2021信息安全工程师学习笔记

Posted 2021-09-14 Aouyangw

入侵检测技术原理与应用

1、入侵检测概述

入侵检测概念：入侵应于受害目标相关联，该受害目标可以是一个大的系统或单个对象。入侵是指违背访问目标的安全策略的行为。

• 判断与目标相关的操作是否为入侵的依据是：对目标的操作是否超出了目标的安全策略范围。
• 具有入侵检测的系统称为入侵检测系统，简称为IDS。

入侵检测模型：早期的入侵检测模型主要根据主机系统的审计记录数据，生成有关系统的若干轮毂。

CIDF：通用的入侵检测框架模型。该模型认为入侵检测系统由事件产生器、事件分析器、响应单元和事件数据库组成。

• CIDF将入侵检测系统需要分析的数据统称为事件；
• 事件产生器从整个计算机环境中获得事件；
• 事件分析器分析所得到的数据，并产生分析结果；
• 响应单元对分析结果做出反应；
• 事件数据库存在各种中间和最终数据。
  
  入侵检测作用：
  

2、入侵检测技术

基于误用的入侵检测技术：又称为基于特征的入侵检测方法。根据已知的入侵模式检测入侵行为。

• 攻击者利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到。
• 入侵检测依赖于攻击模式库，采用误入检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。

误用入侵检测的前提条件是：入侵 行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。

误用检测方法可以分为以下几种方法：

• 基于条件概率的误用检测方法：将入侵对应成一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行整理，推测入侵行为。
• 基于状态迁移的误用检测方法：利用状态图表示攻击特征。初始状态对应入侵开始前的系统状态，危害状态对应已成功入侵时刻的系统状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。
• 基于键盘监控的误用检测方法：假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。缺点是难以捕获用户击键的可靠方法；存在多种击键方式表示同一种攻击；没有击键语义分析，用户提供别名很容易欺骗这种检测技术；该方法不能检测恶意程序的自动攻击。
• 基于规则的误用检测方法：将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。优点是：检测起来简单。缺点是：检测受到规则库限制，无法发现新的攻击，并且容易受干扰。

基于异常的入侵检测技术：建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。

• 异常检测的前提是异常行为包括入侵行为；
• 在现实中，入侵行为集合通常不等同于异常行为集合；
• 具体的行为有4种：行为是入侵行为但不表现异常；行为不是入侵行为但表现异常；行为既不是入侵行为也不表现异常；行为是入侵行为且表现异常。
• 异常检测方法的基本思路：构造异常行为集合，从中发现入侵行为。依赖于异常模型的建立，不同模型构成不同的检测方法。

几种常见的异常入侵检测技术：

• 基于统计的异常检测方法：利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓。比较收集到的数据与描述主体正常行为的数据进行比较，根据两者的偏差是否超过指定的门限来进一步判断处理。
• 基于模式预测的异常检测方法。前提条件：时间序列不是随机发生的而是服从某种可辨别的模式，其特点是考虑时间序列之间的相互关系。是一种基于时间的推理方法，利用时间规则标识用户正常行为模式的特征。优点：能较好地处理变化多样的用户行为，并具有很强的时序模式；能够集中考察少数几个相关的安全事件；容易发现针对检测系统的攻击。
• 基于文本分类的异常检测方法：将程序的系统调用视为某个文档中的“字”，而进行运行所产生的系统调用集合就产生一个“文档”。利用K-最近领聚类文本分类算法，分析文档的相似性。
• 基于贝叶斯推理的异常检测方法：在任意给定的时刻，测量A1,A2……An变量值，推理判断系统是否发生入侵行为。其中，每个变量Ai表示系统某一个方面的特征。

其他的入侵检测技术：

3、入侵检测系统组成与分类

入侵检测系统组成：数据采集模块，入侵分析引擎模块，应急处理模块 ，管理配置模块（提供配置服务，是模块和用户的接口）和相关的辅助模块（为入侵分析引擎模块提供信息）。

根据IDS的检测数据来源和它的安全作用范围，可将IDS分成三大类：

• 基于主机的入侵检测系统（简称HIDS，分析主机的信息）；
• 基于网络的入侵检测系统（简称NIDS，扫描网络通信数据包）；
• 分布式入侵检测系统（简称DIDS，多台主机，多个网段采集数据综合分析）。

基于主机的入侵检测系统：即HIDS。通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并依次来判断该主机是否收到入侵。一般适合检测以下入侵行为：

• 针对主机的端口或漏洞扫描；
• 重复失败的登入尝试；
• 远程口令破解；
• 主机系统的用户账号添加；
• 服务启动或停止；
• 系统重启动；
• 文件的完整性或许可权变化；
• 注册表修改；
• 重要系统启动文件变更；
• 程序的异常调用；
• 拒绝服务攻击；

HISD中的软件:

• SWATCH：实施监视日志的程序；
• Tripwire：文件和目录完整性检测工具软件包；
• 网页防篡改系统：防止网页文件被入侵者非法修改。

优点与缺点：

基于网络的入侵检测系统：简称NIDS。通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成，其构成分为两部分：探测器和管理控制器。

• 探测器分布在网络中的不同区域，通过侦听方式获取网络包，探测器将检测到攻击行为形成报警事件，向管理控制器发送报警信息，报告发生入侵行为。
• 管理控制器可监控不同网络区域的探测器，接收来自探测器的报警信息。

NIDS能够检测以下入侵行为：

• 同步风暴：SYN Flood
• 分布式拒绝服务攻击：DDoS
• 网络扫描
• 缓冲区溢出
• 协议攻击
• 流量异常
• 非法网络访问

优点缺点：

分布式入侵检测系统：

基于主机检测的分布式入侵检测系统：简称HDIDS。其结构分成两个部分：主机探测器和入侵管理控制器。

• 主机探测器多以安全代理的形式直接安装在每个被保护的主机系统上，并通过网络中的系统管理控制台进行远程控制。
  
  基于网络的分布式入侵检测系统：简称NDIDS，其结构分成两个部分：网络探测器和管理控制器。
• 网络探测器部署在重要的区域，用于收集网络通信数据和业务数据并进行分析和报警；
• NDIDS一般适用于大规模网络或者是地理区域分散的网络。
  

4、入侵检测系统主要产品与技术指标

入侵检测相关产品：

• 主机入侵检测系统；
• 网络入侵检测系统；
• 统一威胁管理。简称UTM，通常会集成入侵检测系统相关的功能模块。将多种安全特性集成于一个硬件设备里。通常部署在内部网络和外部网络的边界。部署方式：透明网桥、路由转发和NAT网关；
• 高级持续威胁检测：高级持续威胁简称APT，通常将恶意代码嵌入word、excel、ppt、pdf文档或电子邮件中。
• 其他。根据入侵检测应用对象，常见的产品类型有Web IDS、数据库IDS、工控IDS等。

入侵检测相关指标：可靠性、可用性、可扩展性、时效性、准确性、安全性。

5、入侵检测系统应用

入侵检测应用场景类型：上网保护、网站入侵检测与保护、网络攻击阻断、主机/终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护。

入侵检测系统部署方法：

基于HIDS的主机威胁检测：

基于NIDS的内网威胁检测：
基于NIDS的网络边界威胁检测：