【网络基础架构安全】入侵检测与防御系统

入侵检测与防御概述

入侵是指在未经授权的情况下，对信息系统资源进行访问、窃取和破坏等一系列使信息系统不可靠或不可用的行为。常见的入侵方式包括大众熟悉的木马、蠕虫、注入攻击、僵尸网络、DDoS攻击、跨站脚本攻击、暴力破解等。

入侵检测介绍

入侵检测概念：通过监视各种操作，分析，审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的动态的安全防御技术

入侵检测系统（IDS）：用于入侵检测的所有软硬件系统，发现有违反安全策略的行为或系统存在被攻击的痕迹，立即启用有关安全机制进行应对。

入侵检测系统分类

基于网络

监测速度快

隐蔽性好

视野更宽

较少的监测器

攻击者不易转移证据

操作系统无关性

入侵检测只能识别源地址和目的地址，不能识别地址是否伪造，难以定位真正的入侵者

入侵检测原理

入侵检测系统：检测任何损害或企图损害系统的保密性、完整性、可用性的一种网络安全技术

入侵检测系统系统结构：

数据提取

入侵分析

入侵响应

远程管理

入侵检测的技术实现

异常检测模型：首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵

误用检测模型：收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测

异常检测

异常检测说明：通过对系统审计的分析建立起系统主体（用户、组、主机、程序/文件）的正常行为特征轮廓，检测时，如果系统中的审计数据与已建立主体的正常行为特征有较大出入就认为是一个入侵行为、

轮廓建立：一般采用统计或基于规则描述的方法建立系统主机的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓

异常检测的特点：

建模模糊，技术难以实现

异常检测可发现未知的攻击方法，如0day

误用检测

误用检测说明：通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷间接违背安全规则的行为，来监测系统中的入侵活动，是一种基于已有的知识的监测

误用监测特点：容易实现、监测精准、升级容易、对新的、未知、潜在的入侵行为缺乏监测能力

入侵防御

入侵防御的介绍

入侵防御的概念：入侵防御是一种安全机制，通过分析网络流量，检测入侵行为。并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。入侵防御是钟既能发现又能阻止入侵行为的新安全防御技术，通过检测发现网络入侵后，能自动丢弃入侵报文或阻断攻击源，从而从根本上避免攻击行为

入侵检测与防御重要性

计算机网络中信息安全存在的问题计算机网络应用已经深入到社会以及人们生产生活的各个方面，网络技术发展日新月异，在教育、商业、金融等各单位机构都连入internet，基本实现了全社会信息共享。可是,近年来网上黑客的攻击事件频频发生，黑客活动几乎每年以近10倍的速度讯猛增长，同时给企业事业单位造成了重大损失。因此，确保计算机系统、网络系统及整个信息系统的安全就显得十分地重要。其中防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用，其主要作用是防止非法用户对网络的非法访问，通过监视、限制、更改进出网络边界的数据流，一方面屏蔽单位内部网络的拓扑结构，另一方面可以对禁止单位内部对外部危险站点访问，以防范外部黑客对单位内部网络的非法访问。但是由于防火墙性能的局限性，它不能提供实时的对网络入侵行为检测能力和防范单位内部用户非法访问。为了弥补防火墙存在缺陷，引入了入侵检测IDS(IntrusionDetection System)技术。把入侵检测技术作为防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测与防御类型

入侵检测与防御有软件和硬件的存在形式，可以使用纯硬件的，也可以使用纯软件的。

无论是硬件还是软件，其工作原理都是一样的，只是性能可能存在差异，另外就是一些高级功能会有差别。

硬件入侵检测与防御

系统类型：IDS可以基于检测入侵的方法、检测入侵的反应/响应方法、体系结构或虚拟机来分类

产品功能

识别黑客常用入侵与攻击手段。
　　入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被IDS捕获,向管理员发出警告。
　　2.监控网络异常通信
　　IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。
　　3.鉴别对系统漏洞及后门的利用
　　IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。
　　4.完善网络安全管理
　　IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能，可以进一步完善网络管理。

5.实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，把其对网络的入侵降到最低。

6.深层防护：由于新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等来确定哪些流量应该被拦截。

7.全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。

8.内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。

9.不断升级，精准防护：入侵防御特征库会持续的更新，以保持最高水平的安全性。