信息安全软考第十章入侵检测技术原理应用

入侵检测概述

入侵检测技术 ※

入侵检测系统组成与分类 ※

入侵检测系统主要产品与技术指标

入侵检测应用 ※ ※

命题规则：上午选择题2分左右，下午案例题结合其他知识考5-8分

入侵检测是网络安全态势感知的关键核心技术，支撑构建网络安全信息安全保障体系。

一、入侵检测概述

1.1入侵检测概念和模型

美国专家讲入侵定义为“非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作”。我们一般认为，入侵应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是否为入侵的依据是：对目标的操作是否超出了目标安全策略范围。因此入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称为IDS。

最早的入侵检测模型主要根据主机系统的审计记录数据，生成有关系统的若干轮廓，并监督测检测轮廓的变化差异，发现系统的入侵行为，如图

后续由于入侵行为种类的不断增多，许多攻击都是经过长期准备。又提出了一种通用的入侵检测框架模型，简称CIDF。它由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成。CIDF将入侵检测系统需要分析的数据统称为事件（可以是数据包、从系统日志等其他信息得到的信息）。

事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。
事件分析器分析所得的数据，并产生分析结果。
响应单元对分析结果做出反应（如切断网络、改变文件属性、简单报警灯应急响应）。
事件数据库存放各种中间和最终数据

1.2 入侵检测的作用

入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图已经违背安全策略的行为，其作用表现为以下几个方面

（1）发现受保护系统中的入侵行为或异常行为

（2）检验安全保护措施的有效性

（3）分析受保护系统所面临的有效性

（4）有利于阻止安全事件扩大，及时报警触发网络安全应急响应

（5）可以为网络安全策略的制定提供重要指导

（6）报警信息可以作用网络犯罪取证

除此之外，入侵检测技术还常用于态势感知，以获取网络信息系统的安全状况

二、入侵检测技术

基于误用的入侵检测技术、基于异常的入侵检测技术和其他技术

2.1 基于误用的入侵检测技术

误用入侵检测也叫基于特征的入侵检测方法，指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到。

显然这种技术很依赖攻击模式库的大小。如果太小，IDS产品的有效性就大打折扣。但太大，也会影响到IDS的性能。

基于误用的入侵检测实际上就是一个模式匹配的过程，需要入侵行为能够按某种方式进行特征编号。

根据入侵特征秒描述的方式或构造技术，误用检测方法可以进一步细分:

书上的公式可以不用记

基于条件概率的误用检测方法，这是将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。
基于状态迁移的误用方法检测：利用状态图标识攻击特征，通过检查系统的状态变化发现系统中的入侵行为。
基于键盘监控的误用检测方法：监测用户的击键模式，并将其与入侵模式匹配，从而发现入侵行为。
基于规则的误用检测方法：将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。大部分IDS采用的就是这种方法。Snort是典型的基于规则误用检测方法的应用实例。

2.2 基于异常的入侵检测技术

异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。

几种常见的异常检测方法：

基于统计的异常检测方法。利用数学统计学统计理论技术，通过构建用户或系统正常行为的特征轮廓
基于模式预测的异常检测方法。根据观察到的用户行为归纳产生一套规则集，构成用户的行为，构成用户的行为轮廓框架。如果观测到的事件序列匹配规则的左边，而后续事件显著地背离根据规则预测到的事件，那么系统就可以检测出这种偏离，表明用户操作异常。
基于文本分类的异常检测方法：将程序的系统调用是为某个文档中的“字”，而进程运行所产生的系统调用集合就产生一个“文档”。对于每个进程产生的“文档”，利用 K-最近邻聚类文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测入侵行为
基于贝叶斯推理的异常检测方法：在任意给定的时刻，测量A1 A2，…An 变量值，推理判断系统是否发生入侵行为

2.3 其他

基于规范的检测方法。本方法介于异常检测和误用检测之间，定义安全跟踪策略，若操作序列不符合定义就报警。优点是能够发现已知和未知的攻击
基于生物免疫的检测方法。模仿生物免疫机制，是受保护的系统能够将“非自我”的攻击行为“自我”的合法行为区分开来。综合了异常检测和误用检测两种方法，其关键技术在于构造系统“自我”标志以及标志演变方法。
基于攻击诱骗的检测方法：提供虚假的系统或漏洞信息，如果入侵者应用这些信息攻击系统，就可以推断系统正在遭受入侵，并且安全管理员还可以诱惑入侵者，进一步跟踪攻击来源
基于入侵警报的关联检测方法：通过对原始的IDS报警事件的分类及相关性分析来发现复杂攻击行为。方法分为三类：第一类基于报警数据的相似性进行报警关联分析；第二类通过人为设置参数或通过机器学习的方法进行报警关联分析；第三类根据某种攻击的前提条件与结果进行报警关联分析
基于沙箱分析的检测方法：通过构建程序运行的受控安全环境，然后检测可疑恶意文件或程序在安全沙箱的运行状况，获取可疑恶意文件或可疑程序的动态信息，最后检测相关信息是否异常，从而发现入侵行为
基于大数据分析的检测方法：通过汇聚各种日志、情报、流量等多种数据资源，形成大数据资源池，然后利用人工智能技术，进行机器学习，以发现入侵行为。常见的大数据分析检查技术有数据挖掘、深度学习、数据关联、数据可视化等。

三、入侵检测系统组成与分类

3.1 入侵检测系统组成

入侵检测系统主要由一下模块组成：

数据采集模块：为分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行和网络数据包等
入侵分析引擎模块：依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。（属于入侵检测系统的核心模块）
应急处理模块：当发生入侵后，提供应急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等
管理配置模块：为其他模块提供配置服务，是IDS中模块与用户的接口。
辅助模块：协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。

3.2 基于主机的入侵检测系统

基于主机的入侵检测系统，简称HIDS。通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并以此来判断该主机是否收到入侵。HIDS一般适合检测以下入侵行为：

针对主机的端口或漏洞扫描

重复失败的登入尝试

远程，口令破解

主机系统的用户账号添加

服务启动或停止

系统重启动

文件的完整性或许可权变化

注册表修改

重要系统启动文件变更

程序的异常调用

拒绝服务攻击

基于主机的入侵检测系统（HIDS）的软件有很多，如

SWATCH：利用指定的触发器监视日志记录，当日志记录符合触发器条件时，SWATCH会按预先定义好的方式通知系统管理员。
Tripwire：是一个文件盒目录完整性检查工具软件包，用于协助管理员和用户监测特定文件的变化
网页防篡改系统：防止网页文件被入侵者非法修改，即在页面文件被篡改后，能够及时发现、产生报警、通知管理员、自动恢复。

基于主机入侵检测系统的有点

可以检测基于NIDS不能检测的攻击；

基于HIDS可以运行在加密系统的网络上，只要加密信息在达到被监控的主机时或达到前解密

基于主机的入侵检测系统可以运行在交换机网络中

基于主机入侵检测系统的缺点：

必须在每个被监控的主机上都安装和维护信息收集模块

由于HIDS的一部分安装在被攻击主机上，HIDS可能受到攻击并被攻击者破坏

HIDS占用受保护的主机系统的系统资源，降低了主机系统的性能

不能有效地检测针对网络中所有主机的网络扫描

不能有效检测和处理拒绝服务攻击

只能使用它所监控的主机的计算资源

3.3 基于网络的入侵检测系统

基于网络的入侵检测系统简称NIDS。NIDS通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。NIDS通常由一组或用途单一的计算机组成，其构成分多分为两部分：探测器和管理控制器。探测器分布在网络中的不同区域，通过侦听（嗅探）方式获取网络包，探测器将检测到攻击行为形成报警事件，向管理控制器发送报警信息，报告发生入侵行为。一般来来说，NIDS能够检测到以下入侵行为：

同步风暴（SYN Flood）
分布式拒绝服务攻击（DDoS）
网络扫描
缓冲区溢出
协议攻击
流量异常
非法网络访问

3.4 分布式入侵检测系统

分布式入侵检测系统可以跨越多个子网检测攻击行为，特别是大型网络。分布式入侵检测系统可以分成两种类型，即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。

基于主机检测的分布式入侵检测系统（HDIDS）

HDIDS，其结构分为两个部分：主机探测器和入侵管理控制器。主机探测器多以安全代理（Agent）的形式直接安装在受保护主机上，通过网络中的系统管理控制台进行远程控制。这种控制方式，便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS的典型配置如图。

基于网络的分布式入侵检测系统（NDIDS）

NDIDS的结构分为两部分：网络探测器和管理控制器。网络探测器部署在重要的网络区域，如服务器所在的网段，用于收集网络通信数据和业务数据流，通过采用异常和误用两种方法对收集到的信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。网络入侵检测系统功能模块的分布式配置及管理如图

