1. 入侵检测概述
- 入侵检测是通过收集:操作系统、系统程序、应用程序、网络包等信息来发现系统种有无违背安全策略或危害系统安全的行为
- 具有入侵检测功能的系统称为入侵检测系统,简称IDS
2. 入侵检测模型
- 通用的入侵检测框架模型,CIDF模型
- CIDF模型主要由以下组件组成
-
- 事件产生器(even generators)
- 事件分析器(even analyzers)
- 响应单元(response units)
- 事件数据库(even generators)
3. 入侵检测技术
- 主要包括:基于误用的入侵检测技术、基于异常的入侵的检测技术和其他技术
- 基于误用:基于特征库的入侵检测方式,已知的入侵模式检测入侵行为
-
- 分类:基于条件概率、基于状态迁移、基于键盘监控、基于规则
- 缺点:高依赖特征库,检测不出新的攻击
- 基于异常:通过统计分析,建立正常的行为,如果出现异常行为则判断被攻击,如异常登录
-
- 分类:基于统计、基于模式预测、基于文本分类、基于贝叶斯推理
- 缺点:存在较多的误报、可以检测出新的攻击
4. 入侵检测分类
- 基于主机的入侵检测系统(HIDS,分析主机的信息)
-
- 通过收集主机系统的日志文件、系统调用以及应该程序的使用、系统资源‘网络通讯和用户使用等信息,分析这些是否包含异常情况。
- HIDS软件:
-
-
- SWATCH(实施监控日志程序)
- Tripwire(文件和目录完整性检查工具包)
- 网页防篡改(防止网页被入侵非常修改)
-
- 基于网络的入侵检测系统(NIDS,扫描网络通讯数据包)
-
- 通过监听网络系统、捕捉数据包,并依据网络包是否包含攻击特征码或异常流量来识别入侵行为
- NIDS能够检测到:同步风暴(SYNFlood)、分布式拒绝服务(DDos)、网络扫描、缓冲区异常、协议攻击、流量异常、非法访问
- NIDS主要分为两部分:探测器和管理控制器
-
-
- 探测器:分布在不同的区域,通过侦听方式获取网络包,并将检测出来的攻击形成报警发送给管理控制器。
- 管理控制器:可以监控不同区域网络的探测器,接收来自探测器的报警信息。
-
-
- NIDS的优缺点
-
-
- 优点:监控大型的网络、对网络影响小、可对攻击者不可见很好的避免被攻击
- 缺点:有可能出现漏检、无法检测加密的数据、仅通过流量无法分析执行的结果从而无法判断是否攻击成功。
-
- 基于分布式入侵检测(DIDS,多台主机、多个网段采集数据综合分析)
-
- 分布式入侵系统可以跨多个子网检查攻击行为,特别是大型网络。
- 分布式入侵主要分成两种:基于主机的分布式和基于网络的分布式
-
-
- 基于主机的分布式:主要的两部分是主机探测器和入侵管理控制器
- 基于网络的分布式:主要的两部分是网络探测器和管理管理器。
-
5. 开源入侵检测系统(snort)
- Snort是基于网络型的误用检查系统,Sonrt假定网络攻击行为和方法具有一定的模式或特征,并将所有已发现的网络攻击特征提炼出来并建立入侵特征库,并把搜集的信息与已知的特征库进行匹配。如果匹配成功则发现入侵行为
- snort的四种模式
-
- 嗅探器模式:snort将读取网络流量并将其打印到屏幕
- 数据包记录模式:snort将记录文件上的流量
- IDS模式:将记录与安全规则匹配的网络流量
- IPS模式:也称为snort内联(ips=入侵防御系统)
- snort的规则主要分为规则头和选项规则
-
- 规则头:动作、协议类型、源IP、源端口、子网掩码、数据流方向、目的IP、目的端口
- 选项规则:报警信息、异常包信息(特征码)
- snort的规则常用动作
-
- alert:生成一个报警,然后记录日志
- log:记录日志
- pass:忽略
- activate:警告,接着打开其他的dynamic规则
- dynamic:保持空闲状态,直到被acivate规则激活,作为一条lou规则
- drop:阻止并记录日志
- reject:阻止并记录日志,如果是tcp则重置,如果是UDP则发送icmp不可达