网络攻防技术十四：入侵检测与网络欺骗

文章目录

• 一、入侵检测概述
• 二、入侵系统的分类
• 三、入侵检测的分析方法
• • 1、特征检测（滥用检测、误用检测）
  • 2、异常检测
• 四、Snort入侵检测系统
• 五、网络欺诈技术
• • 1、蜜罐
  • 2、蜜网
  • 3、网络欺骗防御
• 六、简答题
• • 1. 入侵检测系统对防火墙的安全弥补作用主要体现在哪些方面？6点
  • 2. 从信息源的角度看，以操作系统的审计记录作为入侵检测的信息源存在哪些缺陷？
  • 3. 以应用程序的运行记录作为入侵检测系统的信息源，对于检测针对应用的攻击活动存在哪些优势？
  • 4. 请分析基于网络的入侵检测系统的优点和缺点。
  • 5. 什么是基于异常和基于误用的入侵检测方法？它们各有什么特点？
  • 6. 为什么说异常检测所发现的异常未必是攻击活动？
  • 7. 如何对入侵检测系统的效能进行评估。
  • 8. 入侵检测技术主要存在哪些方面的局限性。
  • 9. 谈谈你对蜜罐、蜜网、网络欺骗防御这三个概念的理解。

---

一、入侵检测概述

定义 ：通过从计算机系统或网络的关键点收集信息并进行分析 ，从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。
入侵检测意义：防火墙之后的第二道安全防线，是防火墙的必要补充。
数据源：应用、主机、网络。

二、入侵系统的分类

根据检测方法来分：

（1）基于特征（误用）的入侵检测

（2）基于异常的入侵检测

（3）混合的入侵检测
根据数据源来分：

（1）基于应用的入侵检测系统(Application-based IDS, AIDS)

（2）基于主机的入侵检测系统(Host-based IDS, HIDS)

（3）基于网络的入侵检测系统(Network-based IDS, NIDS)

（4）混合的入侵检测系统(Hybrid IDS)

三、入侵检测的分析方法

两种主要的检测方法 ：特征检测、异常检测

1、特征检测（滥用检测、误用检测）

定义 ：收集非正常操作的行为特征（静态、动态特征、特征描述），建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。检测率取决于：攻击特征库的正确性与完备性。

检测实现方法 ：模式匹配法(将收集到的入侵特征转换成模式，存放在模式数据库中，检测时匹配即可)、专家系统法（通过条件匹配判断是否出现了入侵并采取相应动作,专家系统采用的是说明性的表达方式，需要解释器来实现，速度慢）、状态迁移法（利用状态转换图描述并检测已知的入侵模式）

2、异常检测

定义：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

检测实现方法 ：统计分析法（条件熵 越小，这样数据集建立的模型的准确性越好）、人工免疫法（先中招，才有抗体）、机器学习法

四、Snort入侵检测系统

Snort主要采用特征检测的工作方式，由数据包解析器、检测引擎、日志与报警子系统组成

五、网络欺诈技术

1、蜜罐

蜜罐是一种安全资源，其价值在于被探测、攻击或突破。可用于取证，诱导攻击者攻击。
根据交互程度或逼真程度 的高低可以分为低交互蜜罐（功能：攻击数据捕获与处理、攻击行为分析）、中交互蜜罐和高交互蜜罐（功能：网络欺骗、攻击捕获、数据控制、数据分析）。
根据部署方式 可以分为生产型蜜罐和研究型蜜罐。
按照实现方式 可将蜜罐分为物理蜜罐和虚拟蜜罐。

2、蜜网

由多个蜜罐组成的欺骗网络，通过虚拟化技术（如VMware）可以方便地把多个虚拟蜜罐部署在单个服务器主机上。

3、网络欺骗防御

网络欺骗防御 是一种体系化的防御方法，它将蜜罐、蜜网、混淆等欺骗技术同防火墙、入侵检测系统等传统防护机制有机结合起来，构建以欺骗为核心的网络安全防御体系。
  根据网络空间欺骗防御的作用位置不同，可以将其分为不同的层次，包括：网络层欺骗（网络混淆）、终端层欺骗（系统层欺骗防御技术）、应用层欺骗（应用层欺骗防御技术）、数据层欺骗（数据层欺骗防御技术）。

