一、入侵檢測概述

1.1 入侵檢測概念

入侵應(yīng)與受害目標(biāo)相關(guān)聯(lián)，該受害目標(biāo)可以是一個大的系統(tǒng)或單個對象

判斷與目標(biāo)相關(guān)的操作是否為入侵的依據(jù)：對目標(biāo)的操作是否超出了目標(biāo)的安全策略范圍

入侵：指違背訪問目標(biāo)的安全策略的行為

入侵檢測：通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為

入侵檢測系統(tǒng)（IDS）：具有入侵檢測功能的系統(tǒng)

1.2 入侵檢測模型

早期的入侵檢測模型主要根據(jù)主機(jī)系統(tǒng)的審計記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并監(jiān)測輪廓的變化差異，發(fā)現(xiàn)系統(tǒng)的入侵行為

入侵檢測模型如下

隨著入侵行為的種類不斷增多，許多攻擊是經(jīng)過長時間準(zhǔn)備的。面對這種情況，入侵檢測系統(tǒng)的不同功能組件之間，不同IDS之間共享這類攻擊信息是十分重要的

于是，一種通用的入侵檢測框架模型（CIDF）被提出：?該模型認(rèn)為入侵檢測系統(tǒng)由事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫組成，CIDF各組件之間關(guān)系如下

事件：CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息

• 事件產(chǎn)生器：從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供事件
• 事件分析器：分析所得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果
• 響應(yīng)單元：對分析結(jié)果做出反應(yīng)，如切斷網(wǎng)絡(luò)連接、改變文件屬性、簡單報警等應(yīng)急響應(yīng)
• 事件數(shù)據(jù)庫：存放各種中間和最終數(shù)據(jù)，數(shù)據(jù)存放的形式既可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件

1.3 入侵檢測作用

入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全保障過程中扮演類似“預(yù)警機(jī)”或“安全巡邏人員”的角色

入侵檢測系統(tǒng)的直接目的：不是阻止入侵事件的發(fā)生，而是通過檢測技術(shù)來發(fā)現(xiàn)系統(tǒng)中企圖或已經(jīng)
違背安全策略的行為

作用表現(xiàn)

1. 發(fā)現(xiàn)受保護(hù)系統(tǒng)中的入侵行為或異常行為
2. 檢驗(yàn)安全保護(hù)措施的有效性
3. 分析受保護(hù)系統(tǒng)所面臨的威脅
4. 有利于阻止安全事件擴(kuò)大，及時報警觸發(fā)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)
5. 可以為網(wǎng)絡(luò)安全策略的制定提供重要指導(dǎo)
6. 報警信息可用作網(wǎng)絡(luò)犯罪取證。

除此之外，入侵檢測技術(shù)還常用于網(wǎng)絡(luò)安全態(tài)勢感知，以獲取網(wǎng)絡(luò)信息系統(tǒng)的安全狀況

網(wǎng)絡(luò)安全態(tài)勢感知平臺通常匯聚入侵檢測系統(tǒng)的報警數(shù)據(jù)，特別是分布在不同安全區(qū)域的報警，然后對其采取數(shù)據(jù)關(guān)聯(lián)分析、時間序列分析等綜合技術(shù)手段，給出網(wǎng)絡(luò)安全狀況判斷及攻擊發(fā)展演變趨勢

二、入侵檢測技術(shù)

2.1 基于誤用的入侵檢測技術(shù)

又稱基于特征的入侵檢測方法：是指根據(jù)已知的入侵模式檢測入侵行為。攻擊者利用系統(tǒng)和應(yīng)用軟件中的漏洞技術(shù)進(jìn)行攻擊，而這些基于漏洞的攻擊方法具有某種特征模式。如果入侵者的攻擊方法恰好匹配上檢測系統(tǒng)中的特征模式，則入侵行為立即被檢測到

