入侵檢測技術基礎
1. IDS(入侵檢測系統)存在與發展的必然性
(1)網路安全本身的複雜性,被動式的防禦方式顯得力不從心。
(2)有關防火牆:網路邊界的裝置;自身可以被攻破;對某些攻擊保護很弱;並非所有威脅均來自防火牆外部。
(3)入侵很容易:入侵教程隨處可見;各種工具唾手可得
2. 入侵檢測(Intrusion Detection)
●定義:透過從計算機網路或計算機系統中的若干關鍵點收集資訊並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。
●起源:
(1)1980年,James P. Anderson的《電腦保安威脅監控與監視》(《Computer Security Threat Monitoring and Surveillance》)
第一次詳細闡述了入侵檢測的概念;提出計算機系統威脅分類;提出了利用審計跟蹤資料監視入侵活動的思想;此報告被公認為是入侵檢測的開山之作。
(2)1984年到1986年,喬治敦大學的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統模型--IDES(入侵檢測專家系統)
(3)1990年,加州大學戴維斯分校的L. T. Heberlein等人開發出了NSM(Network Security Monitor)
-該系統第一次直接將網路流作為審計資料來源,因而可以在不將審計資料轉換成統一格式的情況下監控異種主機
-入侵檢測系統發展史翻開了新的一頁,兩大陣營正式形成:基於網路的IDS和基於主機的IDS
(4)1988年之後,美國開展對分散式入侵檢測系統(DIDS)的研究,將基於主機和基於網路的檢測方法整合到一起。DIDS是分散式入侵檢測系統歷史上的一個里程碑式的產品。
(5)從20世紀90年代到現在,入侵檢測系統的研發呈現出百家爭鳴的繁榮局面,並在智慧化和分散式兩個方向取得了長足的進展。
3. IDS基本結構
●事件產生器:負責原始資料採集,並將收集到的原始資料轉換為事件,向系統的其他部分提供此事件。
收集的資訊包括:系統或網路的日誌檔案;網路流量;系統目錄和檔案的異常變化;程式執行中的異常行為。
注意:入侵檢測很大程度上依賴於收集資訊的可靠性和正確性。
●事件分析器:接收事件資訊,對其進行分析,判斷是否為入侵行為或異常現象,最後將判斷的結果轉變為告警資訊。分析方法有如下三種(重點掌握):
(1)模式匹配:將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為
(2)統計分析:首先給系統物件(如使用者、檔案、目錄和裝置等)建立一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等);測量屬性的平均值和偏差將被用來與網路、系統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。
(3)完整性分析(往往用於事後分析):主要關注某個檔案或物件是否被更改。
●事件資料庫:存放各種中間和最終資料的地方。
●響應單元:根據告警資訊做出反應。(強烈反應:切斷連線、改變檔案屬性等;簡單的報警)
4. 入侵檢測效能關鍵引數
(1)誤報(false positive):實際無害的事件卻被IDS檢測為攻擊事件。
(2)漏報(false negative):一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
5. 入侵檢測的分類
(1)按照分析方法/檢測原理分類
●異常檢測(Anomaly Detection):基於統計分析原理。首先總結正常操作應該具有的特徵(使用者輪廓),試圖用定量的方式加以描述,當使用者活動與正常行為有重大偏離時即被認為是入侵。
前提:入侵是異常活動的子集。指標:漏報率低,誤報率高。
