目錄

網(wǎng)絡(luò)安全之入侵檢測

入侵檢測經(jīng)典理論

?經(jīng)典檢測模型

入侵檢測作用與原理

意義

異常檢測模型（Anomaly?Detection）

誤用檢測模型（Misuse?Detection）

經(jīng)典特征案例

?編輯自定義簽名

??編輯

簽名檢查過程

檢測生命周期

信息收集的方法

信息分析

異常檢測 ---?統(tǒng)計分析、完整性分析

?????????異常檢測之統(tǒng)計分析

?????????異常檢測之完整性分析

?????????常見異常檢測算法

誤用檢測 ---?模式匹配

?????????誤用檢測值模式匹配

?????????常用誤用檢測算法

融合使用異常檢測和誤用檢測 ---?實際系統(tǒng)的普遍做法

?????????編輯結(jié)果處理

IDS的部署

IDS的配置

簽名過濾器

?例外簽名

?編輯?配置總體順序

?編輯配置順序

?配置完成后

調(diào)整配置

網(wǎng)絡(luò)安全之入侵檢測

注意：

? ? ? ? 入侵檢測為事后系統(tǒng)，類似于發(fā)生盜竊后，通過攝像頭（入侵檢測）查詢。

入侵檢測經(jīng)典理論

????????系統(tǒng)訪問控制需要面對三類用戶

????????????????合法用戶（Legitimate?User）

????????????????偽裝用戶（Masquerade?User） ----?攻破 [流程控制]

? ? ? ? ? ? ? ? ? ? ? ? 身份仿冒（可能是最早提出不能依賴于身份認證，還要加強行為監(jiān)控以防范身份

????????????????????????????????????????仿冒和濫用的學者）

? ? ? ? ? ? ? ? 秘密用戶（Clandestine?User）---攻破 [邏輯控制]

? ? ? ? ? ? ? ? ? ? ? ? 類似于?走了后門

偽裝 ---?批了合法的外衣 ，秘密用戶 ---?無法察覺

?經(jīng)典檢測模型

? ? ? ? 通用的入侵檢測系統(tǒng)抽象模型

? ? ? ? ? ? ? ? 主體（Subjects）---?誰

? ? ? ? ? ? ? ? 對象（Objects）---?對誰

? ? ? ? ? ? ? ? 審計記錄（Audit?records） ---?審查做了什么

? ? ? ? ? ? ? ? 活動檔案（Profiles）

? ? ? ? ? ? ? ? 異常記錄（Anomoly?records）---?異常行為

? ? ? ? ? ? ? ? 活動規(guī)則（Activity?rules） ---?判斷異常是什么

入侵檢測作用與原理

識別入侵者?

識別入侵行為?

監(jiān)測和監(jiān)視已成功的入侵?

為對抗入侵提供信息與依據(jù)??

意義

? ? ? ? ?入侵檢測是防火墻的一個有力補充，形成防御閉環(huán)，可以及時、準確、全面的發(fā)現(xiàn)入侵，彌補防火墻對應(yīng)層檢查缺失?

? ? ? ? 對系統(tǒng)的運行狀態(tài)進行見識，發(fā)現(xiàn)各種攻擊企圖、過程、結(jié)果，來保證系統(tǒng)資源的安全（完整性、可用性、機密性）。是一個軟件與硬件的組合系統(tǒng)

? ? ? ? 異常檢測 ---?當某個時間與一個已知的攻擊特征（信號）相匹配時，一個基于異常的IDS會記錄一個正常主機的活動大致輪廓，當一個事件在這個輪廓以外發(fā)生，就認為是異常，IDS就會警告

????????特征檢測 --- IDS核心是特征庫（簽名）。

? ? ? ? 簽名用來描述網(wǎng)絡(luò)入侵行為的特征，通過比較報文特征和簽名來檢測入侵行為

異常檢測模型（Anomaly?Detection）

? ? ? ? 首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。

誤用檢測模型（Misuse?Detection）

? ? ? ? 收集非正常的行為特征，建立相關(guān)的特征庫，當檢測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵，誤用檢測模型也稱為特征檢測（Signature-based?detection）

經(jīng)典特征案例

自定義簽名

?