顯然，誤用入侵檢測依賴于攻擊模式庫。因此，這種采用誤用入侵檢測技術(shù)的IDS產(chǎn)品的檢測能力
就取決于攻擊模式庫的大小以及攻擊方法的覆蓋面

誤用入侵檢測的前提條件：入侵行為能夠按某種方式進(jìn)行特征編碼

入侵檢測過程：實(shí)際上就是模式匹配的過程，根據(jù)入侵特征描述的方式或構(gòu)造技術(shù)

誤用檢測方法細(xì)分

1. 基于條件概率的誤用檢測方法：將入侵方式對應(yīng)一個事件序列，然后觀測事件發(fā)生序列，應(yīng)用貝葉斯定理進(jìn)行推理，推測入侵行為
2. 基于狀態(tài)遷移的誤用檢測方法：利用狀態(tài)圖表示攻擊特征，不同狀態(tài)刻畫了系統(tǒng)某一時刻的特征，初始狀態(tài)：對應(yīng)入侵開始前的系統(tǒng)狀態(tài)，危害狀態(tài)：對應(yīng)已成功入侵時刻的系統(tǒng)狀態(tài)。初始狀態(tài)和危害狀態(tài)之間的遷移可能有一個或多個中間狀態(tài)。攻擊者的操作將導(dǎo)致狀態(tài)發(fā)生遷移，使系統(tǒng)從初始狀態(tài)遷移到危害狀態(tài)。通過檢查系統(tǒng)的狀態(tài)變化發(fā)現(xiàn)系統(tǒng)中的入侵行為，常用該方法的IDS有 STAT、USTAT
3. 基于鍵盤監(jiān)控的誤用檢測方法：假設(shè)入侵行為對應(yīng)特定的擊鍵序列模式，然后監(jiān)測用戶的擊鍵模式，并將這一模式與入侵模式匹配，從而發(fā)現(xiàn)入侵行為。缺點(diǎn)：①在沒有操作系統(tǒng)支持的情況下，難以捕獲用戶擊鍵的可靠方法，②存在多種擊鍵方式表示同一種攻擊，③如果沒有擊鍵語義分析，用戶提供別名很容易欺騙這種檢測技術(shù)，④該方法不能檢測惡意程序的自動攻擊
4. 基于規(guī)則的誤用檢測方法：將攻擊行為或入侵模式表示成一種規(guī)則，只要符合規(guī)則就認(rèn)定它是一種入侵行為。優(yōu)點(diǎn)：是檢測起來比較簡單。缺點(diǎn)：檢測受到規(guī)則庫限制，無法發(fā)現(xiàn)新的攻擊，并且容易受干擾。Snort是典型應(yīng)用實(shí)例

2.2 基于異常的入侵檢測技術(shù)

是指通過計算機(jī)或網(wǎng)絡(luò)資源統(tǒng)計分析，建立系統(tǒng)正常行為的“軌跡”，定義一組系統(tǒng)正常情況的數(shù)值，然后將系統(tǒng)運(yùn)行時的數(shù)值與所定義的“正?！鼻闆r相比較，得出是否有被攻擊的跡象

異常檢測的前提：是異常行為包括入侵行為

理想情況下：異常行為集合等同于入侵行為集合，此時，如果IDS能夠檢測到所有的異常行為，則表明能夠檢測到所有的入侵行為

現(xiàn)實(shí)情況中：入侵行為集合通常不等同于異常行為集合

具體的行為有4種狀況:

1. 行為是入侵行為但不表現(xiàn)異常
2. 行為不是入侵行為但表現(xiàn)異常
3. 行為既不是入侵行為也不表現(xiàn)異常
4. 行為是入侵行為且表現(xiàn)異常