使用者輪廓(Profile):通常定義為各種行為引數及其閥值的集合,用於描述正常行為範圍。
特點:異常檢測系統的效率取決於使用者輪廓的完備性和監控的頻率;不需要對每種入侵行為進行定義,因此能有效檢測未知的入侵;系統能針對使用者行為的改變進行自我調整和最佳化,但隨著檢測模型的逐步精確,異常檢測會消耗更多的系統資源
●誤用檢測(Misuse Detection):基於模式匹配原理。收集非正常操作的行為特徵,建立相關的特徵庫,當監測的使用者或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。
前提:所有的入侵行為都有可被檢測到的特徵。指標:誤報低、漏報高。
攻擊特徵庫:當監測的使用者或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。
特點:採用模式匹配,誤用模式能明顯降低誤報率,但漏報率隨之增加。攻擊特徵的細微變化,會使得誤用檢測無能為力。
(2)按照資料來源分類
●基於主機(HIDS):系統獲取資料的依據是系統執行所在的主機,保護的目標也是系統執行所在的主機。
視野集中;易於使用者自定義;保護更加周密;對網路流量不敏感;
●基於網路(NIDS):系統獲取的資料是網路傳輸的資料包,保護的是網路的正常執行。
偵測速度快;隱蔽性好;視野更寬;較少的監測器;佔資源少
●混合型
(3)按照體系結構:集中式;分散式
(4)按照工作方式:離線檢測;線上檢測
6. 基本術語
●Alert(警報):當一個入侵正在發生或者試圖發生時,IDS將釋出一個alert資訊通知系統管理員
●Signatures(特徵):攻擊特徵是IDS的核心,它使IDS在事件發生時觸發。
特徵資訊過短會經常觸發IDS,導致誤報或錯報;過長則會影響IDS的工作速度。
●Promiscuous(混雜模式):如果網路介面是混雜模式,就可以“看到”網段中所有的網路通訊量,不管其來源或目的地。這對於網路IDS是必要的
入侵檢測技術(異常檢測技術;誤用/濫用檢測技術;入侵誘騙技術;入侵響應技術)
7. 異常檢測技術
●機率統計異常檢測
原理:每一個輪廓儲存記錄主體當前行為,並定時將當前輪廓與歷史輪廓合併形成統計輪廓(更新),透過比較當前輪廓與統計輪廓來判定異常行為。
優點:可應用成熟的機率統計理論
缺點:①由於使用者行為的複雜性,要想準確地匹配一個使用者的歷史行為非常困難,容易造成系統誤報和漏報;
②定義入侵閾值比較困難,閾值高則誤報率提高,閾值低則漏報率增高。
●神經網路異常檢測
原理:對下一事件的預測錯誤率在一定程度上反映了使用者行為的異常程度。
優點:①更好地表達了變數間的非線性關係,能更好地處理原始資料的隨機特徵,即不需要對這些資料做任何統計假設,並且能自動學習和更新;②有較好的抗干擾能力
缺點:網路拓撲結構以及各元素的權重很難確定
8. 誤用/濫用檢測技術(專家系統濫用檢測方法、狀態轉換分析濫用檢測方法的原理和優缺點)
●專家系統濫用檢測
原理:透過將安全專家的知識表示成If-Then結構的規則(if部分:構成入侵所要求的條件;then部分:發現入侵後採取的相應措施)形成專家知識庫,然後運用推理演算法檢測入侵。
注意:需要解決的主要問題是處理序列資料和知識庫的維護(只能檢測已知弱點)
●狀態轉換分析濫用檢測
原理:將入侵過程看作一個行為序列,該行為序列導致系統從初始狀態轉入被入侵狀態。分析時,需要針對每一種入侵方法確定系統的初始狀態和被入侵狀態,以及導致狀態轉換的轉換條件(導致系統進入被入侵狀態必須執行的操作/特徵事件);然後用狀態轉換圖來表示每一個狀態和特徵事件。
缺點:不善於分析過分複雜的事件,也不能檢測與系統狀態無關的入侵
9. 入侵誘騙技術的定義、特點、設計目標;蜜罐技術
●定義:用特有的特徵吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析,並進而找到有效的對付方法。
