信息安全：入侵检测技术原理与应用.（IDS）

信息安全：入侵检测技术原理与应用.
入侵检测是网络安全态势感知的关键核心技术，支撑构建网络信息安全保障体系。入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称为 IDS 。
目录：
入侵检测概述：

（1）入侵检测模型：

（2）入侵检测作用：

入侵检测技术：

（1）基于误用的人侵检测技术：

（2）基于异常的人侵检测技术：

（3）其他：

入侵检测系统组成与分类：

（1）入侵检测系统组成：

（2）基于主机的人侵检测系统：

（3）基于网络的人侵检测系统：

（4）分布式人侵检测系统：

入侵检测系统主要产品与技术指标：

（1）入侵检测相关产品：

（2）人侵检测相关指标：

入侵检测系统应用：

（1）入侵检测应用场景类型：

（2）入侵检测系统部署方法：

（3）基于 HIDS 的主机威胁检测：

（4）基于 NIDS 的内网威胁检测：

（5）基于 NIDS 的网络边界威胁检测：

（6）网络安全态势感知应用参考：

（7）开源网络人侵检测系统：

（8）华为 CIS 网络安全智能系统应用：

入侵检测概述：
（1）入侵检测模型：
◆ 通用的入侵检测框架模型被提出，简称为 CIDF 。该模型认为入侵检测系统由 事件产生器 、事件分析器、响应单元 和 事件数据库 组成.

（2）入侵检测作用：
◆ 入侵检测系统在网络安全保障过程中扮演类似 “ 预警机 ” 或 “ 安全巡逻人员 ” 的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或已经违背安全策略的行为。其作用表现为以下几个方面：

① 发现受保护系统中的入侵行为或异常行为；

② 检验安全保护措施的有效性；

③ 分析受保护系统所面临的威胁；

④ 有利于阻止安全事件扩大，及时报警触发网络安全应急响应；

⑤ 可以为网络安全策略的制定提供重要指导；

⑥ 报警信息可用作网络犯罪取证；

◆ 入侵检测技术还常用于网络安全态势感知（关键核心技术就是 IDS），以获取网络信息系统的安全状况。 网络安全态势感知平台通常汇聚入侵检测系统的报警数据，特别是分布在不同安全区域的报警，然后对其采取数据关联分析、时间序列分析等综合技术手段，给出网络安全状况判断及攻击发展演变趋势.

入侵检测技术：
（1）基于误用的人侵检测技术：
◆ 误用入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。

◆ 误用入侵检测依赖于攻击模式库。这种采用误用入侵检测技术的 IDS 产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。

◆ 误用入侵检测的前提条件是，入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程。

◆ 下面介绍几种常见的误用检测方法：

▶ 基于 条件概率 的误用检测方法：
基于条件概率的误用检测方法，是将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。

▶ 基于 状态迁移 的误用检测方法：
状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化发现系统中的入侵行为。

▶ 基于 键盘监控 的误用检测方法：
基于键盘监控的误用检测方法，是假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。这种方法的缺点是，在没有操作系统支待的清况下，缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。而且，如果没有击键语义分析，用户提供别名很容易欺骗这种检测技术。最后，该方法不能够检测恶意程序的自动攻击。

▶ 基于 规则 的误用检测方法：
基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为；
① 优点：检测起来比较简单；
② 缺点：即检测受到规则库限制，无法发现新的攻击，并且容易受干扰；
目前，大部分 IDS 采用的是这种方法；
（2）基于异常的人侵检测技术：
◆ 异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为的 “ 轨迹 ” ，定义一 组系统正常情况的数值，然后将系统运行时的数值与所定义的正常情况相比较，得出是否有被攻击的迹象。

◆ 异常检测的前提是异常行为包括入侵行为。理想情况下，异常行为集合等同于入侵行为集合，此时，如果 IDS 能够检测到所有的异常行为，则表明能够检测到所有的入侵行为。 但是在现实中，入侵行为集合通常不等同于异常行为集合。事实上，具体的行为有 4 种状况：

① 行为是入侵行为，但不表现异常；

② 行为不是入侵行为，却表现异常；

③ 行为既不是入侵行为，也不表现异常；

④ 行为是入侵行为，且表现异常；

◆ 异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。异常检测依赖于异常模型的建立，不同模型构成不同的检测方法。

