***检测概念理论

时间 2020-01-02

标签检测概念理论繁體版

原文原文链接

***检测数据库

***检测系统（intrusion detection system）是一种自动检查审计日志与实时系统时间的产品。IDS主要用于检测***企图，可是也能够部署用于检测系统故障或评价系统整体性能。IDS监测着违反机密性、完整性和可用性的行为。IDS的目标是提供***行为的行为人责任，而且可以在短期内对***作出准确的响应。IDS识别的***可能来自外部链接（如Internet或合做伙伴的网络）、病毒、恶意代码、可信内部主体的未受权活动企图、来自可信地址的未受权访问企图。IDS被视为一种技术检测安全控制形式。安全

IDS可以主动件事可疑活动、仔细查看审计日志，而且在发现特定时间时向系统管理员发送警报。IDS还可以锁定重要的系统文件或操做能力，跟踪有组织的***企图，指出脆弱性，肯定***的发源点，追踪到违规者的逻辑或物理位置。此外，IDS也可疑终止或中断***或***企图，而且可以经过从新配置路由器和防火墙来阻止已发现***的重复***。经过在屏幕上显示会播放声音的通知（最多见的方式）、发送电子邮件通知、发送警报短信或者日志文件中记录相应信息，就能够发送或通知IDS警报。服务器

以下所示，IDS的响应能够是主动的、被动的或者混合的：网络

主动响应直接影响网络通讯或主机应用程序的恶意活动。ide

被动响应并不影响恶意活动，可是记录问题的相关信息并通知管理员。工具

混合响应中止不但愿的活动，记录时间的相关信息，甚至可能通知管理员。布局

一般，IDS用来检测来自可信网络内外的未受权或恶意活动。IDS阻止当前***或预防将来***的能力是有限的。通常而言，IDS可疑抵御***的响应方式包括封锁端口、封锁源地址以及禁用特定线路段的所用通讯。一旦发现异常的通讯（例如欺骗的通讯数据）或者违反其安全策略、过滤器、规则的状况，IDSjiuhui在日志中记录问题的细节，随后删除或丢弃相关的的数据包。性能

IDS应当被做为设施完善的安全工做中的一个独立组件来保护网络安全。IDS与防火墙是互补的安全工具。此外，其余安全控制（例如物理限制和逻辑性访问控制）也是必不可少的组件（有关这些控制的讨论，请参见第1章）。学习

***预防要求对整个系统安全进行适当的维护，例如应用补丁程序和设置安全控制。***预防还涉及经过创建防御对IDS发信的***作出响应，从而阻止相同的***在将来重复发生。作到***预防能够像更新软件或从新配置访问空盒子同样简单，也能够像从新配置防火墙、删除或更换应用程序或服务、从新设计整个网络同样作到有力度。测试

检测到***行为时，最初的响应是抑制***。***抑制可以防止对其余相同形成更多的破坏，可是也可能容许已受危害的相同仍被继续侵扰。稍后，一旦从头开始重构已受危害的系统，必须确保在从新链接网络与重构相同以前复核其是否遵循安全策略，包括检查ACL、服务配置与用户账户设置。咱们应当认识到：若是从新建立系统，那么之前的系统和任何***痕迹都再也不保留。

警告：主动反击***者或者主动尝试反*********者的计算机相同被视为是缺少职业道德的和冒险的行为。此时，咱们应当依赖于日志记录能力和糗闻收集工做，从而为起诉罪犯或只是响应改善系统环境安全性提供足够多的数据。

IDS类型与分类为每一个系统定义了职责范围与功能角色。在为IDS定义的各类类型与分类中存在足够的互补元素，经过组合使用两个或多个IDS系统就可以再网络中实现一个共同的目标。

***检测--主机型与网络型IDS

IDS类型通常根据信息来源进行分类。目前主要有两类IDS：主机型与网络型。主机型（host-based）IDS监视单个计算机系统霍桑的可疑活动，网络型（network-based）则监视再网络介质上进行的可疑活动。

1. 主机型IDS

由于主机型IDS主要关注单个计算机（而网络型IDS必须监控整个网络上的活动），因此它比网络型IDS检测到的事件信息更详细。主机型的IDS可以准确的发现危及系统安全的或者恶意用户执行未受权活动所用的文件和进程。

主机型IDS可以检测到网络型IDS不能发现的异常活动。不过，主机型IDS没法检测到只针对网络的***或其余系统上的***。由于主机型IDS被安装在受监控的计算机上，因此***者可以发现IDS软件并使之失去做用，或者经过操纵IDS软件来隐藏***者的痕迹。主机型IDS在检测和跟踪到拒绝服务（denial-of-sevice,DoS）***方面（尤为是带宽占用情况）有一些困难。主机型IDS也会消耗来自受监控计算机的资源，所以下降了系统的性能。主机系统和应用程序的审计性能会对主机型IDS造成限制。

