精华内容
下载资源
问答
  • IDS入侵检测系统
    2021-03-11 16:15:24

    IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

    专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。

    IDS的接入方式:并行接入(并联)
    IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源

    这些位置通常是:
    服务器区域的交换机上
    边界路由器的相邻交换机上
    重点保护网段的局域网交换机上

    入侵检测系统的作用
    防火墙的重要补充
    构建网络安全防御体系重要环节
    克服传统防御机制的限制

    入侵检测系统功能
    监测并分析用户和系统的活动
    核查系统配置和漏洞
    对操作系统进行日志管理,并识别违反安全策略的用户活动
    针对已发现的攻击行为作出适当的反应,如告警、中止进程等

    入侵检测系统的分类
    按入侵检测形态
    硬件入侵检测
    软件入侵检测

    按目标系统的类型
    网络入侵检测
    主机入侵检测

    按系统结构
    集中式
    分布式

    入侵检测系统的架构
    事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
    事件分析器:分析数据,发现危险、异常事件,通知响应单元
    响应单元:对分析结果作出反应
    事件数据库:存放各种中间和最终数据
    在这里插入图片描述
    入侵检测工作过程
    在这里插入图片描述

    数据检测技术
    误用检测技术

    建立入侵行为模型(攻击特征)
    假设可以识别和表示所有可能的特征
    基于系统和基于用户的误用

    异常检测技术
    设定“正常”的行为模式
    假设所有的入侵行为是异常的
    基于系统和基于用户的异常

    误用检测
    优点
    准确率高
    算法简单

    关键问题
    要识别所有的攻击特征,就要建立完备的特征库
    特征库要不断更新
    无法检测新的入侵

    异常检测
    优点
    可检测未知攻击
    自适应、自学习能力

    关键问题
    “正常”行为特征的选择
    统计算法、统计点的选择

    IDS的部署
    基于网络的IDS

    在这里插入图片描述
    基于主机的IDS
    在这里插入图片描述

    入侵检测系统的局限性
    对用户知识要求较高,配置、操作和管理使用较为复杂
    网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
    高虚警率,用户处理的负担重
    由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
    在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响

    更多相关内容
  • 入侵检测系统保护的最后一道安全闸门,在不影响网络和主机性能的情况下进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵行为的影响程度取决于对信息安全CIA三元组的破坏程度、商业压力及监管...

    ​提示:正文共6400字,预计阅读需要17分钟

    入侵检测

    入侵检测是帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计监视进攻识别响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测是系统保护的最后一道安全闸门,在不影响网络和主机性能的情况下进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

    入侵行为的影响程度取决于对信息安全CIA三元组的破坏程度、商业压力及监管压力等多方面的影响。

    黑客在未经授权的情况下,控制、使用我方资源(包括但不限于读写数据、执行命令、控制资源等)达到各种目的。从广义上讲,黑客利用SQL注入漏洞窃取数据,或者拿到了目标域名在ISP中的帐号密码,以篡改DNS指向一个黑页,又或者找到了目标的社交帐号,在微博/QQ/邮箱上,对虚拟资产进行非授权的控制,都属于入侵的范畴。

    企业入侵检测的范围,多数情况下比较狭义:一般特指黑客对PC、系统、服务器、网络(包括办公网、生产网)控制的行为。

    黑客对PC、服务器等主机资产的控制,最常见的方法是通过Shell去执行指令,获得Shell的这个动作叫做GetShell。

    比如通过Web服务的上传漏洞,拿到WebShell,或者利用RCE漏洞直接执行命令/代码(RCE环境变相的提供了一个Shell)。另外,通过某种方式先植入“木马后门”,后续直接利用木马集成的SHELL功能对目标远程控制,这个也比较典型。

    因此,入侵检测可以重点关注GetShell这个动作,以及GetShell成功之后的恶意行为(为了扩大战果,黑客多半会利用Shell进行探测、翻找窃取、横向移动攻击其它内部目标,这些区别于好人的特性也可以作为重要的特征)。

    有一些商业产品,喜欢报告GetShell之前的一些“外部扫描、攻击探测和尝试行为”,并美其名曰“态势感知”,告诉企业有人正在“试图攻击”。在笔者看来,实战价值并不大。很多企业,基本上无时无刻都在遭受“不明身份”的攻击,知道了有人在“尝试”攻击,如果并不能有效地去行动,无法有效地对行动进行告警,除了耗费心力之外,并没有太大的实际价值。

    当我们习惯“攻击”是常态之后,就会在这样的常态下去解决问题,可以使用什么加固策略,哪些可以实现常态化的运营,如果有什么策略无法常态化运营,比如需要很多人加班临时突击守着,那这个策略多半在不久之后就会逐渐消逝掉。跟我们做不做这个策略,并没有本质上的区别。

    类似于SQL注入、XSS等一些不直接GetShell的Web攻击,暂时不在狭义的“入侵检测”考虑范围,建议可以划入“漏洞”、“威胁感知”等领域,另行再做探讨。当然,利用SQL注入、XSS等入口,进行了GetShell操作的,我们仍抓GetShell这个关键点,不必在乎漏洞入口在何处。

    入侵检测技术

    入侵检测技术:入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。

     

    入侵检测技术从结构上包含:入侵检测知识库、入侵检测主体、入侵检测体系等子结构

     

    1.     通过特征、模型、异常检测等手段进行入侵防御。

    2.     部署于主机之上,实现无盲区覆盖。

    3.     在高可用场景下依然可用,基于异常的启发式规则,将变种入侵手段通过行为特征捕获。

    4.     可通过时间窗口关联多次行为特征,提高入侵检测的敏感和准确度。

    5.     基于已知的行为判断发现发现未知的入侵行为。

    入侵检测体系

    入侵检测体系是根据入侵检测知识库建立的对抗入侵行为的制度和框架。入侵检测体系从粗糙臃肿、定位笼统不清晰的安全运营体系中抽离并对入侵检测体系再次抽象。

    从而对企业内部入侵检测制度规范、检测策略、框架产生定义。入侵检测主体根据入侵检测知识库提供设计指导思想,建设和实施入侵检测体系。对检测到入侵行为后还原事件提供极大的帮助。

    入侵检测框架

    入侵检测框架是入侵检测实施主体结合入侵检测体系的制度规范、入侵检测框架的设计需求,对入侵检测系统的产生定义。为入侵检测系统实例提供设计标准,功能模块等方面的指导思想。是为了提高同步性、整合性、解耦方面的产物。

    鲁棒性:比如说,计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下,能否不死机、不崩溃,就是该软件的鲁棒性。

    入侵检测目标

    1.      解决现有入侵检测商业化方案不能完美符合企业要求的问题:

    • 性价比差:商业化解决方案对于技术成熟度高的企业收费和回报不成正比。

    • 扩展性差:产品难以自主控制,扩展性小,无法随性更改功能模块,难以满足企业定制化要求。

    • 定制性差:针对特殊场景的感知能力有限,不开放检测策略,难以满足安全工程师对于自身企业自定义策略。

    • 关联性差,难以和其他入侵检测系统进行适配,无法完善的贴合已有入侵检测框架及入侵检测体系。

    • 响应度差,需求得不到及时的回应,总是会被排期。

    2.     解决入侵检测效率低下的问题

    • 散乱无章的入侵检测实例各自为战、不能统一结合,既无法产生十分准确的感知,每个实例又单独生产出海量告警,使运营人员响应效率低下,长期以往意志消耗殆尽,从而丧失作战能力。

    • 通过入侵检测框架中各个系统实例交叉验证、联动分析,降低误报率

    3.     解决无完善标准化流程的问题

    • 建立入侵检测体系中策略、制度、规范流程,整体从而在入侵检测体系上提升的预防、检测、缓解、事件响应、事件还原能力,而不是依赖单个入侵检测实例、入侵检测主体的技能经验,无规范、无序的解决以上问题。

    4.     提升复杂入侵场景感知难的能力:

    • 提升入侵检测技术之间的协同:近几年安全能力迅速发展,0day、Nday和APT泛滥,对抗利用各类Web应用、其他应用,操作系统的0day、Nday等等的漏洞入侵过程中,如果没有高效的情报协同,实施主体快速制定的制度、策略,准确无误的安全系统策略下发,无情报的协同的入侵检测,就无法使制度、策略、框架等多元因素高效协同;

    • 提升体系中各个元素之间的协同能力:通过入侵检测体系中制度、策略、框架、主体之间有限融合、高效协同,通过解决复杂入侵场景中入侵行为感知困难的问题。

    • 弥补静态的、未整合的资源下检测能力不足的缺陷:静态的,未整合的资源及环境在应对多方位、多变的入侵时,无论从预防过程、实践效率,还是结果上来看都很难满足对抗部分现有入侵的需求,企业面临的多变的入侵风险的现状从本质上决定了入侵监测体系是动态的,可扩展的;而静态则意味着包含缺陷、盲区、缺乏维护等因素。建立入侵检测体系恰恰就是以高效检测入侵行为为目标,最大程度上解决这些问题。

    5.      解决经验无法赋能至体系中的问题

    1)      事件响应后通过复盘优化入侵检测知识库,知识库再对系统赋能形成响应闭环。

    6.     解决体系中因制度、策略、框架过度耦合带来的一些问题,将入侵检测体系中的制度、策略、框架在一定程度上解耦。

    • 避免制度发生变更后同步至策略、框架困难;

    • 避免一类入侵检测实例发生问题后,导致其他入侵检测实例功能失效;

    • 避免主体与框架过度耦合,如发生人员离职后检测框架因入侵检测实例缺乏维护,影响整个入侵检测系统正常运行。

    • 避免实例间过度耦合,实例发生故障而导致牵一发而动全身的情况。

    • 除复杂的入侵场景以外,应依靠框架感知大部分入侵行为,避免更换主体后影响入侵检测框架的感知、事件还原等功能。在框架中实例开发时,应尽量使用易用、易维护、符合评估要求的公共组件。

