🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁 🦄 个人主页——libin9iOak的博客🎐 🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 🌊 《IDEA开发秘籍》学会IDEA常用操作,工作效率翻倍~💐 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬请批评指正!🍁🐥
第一章 防火墙技术
10.1 入侵检测
下面我们来学习入侵检测,入侵检测是对入侵的发现,它是防火墙之后的第二道防线,为什么需要入侵检测?那是因为前面介绍了防火墙它是有局限性的,它工作在网络边界它只能抵挡外部的入侵,但是据统计分析,这个安全威胁80%都来自于内部,然后防火墙然后防火墙它自身也存在弱点,可能被攻破或者被穿透或者被绕开,然后防火墙对某些攻击它的保护是比较弱的,然后只能拒绝,然后仅能拒绝非法连接请求,合法使用者仍然能够非法的使用系统,越权使用系统,提升自己的权限。然后就是防火墙对入侵者的行为往往是一无所知的。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-US3MWN67-1687882270701)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg)]
入侵检测是对入侵行为的发觉,他对网络和系统的运行状态进行监视,然后从中发现网络和系统当中是否有违反安全策略的行为和被攻击的迹象,比如说是否存在攻击企图攻击行为,或者是否产生了一些不好的效果,或者是否存在攻击结果,入侵检测系统IDs就是进行入侵检测的软件和硬件的组合。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4tkeUoVs-1687882270706)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg)]
接下来我们来看一下入侵检测系统它的原理。入侵检测系统主要包括感应器、分析器、管理器,然后由安全人员设置安全策略,引导感应器、分析器、管理器的工作。感应器从各种数据源去感知活动,通过活动嗯,感应器从感应器从各种数据源获取数据感知活动,然后从活动当中去提取相应的事件,然后分析器去分析这些事件它是否是安全的,如果不安全,存在一些攻击活动,或者如果不安全发现了入侵的事件,这个时候分析器就会向管理器发起警报,管理器再向具体的操作员,用户系统管理员等进行这个通告,然后操作员然后就进行相应的应答,进行相应的然后操作员就进行相应的应急处理。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nhlX80iI-1687882270707)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image006.jpg)]
接下来我们来看一下入侵检测IDs系统它的工作过程。入侵检测系统主要的工作过程包括三个部分,一个就是进行信息的收集,然后就是基于收集的信息进行分析,判断是否存在入侵行为。第三个就是根据分析产生结果进行相应的处理。
10.2 入侵检测系统的信息搜集
下面我们来介绍一下入侵检测系统的信息搜集。
入侵检测系统要在网络或系统的若干不同的关键点,比如不同的网段,不同的主机收集信息,从一个来源的信息有可能看不出疑点,所以需要尽可能的扩大信息收集的范围。入侵检测很大程度上面它是依赖于信息收集的可靠性和正确性,这句重新说一下,颠倒入侵检测很大程度上面依赖于收集信息的可靠性与正确性,要保证信息收集软件或者组件以及收集到的信息的完整性。入侵检测系统软件本身应该具有相当的坚固性,防止被篡改而收到,防止被篡改而收集到错误的信息。
