网安笔记15 入侵检测IDS

1 入侵检测概述

入侵检测：
在网络/系统 若干关键点收集信息、分析，发现网络/系统是否违反安全策略/遭受攻击并做出相应

IDS 入侵检测系统
使用*~~~~技术*对网络和系统监视, 根据监视做出动作，降低入侵危害

过程

1. 信息收集
2. 数据处理
3. 数据分析
4. 安全策略做出响应

一般可以用防火墙/认证系统阻止未授权访问。
IDS是在适当位置对计算机未授权访问警告，或拒绝部分入侵者。没有访问控制能力

• 网络侦查员/侦擦和预警
• 攻击的时候警报/记录行为，预警功能
• 多用 旁路侦听 机制
• 对其它系统的补充，降低损失

保证
$$Dt+RT<pT$$
检测 + 响应 < 防护时间

基本结构

CIDF:入侵检测需要的数据叫事件

1. 事件产生器 —— 采集监视保存数据，保存于4
2. 事件分析器 —— 发现危险一场数据并通知 3
3. 响应单元 —— 拦截阻断反追踪保护
4. 事件数据库

CISL：不同功能单元的数据交换

2 IDS分类

从数据来源

1. 基于主机
2. 基于网络
3. 基于内核
4. 基于应用

主机

数据源：
系统catalog， APP catalog等审计记录文件，产生攻击签名

• 保证审计数据不被改
• 实时性
  • 系统在attacker修改审计数据签完成 分析、报警、响应

按检测对象继续分类

1. 网络连接：进入主机的数据
2. 主机文件：log，sys，process

优点

• 确定攻击是否成功
• 合适加密/交换环境
  • 因为基于网络的IDS以数据交换包位数据源
  • 加密数据到主机前要解密。对于网络，流量很难处理
• 近实时
• 无须其他硬件
• 特定行为监视 ~~ 系统文件/可执行文件
• 针对不同OS

不足

• 实时性差
• 占资源
• 效果依赖日志
• 无法检测全部包
• 隐蔽性插

网络

原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析

可执行

1. 端口扫描
2. 识别攻击
3. 识别IP七篇
4. 可干涉通信，配置防火墙

优势

• 攻击者难以转移踪迹：因为主机的IDS的审计日志会被修改
• 实时
• OS无关
• 低成本
• 检测未遂攻击

对应就是前面的
实时、同时多台、隐蔽、保护入侵证据、不影响host

不足

• 防入侵交叉
• 难配置
• 硬件限制
• 不能处理加密数据

内核

openwall linux
防止缓冲区溢出，增加文件系统的保护，封闭信号

分布式

主机+网络

3. 分析方式

• 异常检测
• 误用检测

异常检测技术——基于行为

前提：入侵行为都是异常的
正常的行为特征轮廓来判断是否发生了入侵行为。间接

1. 选特征量
2. 选阈值
   1. 漏警
   2. 虚警
3. 选比较频率

优点

• 检测出新的入侵方法
• 少依赖OS
• 对内部检测能力强

缺

• 误报
• 模型难建立
• 难分类命名行为

方法

1. 统计分析
   1. 平均值
   2. 平方加权求和
      1. 成熟，但阈值难确定，次序不敏感
2. 贝叶斯
3. 神经网络
   1. 不需要数据统计假设，处理随机性与干扰数据
   2. 权重难确定
4. 模式预测，考虑顺序，联系。遵循可识别模式
   1. 处理各种行为
   2. 对不可识别模式误检
5. 数据裁决
   1. 处理数据
   2. 效率低
6. 机器学习

误用检测技术——基于知识

前提：入侵行为可被 识别，直接方法

• 准确
• 成熟
• 便于sys防护

缺点

• 新入侵行为无法检测
• 依赖数据特征有效
• 维护库工作量大
• 难以检测内部

方法

1. 专家系统
   1. 速度，精度有待改良，维护库工作量大
2. 特征分析
   1. 不进行转换，不处理大量数据，直接用入侵只是
3. 推理模型
   1. 基于数学，减少数据量处理
   2. 增加模型开销
4. 条件概率
5. 键盘监控

	异常	误用
配置	难度大。要总结正常行为
结果	更多数据	列出type/name/处理建议

others

遗传算法，免疫技术

4 设置

1. 确定需求
2. 设计拓扑
3. 配置系统
4. 磨合调试
5. 使用

3，4回溯多次，降低误报和漏报

5 部署

基于网络IDS

1. DMZ
   1. 检测所有针对用户向外提供服务的服务器的攻击行为
   2. 检测外部攻击与防火墙问题
2. 外网入口
   1. 可以检测所有进出防火墙外网口的数据
   2. 处理进出数据
   3. 但无法定位地址
3. 内网主干
   1. 内网流出和经过防火墙过滤后流入内网的网络数据
   2. 知道源目的地址
   3. 检测内网，提高检测攻击效率
4. 关键子网
   1. 检测到来自内部以及外部的所有不正常的网络行为
   2. 资源部署搞笑

基于host

主要安装在关键主机

要根据服务器本身的空闲负载能力配置

报警策略

如何报警和选取什么样的报警

保证这个互动的接口与目标网络物理隔绝，不影响别处

优点与局限

• 分析行为
• 测试安全状态
• 产生数据
• 帮助管理人员

局限

• 只能发现，不能弥补/修正漏洞也无法预防。
• 高负载主机难以检测
• 基于知识/无用很难检测为职工过激行为
• 过敏造成拒绝服务攻击
• 纯交换环境无法工作

密罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚假的网络，从而达到保护真正网络的目的