    入侵检测系统

    入侵检测系统是根据入侵检测框架设计需求实现的结构化系统实例。含有对入侵行为进行自动化的监视、审计、缓解、阻断,事件还原等方面功能。每个入侵检测系统实例基本含有四个模块:事件产生、事件数据库、事件分析引擎、事件告警引擎触发。每一个入侵检测实例含有一个或多个模块。根据企业环境,各个实例的数据库、分析引擎、告警引擎可能有不同程度的统一。各个模块也可能多次、交叉、无固定顺序的进行关联形成一个联合整体。(大多数情况下,阻断功能可能会影响业务的正常进行,不建议轻易尝试)

     

     

    入侵检测实例

    1.      基线监控系统:基于安全策略基线的采集、审计、配置的近实时或定时基线监控系统。基线监控系统也可整合至HIDS,也可在依靠操作系统自带的高级审核功能作为引擎。

    策略:

    制度:包含在入侵检测体系内

    框架:包含在入侵检测框架内

    2.      网络入侵检测系统(NIDS):基于网络流量特征、网络流量模型及启发式逻辑对监视、审计、控制的网络入侵检测系统(传统NIDS及基于模型的Web IDS/WAF);

    3.      终端入侵检测系统(HIDS):基于终端行为对操作系统的程序,可执行代码,异常操作等可疑行为监视、审计的主机入侵检测系统;

    4.      反病毒系统(AV):基于终端的对恶意程序,恶意代码执行监视、控制的反恶意(反木马、病毒、蠕虫、勒索)行为的入侵防御系统;

    5.      防泄漏系统:基于终端或网络,对机密信息非正常或过程的转移、窃取、复制等异常行为预防、检测、缓解的(针对企业机密的透明加解密(HDLP)、网络行为审计(NDLP、行为审计)、非信任设备监控)系统;

    6.      公共流数据处理引擎:基于大数据产生的数据处理引擎,用于实时数据清洗和存储,决定了告警的准确性和实时性。

    7.      公共安全信息事件管理系统:基于事件处理流程的事件告警、展示、管理的系统。

    8.      威胁情报的系统:实施主体通过各种渠道积极获取威胁情报或者购买威胁情报厂商产品;

    9.      恶意样本分析沙箱:基于动静态结合的手段,通过分析未知文件的特征、行为的恶意文件检测沙箱。

    10.    蜜罐诱饵系统:基于伪/实状态结合的陷阱、诱饵式信息系统对入侵者进行情报收集的系统(蜜罐);

    11.    其他可扩展的对非正常手段或过程监视、审计、控制的入侵检测系统;

        1.   基于单实例单点感知的直接异常检测

        2.   基于单实例多点感知的时序异常检测

        3.   基于短时间内多个实例异常的组合事件检测

     

    常见的入侵手法与应对

    如果对黑客的常见入侵手法理解不足,就很难有的放矢,有时候甚至会陷入“政治正确”的陷阱里。比如渗透测试团队说,我们做了A动作,你们竟然没有发现,所以你们不行。而实际情况是,该场景可能不是一个完备的入侵链条,就算不发现该动作,对入侵检测效果可能也没有什么影响。每一个攻击向量对公司造成的危害,发生的概率如何进行排序,解决它耗费的成本和带来的收益如何,都需要有专业经验来做支撑与决策。

     

    现在简单介绍一下,黑客入侵教程里的经典流程(完整过程可以参考杀伤链模型):

    入侵一个目标之前,黑客对该目标可能还不够了解,所以第一件事往往是“踩点”,也就是搜集信息,加深了解。比如,黑客需要知道,目标有哪些资产(域名、IP、服务),它们各自的状态如何,是否存在已知的漏洞,管理他们的人有谁(以及如何合法的管理的),存在哪些已知的泄漏信息(比如社工库里的密码等)......

    一旦踩点完成,熟练的黑客就会针对各种资产的特性,酝酿和逐个验证“攻击向量”的可行性,下文列举了常见的攻击方式和防御建议。

    高危服务入侵

    所有的公共服务都是“高危服务”,因为该协议或者实现该协议的开源组件,可能存在已知的攻击方法(高级的攻击者甚至拥有对应的0day),只要你的价值足够高,黑客有足够的动力和资源去挖掘,那么当你把高危服务开启到互联网,面向所有人都打开的那一刻,就相当于为黑客打开了“大门”。

    比如SSH、RDP这些运维管理相关的服务,是设计给管理员用的,只要知道密码/秘钥,任何人都能登录到服务器端,进而完成入侵。而黑客可能通过猜解密码(结合社工库的信息泄露、网盘检索或者暴力破解),获得凭据。事实上这类攻击由于过于常见,黑客早就做成了全自动化的全互联网扫描的蠕虫类工具,云上购买的一个主机如果设置了一个弱口令,往往在几分钟内就会感染蠕虫病毒,就是因为这类自动化的攻击者实在是太多了。

    或许,你的密码设置得非常强壮,但是这并不是你可以把该服务继续暴露在互联网的理由,我们应该把这些端口限制好,只允许自己的IP(或者内部的堡垒主机)访问,彻底断掉黑客通过它入侵我们的可能。

    与此类似的,MySQL、Redis、FTP、SMTP、MSSQL、Rsync等等,凡是自己用来管理服务器或者数据库、文件的服务,都不应该针对互联网无限制的开放。否则,蠕虫化的攻击工具会在短短几分钟内攻破我们的服务,甚至直接加密我们的数据,甚至要求我们支付比特币,进行敲诈勒索。

    还有一些高危服务存在RCE漏洞(远程命令执行),只要端口开放,黑客就能利用现成的exploit,直接GetShell,完成入侵。

    防御建议:针对每一个高危服务做入侵检测的成本较高,因为高危服务的具体所指非常的多,不一定存在通用的特征。所以,通过加固方式,收敛攻击入口性价比更高。禁止所有高危端口对互联网开放可能,这样能够减少90%以上的入侵概率。

    Web入侵

    随着高危端口的加固,黑客知识库里的攻击手法很多都会失效了。但是Web服务是现代互联网公司的主要服务形式,不可能都关掉。于是,基于PHP、Java、ASP、ASP.NET、Node、C写的CGI等等动态的Web服务漏洞,就变成了黑客入侵的最主要入口。

    比如,利用上传功能直接上传一个WebShell,利用文件包含功能,直接引用执行一个远程的WebShell(或者代码),然后利用代码执行的功能,直接当作Shell的入口执行任意命令,解析一些图片、视频的服务,上传一个恶意的样本,触发解析库的漏洞......

    Web服务下的应用安全是一个专门的领域,具体的攻防场景和对抗已经发展得非常成熟了。当然,由于它们都是由Web服务作为入口,所以入侵行为也会存在某种意义上的共性。相对而言,我们比较容易能够找到黑客GetShell和正常业务行为的一些区别。

    针对Web服务的入侵痕迹检测,可以考虑采集WAF日志、Access Log、Auditd记录的系统调用,或者Shell指令,以及网络层面Response相关的数据,提炼出被攻击成功的特征,建议我们将主要的精力放在这些方面。

    0day入侵

    通过泄漏的工具包来看,早些年NSA是拥有直接攻击Apache、Nginx这些服务的0day武器的。这意味着对手很可能完全不用在乎我们的代码和服务写成什么样,拿0day一打,神不知鬼不觉就GetShell了。

    但是对于入侵检测而言,这并不可怕:因为无论对手利用什么漏洞当入口,它所使用的Shellcode和之后的行为本身依然有共性。Apache存在0day漏洞被攻击,还是一个PHP页面存在低级的代码漏洞被利用,从入侵的行为上来看,说不定是完全一样的,入侵检测模型还可以通用。

    所以,把精力聚焦在有黑客GetShell入口和之后的行为上,可能比关注漏洞入口更有价值。当然,具体的漏洞利用还是要实际跟进,然后验证其行为是否符合预期。

    办公终端入侵

    绝大多数APT报告里,黑客是先对人(办公终端)下手,比如发个钓鱼邮件,哄骗我们打开后,控制我们的PC,再进行长期的观察/翻阅,拿到我们的合法凭据后,再到内网漫游。所以这些报告,多数集中在描述黑客用的木马行为以及家族代码相似度上。而反APT的产品、解决方案,多数也是在办公终端的系统调用层面,用类似的方法,检验“免杀木马”的行为。

    因此,EDR类的产品+邮件安全网关+办公网出口的行为审计+APT产品的沙箱等,联合起来,可以采集到对应的数据,并作出相似的入侵检测感知模型。而最重要的一点,是黑客喜欢关注内部的重要基础设施,包括但不限于AD域控、邮件服务器、密码管理系统、权限管理系统等,一旦拿下,就相当于成为了内网的“上帝”,可以为所欲为。所以对公司来说,重要基础设施要有针对性的攻防加固讨论,微软针对AD的攻防甚至还发过专门的加固白皮书。

    写在结尾

    本文大多数思路来自于公开资料,经过自己学习结合工作经验产出,如有错误可联系修改。

     

     

     

     

     

    展开全文
  • ContractGuard 是首次提出面向以太坊区块链智能合约的入侵检测系统,它能检测智能合约的潜在攻击行为。ContractGuard 的入侵检测主要依赖检测潜在攻击可能引发的异常控制流来实现。由于智能合约运行在去中心化的环境...
  • 引用因子4.85摘要:入侵检测系统可以通过分析网络流量的特征来区分正常流量和攻击流量。近年来,神经网络在自然语言处理,计算机视觉,入侵检测等领域得到了发展。在本文中,我们提出了一种将多尺度卷积神经网络与长...