簽名檢查過程

檢測生命周期

? ? ? ? 信息收集 --- 用數(shù)據(jù)來刻畫系統(tǒng)和網(wǎng)絡(luò)運行歷史和現(xiàn)狀

? ? ? ? 信息分析 --- 用收集的數(shù)據(jù)去研判現(xiàn)狀和預(yù)測未來

? ? ? ? 結(jié)果處理 --- 記錄、告警和視覺呈現(xiàn)

信息收集的方法

? ? ? ? 基于主機

? ? ? ? 基于網(wǎng)絡(luò)

? ? ? ? 基于傳感器 ---? ? ??

? ? ? ? ? ? ? ? ????????????????基于主機運行的軟件

? ? ? ? ? ? ? ? ????????????????基于網(wǎng)絡(luò)的數(shù)據(jù)捕獲傳感器

? ? ? ? ? ? ? ? ????????????????物聯(lián)網(wǎng)中的各種傳感器

信息分析

異常檢測 ---?統(tǒng)計分析、完整性分析

?異常檢測之統(tǒng)計分析

? ? ? ? 統(tǒng)計分析對象 ---?用戶、文件、目錄和設(shè)備

? ? ? ? 統(tǒng)計分析方法 ---?為統(tǒng)計分析對象創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性 ----?訪問時間（工作時間/休息時間）、訪問次數(shù)、操作失敗次數(shù)和延時等

? ? ? ? 統(tǒng)計分析匹配 ---?測量屬性的平均值將被用來網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀測/測量在正常值范圍之外時，就有入侵檢測

?異常檢測之完整性分析

? ? ? ? 完整性分析對象 ---?文件/目錄/任意數(shù)字資源 ----?文件和目錄的內(nèi)容及屬性

? ? ? ? 完整性分析方法 ---?建立完整性分析對象在正常狀態(tài)時的完整性簽名

? ? ? ? 完整性分析匹配 ---?匹配簽名值是否發(fā)生改變 ----?發(fā)生改變，認定目標對象被入侵篡改

?常見異常檢測算法

? ? ? ? 基于特征選擇異常檢測

? ? ? ? 基于貝葉斯推理異常檢測

? ? ? ? 基于貝葉斯網(wǎng)絡(luò)異常檢測

? ? ? ? 基于神經(jīng)網(wǎng)絡(luò)異常監(jiān)測

? ? ? ? 基于貝葉斯聚類異常檢測

誤用檢測 ---?模式匹配

?誤用檢測值模式匹配

? ? ? ? 模式匹配 ---?將手機到的信息與已知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式規(guī)則集進行比較，從而發(fā)現(xiàn)違反安全策略的行為

? ? ? ? 入侵模式的表示方法 ---?一個過程（執(zhí)行一條指令）、一個輸出（獲得權(quán)限）

? ? ? ? 入侵模式的匹配過程 ---?字符串匹配（精確模式、模糊模式），狀態(tài)機遷移序列匹配

?常用誤用檢測算法

? ? ? ? 基于條件概率誤用檢測

? ? ? ? 基于專家系統(tǒng)誤用檢測

? ? ? ? 基于狀態(tài)遷移誤用檢測

融合使用異常檢測和誤用檢測 ---?實際系統(tǒng)的普遍做法

結(jié)果處理

? ? ? ? 產(chǎn)生警告 ---?記錄警告日志，請求其它安全設(shè)備的協(xié)作聯(lián)動（防火墻聯(lián)動）

? ? ? ? 視覺呈現(xiàn) --- [態(tài)勢感知]產(chǎn)品的原型?

IDS的部署

????????旁掛 ---?需要在部署旁掛設(shè)備上使用端口鏡像的功能，把需要采集的端口流量鏡像到IDS旁掛口。 也可以使用集線器、分光器實現(xiàn)流量復(fù)制。

IDS的配置

????????IPS特征庫中包含了針對各種攻擊行為的海量簽名信息，但是在實際網(wǎng)絡(luò)環(huán)境中，業(yè)務(wù)類型可能比較簡單，不需要使用所有的簽名，大量無用的簽名也容易影響對常用簽名的調(diào)測。此時我們可以使用簽名過濾器將常用的簽名過濾出來。

