10.1 入侵檢測概述
1)概念
20世紀 80年代初期,安全專家認為: “入侵是指未經授權蓄意嘗試訪問資訊、篡改資訊,使系統不可用的行為。”
美國大學安全專家將入侵定義為 “非法進入資訊系統,包括違反資訊系統的安全策略或法律保護條例的動作”。
我們認為,入侵應與受害目標相關聯,該受害目標可以是一個大的系統或單個物件。判斷與目標相關的操作是否為入侵的依據是:對目標的操作是否超出了目標的安全策略範圍。因此,入侵是指違背訪問目標的安全策略的行為。
入侵檢測透過收集作業系統、系統程式、應用程式、網路包等資訊,發現系統中違背安全策略或危及系統安全的行為。
具有入侵檢測功能的系統稱為入侵檢測系統,簡稱為IDS。
2)模型
根據主機系統中的審計記錄資料,生成有關係統的若干輪廓,並監測輪廓的變化差異,發現系統的入侵行為。
隨著入侵行為的種類不斷增多,許多攻擊是經過長時期準備的。面對這種情況,入侵檢測系統的不同功能元件之間、不同IDS之間共享這類攻擊資訊是十分重要的。於是,一種通用的入侵檢測框架模型被提出,簡稱為CIDF。該模型認為入侵檢測系統由事件產生器(event generators)、事件分析器(event analyzers)、響應單元(response units)和事件資料庫(event database)組成。
CIDF 將入侵檢測系統需要分析的資料統稱為事件,它可以是網路中的資料包,也可以是從系統日誌等其他途徑得到的資訊。事件產生器從整個計算環境中獲得事件,並向系統的其他部分提供事件。事件分析器分析所得到的資料,併產生分析結果。響應單元對分析結果做出反應,如切斷網路連線、改變檔案屬性、簡單報警等應急響應。事件資料庫存放各種中間和最終資料,資料存放的形式既可以是複雜的資料庫,也可以是簡單的文字檔案。CIDF 模型具有很強的擴充套件性,目前已經得到廣泛認同。
3)作用
- 發現受保護系統中的入侵行為或異常行為
- 檢驗安全保護措施的有效性
- 分析受保護系統所面臨的威脅
- 有利於組織安全事件擴大, 及時報警觸發網路安全應急響應
- 可以為網路安全策略的制定提供重要指導
- 報警資訊可用作網路犯罪取證
除此之外,入侵檢測技術還常用於網路安全態勢感知,以獲取網路資訊系統的安全狀況。網路安全態勢感知平臺通常匯聚入侵檢測系統的報警資料,特別是分佈在不同安全區域的報警,然後對其採取資料關聯分析、時間序列分析等綜合技術手段,給出網路安全狀況判斷及攻擊發展演變趨勢。
10.2 入侵檢測技術
1)基於誤用
也叫基於特徵,指根據已知的入侵模式檢測入侵行為
- 基於條件機率的誤用檢測方法
- 基於狀態遷移的誤用檢測方法
- 基於鍵盤監控的誤用檢測方法
- 基於規則的誤用檢測方法
2)基於異常
指透過計算機或網路資源統計分析,建立系統正常行為的"軌跡",定義一組系統正常情況的數值,然後將系統執行時的數值與所定義的"正常"情況相比較,得出是否有被攻擊的跡象。
- 基於統計
- 基於模式預測
- 基於文字分類
- 基於貝葉斯推理
3)其他
- 基於規範
- 基於生物免疫(模仿生物有機體的免疫系統工作機制)
- 基於攻擊誘騙
- 基於入侵報警
- 報警資料的相似性
- 人為設定引數或透過機器學習的方法
- 根據某種攻擊的前提條件與結果
- 基於沙箱動態分析
- 基於大資料分析
10.3 入侵檢測系統組成與分類
1)組成
:資料採集、入侵分析引擎、應急處理、管理配置、輔助模組
資料採集模組的功能是為入侵分析引擎模組提供分析用的資料,包括作業系統的審計日誌、應用程式的執行日誌和網路資料包等。