    8476272c6f88a8a13c33bd9b58f331ce.png

    期刊:COMPUTERS & SECURITY

    期刊信息:JCR分区Q1;中科院分区2区;引用因子4.85

    摘要:

    入侵检测系统可以通过分析网络流量的特征来区分正常流量和攻击流量。近年来,神经网络在自然语言处理,计算机视觉,入侵检测等领域得到了发展。在本文中,我们提出了一种将多尺度卷积神经网络与长短期记忆(MSCNN-LSTM)相结合的统一模型。该模型首先利用多尺度卷积神经网络(MSCNN)分析数据集的空间特征,然后利用长短期记忆(LSTM)网络处理时间特征。最后,该模型采用时空特征进行分类。在实验中,使用公共入侵检测数据集UNSW-NB15作为实验训练集和测试集。

    关键词:Intrusion detection system;Long short-term memory;Multiscale convolutional neural network;Spatial-temporal features;UNSW-NB15

    1 引言

    在现代社会中,网络空间中的信息流以每年惊人的速度增长。近年来,在经济学,科学研究,军事,乃至人们日常生活的各个方面,网络信息安全问题都得到了越来越多的关注。目前,在该研究领域中,入侵检测系统(IDS)由于其可靠性,可扩展性和自主学习而成为最热门的研究主题之一。IDS可以为我们创建有效的防御系统,以防御各种网络攻击,在防御攻击期间执行动态分析,收集关键节点数据,并不断改进自身以保护我们的网络空间。基于机器学习的入侵检测模型是当前最主流的研究方向,例如支持向量机,贝叶斯网络,聚类(Miller等人,2014年)和深度学习神经网络。其中,支持向量机,贝叶斯网络和聚类属于常规的机器学习算法。许多研究人员已将这些算法应用于网络信息安全领域。Nagaraja等。(2010年)建立了一个模型,该模型使用随机游走聚类提取网络流量以检测P2P僵尸网络。Antonakakis等。(2012)使用图聚类来检测基于DGA的恶意软件家族;张等。(2013年)提出人们对机器人查询流量进行研究和分析,并使用分层聚类算法检测是否存在攻击行为。Chen等。(2011年)建立LS-SVM模型,并使用优化的SVM对僵尸网络的流量进行分类。这些有监督或无监督的常规机器学习算法在处理数据量较小,维数较小的数据集时可以获得更好的分类性能(Kuang等,2014),这些都是浅层学习算法。但是,在实际的网络环境中,存在大量的高维,无标签和非线性数据,这就要求我们建立新的入侵检测模型。

    在深度学习领域,CNN(Danciu,2015)和LSTM(Sundermeyer等,2015)已应用于自然语言处理,计算机视觉,语音识别等。这两个深度学习框架具有自己独特的网络结构。在我们的工作中,构建了将多尺度卷积神经网络与长短期记忆相结合的统一模型(MSCNN-LSTM),这是一个基于多尺度时空特征的集成检测模型。

    本文的其余部分安排如下:在第二部分中,我们描述了相关的工作;在第3节中,我们描述了详细设计;在第4节中,我们解释了入侵检测模型的具体工作流程;在第5节中,我们评估模型的实验结果;在第6节中,我们得出结论并指定未来的工作。

    2 相关工作

    2.1 入侵侦测系统

    30多年前,人们开始逐渐重视网络信息安全。当前的许多IDS系统主要分为基于签名的检测系统和基于异常的检测系统。基于签名的检测系统通过分析已知的攻击方法来提取其流量签名,然后将这些签名与后续检测系统提取的签名进行比较,以发现后续的攻击流量并向用户发出警告。基于签名的检测系统的优点是准确率高,但是检测手段有限,无法分析未知的攻击方式,如0-day漏洞攻击和APT(Advanced Persistent Threat)攻击。

    基于异常的检测系统,也称为基于网络行为的检测系统,主要依赖于常规的机器学习算法和深度学习算法。在这种方法中,部分交通特征将被提前提取。我们使用有监督或无监督的学习方法来建立基于这些功能的学习框架。基于网络行为的检测系统可以检测正常和恶意网络流量。这种方法的好处是它可以检测未知攻击。因此,这种入侵检测系统已经引起了研究界的越来越多的关注。

    但是,基于网络行为的入侵检测系统在实际应用中仍然存在一些问题。最困难的是设计一组代表性的特征代码来检测网络流量并训练模型。特征码集的设计对整个系统至关重要,对误报率(FAR)和误报率(FNR)有很大的影响。选择不同的特征码通常在检测性能上有很大的不同。

    2.2 深度神经网络

    CNN和递归神经网络(RNN)是两种使用最广泛的深度学习算法。它们每个都可以有效地提取数据集的空间和时间特征。在神经网络中,每个隐藏层中每个神经节点的值是上层节点权重的总和,并通过激活函数传输到相应的下一层节点。CNN主要用于提取数据集的空间特征,并在许多计算机视觉领域取得了显著成就。RNN基于通用神经网络,向每个神经网络节点添加一个自连接加权值作为存储单元,可以存储神经网络的先前状态。其中,由于RNN在结构中添加了“忘记门”单元,因此开发了长短期记忆(LSTM)网络。因此,LSTM网络可以有效地从长序列中提取时间特征,这已用于解决许多自然语言处理问题,例如机器翻译。时空特征是入侵检测系统中两个最常见的检测特征。例如,Zeng等。(2014年)首次使用CNN研究HAR问题。通过分析传感器传回的序列,将它们转换为“图像信息”,然后识别人类行为。Wang等。(2017)尝试使用CNN来检测恶意软件攻击,并将网络流量转换为矩阵形式作为CNN的训练集。

    另一方面,托雷斯等。(2016年)首先使用LSTM网络分析线性数据流的时间特征,并提高了恶意软件攻击的检测准确性。近年来,研究人员已经采用CNN和RNN构建基于空间特征或时间特征的网络入侵检测模型。所有这些研究方法都有共同的特点:它们都应用CNN或RNN来构建单个模型,这显然并不全面。

    根据不同的网络协议,将多个网络流量字节组合为一个网络包,然后将多个数据包组合为一个数据流。这些网络流量的字节,数据包和数据流与自然语言处理中的字符,句子和段落非常相似。对网络流量的分类类似于将自然语言中的段落分为正样本和负样本(Farhadloo,2015年)。在自然语言处理领域,近年来研究人员开始尝试整合检测方法(Goldberg,2016年 ; Marie-Sainte,Alalyani,Alotaibi,Ghouzali,Abunadi,2019年)); 该模型在学习自然语言的时空特征的同时,具有良好的性能。因此,我们还可以从其研究工作中学到一些东西,并结合两个深度神经网络来学习原始网络数据流的时空特征。

    3 MSCNN-LSTM的设计

    本文提出的MSCNN-LSTM检测模型是自动利用CNN和LSTM提取目标数据集的时空特征,有效提高入侵检测系统的准确性。模型的学习过程如图1所示。

    a1acc391c7c3a1e98c2802366a6aeeab.png

    MSCNN-LSTM模型的局部细节如图2所示。

    8c2f7c3d01e3707e48574de91e467c15.png

    3.1 数据集的选择

    在该研究领域中,研究人员通常使用KDDCUP99和NSL-KDD,它们在前者上有所改进。自诞生以来,KDDCUP99已在该领域使用了近20年,但存在严重缺陷。例如,数据样本极不平衡,缺少某些特征值,依此类推。NSL-KDD由Tavallaee M等在2009年基于KDDCUP99(Tavallaee等,2009)在添加了一部分新样本数据后获得。尽管有改进措施,NSL-KDD和KDDCUP99仍然存在许多问题。近年来,一些研究人员观察到这两个数据集的缺陷将对入侵检测系统的分类性能产生负面影响。主要原因如下(Moustafa和Slay,2015年):首先,缺乏当今网络中常见的低级别攻击样本。低级别攻击将随着时间的流逝逐渐减弱其特性,并成为正常流量,这是一种隐形攻击。其次,这两个数据集的测试集包含一部分新数据,这有助于训练集和测试集的不同分布,并导致误报。第三,由于网络环境随时间而变化,两个数据集中有很多冗余数据似乎非常不合理。总而言之,尽管这两个数据集在入侵检测的发展中做出了重大贡献,但它们还不足以反映现在的真实网络环境。

    因此,在这项工作中,将使用由澳大利亚网络安全中心(ACCS)实验室创建的公共数据集UNSW-NB15(Moustafa,Slay,2015;Moustafa,Slay,2016)。UNSW-NB15中的异常行为分为九大类,每种异常行为类别也将分为特定的攻击行为。与KDDCUP99的四种类别相比,UNSW-NB15的特定攻击行为数量几乎是其五倍。由于UNSW-NB15数据集的异常行为新颖,均衡且比例合理,因此更适合相关研究人员进行入侵检测研究。

    3.2 数据预处理

    此部分包括模型学习过程中的数据标准化和数据格式转换。它打算对数据进行量化和标准化。例如,在原始数据集中,某些项目是字符串属性,包括第49个项目“标签”。在“标签”中,只有两个属性值,即“攻击”或“正常”。为了作为数据流输入到神经网络模型中,我们必须将字符串属性转换为数值属性。

    数据集具有9种主要的异常行为类型,即Fuzzers,Analysis,Backdoors,DoS,Exploits,Generic,Reconnaissance,Shellcode和Worms。每个样本包含49个特征和1个标签,在其中标识了标签。数据集的特征可以具体分为以下类型:流量特征,基本特征,内容特征,时间特征,附加生成的特征和标签特征。UNSW-NB15的49个功能中显然存在一部分冗余。这些冗余功能将极大地影响分类器的分类性能。由于UNSW-NB15的建立时间相对较短,因此目前仅对该数据集的特征选择进行研究。因此,在这项工作中,Khammassi和Krichen(2017)。这些特征子集通过使用遗传算法作为特征搜索策略并使用逻辑回归作为分类器来获得,如表1所示。

    A.数据标准化

    在该功能中,“ proto”,“ state”,“ service”和“ Attack_act”的属性值是符号性的,我们需要将其转换为数值类型。例如,在'proto'属性中,我们将网络流量中的三个最重要的值'tcp','udp'和'icmp'映射到1、2和3,并将其余值映射到4。数字化特征值相对易于处理。