我们再来看入侵检测系统信息收集的来源,信息收集来源主要有如下4个,第一个是系统或网络的日志文件,然后是网络流量,第三条是系统目录和文件的异常变化,然后是程序的异常行为。
首先我们看系统或网络的日志文件,系统或网络的日志文件常会留下攻击者的踪迹,日志文件记录各类行为,每类日志包含不同的信息,比如用户活动类日志,通常会记录用户登录用户ID的改变,用户对文件的访问授权和认证信息等内容。不正常或不期望的行为往往就是攻击的痕迹,包括重复登录失败,登录到不期望的位置,以及非授权的企图访问重要文件等等的行为。
我们再来看系统目录和文件的异常变化,网络环境下,文件系统中的重要文件和私有数据文件经常是黑客修改或破坏的目标,这个目录和文件的不期望的改变,比如修改创建删除,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常会替换修改和破坏他们获得访问权的系统上面的文件。同时为了隐藏系统当中他们的表现及活动痕迹,会尽力去替换系统程序或者修改系统当中的日志文件。
我们再来看网络流量与程序的异常行为。网络流量当中蕴含了网络入侵的全部的数据和行为,网络流量是检测网络入侵的原始数据,程序的异常行为,入侵者常在入侵目标主机上面执行程序实现特定的操作和行为。一些程序的异常行为往往是入侵活动的这个反应。
10.3 入侵检测的信息分析
接下来我们来学习入侵检测的信息分析。
信息分析的方法主要有三类,一个是误用检测和异常检测,还有就是完整性分析。
在具体介绍三种分析方法之前,我们首先来看一下入侵检测的性能关键参数,一个是误报,误报就是错误的将正常的活动定义为入侵,或者将正常的活动识别为入侵。然后另外一个重要参数就是漏报,就是未能检测出入侵行为。这个入侵行为可以类比做医生看病,医生看病也有两个关键的参数,一个就是误诊,一个就是漏诊,与误报漏报类似。
我们首先来看误用检测模型,物用检测模型又叫做模式匹配,它是事先收集非正常操作的行为特征,然后建立入侵或者攻击的特征库,又叫做物用、模式数据库。然后建立好这个入侵特征库之后,有了入侵的特征库,就可以来监测用户或者系统的行为,将用户或者系统的行为与特征库当中的入侵特征来进行一一的匹配,又叫做指纹识别,从而发现当前用户或者系统的行为是否违背了安全策略,是否是入侵行为。一般来讲一种攻击模式可以用一个过程,比如执行一条指令或者一个输出,比如获得了权限来进行表示,该过程可以很简单,比如通过字符串的匹配,就可以寻找一条简单的指令或者条目,也可以很复杂。比如说要使用正规的数学表达式来表示安全状态的变化。
这里是误用检测模型的示意图,首先通过系统审计等等手段建立一个入侵的特征库,然后监测系统的行为,将系统或者用户的行为与入侵特征库当中的特征来进行模式匹配来进行比对。如果有命中的话,说明当前的系统或者用户的行为就是攻击行为,如果没有命中,没有指纹,可以跟当前用户和系统的行为进行匹配的话,就说明是一个正常的活动。
我们再来看误用检测模型的特点,误用检测模型的误报和漏报,这个误报就是入侵特征与正常用户的行为是匹配的,所以又会把正常的用户行为识别为入侵特征,这既是误报,而漏报是没有特征与某种新的攻击行为匹配,入侵检测系统就没有办法把这个新的攻击行为检测出来,这就是误用检测模型的漏报。误用检测模型能够明显的降低这个误报率,但是漏报率随之增加。然后另外就是入侵特征的细微变化,通常这些入侵行为然后发生了变异等等,会使得这个误用检测无能为力,因为它的特征变化了,但是入侵特征库当中的特征还没有变化,所以不能识别出来。
