为是否和特征库中记录匹配
检测过程:监控、提取特征、匹配、判定
特点
- 误报率低、漏报率高
攻击特征
- 误用检测的核心
- 过长的攻击特征降低系统效率
- 太短的攻击特征会导致误报
分类
- 专家系统误用检测
- 将已知网络入侵行为转成规则,建立专家库
- 网络行为的审计数据进行规则转换后再判定
- 优点:适合于有特征的入侵
- 缺点
- 处理大量的审计数据
- 攻击行为规则化描述精度不高
- 只能检测已知攻击,知识库维护
- 特征分析误用检测
- 将入侵行为表示成事件序列或数据样板
- 以行为的审计数据与事件序列进行匹配
- 优点:运行效率有所提高
- 缺点
- 需及时更新数据库
- 建立和维护知识库工作量大
- 模型推理误用检测
- 根据网络入侵行为特征建立误用证据模型
- 需建立攻击场景数据库、预警器和规划者
- 优点
- 未确定推理理论为基础,模型证据推理中间结论
- 减少审计数据量
- 缺点
- 建模开销
- 需对数据库不断扩充
优点
- 检测准确度高
- 技术相对成熟
- 便于系统维护
缺点
- 不能检测新的入侵
- 依赖于入侵特征的有效性
- 维护特征库的工作量巨大
6.3 入侵检测系统
基于网络的入侵检测系统(NIDS)
- 分析网络流量、网络数据包和协议
- 使用原始网络包作为数据包
- 运行在随机模式下的网络适配器监听通信
主要特点
- 成本低
- 攻击者很难转移/消除证据
- 能够进行实时检测和响应
- 能够检测未成功的攻击企图
- 独立于操作系统
关键技术
- IP碎片重组技术
- 针对IP碎片攻击
- 碎片覆盖
- 碎片重写
- 碎片超时
- 针对网络拓扑的碎片技术
- 模拟目标主机对缓存的IP碎片进行重组
- 然后进行入侵检测分析
- 针对IP碎片攻击
- TCP流重组技术
- IDS无法使用TCP重传机制
- 传输中出现报文丢失或者失序,将增加检测难度
- 报文丢失或者失序,还将导致IDS无法进行序列号追踪
- TCP状态检测组技术
- 网络协议分析技术
- 协议分析技术特点
- 根据现有协议模式,到固定位置取值
- 根据取得的值,分析协议的流量,寻找可疑或不正常的行为
- 加入状态特性分析,将会话流量作为整体来考虑
- 当流量不是期望值时,IDS就发出告警
- 协议分析技术优点
- 性能提高
- 准确性提高
- 基于状态的分析
- 反规避能力大大增强
- 系统资源开销小。
- 协议分析技术特点
- 零复制技术
- 减少数据复制和系统调用,实现CPU零参与
- DMA数据传输
- 内存区域映射
- 蜜罐/蜜网技术
- 蜜罐/蜜网是吸引攻击者的陷阱
- 收集和分析威胁信息
- 发现攻击工具、确定攻击模式、研究攻击动机
- 优势
- 大大减少了需要分析的数据
- 蜜网计划已收集了大量信息,黑客很少采用新的攻击方法
- 蜜罐不仅是一种研究工具,还具有真正的商业应用价值
- 虚拟蜜网的出现降低了蜜罐的成本和管理难度
实例-SNORT
SNORT是一个强大的轻量级网络入侵检测系统
- 具备实时数据流量分析能力,能够进行协议分析和内容搜索/匹配
- 具有很好的扩展性和可移植性
- 遵循通用公共许可证GPL,任何组织和个人都可以自由使用
- 入侵检测规则是完全开放的
NIDS优缺点
优点
- 可提供实时的网络行为检测
- 可保护多态网络主机
- 具有良好的隐蔽性
- 有效保护入侵证据
- 不影响被保护主机的性能
缺点
- 在交换式网络环境难以配置
- 检测性能受硬件限制
- 不能处理加密后的数据
NIDS的部署
- DMZ区
- 最常见的部署位置,可检测到所有针对服务器的攻击行为
- 优点
- 检测已经渗入过第一层防御体系的来自外部的攻击
- 容易检测网络防火墙的性能并找到配置策略中的问题
- 所检测的对象集中于关键的服务设备
- 即使进入的攻击行为不可识别,也可以从被攻击主机的反馈中获得受到攻击的信息
- 外网入口
- 检测所有进出防火墙外网口的数据
- 优点
- 可以记录最为原始的攻击数据包
- 可以记录针对目标网络的攻击类型
- 缺点
- 性能不理想
- 对进行NAT的访问来说不易定位源或目的地址
- 内网主干
- 最常用的部署位置,主要检测内网流出和经过防火墙过滤后流入内网的网络数据
- 优点
- 提高了检测攻击的识别可能
- 检测内网可信用户的越权行为
- 实现对内部网络信息的检测
- 缺点
- 由于防火墙的过滤作用,入侵检测器并不能记录下所有可能的入侵行为
- 关键子网
- 通过对关键子网进行安全检测,检测到来自内部以及外部 的所有不正常的网络行为