異常檢測方法的基本思路：是構(gòu)造異常行為集合，從中發(fā)現(xiàn)入侵行為

異常檢測依賴于異常模型的建立，不同模型構(gòu)成不同的檢測方法

異常模型檢測方法

1. 基于統(tǒng)計的異常檢測方法

利用數(shù)學(xué)統(tǒng)計理論技術(shù)，通過構(gòu)建用戶或系統(tǒng)正常行為的特征輪廓

典型的系統(tǒng)主體特征：系統(tǒng)的登錄與注銷時間、資源被占用的時間以及處理機(jī)、內(nèi)存和外設(shè)的使用情況等。對收集到的數(shù)據(jù)進(jìn)行統(tǒng)計處理，并與描述主體正常行為的統(tǒng)計性特征輪廓進(jìn)行比較，然后根據(jù)二者的偏差是否超過指定的門限來進(jìn)一步判斷處理

2. 基于模式預(yù)測的異常檢測方法

前提條件：時間序列不是隨機(jī)發(fā)生的而是服從某種可辨別的模式

特點(diǎn)：考慮時間序列之間的相互聯(lián)系。是一種基于時間的推理方法，利用時間規(guī)則識別用戶正常行為模式的特征。通過歸納學(xué)習(xí)產(chǎn)生這些規(guī)則集，并能動態(tài)的修改系統(tǒng)中的這些規(guī)則，使之具有較高的預(yù)測性、準(zhǔn)確性和可信度。如果規(guī)則大部分時間是正確的，并能夠成功的用于預(yù)測所觀察到的數(shù)據(jù)，那么規(guī)則就具有較高的可信度

優(yōu)點(diǎn):

• 能較好地處理變化多樣的用戶行為，并具有很強(qiáng)的時序模式
• 能夠集中考察少數(shù)幾個相關(guān)的安全事件，而不是關(guān)注可疑的整個登錄會話過程
• 容易發(fā)現(xiàn)針對檢測系統(tǒng)的攻擊

3. 基于文本分類的異常檢測方法

基本原理：是將程序的系統(tǒng)調(diào)用視為某個文檔中的“字”，而進(jìn)行運(yùn)行所產(chǎn)生的系統(tǒng)調(diào)用集合就產(chǎn)生一個“文檔”。對于每個進(jìn)程所產(chǎn)生的的“文檔”，利用K-最近鄰聚類文本分類算法，分析文檔的相似性，發(fā)現(xiàn)異常的系統(tǒng)調(diào)用，從而檢測入侵行為

4. 基于貝葉斯推理的異常檢測方法

是指在任意給定的時刻，測量, , ...,變量值，推理判斷系統(tǒng)是否發(fā)生入侵行為。其中，每個變量表示系統(tǒng)某一方面的特征

5. 其他檢測方法

• 基于規(guī)范的檢測方法：介于誤用檢測和異常檢測之間，優(yōu)點(diǎn)：不僅能發(fā)現(xiàn)已知攻擊，也能發(fā)現(xiàn)未知攻擊
• 基于生物免疫的檢測方法：關(guān)鍵技術(shù)在于構(gòu)造系統(tǒng)“自我”標(biāo)志以及標(biāo)志演變方法
• 基于攻擊誘騙的檢測方法：指將虛假的系統(tǒng)或漏洞信息提供給入侵者
• 基于入侵報警的關(guān)聯(lián)檢測方法：通過對原始的 IDS 報警事件的分類及相關(guān)性分析來發(fā)現(xiàn)、攻擊行為
• 基于沙箱動態(tài)分析的檢測方法：通過構(gòu)建程序運(yùn)行的受控安全環(huán)境，形成程序運(yùn)行安全沙箱
• 基于大數(shù)據(jù)分析的檢測方法：通過匯聚系統(tǒng)日志、IDS報警日志、防火墻日志、DNS日志、網(wǎng)絡(luò)威脅情報、全網(wǎng)流量等多種數(shù)據(jù)資源，形成網(wǎng)絡(luò)安全大數(shù)據(jù)資源池

