4.3 入侵檢測系統(tǒng)

第3節(jié)入侵檢測系統(tǒng)第4章目

錄01入侵檢測系統(tǒng)簡介02入侵檢測系統(tǒng)關(guān)鍵技術(shù)及工作過程03入侵檢測系統(tǒng)部署及應(yīng)用04蜜罐及蜜網(wǎng)介紹01入侵檢測系統(tǒng)簡介入侵檢測系統(tǒng)的概念什么是入侵檢測？入侵檢測（ID，IntrusionDetection）指的是：通過監(jiān)視各種操作，分析、審計各種數(shù)據(jù)和現(xiàn)象來實時檢測入侵行為的過程，是一種積極的和動態(tài)的安全防御技術(shù)。什么是入侵檢測系統(tǒng)？入侵檢測系統(tǒng)（IntrusionDetetionSystem，IDS）指的是以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽所保護(hù)網(wǎng)絡(luò)節(jié)點的所有數(shù)據(jù)包并進(jìn)行分析，從而發(fā)現(xiàn)異常行為的產(chǎn)品?！狦B/T20275--2021入侵檢測的發(fā)展歷程Aderson首先提出入侵檢測概念1980年1987年1990年1996年2007年2010年后Denning提出了入侵檢測系統(tǒng)的抽象模型IDS分化為基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS提出GrIDS可以方便地檢測大規(guī)模網(wǎng)絡(luò)攻擊CIDF工作組發(fā)布了3份入侵檢測RFC標(biāo)準(zhǔn)各大安全廠商先后推出下一代、智能化入侵檢測產(chǎn)品入侵檢測系統(tǒng)的功能入侵檢測系統(tǒng)的功能監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象實時報警主動響應(yīng)審計跟蹤入侵檢測系統(tǒng)的分類按入侵檢測形態(tài)1按目標(biāo)系統(tǒng)的類型2按系統(tǒng)結(jié)構(gòu)3硬件入侵檢測TopSentry-IDS、天闐入侵檢測與管理系統(tǒng)(IDS)、網(wǎng)神入侵檢測D3000-TX24E、綠盟NSFOCUSNIDS軟件入侵檢測Snort、Suricata、OSSEC、Sagan網(wǎng)絡(luò)入侵檢測（NIDS）在比較重要的網(wǎng)段安裝探測器來監(jiān)測和保護(hù)整個網(wǎng)段。主機(jī)入侵檢測（HIDS）安裝于被保護(hù)的主機(jī)中，主要分析主機(jī)內(nèi)部活動。集中式分布式02入侵檢測系統(tǒng)關(guān)鍵技術(shù)及工作過程入侵檢測系統(tǒng)的技術(shù)架構(gòu)事件分析引擎事件數(shù)據(jù)庫事件產(chǎn)生器來源于網(wǎng)絡(luò)上的數(shù)據(jù)響應(yīng)組件入侵檢測系統(tǒng)組成部分入侵檢測系統(tǒng)的工作過程日志文件數(shù)據(jù)庫信息存儲入侵檢測的工作流程第一步信息收集收集包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。第二步入侵分析對收集到的數(shù)據(jù)信息進(jìn)行處理分析。第三步信息存儲將入侵檢測系統(tǒng)收集到的信息進(jìn)行保存，這些數(shù)據(jù)通常存儲到用戶指定的日志文件或特定的數(shù)據(jù)庫中。第四步告警響應(yīng)根據(jù)用戶的設(shè)置，對攻擊行為進(jìn)行相應(yīng)的處理，如發(fā)出警報、給系統(tǒng)管理員發(fā)郵件等方式提醒用戶。入侵檢測關(guān)鍵技術(shù)01.特征檢測特征檢測又稱誤用檢測(MisuseDetection)，這種檢測方法是：收集非正常操作（入侵）行為的特征，建立相關(guān)的特征庫；在后續(xù)的檢測過程中，將收集到的數(shù)據(jù)與特征庫中的特征進(jìn)行比較，從而判斷是否有入侵行為。