簽名過濾器

????????若干簽名的集合，我們根據(jù)特定的條件如嚴重性、協(xié)議、威脅類型等，將IPS特征庫中適用于當前業(yè)務(wù)的簽名篩選到簽名過濾器中，后續(xù)就可以重點關(guān)注這些簽名的防御效果。通常情況下，對于篩選出來的這些簽名，在簽名過濾器中會沿用簽名本身的缺省動作。特殊情況下，我們也可以在簽名過濾器中為這些簽名統(tǒng)一設(shè)置新的動作，操作非常便捷。

簽名過濾器的動作分為：

????????阻斷 --- 丟棄命中簽名的報文，并記錄日志。

????????告警 --- 對命中簽名的報文放行，但記錄日志。

????????采用簽名的缺省動作，實際動作以簽名的缺省動作為準。

注意：

????????簽名過濾器的動作優(yōu)先級高于簽名缺省動作，當簽名過濾器動作不采用缺省動作時以簽名過濾器中的動作為準。

?例外簽名

????????由于簽名過濾器會批量過濾出簽名，且通常為了方便管理會設(shè)置為統(tǒng)一的動作。如果管理員需要將某些簽名設(shè)置為與過濾器不同的動作時，可將這些簽名引入到例外簽名中，并單獨配置動作。

例外簽名的動作分為：

????????阻斷 --- 丟棄命中簽名的報文，并記錄日志。

????????告警 --- 對命中簽名的報文放行，但記錄日志。

? ? ? ? 放行 ---?對命中簽名的報文放行，且不記錄日志。

????????添加黑名單 --- 是指丟棄命中簽名的報文，阻斷報文所在的數(shù)據(jù)流，記錄日志，并可將報文的源地址或目的地址添加至黑名單。

?配置總體順序

配置順序

?配置完成后

????????IPS配置完成后，通過監(jiān)控攻擊行為、分析威脅日志等手段，發(fā)現(xiàn)防御策略不合理的地方，進而對IPS配置做出調(diào)整，如修改簽名過濾器、升級IPS特征庫，必要的時候還可以使用例外簽名和自定義簽名。

選擇“監(jiān)控 > 日志 > 威脅日志”

??????????對該攻擊進行排查，在查詢條件中輸入要觀察的時間段和攻擊源的IP地址，進行查詢。通過搜索結(jié)果可以看出，攻擊者在某時間段內(nèi)持續(xù)發(fā)出多種入侵攻擊。可以判定該攻擊源在發(fā)起惡意攻擊，可以在安全策略中阻斷來自該IP的流量，從而阻斷攻擊。

注意：

????????有一些攻擊發(fā)生持續(xù)時間短，發(fā)生次數(shù)少，攻擊源少。這種情況難以通過日志間的關(guān)聯(lián)來判斷攻擊行為，此時需要根據(jù)威脅事件的相關(guān)信息判斷是否為攻擊。

選擇“對象 > 簽名”，在搜索框中輸入威脅日志中記錄的威脅ID。在搜索結(jié)果中，點擊該簽名查看詳情

調(diào)整配置

????????基于對攻擊的判定，需要對當前的配置進行調(diào)整。

例子 ---?

????????某攻擊在一些場景下會構(gòu)成威脅，但是在另一些場景中，可能并不會造成危害，甚至一些特殊的業(yè) 務(wù)也可能具備該威脅特征。這種情況下，需要識別被阻斷的威脅在當前網(wǎng)絡(luò)環(huán)境中是否構(gòu)成攻擊， 如果不會，則可以考慮將其配置例外簽名，動作設(shè)置為告警。

????????在安全優(yōu)先的場景中，如果發(fā)現(xiàn)有些告警是由非正常業(yè)務(wù)觸發(fā)的，并且觸發(fā)行為特征符合攻擊行 為，則可以考慮將這其配置例外簽名，動作設(shè)置為阻斷。

????????確定為入侵行為的源IP地址，可以直接將其加入黑名單，或?qū)⒃揑P加入安全策略的規(guī)則并配置動作 為阻斷

例：配置黑名單

?文章來源地址http://www.zghlxwxcb.cn/news/detail-412502.html

?

到了這里，關(guān)于網(wǎng)絡(luò)安全之入侵檢測的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！