我们再来看异常检测模型,异常检测模型又叫做统计分析模型,这个模型事先给系统的对象,比如用户,文件目录设备等等,创建一个统计描述,统计上述系统正常使用时的测量属性的平均值和偏差,作为系统对象的正常轮廓,有了系统对象的正常轮廓,我们在检测时就当当前有了系统对象的正常轮廓,我们在检测时就将当前网络或者系统对象的行为与系统对象的正常轮廓进行一个比对。当这个系统对象的行为与正常轮廓有重大偏差的时候,也就是说这个当前的观察值在正常值的范围之外,就视为入侵,这个是异常检测模型的示意图,首先建立对象的统计轮廓,就是正常的行为轮廓,然后监测系统对象的行为,将这个实际监测的行为与这个正常的轮廓进行一个比对。如果没有超过一个基线的话,它就是一个正常的行为,如果超出了一个基线,就是入侵行为。
我们再来看异常检测模型的特点,异常检测模型的效率就取决于这个系统对象轮廓的完备性和监控频率,这种检测模型它只需要定义系统或者用户的正常行为轮廓,不需要对每一种入侵行为都进行定义,只要是非正常的行为,我们就把它视作入侵,因此这种模型它能够有效的检测位置入侵,这种模型还能够针对用户行为的改变,进行自我的调整和优化。当然这种模型它会随着检测模型的局,当然这种模型会随着另外就是随着检测模型的逐步精确,会消耗更多的系统资源。
我们再来看完整性分析,完整性分析主要关注某些文件或者对象的完整性,常常包括文件目录及对象的内容及属性。完整性分析与前面介绍的消息认证比较类似,消息认证关注的是消息的完整性,正常情况下面,这些文件对象它的内容及属性是不变的,一旦发生了改变,就意味着有入侵发生。完整性分析在发现被更改的被安装木马的应用程序方面特别有效,它往往用于事后的分析,通常要利用哈希函数来检测文件目录及对象他们的完整性。
10.4 入侵检测的结果处理
我们再看入侵检测的结果处理。
入侵检测的结果处理主要是进行响应,响应方式上面可以分成这么三类,被动响应,温和的主动响应和这个严厉的主动响应。首先被动响应主要是对入侵行为进行一个记录和告警,比如说记录安全的事件产生报警信息,然后记录一些附件日志,然后激活附加的入侵检测工具,然后这个温和的主动响应,包括断开危险连接,格力入侵者禁止被攻击,隔离入侵者IP,禁止被攻击对象的特定端口与服务,禁止被攻击对象的特定端口和服务,隔离被攻击对象。严厉的主动响应,包括对攻击者进行一个告警,严重严厉的主动响应,包括警告攻击者,跟踪攻击者或者对攻击者进行攻击。这个主动的响应包括温和的主动响应和严厉的主动响应,往往需要与其他的安全产品进行一个交互和联动。
10.5 入侵检测的分类
接下来我们看一下入侵检测的分类.
可以从多个角度对入侵检测进行分类,包括检测的方法,数据的来源,系统架构和时效性。
首先我们来看一下检测的方法,检测的方法我们刚才前面已经介绍了,主要包括两大类,一类就是异常检测模型,另外就是误用检测模型,
我们刚才介绍的完整性分析往往是这两种模型的一个补充。我们再来看按照数据的来源,可以将入侵检测分为基于主机的入侵检测和基于网络的入侵检测。另外还有混合型的,基于主机的入侵检测,就是监控主机上面的活动,以主机作为保护目标,基于网络的入侵检测,它的数据来源就是网络当中传输的数据包,它可以保护网络的运行,它可以保护网络的运行。混合型的入侵检测,它的数据来源既包括来自主机的数据,又包括来自网络的数据。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vFF8FGZT-1687882270709)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image008.jpg)]
具体来看,基于主机的入侵检测,它监视的目标与数据来源都是这个主机,它会监视和分析主机的审计记录,然后还有操作系统或者应用的调用,然后这个检测,然后检查日志文件,文件系统的信息与网络连接。网络连接-主机的网络连接,该数据可在主机进行收集基于主机的入侵检测,可以不运行在被监控的主机上面,只要能够获得相应的数据,可以在其他的机器上面运行,然后来进行分析,结果处理也是也是可以的。另外从实时性的角度,然后能否及时的采集到.
