一、IDS产品的“痛点”
1.误报率:“把好人当坏蛋了“”
2.漏报率:“把坏蛋当好人了”
二、用户抱怨IDS最多的两件事
1.海量事件:数量庞大,无从处理?
2.事件确认:很多事件信息不足,无法确认行为合理性,用户对很多事件不知道该做些什么。
三、IPS是IDS的 未来归宿
减少人参与:IPS检测技术的原理相同,把IDS串接在保护目标前,就成了IPS
- IDS:入侵检测系统
- IPS:入侵防御系统
四、位置不同,能力不同
1.IPS需要快速给出判断,是转还是丢,前后关联的时间不可能过长,因此IP适合比对方式检测;
2.IDS旁路取样,可以检自己关心的分析,比较,前后关联的时间可以长一些,适合模式匹配检测;
3.IPS是网关,提高入侵者的门槛,但不要太高,负责影响业务;
4.IDS是监控,高级入侵者才是关注的重点;
五、蜜罐网络-----虚假目标
进一步确认:
部署一个假目标,让入侵者“自由展示自己,通过其行为分析,以及通过”什么漏洞入侵检测系统。
1.蜜罐网络是一种入侵分析技术;
2.蜜罐网络是模拟实际工作网络,让入侵者误以为进入了实际工作网络,继续实施入侵行动;
3.蜜罐网络具有强大的监控能力,可以像“透明鱼缸”一样观察入侵者是如何实施攻击的;
4.当没有确认是入侵时,用户行为应该如何复制到工作网络中,或保留所有日志,让用户行为可以重放,不能影响用户的正常工作;
要点: - 蜜罐网络因为是模拟网络系统,数据多是静态的,容易引起入侵者的警觉;
- 蜜罐网络的自身控制能力很关键,在让入侵者释放恶意代码时,不能使得自己的系统失控;
六、入侵检测技术的延伸----沙箱(看行为表现)
1.让可疑文件行动起来,通过其行为表现是否具有恶意特征,判定其是否为恶意代码,可以用于检测大多数的、未知的软件,是目前防御APT攻击的主要手段之一。
2.文件型沙箱:虚拟文件运营环境 - WIndows可执行文件(PE)沙箱
- Office文件沙箱
- Adobe文件沙箱
- 网页文件沙箱
- Linux系统沙箱
- Android系统沙箱
七、入侵检测技术面临的挑战-----数据加密
1.计算机速度不再是问题,内嵌软件的加密成为低成本的可选择性;
2.各种方便的加密中间件,让用户只要设置几下,就可以保证出去的邮件、链接、聊天等应用软件都自动加密;
3.越来越多的非对称性加密,一次一密模式,让网络监听破解起来越来越困难;
4.传输内容加密,监控者无法识别,无法继续进行深度数据包检测DPI;
八、入侵检测技术面临的更多挑战-----网络逃逸技术
高级陶艺技术AET
利用IDS/IPS内部检测架构的缺陷与漏洞,原本是恶意代码因为换个“马甲”就变成”好人“了
1.创新攻击模式-----新方法
2.改变自我特征-----新面孔
3.干扰检测还原-----戴面具 - 协议宽松:重叠、乱序
- 检查漏洞:分并重组、延迟发送
- 字符集理解差异:各种注入与填充
九、入侵检测技术面临的更多挑战------沙箱逃逸
恶意软件的自我保护能力:虚拟环境网络与真实环境的判断
1.人机交互
2.故意冬眠
3.用户环境
4.硬件参数
十、入侵检测技术的未来发展
入侵检测技术越来越趋向于综合分析
1.检测技术加强:行为模式匹配增多;特征库继续增大,对变种的进行DNA检测;
2.检测覆盖面全:NIDS与HIDS相融合
3异常检测禁集:因为速度与空间不再受限制,流量统计技术建立行为基线模型成为趋势;
4.多为关联分析:纵向时间、横向地域、业务合规、敏感访问
5.依托安全云服务中心
未知代码分析中心----沙箱、蜜网;
URL信誉库-----服务者黑白名单;
3.用户信誉库(整数身份)-----访问者黑白名单;-----