先决条件–
- 入侵检测系统(IDS)
- 入侵防御系统(IPS)
IDS代表入侵检测系统(IDS) 。
它是监视网络或系统是否存在恶意活动或违反策略的设备或软件应用程序。入侵检测和防御有六种基本方法。其中一些方法是在各种软件包中实现的,其他方法只是组织可以用来减少成功入侵的可能性的简单策略。从历史上看,首次开发ID时,Hub经常使用。
如今,使用交换器而不是集线器,因为在数据包从其源网络到达其目标网络(通过其目标IP地址路由)之后,有了集线器,它最终到达了目标所在的网段。到达最后一段后,使用MAC地址查找目标。
该网段上的所有计算机都可以看到数据包,但是由于目标MAC地址与其网络接口卡的MAC地址不匹配,因此它将忽略数据包。在某个时候,企业个人意识到,如果他们只是选择不忽略不是发往其网卡的数据包,则可以看到该网段上的所有流量。换句话说,可以查看该网段上的所有数据包。因此,包嗅探器诞生了。在那之后,想法开始分析这些数据包以寻找攻击迹象只是时间问题。从而产生了入侵检测系统。
入侵检测和预防方法:
1.先发制人的阻止:
也称为放逐警戒。它试图防止入侵发生之前发生。
通过观察即将到来的威胁的任何危险标志,然后阻止这些标志所源自的用户或IP地址,可以完成上述方法。
例子 –
该技术包括尝试检测即将到来的入侵的早期足迹,然后阻止作为足迹活动来源的IP或用户。如果管理员发现特定IP地址是频繁进行端口扫描和对其系统进行其他扫描的来源,则他们将在防火墙处阻止该IP地址。
上面的入侵检测和避免可能非常复杂,有可能错误地阻止合法用户。复杂性源于将合法流量与表示即将发生的攻击的流量区分开来。这可能会导致误报的问题,其中系统错误地将合法流量识别为某种形式的攻击。
- 软件系统仅会警告管理员发生了可疑活动。然后,人工管理员会决定是否阻止流量。
- 如果软件自动阻止它认为可疑的任何地址,则可能会阻止合法用户。
- 还应注意,没有任何东西可以阻止冒犯性的用户移动到其他计算机上继续进行攻击。
- 这种方法应该只是整体入侵检测策略的一部分,而不是整个策略。
2.异常检测:
- 它涉及实际的软件,该软件可以检测入侵尝试,然后通知管理员。
- 总体过程很简单,系统会查找任何异常行为。将记录并记录任何与正常用户访问模式不匹配的活动。该软件将观察到的活动与预期的正常使用情况进行比较。
- 配置文件通常是为特定用户,用户组或应用程序开发的。与正常行为的定义不匹配的任何活动均被视为异常并被记录。
- 有时上述情况称为“回溯”检测或“回溯”过程。我们能够确定从何处发送此数据包。
检测异常的特定方式包括:阈值监视,资源分析,用户/组工作分析和可执行分析。这些解释如下。
3.阈值监控:
阈值监视可预设可接受的行为级别,并观察是否超过了这些级别。这可能包括诸如失败登录尝试的有限次数之类的简单事件,或诸如监视用户连接时间和用户数据下载量之类的复杂事件。
阈值监视提供可接受行为的定义。
仅通过阈值限制来表征侵入行为可能会有些挑战。通常很难建立适当的阈值或检查这些阈值的适当时间范围。这会导致较高的误报率,在这种误报率中,系统会将正常使用误认为是可能的攻击。
4.资源分析:
它测量系统范围内的资源使用情况,并开发历史使用情况配置文件。读数异常可能表明正在进行的非法活动。可能难以解释整个系统使用情况变化的含义。
使用量的增加可能只是表明某种有益的事情,例如工作流程的增加,而不是试图破坏安全性。
5.用户/小组工作分析:
在此,IDS维护有关用户和组的个人工作资料。这些用户和组应遵守这些个人资料。当用户更改他/她的活动时,他/她的预期工作资料将更新以反映这些更改。一些系统试图监视短期和长期概况之间的相互作用。
短期配置文件记录了近期变化的工作模式,而长期配置文件则提供了较长时间的使用情况视图。
但是,可能难以描述不规则或动态的用户群。定义得太宽的配置文件会使任何活动都无法通过审核,而定义得太窄的配置文件可能会妨碍用户的工作。
6.可执行的分析:
可执行的概要文件试图测量和监视程序如何使用系统资源,尤其要注意那些始终可以跟踪到特定原始用户活动的程序。
示例–系统服务通常无法跟踪到特定用户启动它们。
病毒,特洛伊木马,蠕虫,轻敲门和其他软件攻击可通过分析用户和其他系统使用者通常如何正常使用文件和打印机等系统对象来解决。
如果病毒继承了用户执行软件的所有特权。软件不受最低特权原则的限制,而仅受适当执行所需特权的限制。这种开放性体系结构允许病毒秘密更改并感染系统的完全不相关的部分。
可执行的性能分析使IDS能够识别可能表示攻击的活动。一旦识别出潜在的危险,通知管理员的方法(例如通过网络消息或电子邮件)特定于各个IDS。