    B.数据归一化

    对于特征的每个维度,其各自维度中的值都不一致,并且值的范围也大不相同。这在UNSW-NB15数据集中尤为突出。数据集的规范化是必要的。高幅度数据具有较高的权重,这使得低幅度的数据对结果的影响很小,并且丢失了一些隐藏在原始数据集中的信息。预处理方法如公式(2.1)所示,特征值将通过如下线性变换归一化为[0,1]。

    771a227acf00354a9894268e607594c8.png

    8401fdfd45bf3bbdf22d71b4a41045db.png

    3.3 空间特征学习

    大多数时候,CNN用于了解二维图像的空间特征。在本文中,整个流动图像的空间特征是从单个p×q图像中学习的,如图2所示,然后,MSCNN结构的输出是单个流动向量。

    3.4 时态特征学习

    LSTM用于学习多个流量矢量之间的时间特征。在本文中,LSTM学习了多个流向量之间的时间关系,如图2所示。输出是单个流向量,代表网络流的时空特征。它将根据提取的特征进行分类。

    3.5 多尺度卷积

    这项工作改编了CNN结构。CNN体系结构用于图像处理,在图像处理领域取得了良好的研究性能。但是,在图像处理过程中,CNN专注于图像的某些局部特征,例如边缘信息。网络流量的识别不仅可以依靠一些离散的局部特征,还需要结合多个局部特征以进行分类。因此,将CNN调整并转换为MSCNN以完成此任务。当人类视觉感知系统在大脑中绘制图像时,它将首先形成从远到近,从模糊到清晰的完整图像集。因此,MSCNN在人眼识别过程中模拟物体在视网膜上不同距离处的不同投影。网络流量是一个高维数据集,仅通过几个离散的功能就无法识别。在MSCNN中,本文使用多个大小不同的卷积核来提取特征图,并将其组合以获得多组局部特征,以实现准确的识别。MSCNN结构将基于三个原始的多尺度卷积层,三个卷积层,一个池化层和三个完全连接的层。网络结构参数显示在 三个卷积层,一个池化层和三个完全连接的层。网络结构参数显示在 三个卷积层,一个池化层和三个完全连接的层。网络结构参数显示在表2。

    3136d31d0494e4d4f8be3ca4b2cd4db4.png

    MS卷积层将使用1 * 1、2 * 2和3 * 3卷积核来提取数据集的特征。由于2 * 2,3 * 3卷积核在卷积层上进行卷积运算非常耗时,因此本文引用了增量网络结构(Szegedy et al. 2016),在2 * 2,3 * 3卷积之前,添加一个1 * 1的卷积过程以减小特征的尺寸。MS卷积层结构如图3所示。

    2ca6adfb3787a8925b01a561d04616c9.png

    3.6 LSTM网络

    LSTM网络是专门为学习时间序列数据而设计的。RNN和LSTM之间的最大区别在于,内部存在一个“单元”结构来确定输入信息是否有用。它由一个输入门,一个忘记门和一个输出门组成。当信息有用时,将由算法保留,而无用的信息将被丢弃。这项工作使用双向LSTM网络扫描和反向扫描整个序列。LSTM网络在自然语言处理中的应用表明,双向扫描可以更准确地提取时间特征(Li等,2016)。LSTM网络通过不同的“单元”结构输入信息,该“单元”结构使用三个“门”来实现信息选择,每个门通过包含S型函数的神经层和逐点乘法运算来完成各自的任务。

    3.7 池化层

    池化是卷积神经网络中经常使用的基本操作。当池作用在图像的不同区域时,如下图所示,我们将池窗口的大小定义为图4中的 SizeX 。,即下图中红色正方形的边长,并将两个相邻合并窗口的水平位移定义为Stride。当不重复合并的窗口时,SizeX等于Stride。通用池化方法主要分为两种:最大池化和均值池化。池化层的主要作用是执行下采样。池层的设计旨在减小参数尺寸并加快网络训练速度。当完成窗口滑动卷积时,滑动窗口之间存在大量重叠,结果值将具有大量冗余,并且合并操作可以使冗余最小化。当池化层减少冗余信息时,本地信息将丢失,并且保留重要特征。冗余信息的减少还可以显着防止过度拟合并提高模型的泛化能力。近年来,主流的分类模型是最大池,很少考虑均值池。一般来说,最大池化效果更好。尽管最大池化和均值池对数据进行了二次采样,但最大池化主要选择具有更好分类和标识的特征。特征提取的误差主要来自两个方面:有限的邻域大小导致的估计值方差增加,卷积层参数的误差导致估计平均值的偏差。在这种情况下,均值合并可有效减少第一类错误并保留更多背景特征信息。相反,最大池化可以减少第二个错误并保留更多纹理特征信息。因此,均值池强调整体特征信息的二次采样,并且在信息的完全传递中会反映出更多的贡献。即使将数据标准化并映射到[0,1]间隔,在该间隔中倾向于以0和1结尾的数据仍然存在,如果使用max-pooling方法将丢失某些特征信息。

    12272292426de0e91544f6eb174e7b28.png

    4 实验仿真

    4.1 实验材料

    实验的整个过程是在Ubuntu 16.04 LTS环境中进行的,使用Keras 2.0结构库和Tensorflow 1.1.0作为后端计算。这项工作中使用的训练和测试子集基于UNSW-NB15数据集。已从UNSW-NB15数据集中提取了一部分数据作为训练集和测试集,训练集中有175,341条数据,测试集中有82,332条数据。采样需要遵循大样本平均采样和小样本完整采样的原则。通过采样获得的测试集为Test_Set_A。下表3中显示了每个数据集中的异常行为类别和分布。为了进一步测试模型的泛化能力,这项工作中使用了新的测试集Test_Set_B。观察预设的训练集和测试集,我们可以发现网络流量的正常行为大约占总流量的三分之一,而罕见的攻击类别“蠕虫”和“ Shellcode”仅占很小的比例因此,在用于测试系统特定泛化能力的新测试集中,“蠕虫”和“ Shellcode”类型的比例有所增加。表4中显示了测试集Test_Set_B的具体分布。

    8a74d2e65f1237817ec237972aaa3ba4.png

    4.2 仿真实验

    MSCNN-LSTM模型在卷积层中使用三种不同大小的内核。填充方法与填充相同,并且通过Categorical_crossentropy函数解决了误差损失。优化器使用AdamOptimizer,并且每层的初始权重和偏移值均采用0均值的高斯初始化进行。

    模型训练过程的梯度下降方法有很多种选择,如果每个梯度下降都是所有训练数据的计算平均梯度,则这种梯度下降方法称为全批次梯度下降方法。当训练数据量达到百万时,一次迭代需要等待很长时间,这大大降低了训练速度。相反,随机梯度下降的批次大小为1,并且每个训练数据都需要更新权重。学习率较低时,噪声要小得多,但梯度下降的速度也会减慢。为解决上述问题,该模型采用小批量梯度下降法,在1到最大训练数据量之间选择要训练的批量大小数据量,每次只训练一小部分数据,为了提高整个网络的泛化能力,在全连接层使用了dropout方法来避免过度拟合。实验研究了dropout层的连接概率p。结果在下面的图5中示出。该模型将连接概率p设为0.5。

    1ad5be56adeff1b868afe980af27f421.png

    4.4实验结果

    设计了三组比较实验,并将数据输入到经典网络Lenet -5(Lecun等,1998),MSCNN和Wang等人提出的HAST网络中。(2018)进行比较。MSCNN模型比较了这项工作中提出的MSCNN-LSTM检测模型的单一特征和时空特征,以提高检测精度。Lenet-5和HAST网络每一层的卷积内核使用相同的比例,并且将用作比较入侵检测模型中多比例卷积的优势。

    验证结果用于在准确性,误报率和误报率方面衡量模型的性能,以确保实验的可靠性。最终的实验结果如下表所示:

    融合检测模型MSCNN-LSTM在准确性,误报率和误报率方面优于其他模型,并且在计算时间上仅稍逊一筹。本文表中记录的实验时间包括模型训练和分类过程。模型训练后,测试集的识别时间非常短,可以满足实时检测的要求。

    下面的图6比较了在罕见攻击情况下这四个模型的检测能力,因为罕见攻击通常被隐藏并且具有较长的等待时间和更大的破坏力。因此,罕见攻击的重点是减少其FNR。在图6中,示出了在针对罕见攻击的检测准确性和误报率方面,综合检测模型优于其他模型。

    在最后一组比较实验中,这项工作使用Testing_Set_B作为模型的最终输入测试集来测试模型的泛化能力,并获得表6。

    基于常规神经网络的入侵检测系统不分析UNSW-NB15数据集。在这项工作中,我们基于现有模型提出了一种新的集成检测模型。通过对三个实验的分析,发现集成检测模型在准确性,误报率,误报率和罕见攻击的泛化能力方面更适合入侵检测系统。

    8bd92a0480eb27f3067bd86b23e783b5.png

    ab7ab91bb76d5bb7b32e049ac01e57af.png

    5 结论与未来工作

    该方法在面对高维和高复杂度数据集时显示出强大的功能。该方法不需要常规入侵检测系统中使用的任何工程技术。实验结果表明,与其他现有方法相比,该模型有效地提高了精度。此外,许多当前入侵检测方法的FAR通常很高。我们的实验结果表明,MSCNN-LSTM有效地降低了FAR,因为它可以自动学习时空特征,从而提高了IDS的整体性能。在将来的工作中,将进一步改进模型的特征选择部分,并且该模型在不平衡数据集上将具有良好的检测性能。在现实世界中,恶意软件流量与正常流量相比很小,并且不同类别的恶意软件流量的比例通常相差很大。当然,提高模型的泛化能力也是研究方向之一。

    参考文献

    a468e26cda624afdd1ae2a0f110afced.png

    7b7e251fce4261c39499c54d65b8ab84.png
    展开全文
  • 入侵检测系统对于检测一些常见的入侵方式具有很好的效率和性能。同时,该系统提供了完整的框架,可以灵活地应用于各种环境并扩充。当然, 本系统还有很多不足的地方:数据源比较单一,还应该加入日志数据源;而且...
  • 13款入侵检测系统介绍(HIDS)

    千次阅读 2021-10-22 14:42:51
    6 检测方法:基于签名或基于异常的IDS 7 使用IPS防御网络 8 入侵检测系统的类型和操作系统 9 Top入侵检测软件和工具 10 Linux入侵检测系统 11 Windows入侵检测系统 12 Mac OS入侵检测系统 13 最好的入侵检测系统...

