目录
什么是IDS?
IDS和防火墙有什么不同?
IDS工作原理
IDS的主要检测方法
签名
IDS部署位置
什么是IDS?
IDS(intrusion detection system):入侵检测系统。对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。
IDS和防火墙有什么不同?
入侵检测系统是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵 弥补防火墙对应用层检查的缺失。
类别 | IDS | 防火墙 |
属性 | 入侵检测系统 | 门 |
工作 | 识别入侵者 识别入侵行为 检测和监视已成功的入侵 为对抗入侵提供信息与依据,防止事态扩大 | 保护特定网络免受“不信任”的网络的攻击,同时还必须允许两个网络之间可以进行合法的通信 |
作用范围 | 区域内 | 区域间 |
设备组成 | 是一个软件与硬件的组合系统。 | 有软件防火墙,也有硬件防火墙 |
IDS工作原理
特征/异常检测:当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓意外发生,就认为是异常,IDS就会告警。主要针对行为。白名单机制,只要检测不出来就都认为是正常的。
误用检测:IDS核心是特征库(签名)。签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。主要针对特征而进行匹配。 黑名单机制,误报率高,漏报率低。
IDS的主要检测方法
异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)。
异常检测 | 误用检测 | |
优点 | 1、不需要专门的操作系统缺陷特征库。 2、有效检测对合法用户的冒充检测。 | 1、可检测所有已知入侵行为。 2、能够明确入侵行为并提示防范方法。 |
缺点 | 1、建立正常的行为轮廓和确定异常行为轮廓的阈值困难。 2、不是所有的入侵行为都会产生明显的异常。 | 1、缺乏对未知入侵行为的检测。 2、对内部人员的越权行为无法进行检测。 |
签名
签名由已经发生过网络入侵行为提取特征而制成,一般包含基本信息、描述、影响、对策、参考信息等字段。
签名过滤器
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
- 阻断:丢弃命中签名的报文,并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
IDS部署位置
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器、分光器实现流量复制。
