IPS/IDS
李敏学
- IPS——入侵防御系统(Intrusion prevention system)
- 串行部署
- 检测识别+主动防御
- IDS——入侵检测系统(intrusion detection system)
- 旁路部署(尽可能的靠近攻击源、受保护资源)
- 只具有检测功能
- 防火墙是被动防御,只是本地网络和外部网络直接的一道屏障,防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。而 IPS 是 IDS 加上防火墙的组合,是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
- 入侵检测系统
- 分类
- 按照信息源进行分类
- 基于主机的入侵检测技术
- 监测系统、事件、windowsNT下的安全记录、unix环境下系统记录,当有文件被修改时,采用新记录条目比对攻击特征。
- 基于网络的入侵检测技术
- 以网络包作为数据的分析源,利用一个工作在混杂模式下的网卡实时监控分析通过网络的数据流进行模式匹配、统计分析等技术识别。
- 基于主机的入侵检测技术
- 按分析方法分类
- 误用检测技术(基于知识检测)
- 根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。
- 缺点:对未知入侵方法无效、很难统一模式库、难以检测内部入侵
- 异常检测技术(基于行为检测)
- 建立系统或用户的“规范集”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。对未知的入侵行为检测非常有效。
- 缺点:参考阈值的选定非常关键,阈值设定得过大漏报率就会很高;阈值设定得过小误报率就会提高。实时建立和更新系统或用户的特征轮廓
- 误用检测技术(基于知识检测)
- 按照信息源进行分类
- 原理
- 分为探测引擎和控制中心两大部分
- 探测引擎(读取原始数据、产生事件)
- 原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能。
- 控制中心(显示和分析事件、策略定制)
- 通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。
- 技术详解
- 模式匹配
- 也称为攻击特征检测技术,就是将收集到的信息与已知的入侵模式数据库进行比较,从而发现违背安全策略的行为。
- 配算法有:计数过滤、SA算法、Hash算法等。在众多的模式匹配算法中,以Boyer-More算法(简称蹦算法)最为知名。
- 对已知的威胁报警比较准确,对未知的报警无能为力
- 协议分析
- 将捕获的数据包从网络层一直送达应用层,将真实数据还原出来,然后将还原出来的数据再与规则库进行匹配,因此它能够通过对数据包进行结构化协议分析来识别入侵企图和行为。
- 系统提升协议栈来解析每一层时,仅针对这一层可能出现的协议进行比对,提高了产品性能。
- 异常检测
- 据用户行为或资源使用的正常模式来判定当前活动是否偏离了正常或期望的活动规律
- 基于机器学习的异常检测方法
- 基于相似度,通过新的序列相似度计算,将原始数据转化为可度量的空间,然后应用学习技术和相应的分类方法,发现异常类型事件
- 基于模式归纳的异常检测方法
- 归纳学习产生规则集,并对系统中的规则进行动态的修改,以提高其预测的准确性与可信度
- 基于数据挖掘的异常检测方法
- 基于统计模型的异常检测方法
- 基于机器学习的异常检测方法
- 据用户行为或资源使用的正常模式来判定当前活动是否偏离了正常或期望的活动规律
- 误用检测
- 将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较
- 数据挖掘
- 遵循基本的归纳过程将数据进行整理分析,并从海量数据中自动抽取和发现肉眼难以发现的固定模式或异常现象。
- 模式匹配
- 分类
类似资料: