赞
踩
- 入侵检测概述
- 入侵检测技术 ※
- 入侵检测系统组成与分类 ※
- 入侵检测系统主要产品与技术指标
- 入侵检测应用 ※ ※
命题规则:上午选择题2分左右,下午案例题结合其他知识考5-8分
入侵检测是网络安全态势感知的关键核心技术,支撑构建网络安全信息安全保障体系。
美国专家讲入侵定义为“非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作”。我们一般认为,入侵应与受害目标相关联 ,该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是否为入侵的依据是:对目标的操作是否超出了目标安全策略范围。因此入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,简称为IDS。
最早的入侵检测模型主要根据主机系统的审计记录数据,生成有关系统的若干轮廓,并监督测检测轮廓的变化差异,发现系统的入侵行为,如图
后续由于入侵行为种类的不断增多,许多攻击都是经过长期准备。又提出了一种通用的入侵检测框架模型,简称CIDF。它由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成。CIDF将入侵检测系统需要分析的数据统称为事件(可以是数据包、从系统日志等其他信息得到的信息)。
入侵检测系统的直接目的不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图已经违背安全策略的行为,其作用表现为以下几个方面
(1)发现受保护系统中的入侵行为或异常行为
(2)检验安全保护措施的有效性
(3)分析受保护系统所面临的有效性
(4)有利于阻止安全事件扩大,及时报警触发网络安全应急响应
(5)可以为网络安全策略的制定提供重要指导
(6)报警信息可以作用网络犯罪取证
除此之外,入侵检测技术还常用于态势感知,以获取网络信息系统的安全状况
基于误用的入侵检测技术、基于异常的入侵检测技术和其他技术
误用入侵检测也叫基于特征的入侵检测方法,指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式,则入侵行为立即被检测到。
显然这种技术很依赖攻击模式库的大小。如果太小,IDS产品的有效性就大打折扣。但太大,也会影响到IDS的性能。
基于误用的入侵检测实际上就是一个模式匹配的过程,需要入侵行为能够按某种方式进行特征编号。
根据入侵特征秒描述的方式或构造技术,误用检测方法可以进一步细分:
书上的公式可以不用记
基于条件概率的误用检测方法,这是将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。
基于状态迁移的误用方法检测:利用状态图标识攻击特征,通过检查系统的状态变化发现系统中的入侵行为。
基于键盘监控的误用检测方法:监测用户的击键模式,并将其与入侵模式匹配,从而发现入侵行为。
基于规则的误用检测方法:将攻击行为或入侵模式表示成一种规则,只要符合规则就认定它是一种入侵行为。大部分IDS采用的就是这种方法。Snort是典型的基于规则误用检测方法的应用实例。
异常检测方法是指通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象。
几种常见的异常检测方法:
入侵检测系统主要由一下模块组成:
基于主机的入侵检测系统,简称HIDS。通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息,分析这些信息是否包含攻击特征或异常情况,并以此来判断该主机是否收到入侵。HIDS一般适合检测以下入侵行为:
- 针对主机的端口或漏洞扫描
- 重复失败的登入尝试
- 远程,口令破解
- 主机系统的用户账号添加
- 服务启动或停止
- 系统重启动
- 文件的完整性或许可权变化
- 注册表修改
- 重要系统启动文件变更
- 程序的异常调用
- 拒绝服务攻击
基于主机的入侵检测系统(HIDS)的软件有很多,如
基于主机入侵检测系统的有点
- 可以检测基于NIDS不能检测的攻击;
- 基于HIDS可以运行在加密系统的网络上,只要加密信息在达到被监控的主机时或达到前解密
- 基于主机的入侵检测系统可以运行在交换机网络中
基于主机入侵检测系统的缺点:
- 必须在每个被监控的主机上都安装和维护信息收集模块
- 由于HIDS的一部分安装在被攻击主机上,HIDS可能受到攻击并被攻击者破坏
- HIDS占用受保护的主机系统的系统资源,降低了主机系统的性能
- 不能有效地检测针对网络中所有主机的网络扫描
- 不能有效检测和处理拒绝服务攻击
- 只能使用它所监控的主机的计算资源
基于网络的入侵检测系统简称NIDS。NIDS通过侦听网络系统,捕获网络数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。NIDS通常由一组或用途单一的计算机组成,其构成分多分为两部分:探测器和管理控制器。探测器分布在网络中的不同区域,通过侦听(嗅探)方式获取网络包,探测器将检测到攻击行为形成报警事件,向管理控制器发送报警信息,报告发生入侵行为。一般来来说,NIDS能够检测到以下入侵行为:
分布式入侵检测系统可以跨越多个子网检测攻击行为,特别是大型网络。分布式入侵检测系统可以分成两种类型,即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。
HDIDS,其结构分为两个部分:主机探测器和入侵管理控制器。主机探测器多以安全代理(Agent)的形式直接安装在受保护主机上,通过网络中的系统管理控制台进行远程控制。这种控制方式,便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS的典型配置如图。
NDIDS的结构分为两部分:网络探测器和管理控制器。网络探测器部署在重要的网络区域,如服务器所在的网段,用于收集网络通信数据和业务数据流,通过采用异常和误用两种方法对收集到的信息进行分析,若出现攻击或异常网络行为,就向管理控制器发送报警信息。网络入侵检测系统功能模块的分布式配置及管理如图
入侵检测是网络安全监测和预警的核心关键技术,其产品技术日渐成熟完善。常见的入侵检测相关产品有如下几类
IDS部署是指将IDS安装在网络系统区域中,使之能检测到网络中的攻击行为。IDS部署的过程包含以下几个步骤:
第一步,根据组织或公司的安全策略要求,确定IDS要监测的对象或保护网段
第二步,在监测对象或保护网段,安装IDS探测器,采集网络入侵检测所需要的信息
第三步,针对监测对象或保护网段的安全需求,制定相应的检测策略
第四步,依据检测策略,选用适合的IDS结构
第五步,在IDS上,配置入侵检测规则
第六步,测试验证IDS的安全策略是否正常执行
第七步,运行和维护IDS
HIDS一般用于检测针对单台主机的入侵行为,其主要应用方式如下
(1)单机应用。(把HIDS系统直接安装在受监测的主机上即可)
(2)分布式应用。这种方式需要安装管理器和多个主机探测器(sensor)。管理器控制多个主机探测器(sensor),从而可以远程监控多台主机的安全状况,如图
将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口,如图。探测器通过采集内部网络流量数据,然后基于网络流量分析监测内部网络活动,从而可以发现内网中的入侵行为。
将NIDS的探测器接在网络边界处,采集与内部网进行同信的数据包,然后分析来自于外部的入侵行为。
网络态势感知通过汇聚IDS报警信息、系统日志、然后哦i利用大数据分析技术对网络系统的安全状况进行分析,检测网络安全态势。
这里出过选择题
开源IDS系统Snort:网络误用检测系统,基本技术原理是通过获取网络数据包,基于安全规则进行检测,形成报警信息。
Snort规则由两部分组成,即规则头和 。规则头包含规则操作(action)、协议(protocol)、源地址和目的IP地址及网络掩码、源地址和目的端口信息。规则选项包含报警消息、被检查网络包的部分信息及规则应采取的动作。
snort配置为以三种模式运行:
后续会更新snort的具体使用方法
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。