- 优点
- 流量相对要小一些,可保证入侵检测器的有效检测
- 集中资源检测针对关键系统和资源的来自企业内外部的攻击
- 将有限的资源进行有效部署,获取最高的使用价值
基于主机的入侵检测系统(HIDS)
用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上
- 网络连接检测
- 对试图进入该主机的数据流进行检测
- 分析确定是否有入侵行为
- 避免或减少这些数据流进入主机系统后造成损害
- 主机系统检测
- 检测入侵行为在主机相关文件中留下的痕迹
- 帮助系统管理员发现入侵行为或入侵企图
- 主机系统检测的对象
- 日志系统
- 文件系统
- 进程记录
关键技术
HIDS关键技术
- 文件和注册表保护技术
- 网络安全防护技术
- WEB保护技术
- HTTP请求类型
- 缓冲区溢出
- 关键字
- 物理目录
- 文件完整性分析技术
优缺点
优点
- 检测准确度高
- 可以检测没有明显特征的入侵
- 针对性的检测
- 成本低
- 对网络性能影响小
- 适用加密、交换环境
缺点
- 实时性较差
- 无法检测数据包的全部内容
- 占用主机资源
- 隐蔽性较差
- 无法检测某些网络攻击
实例TripWire
基于主机文件的入侵检测系统
- 为主机系统的一些关键文件建立校验和,维护文件正常变化
- 通过校验和检测文件及其属性的异常修改,从而发现入侵行为
- 能够在一定程度上恢复修改前的系统文件
- 遵循通用公共许可证GPL
NIDS vs HIDS
| NIDS | HIDS |
|---|---|
| 侦测速度快 | 视野更集中 |
| 隐蔽性好 | 易于用户自定义 |
| 视野更宽 | 保护更加周密 |
| 较少的检测器 | 对网络流量不敏感 |
| 占用资源少 |
分布式入侵检测系统(DIDS)
- 数据采集 收集检测使用的数据。可驻留在主机上,或者安装在网络检测点上。
- 通信传输 传递加工、处理原始数据。需和其他构件协作完成通信功能
- 入侵检测分析 采用检测算法对数据进行分析,产生检测结果、报警和应急信号
- 应急处理 按入侵检测的结果做出决策判断,对入侵行为进行响应
- 用户管理 管理构件配置,产生总体报告,提供管理接口等。
6.4 IDS设计重点和部署
IDS的设计
- 日志检索 至少包括:来源地址、目标地址、来源端口、目标端口、攻击特征、风险等级、时间段等
- 探测器管理 控制台可以一次管理多个探测器,包括启动、停止、配置探测器和查看探测器运行状态等。
- 规则管理 为用户提供根据不同网段具体情况配置安全策略的工具,针对不同情况制定相应安全规则。
- 日志报表 至少需要提供多种文本和图形的报表模板,且报表格式可以导出WORD、HTML、TXT、EXCEL、PDF等常用的格式
- 用户管理 对用户权限进行严格的定义,提供口令修改、添加用户、删除用户、用户权限配置等功能,有效保护系统使用的安全性。
IDS的部署
6.5 IDS发展趋势和方向
面临问题
- 攻击手段更为复杂精致,攻击目标更大范围
- 入侵者采用加密手段传输攻击信息
- 日益增长的网络流量导致检测分析难度加大
- 不适当的自动响应机制
- 存在对入侵检测系统自身的攻击
- 交换方法限制了网络数据的可见性
发展方向
- 宽带高速实时检测技术
- 大规模分布式检测技术
- 数据挖掘技术
- 更先进的检测算法
- 计算机免疫技术
- 神经网络技术
- 遗传算法
- 入侵响应技术
入侵防御系统IPS
IPS是深层防御的最优方案
IPS与IDS:技术同源
- 核心技术基础一致
- 名称非常接近
- 通常厂商同时推出两类产品
部署方式对比
| IPS | IDS |
|---|---|
| 在线,流量必须通过IPS | 旁路,通过镜像获得数据 |
| 实时,其时延必须满足业务要求 | 准实时,可接受秒级时延 |
| 立刻影响网络报文 | 对网络及业务无直接影响 |
| 作用范围有限制 | 监控范围广 |
设计出发点对比
| IPS | IDS |
|---|---|
| 无误报 | 无漏报 |
| 满足峰值流量和时延要求 | 满足平均流量,可接受秒级时延 |
| 不能影响业务系统可用性 | 只需关注自身功能实现 |
解决的问题
IPS
- IPS可提供有效的、防火墙无法提供的应用层安全防护功能。
- 但为了避免误报,IPS对未知攻击的防御能力几乎没有
IDS
- IDS从总体和趋势上的分析能力是其他安全设备难以实现的