◆ 下面介绍几种常见的异常检测方法 ：

▶ 基于 统计 的异常检测方法：
基于统计的异常检测方法就是利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓；

▶ 基于 模式预测 的异常检测方法：
基于模式预测的异常检测方法的前提条件是：事件序列不是随机发生的而是服从某种可辨别的模式，其特点是考虑了事件序列之间的相互联系；

▶ 基于 文本分类 的异常检测方法：
基于文本分类的异常检测方法的基本原理是将程序的系统调用视为某个文档中的 ” 字 ”，而进程运行所产生的系统调用集合就产生一个“文档”。对于每个进程所产生的 “ 文档 ”，利用 K－最近邻聚类文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测入侵行为；

▶ 基于 贝叶斯推理 的异常检测方法：
基于贝叶斯推理的异常检测方法，是指在任意给定的时刻，测量 A1, A2, ...，An 变量值， 推理判断系统是否发生入侵行为；
（3）其他：
◆ 基于规范的检测方法：

基于规范的入侵检测方法介于异常检测和误用检测之间，其基本原理是，用一种策略描述语言 PE-grammars 事先定义系统特权程序有关安全的操作执行序列，每个特权程序都有组安全操作序列，这些操作序列构成特权程序的安全跟踪策略 。若特权程序的操作序列不符合已定义的操作序列 就进行入侵报警。这种方法的优点是，不仅能够发现已知的攻击，而且也能发现未知的攻击。

◆ 基于生物免疫的检测方法：

基于生物免疫的检测方法，是指模仿生物有机体的免疫系统工作机制，使受保护的系统能够将 “ 非自我 (non-self) " 的攻击行为与 “ 自我 (self) " 的合法行为区分开来。

◆ 基于攻击诱骗的检测方法：

基于攻击诱骗的检测方法，是指将一些虚假的系统或漏洞信息提供给入侵者，如果入侵者应用这些信息攻击系统，就可以推断系统正在遭受入侵，并且安全管理员还可以诱惑入侵者，这一步跟踪攻击来源。

◆ 基于入侵报警的关联检测方法：

基于入侵报警的关联检测方法是通过对原始的 IDS 报警事件的分类及相关性分析来发现复杂攻击行为。其方法可以分为三类：第一类基于报警数据的相似性进行报警关联分析；第二类通过人为设置参数或通过机器学习的方法进行报警关联分析；第三类根据某种攻击的前提条件与结果进行报警关联分析。

◆ 基于沙箱动态分析的检测方法：

基于沙箱动态分析的检测方法是指通过构建程序运行的受控安全环境，形成程序运行安全沙箱，然后监测可疑恶意文件或程序在安全沙箱的运行状况，获取可疑恶意文件或可疑程序的动态信息，最后检测相关信息是否异常，从而发现入侵行为。

◆ 基于大数据分析的检测方法：

基于大数据分析的检测方法是指通过汇聚系统日志、 IDS 报警日志、防火墙日志、 DNS 志、网络威胁情报、全网流量等多种数据资源，形成网络安全大数据资源池，然后利用人工智能技术，基于网络安全大数据进行机器学习，以发现入侵行为。常见的大数据分析检查技术有数据挖掘、深度学习、数据关联、数据可视化分析等。

入侵检测系统组成与分类：
（1）入侵检测系统组成：
◆ 入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。

▶ 数据采集模块的功能：为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。

▶ 入侵分析引擎模块的功能：依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。该模块是入侵检测系统的核心模块。

▶ 管理配置模块的功能：为其他模块提供配置服务，是 IDS 系统中的模块与用户的接口。

▶ 应急处理模块的功能：发生入侵后，提供紧急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等。

▶ 辅助模块的功能：协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。

（2）基于主机的人侵检测系统：
◆ 基于主机的入侵检测系统，简称为 HIDS 。HIDS 通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并依此来判断该主机是否受到入侵 由于入侵行为会引起主机系统的变化，因此在实际的 HIDS 产品中， CPU 利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。