三、入侵檢測系統(tǒng)組成與分類

3.1 入侵檢測系統(tǒng)功能模塊組成

• 數(shù)據(jù)采集模塊功能：是為入侵分析引擎模塊提供分析用的數(shù)據(jù)，包括操作系統(tǒng)的審計日志、應(yīng)用程序的運(yùn)行日志和網(wǎng)絡(luò)數(shù)據(jù)包等
• 入侵分析引擎模塊功能：是依據(jù)輔助模塊提供的信息( 如攻擊模式)，根據(jù)一定的算法對收集到的數(shù)據(jù)進(jìn)行分析，從中判斷是否有入侵行為出現(xiàn)，并產(chǎn)生入侵報警。該模塊是入侵檢測系統(tǒng)的核心模塊
• 管理配置模塊功能：是為其他模塊提供配置服務(wù)，是IDS系統(tǒng)中的模塊與用戶的接口
• 應(yīng)急處理模塊功能：是發(fā)生入侵后，提供緊急響應(yīng)服務(wù)，例如關(guān)閉網(wǎng)絡(luò)服務(wù)、中斷網(wǎng)絡(luò)連接、啟動備份系統(tǒng)等
• 輔助模塊的功能：是協(xié)助入侵分析引擎模塊工作，為它提供相應(yīng)的信息，例如攻擊特征庫、漏洞信息等

通用入侵檢測系統(tǒng)圖

根據(jù)IDS的檢測數(shù)據(jù)來源和它的安全作用范圍，可將IDS分成三大類:

• 基于主機(jī)的入侵檢測系統(tǒng)(HIDS)：通過分析主機(jī)的信息來檢測入侵行為
• 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)：掃描網(wǎng)絡(luò)通信數(shù)據(jù)包，即通過獲取網(wǎng)絡(luò)通信中的數(shù)據(jù)包，對這些數(shù)據(jù)包進(jìn)行攻擊特征掃描或異常建模來發(fā)現(xiàn)入侵行為
• 分布式入侵檢測系統(tǒng)(DIDS)：從多臺主機(jī)、多個網(wǎng)段采集檢測數(shù)據(jù)，或者收集單個 IDS 的報 警信息，根據(jù)收集到的信息進(jìn)行綜合分析，以發(fā)現(xiàn)入侵行為

3.2?基于主機(jī)的入侵檢測系統(tǒng)（HIDS）

通過收集主機(jī)系統(tǒng)的日志文件、系統(tǒng)調(diào)用以及應(yīng)用程序的使用、系統(tǒng)資源、網(wǎng)絡(luò)通信和用戶使用等信息，分析這些信息是否包含攻擊特征或異常情況，并依次來判斷該主機(jī)是否收到入侵。CPU利用率、內(nèi)存利用率、磁盤空間大小、網(wǎng)絡(luò)端口使用情況、注冊表、文件的完整性、進(jìn)程信息、系統(tǒng)調(diào)用等常作為識別入侵事件的依據(jù)

HIDS一般適合檢測以下入侵行為:

HIDS中的軟件

• SWATCH：用于實(shí)時監(jiān)視日志的PERL程序
• Tripwire：一個文件和目錄完整性檢測工具軟件包，用于協(xié)助管理員和用戶監(jiān)測特定文件的變化
• 網(wǎng)頁防篡改系統(tǒng)：基本作用是防止網(wǎng)頁文件被入侵者非法修改，即在頁面文件被篡改后，能 夠及時發(fā)現(xiàn)、產(chǎn) 報警、通知管理員、自動恢復(fù)

HIDS優(yōu)點(diǎn)

1. 可以檢測基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)不能檢測的攻擊
2. 基于主機(jī)的入侵檢測系統(tǒng)可以運(yùn)行在應(yīng)用加密系統(tǒng)的網(wǎng)絡(luò)上，只要加密信息在到達(dá)被監(jiān)控的主機(jī)時或到達(dá)前解密
3. 基于主機(jī)的入侵檢測系統(tǒng)可以運(yùn)行在交換網(wǎng)絡(luò)中

