信息安全|入侵检测技术 笔记

概述

防火墙的局限

不能防范恶意代码
不能提供内部保护
无法防范数据驱动型攻击
不能防止通向站点的后门

IDS

对入侵行为的发觉
在计算机网络若干关键点收集信息并进行分析，从而判断系统中是否有违反安全策略的行为和被攻击的迹象
可控性
可控性是指系统能够对其自身的资源和行为进行有效的控制和调整

IDS作用

IDS是监听和分析设备，通常旁路部署，通过和防火墙联动阻断连接
监视分析用户和系统行为
审计系统配置和漏洞
识别攻击行为
对异常行为进行统计
进行审计跟踪等

三个问题

数据采集
分析检测
响应

分类

按数据来源

基于主机HIDS

监测文件、进程、系统日志、注册表，通过主机代理实现
监视系统的特定活动
非常适用于加密和交换环境
实时检测和应答
不需要额外的硬件
捕获应用层入侵

基于网络NIDS

对通信数据进行侦听，网络传感器实现
成本低
攻击者转移证据很困难
实时检测和应答
能够检测网络中未成功的攻击企图
操作系统独立

技术

误用检测

基于规则、基于签名
收集非正常操作的行为特征，建立特征库
监控、特征提取、匹配、判定
只能检测已知攻击
检测能力评价指标——混淆矩阵，漏报率、误报率

异常检测

基于统计，前提是入侵为异常活动子集
总结正常操作应具有的特征，得到正常操作的模型
一旦发现偏离正常的操作模式，即认为识别成功
监控、量化、比较、判定、修正

部署

旁路部署在需要保护的节点入口处