入侵分析引擎模組的功能是依據輔助模組提供的資訊(如攻擊模式),根據一定的演算法對收集到的資料進行分析,從中判斷是否有入侵行為出現,併產生入侵報警。該模組是入侵檢測系統的核心模組。
管理配置模組的功能是為其他模組提供配置服務,是IDS系統中的模組與使用者的介面。應急處理模組的功能是發生入侵後,提供緊急響應服務,例如關閉網路服務、中斷網路連線、啟動備份系統等。
輔助模組的功能是協助入侵分析引擎模組工作,為它提供相應的資訊,例如攻擊特徵庫、漏洞資訊等。
2)基於主機
透過收集主機系統的日誌檔案、系統呼叫以及應用程式的使用、系統資源、網路通訊和使用者使用等資訊,分析這些資訊是否包含攻擊特徵或異常情況,並依此來判斷主機是否受到入侵。
- 針對主機的埠或漏洞掃描
- 重複失敗的登入常識
- 遠端口令破解
- 主機系統的使用者賬號新增
- 服務啟動或停止
- 系統重啟動
- 檔案的完整性或許可權變化
- 登錄檔修改
- 重要系統啟動檔案變更
- 程式的異常呼叫
- 拒絕服務攻擊
3)基於網路
基於網路的入侵檢測系統,簡稱為NIDS。NIDS透過偵聽網路系統,捕獲網路資料包,並依據網路包是否包含攻擊特徵,或者網路通訊流是否異常來識別入侵行為。NIDS通常由一組用途單一的計算機組成,其構成多分為兩部分:探測器和管理控制器。
探測器分佈在網路中的不同區域,透過偵聽(嗅探)方式獲取網路包,探測器將檢測到攻擊行為形成報警事件,向管理控制器傳送報警資訊,報告發生入侵行為。
管理控制器可監控不同網路區域的探測器,接收來自探測器的報警資訊。
一般說來,NIDS能夠檢測到以下入侵行為:
- 同步風暴
- 分散式拒絕服務攻擊
- 網路掃描
- 緩衝區溢位
- 協議攻擊
- 流量異常
- 非法網路訪問
4)分散式入侵
網路系統結構的複雜化和大型化,帶來許多新的入侵檢測問題。
(1)系統的漏洞分散在網路中的各個主機上,這些弱點有可能被攻擊者一起用來攻擊網路,僅依靠基於主機或網路的 IDS 不會發現入侵行為。
(2)入侵行為不再是單一的行為,而是相互協作的入侵行為。
(3)入侵檢測所依靠的資料來源分散化,收集原始的檢測資料變得困難。如交換型網路使監聽網路資料包受到限制。
(4)網路傳輸速度加快,網路的流量增大,集中處理原始資料的方式往往造成檢測瓶頸,
從而導致漏檢。面對這些新的入侵檢測問題,分散式入侵檢測系統應運而生,它可以跨越多個子網檢測攻擊行為,特別是大型網路。分散式入侵檢測系統可以分成兩種型別,即基於主機檢測的分散式入侵檢測系統和基於網路的分散式入侵檢測系統。
10.4 入侵檢測系統主要產品與技術指標
1)產品
主機入侵檢測系統
網路入侵檢測系統
統一威脅管理
高階持續威脅檢測
2)技術指標
可靠性、可用性、可擴充套件性、時效性、準確性、安全性
10.5 入侵檢測系統應用
1)場景型別
上網保護、網站入侵檢測與保護、網路攻擊阻斷、主機/終斷惡意程式碼檢測、網路安全監測預警與應急處置、網路安全等級保護
2)部署方法
IDS部署是指將IDS安裝在網路系統區域中,使之能夠檢測到網路中的攻擊行為。IDS部署的基本過程包含以下幾個步驟:
第一步,根據組織或公司的安全策略要求,確定IDS要監測的物件或保護網段
第二步,在監測物件或保護網段,安裝IDS探測器,採集網路入侵檢測所需要的資訊
第三步,針對監測物件或保護網段的安全需求,制定相應的檢測策略
第四步,依據檢測策略,選用合適的JS結構型別
第五步,在 IDS上,配置入侵檢測規則
第六步,測試驗證 IDS的安全策略是否正常執行
第七步,執行和維護 IDS