HIDS缺點(diǎn)

1. 必須在每個被監(jiān)控的主機(jī)上都安裝和維護(hù)信息收集模塊
2. 由于HIDS的一部分安裝在被攻擊的主機(jī)上，HIDS可能受到攻擊并被攻擊者破壞
3. HIDS占用受保護(hù)的主機(jī)系統(tǒng)的系統(tǒng)資源，降低了主機(jī)系統(tǒng)的性能
4. 不能有效地檢測針對網(wǎng)絡(luò)中所有主機(jī)的網(wǎng)絡(luò)掃描
5. 不能有效地檢測和處理拒絕服務(wù)攻擊
6. 只能使用它所監(jiān)控的主機(jī)的計算資源

3.3 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）

通過偵聽網(wǎng)絡(luò)系統(tǒng)，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并依據(jù)網(wǎng)絡(luò)包是否包含攻擊特征，或者網(wǎng)絡(luò)通信流是否異常來識別入侵行為

NIDS通常由一組用途單一的計算機(jī)組成，其構(gòu)成分為兩部分

1. 探測器：分布在網(wǎng)絡(luò)中的不同區(qū)域，通過偵聽方式獲取網(wǎng)絡(luò)包，探測器將檢測到攻擊行為形成報警事件，向管理控制器發(fā)送報警信息，報告發(fā)生入侵行為
2. 管理控制器：可監(jiān)控不同網(wǎng)絡(luò)區(qū)域的探測器，接收來自探測器的報警信息

NIDS能夠檢測以下入侵行為:

• 同步風(fēng)暴(SYN Flood)
• 分布式拒絕服務(wù)攻擊(DDoS)
• 網(wǎng)絡(luò)掃描
• 緩沖區(qū)溢出
• 協(xié)議攻擊
• 流量異常
• 非法網(wǎng)絡(luò)訪問

NIDS優(yōu)點(diǎn)：

1. 適當(dāng)?shù)呐渲每梢员O(jiān)控一個大型網(wǎng)絡(luò)的安全狀況
2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的安裝對已有網(wǎng)絡(luò)影響很小，通常屬于被動型的設(shè)備，它們只監(jiān)聽網(wǎng)絡(luò)而不干擾網(wǎng)絡(luò)的正常運(yùn)作
3. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以很好地避免攻擊，對于攻擊者甚至是不可見的

NIDS缺點(diǎn):

1. 在高速網(wǎng)絡(luò)中，NIDS很難處理所有的網(wǎng)絡(luò)包，因此有可能出現(xiàn)漏檢現(xiàn)象
2. 交換機(jī)可以將網(wǎng)絡(luò)分為許多小單元VLAN，而多數(shù)交換機(jī)不提供統(tǒng)一的監(jiān)測端口，這就減少了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的監(jiān)測范圍
3. 如果網(wǎng)絡(luò)流量被加密，NIDS中的探測器無法對數(shù)據(jù)包中的協(xié)議進(jìn)行有效的分析
4. NIDS僅依靠網(wǎng)絡(luò)流量無法推知命令的執(zhí)行結(jié)果，從而無法判斷攻擊是否成功

3.4 分布式入侵檢測系統(tǒng)（DIDS）

網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，帶來許多新的入侵檢測問題

1. 系統(tǒng)的漏洞分散在網(wǎng)絡(luò)中的各個主機(jī)上，這些弱點(diǎn)有可能被攻擊者一起用來攻擊網(wǎng)絡(luò)，僅依靠基于主機(jī)或網(wǎng)絡(luò)的IDS不會發(fā)現(xiàn)入侵行為
2. 入侵行為不再是單一的行為，而是相互協(xié)作的入侵行為
3. 入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始的檢測數(shù)據(jù)變得困難。如交換型網(wǎng)絡(luò)使監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制
4. 網(wǎng)絡(luò)傳輸速度加快，網(wǎng)絡(luò)的流量增大，集中處理原始數(shù)據(jù)的方式往往造成檢測瓶頸，從而導(dǎo)致漏檢