再来看基于网络的入侵检测,基于网络的入侵检测,对网络通信的数据进行侦听采集数据,然后这种东西,然后这种入侵检测对主机资源消耗是比较少的,提供对网络的通用保护。它面临的一个挑战就是今天的网络的带宽越来越高,速度越来越快,我们在收集网络数据的时候,要适应这个高速的网络环境。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1Wp5e66H-1687882270710)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image010.jpg)]
这是基于主机和基于网络的入侵检测的对比,新两项,两相对比网络入侵检测它的侦测速度快,它可以快速的去捕获网络当中的数据包,隐蔽性也好,它可以采用旁路的方式去搜集这个数据包,然后视野更宽,它可以监控整个网络的这个数据,监控整个网络当中的所有主机的安全状况,然后可以使用较少的监测器,就可以收集网络当中的数据占用的主机资源少。而这个基于主机的入侵检测,它的视野比较集中,就集中在其中的某些主机上面,然后另外易于用户自定义,用户可以定义收集这个主机的哪个方面的数据,然后它的保护更加的周密,然后对网络流量不敏感。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3GwLfi2M-1687882270711)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image012.jpg)]
我们可以把这个然后从这个系统架构的角度,也就是入侵检测系统各模块的运行方式的角度,可以把入侵检测系统分为集中式和分布式,所谓集中式就是入侵检测系统,它的模块,包括前面介绍的收集的模块,数据分析的模块,结果处理的模块,集中在一台机器上面运行,这就是集中式,然后分布式就是这些系统的模块分别分布在不同的计算机或者网络设备上面。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S2kHcCfB-1687882270712)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image014.jpg)]
从时效性的角度,有这个脱机分析的,还有这个连机分析的,脱机分析就是入侵行为发生后,收集这个数据,然后进行分析,产生相应的结果。然后这个联机分析就是在数据产生的同时,或者在发生改变的时候进行分析,也就是在入侵正在发生的时候,就进行分析,产生相应的这个检测结果。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ryODapzk-1687882270714)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image016.jpg)]
接下来我们再来看入侵检测的部署,入侵检测的部署要看是哪种类型的这个入侵检测系统,如果是基于主机的入侵检测,就部署在要保护的主机上面,或者在要保护或者在要保护的主机上面收集相应的信息,然后在另外的主机上面进行相应的结果处理和分析。如果是网络入侵检测,它的位置就必须要能够过到所有的数据包,这个就要分网络环境了,这个网络环境就分为这个前面介绍的共享式的网络环境和这个交换式的网络环境。如果是分布式的结构,分布式的入侵检测,它通常分为了若干的声色,就是若干的数据探测器,还有就是一个肯受,然后一个控制端,那这个时候就需要把这个声色和这个 CTRL分别进行这个部署,嗯嗯这个是在共享式的网络环境当中使用Hub的这个网络当中。
10.6 入侵检测的部署
接下来我们来介绍一下入侵检测的部署,入侵检测的部署要是入侵检测的类型,不同类型它的部署的方案有所不同,
基于主机的入侵检测需要围绕被保护主机收集数据,所以通常基于主机的入侵检测部署,在被保护系统之上或者在它的周边,而基于网络的入侵检测,它的位置必须要能够捕获到所有的数据包,这个就需要视网络环境了。通常有前面介绍过的共享式的网络环境和交换式的网络环境,
分布式的入侵检测通常包含了若干的sensor,探测器和一个console控制台,sensor负责收集数据,console负责信息的分析和结果处理,我们就需要将分布式入侵检测的功能部件分别部署到合适的网络位置。
首先我们看共享式网络环境,共享式网络环境,使用Hub来进行组网,这个时候就只需要将入侵检测的深色接入到Hub的一个端口,它就可以监控整个网络的网络流量,只需要将入侵检测的深色接入到Hub的某一个端口,它就可以捕获到整个网络当中的数据。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G7k5Kowg-1687882270723)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image020.jpg)]
如果是交换式的网络环境,采用交换机进行组网,就需要将入侵检测的sensor接入到交换机的镜像端口,通过镜像端口就可以捕获整个网络当中的数据。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CRrCuhBy-1687882270726)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image022.jpg)]
