软考10-入侵检测技术原理与应用
入侵检测技术原理与应用
10.1 入侵检测相关概念及入侵检测模型
入侵:违背访问目标的安全策略的行为
判断入侵的依据:对目标的操作是否超出了目标的安全策略范围
入侵检测:通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为
入侵检测系统:具有入侵检测功能的系统称为入侵检测系统,简称IDS
入侵检测的目的:发现违背安全策略or危害系统安全的行为
通用入侵检测框架模型,简称CIDF。该模型人为入侵检测系统包括:事件产生器、事件分析器、响应单元、事件数据库组成
入侵检测基本模型是PDR模型:保护、检测、响应
10.2基于误用的入侵检测技术
攻击者常常利用系统和应用软件中的漏洞技术进行攻击。
误用入侵检测的前提条件是:入侵行为能够按某种方式进行特征编码
入侵检测的过程实际上是:模式匹配的过程
| 常用的误用检测方法 | 特点 |
|---|---|
| 基于条件概率的误用检测 | 将入侵方式对应一个事件序列,应用贝叶斯定理进行推理,推测入侵行为 |
| 基于状态迁移的误用检测 | 记录系统的一系列状态,检查系统的状态变化发现系统中的入侵行为。这种方法状态特征用状态图描述 |
| 基于键盘监控的误用检测 | 检测用户的攻击模式,检索攻击模式库,发现入侵行为(不能够检测恶意程序的自动攻击) |
| 基于规则得误用检测 | 用规则描述入侵行为,通过匹配规则,发现入侵行为(snort) |
10.3 基于异常的入侵检测技术
异常检测方法:建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象。
异常检测的前提是: 异常行为包括入侵行为。
| 常见的异常检测方法 | 特点 |
|---|---|
| 基于统计的异常检测方法 | 利用数学统计理论技术 |
| 基于模式预测的异常检测 | 事件序列不是随机发生的而是服从某种可辨别的模式 |
| 基于文本分类的异常检测 | 将程序的系统调用视为某个文档中的“字”,N次调用以后形成一个文档,分析文档的相似性,发现异常的系统调用 |
| 基于贝叶斯推理的异常检测 | 通过分析和测量,任一时刻的若干系统特征(磁盘读写、网络连接、并发数),判断是否发生异常 |
10.4 入侵检测系统组成
入侵检测系统功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、辅助模块
| 模块 | 功能 |
|---|---|
| 数据采集模块 | 为入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志,应用程序的运行日志和网络数据包等 |
| 入侵分析引擎 | 是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析,从中判断是否有入侵行为的出现,并产生入侵报警。 |
| 管理配置模块 | 为其它模块提供配置服务 |
| 应急处理模块 | 发生入侵后,提供紧急响应服务,例如关闭网络服务,中断网络连接、启动备份系统 |
| 辅助模块 | 协助入侵分析引擎模块工作,例如攻击特征库、漏洞信息 |
基于主机的入侵检测系统----HIDS、基于网络的入侵检测系统----NIDS、基于主机检测的分布式入侵检测系统(HDIDS)、基于网络的分布式入侵检测系统-----NDIDS
10.5 网络入侵检测snort
Snort基本技术原理是通过获取网络数据包,然后基于安全规则进行入侵检测,最后形成报警信息。
Snort规则由两部分组成:规则头、规则选项----括号里就是规则选项。
规则头包含:规则操作、协议、源地址、目的IP地址、网络掩码、源端口、目的端口
规则选项包含:报警消息、被检查网络包的部分信息、规则应采取的动作(所有Snort规则选项都用“;”隔开,规则选项关键词使用“:”和对应的参数区分)。
Snort规则如下所示:
Alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access"😉
动作 协议 源IP 源端口 -> 目标IP 目标端口(需要匹配的数据包内容;alert动作报警弹出的内容)
规则选项常用的关键词是msg、content。msg用于显示报警信息,content用于指定匹配网络数据包的内容。sid标识Snort规则id;rev表示规则修订的版本号。
alert icmp any any -> 192.168.x.y any (msg: "NMAP ping sweep Scan";dsize:0;sid:100000004;rev:1;)
浙公网安备 33010602011771号