前言
在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击。有人说了,不是有防火墙嘛?
确实,防火墙是防止有害和可疑流量流入系统的首选解决方案,但是防火墙并不能保证 100% 万无一失,随着技术的不断更新,攻击者的攻击手段也在不断进步,他们可以很轻松绕过所有安全措施。
所以,入侵检测显得非常有用了,防火墙管理进入的内容,而入侵检测管理流经系统的内容,一般位于防火墙后面,与防火墙协同工作。
小德将给大家介绍一下什么是入侵检测、入侵检测的工作原理、入侵检测的分类,让我们直接开始。
一、什么是入侵检测?
入侵检测系统 (IDS) 是一种监控系统,可检测可疑活动并在检测到这些活动时生成警报,它是一种软件应用程序,用于扫描网络或系统中的有害活动或违反政策的行为。
概述:
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及 VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection ,ID)通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵( Intrusion )定义为未经授权的计算机使用者以及不正当使用 (misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion DetectionSystem,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显着的不同,因而是可以检测的。入侵检测的研究开始于 20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充, 而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。
一个理想的入侵检测系统具有如下特性:
能以最小的人为干预持续运行。
能够从系统崩溃中恢复和重置。
能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
运行时占用系统的开销最小。
能够根据被监视系统的安全策略进行配置。
能在使用过程中适应系统和用户行为的改变。
二、入侵检测的分类
NIDS
NIDS英文全称:network intrusion detection system,中文名称:网络入侵检测系统。这是分析传入网络流量的系统。
将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口,如图。探测器通过采集内部网络流量数据,然后基于网络流量分析监测内部网络活动,从而可以发现内网中的入侵行为。
将NIDS的探测器接在网络边界处,采集与内部网进行同信的数据包,然后分析来自于外部的入侵行为。
HIDS
HIDS英文全称:host intrusion detection system,中文名称:主机入侵检测系统。这是监控重要操作系统文件的系统。HIDS一般用于检测针对单台主机的入侵行为。
应用方式:
(1)单机应用。(把HIDS系统直接安装在受监测的主机上即可)
(2)分布式应用。这种方式需要安装管理器和多个主机探测器(sensor)。管理器控制多个主机探测器(sensor),从而可以远程监控多台主机的安全状况
SIDS
SIDS英文全称:signature-based intrusion detection system,中文名称:基于签名的入侵检测系统。监控通过网络的所有数据包,并将它们与攻击签名或已知恶意威胁属性的数据库进行比较,就像防病毒软件一样。
AIDS
AIDS英文全称:anomaly-based intrusion detection system,中文名称:基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型,任何不一致都会被识别为可能的危险,为了建立基线和支持安全策略,这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制,尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁,但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。
三、入侵检测的应用
蜂巢(容器安全):
蜂巢通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意⾏为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。
实时入侵检测 威胁闭环处理
模块化说明:
基于已知威胁进行检测——德迅蜂巢通过监控容器内的进程创建、文件变化等行为,获取行为特征,将这些特征经过德迅五大检测引擎的检测,以发现容器中的病毒、挖矿、Webshell等攻击行为。
基于恶意行为进行检测——以ATT&CK框架中定义的入侵模型为参考,结合对于运行时基础事件监控来建立IOC模型进行分析,能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。
基于异常行为进行检测——通过容器进程行为、文件行为、网络行为的监控/学习,建立容器行为模型,分析异常偏离行为, 发现未知入侵威胁。
模块化优势:
实时发现失陷容器
有效发现未知⿊客攻击
对业务系统“零”影响
结合资产信息,为响应提供最准确的⼀线信息
四、结论
入侵检测技术是一项相对传统的技术,它提高了各类设备以及网络环境的安全性。最近,ML算法已被用来开发这项技术,对于保护和监控非常有帮助。在未来的工作中,大量研究人员将持续通过使用DL或者集成学习技术来改进传统的入侵检测系统。
