当前位置：首页 > news >正文

网络安全之入侵检测

news 文章来源：https://blog.csdn.net/qq_57289939/article/details/129883372 2025/4/22 6:06:31

网络安全之入侵检测

入侵检测经典理论

经典检测模型

入侵检测作用与原理

意义

异常检测模型（Anomaly Detection）

误用检测模型（Misuse Detection）

经典特征案例

编辑自定义签名

编辑

签名检查过程

检测生命周期

信息收集的方法

信息分析

异常检测 --- 统计分析、完整性分析

异常检测之统计分析

异常检测之完整性分析

常见异常检测算法

误用检测 --- 模式匹配

误用检测值模式匹配

常用误用检测算法

融合使用异常检测和误用检测 --- 实际系统的普遍做法

编辑结果处理

IDS的部署

IDS的配置

签名过滤器

例外签名

编辑配置总体顺序

编辑配置顺序

配置完成后

调整配置

网络安全之入侵检测

注意：

入侵检测为事后系统，类似于发生盗窃后，通过摄像头（入侵检测）查询。

入侵检测经典理论

系统访问控制需要面对三类用户

合法用户（Legitimate User）

伪装用户（Masquerade User） ---- 攻破 [流程控制]

身份仿冒（可能是最早提出不能依赖于身份认证，还要加强行为监控以防范身份

仿冒和滥用的学者）

秘密用户（Clandestine User）---攻破 [逻辑控制]

类似于走了后门

伪装 --- 批了合法的外衣，秘密用户 --- 无法察觉

经典检测模型

通用的入侵检测系统抽象模型

主体（Subjects）--- 谁

对象（Objects）--- 对谁

审计记录（Audit records） --- 审查做了什么

活动档案（Profiles）

异常记录（Anomoly records）--- 异常行为

活动规则（Activity rules） --- 判断异常是什么

入侵检测作用与原理

识别入侵者

识别入侵行为

监测和监视已成功的入侵

为对抗入侵提供信息与依据

意义

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵，弥补防火墙对应层检查缺失

对系统的运行状态进行见识，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、可用性、机密性）。是一个软件与硬件的组合系统

异常检测 --- 当某个时间与一个已知的攻击特征（信号）相匹配时，一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会警告

特征检测 --- IDS核心是特征库（签名）。

签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为

异常检测模型（Anomaly Detection）

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型（Misuse Detection）

收集非正常的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）

经典特征案例

自定义签名

签名检查过程

检测生命周期

信息收集 --- 用数据来刻画系统和网络运行历史和现状

信息分析 --- 用收集的数据去研判现状和预测未来

结果处理 --- 记录、告警和视觉呈现

信息收集的方法

基于主机

基于网络

基于传感器 ---

基于主机运行的软件

基于网络的数据捕获传感器

物联网中的各种传感器

信息分析

异常检测 --- 统计分析、完整性分析

异常检测之统计分析

统计分析对象 --- 用户、文件、目录和设备

统计分析方法 --- 为统计分析对象创建一个统计描述，统计正常使用时的一些测量属性 ---- 访问时间（工作时间/休息时间）、访问次数、操作失败次数和延时等

统计分析匹配 --- 测量属性的平均值将被用来网络、系统的行为进行比较，任何观测/测量在正常值范围之外时，就有入侵检测

异常检测之完整性分析

完整性分析对象 --- 文件/目录/任意数字资源 ---- 文件和目录的内容及属性

完整性分析方法 --- 建立完整性分析对象在正常状态时的完整性签名

完整性分析匹配 --- 匹配签名值是否发生改变 ---- 发生改变，认定目标对象被入侵篡改

常见异常检测算法

基于特征选择异常检测

基于贝叶斯推理异常检测

基于贝叶斯网络异常检测

基于神经网络异常监测

基于贝叶斯聚类异常检测

误用检测 --- 模式匹配

误用检测值模式匹配

模式匹配 --- 将手机到的信息与已知网络入侵和系统误用模式规则集进行比较，从而发现违反安全策略的行为

入侵模式的表示方法 --- 一个过程（执行一条指令）、一个输出（获得权限）

入侵模式的匹配过程 --- 字符串匹配（精确模式、模糊模式），状态机迁移序列匹配

常用误用检测算法

基于条件概率误用检测

基于专家系统误用检测

基于状态迁移误用检测

融合使用异常检测和误用检测 --- 实际系统的普遍做法

结果处理

产生警告 --- 记录警告日志，请求其它安全设备的协作联动（防火墙联动）

视觉呈现 --- [态势感知]产品的原型

IDS的部署

旁挂 --- 需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。

IDS的配置

IPS特征库中包含了针对各种攻击行为的海量签名信息，但是在实际网络环境中，业务类型可能比较简单，不需要使用所有的签名，大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

签名过滤器

若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器中为这些签名统一设置新的动作，操作非常便捷。

签名过滤器的动作分为：

阻断 --- 丢弃命中签名的报文，并记录日志。

告警 --- 对命中签名的报文放行，但记录日志。

采用签名的缺省动作，实际动作以签名的缺省动作为准。