学习笔记：入侵防御与检测基础

入侵检测与防御基础

总体介绍
入侵检测
- 部署
- 入侵检测技术的实现
入侵防御系统
- 部署方式
- 对比

总体介绍

• 传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的，不能完全保证系统的安全。

• 在目前出现的各种安全威胁当中，从单纯的攻击转变获取利益。“网络威胁”经常是融合了病毒、黑客攻击、木马、僵尸、间谍等危害等于一身的混合体，因此单靠以往的防毒或者防黑技术往往难以抵御。
• 网络黑客、企业内部恶意员工利用系统及软件的漏洞，入侵服务器，严重威胁企业关键业务数据的安全；
• 以经济利益为目的的DDOS攻击不断威胁着企业正常运营，且攻击造成的危害越来越严重；
• 随着企业业务拓展，更多业务应用依赖于IT信息系统来完成。在业务运行过程中，不断面临着病毒、木马、间谍软件等的严重威胁；
• P2P、IM滥用给企业带宽、运营效率带来严重影响。

入侵行为，详见内容安全概述，这里不赘述。

漏洞
• 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围的软硬件设备，包括操作系统本身及支撑软件，路由器、防火墙等。
在不同的软、硬件设备中，不同系统，或同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

• 系统安全漏洞是在系统的实现和使用中产生的，用户会在使用中发现系统中存在的错误，而入侵者会设法利用其中的某些错误来破坏系统安全，系统供应商则会尽快发布纠正这些错误的补丁。这就是系统安全漏洞从被发现到被纠正的一般过程。
• 攻击者往往是安全漏洞的发现者和使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于理论安全级别较高的系统尤其如此。系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法，对于有针对性地理解系统漏洞问题，以及找到相应的补救方法是十分必要的。
• 漏洞问题有其时效性。一个系统从发布的那一天起，随着用户的使用，系统中存在的漏洞会被不断暴露出来，也会不断被相应的补丁软件修补，或在随后发布的新版系统中纠正。而在系统中旧的漏洞被纠正的同时，往往也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。

IDS：基于主机的入侵检测系统。出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在这样的环境里，检查可疑行为的审计记录相对比较容易，况且在当时入侵行为非常少，通过对攻击的事后分析就可以防止随后的攻击。现在不适用，会拖垮本事的服务器。
NIDS：基于网络的入侵检测系统。
IPS：入侵防御系统
• 入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。
• 入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。
• 这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。

入侵检测

入侵检测（ ID，Intrusion Detection ）
• 通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的和动态的安全防御技术；入侵检测的内容涵盖了授权的和非授权的各种入侵行为。例如，违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问，以及授权者滥用权力等。
入侵检测系统（ IDS，Intrusion Detection System ）
• 用于入侵检测的所有软硬件系统；发现有违反安全策略的行为或系统存在被攻击的痕迹，立即启动有关安全机制进行应对。例如，通过控制台或电子邮件向网络安全管理员报告案情，立即中止入侵行为、关闭整个系统、断开网络连接等。

基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，侦听网络上的所有分组，采集数据，分析可疑对象；
• 使用原始网络包作为数据源；
• 通过网络适配器来实时监视，并分析通过网络的所有通信业务，也可能采用其他特殊硬件获得原始网络包；
• 提供了许多基于主机的入侵检测系统无法提供的功能。

基于网络的入侵检测系统（NIDS）有如下特点：
• 监测速度快，能在微秒或秒级发现问题，基于主机的IDS要依靠对最近几分钟内的审计记录的分析；
• 隐蔽性好，基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此不易受到攻击；
• 视野更宽，可检测主机无法检测到的攻击；
• 较少的监测器，一个监测器可保护一个共享的网段，不需要很多监测器；
• 攻击者不易转移证据，使用正在发生的网络通信进行对实时攻击的检测，所以攻击者无法转移证据，被捕获的数据不仅包括攻击的方法，还包括可以识别黑客身份和对其进行起诉的信息；
• 操作系统无关性，可以配置在专门的机器上，不会占用被保护的设备上的任何资源；
• 入侵检测只能检测到源地址和目的地址，不能识别地址是否违造，所以难以定位真正的入侵者。

