第10章 入侵检测技术原理与应用

第10章 入侵检测技术原理与应用

10.1 入侵检测概述

10.1.1 入侵检测概念

入侵检测通过收集操作系统、应用程序、系统程序、网络包等信息发现系统中违背安全策略活危机系统安全的行为。IDS

10.1.2 入侵检测模型

CIDF模型：

• 事件产生器（Event generators）
• 事件分析器
• 响应单元
• 事件数据库

10.1.3 入侵检测作用

• 发现受保护系统中的入侵行为或异常行为
• 检验安全保护措施的有效性
• 分析受保护系统所面临的威胁
• 有利于组织安全事件扩大，及时报警出发网络安全应急响应
• 可以为网络安全策略的制定提供重要指导
• 报警信息可以用作网络犯罪取证

10.2 入侵检测技术

10.2.1 基于误用的入侵检测技术

基于特征的入侵检测方法，根据已知的入侵模式检测入侵行为。

1. 基于条件概率的误用检测方法 全概率公式-知道原因推结果，条件概率

   贝叶斯定理-已知结果-求原因的概率

   假设完备，求假设A1…An完备，B,P(Ai)>0,P(B)>0求P(Ak∣B)=P(Ak∣B)=P(AK∣B)P(B)

   令ES表示某个事件序列，发生入侵的先验概率为P(Intrusion)发生入侵时该事件序列ES出现的后验概率为P(ES∣Intrusion)，该事件序列出现的概率为P(ES)，则有：

   P(Intrusion∣ES)=P(ES∣Intrusion)×P(Intrusion)P(ES)

   通常网络安全员可以先给出先验概率P(Intrusion)，对入侵报告进行数据统计处理可得P(ES∣¬Intrusion)和P(ES∣Intrusion)，于是可以计算出：

   P(ES)=[P(ES∣Intrusion)−P(ES∣¬Intrusion)]×P(Intrusion)+P(ES∣¬Intrusion)

   因此，可以通过对事件序列的观摩推算出P(Intusion∣ES)。基于条件概率的误用检测方法是基于条件概率的一种通用方法。

2. 基于状体迁移的误用检测方法

   STAT、USTAT

3. 基于键盘监控的误用检测方法

   假设入侵行为对应特定的几件序列模式

4. 基于规则的误用检测方法 Snort

   基于规则的误用检测方法是将攻击行为或者入侵模式标识成一种规则，只要符合规则就认定他是一种入侵行为，

   ∑n→+∞n

条件概率

P（A） P（B）

Ω 样本空间中有A，B两个事件。P（B）>0 在B已经发生的条件下A发生的概率。A对B 的条件概率P（A｜B）

P(A|B)=nABnB=nAB/nnB/n=P(AB)P(B)

P(A|B)=nABnB=nAB/nnB/n=P(AB)P(B)

10.2.2 基于异常的入侵检测技术

1. 基于统计的异常检测方法
2. 基于模式预测的异常检测方法
3. 基于文本分类的异常检测方法
4. 基于贝叶斯推理的异常检测方法

10.2.3 其他

1. 基于规范的检测方法
2. 基于生物免疫的检测方法
3. 基于攻击诱骗的检测方法
4. 基于入侵报警的关联检测方法
5. 基于沙箱动态分析的检测方法
6. 基于大数据分析的检测方法

10.3 入侵检测系统组成与分类

10.3.1 入侵检测系统组成

入侵检测系统主要由：数据采集模块、入侵分析引擎模块，应急处理模块，管理配置模块和相关的辅助模块。

IDS：HIDS、NIDS、DIDS

10.3.2 基于主机的入侵检测系统（HIDS）

主要入侵行为：

• 针对主机的端口或漏洞扫描
• 重复失败的登入尝试
• 远程口令破解
• 主机系统的用户账号添加
• 服务启动或停止
• 系统重启动
• 文件的完整性或许可权变化
• 注册表修改
• 重要系统启动文件变更
• 程序的异常调用
• 拒绝服务攻击

HIDS软件：

• SWATCH
• Tripwire
• 网页防串改系统

10.3.3 基于网络的入侵检测系统（NIDS）

1. NIDS能够检测到如下行为：
   • 同步风暴（SYN Flood）
   • 分布式拒绝服务攻击（DDos）
   • 网络扫描
   • 缓冲区溢出
   • 协议攻击
   • 流量异常
   • 非法网络访问

10.3.4 分布式入侵检测系统

1. 基于主机的分布式入侵检测系统
2. 基于网络的分布式入侵检测系统

10.4 入侵检测系统主要产品与技术指标

10.4.1 入侵检测相关产品

1. 主机入侵检测系统
2. 网络入侵检测系统
3. 统一威胁管理（UTM）
4. 高级持续威胁检测（APT）
5. 其他（Web IDS、数据库IDS、工控IDS等）

10.4.2 入侵检测相关指标

1. 可靠性
2. 可用性
3. 可扩展性
4. 时效性
5. 准确性
6. 安全性

10.5 入侵检测系统应用

10.5.1 入侵检测应用场景类型

1. 上网保护
2. 网站入侵检测与保护
3. 网络攻击阻断
4. 主机/终端恶意代码检测
5. 网络安全检测预警与应急处置
6. 网络安全等级保护

10.5.2 入侵检测系统部署方法

10.5.3 基于HIDS等主机威胁检测

1. 单机应用
2. 分布式应用

10.5.4 基于NIDS的内网威胁检测

10.5.5 基于NIDS的网络边界威胁检测

10.5.6 网络安全态势感知应用参考

10.5.7 开源网络入侵检测系统

10.5.8 华为CIS网络安全智能系统应用