第6章 入侵检测技术(IDS)
重点:IDS定义、HIDS/NIDS、异常/滥用、步骤、特征/协议分析、IDS vs IPS
6.1 入侵检测概述
1. 定义与本质
- 定义 :一种主动 保护网络和系统免遭非法攻击的网络安全技术。通过收集、分析系统/网络信息,检测违反安全策略的行为(包括入侵 -非法用户的违规,和误用-合法用户的违规),并做出反应。
- 形象比喻:网络摄像机(捕获数据)+ 智能摄像机(分析提炼异常)+ X光摄像机(穿透伪装)+ 保安(自动反击/联动防火墙)。
2. 通用入侵检测系统模型(4大组件)
- 数据收集器(探测器):负责收集数据。
- 检测器(分析器/检测引擎) :分析并检测入侵,发出警报(核心)。
- 知识库:提供必要的数据和规则支持。
- 控制器 :根据警报做出反应(人工或自动)。
(注:通常还包含用户接口组件,用于人机交互)
3. IDS与P2DR模型
- P2DR:策略、防护、检测、响应。
- 核心结论:安全目标 = 增大保护时间 + 减少检测时间和响应时间。
- IDS的地位 :实现P2DR中"D(检测)"的主要手段,是承前启后的关键环节(根据策略配置,检测结果驱动响应和防护调整)。
4. IDS功能与意义
- 事前 :检测企图,报警驱逐;事中 :减少损失;事后:收集信息,丰富知识库。
- 意义 :弥补防火墙等被动防御的不足,是实现主动防御的核心技术。
5. 两大关键指标
- 漏报率:攻击发生了,但IDS没检测到。
- 误报率 :正常行为被IDS当成攻击报警。(误报率与检出率成正比,检出越灵敏,误报越多)
6. IDS的优缺点
- 优点:提高系统监控能力、跟踪用户活动、识别攻击并报警。
- 不足:不能弥补弱认证/协议弱点、无法分析加密数据/堵塞网络、需要人工干预、不知晓安全策略内容。
6.2 入侵检测技术分类
1. 按信息源分类
| 类型 | 数据来源 | 优点 | 缺点 |
|---|---|---|---|
| 基于主机的IDS (HIDS) | 主机审计记录、系统日志 | 检测高层复杂攻击准确;视野集中(能区分合法/非法用户);不受网络流量影响;适用加密和交换环境 | 依赖特定OS;影响宿主机性能;无法监测网络大量攻击 |
| 基于网络的IDS (NIDS) | 网络数据包(监听) | 侦测速度快;隐蔽性好;视野宽;OS无关性;占资源少 | 无法检测不同网段包;交换环境受限;难以检测复杂计算攻击;处理加密数据困难(IPv6下更突出) |
| 网络节点IDS (NNIDS) | 所在主机的网络进出流量 | 结合NIDS和HIDS优点,适合高速交换和加密环境,分散计算量 | 兼具部分两者缺点 |
2. 按检测方法分类
- 异常入侵检测 的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动 情况之间的差异 来实现。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离 时即被认定是入侵。
- 滥用/误用入侵检测 的技术基础是分析各种类型的攻击手段,并找出可能的 攻击特征 集合,滥用入侵检测利用这些特征集合或者是对应的规则集合,对当前的数据来源进行各种处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配 ,则指示发生了一次攻击行为。
| 类型 | 思想 | 前提 | 优点 | 缺点 |
|---|---|---|---|---|
| 异常检测 | 任何正常行为有规律,偏离规律即为入侵 | 入侵是异常活动的子集 | 能检测未知攻击;可检测冒用账号;自适应自学习 | 误报率高;漏报率高;入侵者可缓慢改变行为逃避;计算量大;参考库难建 |
| 误用检测 | 预先定义入侵特征,匹配即为入侵 | 所有入侵都有特征 | 算法简单开销小;准确率高误报低;效率高 | 不能检测未知攻击(漏报高);模式库维护难;依赖平台环境 |
- 补充 :目前大多数商用系统基于误用检测,但两者联合使用是必然趋势。
3. 其他分类
- 按工作方式:在线检测(实时)、离线检测(事后非实时)。