◆ HIDS 般适合检测以下入侵行为：

▶ 针对主机的端口或漏洞扫描；

▶ 重复失败的登入尝试；

▶ 远程口令破解；

▶ 主机系统的用户账号添加；

▶ 服务启动或停止；

▶ 系统重启动；

▶ 文件的完整性或许可权变化；

▶ 注册表修改；

▶ 重要系统启动文件变更；

▶ 程序的异常调用；

▶ 拒绝服务攻击；
◆ 基于主机的入侵检测系统的优点：

▶ 可以检测基于网络的入侵检测系统不能检测的攻击；

▶ 基于主机的入侵检测系统可以运行在应用加密系统的网络上，只要加密信息在到达被 监控的主机时或到达前解密；

▶ 基于主机的入侵检测系统可以运行在交换网络中：
◆ 基于主机的入侵检测系统的缺点：

▶ 必须在每个被监控的主机上都安装和维护信息收集模块；

▶ 由于 HIDS 的一部分安装在被攻击的主机上， HIDS 可能受到攻击并被攻击者破坏；

▶ HIDS 占用受保护的主机系统的系统资源，降低了主机系统的性能；

▶ 不能有效地检测针对网络中所有主机的网络扫描：

▶ 不能有效地检测和处理拒绝服务攻击；

▶ 只能使用它所监控的主机的计算资源；
（3）基于网络的人侵检测系统：
◆ 基于网络的入侵检测系统，简称为 NIDS。NIDS 通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。

◆ NIDS 通常由一组用途单一的计算机组成，其构成多分为两部分：探测器和管理控制器。

▶ 探测器分布在网络中的 不同区域，通过侦听（嗅探）方式获取网络包，探测器将检测到攻击行为形成报警事件，向管理控制器发送报警信息，报告发生入侵行为。

▶ 管理控制器可监控不同网络区域的探测器，接收来自探测器的报警信息。

◆ 一般说来， NIDS 能够检测到以下入侵行为：

▶ 同步风暴 (SYN Flood) ;

▶ 分布式拒绝服务攻击 (DDoS) ;

▶ 网络扫描；

▶ 缓冲区溢出；

▶ 协议攻击；

▶ 流最异常；

▶ 非法网络访问；
◆ 基于网络的入侵检测系统的优点：

▶ 适当的配置可以监控一个大型网络的安全状况；

▶ 基于网络的入侵检测系统的安装对已有网络影响很小，通常属于被动型的设备，它们只监听网络而不干扰网络的正常运作；

▶ 基于网络的入侵检测系统可以很好地避免攻击，对于攻击者甚至是不可见的；
◆ 基于网络的入侵检测系统的缺点：

▶ 在高速网络中， NIDS 很难处理所有的网络包，因此有可能出现漏检现象；

▶ 交换机可以将网络分为许多小单元 VLAN, 而多数交换机不提供统一的监测端口，这就减少了基于网络的入侵检测系统的监测范围；

▶ 如果网络流量被加密， NIDS 中的探测器无法对数据包中的协议进行有效的分析；

▶ NIDS 仅依靠网络流量无法推知命令的执行结果，从而无法判断攻击是否成功；
（4）分布式人侵检测系统：
◆ 基于主机检测的分布式入侵检测系统：

▶ 基于主机检测的分布式入侵检测系统，简称为 HDIDS，其结构分为两个部分：主机探测器和入侵管理控制器。

▶ 主机探测器多以安全代理 (Agent) 的形式直接安装在每个被保护的主机系统上，并通过网络中的系统管理控制台进行远程控制。这种集中式的控制方式，便于对系统进行状态监控、管理以及对检测模块的软件进行更新。

◆ 基于网络的分布式入侵检测系统：

▶ 基于网络的分布式入侵检测系统，简称为 NDIDS。

▶ NDIDS 的结构分为两部分：网络探测器和管理控制器。网络探测器部署在重要的网络区域，如服务器所在的网段，用于收集网络通信数据和业务数据流，通过采用异常和误用两种方法对收集到的信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。

▶ NDIDS 一般适用于大规模网络或者是地理区域分散的网络，采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。
入侵检测系统主要产品与技术指标：
（1）入侵检测相关产品：
◆ 主机入侵检测系统：

▶ 产品技术原理是根据主机活动信息及重要文件，采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术方法发现入侵行为。

◆ 网络入侵检测系统：

▶ 产品技术原理是根据网络流量数据进行分析，利用特征检测、协议异常检测等技术方法发现入侵行为。

◆ 统一威胁管理：

▶ 统一威胁管理（简称为 UTM) 通常会集成入侵检测系统相关的功能模块，是入侵检测技术产品的表现形态之 。

▶ 统一威胁管理是由硬件、软件和网络技术组成的具有专门用途的设备，该设备主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。