    阅读目录

      本篇译自: Intrusion Detection Systems Explained: 13 Best IDS Software Tools Reviewed

    回到顶部

    1 什么是入侵检测系统(IDS)?

      入侵检测系统(IDS)监视网络流量中是否存在异常或可疑活动,并将警报发送给管理员。 主要功能是检测异常活动并将其报告给网络管理员。 但是,某些IDS软件可以在检测到恶意活动(例如阻止某些传入流量)时根据规则采取措施。

    回到顶部

    工具列表

      这是我们最佳入侵检测系统软件和工具的列表:

    复制代码

    • SolarWinds Security Event Manager:分析来自Windows,Unix,Linux和Mac OS系统的日志。它管理Snort收集的数据,包括实时数据。 SEM还是一种入侵防御系统,附带700多个规则以关闭恶意活动。改善安全性,响应事件并实现合规性的重要工具。
    • CrowdStrike Falcon(免费试用)一种基于云的端点保护平台,其中包括威胁搜寻。
    • ManageEngine EventLog Analyzer(免费试用)一种日志文件分析器,用于搜索入侵的证据。
    • Snort:由Cisco Systems提供,可免费使用,领先的基于网络的入侵检测系统软件。
    • OSSEC:优秀的基于主机的入侵检测系统,可免费使用。
    • Suricata:基于Network的入侵检测系统软件,在应用程序层运行,以提高可视性。
    • Zeek:网络监控器和基于网络的入侵防御系统。
    • Sagan:日志分析工具可以集成在snort数据上生成的报告,因此它是具有少量NIDS的HIDS。
    • Security Onion:网络监视和安全工具由从其他免费工具中提取的元素组成。
    • AIDE:高级入侵检测环境是适用于Unix,Linux和Mac OS的HIDS
    • OpenWIPS-NG:来自Aircrack-NG制造商的无线NIDS和入侵防御系统。
    • Samhain:直接基于主机的入侵检测系统,适用于Unix,Linux和Mac OS。
    • Fail2Ban:用于Unix,Linux和Mac OS的轻型基于主机的入侵检测软件系统。

    复制代码

    回到顶部

    2 入侵检测系统的类型

      入侵检测系统有两种主要类型(本指南后面将对这两种类型进行详细说明):

    • 基于主机的入侵检测系统(HIDS)–该系统将检查网络中计算机上的事件,而不是系统中通过的流量。
    • 基于网络的入侵检测系统(NIDS)–该系统将检查您网络上的流量。

      网络入侵检测软件和系统现在对于网络安全至关重要。 幸运的是,这些系统非常易于使用,并且市场上大多数最佳的IDS都可以免费使用。 在这篇评论中,您将了解现在可以安装的十种最佳入侵检测系统软件,以开始保护网络免受攻击。 我们介绍适用于Windows,Linux和Mac的工具。

    回到顶部

    3 基于主机的入侵检测系统(HIDS)

      基于主机的入侵检测系统(也称为主机入侵检测系统或基于主机的IDS)检查网络上计算机上的事件,而不是检查系统周围通过的流量。这种类型的入侵检测系统缩写为HIDS,主要通过在受保护的计算机上查看管理文件中的数据来进行操作。这些文件包括日志文件和配置文件。

      HIDS将备份您的配置文件,以便在恶意病毒通过更改计算机的设置而失去系统安全性时,您可以还原设置。您要防止的另一个关键因素是类Unix平台上的root用户访问权限或Windows系统上的注册表更改。 HIDS将无法阻止这些更改,但是它应该能够在发生任何此类访问时提醒您。

      HIDS监视器的每个主机上都必须安装一些软件。您只需让HIDS监视一台计算机即可。但是,更常见的是在网络上的每台设备上安装HIDS。这是因为您不想忽略任何设备上的配置更改。自然,如果您的网络上有多个HIDS主机,则无需登录到每个HIDS主机即可获得反馈。因此,分布式HIDS系统需要包括一个集中控制模块。寻找一个对主机代理和中央监视器之间的通信进行加密的系统。

    回到顶部

    4 基于网络的入侵检测系统(NIDS)

      基于网络的入侵检测,也称为网络入侵检测系统或网络IDS,可检查网络上的流量。因此,典型的NIDS必须包括一个数据包嗅探器,以收集网络流量进行分析。

      NIDS的分析引擎通常基于规则,可以通过添加自己的规则进行修改。对于许多NIDS,系统的提供者或用户社区将向您提供规则,您只需将规则导入到您的实现中即可。熟悉所选NIDS的规则语法后,便可以创建自己的规则。

    链接回流量收集,您不想将所有流量转储到文件中或通过仪表板运行全部操作,因为您将无法分析所有这些数据。因此,在NIDS中推动分析的规则也会创建选择性的数据捕获。例如,如果您有关于令人担忧的HTTP流量类型的规则,则NIDS仅应选择并存储显示这些特征的HTTP数据包。

      通常,NIDS安装在专用硬件上。高端付费企业解决方案是作为网络套件提供的,其中预先装有软件。但是,您不必花大钱就可以买到专业的硬件。 NIDS确实需要传感器模块来接收流量,因此您可以将其加载到LAN分析器上,或者可以选择分配计算机来运行任务。但是,请确保为任务选择的设备具有足够的时钟速度,以免降低网络速度。

    回到顶部

    5 HIDS or NIDS?

     

      简短的答案是两者。 与HIDS相比,NIDS将为您提供更多的监视功能。 您可以拦截NIDS发生的攻击。 相反,仅当文件或设备上的设置已更改时,HIDS才会发现任何错误。 但是,仅仅因为HIDS的活动性不如NIDSs高,所以这并不意味着它们不那么重要。

      NIDS通常安装在独立的设备上,这意味着它不会拖拽服务器的处理器。 但是,HIDS的活性不如NIDS积极。 HIDS功能可以通过计算机上的轻量级守护程序来实现,并且不应消耗过多的CPU。 这两个系统都不会产生额外的网络流量。

    回到顶部

    6 检测方法:基于签名或基于异常的IDS

      无论您要寻找主机入侵检测系统还是网络入侵检测系统,所有IDS都使用两种操作模式-有些可能只使用一种或另一种,但大多数都使用。

    基于签名的IDS
    基于异常的IDS

    回到顶部

    基于签名的IDS

      基于签名的方法查看校验和和消息身份验证。 基于签名的检测方法可以像NIDS一样适用于NIDS。 HIDS将查看日志和配置文件以进行任何意外的重写,而NIDS将查看捕获的数据包中的校验和以及诸如SHA1之类的系统的消息身份验证的完整性。

      NIDS可以包括签名的数据库,这些签名是已知为恶意活动来源的数据包所携带。 幸运的是,黑客不会坐在电脑旁冒着怒气来破解密码或访问root用户。 相反,他们使用著名的黑客工具提供的自动化程序。 这些工具往往每次都会生成相同的流量签名,因为计算机程序会一遍又一遍地重复相同的指令,而不是引入随机变量。

    回到顶部

    基于异常的IDS

      基于异常的检测将查找意外或异常的活动模式。 该类别也可以通过基于主机和基于网络的入侵检测系统来实现。 对于HIDS,可能会在登录端口失败或设备端口上异常活动重复出现异常,这表示端口扫描。

      对于NIDS,异常方法需要建立行为基准,以创建标准情况,并与之进行比较。 一定范围的流量模式被认为是可以接受的,并且当当前的实时流量移出该范围时,就会引发异常警报。

    回到顶部

    选择IDS方法

      先进的NIDS可以建立标准行为记录,并随着使用寿命的延长而调整其边界。 总体而言,与NIDS相比,HIDS软件更易于操作且签名和异常分析都更易于操作。

      于签名的方法比基于异常的检测要快得多。 全面的异常引擎涉及到AI的方法论,并可能花费大量资金进行开发。 但是,基于签名的方法归结为值的比较。 实际上,在HIDS的情况下,与文件版本进行模式匹配可能是一项非常简单的任务,任何人都可以使用带有正则表达式的命令行实用程序来执行自己的任务。 因此,它们的开发成本不高,而且更可能在免费入侵检测系统中实现。

      一个全面的入侵检测系统需要基于签名的方法和基于异常的过程。

    回到顶部

    7 使用IPS防御网络

      现在,我们需要考虑入侵防御系统(IPS)。 IPS软件和IDS是同一技术的分支,因为如果没有检测,就无法预防。表达入侵工具这两个分支之间差异的另一种方法是将它们称为被动或主动。一个简单的入侵监控和警报系统有时被称为“被动” IDS。一个不仅发现入侵而且采取行动纠正任何损害并阻止来自检测到的源的进一步入侵尝试的系统,也被称为“反应式” IDS。

      反应型IDS或IPS通常不会直接实施解决方案。相反,它们通过调整设置与防火墙和软件应用程序进行交互。反应型HIDS可以与许多网络助手交互以恢复设备(例如SNMP或已安装的配置管理器)上的设置。通常不会自动处理针对root用户或Windows中的admin用户的攻击,因为阻止admin用户或更改系统密码会导致系统管理员无法进入网络和服务器。

      IDS的许多用户在首次安装防御系统时都会报告大量误报,就像IPS在检测到警报条件时自动实施防御策略一样。标定不正确的IPS可能会造成破坏,并使您的合法网络活动陷入僵局。