面對這些新的入侵檢測問題，分布式入侵檢測系統(tǒng)應(yīng)運(yùn)而生，它可以跨越多個子網(wǎng)檢測攻擊行為，特別是大型網(wǎng)絡(luò)

DIDS分類

1. 基于主機(jī)檢測的分布式入侵檢測系統(tǒng)（HDIDS):?其結(jié)構(gòu)分成兩個部分：主機(jī)探測器和入侵管理控制器。主機(jī)探測器多以安全代理的形式直接安裝在每個被保護(hù)的主機(jī)系統(tǒng)上，并通過網(wǎng)絡(luò)中的系統(tǒng)管理控制臺進(jìn)行遠(yuǎn)程控制
2. 基于網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)（NDIDS):?其結(jié)構(gòu)分成兩個部分：網(wǎng)絡(luò)探測器和管理控制器。網(wǎng)絡(luò)探測器部署在重要的區(qū)域，用于收集網(wǎng)絡(luò)通信數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)并進(jìn)行分析和報警。NDIDS一般適用于大規(guī)模網(wǎng)絡(luò)或者是地理區(qū)域分散的網(wǎng)絡(luò)，采用這種結(jié)構(gòu)有利于實(shí)現(xiàn)網(wǎng)絡(luò)的分布式安全管理

四、入侵檢測系統(tǒng)主要產(chǎn)品與技術(shù)指標(biāo)

4.1 入侵檢測相關(guān)產(chǎn)品

1. 主機(jī)入侵檢測系統(tǒng)

產(chǎn)品技術(shù)原理：根據(jù)主機(jī)活動信息及重要文件，采用特征匹配、系統(tǒng)文件監(jiān)測、安全規(guī)則符合檢查、文件數(shù)字指紋、大數(shù)據(jù)分析等綜合技術(shù)方法發(fā)現(xiàn)入侵行為

典型產(chǎn)品形態(tài)：有終端安全產(chǎn)品，如北信源主機(jī)監(jiān)控審計系統(tǒng)、360 安全衛(wèi)士等

2. 網(wǎng)絡(luò)入侵檢測系統(tǒng)

產(chǎn)品技術(shù)原理：根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析，利用特征檢測、協(xié)議異常檢測等技術(shù)方法發(fā)現(xiàn)入侵行

3. 統(tǒng)一威脅管理（UTM）

通常會集成入侵檢測系統(tǒng)相關(guān)的功能模塊。UTM是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，該設(shè)備主要提供一項(xiàng)或多項(xiàng)安全功能，同時將多種安全特性集成于一個硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺， 是針對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全威脅進(jìn)行綜合防御的網(wǎng)管型設(shè)備或系統(tǒng)

通常部署在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界，對流出和進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行保護(hù)和控制

部署方式：包括透明網(wǎng)橋、路由轉(zhuǎn)發(fā)和NAT網(wǎng)關(guān)

4. 高級持續(xù)威脅檢測（APT）

是復(fù)雜性攻擊技術(shù)，通常將惡意代碼嵌入word、excel、ppt、pdf文檔或電子郵件中，以實(shí)現(xiàn)更隱蔽的網(wǎng)絡(luò)攻擊，以逃避普通的網(wǎng)絡(luò)安全檢查

高級待續(xù)威脅檢測系統(tǒng)是入侵檢測技術(shù)產(chǎn)品的特殊形態(tài)，其產(chǎn)品技術(shù)原理基于靜態(tài)／動態(tài)分析檢測可疑惡意電子文件及關(guān)聯(lián)分析網(wǎng)絡(luò)安全大數(shù)據(jù)以發(fā)現(xiàn)高級持續(xù)威脅活動

