安全防御——IDS（入侵检测系统）

IDS介绍

IDS（intrusion detection system）入侵检测系统是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。
专业上讲IDS就是依照一定的安全策略，对网络、系统的运行状况进行实时监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

为什么需要IDS

打一个形象的比喻：假如防火墙是一幢大楼的防盗门和安全锁，那么IDS（入侵检测系统）就是这幢大楼里的监视系统。一旦有小偷通过爬窗进入大楼，或者内部人员有越界行为，实时监视系统就会发现情况并发出警告。

实用检测

实时地监视，分析网络中所有的数据报文

发现并实时处理所捕获的数据报文
1
2
3

安全审计

对系统记录的网络事件进行统计分析

发现异常现象

得出系统的安全状态，找出所需证据
1
2
3
4
5

主动响应

主动切断连接或与防火墙联动，调用其他程序处理
1

IDS的工作原理

IDS不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

IDS的工作过程

第一步：信息收集

收集的内容包括系统、网络、数据及用户活动的状态和行为。
 
 入侵检测利用的信息一般来自以下四个方面：
 系统日志：黑客经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是非常重要的
 
目录以及文件的异常改变：网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文 件和私有数据文件经常是黑客修改或破坏的目标

程序执行中的异常行为：网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程 序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一 到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控 制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望 的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行 分解，从而导致运行失败，或者是以非用户或非管理员意图的方式操作

物理形式的入侵信息：这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理 资源的未授权访问

第二步：数据分析

一般通过三种技术手段进行分析： 模式匹配， 统计分析和完整性分析。 其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。
模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较，从而发现违背安全策略的行为

统计分析 ：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值如果超过了正常值范围，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应 用户正常行为的突然改变。

完整性分析：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和 目录的内容及属性，它在发现被修改成类似特洛伊木马的应用程序方面特 别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是有入侵行为导致了文件或其他对象的任何改变，它都能够发现。缺点是 一般以批处理方式实现，不用于实时响应。

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失。

IDS的主要检测方法

1、模式匹配（误用检测）

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化。

模式的表示方式：

（1）一个过程—如通过字符串匹配以寻找一个简单的条目或指令并执行

（2）一个输出—如获取权限

优点：只需收集相关的数据集合，显著减少系统负担且技术已相当成熟，检测准确度和检测效率高

缺点：需要不断的升级以对付不断出现的异常攻击手法，不能检测到从未出现过的黑客攻击手段

关键问题

要识别所有的攻击特征，就要建立完备的特征库
特征库要不断更新
无法检测新的入侵
1
2
3

2、统计分析（异常检测）

统计分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生

方法：创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）

优点：可检测到未知的入侵和更为复杂的入侵

缺点：误报、漏报率高，且不适应用户正常行为的突然改变，具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法等正在研发中的

关键问题

“正常”行为特征的选择
统计算法、统计点的选择
1
2

3、完整性分析（异常检测）

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制（签名），称为消息摘要函数（例如MD5），能识别及其微小的变化，以此判断入侵

方法：建立完整性分析对象（文件/目录/数字资源）在正常状态时的完整性签名，匹配签名值是否发生变化

优点：不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现

缺点：一般以批处理方式实现，不用于实时响应

4、融合使用异常检测与误用（特征）检测

防火墙与IDS的区别

区别：

功能上：

IDS作用是监控数据、异常告警、超限阻止等；
防火墙的作用是隔离非授权用户在区域间并过滤对受保护网络有害流量或数据包
1
2

工作性质上：

防火墙是针对异常攻击的一种被动的防御，旨在保护；
IDS则是主动出击寻找潜在的攻击者，发现入侵行为；
防火墙只是防御为主，通过防火墙的数据便不再进行任何操作;
IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补
1
2
3
4

防火墙看起来可以防止外部威胁进入我们的内部网络，但它并不能监控网络内部所发生的攻击行为，所以很多厂商会在防火墙中整合IDS（入侵检测系统）和IPS（入侵防御系统），URL过滤、防病毒等然后就做UTM（ 统一威胁管理）。
对IDS的部署的唯一要求就是：IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选在：（1）尽可能靠近攻击源（2）尽可能靠近受保护资源

这些位置通常是：
    服务器区域的交换机上
    边界路由器的相邻交换机上
    重点保护网段的局域网交换机上
1
2
3
4

IDS的架构

事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。
事件分析器：分析数据，发现危险、异常事件，通知响应单元
响应单元：对分析结果作出反应
事件数据库：存放各种中间和最终数据

