入侵检测系统：实时监测与防范网络攻击

前言
在现在网络中，攻击无处不在，可以不夸张的说，每一秒都有企业或者个人被网络攻击。有人说了，不是有防火墙嘛？
确实，防火墙是防止有害和可疑流量流入系统的首选解决方案，但是防火墙并不能保证 100% 万无一失，随着技术的不断更新，攻击者的攻击手段也在不断进步，他们可以很轻松绕过所有安全措施。
所以，入侵检测显得非常有用了，防火墙管理进入的内容，而入侵检测管理流经系统的内容，一般位于防火墙后面，与防火墙协同工作。
小德将给大家介绍一下什么是入侵检测、入侵检测的工作原理、入侵检测的分类，让我们直接开始。

一、什么是入侵检测？
入侵检测系统 (IDS) 是一种监控系统，可检测可疑活动并在检测到这些活动时生成警报，它是一种软件应用程序，用于扫描网络或系统中的有害活动或违反政策的行为。

概述：
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动，甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类：保护、检测、响应。

保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及 VPN，各种加密技术，身份认证技术，易攻击性扫描等都属于保护的范围之内，它们是计算机系统的第一道防线。

检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全，任何系统及协议都不可避免地存在缺陷，可能是协议本身也可能是协议的实现，还有一些技术之外的社会关系问题，都能威胁信息安全。因此即使采用这些保护措施，入侵者仍可能利用相应缺陷攻入系统，这意味着入侵检测具有其他安全措施所不能代替的作用。

响应 (入侵的响应)是入侵检测之后的处理工作，主要包括损失评估，根除入侵者留下的后门，数据恢复，收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。

入侵检测（Intrusion Detection ，ID）通过监测计算机系统的某些信息，加以分析，检测入侵行为，并做出反应。入侵检测系统所检测的系统信息包括系统记录，网络流量，应用程序日志等。入侵（ Intrusion ）定义为未经授权的计算机使用者以及不正当使用 (misuse)计算机的合法用户(内部威胁)，危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统（Intrusion DetectionSystem，IDS）是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设，即：入侵行为与正常行为有显着的不同，因而是可以检测的。入侵检测的研究开始于 20世纪80年代，进入90年代入侵检测成为研究与应用的热点，其间出现了许多研究原型与商业产品。

入侵检测系统在功能上是入侵防范系统的补充， 而并不是入侵防范系统的替代。相反，它与这些系统共同工作，检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。

一个理想的入侵检测系统具有如下特性：
能以最小的人为干预持续运行。
能够从系统崩溃中恢复和重置。
能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
运行时占用系统的开销最小。
能够根据被监视系统的安全策略进行配置。
能在使用过程中适应系统和用户行为的改变。


二、入侵检测的分类

NIDS
NIDS英文全称：network intrusion detection system，中文名称：网络入侵检测系统。这是分析传入网络流量的系统。

将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口，如图。探测器通过采集内部网络流量数据，然后基于网络流量分析监测内部网络活动，从而可以发现内网中的入侵行为。

将NIDS的探测器接在网络边界处，采集与内部网进行同信的数据包，然后分析来自于外部的入侵行为。

HIDS
HIDS英文全称：host intrusion detection system，中文名称：主机入侵检测系统。这是监控重要操作系统文件的系统。HIDS一般用于检测针对单台主机的入侵行为。

应用方式：
(1)单机应用。（把HIDS系统直接安装在受监测的主机上即可）
(2)分布式应用。这种方式需要安装管理器和多个主机探测器（sensor）。管理器控制多个主机探测器（sensor），从而可以远程监控多台主机的安全状况

SIDS
SIDS英文全称：signature-based intrusion detection system，中文名称：基于签名的入侵检测系统。监控通过网络的所有数据包，并将它们与攻击签名或已知恶意威胁属性的数据库进行比较，就像防病毒软件一样。

AIDS
AIDS英文全称：anomaly-based intrusion detection system，中文名称：基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型，任何不一致都会被识别为可能的危险，为了建立基线和支持安全策略，这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制，尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁，但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。
三、入侵检测的应用
蜂巢（容器安全）：
蜂巢通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意⾏为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。

实时入侵检测 威胁闭环处理

模块化说明：
基于已知威胁进行检测——德迅蜂巢通过监控容器内的进程创建、文件变化等行为，获取行为特征，将这些特征经过德迅五大检测引擎的检测，以发现容器中的病毒、挖矿、Webshell等攻击行为。

基于恶意行为进行检测——以ATT&CK框架中定义的入侵模型为参考，结合对于运行时基础事件监控来建立IOC模型进行分析，能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。

基于异常行为进行检测——通过容器进程行为、文件行为、网络行为的监控/学习，建立容器行为模型，分析异常偏离行为， 发现未知入侵威胁。

模块化优势：

实时发现失陷容器

有效发现未知⿊客攻击

对业务系统“零”影响

结合资产信息，为响应提供最准确的⼀线信息

四、结论
入侵检测技术是一项相对传统的技术，它提高了各类设备以及网络环境的安全性。最近，ML算法已被用来开发这项技术，对于保护和监控非常有帮助。在未来的工作中，大量研究人员将持续通过使用DL或者集成学习技术来改进传统的入侵检测系统。