      为了最大程度地减少由错误警报引起的网络中断,您应该分阶段介绍入侵检测和防御系统。触发器可以定制,您可以组合警告条件以创建自定义警报。在检测到潜在威胁时需要执行的操作声明称为策略。入侵检测和防御程序与防火墙之间的相互作用应进行特别微调,以防止您的企业的真正用户被过于严格的政策所锁定。

    回到顶部

    8 入侵检测系统的类型和操作系统

      IDS软件的生产者专注于类Unix操作系统。 有些人根据POSIX标准产生他们的代码。 在所有这些情况下,这意味着Windows被排除在外。 由于Mac OS X和macOS的Mac OS操作系统是基于Unix的,因此与其他软件类别相比,这些操作系统在IDS世界中要好得多。 下表说明了哪些IDS是基于主机的,哪些IDS是基于网络的,以及每个可以安装的操作系统。

      您可能会读到一些声称Security Onion可以在Windows上运行的评论。 如果您首先安装虚拟机并通过该虚拟机运行它,则可以。 但是,对于此表中的定义,我们仅将可以直接安装的软件视为与操作系统兼容。

    回到顶部

    9 Top入侵检测软件和工具

    IDSHIDS/NIDSUnixLinuxWindowsMac OS
    SolarWinds Security Event Manager EDITOR'S CHOICEBothNoNoYesNo
    CrowdStrike Falcon (FREE TRIAL)HIDSYesYesYesYes
    SnortNIDSYesYesYesNo
    OSSECHIDSYesYesYesYes
    ManageEngine EventLog AnalyzerHIDSYesYesYesYes
    SuricataNIDSYesYesYesYes
    ZeekNIDSYesYesNoYes
    SaganBothYesYesNoYes
    Security OnionBothNoYesNoNo
    AIDEHIDSYesYesNoYes
    Open WIPS-NGNIDSNoYesNoNo
    SamhainHIDSYesYesNoYes
    Fail2BanHIDSYesYesNoYes

    回到顶部

    10 Linux入侵检测系统

      以下是可以在Unix/Linux平台上运行的主机入侵检测系统和网络入侵系统的列表。

      基于主机的入侵检测系统:

    复制代码

    CrowdStrike Falcon
    EventLog Analyzer
    OSSEC
    Sagan
    Security Onion(Linux)
    AIDE
    Samhain
    Fail2Ban

    复制代码

      基于网络的入侵检测系统:

    复制代码

    Snort
    Zeek
    Suricata
    Sagan
    Security Onion(Linux)
    Open WIPS-NG(Linux)

    复制代码

    回到顶部

    11 Windows入侵检测系统

      尽管Windows Server受到欢迎,但入侵检测系统的开发人员似乎对生产Windows操作系统的软件并不十分感兴趣。 这是在Windows上运行的少数IDS。

      基于主机的入侵检测系统:

    SolarWinds Security Event Manager
    EventLog Analyzer
    OSSEC

      基于网络的入侵检测系统:

    SolarWinds Security Event Manager
    Snort
    Suricata

    回到顶部

    12 Mac OS入侵检测系统

      Mac用户受益于Mac OS X和macOS都基于Unix的事实,因此Mac用户拥有的入侵检测系统选项要比拥有运行Windows操作系统的计算机的用户多得多。

      基于主机的入侵检测系统:

    复制代码

    CrowdStrike Falcon
    EventLog Analyzer
    OSSEC
    Sagan
    AIDE
    Samhain
    Fail2Ban

    复制代码

      基于网络的入侵检测系统:

    Zeek
    Suricata
    Sagan

    回到顶部

    13 最好的入侵检测系统软件和工具

      现在,您已经看到按操作系统快速了解基于主机的入侵检测系统和基于网络的入侵检测系统,在此列表中,我们将更深入地介绍每个最佳IDS的细节。

    回到顶部

    1. SolarWinds Security Event Manager (FREE TRIAL)

      The SolarWinds Security Event Manager (SEM) :运行在Windows Server上,但可以记录Unix,Linux和Mac OS计算机以及Windows PC生成的消息。

      作为日志管理器,这是基于主机的入侵检测系统,因为它与管理系统上的文件有关。但是,它也管理Snort收集的数据,这使其成为基于网络的入侵检测系统的一部分。

      Snort是Cisco Systems创建的一种广泛使用的数据包嗅探器(请参阅下文)。它具有特定的数据格式,其他IDS工具生产商已将其集成到其产品中。 SolarWinds安全事件管理器就是这种情况。网络入侵检测系统会检查流量数据在网络上传播的情况。要部署Security Event Manager的NIDS功能,您需要使用Snort作为数据包捕获工具,并将捕获的数据漏斗到Security Event Manager中进行分析。尽管LEM在处理日志文件创建和完整性时可充当HIDS工具,但它能够通过Snort接收实时网络数据,而Snort是NIDS的一项活动。

      SolarWinds产品还可以充当入侵防御系统,因为它可以触发检测入侵的措施。该软件包附带700多个事件关联规则,使它能够发现可疑活动并自动实施补救活动。这些动作称为主动响应。

      这些积极回应包括:

    复制代码

    通过SNMP,屏幕消息或电子邮件发出事件警报
    USB设备隔离
    用户帐户被暂停或用户被驱逐
    IP地址封锁
    进程杀死
    系统关机或重启
    服务关闭
    服务触发

    复制代码

      Security Event Manager的Snort消息处理功能使其成为非常全面的网络安全监视器。 由于该工具能够将Snort数据与系统上的其他事件结合在一起,因此几乎可以立即关闭恶意活动。 经过微调的事件相关规则,大大降低了通过检测误报而中断服务的风险。

      主要特点:

    分析日志文件
    可以处理实时数据
    与Snort兼容
    自动修复  

      您可以在30天的免费试用期内访问此网络安全系统。

    回到顶部

    2. CrowdStrike Falcon (FREE TRIAL)

      CrowdStrike Falcon系统是一个端点保护平台(EPP)。这是一个HIDS,因为它监视各个端点上的活动而不是网络活动。但是,与典型的HIDS不同,该系统不关注受监控设备上的日志文件,而是查看每台计算机上运行的进程,这通常是NIDS策略。

      Falcon平台是一组模块。 HIDS功能由Falcon Insight部门提供。这是一个端点检测和响应(EDR)系统。 EPP的核心模块称为Falcon Prevent,它是下一代AV系统。这也使用HIDS方法来检测恶意行为。这两种模块的方法之间的差异很小,因为这两种方法都监视异常行为。但是,Falcon Prevent的识别特征是它正在搜索恶意软件,而Falcon Insight专门在寻找入侵。

      Falcon Insight将事件记录在受保护的计算机上,需要将其存储在日志文件中,因此一旦编写了这些事件,该工具的研究和检测元素就会使用纯HIDS策略。 EPP的事件收集元素是代理,必须将其安装在受保护的设备上。该代理与EPP的中央处理系统进行通信,该中央处理系统驻留在云中。受保护端点的人工管理员可以通过任何标准浏览器访问Falcon仪表板。

      CrowdStrike Falcon软件的本地/云混合体系结构的优点是该系统在您的设备上非常轻便。 CrowdStrike服务器上的分析软件提供了用于威胁分析的所有处理能力。这意味着安装此安全服务不会降低计算机的速度,让计算机自由执行为其提供的任务。但是,该代理还充当威胁补救实施者,因此即使Internet连接不可用,该代理也可以继续工作。

      主要特点:

    端点保护平台
    检查日志文件
    在云端处理数据
    基于云的控制台

      CrowdStrike Falcon有四个版本:Pro,Enterprise,Premium和Complete。 Falcon Insight包含在Premium和Enterprise版本中。 完整版是一项托管服务,可通过协商进行定制。 CrowdStrike提供了Falcon EPP的15天免费试用

    回到顶部

    3. ManageEngine EventLog Analyzer (FREE TRIAL)

      ManageEngine是IT网络基础架构监视和管理解决方案的领先生产商。 EventLog Analyzer是公司安全产品的一部分。这是一个HIDS,其重点是管理和分析由标准应用程序和操作系统生成的日志文件。该工具安装在Windows Server或Linux上。它从那些操作系统以及Mac OS,IBM AIX,HP UX和Solaris系统收集数据。 Windows系统的日志包括Windows Server Windows Vista及更高版本和Windows DHCP Server的源。

      除操作系统外,该服务还收集和合并来自Microsoft SQL Server和Oracle数据库的日志。它还能够从许多防病毒系统引导警报,包括Microsoft防恶意软件,ESET,Sophos,Norton,Kaspersky,FireEye,Malwarebytes,McAfee和Symantec。它将从Web服务器,防火墙,管理程序,路由器,交换机和网络漏洞扫描程序中收集日志。

      EventLog Analyzer收集日志消息并充当日志文件服务器,根据消息源和日期将消息组织到文件和目录中。紧急警告也将转发到EventLog Analyzer仪表板,并且可以作为票证直接发送到Help Desk系统,以引起技术人员的即时关注。包中内置的威胁情报模块决定了哪些事件构成潜在的安全漏洞。

      该服务包括自动日志搜索和事件关联,以编译定期的安全报告。这些报告中包括特权用户监视和审核(PUMA)的格式,以及证明符合PCI DSS,FISMA,ISO 27001,GLBA,HIPAA,SOX和GDPR所需的各种格式。

      主要特点:

    管理和分析日志文件
    审核数据保护标准合规性

      ManageEngine EventLog Analyzer具有三个版本。 其中第一个是免费的。 但是,免费版仅限于监视来自五个来源的日志消息,这对于除超小型企业之外的任何现代企业来说还远远不够。 两种付费版本分别是Premium和Distributed。 分布式计划比高级计划贵得多。 对于大多数单站点企业来说,Premium系统应该足够了,而分布式版本将覆盖多个站点和无限数量的日志记录源。 您可以通过30天的免费试用期来试用该系统,该试用期的上限为2,000条日志消息源。

    回到顶部

    4. Snort

      Snort是NIDS的行业领导者,但仍然可以免费使用。这是可以在Windows上安装的少数几个IDS之一。它是由思科创建的。该系统可以在三种不同的模式下运行并可以实施防御策略,因此它既是入侵防御系统又是入侵检测系统。

