入侵检测基本概念与检测算法基础.docxVIP

入侵检测基本概念与检测算法基础 本文主要分为几个部分 入侵检测基本概念 入侵检测算法的理论研究发展 入侵检测算法的一种实现尝试 入侵检测基本概念 入侵检测是一种通过收集和分析被保护系统的信息，从而发现入侵的技术。它的主要功能是对网络和计算机系统进行实时监控，发现和识别系统中的入侵行为或企图，给出入侵警报 入侵检测攻防对抗的观点 要想完全避免安全事件的发生并不太现实，网络安全人员需要做的是尽力发现和察 觉入侵及入侵企图(即具有高度的异常敏感性)，从长远的角度来看，安全的问题本来就是一个互相攻防对抗的过程。 安全的攻防对抗没有一招解决所有问题的技术 好的攻防思路是部署一种尽可能敏感的攻击事件捕获机制，当发生了已知、或者未知的攻击的事件时，我们能第一时间获取到关于本次攻击的尽可能多的元数据(强大的入侵检测机制) 针对发生的攻击，采取针对性的防御，针对性地防御是最有效的方法(对 CMS 的漏洞进行针对性的代码修复、为系统的某个CVE 漏洞打上补丁) 在针对性防御的基础上，我们对一些解决方案进行归纳、总结，试图找到一种底层性的、归类性的安全解决方案(回想历史上微软的 DEP、ASLR、SAFESEH 技术) 采取有效的措施来堵塞漏洞和修复系统入侵检测的定义及分类 定义: 将入侵企图或威胁定义为未经授权蓄意尝试访问信息(SQL 注入、横向/纵向越权访问、非法下载数据库/日志信息)、窜改信息(挂黑链、SQL 注入)，使系统不可靠或不能使用(种植后门木马、webshell) 入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合(安全的三大 定义)  从分类角度指出入侵包括: 尝试性闯入(扫描行为) 伪装攻击(代理、跳板攻击) 安全控制系统渗透 泄漏 拒绝服务(DDOS) 恶意使用(僵尸网络、rootkit 后门) 分类: 入侵检测技术主要分成两大类型 异常入侵检测 能够根据异常行为和使用计算机资源情况检测出来的入侵，异常入侵检测试图用 定量方式描述可接受的行为特征，以区分非正常的、潜在的入侵性行。整个流程基本如下: 建立威胁模型，包括: 确定一个算法 监控哪些事件的发生 需要获取哪些数据 对获取到的数据进行怎样的计算 计算的结果的上线阈值是多少 当超过这个阈值的时候，需要采取什么操作，是直接报警、还是采取权重打分的机制 进行行为监控，并捕获数据 对捕获的数据进行异步、或实时计算 根据计算的结果采取相应的预设动作 误用入侵检测 误用检测是指: 根据己知的攻击方法，预先定义入侵特征，通过判断这此特征是否出现来完成检测任务。误用检测中使用的检测技术主要有：模式匹配、专家系统、状态转移 等，其中模式匹配 原理简单，可扩展性好，而且最为常用。据统计，现在大约 95%的入侵检测都是特征匹配的入侵检测 异常入侵检测和误用入侵检测的异同点 误用入侵检测根据己知的攻击方法，预先定义入侵特征，通过判断这此特征是否出现来完成检测任务 异常入侵检测是检查出与正常行为相违背的行为，异常入侵检测的核心就是对合法的行为和可疑的行为进行二值逻辑区分 我个人觉得 误用入侵检测更多的是一种针对性防御，根据已知的 POC、EXP 攻击特征，指定针对性的匹配规则，例如: WAF对 WEB 漏洞的URL 特征建立的阻断规则库 网络防火墙对DDOS 等攻击的流量模式建立规则库 杀软对已知病毒、shellcode 的二进制特征、API 调用特征建立规则库 而异常入侵检测更侧重于对已知、未知的异常行为进行捕获、判断，本文重点学习 异常入侵检测 异常入侵检测方法 异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集。理想状况是异常活动集与入侵性活动集等同，这样，若能检测所有的异常活动，则可检测所有的入侵性活动。但是，入侵性 活动并不总是与异常活动相符合，它们之间存在以下几种关系 异常且入侵性(黑客攻击) 异常但非入侵(误报) 非异常但入侵(漏报) 非异常且非入侵(正常业务操作，选择忽略) 异常入侵要解决的问题就是构造异常活动集，并从中发现入侵性活动子集 异常入侵检测方法依赖于异常模型的建立，不同模型构成不同的检测方法。异常检测就是通过观测到的一组测量值偏离度来预测用户行为的变化，然后作出决策判断的检测技 术，对此，学术界和企业界都提出了很多优秀的异常模型，在不同的场景下不同的异常模型的效果是打不相同的 我认为本质上来说，这也就一个误报、漏报的问题 我们可以通过文件行为监控，捕获所有的磁盘文件操作行为 (windows、；linux 都提供了相应的 callback 回调 API) 通过逆向机器学习、行为建模、阈值判断从所有的行为中过滤出: 用户正常操作 文件新建 管理员通过 FTP、SSH、RDP 登录后在 WEB 根目录下进行 单个文件的新建  管理员在进行文件单个、批量复