IDS学习笔记
入侵检测系统IDS
入侵检测系统(intrusion detection system,简称“IDS”),是一种积极主动的安全防护技术,被认为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控。它也是当今非常重要的动态安全技术,与传统的静态安全技术共同使用,大大提高系统的安全防护水品。
1. 入侵检测产生原因
1.1 防火墙FW的局限性
- 防火墙不能检查出经过它的合法流量中是否包含恶意的入侵行为。
- 传统防火墙不能安全过滤应用层的非法攻击。
- 防火墙对不通过它的流量无能为力,例如内网攻击等。
- 防火墙采用静态安全策略技术,无法动态防御新的非法攻击。
1.2 网络安全至关重要
-
新技术的发展导致网络攻击的门槛贬低,脚本木马工具等。
-
网络攻击造成的破坏性和损失日益严重。
-
网络安全威胁日益增长。
-
单纯的防火墙无法防范更多的攻击,复杂多变的攻击方式。
1.3 发展历史
- 1980年,James P. Anderson的《Computer Security Threat Monitoring and Surveillance》,此报告被公认为是入侵检测的开山之作。
- 1984年到1986年,乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型–IDES(入侵检测专家系统)。
- 1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)
该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。 - 1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
- 从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
2. 入侵检测概念及P2DR模型
入侵检测(Intrusion Detection ):通过从计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术。
入侵检测系统(Intrusion Detection System):IDS是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,它是一种积极主动的安全防护技术。
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的重要组成部分。
P2DR模型:动态性和基于时间的特性。
- Policy(安全策略)
- Protection(防护)
- Detection(检测)
- Response(响应)
IDS是P2DR模型中第三部分的技术实现手段,即检测系统的能力。
3. 入侵检测功能
- 对网络流量的跟踪与分析功能。
- 对已知攻击特征的识别功能。
- 对异常行为的分析、统计与响应功能。
- 特征库的在线和离线升级功能。
- 数据文件的完整性检查功能。
- 自定义的响应功能。
- 系统漏洞的预报警功能。
- IDS探测器集中管理功能。
4. 入侵检测原理
检测原理主要包括数据采集、入侵分析、响应处理。
4.1 数据采集
数据采集内容包括:
- 系统数据
- 网络数据
- 用户活动的状态和行为
数据采集的来源:
- 系统和网络的日志文件
- 流通的网络流量
- 系统目录和文件的异常变化
- 程序执行中的异常行为
入侵检测的效果很大程度上依赖于收集信息的可靠性和准确性。
4.2 入侵分析
分析方法:模式匹配、统计分析和完整性分析
4.2.1 模式匹配
将收集到的信息与已知的网络入侵和系统误用 模式数据库进行比较,从而发现违背安全策略的行为。
4.2.2 统计分析
首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
4.2.3 完整性分析
主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。
4.3 响应处理
- 简单报警
- 切断连接
- 封锁用户
- 改变文件属性
- 回击攻击者
5. 入侵检测系统性能参数
5.1 误报
误报(false positive):系统错误地将异常活动定义为入侵。
5.2 漏报
漏报(false negative):系统未能检测出真正的入侵行为。
5.3 可靠性
抗攻击,IDS检测自身运行,检测防护自身的安全状态。
5.4 容错性
系统故障或恶意攻击而崩溃时,具有容错能力。系统修复重启时,IDS自动恢复状态的能力。
5.5 稳定性
人很少干预的情况下,能够稳定的连续运行
6. 入侵检测系统分类
6.1 数据来源
根据数据来源分类:
- 主机入侵检测系统(HIDS)
- 网络入侵检测系统(NIDS)
| 主机型入侵检测系统 | 网络型入侵检测系统 |
|---|---|
| 安装在 被保护的主机中 | 安装在 被保护的网段中 |
| 占用一定的系统资源 | 网卡 混杂模式监听 |
| 主要分析主机内部的活动 | 分析网段中所有的数据包 |
| (1)系统日志 | 实时检测和响应 |
| (2)系统调用 | 操作系统无关性 |
| (3)文件完整性检查 | 不会增加网络中主机的负担 |
6.2 分析方法
根据分析方法分类:
- 误用检测模型(Misuse Detection Model)
- 异常检测模型(Anomaly Detection Model)
6.2.1 误用检测模型
误用检测 指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
模式匹配为误用检测的典型应用。特征模式库很重要
6.2.2 异常检测模型
异常检测指 根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测。
| 对比项 | 误用检测 | 异常检测 |
|---|---|---|
| 检测准确性 | 高 | 低 |
| 误报率 | 低 | 高 |
| 未知攻击检测能力 | 弱 | 强 |
| 系统相关性 | 高 | 无 |
| 新攻击方法检测能力 | 无 | 具有 |
6.3 失效性
根据失效性分类:
- 离线入侵检测系统(Off-lines IDS)
- 在线入侵检测系统(On-lines IDS)
6.4 分布性
根据分布性分类
- 集中式入侵检测系统
- 分布式入侵检测系统
7. 入侵检测技术
7.1 基于规则的专家系统
将有关入侵的知识转化为规则,当条件匹配时,系统就会判断为入侵行为。
7.2 模式匹配系统
例如通过字符串匹配、正则匹配等。开源Snort的检测手段。
7.3 状态转换分析系统
7.4 基于统计的异常入侵检测
统计模型:
- 操作模型
- 方差模型
- 多元模型
- 马尔柯夫过程模型
7.5 基于神经网络的入侵检测
7.6 蜜罐
蜜罐是一种伪装成真实的目标系统诱骗攻击者攻击或损害的网络安全工具。
蜜罐的主要目标是:容忍攻击者入侵,记录并学习攻击者的攻击工具、手段、动机、目的等行为信息,尤其是未知攻击行为信息,从而调整网络安全策略,提高系统安全性能。
8. IDS前景
8.1 问题和挑战
- 对未知攻击的识别能力差
- 误警率高
8.2 发展趋势
- 分布式入侵检测
- 智能化入侵检测
- 网络安全技术相结合
9. 入侵检测产品
- 绿盟科技“冰之眼”IDS
- 联想网御IDS
- 瑞星入侵检测系统RIDS-100
- McAfee InstrShield IDS
- SessionWall
- 开源的Snort