入侵检测与防御技术基础

网络入侵简介

典型的入侵行为

1. 篡改web网页；
2. 破解系统密码；
3. 复制/查看敏感数据；
4. 使用网络嗅探工具获取用户密码；
5. 访问未经允许的服务器；
6. 其他特殊硬件获取原始网络包；
7. 向主机植入特洛伊木马程序；

常见的入侵方式

1. 未授权访问
2. 拒绝服务
3. 假冒和欺诈
4. 线路窃听
5. 计算机病毒
6. 特洛伊木马
7. 后门和陷阱
8. 电磁辐射
9. 盗窃

系统漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞问题具有时效性，随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题会长期存在。

病毒

病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽、窃取用户数据、控制主机权限等。反病毒功能可以通过维护更新病毒特征库保护网络安全，防止病毒文件侵害数据。

入侵检测系统

入侵检测(ID Intrusion Detection)通过监视各种操作，实时检测入侵行为的过程，是一种积极动态的安全防御技术。

入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统，一旦发现有违反安全策略的行为或者系统存在被攻击的痕迹时，立即启动安全机制进行应对，例如断开网络、关闭整个系统、向管理员告警等。

入侵检测系统的特点

1. 监测速度快
2. 隐蔽性好
3. 视野更宽
4. 较少的监测器
5. 攻击者不易转移证据
6. 操作系统无关性
7. 不占用被保护的系统资源

入侵检测的原理

入侵检测采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。

入侵检测原理

入侵检测系统的结构

入侵检测的技术实现

异常检测模型（Anomaly Detection）：首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵；异常检测可以发现未知的攻击方法。

误用检测模型(Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库；当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。误用检测适用于对已知模式的可靠检测。误用检测也称为特征检测(Signature-based Detection)

异常检测与误用检测的优缺点

异常检测

优点：
不需要专门维持操作系统缺陷特征库；
有效检测对合法用户的冒充检测；
缺点：
建立正常的行为轮廓和确定异常行为轮廓的阈值困难；
不是所有的入侵行为都会产生明显的异常；

误用检测

优点：
可检测所有已知的入侵行为；
能够明确入侵行为并提示防范方法；
缺点：
缺乏对未知入侵行为的检测；
对内部人员的越权行为无法进行检测；

入侵防御系统

入侵防御技术

入侵防御技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。入侵防御技术是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或阻断攻击源，从而从根本上避免攻击行为。

入侵防御技术优势

实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，把其对网络的入侵降到最低。

深层防护：由于新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等来确定哪些流量应该被拦截。

全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。

内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。

不断升级，精准防护：入侵防御特征库会根据持续更新特征库，以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库，以保持入侵防御的持续有效性

入侵防御系统

入侵防御系统(IPS, Intrusion Prevention System)是一种发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一。

IPS有两种部署方式：

直路(Inline)：串联在网络边界，在线部署，在线阻断。
旁路：

• SPAN也叫作端口镜像或端口监控，接在交换机上，通过交换机做端口镜像；
• TAP(Test Access Point)接在交换机与路由器之间，旁路安装拷贝数据到IPS。

入侵检测系统与入侵防御系统对比

IDS主要作用是监控网络状况，但不会对入侵行为采取动作。通常情况下，IDS设备会以旁路的方式接入网络中，与防火墙联动，发现入侵后通知防火墙进行阻断。

IPS会发现入侵行为并阻断入侵行为。与IDS不同的是，IPS会实时阻断入侵行为，是一种侧重于风险控制的安全机制。