入侵檢測系統
- 防火牆可以根據IP和服務埠過濾資料包文,極少深入資料包檢查內容(合法IP和埠從事破壞活動);
- 防火牆只在網路邊界提供安全保護,對內網使用者的違規行為或者攻擊者將內網終端作為跳板的惡意行為無能為力;
IDS的必要性
- 在造成損害前切斷連線或終止操作
- 對攻擊者震懾作用
- 可以蒐集入侵資訊,與防火牆聯動更新全工具的配置
IDS體系結構
CIDF通用入侵檢測框架
四個元件:
- 事件產生器:所需要分析的資料都稱為事件。可以是網路中的資料包,或是系統日誌或程式訊息。其作用是從IDS之外的整個計算環境中搜集事件,將這些事件轉換為CIDF的GIDO格式像其他元件提供此事件。
- 事件分析器:分析從其他元件傳送來的GIDO,經過分析得到資料,分析產生結構GIDO,並將結果向其他元件分發。(入侵檢測的核心,可以用不同演算法對其 進行精確分析)。
- 響應單元:處理其他元件發來的GIDO,並作出反應的功能單元,可以作出切斷連線、改變檔案屬性等強烈反應,也可以是簡單的報警。
- 事件資料庫:存放各種中間和最終GIDO的介質的統稱,可以是複雜的資料庫也可以是簡單的文字檔案。
應用程式:事件產生器+事件分析器+響應單元(資料收集器、資料分析器、控制中心)
文字or資料庫:事件資料庫
決定主要效能:事件發生器和事件分析器
蒐集的原始資料+分析演算法的效率
根據事件分析器採用資料來源不同分類:基於主機的入侵檢測系統、基於網路的入侵檢測系統、分散式的入侵檢測系統
根據事件分析器分析演算法型別的不同分類:基於異常的入侵檢測系統、基於誤用的入侵檢測系統
核心功能:對各種事件進行分析,從這個發現違反安全策略的行為
IDS的兩大類分析檢測方法(基於異常檢測、基於誤用檢測)分別對應經驗主義和理性主義
基於誤用檢測
定義了一套規則來判斷特定的行為是否是一個入侵行為。這些規則是基於特徵對已知攻擊行為的描述(公理)。
優點:誤報率低
缺點:對新的入侵行為防範能力很弱
黑名單模式
建立入侵行為特徵庫
缺點是規則庫對系統型別依賴度很高,不同的系統需要有不同的規則庫
定義入侵行為資料庫,以及匹配與入侵行為分析方法。
- 專家系統:建立資料庫
- 模式匹配與協議分析
- 狀態建模:入侵行為建模一個行為序列
基於異常檢測
通過大量的觀察和統計,建立正常行為的輪廓,只要一個行為不嚴重偏離正常行為輪廓就是一個正常行為,反之則是入侵行為。
優點:檢出率高
缺點:誤報率高
白名單模式
存在假陽性和假陰性的情況;
難點在於合理的選擇閾值,以最大限度地減少誤報率和漏報率。閾值的選擇是一種折中的藝術。
概率統計入侵檢測
系統首先定義一個能夠描述合法使用者行為的特徵資料集合,利用數理統計方法對特徵資料進行分析,形成正常行為輪廓。
採用多個變數的統計值進行入侵檢測也叫做多元變數的入侵檢測
基礎是審計記錄或日誌資料
作用:
- 對一段時間內的審計記錄分析可以缺點平均使用者活動曲線,形成合法使用者的行為輪廓。
- 使用者當前的審計記錄可以作為入侵檢測系統的輸入,根據當前記錄與行為輪廓的偏差判斷入侵行為。
- 原始審計記錄:事實上現有的所有作業系統均有系統日誌,缺點是原始日誌不便於直接分析使用
- 面向入侵檢測的審計記錄:專門的審計記錄收集工具,優點是可以採用特別地工具滿足ids特定的需求,缺點是增加了系統的開銷
具體的審計記錄至少應當包括以下內容:
主體,行為,客體,異常條件,資源使用情況,時間戳,計數器,計量器,計時器,積分器,定時器
優點:
不需要具備太多系統安全弱點的先驗知識,統計本身具有一定的自學習能力(依賴閾值時一種比較粗糙的檢測方法)
缺點:
對事件發生的次序不敏感,可能會漏檢依賴彼此關聯事件的入侵行為。
預測模型入侵檢測
- 馬爾可夫過程
- 時間序列模型
網路中行為是動態變化的,以前合法的行為可能會變成不合法的行為
基於監督學習的入侵檢測
KNN(K近鄰演算法)、決策樹(DT)、支援向量機(SVM)
基於無監督學習的入侵檢測
K-means聚類、層次聚類
入侵檢測系統的部署方式
基於主機的入侵檢測系統(HIDS)
檢測目標是執行於網路中的主機或主機上的使用者;
執行在網路中的主要主機、伺服器、工作站或關鍵路由器上。
資料來源:主機的系統審計日誌或網路流量
基於網路的入侵檢測系統(NIDS)
被動在網路中監聽整個網段的資料流,通過補貨資料包文進行分析。
分散式入侵檢測系統(DIDS)
每臺被監控主機上的檢測代理、網路檢測代理和中央控制器
中央控制器:
- 通訊管理控制整個分散式入侵檢測系統中的資訊流
- 專家系統負載分析個各代理髮來的過濾後的資料,進行高層次的入侵檢測分析
- 使用者介面主要負責給安全管理員良好的的人機介面