1 入侵检测概述
入侵检测:
在网络/系统 若干关键点收集信息、分析,发现网络/系统是否违反安全策略/遭受攻击并做出相应
IDS 入侵检测系统
使用*~~~~技术*对网络和系统监视, 根据监视做出动作,降低入侵危害
过程
- 信息收集
- 数据处理
- 数据分析
- 安全策略做出响应
一般可以用防火墙/认证系统阻止未授权访问。
IDS是在适当位置对计算机未授权访问警告,或拒绝部分入侵者。没有访问控制能力
- 网络侦查员/侦擦和预警
- 攻击的时候警报/记录行为,预警功能
- 多用 旁路侦听 机制
- 对其它系统的补充,降低损失
保证
D t + R T < p T Dt+RT < pT Dt+RT<pT
检测 + 响应 < 防护时间
基本结构
CIDF:入侵检测需要的数据叫事件
- 事件产生器 —— 采集监视保存数据,保存于4
- 事件分析器 —— 发现危险一场数据并通知 3
- 响应单元 —— 拦截阻断反追踪保护
- 事件数据库
CISL:不同功能单元的数据交换
2 IDS分类
从数据来源
- 基于主机
- 基于网络
- 基于内核
- 基于应用
主机
数据源:
系统catalog, APP catalog等审计记录文件,产生攻击签名
- 保证审计数据不被改
- 实时性
- 系统在attacker修改审计数据签完成 分析、报警、响应
按检测对象继续分类
- 网络连接:进入主机的数据
- 主机文件:log,sys,process
优点
扫描二维码关注公众号,回复:
15330444 查看本文章
- 确定攻击是否成功
- 合适加密/交换环境
- 因为基于网络的IDS以数据交换包位数据源
- 加密数据到主机前要解密。对于网络,流量很难处理
- 近实时
- 无须其他硬件
- 特定行为监视 ~~ 系统文件/可执行文件
- 针对不同OS
不足
- 实时性差
- 占资源
- 效果依赖日志
- 无法检测全部包
- 隐蔽性插
网络
原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析
可执行
- 端口扫描
- 识别攻击
- 识别IP七篇
- 可干涉通信,配置防火墙
优势
- 攻击者难以转移踪迹:因为主机的IDS的审计日志会被修改
- 实时
- OS无关
- 低成本
- 检测未遂攻击
对应就是前面的
实时、同时多台、隐蔽、保护入侵证据、不影响host
不足
- 防入侵交叉
- 难配置
- 硬件限制
- 不能处理加密数据
内核
openwall linux
防止缓冲区溢出,增加文件系统的保护,封闭信号
分布式
主机+网络
3. 分析方式
- 异常检测
- 误用检测
异常检测技术——基于行为
前提:入侵行为都是异常的
正常的行为特征轮廓来判断是否发生了入侵行为。间接
- 选特征量
- 选阈值
- 漏警
- 虚警
- 选比较频率
优点
- 检测出新的入侵方法
- 少依赖OS
- 对内部检测能力强
缺
- 误报
- 模型难建立
- 难分类命名行为
方法
- 统计分析
- 平均值
- 平方加权求和
- 成熟,但阈值难确定,次序不敏感
- 贝叶斯
- 神经网络
- 不需要数据统计假设,处理随机性与干扰数据
- 权重难确定
- 模式预测,考虑顺序,联系。遵循可识别模式
- 处理各种行为
- 对不可识别模式误检
- 数据裁决
- 处理数据
- 效率低
- 机器学习
误用检测技术——基于知识
前提:入侵行为可被 识别,直接方法
- 准确
- 成熟
- 便于sys防护
缺点
- 新入侵行为无法检测
- 依赖数据特征有效
- 维护库工作量大
- 难以检测内部
方法
- 专家系统
- 速度,精度有待改良,维护库工作量大
- 特征分析
- 不进行转换,不处理大量数据,直接用入侵只是
- 推理模型
- 基于数学,减少数据量处理
- 增加模型开销
- 条件概率
- 键盘监控
异常 | 误用 | |
---|---|---|
配置 | 难度大。要总结正常行为 | |
结果 | 更多数据 | 列出type/name/处理建议 |
others
遗传算法,免疫技术
4 设置
- 确定需求
- 设计拓扑
- 配置系统
- 磨合调试
- 使用
3,4回溯多次,降低误报和漏报
5 部署
基于网络IDS
- DMZ
- 检测所有针对用户向外提供服务的服务器的攻击行为
- 检测外部攻击与防火墙问题
- 外网入口
- 可以检测所有进出防火墙外网口的数据
- 处理进出数据
- 但无法定位地址
- 内网主干
- 内网流出和经过防火墙过滤后流入内网的网络数据
- 知道源目的地址
- 检测内网,提高检测攻击效率
- 关键子网
- 检测到来自内部以及外部的所有不正常的网络行为
- 资源部署搞笑
基于host
主要安装在关键主机
要根据服务器本身的空闲负载能力配置
报警策略
如何报警和选取什么样的报警
保证这个互动的接口与目标网络物理隔绝,不影响别处
优点与局限
- 分析行为
- 测试安全状态
- 产生数据
- 帮助管理人员
局限
- 只能发现,不能弥补/修正漏洞也无法预防。
- 高负载主机难以检测
- 基于知识/无用很难检测为职工过激行为
- 过敏造成拒绝服务攻击
- 纯交换环境无法工作
密罐技术就是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的