四、入侵检测系统主要产品

4.1 入侵检测相关产品

入侵检测是网络安全监测和预警的核心关键技术，其产品技术日渐成熟完善。常见的入侵检测相关产品有如下几类

主机入侵检测系统：根据主机活动信息及重要文件，采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术方法发现入侵行为。（典型的产品形态有中的安全产品，如360安全卫士、火绒）
网络入侵检测系统：产品技术原理是更具网络流量数据分析，利用特征检测、协议异常检测等技术方法发现入侵行为。（国内绿盟、天融信、启明星辰都有提供此类产品）
统一威胁管理（简称UTM）：该设备主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬盘设备里，形成标准的统一威胁管理平台，通过统一部署的安全策略，融合多种安全功能，是针对网络及应用系统的安全威胁进行综合防御的网关型设备或系统。
高级持续威胁检测：高级持续威胁（简称APT）是复杂性攻击技术，常将恶意代码嵌入Word文档、Excel文档…中，以逃避普通的网络安全检测，达到攻击。高级持续威胁检测系统是入侵检测技术产品的特殊形态，其产品技术原理基于静态/动态分析检测可疑恶意电子文件及关联分析网络安全大数据以发现高级持续威胁活动。目前，国内的APT产品有安天追影威胁分析系统、360天眼新一代威胁感知系统、华为FireHunter6000系列沙箱及CIS网络安全智能系统。
其他：根据入侵检测引用对象，常见的产品类型有Web IDS、数据库IDS、工控IDS等

4.2 入侵检测相关指标

可靠性
可用性
可扩展性
时效性
准确性
安全性

五、入侵检测系统应用

5.1 入侵检测应用场景

上网保护
网站入侵检测与保护
网络攻击阻断
主机/终端恶意代码检测
网络安全监测与应急处理
网络安全等级保护

5.2 入侵检测系统部署方法

IDS部署是指将IDS安装在网络系统区域中，使之能检测到网络中的攻击行为。IDS部署的过程包含以下几个步骤：

第一步，根据组织或公司的安全策略要求，确定IDS要监测的对象或保护网段

第二步，在监测对象或保护网段，安装IDS探测器，采集网络入侵检测所需要的信息

第三步，针对监测对象或保护网段的安全需求，制定相应的检测策略

第四步，依据检测策略，选用适合的IDS结构

第五步，在IDS上，配置入侵检测规则

第六步，测试验证IDS的安全策略是否正常执行

第七步，运行和维护IDS

5.3 基于HIDS的主机威胁检测

HIDS一般用于检测针对单台主机的入侵行为，其主要应用方式如下

（1）单机应用。（把HIDS系统直接安装在受监测的主机上即可）

（2）分布式应用。这种方式需要安装管理器和多个主机探测器（sensor）。管理器控制多个主机探测器（sensor），从而可以远程监控多台主机的安全状况，如图

5.4 基于NIDS的内网威胁检测

将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口，如图。探测器通过采集内部网络流量数据，然后基于网络流量分析监测内部网络活动，从而可以发现内网中的入侵行为。

5.5 基于NIDS的网络边界威胁检测

将NIDS的探测器接在网络边界处，采集与内部网进行同信的数据包，然后分析来自于外部的入侵行为。

5.6 网络安全态势感知应用

网络态势感知通过汇聚IDS报警信息、系统日志、然后哦i利用大数据分析技术对网络系统的安全状况进行分析，检测网络安全态势。

5.7 开源的网络入侵检测系统

这里出过选择题

开源IDS系统Snort：网络误用检测系统，基本技术原理是通过获取网络数据包，基于安全规则进行检测，形成报警信息。

Snort规则由两部分组成，即规则头和。规则头包含规则操作（action）、协议（protocol）、源地址和目的IP地址及网络掩码、源地址和目的端口信息。规则选项包含报警消息、被检查网络包的部分信息及规则应采取的动作。

snort配置为以三种模式运行：

嗅探模式：从网络中读取数据包并在控制台（屏幕）上已连续流的形式显示
数据包记录器模式：将数据包记录到磁盘。可以用-l 命令来吧日志存到一个目录下，比如 -l ./log
网络入侵检测（NIDS）模式：对网络流量进行检测和分析。这是最复杂和可配置的模式

后续会更新snort的具体使用方法