●特點:試圖將攻擊者從關鍵系統引誘開。是一種主動防禦技術。
●設計目的:從現存的各種威脅中提取有用的資訊,以發現新型的攻擊工具、確定攻擊的模式並研究攻擊者的攻擊動機。
●蜜罐技術(Honeypot):是一種被偵聽、被攻擊或已經被入侵的資源。注意:Honeypot並非一種安全解決方案,它只是一種工具,而且只有Honeypot受到攻擊,它的作用才能發揮出來。
10. 入侵響應技術(主動響應和被動響應的形式、手段)
●主動響應:入侵檢測系統在檢測到入侵後能夠阻斷攻擊、影響進而改變攻擊的程式。
形式:由使用者驅動;系統本身自動執行
基本手段:①對入侵者採取反擊行動(嚴厲方式;溫和方式;介於嚴厲和溫和之間的方式) ②修正系統環境 ③收集額外資訊
●被動響應:入侵檢測系統僅僅簡單地報告和記錄所檢測出的問題。
形式:只向使用者提供資訊而依靠使用者去採取下一步行動的響應。
基本手段:①告警和通知 ②SNMP(簡單網路管理協議),結合網路管理工具使用。
11. 入侵檢測體系結構(主機入侵檢測、網路入侵檢測和分散式入侵檢測的特點、優缺點)
●主機入侵檢測(HIDS)
特點:對針對主機或伺服器系統的入侵行為進行檢測和響應。
主要優點:價效比高;更加細膩;誤報率較低;適用於加密和交換的環境;對網路流量不敏感;確定攻擊是否成功。
侷限性:①它依賴於主機固有的日誌與監視能力,而主機審計資訊存在弱點:易受攻擊,入侵者可設法逃避審計;
②IDS的執行或多或少影響主機的效能;
③HIDS只能對主機的特定使用者、應用程式執行動作和日誌進行檢測,所能檢測到的攻擊型別受到限制;
④全面部署HIDS代價較大。
●網路入侵檢測(NIDS)
專案 | HIDS | NIDS |
誤報 | 少 | 一定量 |
漏報 | 與技術水平相關 | 與資料處理能力有關(不可避免) |
系統部署與維護 |
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/21110967/viewspace-1018737/,如需轉載,請註明出處,否則將追究法律責任。
請登入後發表評論
登入
全部評論
|
相關文章
- Linux入侵檢測基礎Linux
- 入侵檢測技術,雞肋還是機會?
- 10-入侵檢測技術原理與應用
- 防火牆入侵於檢測——————2、思科安全技術和特性防火牆
- 技術分享 | Linux 入侵檢測中的程式建立監控Linux
- 入侵檢測術語全接觸(轉)
- 深度學習技術在網路入侵檢測中的應用深度學習
- 技術基礎 | Apache Cassandra 4.0基準測試Apache
- 【AOP】技術基礎
- 活體檢測技術
- SNORT入侵檢測系統
- Snort 入侵檢測系統
- *NIX入侵檢測方法(轉)
- Linux入侵檢測(轉)Linux
- 6.20入侵檢測排查
- 基於全流量許可權漏洞檢測技術
- 計算機網路之網路安全基礎-防火牆與入侵檢測系統計算機網路防火牆
- PKI技術基礎I
- PKI技術基礎II
- Oracle技術基礎(一)Oracle
- 機器學習在入侵檢測方面的應用 - 基於ADFA-LD訓練集訓練入侵檢測判別模型機器學習模型
- 偽AP檢測技術研究
- 無線入侵檢測系統
- 人員入侵檢測系統
- 軟體測試技術基礎學習之測試過程
- 基於RFID技術紡織樣品檢測系統
- 音視訊技術基礎
- JavaGUI——繪圖技術基礎JavaGUI繪圖
- Linux技術——gcc基礎LinuxGC
- Linux技術——makefile基礎Linux
- 病毒防護技術基礎
- 微信域名檢測的技術原理
- OCR檢測與識別技術
- 現代通訊技術基礎中的基礎
- 前端技術演進(一):Web前端技術基礎前端Web
- Pytest 實踐:Python 測試技術基礎知識Python
- 基於圖的下一代入侵檢測系統
- 【技術向】SSH加密隧道流量攻擊與檢測技術加密