      Snort的三种模式是:

    嗅探器模式
    封包记录器
    入侵检测

      可以将snort用作数据包嗅探器,而无需打开其入侵检测功能。在这种模式下,您可以实时读取通过网络传递的数据包。在数据包记录模式下,那些数据包详细信息将写入文件。

      当您访问Snort的入侵检测功能时,您将调用一个分析模块,该模块将一组规则应用于通过的流量。这些规则称为“基本策略”,如果您不知道需要哪些规则,则可以从Snort网站下载它们。但是,一旦您对Snort的方法学充满信心,就可以编写自己的方法了。该IDS有大量的社区基础,它们在Snort网站的社区页面上非常活跃。您可以从其他用户那里获得提示和帮助,还可以下载有经验的Snort用户已经制定的规则。

      该规则将检测诸如隐形端口扫描,缓冲区溢出攻击,CGI攻击,SMB探针和操作系统指纹之类的事件。检测方法取决于所使用的特定规则,并且包括基于签名的方法和基于异常的系统。

      主要特点:

    行业领先的NIDS
    思科系统支持

      Snort的声名吸引了软件开发人员行业的追随者。 其他软件公司创建的几个应用程序可以对Snort收集的数据进行更深入的分析。 这些包括Snorby,BASE,Squil和Anaval。 这些配套应用程序可以帮助您弥补Snort的界面不是非常友好的事实。

    回到顶部

    5. OSSEC

       

      OSSEC代表开源HIDS安全性。它是领先的HIDS,并且完全免费使用。作为基于主机的入侵检测系统,该程序专注于安装它的计算机上的日志文件。它监视所有日志文件的校验和签名,以检测可能的干扰。在Windows上,它将保留对注册表所做的任何更改的选项卡。在类似Unix的系统上,它将监视任何访问root帐户的尝试。尽管OSSEC是一个开源项目,但它实际上是由趋势科技(一家著名的安全软件生产商)拥有的。

      主监视应用程序可以覆盖一台计算机或多台主机,将数据整合到一个控制台中。尽管有一个Windows代理可以监视Windows计算机,但是主应用程序只能安装在类Unix系统上,这意味着Unix,Linux或Mac OS。主程序有OSSEC的接口,但是该接口是单独安装的,不再受支持。 OSSEC的常规用户已经发现其他可以很好地用作数据收集工具前端的应用程序:Splunk,Kibana和Graylog。

      OSSEC涵盖的日志文件包括FTP,邮件和Web服务器数据。它还监视操作系统事件日志,防火墙和防病毒日志和表以及流量日志。 OSSEC的行为由您在其上安装的策略控制。可以从该产品活跃的大型用户社区中获取这些附件。策略定义警报条件。这些警报可以显示在控制台上,也可以作为通知通过电子邮件发送。

      主要特点:

    日志文件分析器
    免费政策
    警报系统

    回到顶部

    6. Suricata

      

      Suricata可能是Snort的主要替代产品。 Suricata与Snort相比,具有一个关键优势,那就是它在应用程序层收集数据。这克服了Snort对签名分割成多个TCP数据包的盲目性。 Suricata等待将数据包中的所有数据组装起来,然后再将信息移入分析。

      尽管系统在应用程序层工作,但它可以监视较低级别的协议活动,例如IP,TLS,ICMP,TCP和UDP。它检查不同网络应用程序(包括FTP,HTTP和SMB)的实时流量。监视器不仅查看数据包的结构。它可以检查TLS证书,并专注于HTTP请求和DNS调用。文件提取工具使您可以检查和隔离具有病毒感染特征的可疑文件。

      Suricata与Snort兼容,您可以使用为该NIDS负责人编写的相同VRT规则。与Snort集成的那些第三方工具(例如Snorby,BASE,Squil和Anaval)也可以连接到Suricata。因此,访问Snort社区以获取提示和免费规则对于Suricata用户可能是一个很大的好处。内置脚本模块使您可以组合规则并获得比Snort所能提供的更精确的检测配置文件。 Suricata同时使用签名和异常检测方法。

    Suricata具有巧妙的处理架构,可通过使用许多不同的处理器同时进行多线程活动来实现硬件加速。它甚至可以部分在您的图形卡上运行。任务的这种分布可避免负载仅承受一台主机。很好,因为此NIDS的一个问题是它的处理量很大。

      主要特点:

    应用层操作
    根据实时数据进行操作

      Suricata的仪表板外观非常时尚,集成了图形,使分析和问题识别更加轻松。尽管外观如此昂贵,但Suricata是免费的。

    回到顶部

    7. Zeek

      

      Zeek(以前的Bro)是一个免费的NIDS,它不仅可以进行入侵检测,还可以为您提供其他网络监视功能。 Zeek的用户社区包括许多学术和科研机构。

      Zeek入侵检测功能分两个阶段完成:流量记录和分析。与Suricata一样,Zeek与Snort相比具有一个主要优势,因为它的分析在应用程序层进行。这样,您就可以跨数据包查看数据,以更广泛地分析网络协议活动。

      Zeek的分析模块具有两个元素,可同时用于签名检测和异常分析。这些分析工具中的第一个是Zeek事件引擎。这跟踪触发事件,例如新的TCP连接或HTTP请求。每个事件都被记录下来,因此系统的这一部分与策略无关-它仅提供事件列表,在这些事件中,分析可能会揭示同一用户帐户所产生的重复动作或可疑活动。

      该事件数据的挖掘由策略脚本执行。警报条件将引起行动,因此Zeek是入侵防御系统以及网络流量分析器。可以自定义策略脚本,但是它们通常沿标准框架运行,该框架涉及签名匹配,异常检测和连接分析。

      您可以使用Zeek跟踪HTTP,DNS和FTP活动,还可以监视SNMP流量,使您可以检查设备配置更改和SNMP陷阱条件。每个策略都是一组规则,您不限于活动策略的数量或可以检查的协议堆栈其他层。在较低级别,您可以当心DDoS Syn Flood攻击并检测端口扫描。

      主要特点:

    签名检测
    异常分析

      Zeek可以安装在Unix,Linux和Mac OS上。

    回到顶部

    8. Sagan

      Sagan是基于主机的入侵检测系统,因此它是OSSEC的替代产品,并且可以免费使用。尽管是HIDS,但该程序与NIDS系统Snort收集的数据兼容。这种兼容性还扩展到了可以与Snort结合使用的其他工具,例如Snorby,BASE,Squil和Anaval。来自Zeek和Suricata的数据源也可以输入Sagan。该工具可以安装在Unix,Linux和Mac OS上。尽管您无法在Windows上运行Sagan,但可以将Windows事件日志输入其中。

      严格来说,Sagan是一个日志分析工具。使其成为独立NIDS所缺少的元素是数据包嗅探器模块。但是,从好的方面来说,这意味着Sagan不需要专用的硬件,并且可以灵活地分析主机日志和网络流量数据。该工具必须与其他数据收集系统配合使用,以创建完整的入侵检测系统。

      Sagan的一些不错的功能包括IP定位器,它使您能够查看被检测为具有可疑活动的IP地址的地理位置。这将使您能够汇总似乎协同工作的IP地址的动作,从而构成攻击。 Sagan可以将其处理分布在多个设备上,从而减轻了密钥服务器CPU的负担。

      该系统包括脚本执行,这意味着它将生成警报并在检测到入侵场景时执行操作。如果来自特定来源的可疑活动,它可以与防火墙表进行交互以实施IP禁令。因此,这是一个入侵防御系统。分析模块可用于签名和异常检测方法。

      主要特点:

    日志分析
    网络流量分析

      Sagan并未进入所有人的最佳IDS列表,因为它并没有真正成为IDS(即日志文件分析器)的资格。但是,其具有NIDS概念的HIDS使其成为混合IDS分析工具组件的一个有趣的主张。

    回到顶部

    9. Security Onion

       

      对于IDS解决方案,您可以尝试使用免费的Security Onion系统。此列表中的大多数IDS工具都是开源项目。这意味着任何人都可以下载源代码并进行更改。这正是Security Onion的开发人员所做的。他从Snort,Suricata,OSSEC和Zeek的源代码中提取了元素,并将它们缝合在一起,以创建基于Linux的免费NIDS / HIDS混合体。 Security Onion编写为可在Ubuntu上运行,并且还集成了来自前端系统和分析工具的元素,包括Snorby,Sguil,Squit,Kibana,ELSA,Xplico和NetworkMiner。

      尽管Security Onion被归类为NIDS,但它确实也包含HIDS功能。它将监视您的日志和配置文件中是否存在可疑活动,并检查这些文件的校验和中是否有任何意外更改。 Security Onion全面的网络基础结构监视方法的缺点之一是其复杂性。它具有几种不同的操作结构,实际上并没有足够的在线学习资料或捆绑在一起的学习材料来帮助网络管理员掌握该工具的全部功能。

      网络分析是由数据包嗅探器进行的,它可以在屏幕上显示通过的数据,也可以写入文件。 Security Onion的分析引擎使事情变得复杂,因为有许多具有不同操作过程的不同工具,您最终可能会忽略其中的大多数。 Kibana的界面提供了Security Onion的仪表板,并且确实包含一些漂亮的图形和图表以简化状态识别。

      主要特点:

    HIDS / NIDS混合
    日志文件篡改警报

      基于签名的警报规则和基于异常的警报规则都包含在此系统中。您可以获得有关设备状态和流量模式的信息。所有这些实际上都可以通过一些动作自动化来完成,而Security Onion则缺乏。

    回到顶部

    10. AIDE

      “ Advanced Intrusion Detection Environment”要写很多东西,因此此IDS软件的开发人员决定将其名称缩写为AIDE。这是一个免费的HIDS,专注于针对Unix和类Unix操作系统的rootkit检测和文件签名比较,因此它也可以在Mac OS和Linux上运行。