IDS的部署方式

共享模式和交换模式：从 HUB 上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。

隐蔽模式：在其他模式的基础上将探测器的探测口 IP 地址去除，使得 IDS 在对外界不可见的情况下正常工作。

Tap 模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。

In-line 模式：直接将 IDS 串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击。

混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。
1
2
3
4
5
6
7
8
9

IDS的接入方式：并行接入(并联)

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源。

旁挂：需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口。
可以使用集线器、分光器实现流量复制。

IDS的作用

防火墙的重要补充
构建网络安全防御体系重要环节
克服传统防御机制的限制
1
2
3

IDS的功能

入侵检测系统能在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，尽可能的减少入侵攻击所造成的损失，在攻击后，能收集入侵攻击的相关信息，作为防范系统的知识添加到知识库中，从而增强系统的防范能力。
(1)监视、分析用户及系统活动。

(2)对系统构造和弱点的审计。

(3)识别反映已知进攻的活动模式并报警。

(4)异常行为模式的统计分析。

(5)评估重要系统和数据文件的完整性。

(6)对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

IDS的分类

根据数据源分类

1 基于主机的入侵检测系统（HIDS）

主要用于保护运行关键应用的服务器，通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，这些证据可以指出有人正在入侵或者已经成功入侵了系统，通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。
2 基于网络的入侵检测系统（NIDS）

主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析现象。基于网络的入侵检测系统使用原始的网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来进行实时监控，并分析通过网络的所有通信业务。

根据检测原理分类

1 异常入侵检测。

异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术有概率统计法和神经网络方法两种。
2 误用入侵检测。

误用入侵检测技术是通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较，如果发现有攻击特征，则判断有攻击。完全依靠特征库来做出判断，所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。

根据体系结构分类

1.集中式

集中式入侵检测系统包含多个分布于不同主机上的审计程序，但只有一个中央入侵检
测服务器，审计程序把收集到的数据发送给中央服务器进行分析处理。这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。随着网络规模的增加，主机审计程序和服务器之间传送的数据量激增，会导致网络性能大大降低。并且一旦中央服务器出现故障，整个系统就会陷入瘫痪。此外，根据各个主机不同需求配置服务器也非常复杂。
2.等级式

在等级式(部分分布式)入侵检测系统中，定义了若干个分等级的监控区域，每个入侵
检测系统负责一个区域， 每一 级入侵检测系统只负责分析所监控区域，然后将当地的分析结果传送给上一级入侵检测系统。这种结构存在以下问题。首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整:其次，这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性改进。
3.协作式

协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统，这些入侵检测系统不分等级，各司其职，负责监控当地主机的某些活动。所以，可伸缩性、安全性都得到了显著的提高，但维护成本也相应增大，并且增加了所监控主机的工作负荷，如通信机制，审计开销，踪迹分析等。

根据工作方式分类

1 离线检测。
离线检测系统是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件。这类系统的成本低，可以分析大量事件，调查长期情况，但由于是事后进行的，不能对系统提供及时的保护，而且很多入侵在完成后会删除相应的日志，因而无法进行审计。

2 在线监测。
在线监测对网络数据包或主机的审计事件进行实时分析，可以快速响应，保护系统安全，但在系统规模较大时难以保证实时性。

IDS的局限性

对用户知识要求较高，配置、操作和管理使用较为复杂
网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
高虚警率，用户处理的负担重
由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果
在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响
1
2
3
4
5

IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器作用：

由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作分为：

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准。

例外签名配置作用：
为了就是用于更细致化的进行IPS流量的放行。

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。

放行：对命中的报文方向=行，且不记录日志。

实验

要求：

实现对PC1访问Server1服务流量的有效拦截

解答：

1、IP地址规划以及拓扑规划

2、配置云朵Cloud1

3、配置防火墙FW1

1）给防火墙添加防火墙设备包USG6000-enspv1.3

2）启动防火墙FW1，输入账号和密码

账号：admin
密码：Admin@123
1
2

并且修改原密码，设置新密码

3）从第1）步可以看出，云朵和防火墙之间设置的网段是192.168.0.0/24，所以要给防火墙的GE0/0/0接口修改IP地址，改为192.168.0./24。

4）在浏览器上输入与云朵直连的防火墙的GE0/0/0接口的IP地址，我这里是192.168.0.1
并且输入账号和密码，点击登录
得到以下网页

5）配置接口区域 以及IP地址

6）配置安全策略

4、配置内网

5、配置外网

6、测试

1）正常访问http服务

2）非法访问

完成实验