六、简答题

1. 入侵检测系统对防火墙的安全弥补作用主要体现在哪些方面？6点

1）入侵检测可以发现内部的攻击事件 以及合法用户的越权访问行为 ，而位于网络边界的防火墙对于这些类型的攻击活动无能为力。

2）如果防火墙开放的网络服务存在安全漏洞 ，入侵检测系统可以在网络攻击发生时及时发现并进行告警。

3）在防火墙配置不完善的条件下 ，攻击者可能利用配置漏洞穿越防火墙，入侵检测系统能够发现此类攻击行为。

4）对于加密的网络通信，防火墙无法检测，但是监视主机活动的入侵检测系统能够发现入侵 。

5）入侵检测系统能够有效发现入侵企图 。如果防火墙允许外网访问某台主机，当攻击者利用扫描工具对主机实施扫描时，防火墙会直接放行，但是入侵检测系统能够识别此类网络异常并进行告警。

6）入侵检测系统可以提供丰富的审计信息，详细记录网络攻击过程，帮助管理员发现网络中的脆弱点。

2. 从信息源的角度看，以操作系统的审计记录作为入侵检测的信息源存在哪些缺陷？

1）不同操作系统在审计的事件类型、内容组织、存储格式等方面都存在差异 ，入侵检测系统如果要求跨平台工作，必须考虑各种操作系统审计机制的差异。

2）操作系统的审计记录主要是方便日常管理维护，同时记录一些系统中的违规操作，其设计并不是为入侵检测系统提供检测依据。在这种情况下，审计记录对于入侵检测系统而言包含的冗余信息过多，分析处理的负担较重 。

3）入侵检测系统所需要的一些判定入侵的事件信息，可能操作系统的审计记录中没有提供，由于信息的缺失，入侵检测系统还必须通过其他渠道获取。

3. 以应用程序的运行记录作为入侵检测系统的信息源，对于检测针对应用的攻击活动存在哪些优势？

1）精确度高 。主机的审计信息必须经过一定的处理和转化之后，才能变为入侵检测系统能够理解的应用程序运行信息，而且在此转化过程中往往会丢失部分信息。直接利用应用数据，可以在最大程度上保证入侵检测系统所获得信息的精确度。

2）完整性强 。对于一些网络应用，特别是分布式的网络应用，直接通过主机的日志信息、甚至结合收集到的网络数据，都难以准确获取应用的具体状态。但是，应用数据能够最全面地反映应用的运行状态信息。

3）采用应用数据作为入侵检测的信息源具有处理开销低的优势。主机的审计信息反映的是系统整体运行情况，要将其转化为应用信息必须经过计算处理。而应用程序日志本身就是应用层次的活动记录，可以直接向入侵检测系统提供其所关注的应用的运行状况。

4. 请分析基于网络的入侵检测系统的优点和缺点。

答：基于网络的入侵检测系统具有隐蔽性好 、对被保护系统影响小 等优点，同时也存在粒度粗 、难以处理加密数据等方面的缺陷。

5. 什么是基于异常和基于误用的入侵检测方法？它们各有什么特点？

答：

基于误用的入侵检测方法的基本思路是事先提取出描述各类攻击活动的特征信息，利用攻击特征对指定的数据内容进行监视 ，一旦发现攻击特征在监视的数据中出现，即判定系统内发生了相应的攻击活动。

基于异常的检测方法首先总结出正常活动的特征，建立相应的行为模式。在入侵检测的过程中，以正常的行为模式为基础进行判定，将当前活动与代表正常的行为模式进行比较 ，如果当前活动与正常行为模式匹配，则认为活动正常；而如果两者存在显著偏差，则判定出现了攻击。

基于误用的检测方法只能检测已知攻击，误报率低，无法检测未知攻击 。

基于异常的检测方法可以检测未知攻击，但误报率高。

6. 为什么说异常检测所发现的异常未必是攻击活动？

答：因为定义的正常行为不一定完备和准确，可能会造成合法的行为被认为是异常的。

7. 如何对入侵检测系统的效能进行评估。

答：误报率、漏报率、准确率。

8. 入侵检测技术主要存在哪些方面的局限性。

（1）误报率和漏报率需要进一步降低

（2）入侵检测技术涉及用户隐私与系统安全的矛盾

（3）入侵检测技术不具备主动发现漏洞的能力

（4）不断丰富的网络应用也对入侵检测技术提出挑战

9. 谈谈你对蜜罐、蜜网、网络欺骗防御这三个概念的理解。

答：网络欺骗防御 是一种体系化的防御方法，它将蜜罐、蜜网、混淆等欺骗技术同防火墙、入侵检测系统等传统防护机制有机结合起来，构建以欺骗为核心的网络安全防御体系。
蜜罐 是一种安全资源，其价值在于被探测、攻击或突破。可用于取证，诱导攻击者攻击。
蜜网 由多个蜜罐组成的欺骗网络。