主机型IDS的管理成本远远高于网络型IDS。主机型IDS须要在受监控的每台服务器上进行安装，而且须要在管理方面关注每一个安装点；网络型IDS一般只须要单个安装点。主机型IDS还具备其余弱点，例如可能致使主机系统的性能显著降低、更能容易被***者发现或禁用。

2. 网络型IDS

网络型IDS经过捕获和评估网络数据包来检测***或异常事件。若是被安装在网络主干上（大多数网络数据流经的地方），单个网络型IDS就可以监控一个大型网络。某些版本的网络型IDS使用远程代理收集来自不一样子网的数据，而且向中央管理控制平台报告。网络型IDS被安装在具备惟一用途的计算机之中，这使得它们在对抗***时更有力度，减小了IDS的脆弱性，而且容许IDS在秘密行动模式下运行。在秘密行动模式中，IDS对于网络来讲是不可见的，***者只有知道了IDS的准确位置与系统的表示才可以发现它。网络型ＩＤＳｄｕｉ整个网络的性能几乎没有负面影响，这是由于它古树在具备惟一用途的系统中，因此不会对其余计算机的性能插上任何不利影响。

在通讯量很是大的网络上，网络型IDS没法及时分析数据流，这可能会致使IDS没法检测到高数据流量状况下发生的***。网络型IDS一般在交换网络中收效甚微，在路由器没有监控端口的状况下，尤为如此。网络型IDS被用于监控数据流的内容是否在网络介质的传输过程当中被加密。网络型IDS一般可以检测到***的发起或持续不断的***企图（包括DOS），可是却没法提供***是否成功的信息或者哪些特定系统、用户账户、文件或应用程序受到影响的相关信息。

不少状况下，经过执行逆向地址解析协议（Reverse ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎ Protocol，ＲＡＲＰ）或域名系统（Domain Name System， DNS）查找，网络型IDS可以提供有限的功能来发现***的来源。然而，由于绝大多数***由经过欺骗假装身份的恶意***者发起，因此这种方式并不是老是可靠的。

IDS应当被视为惟一不变的安全解决方案。对于整个环境来讲，IDS只是全面安全解决方案的一部分。尽管IDS可以提供许多有点，可是也须要考虑到它的一些不足之处。若是主机系统工做时间过长而且为IDS进程分配的执行时间不足，那么主机型DISC就没法查看全部细节。若是网络流量太高而且IDS没法及时有效的处理数据包，那么网络型IDS也会遇到相同的问题。此外，网络型IDS还没法查看被加密数据的内容。若是没有被放置在镜像端口（mirrored port，也就是一个专门配置为将全部数据发送至IDS的端口），因为没法查看全部网络数据，所以在交换网络中，网络型IDS并非一种有效的网络范围解决方案。IDS最开始可能会产生许多错误的警报，它须要在持续的基础上才能进行有效的管理。

提示：交换网络每每可以预防糗闻器的***，在IDS与交换机相连时，若是没有配置交换机镜像全部通讯数据，那么IDS只能访问不多一部分网络通讯数据。不过许多***类型（例如MAC或ARP洪泛***）可以使交换机默认进入hub模式，从而使***者具备访问全部数据的权限（同时也会显著下降网络的效率与吞吐量）。

***检测--知识型与行为型检测、

IDS能够经过两种经常使用的方法来检测恶意的事件，其中一种方法使使用知识型检测（knowledge-based detecton），这种方法也被称为特征型检测（singneture-based detecton）或者模式匹配检测（pattern-matching detecton）。基本上，IDS会使用一个特征数据库，而且尝试匹配全部被监控的事件与数据库内容。若是时间按匹配pipeiinamIDS就认定***正在进行（或已经发生）。IDS供应商经过分析和检查不一样系统上的多种***事件绘制了一张可疑事件表格，其结果使常见***方法或行为的描述或特征（signatrure）。IDS使用的知识型检测功能与许多反病毒应用程序几乎彻底相同。

知识型IDS的主要缺点使只对已知的***方法有效。知识型IDS没法识别新的***或者已知***的细微变化形式，这意味者知识型IDS缺乏学习模型，也就是说在没法识别新***模式的发生。所以，这种IDS类型只有在特征文件正确和最新的时候才会有做用。保持特征文件始终使最新的，这是维持知识型IDS性能最佳的一个重要方面。

第二中间的类型是行为型检测，也被称为统计***检测（statistical intrusion detection）、异常检测（anomaly detecton）或启发型检测（ｈｅｕｒｉｓｔｉｃｅ－based detection）。基本上，行为型检测经过监视和学习来找出系统上正常活动和事件的相关信息。IDS就能起到像人类专家同样的做用。为行为型IDS提供的与正常行为和事件有关的信息越多，它对异常事件检测的精确度就越高。