◆ 高级持续威胁检测：

▶ 高级持续威胁（简称为 APT) 是复杂性攻击技术，通常将恶意代码嵌入 Word 文档、 Excel 文档、 PPT 文档、 PDF 文档或电子邮件中，以实现更隐蔽的网络攻击，以逃避普通的网络安全检查。

◆ 其他：

▶ 根据入侵检测应用对象，常见的产品类型有 Web IDS 、数据库 IDS 、工控 IDS 等。
（2）人侵检测相关指标：
◆ 可靠性：要不间断地监测受保护系统，因此，要求入侵检测系统具有容错能力，可以连续运行。

◆ 可用性：入侵检测系统运行开销要尽呈小，不能影响到主机和网络系统的性能。

◆ 可扩展性：易于配置修改和安装部署的能力。

◆ 时效性：必须尽快地分析报警数据，并将分析结果传送到报警控制台。

◆ 准确性：能正确地检测出系统入侵活动的能力。

◆ 安全性：有保护自身的安全功能，能够抗攻击干扰。

入侵检测系统应用：
（1）入侵检测应用场景类型：
① 上网保护；

② 网站入侵检测与保护；

③ 网络攻击阻断；

④ 主机／终端恶意代码检测；

⑤ 网络安全监测预警与应急处置；

⑥ 网络安全等级保护；

（2）入侵检测系统部署方法：
第一步，根据组织或公司的安全策略要求，确定 IDS 要监测的对象或保护网段；

第二步，在监测对象或保护网段，安装 IDS 探测器，采集网络入侵检测所需要的信息；

第三步，针对监测对象或保护网段的安全需求，制定相应的检测策略；

第四步，依据检测策略，选用合适的 IDS 结构类型；

第五步，在 IDS 上，配置入侵检测规则；

第六步，测试验证 IDS 的安全策略是否正常执行；

第七步，运行和维护 IDS；

（3）基于 HIDS 的主机威胁检测：
◆ HIDS 般用于检测针对单台主机的入侵行为，其主要应用方式如下：

▶ 单机应用：在这种应用方式下，把 HIDS 系统直接安装在受监测的主机上即可；

▶ 分布式应用：这种应用方式需要安装管理器和多个主机探测器 (Sensor) 。管理器控制多个主机探测器 (Sensor) ，从而可以远程监控多台主机的安全状况；

（4）基于 NIDS 的内网威胁检测：
◆ 将网络 IDS 的探测器接在内部网的广播式 Hub 或交换机的 Probe 端口。 探测器通过采集内部网络流量数据，然后基于网络流量分析监测内部网的网络活动，从而可以发现内部网络的入侵行为。

（5）基于 NIDS 的网络边界威胁检测：
◆ NIDS 的探测器接在网络边界处，采集与内部网进行通信的数据包，然后分析来自外部的入侵行为。

（6）网络安全态势感知应用参考：
◆ 网络安全态势感知通过汇聚 IDS 报警信息、系统日志，然后利用大数据分析技术对网络系统的安全状况进行分析，监测网络安全态势。
（7）开源网络人侵检测系统：
◆ Snort 是应用较为普遍的网络入侵检测系统，其基本技术原理是通过获取网络数据包，然后基于安全规则进行入侵检测，最后形成报警信息。

◆ Snort 规则由两部分组成，即规则头和规则选项。

◆ 规则头包含：规则操作 (action) 、协议 (protocol) 、源地址和目的 IP 地址及网络掩码、源地址和目的端口号信息。

◆ 规则选项包含：报警消息、被检查网络包的部分信息及规则应采取的动作。
（8）华为 CIS 网络安全智能系统应用：
◆ 华为 CIS ( 网络安全智能系统 ）采用最新的大数据分析 和机器学习技术，用于抵御 APT 攻击。其产品技术原理是从海量数据中提取关键信息，通过多维度风险评估，采用大数据分析方法关联单点异常行为，从而还原出 APT 攻击链，准确识别和防御 APT 攻击，避免核心信息资产损失。

学习书籍：信息安全工程师教程.
————————————————

                        版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/weixin_54977781/article/details/132434134