安全防御 --- 入侵检测 --- IDS、IPS

入侵检测

1、入侵检测经典理论

系统访问控制要针对三类用户

（1）合法用户

（2）伪装 --- 攻破[流程控制]（超出了合法用户的行为范围）

身份仿冒（可能是最早提出不能仅依赖于身份认证，还要加强行为监控以防范身份仿冒和滥用的学者）

（3）秘密用户 --- 攻破[逻辑控制] --- 后门

（相当于一个摄像头。用户可以将自己身份伪装成合法的，或者通过后门进入，绕过或者攻破防火墙，此时防火墙相当于虚设）

2、经典检测模型

通用的入侵检测系统抽象模型

• 主体
• 对象
• 审计记录
• 活动档案
• 异常记录
• 活动规则

3、入侵检测的作用及原理

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功入侵
• 为对抗入侵提供信息与依据，防止事态扩大

4、意义

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵，弥补防火墙对应用层检查的缺失。

5、IDS（intrusion detection system）简介

（1）作用：

对系统运行的状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、机密性、可用性）。是一个软件与硬件的组合系统。

判断安全的主要维度：完整性（保证不被破坏）、机密性（保证窃取后打不开）、可用性（保证系统可用）--- 安全黄金三角

（2）异常检测：

当某个时间与一个已知的攻击特征（信号）相匹配时，一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生时，就认为是异常，IDS就会告警。