行为型IDS的主要缺点使会生成许多错误的警报。用户和系统活动的着呢刚才模式可以在很大范围内变化，所以定义正常的或可接受的活动十分困难。安全检测系统产生的虚假警报越多，安全系统管理人员越不可能予以足够的关注，正如寓言故事中那个总喊“狼来了”的男孩同样。随着时间的推移，IDS会变得更为有效和准确，可是学习的过程血药花费至关长的时间。使用已知行为、活动统计数据以及针对先前事件对当前事件进行启发式评估，行为型IDS就可以检测到为预见到的、新的、未知的漏洞（Vulnerability）、***和***方法。

尽管知识型和行为型检测方法有所差异，但二者都使用了警报信号系统。当识别或检测初***的时候，就会触发警报。警报系统能经过电子邮件或弹出消息来通知系统管理员，或者经过执行脚原本发送ingbao消息。处理给系统管理员发出通知以外，警报系统还能把警报消息记录到日志与审计文件中，而且还生成违规报告，违规报告详细说明了检测到的***行为和发现的漏洞。

***检测--与IDS相关的工具

***检测系统一般与其余一些组件一块儿使用。这些与IDS相关的工具扩展了IDS的用途和能力，而且是IDS更加有效和减小误报。这些***包括蜜罐、填充单元和脆弱性扫描程序，接下来咱们会逐一进行介绍。

2.3.1 理解“蜜罐”

蜜罐（honey pot）是专门穿件的单台计算机或整个网络，可以做为诱捕***者的陷阱。蜜罐看上去像是一个合法的网络，但它们彻底是伪造的。经过包含没有安装补丁和没有进行安全包含的脆弱性，而且驻留有吸引力的、诱人的但倒是伪造的数据，蜜罐可以引诱***者。蜜罐被设计用于吸引***者的注意力，并引导它们进入已受到限制的地点，从而让它们原理合法的网络和机密的资源。合法的用户不会进入蜜罐，蜜罐系统汇总不存在真是的数据或有用的资源。英雌，检测到对蜜罐的访问时，访问每每可能来自未经受权的***者。部署蜜罐可以使***者登录陷阱网络并有足够长的时间执行恶意的活动，目的是为了让自动化的IDS检测到***并尽量多的收集***者的相关信息。蜜罐吸引***者注意力的事件越长，系统管理员就会有更多的时间来调查研究***，而且可能识别初***者的身份。

注意：蜜网（honey net）是两个或多个互连的蜜罐，这些蜜罐协调使用，从而监控或重建更大的、更多样的网络结构。在某些时候，蜜网可以对***检测系统产生促进做用。

蜜罐的使用引出来有关引诱（enticement）和诱捕（entrapment）问题的讨论。若是***者不是在蜜罐全部者对外公开时发现蜜罐，那么蜜罐就可疑做为合法的引诱设备使用。在Internet上放置一个安全脆弱性开放的系统并用抑制的方法激活服务就是引诱。提够了从事非法或未受权活动的机会可是犯罪者本身决定是否执行活动，这就称为引诱。当蜜罐的全部者积极的挑拨访问者访问蜜罐所在站点，而后控诉访问者的未受权***，这就是非法的诱捕。换句话说，当你哄骗或怂恿犯罪者执行非法的或未经受权的活动时，就应该考虑到这是诱捕。

2.3.2 理解填充单元

填充单元（padded cell）系统与蜜罐相似，但它使用不一样的方式来隔离***。当***者被IDS检测到的时候，***者被自动的转移到一个填充单元。填充单元具备实际网络的结构和布局，可是在填充单元里，***者既不能执行任何恶意的活动，也不能访问任何机密数据。

填充单元是一个模拟环境，经过提供伪造数据来提供伪造数据来吸引***者的兴趣。将***者转移到填充单元时，并不会告知如骑着环境已经发生变化。与蜜罐同样，填充单元系统被严密监控，而且被系统管理员用于为进行跟踪和可能发生的诉讼收集证据。

2.3.3 理解漏洞扫描程序

漏洞扫描程序（Vulnerability scanner）是另一种与IDS有关的***。脆弱性扫描程序用于测试系统中已知的安全脆弱性和弱点，而且可以生成报告，报告中指出系统中血药设法改善安全性的区域或方面。报告中能够建议应用补丁程序、经过特定配置或更改安全设置来改善或增强安全性。

只有在其安全问题数据库起做用的时候，脆弱性扫描程序才会有做用。所以，供应商必须常常更新安全问题数据库，从而提供有用的、与特定系统有关的审计信息。配合使用脆弱性扫描程序与IDS，能够帮助减小IDS的误报，而且是总体***或安全违规的总数维持在最小限度。经过快速和常常修补被发现的脆弱性，系统可以提供一个更加安全的环境。

***防护系统（intrusion prevention Systems，IPS）是IDS概念的延伸，这种系统设法主动阻止出现的未受权链接企图或非法通讯模式。对应于IDS，IPS被设计为相同的类型（主机型和网络型）和分类（行为型和特征型），而且两者常常被一块儿部署在整个网络范围内。此外血多IPS平台可以经过解析高级的应用程序来查找恶意的载荷