特征檢測特點01如果入侵特征與正常的用戶行為匹配，則系統(tǒng)會發(fā)生誤報；0203如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報；攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。入侵檢測關(guān)鍵技術(shù)02.異常檢測異常檢測(AnomalyDetection)：這種檢測方法是首先總結(jié)正常操作應(yīng)該具有的特征；在得出正常操作的模型之后，對后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計學(xué)意義上的操作模式，立即進(jìn)行報警。異常檢測特點010203異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率；因為不需要對每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。03入侵檢測系統(tǒng)部署及應(yīng)用入侵檢測系統(tǒng)部署方式基于網(wǎng)絡(luò)的IDS部署14實施成本低2356隱蔽性好監(jiān)測速度快視野更寬操作系統(tǒng)無關(guān)性攻擊者不易轉(zhuǎn)移證據(jù)基于網(wǎng)絡(luò)的入侵檢測的主要缺點只能監(jiān)視本網(wǎng)段的活動，精確度不高在交換網(wǎng)絡(luò)環(huán)境下無能為力對加密數(shù)據(jù)無能為力防入侵欺騙的能力也比較差，難以定位入侵者。入侵檢測系統(tǒng)部署方式基于主機(jī)的IDS部署14能夠檢測到基于網(wǎng)絡(luò)的系統(tǒng)檢測不到的攻擊2356安裝、配置靈活監(jiān)控粒度更細(xì)監(jiān)視特定的系統(tǒng)活動適用于加密及交換環(huán)境不要求額外的硬件基于主機(jī)的入侵檢測的主要缺點①會占用主機(jī)的資源,在服務(wù)器產(chǎn)生額外的負(fù)載。②缺乏平臺支持,可移植性差，應(yīng)用范圍受到嚴(yán)重限制。入侵檢測系統(tǒng)的應(yīng)用場景某企業(yè)集中式入侵檢測系統(tǒng)部署應(yīng)用案例04蜜罐及蜜網(wǎng)介紹蜜罐和蜜網(wǎng)系統(tǒng)的定義守衛(wèi)=IDS誘餌系統(tǒng)=蜜罐注：關(guān)于蜜罐和蜜網(wǎng)系統(tǒng)的介紹，請參閱第四章/蜜罐及蜜網(wǎng)介紹動畫.mp4蜜罐指的是用設(shè)備、系統(tǒng)、目錄或文件作為誘餌去引誘攻擊者，使真正重要的主機(jī)和系統(tǒng)免于攻擊，并收集入侵者行為。由多個蜜罐組成的模擬網(wǎng)絡(luò)，即分布式蜜罐系統(tǒng)。蜜罐的作用在抵御攻擊上變被動為主動。讓被攻擊單位認(rèn)識到自身網(wǎng)絡(luò)的安全風(fēng)險和脆弱性。提高事件檢測、響應(yīng)能力。高效地收集攻擊者的入侵證據(jù)。提供良好的追蹤環(huán)境。蜜罐定義蜜網(wǎng)定義蜜罐系統(tǒng)的應(yīng)用場景蜜罐系統(tǒng)的部署應(yīng)用場景蜜罐系統(tǒng)的應(yīng)用場景蜜網(wǎng)系統(tǒng)的部署應(yīng)用場景蜜罐系統(tǒng)的應(yīng)用案例蜜罐系統(tǒng)后臺管理界面在“攻擊列表中”可查看攻擊者具體攻擊內(nèi)容單臺服務(wù)器蜜罐部署應(yīng)用本章介紹了入侵檢測系統(tǒng)的概念、功能、分類、技術(shù)架構(gòu)、工作過程、關(guān)鍵技術(shù)、部署方式以及應(yīng)用場景等內(nèi)容。入侵檢測系統(tǒng)可以實現(xiàn)對入侵?jǐn)?shù)據(jù)的采集和分析，將數(shù)據(jù)存儲到數(shù)據(jù)庫中，并且能夠及時告警響應(yīng)。入侵檢測系