（3）特征检测：IDS核心是特征库（签名）

签名用来描述网络入侵行为的特征，通过比较报文特征在和签名来检测入侵行为

（4）异常检测模型：

总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

（5）误用检测模型：

收集非正常操作的行为特征，建立相关的 特征库，当检测的用户或系统行为与苦衷的记录相匹配时，系统就认为这种是入侵，误用检测模型也被称为特征检测。

（6）对比：

（7）IDS的两种类型（网络和主机）

• 主机IDS（HIDS）：监控主机日志，记录文件变化过程。
• 网络IDS（NIDS）：留存数据包在网络交互中的原始信息，观测全网流量。

HIDS一般是在电脑中安装代理软件，由软件收集电脑中的变化，汇总给NIDS。

附：典型特征案例、自定义签名、签名检查过程

6、检测生命周期

• 信息收集：用数据来刻画系统和网络运行历史和现状
• 信息分析：用收集的数据去研判现状和预测未来
• 结果处理：记录、告警和视觉呈现

（1）信息收集：

[1] 基于主机

[2] 基于网络

[3] 基于传感器

• 基于主机运行的软件
• 基于网络的数据捕获传感器
• 物联网中的各种传感器

（2）信息分析：

• 异常检测

例：统计分析、完整性分析

• 误用检测

例：模式匹配

• 融合使用异常检测和误用检测 --- 实际系统的普遍做法

（3）结果处理：记录、告警和视觉呈现

• 产生告警：记录告警日志；请求其他设备的协作联动：如：防火墙
• 视觉呈现：【态势感知】产品原型

7、异常检测

（1）统计分析

• 统计分析对象

如：用户、文件、目录和设备等

• 统计分析方法：为统计分析对象创建一个统计描述，统计正常使用时的一些测量属性

如：访问时间（工作/休息时间）、访问次数、操作失败次数和延时。

• 统计匹配：测量属性的平均值将被用来与网络、系统的行为进行比较，任何观测/测量值在正常范围之外时，就认为有入侵发生。

（2）完整性分析

• 完整性分析对象：文件、目录以及任意数字资源

例：文件和目录的内容及属性

• 完整性分析方法：建立完整性分析对象在正常状态时的完整性签名
• 完整性分析匹配：匹配签名值是否发生改变---（发生改变，则认定目标对象被入侵篡改）

（3）常见的异常检测算法

• 基于特征选择异常检测
• 基于贝叶斯推理异常检测
• 基于贝叶斯网络异常检测
• 基于神经网络异常检测
• 基于贝叶斯聚类异常检测

8、误用检测

（1）模式匹配

[1] 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式规则集进行比较，从而发现违反安全策略的行为

[2] 入侵模式的表示方法：

• 一个过程（如执行一条指令）
• 一个输出（如获得权限）

[3] 入侵模式的匹配过程：

• 字符串匹配：精确匹配、模糊匹配
• 状态机迁移序列匹配

（2）常用的误用检测算法：

• 基于条件概率误用检测
• 基于专家系统误用检测
• 基于状态迁移误用检测

9、IDS部署

IDS和防火墙能够形成一个完整的防御生态

（1）IDS和IPS的区别：IDS--入侵检测；IPS--入侵防御检测

• IDS：偏向事后处理
• IPS：能和防火墙形成联动，事中实时阻断攻击

（2）检测类型：

• 外网入侵检测：一般大型企业会部署，有专业的安全团队 ，防御力量足够
• 防火墙入侵检测：联动功能，及时阻断
• 内网入侵检测：保护重要系统，监视内部信任用户

（PS：IDS部署一般不串接。串接会增加故障点，并且IDS处理速度较慢，串接影响处理速度）

（3）旁挂（IDS旁挂）：

需要部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像部署到IDS旁挂口（二层复制）；也可以使用集线器、分光器（物理层复制）实现流量复制。

10、签名及例外签名

（1）签名实际使用：

IPS特征库中包含了针对各种攻击行为的海量签名信息，但是在实际网络环境中，业务类型可能比较简单，不需要使用所有的签名，大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

（2）签名过滤器：

若干签名的集合。我们根据特定的条件，如严重性、协议、威胁类型等，将IDS特征库中的适用于当前业务的签名筛选到签名过滤器中，后去就可以重点关注这些签名的防御效果。通常情况下，对于筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器中为这些签名统一设置新的动作，操作非常便捷。

（3）签名过滤器的动作分别为：

• 阻断：丢弃命中签名的报文，并记录日志
• 告警：对命中签名的报文放行，但记录日志
• 采用签名的缺省动作，实际动作以签名的缺省动作为准

PS：签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时，以签名过滤器中的动作为准

（4）例外签名：

由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并配置单独动作。

（5）例外签名的动作分别为：

• 阻断：丢弃命中签名的报文并记录日志
• 告警：对命中签名的报文放行，但记录日志
• 放行：对命中签名的报文放行，且不记录日志
• 添加黑名单：丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并将报文的源地址或目的地址添加至黑名单

11、流量经过的总体顺序

12、IPS配置

（1）使用之前配置NAT的拓扑：

（2）在安全策略中新建入侵防御：

应用程序最多匹配64条

（3）配置例外签名：

• 查找例外签名ID

• 配置例外签名

（4）添加黑名单：

（5）提交配置：

13、配置完成

IPS配置完成后，通过监控攻击行为、分析威胁日志等手段，发现防御策略不合理的地方，进而对IPS做出调整，如：修改签名过滤器、升级IPS特征库，必要的时候还可以使用例外签名和自定义签名

（1）选择“监控 > 日志 > 威胁日志”

对该攻击进行排查，在查询条件中输入要观察的时间段和攻击源的IP地址，进行查询。通过搜索结果可以看出，攻击者在某时间段内持续发出多种入侵攻击。可以判定该攻击源在发起恶意攻击，可以在安全策略中阻断来自该IP的流量，从而阻断攻击。

---

有一些攻击发生持续时间短，发生次数少，攻击源少。这种情况难以通过日志间的关联来判断攻击行为，此时需要根据威胁事件的相关信息判断是否为攻击。

（2）选择“对象 > 签名”，在搜索框中输入威胁日志中记录的威胁ID，然后点击查看详情。

14、调整配置

基于对攻击的判定，需要对当前的配置进行调整。

例如：

<1> 某攻击在一些场景下会构成威胁，但是在另一些场景中，可能并不会造成危害，甚至一些特殊的业务也可能具备该威胁特征。这种情况下，需要识别被阻断的威胁在当前网络环境中是否构成公鸡，如果不会，则考虑将其配置为例外签名，动作设置为告警。

<2> 在安全悠闲的场景中，如果发现有些告警是由非正常业务触发的，并且触发行为符合攻击行为，则可以考虑将这些配置为例外签名，动作设置为阻断

<3> 确定为入侵行为的源IP地址，可以直接将其加入黑名单，或将该IP加入安全策略的规则，并且配置动作为阻断。