5. 其他

根據(jù)入侵檢測應(yīng)用對象，常見的產(chǎn)品類型

• Web IDS：利用Web網(wǎng)絡(luò)通信流量或Web訪問日志等信息，檢測常見的Web攻擊
• 數(shù)據(jù)庫IDS：利用數(shù)據(jù)庫網(wǎng)絡(luò)通信流量或數(shù)據(jù)庫訪問日志等信息，對常見的數(shù)據(jù)庫攻擊行為進(jìn)行檢測
• 工控IDS：通過獲取工控設(shè)備、工控協(xié)議相關(guān)信息，根據(jù)工控漏洞攻擊檢測規(guī)則、異常報文特征和工控協(xié)議安全策略，檢測工控系統(tǒng)的攻擊行為

4.2 入侵檢測相關(guān)指標(biāo)

• 可靠性：由于入侵檢測系統(tǒng)需要不間斷地監(jiān)測受保護(hù)系統(tǒng)，因此，要求入侵檢測系統(tǒng)具有容錯能力，可以連續(xù)運(yùn)行
• 可用性：入侵檢測系統(tǒng)運(yùn)行開銷要盡量小，特別是基于主機(jī)的入侵檢測系統(tǒng)，入侵檢測系統(tǒng)不能影響到主機(jī)和網(wǎng)絡(luò)系統(tǒng)的性能
• 可擴(kuò)展性：該指標(biāo)主要評價入侵檢測系統(tǒng)是否易于配置修改和安裝部署的能力，以適應(yīng)新的攻擊技術(shù)方法不斷出現(xiàn)和系統(tǒng)環(huán)境的變遷需求
• 時效性：要求入侵檢測系統(tǒng)必須盡快地分析報警數(shù)據(jù)，并將分析結(jié)果傳送到報警控制臺，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者破壞審計系統(tǒng)甚至入侵檢測系統(tǒng)的企圖
• 準(zhǔn)確性：指入侵檢測系統(tǒng)能正確地檢測出系統(tǒng)入侵活動的能力。當(dāng)一個入侵檢測系統(tǒng)的檢測不準(zhǔn)確時，它就可能把系統(tǒng)中的合法活動當(dāng)作入侵行為，或者把入侵行為作為正常行為，這時就出現(xiàn)誤報警和漏報警現(xiàn)象，實(shí)用的入侵檢測系統(tǒng)應(yīng)具有低的誤警率和漏警率
• 安全性：與其他系統(tǒng)一樣，入侵檢測系統(tǒng)本身也往往存在安全漏洞。若對入侵檢測系統(tǒng)攻擊成功，則直接導(dǎo)致報警失靈，使攻擊者的攻擊行為無法被記錄。因此，入侵檢測系統(tǒng)的安全性要求具有保護(hù)自身的安全功能，能夠抗攻擊干擾