我们再来看常见的入侵检测部署方案,网络通常会使用防火墙,前面介绍的防火墙典型的一种体系结构就是屏蔽子网的体系结构。防火墙位于内网和外网之间,然后将网络分成了三个区域,被保护的内部就是内网,然后在防火墙的外面就是外网,然后在防火墙的侧边就是非军事区,这个时候可以在这三个网络区域部署入侵检测,内部的入侵检测就监控内部的安全状况,而这个外部的这个入侵检测,它可以检测外部是否存在入侵,然后可以对内部的安全状况进行一个预警。然后非军事区的这个入侵检测,它可以检测非军事区提供外部服务的各种服务器,他们的安全状况。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-u6pK4f2N-1687882270727)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image024.jpg)]
10.7 入侵检测面临的问题和发展方向
下面我们来看一下入侵检测面临的问题和发展方向。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-da6tvUA0-1687882270729)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image026.jpg)]
首先我们看如今检测面临的问题,第一,入侵者方面,入侵者的入侵能力不断提高,他们研制了更多的攻击工具,使用更复杂精致的攻击手段,对更大范围的目标类型,此次攻击入侵者采用加密的手段传输攻击信息,使得信息的收集和信息的识别变得更加的困难。另外存在对入侵检测系统自身的攻击。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vSSvOF14-1687882270731)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image028.jpg)]
第二数据采集的问题,使用了交换机之后限制了网络数据的可见性,网络流量日益增长,导致检测分析的难度加大,高速网络环境导致很难对所有数据进行高效实施的收集和分析。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-29JTHlpE-1687882270733)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image030.jpg)]
第三就是标准化的问题,缺乏统一的入侵检测术语和框架,缺乏统一的入侵检测术语和概念框架,使得不同厂商的入侵检测产品难以协同和共享。第四,技术问题,入侵行为的判定非常困难,导致过高的误报率和错报率入侵行为的判定很困难,导致过高的漏报率和误报率,不适当的自动响应机制存在巨大的安全风险。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Nisg8ZK8-1687882270735)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image032.jpg)]
我们再来看入侵检测的发展方向,第一是更有效的集成各种入侵检测的数据源,从不同的系统传感器上面采集数据,提高检测和报警的准确率。第二是在事件的诊断当中结合人工分析,提高判断的准确性。第三,提高对恶意代码的检测能力。第四,采用一定的方法和策略来增强一种系统的互操作性和数据的一致性。第五是研制可靠的测试和评估标准。第六是提供更高级的攻击行为分析,如分布式攻击,拒绝服务攻击等的检测手段。
10.8 入侵防护系统
下面我们介绍入侵防护系统。
(1)入侵防护系统又叫做IPS,我们前面介绍的入侵检测系统,IPS主要是对入侵的发现,它的响应通常是以告警为主,它的响应通常是以告警为主,尤其是网络入侵检测,难以对难以对入侵进行干预,(2)IPS本质上是防火墙和入侵检测技术的结合,入侵检测负责发现入侵,而防火墙负责对入侵进行干预。(3)Ips通常位于网络的主干位置,一般以透明网关的形式存在,所有进出的流量都需要通过IPSIDIPS基于IDs发现并且阻断入侵,实现对入侵的防护,它使用IDs对数据包进行分析,对高层应用协议数据进行重组与协议追踪,对高层应用协议的数据进行重组和协议追踪,处理存在问题的数据包,并且关闭相应的连接。
我们来看一下IPS的优点,它的优点就是发现并且实时的阻断网络攻击,它可以隐蔽数据的检测,对通信的双方它是透明的,另外就是IPS它位于网络主干,它避免被绕开,它是一种透明的模式,不会对网络拓扑造成影响。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cfW4Dib4-1687882270736)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image034.jpg)]
我们来看一下IPS的不足,第一个就是它的分析的效率低,无法适应高速网络环境。然后第二就继承了IDs误报漏报的问题,容易造成正常网络通信的影响。为了减少这个误报漏报可能就会增加。然后第三,同样它也没有办法检测加密的数据。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-buFmAui2-1687882270738)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image036.jpg)]
原创声明
=======
作者: [ libin9iOak ]