信息安全导论 第八章 入侵检测技术
目录
一、入侵检测系统概述
二、入侵检测技术
三、入侵检测系统实例
1. Snort简介
2. Snort架构
3. Snort规则示例
4. 检测流程
四、入侵防御系统
1. IPS vs. IDS
2. IPS分类
3. IPS核心技术
4. IPS优势
5.总结
一、入侵检测系统概述
-
定义
- 检测、识别和隔离对系统资源的非授权操作(入侵行为)。
- 核心功能:
- 数据采集(事件产生器):收集日志、网络流量等数据。
- 分析检测(事件分析器):判断行为是否异常或违规。
- 响应(响应单元):报警、阻断连接或联动防火墙。
- 存储(事件数据库):记录事件数据。
-
分类
类型 数据来源 优点 缺点 HIDS(主机型) 主机日志、系统资源 深度分析,支持加密环境,近实时响应。 依赖主机资源,平台受限。 NIDS(网络型) 网络流量(抓包) 独立于OS,成本低,可检测未遂攻击。 无法检测加密流量,交换网络配置复杂。 DIDS(分布式) 混合HIDS和NIDS数据 覆盖范围广,综合性强。 架构复杂,管理难度高。 -
部署位置
- 网络边界(检测外部攻击)。
- 关键服务器(监控对外服务)。
二、入侵检测技术
-
误用检测(基于特征)
- 原理:匹配已知攻击特征库(如病毒签名)。
- 技术:专家系统、特征分析、模型推理等。
- 优点:误报率低。
- 缺点:无法检测未知攻击。
- 实例:检测HTTP请求中的恶意路径(如
/scripts/..%c1%9c../cmd.exe)。
-
异常检测(基于行为)
- 原理:建立正常行为模型,偏离即报警。
- 技术:统计分析、神经网络、数据挖掘等。
- 优点:可检测未知攻击。
- 缺点:误报率高(如正常行为被误判)。
- 实例:暴力破解(短时多次
user/pass尝试触发报警)。
三、入侵检测系统实例
1. Snort简介
- 定位:轻量级、开源的基于网络的入侵检测系统(NIDS)。
- 特点:
- 跨平台(Windows/Linux等),支持实时流量分析。
- 基于误用检测(规则匹配),可扩展插件检测新威胁。
- 遵循GPL协议,免费且社区支持强大。
2. Snort架构
| 模块 | 功能 |
|---|---|
| 数据包解码器 | 解析协议(如TCP/IP、HTTP),预处理原始数据包。 |
| 检测引擎 | 核心模块,通过二维链表存储规则,匹配流量与规则库。 |
| 日志/报警系统 | 记录攻击日志或触发报警(如发送邮件、联动防火墙阻断)。 |
3. Snort规则示例
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 ( msg:"WEB-IIS scripts access"; content:"/scripts/"; sid:498; rev:4;
)- 动作:
alert(报警)、log(记录)、pass(忽略)。 - 协议:支持TCP/UDP/ICMP等。
- 选项:
content(匹配内容)、msg(报警描述)、sid(规则ID)。
4. 检测流程
- 数据包捕获:监听网络流量。
- 协议解析:解码数据包头部和载荷。
- 规则匹配:逐条比对规则库,触发报警或记录。
四、入侵防御系统
1. IPS vs. IDS
| 特性 | IDS | IPS |
|---|---|---|
| 工作模式 | 被动检测并报警 | 主动阻断攻击(如丢弃恶意包)。 |
| 部署位置 | 旁路监听 | 串联部署(如网关)。 |
| 延迟影响 | 无网络延迟 | 可能引入少量延迟。 |
2. IPS分类
| 类型 | 描述 | 应用场景 |
|---|---|---|
| HIPS | 监控主机系统调用、文件修改等,防御本地攻击。 | 保护关键服务器(如数据库)。 |
| NIPS | 分析网络流量,实时阻断DDoS、SQL注入等。 | 部署在网络边界(如防火墙后)。 |
| 应用IPS | 专防Web层攻击(XSS、CSRF)。 | Web服务器防护。 |
3. IPS核心技术
- 深度包检测(DPI):分析数据包内容(如HTTP请求中的恶意代码)。
- 行为分析:识别异常流量模式(如暴力破解的频繁登录尝试)。
- 联动响应:与防火墙协同动态更新规则。
4. IPS优势
- 实时防御:减少“检测-响应”时间差。
- 多层次防护:结合访问控制(防火墙)和风险控制(IDS)
5.总结
- IDS是安全体系的“摄像头”,侧重监测与报警;IPS是“智能门禁”,主动阻断攻击。
- Snort是规则驱动的NIDS代表,适合已知攻击检测;IPS弥补IDS的被动性,但需权衡性能与误报。
- 防御体系:防火墙(访问控制) + IDS(风险监测) + IPS(风险阻断) = 纵深防御。