五、入侵檢測系統(tǒng)應(yīng)用

5.1 入侵檢測應(yīng)用場景類型

1. 上網(wǎng)保護(hù)：通過采集域名請求數(shù)據(jù)及網(wǎng)絡(luò)威脅情報，利用入侵檢測系統(tǒng)檢測不良網(wǎng)址，保護(hù) 上網(wǎng)計算機(jī)安全，防止互聯(lián)網(wǎng)黑客直接攻擊內(nèi)部網(wǎng)絡(luò)，切斷不良信息訪問
2. 網(wǎng)站入侵檢測與保護(hù)：通過入侵檢測技術(shù)對Web服務(wù)器的所有請求或Web訪問日志進(jìn)行檢測，發(fā)現(xiàn)網(wǎng)站安全威脅
3. 網(wǎng)絡(luò)攻擊阻斷：在受保護(hù)的區(qū)域邊界處部署入侵檢測系統(tǒng)，對受保護(hù)設(shè)備的網(wǎng)絡(luò)通信進(jìn)行安全檢測，阻斷具有攻擊特征的操作，防止攻擊行為
4. 主機(jī)/終端惡意代碼檢測：在主機(jī)/終端設(shè)備上安裝入侵檢測系統(tǒng)或功能模塊，檢測主機(jī)服務(wù)器、終端設(shè)備的攻擊行為，防止主機(jī)或終端設(shè)備受到侵害
5. 網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處置：利用檢測系統(tǒng)監(jiān)測網(wǎng)絡(luò)信息系統(tǒng)中的異常行為，及時發(fā)現(xiàn)入侵事件，追蹤惡意攻擊源，防止網(wǎng)絡(luò)安全事件影響擴(kuò)大
6. 網(wǎng)絡(luò)安全等級保護(hù)：如在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻擊行為；檢測虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量；檢測針對無線接入設(shè)備的網(wǎng)絡(luò)掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊

5.2 入侵檢測系統(tǒng)部署方法

IDS部署：指將IDS安裝在網(wǎng)絡(luò)系統(tǒng)區(qū)域中，使之能夠檢測到網(wǎng)絡(luò)中的攻擊行為

IDS部署的基本過程

1. 第一步，根據(jù)組織或公司的安全策略要求，確定IDS要監(jiān)測的對象或保護(hù)網(wǎng)段
2. 第二步，在監(jiān)測對象或保護(hù)網(wǎng)段，安裝IDS探測器，采集網(wǎng)絡(luò)入侵檢測所需要的信息
3. 第三步，針對監(jiān)測對象或保護(hù)網(wǎng)段的安全需求，制定相應(yīng)的檢測策略
4. 第四步，依據(jù)檢測策略，選用合適的IDS結(jié)構(gòu)類型
5. 第五步，在IDS上，配置入侵檢測規(guī)則
6. 第六步，測試驗(yàn)證IDS的安全策略是否正常執(zhí)行
7. 第七步，運(yùn)行和維護(hù)IDS

5.3 基于HIDS的主機(jī)威脅檢測

HIDS一般用于檢測針對單臺主機(jī)的入侵行為，其主要應(yīng)用方式如下：

1. 單機(jī)應(yīng)用：在這種應(yīng)用方式下，把HIDS系統(tǒng)直接安裝在受監(jiān)測的主機(jī)上即可
2. 分布式應(yīng)用：這種應(yīng)用方式需要安裝管理器和多個主機(jī)探測器(Sensor) 。管理器控制多個主機(jī)探測器(Sensor) ，從而可以遠(yuǎn)程監(jiān)控多臺主機(jī)的安全狀況

5.4 基于 NIDS的內(nèi)網(wǎng)威脅檢測

將網(wǎng)絡(luò)IDS的探測器接在內(nèi)部網(wǎng)的廣播式Hub或交換機(jī)的Probe端口，探測器通過采集內(nèi)部網(wǎng)絡(luò)流量數(shù)據(jù)，然后基于網(wǎng)絡(luò)流量分析監(jiān)測內(nèi)部網(wǎng)的網(wǎng)絡(luò)活動，從而可以發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的入侵行為

5.5 基于NIDS的網(wǎng)絡(luò)邊界威脅檢測

將NIDS的探測器接在網(wǎng)絡(luò)邊界處，采集與內(nèi)部網(wǎng)進(jìn)行通信的數(shù)據(jù)包，然后分析來自外部的入侵行為

5.6?網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)用參考

5.7?開源網(wǎng)絡(luò)入侵檢測系統(tǒng)

5.8?華為 CIS 網(wǎng)絡(luò)安全智能系統(tǒng)應(yīng)用

友情鏈接：http://xqnav.top/文章來源地址http://www.zghlxwxcb.cn/news/detail-456119.html

到了這里，關(guān)于信息安全-入侵檢測技術(shù)原理與應(yīng)用的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！