信息安全导论 第八章 入侵检测技术

目录

一、入侵检测系统概述

二、入侵检测技术

三、入侵检测系统实例

1. Snort简介

2. Snort架构

3. Snort规则示例

4. 检测流程

四、入侵防御系统

1. IPS vs. IDS

2. IPS分类

3. IPS核心技术

4. IPS优势

5.总结

---

一、入侵检测系统概述

1. 定义

   • 检测、识别和隔离对系统资源的非授权操作（入侵行为）。
   • 核心功能：
     • 数据采集（事件产生器）：收集日志、网络流量等数据。
     • 分析检测（事件分析器）：判断行为是否异常或违规。
     • 响应（响应单元）：报警、阻断连接或联动防火墙。
     • 存储（事件数据库）：记录事件数据。

2. 分类

   类型	数据来源	优点	缺点
   HIDS（主机型）	主机日志、系统资源	深度分析，支持加密环境，近实时响应。	依赖主机资源，平台受限。
   NIDS（网络型）	网络流量（抓包）	独立于OS，成本低，可检测未遂攻击。	无法检测加密流量，交换网络配置复杂。
   DIDS（分布式）	混合HIDS和NIDS数据	覆盖范围广，综合性强。	架构复杂，管理难度高。

3. 部署位置

   • 网络边界（检测外部攻击）。
   • 关键服务器（监控对外服务）。

---

二、入侵检测技术

1. 误用检测（基于特征）

   • 原理：匹配已知攻击特征库（如病毒签名）。
   • 技术：专家系统、特征分析、模型推理等。
   • 优点：误报率低。
   • 缺点：无法检测未知攻击。
   • 实例：检测HTTP请求中的恶意路径（如 ​/scripts/..%c1%9c../cmd.exe​）。

2. 异常检测（基于行为）

   • 原理：建立正常行为模型，偏离即报警。
   • 技术：统计分析、神经网络、数据挖掘等。
   • 优点：可检测未知攻击。
   • 缺点：误报率高（如正常行为被误判）。
   • 实例：暴力破解（短时多次 ​user/pass​尝试触发报警）。

---

三、入侵检测系统实例

1. Snort简介

• 定位：轻量级、开源的基于网络的入侵检测系统（NIDS）。
• 特点：
  • 跨平台（Windows/Linux等），支持实时流量分析。
  • 基于误用检测（规则匹配），可扩展插件检测新威胁。
  • 遵循GPL协议，免费且社区支持强大。

2. Snort架构

模块	功能
数据包解码器	解析协议（如TCP/IP、HTTP），预处理原始数据包。
检测引擎	核心模块，通过二维链表存储规则，匹配流量与规则库。
日志/报警系统	记录攻击日志或触发报警（如发送邮件、联动防火墙阻断）。

3. Snort规则示例

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (  
  msg:"WEB-IIS scripts access";  
  content:"/scripts/";  
  sid:498; rev:4;  
)

• 动作：​alert​（报警）、​log​（记录）、​pass​（忽略）。
• 协议：支持TCP/UDP/ICMP等。
• 选项：​content​（匹配内容）、​msg​（报警描述）、​sid​（规则ID）。

4. 检测流程

1. 数据包捕获：监听网络流量。
2. 协议解析：解码数据包头部和载荷。
3. 规则匹配：逐条比对规则库，触发报警或记录。

---

四、入侵防御系统

1. IPS vs. IDS

特性	IDS	IPS
工作模式	被动检测并报警	主动阻断攻击（如丢弃恶意包）。
部署位置	旁路监听	串联部署（如网关）。
延迟影响	无网络延迟	可能引入少量延迟。

2. IPS分类

类型	描述	应用场景
HIPS	监控主机系统调用、文件修改等，防御本地攻击。	保护关键服务器（如数据库）。
NIPS	分析网络流量，实时阻断DDoS、SQL注入等。	部署在网络边界（如防火墙后）。
应用IPS	专防Web层攻击（XSS、CSRF）。	Web服务器防护。

3. IPS核心技术

• 深度包检测（DPI）：分析数据包内容（如HTTP请求中的恶意代码）。
• 行为分析：识别异常流量模式（如暴力破解的频繁登录尝试）。
• 联动响应：与防火墙协同动态更新规则。

4. IPS优势

• 实时防御：减少“检测-响应”时间差。
• 多层次防护：结合访问控制（防火墙）和风险控制（IDS） 

5.总结

1. IDS是安全体系的“摄像头”，侧重监测与报警；IPS是“智能门禁”，主动阻断攻击。
2. Snort是规则驱动的NIDS代表，适合已知攻击检测；IPS弥补IDS的被动性，但需权衡性能与误报。
3. 防御体系：防火墙（访问控制） + IDS（风险监测） + IPS（风险阻断） = 纵深防御。