- 同时,通过基于流量、统计等方面的分析,IDS理论上拥有在未知攻击特别是蠕虫 类攻击爆发时进行预警的能力
| IPS | IDS |
|---|---|
| 阻拦已知攻击(重点) | 总体威胁趋势分析(重点) |
| 为已知漏洞提供虚拟补丁(重点) | 流量及连接分析(重点) |
| 速率或流量控制 | 安全事件分析(重点) |
| 行为管理 | 无漏报 |
[ 笔记 ] 计算机网络安全_6_入侵检测系统相关推荐
- 网络安全之入侵检测系统
一 入侵检测定义 入侵:指一系列试图破坏信息资源机密性.完整性和可用性的行为.对信息系统的非授权访问及(或)未经许可在信息系统中进行操作. 入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并 ...
- 网络安全-防火墙与入侵检测系统
防火墙效率 吞吐量:指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率. 时延:能够衡量出防火墙处理数据的快慢. 丢包率:在特定负载下,指应由网络设备传输,但由资源耗尽而丢弃帧的百分比. 背 ...
- 网络安全实验-入侵检测-基于网络入侵检测系统
实验目的: 1.掌握snort IDS工作机理 2.应用snort三种方式工作 3.熟练编写snort规则 实验原理: 一.snort IDS概述 snort IDS(入侵检测系统)是一个强大的网络 ...
- [ 笔记 ] 计算机网络安全_5_防火墙原理与设计
[笔记] 计算机网络安全:(5)防火墙原理与设计 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录 [笔记] 计算机网络安全 ...
- [ 笔记 ] 计算机网络安全_1_网络安全基础
[笔记] 计算机网络安全:(1)网络安全基础 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录 [笔记] 计算机网络安全:( ...
- 入侵检测技术是为保证计算机系统安全,计算机数据库的入侵检测技术
计算机数据库的入侵检测技术作为一种信息技术,是保证数据安全的技术.本文主要以入侵检测技术的相关认识作为切入点,研究和分析入侵检测技术相关模式. [关键词]计算机数据库 层次化 入侵检测 模型入侵检测 ...
- 网络安全学习--入侵检测和紧急响应
入侵检测系统介绍 入侵检测系统IDS:能及时发现攻击或入侵,并能够向安全管理者提供有价值的安全警报的系统. 入侵检测框架CIDF: 事件产生器.事件分析器.响应单元.事件数据库. 事件产生器:从整个计 ...
- [ 笔记 ] 计算机网络安全_7_虚拟专网技术
[笔记] 计算机网络安全:(7)虚拟专网技术 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录 [笔记] 计算机网络安全:( ...
- [ 笔记 ] 计算机网络安全_2_internet协议的安全性
[笔记] 计算机网络安全:(2)internet协议的安全性 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录 [笔记] 计 ...
最新文章
- 原来BCH是这样转给别人的
- 如何优雅的使用Mock Server
- Yii2 事件学习笔记
- 安装deepin系统步骤
- 四川中职计算机专业考的学校,四川中职学校哪家专业
- 计算机专业英语读书报告,英语读书报告怎么写
- oracle中sequence详解
- 【java】java 并发编程 BlockingQueue 和 BlockingDeque
- SAP License:实施ERP之后库存反而增加
- According to the overall view of the patent
- 字典树Trie练习 HihoCoder 1014
- XPS笔记本及各类超薄笔记本的白果网卡安装教程
- 电子计算机审计,计算机审计存在的风险
- FTP探测-挖掘鸡2014免费版
- 根据自己的词汇量阅读英语原著
- OpenCV笔记之六(4)——图像处理之颜色通道拆分、合并及颜色空间
- 刘易斯拐点对中国经济的影响
- 《科研伦理与学术规范》 (全部习题答案免费分享 )2020年
- 如何让同步/刷新的图标(el-icon-refresh)旋转起来
- 豆瓣电影数据可视化大屏