部署

• 在信息安全建设中，入侵检测系统扮演着监视器的角色，通过监控信息系统关键节点的流量，对其进行深入分析，发掘正在发生的安全事件。一个形象的比喻就是：IDS就像安全监控体系中的摄像头，通过IDS，系统管理员能够捕获关键节点的流量并做智能的分析，从中发现异常、可疑的网络行为，并向管理员报告。
• 防火墙属于串路设备，需要做快速转发，无法做深度检测；防火墙无法正确分析掺杂在允许应用数据流中的恶意代码，无法检测来自内部人员地恶意操作或误操作；防火墙属于粗粒度的访问控制，IDS属于细粒度的检测设备，通过IDS可以更精确地监控现网；
• IDS可与防火墙、交换机进行联动，成为防火墙的得力“助手”，更好、更精确的控制外域间地访问IDS和防火墙联动，但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著；IDS可灵活、及时的进行升级，策略地配置操作方便灵活。
•

入侵检测技术的实现

• 分析是入侵检测的核心功能，入侵检测的分析处理过程可分为三个阶段：构建分析器，对实际现场数据进行分析，反馈和提炼过程。其中，前两个阶段都包含三个功能：数据处理、数据分类（数据可分为入侵指示、非入侵指示或不确定）和后处理。

异常检测模型（Anomaly Detection）
• 首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵
• 异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量（measure）集来描述，度量是特定网络行为的定量表示，通常与某个检测阀值或某个域相联系。
• 异常检测可发现未知的攻击方法，体现了强健的保护机制，但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究。
• 一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。

误用检测模型（Misuse Detection）
• 收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖于可靠的用户活动记录和分析事件的方法。误用检测模型也称为特征检测（Signature-based detection）
• 容易实现：主要的匹配算法都是成熟算法，实现上技术难点比较少。
• 检测精确：对入侵特征的精确描述使入侵检测系统可以很容易将入侵辨别出来。同时，因为检测结果有明显的参照，可以帮助系统管理员采取相应的措施来防止入侵。
• 升级容易：不少基于特征检测的入侵检测系统都提供了自己的规则定义语言，当新的攻击或漏洞出现时，厂商或用户只要根据该攻击或漏洞的特征编写对应的规则，就可以升级系统。

入侵防御系统

• 入侵防御是一种安全机制，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。

通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻击源，从而从根本上避免攻击行为。入侵防御的主要优势有如下几点。
• 实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，把其对网络的入侵降到最低。
• 深层防护：由于新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等来确定哪些流量应该被拦截。
• 全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。
• 内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。
• 不断升级，精准防护：入侵防御特征库会根据持续更新特征库，以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库，以保持入侵防御的持续有效性。

部署方式

• 旁路：SPAN:接在交换机上，通过交换机做端口镜像；接在交换机旁边，作为端口映像。
TAP:通过专用的流量镜像设备，部署在网络边界。接在交换机与路由器中间，旁路安装，拷贝一份数据到IPS中。
• 直路：Inline:串接在网络边界，在线部署，在线阻断。
接在交换机与路由器中间，在线安装，在线阻断攻击。

• SPAN也叫做端口镜像或者端口监控，是通过交换机配置将某个端口或某组端口的流量复制到另外的端口实现的。
• TAP是Test Access Point的首字母缩写，粗浅的说，Tap的概念类似于“三通”的意思，即原来的流量正常通行，同时分一股出来供监测设备分析使用。对Tap这个词的翻译，比较通用就是分光器/分路器。分光是数据通过光纤传输；分路是数据通过网线传输。其实这只是最简单的Tap的概念，目前的技术发展已经产生出很多种的Tap：有可以把多条链路汇聚起来的Tap、有把一条链路流量分成几份的Tap、有过滤Tap、有Tap switch等等，已经不能再用“三通”这个词去简单概括了。Tap的出现是整个监控/监测领域的巨大革命，它从根本上改变了监测分析系统的接入方式，使得整个监测系统有了完整灵活的解决方案。

对比

• IDS是入侵检测系统的简称，主要作用是监控网络状况，发现入侵行为并记录事件，但是不会对入侵行为采取动作，是一种侧重于风险管理的安全机制。通常情况下，IDS设备会以旁路的方式接入网络中，与防火墙联动，发现入侵行为后通知防火墙进行阻断。
• IPS是入侵防御系统的简称，这一概念包括两个部分的含义：发现入侵行为，阻断入侵行为。与IDS不同的是，IPS会实时阻断入侵行为，是一种侧重于风险控制的安全机制。