- 按体系结构:集中式、等级式、协作式。
6.3 入侵检测的核心技术与实现
1. 入侵检测的三步骤
- 信息收集:依赖信息的可靠性、正确性、完备性(防篡改)。
- 数据分析:IDS的核心,决定系统性能(异常/误用)。
- 响应:记录日志、触发警报、修改系统(断开连接/改防火墙配置)。
2. 网络数据包的获取(底层基石)
- 以太网环境 :将网卡设置为混杂模式 ,直接访问数据链路层截获所有数据。
- 跨平台库:Libpcap (Linux) / Winpcap (Windows,含NPF驱动、Packet.dll、Wpcap.dll)。
- 交换网络环境 :利用交换机/路由器的监听端口/镜像端口 。
- 问题:高带宽可能无法全部镜像;并非所有设备支持。
3. 检测引擎与Snort实例
- 引擎类型:嵌入式规则检测引擎(遍历规则链表匹配)、可编程检测引擎(脚本语言自定义)。
- Snort系统 :轻量级开源NIDS。
- 原理:Libpcap抓包 ➔ 协议栈分析 ➔ 误用检测(规则库匹配)。
- 三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。
4. 特征分析与协议分析
- 特征分析 :将数据包视为无结构字节流,进行简单字符串匹配。早期技术,效率低且易误报。
- 协议分析 :利用协议高度规则性,层层解析(MAC头➔IP头➔TCP头➔应用层),根据RFC规范寻找违反定义的数据包。
- 优势:减少误报、提高分析速度、能解决编码/模糊路径问题、可执行协议异常分析(如检测0-day漏洞/NOP操作)。
- 趋势:两者融合,现代特征分析加入了3/4层解码,现代协议分析深入到第7层应用层。
6.4 IDS部署与体系结构
1. 体系结构分类
- 集中式:多个审计程序,一个中央服务器(单点故障风险)。
- 等级式:分等级监控区域,逐级上报(上级可能成为瓶颈)。
- 协作式:多个HIDS不分等级,各司其职,无中央服务器。
2. 复杂网络环境部署
- 无监听端口的网络:映射交换机出口。
- 多VLAN网络:检测端口映射为多个VLAN端口。
- 多交换机串联:使用多个探测器。
- 广域网:在各关键节点部署探测器,集中管理。
6.5 IPS技术(入侵防御系统)
1. IPS的产生原因
- 防火墙:能阻低层,但防不住应用层深层攻击。
- IDS:能发现深层攻击,但是旁路部署,无法实时阻断。
- IDS+防火墙联动:接口不统一,对"瞬间攻击"(如SQL注入)反应太慢。
- 结论 :需要一种能实时阻断深层攻击的系统 ➔ IPS。
2. IPS基本原理与特点
- 部署方式 :串联 在网络进出口(与IDS旁路不同)。
- 工作机制 :信息采集 ➔ 分析(同IDS) ➔ 实时阻断响应 (发现即丢包/切断源)。首先有信息采集模块 实施信息收集,内容包括系统和网络的数据,以及用户获得的状态和行为,然后利用模式匹配、协议分析、统计分析和完整性分析等技术手段,由信息分析模块 对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析,最后有反应模块对采集分析后的结果做出相应的反应。
- 核心设计理念 :实时检测 与主动防御。
3. IPS的优势与关键技术
- 关键技术 :主动防御、防火墙/IPS联动、综合多种检测方法、硬件加速技术。
- 优势 :
- 在线安装:流量必须经过它。
- 实时阻断:避免损失发生。
- 先进检测技术:并行处理检测 + 协议重组分析(硬件预处理)。
- 特殊规则植入:可执行可接受应用策略(AUP)。
- 自学习与自适应:自动更新特征库和安全策略。
4. 发展趋势总结
主动检测 ➔ 主动防御 (IPS) ➔ 安全管理 (IMS) ➔ 集中/分级管理 ➔ 主动追踪(蜜罐/密网技术)。
模拟复习题
一、 单项选择题(共4题)
1. 在入侵检测系统(IDS)的评估指标中,将正常事件错误地识别为攻击并发出报警,称为( )。
A. 漏报率
B. 误报率
C. 检出率
D. 容错率
- 【答案】B
解析:误报率是把正常事件当成攻击报警;漏报率是攻击发生了但没检测到。误报率与检出率成正比。
