入侵检测（IDS）的原理、检测及防范.pdfVIP

⼊侵检测（IDS）的原理、检测及防范 ⼀、原理及功能 ⼊侵检测技术（IDS）是⼀种主动保护⾃⼰免受攻击的⼀种⽹络安全技术。作为防⽕墙的合理补充，⼊侵检测技术能够 帮助系统对付⽹络攻击，扩展了系统管理员的安全管理能⼒（包括安全审计、监视、攻击识别和响应），提⾼了⽹络安 全基础结构的完整性。⼊侵检测系统在防⽕墙之后对⽹络活动进⾏实时检测。许多情况下，由于可以记录和禁⽌⽹络活 动，所以⼊侵检测系统是防⽕墙的延续。它们可以和防⽕墙与路由器配合⼯作。 IDS扫描当前⽹络的活动，监视和记录⽹络的流量，根据定义好的规则来过滤从主机⽹卡到⽹线上的流量，提供实时报 警。⽹络扫描器检测主机上先前设置的漏洞，⽽ IDS 监视和记录⽹络流量。如果在同⼀台主机上运⾏IDS和扫描器的 话，配置合理的IDS会发出许多报警。 ⼀般来说，⼊侵检测系统可分为主机型 （HIDS）和⽹络型 （NIDS）。 主机型⼊侵检测系统往往以系统⽇志、应⽤程序⽇志等作为数据源，当然也可以通过其他⼿段 （如监督系统调⽤）从所 在的主机收集信息进⾏分析。主机型⼊侵检测系统保护的⼀般是所在的系统。 ⽹络型⼊侵检测系统的数据源则是⽹络上的数据分组。往往将⼀台机⼦的⽹卡设于混杂模式 （Promisc Mode），监听 所有本⽹段内的数据分组并进⾏判断。⼀般⽹络型⼊侵检测系统担负着保护整个⽹段的任务。 具体说来，⼊侵检测系统的主要有以下功能。 （1）监测并分析⽤户和系统的活动。 （2）核查系统配置和漏洞。 （3）评估系统关键资源和数据⽂件的完整性。 （4）识别已知的攻击⾏为。 （5）统计分析异常⾏为。 （6）操作系统⽇志管理，并识别违反安全策略的⽤户活动。 ⼆、IDS的弱点和局限 1、针对IDS的⽹络局限 （1）⽹络拓扑局限 对于⼀个较复杂的⽹络⽽⾔，通过精⼼地发包，可以导致NIDS与受保护的主机收到的包的内容或者顺序不⼀样，从⽽ 绕过NIDS的监测。 （2）其他路由 由于⼀些⾮技术的因素，可能存在其他路由可以绕过NIDS到达受保护主机（例如某个被忽略的Modem，但Modem旁没 有安装NIDS）。如果IP源路由选项允许的话，可以通过精⼼设计IP路由绕过NIDS。 （3）TTL 如果数据分组到达 NIDS 与受保护的主机的 HOP 数不⼀样，则可以通过精⼼设置 TTL值来使某个数据分组只能被NIDS 或者只能被受保护的主机收到，从⽽使NIDS的Sensor与受保护主机收到的数据分组不⼀样，从⽽绕过NIDS的监测。 （4）MTU 如果NIDS的MTU与受保护主机的MTU不⼀致的话（由于受保护的主机各种各样，其MTU设置也不⼀样），则可以精⼼ 设置MTU处于两者之间，并设置此包不可分⽚，使NIDS的Sensor与受保护主机收到的数据分组不⼀样，从⽽绕过NIDS 的检测。 （5）TOS 有些⽹络设备会处理TOS选项，如果NIDS与受保护主机各⾃连接的⽹络设备处理不⼀样的话，通过精⼼设置TOS选 项，将会导致NDIS的Sensor与受保护主机收到的数据分组的顺序不⼀样，于是有可能导致NIDS重组后的数据分组与被 保护主机的数据分组不⼀致，从⽽绕过NIDS的监测（尤其在UDP包中）。 2、针对IDS的检测⽅法局限 NIDS 常⽤的检测⽅法有特征检测、异常检测、状态检测、协议分析等。实际中的商⽤⼊侵检测系统⼤都同时采⽤⼏种 检测⽅法。 NIDS不能处理加密后的数据，如果数据在传输中被加密，即使只是简单的替换，NIDS也难以处理，如采⽤SSH、 HTTPS、带密码的压缩⽂件等⼿段，都可以有效地防⽌NIDS的检测。 NIDS难以检测重放攻击、中间⼈攻击、对⽹络监听也⽆能为⼒。 ⽬前的NIDS还难以有效地检测DDoS攻击。 （1）系统实现局限 由于受NIDS保护的主机及其运⾏的程序各种各样，甚⾄对同⼀个协议的实现也不尽相同，⼊侵者可能利⽤不同系统的 不同实现的差异来进⾏系统信息收集 （如Nmap通过TCP/IP指纹来进⾏对操作系统的识别）或者进⾏选择攻击，由于 NIDS不⼤可能通晓这些系统的不同实现，故⽽可能被⼊侵者绕过。 （2）异常检测的局限 异常检测通常采⽤统计⽅法来进⾏检测。 统计⽅法中的阈值难以有效确定，太⼩的值会产⽣⼤量的误报，太⼤的值会产⽣⼤量的漏报，例如系统中配置为200个/ 秒半开TCP连接为SYN_Flooding，则⼊侵者每秒建⽴199个半开连接将不会被视为攻击。 异常检测常⽤于对端⼝扫描和 DDoS 攻击的检测。NIDS 存在⼀个流量⽇志的上限，如果扫描间隔超过这个上 限，NIDS将忽略掉这个扫描。尽管NI