2. 能够检测出未知攻击,但误报率较高的入侵检测技术是( )。
A. 误用检测
B. 异常检测
C. 基于主机的检测
D. 基于网络的检测
- 【答案】B
解析:异常检测基于"偏离正常即为入侵"的思想,不需要预先知道攻击特征,因此能检测未知攻击,但合法行为的突变容易导致高误报率。误用检测只能检测已知攻击,漏报率高。
3. 在交换网络环境中,基于网络的IDS(NIDS)获取数据包的常用方法是( )。
A. 将网卡设置为混杂模式
B. 利用交换机的镜像端口(监听端口)
C. 在主机上安装代理程序
D. 直接访问数据链路层
- 【答案】B
解析:在共享式以太网中用混杂模式(A),但在交换网络中由于不再具备广播特性,必须通过交换机/路由器的镜像端口或监听端口来获取流量。
4. 关于IPS(入侵防御系统)与IDS(入侵检测系统)的比较,下列说法正确的是( )。
A. IDS是串联部署,IPS是旁路部署
B. IPS是串联部署,能够实时阻断攻击;IDS是旁路部署,主要起报警作用
C. IDS可以防御应用层深层攻击,IPS只能防御低层攻击
D. IPS和IDS的部署方式相同,仅检测引擎不同
- 【答案】B
解析:核心区别在于部署方式和响应能力。IDS旁路并联,只能报警不能阻断;IPS串联,可以直接丢包实时阻断攻击。
二、 判断题(共3题)
5. 在P2DR动态安全模型中,入侵检测技术(IDS)是实现"Protection(防护)"部分的主要技术手段。( )
- 【答案】错误(×)
解析:在P2DR模型中,IDS是实现"Detection(检测)"部分的主要技术手段,并且是承前启后的关键环节,而非防护。
6. 基于主机的入侵检测系统(HIDS)由于依赖特定的操作系统平台,且无法检测网络环境下的海量攻击,因此它不适用于被加密的以及交换的网络环境。( )
- 【答案】错误(×)
解析 :基于主机的HIDS适用于被加密的以及交换的环境。因为HIDS数据来源于主机日志而非网络数据包,所以网络是否加密或交换对它影响不大。
7. 协议分析技术利用了网络协议的高度规则性,相比早期的简单特征匹配(字符串匹配),它能够有效减少误报率,并解决诸如十六进制编码、模糊路径等逃避检测的问题。( )
- 【答案】正确(√)
解析:协议分析根据RFC规范层层解码,不仅速度快,还能精准定位协议字段,有效解决特征匹配无法处理的编码伪装和路径模糊问题。
三、 简答题(共3题)
8. 简述异常检测和误用检测的优缺点对比。
- 【答案要点】
- 异常检测 :
- 优点:能够检测未知的入侵行为;可以检测冒用他人账号的行为;具有自适应和自学习能力。
- 缺点:误报率和漏报率高;入侵者可缓慢改变行为模式逃避检测;统计算法计算量大,效率低。
- 误用检测 :
- 优点:算法简单、系统开销小、准确率高(误报低)、效率高。
- 缺点:被动,只能检测已知攻击,无法发现新型攻击;模式库建立和维护困难,需不断更新。
9. 简述IPS(入侵防御系统)产生的原因。
- 【答案要点】
IPS的产生是为了弥补防火墙和IDS的不足:
- 防火墙的局限:串行部署的防火墙能拦截低层攻击,但对应用层的深层攻击无能为力。
- IDS的局限:旁路部署的IDS能发现深层攻击,但无法实时阻断。
- 联动的失效:虽然IDS可以与防火墙联动(IDS发现,防火墙阻断),但由于缺乏统一接口规范,且面对"瞬间攻击"(如SQL注入,一个会话即达成攻击)时反应太慢,联动效果不佳。
- 结论:因此需要一种既能深度检测,又能实时阻断的系统,即IPS。
10. 简述通用入侵检测系统模型的主要组成部分及其功能。
- 【答案要点】
通用入侵检测系统模型主要由以下四部分组成:
- 数据收集器(探测器):主要负责收集系统和网络中的数据。
- 检测器(分析器/检测引擎):负责分析和检测入侵任务,是系统的核心,发现入侵后发出警报信号。
- 知识库:提供必要的数据信息支持(如攻击特征库、正常行为轮廓等)。
- 控制器 :根据警报信号,人工或自动做出反应动作(如切断连接、记录日志等)。
(补充:通常还包含用户接口组件,用于人机交互)