      如果您已考虑过Tripwire,则最好改用AIDE,因为这是该便捷工具的免费替代品。 Tripwire有一个免费版本,但是大多数人需要IDS才能提供的许多关键功能只有付费的Tripwire才能使用,因此AIDE免费提供了更多功能。

      首次安装时,系统会从配置文件中编译管理数据数据库。这将创建基准,然后只要检测到系统设置更改,就可以回滚对配置的任何更改。该工具包括签名和异常监视方法。系统检查是按需签发的,不能连续运行,这与该HIDS有点不足。但是,由于这是一个命令行功能,因此可以将其安排为使用cron等操作方法定期运行。如果您想要近乎实时的数据,则可以安排它非常频繁地运行。

      主要特点:

    创建配置基准
    回滚未经授权的更改

      AIDE实际上只是一种数据比较工具,它不包含任何脚本语言,您将不得不依靠Shell脚本技能来将数据搜索和规则实现功能纳入此HIDS。也许应该将AIDE视为配置管理工具,而不是入侵检测系统。  

    回到顶部

    11. Open WIPS-NG

      如果您听说过Aircrack-NG,那么您可能会对这种基于网络的IDS有点谨慎,因为它是由同一位企业家开发的。 Aircrack-NG是一种无线网络数据包嗅探器和密码破解,已经成为每个wifi网络黑客工具包中的一部分。

      在WIPS-NG中,我们看到了一个由偷猎者转为游戏管理员的案例。该免费软件旨在防御无线网络。尽管Aircrack-NG可以在多种操作系统上运行,但是Open WIPS-NG仅在Linux上运行。 “ WIPS”这个名称代表“无线入侵防御系统”,因此该NIDS可以检测并阻止入侵。

      该系统包括三个要素:

    传感器模块
    服务器
    接口

      有计划允许WIPS-NG安装监视多个传感器。但是,目前,每个安装只能包含一个传感器。这不应该是太大的问题,因为您只需一个传感器即可完成多项任务。传感器是一个数据包嗅探器,它还具有在中间流中操纵无线传输的能力。因此,传感器充当系统的收发器。

      传感器收集的信息被转发到服务器,这就是发生魔术的地方。服务器程序套件包含将检测入侵模式的分析引擎。服务器还会生成阻止检测到的入侵的干预策略。保护网络所需的操作将作为指令发送给传感器。

      系统的界面模块是一个仪表板,可向系统管理员显示事件和警报。这也是可以调整设置,可以调整或覆盖防御措施的地方。

    回到顶部

    12. Samhain

      由德国Samhain Design Labs生产的Samhain是免费使用的基于主机的入侵检测系统软件。它可以在单台计算机或多台主机上运行,​​从而提供有关每台计算机上运行的代理检测到的事件的集中数据。

      每个代理执行的任务包括文件完整性检查,日志文件监视和端口监视。进程查找rootkit病毒,流氓SUID(用户访问权限)和隐藏进程。在多主机实现中,系统将加密应用于代理和中央控制器之间的通信。传送日志文件数据的连接包括身份验证要求,可以防止入侵者劫持或替换监视过程。

      Samhain收集的数据可以分析网络上的活动,并突出显示入侵的警告信号。但是,它不会阻止入侵或清除恶意进程。您将需要保留配置文件和用户身份的备份,以解决Samhain监视器显示的问题。

      黑客和病毒入侵的一个问题是,入侵者将采取措施将其隐藏。这包括终止监视过程。 Samhain部署了一种隐身技术来隐藏其进程,从而防止入侵者操纵或杀死IDS。这种隐形方法称为“隐写术”。

      中央日志文件和配置备份使用PGP密钥签名,以防止入侵者篡改。

      Samhain是一个开源网络入侵检测系统,可以免费下载。它是根据POSIX准则设计的,以使其与Unix,Linux和Mac OS兼容。中央监视器将汇总来自不同操作系统的数据。

    回到顶部

    13. Fail2Ban

       Fail2Ban是一个免费的基于主机的入侵检测系统,专注于检测日志文件中记录的令人担忧的事件,例如过多的失败登录尝试。系统在显示可疑行为的IP地址上设置了阻止。这些禁令通常仅持续几分钟,但这足以破坏标准的自动暴力破解密码的情况。此安全策略也可以有效地抵抗DoS攻击。 IP地址禁止的实际长度可以由管理员调整。

      Fail2Ban实际上是一种入侵防御系统,因为它可以在检测到可疑活动时采取措施,而不仅会记录并突出显示可能的可疑入侵。

      因此,系统管理员在设置软件时必须注意访问策略,因为过于严格的预防策略很容易将善意的用户拒之门外。 Fail2Ban的问题在于,它专注于从一个地址重复执行操作。这使其无法应对分布式密码破解活动或DDoS攻击。

      Fail2Ban用Python编写,并且能够写入系统表以阻止可疑地址。这些自动锁定发生在Netfilter,iptables,PF防火墙规则和TCP Wrapper的hosts.deny表中。

      系统的攻击监视范围由一系列过滤器定义,这些过滤器指示IPS监视哪些服务。其中包括Postfix,Apache,Courier Mail Server,Lighttpd,sshd,vsftpd和qmail。每个过滤器都与一个动作结合在一起,以在检测到警报情况时执行。过滤器和操作的组合称为“监狱”。

      该系统采用POSIX标准编写,因此可以安装在Unix,Linux和Mac OS操作系统上。

    回到顶部

    14 如何为您的网络选择IDS软件

      基于网络的IDS解决方案的硬件要求可能会让您望而却步,而是将您推向基于主机的系统,该系统更容易启动和运行。但是,请不要忽略您不需要专用于这些系统的专用硬件的事实,只需专用主机即可。

      实际上,您应该在为网络获取HIDS和NIDS。这是因为您需要注意计算机上的配置更改和root用户访问权限,以及查看网络流量中的异常活动。

      好消息是,我们列出的所有系统都是免费的或免费试用的,因此您可以尝试其中的一些。这些系统的用户社区方面可能会特别吸引您,如果您已经有一位具有丰富经验的同事。从其他网络管理员那里获得提示的能力绝对是这些系统的吸引力。与专业服务台支持的付费解决方案相比,它甚至更具吸引力。

      如果您的公司所在的行业需要标准的安全合规性,例如PCI,那么您确实需要适当的IDS解决方案。另外,如果您将个人信息保存在公众面前,则您的数据保护程序必须严格执行,以防止因数据泄露而起诉您的公司。

      尽管可能只需要花费整天的时间来保持网络管理员的地位,但不要推迟安装入侵检测系统的决定。希望本指南为您提供了正确的方向。如果您对自己喜欢的IDS有任何建议,并且有使用本指南中提到的任何软件的经验,请在下面的评论部分中留下注释,并与社区分享您的想法。

    回到顶部

    15 入侵检测系统FAQ

    回到顶部

    什么是IDS和IPS?

      IDS是入侵检测系统,IPS是入侵防御系统。 尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。 IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。

    回到顶部

    Snort vs OSSEC

      Snort和OSSEC都是开源IDS。 Snort是基于网络的入侵检测系统(NIDS),而OSSEC是基于主机的入侵检测系统(HIDS)。 Snort和OSSEC方法之间的主要区别在于Snort的NIDS方法在数据通过网络传输时对其进行处理。 OSSEC的HIDS系统检查网络中计算机上的日志文件以查找意外事件。 Snort和OSSEC都是领先的IDS。

    回到顶部

    基于主机的入侵检测系统如何工作?

      基于主机的入侵检测系统(HIDS)检查日志文件,以识别未经授权的访问或对系统资源和数据的不当使用。 基于主机的入侵检测系统的主要来源是Syslog和Windows Events生成的日志。 尽管某些基于主机的入侵检测系统希望日志文件由单独的日志服务器收集和管理,但其他系统却内置了自己的日志文件合并器,并且还收集其他信息,例如网络流量数据包捕获。

    回到顶部

    什么是主动和被动IDS?

      入侵检测系统(IDS)仅需要识别对网络或数据的未授权访问即可获得标题。 被动IDS将记录入侵事件并生成警报以引起操作员的注意。 被动IDS还可以存储有关每个检测到的入侵和支持分析的信息。 主动IDS也被称为入侵防御系统(IPS)或入侵检测与防御系统(IDPS),因为它不仅可以发现入侵,还可以实施自动操作来阻止入侵者并保护资源。

    回到顶部

    IDS如何定义正常使用?

      IDS可以使用两种方法来定义正常使用-一些IDS工具会同时使用这两种方法。 一种是将事件与攻击策略数据库进行比较,因此正常使用的定义是不会触发对攻击的识别的任何活动。 另一种方法是使用基于AI的机器学习来记录常规活动。 AI方法可能需要一些时间来建立其正常使用的定义。

    回到顶部

    最好的入侵检测和防御系统是什么?

      我们的研究对最佳入侵检测和防御系统进行了排名,因为SolarWinds Security Event Manager,Snort,OSSEC和ManageEngine EventLog Analyzer是本文概述的领先系统。

    回到顶部

    16 Further Reading

    回到顶部

    Comparitech networking guides

    回到顶部

    Other information on network monitoring

    展开全文
  • 入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用...
  • 在信息技术高速发展的当今社会,对计算机及网络基础设 施的入侵攻击已经成为一个越来越严重和值得关注的问题。各 种入侵手段也层出不穷,任何一个普通个人...下,入侵检测(Intrusion Detection)技术也有了长足的发展
  • 入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,入侵检测系统是一种积极主动的安全防护技术。 入侵检测系统...
  • 笔者将对其的基本特性,攻击手段,危害及防范手段,以及如何使用RationalAppScan对CSRF攻击做检测及分析做一个系统的阐述。跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,...
  • Wikipedia入侵检测系统1.与防火墙的比较2.入侵检测类别2.1分析活动2.1.1网络入侵检测系统2.2.2主机入侵检测系统2.2检测方法2.2.1基于签名2.2.2基于异常3.IDS 放置 入侵检测系统 入侵检测系统(IDS)是监控网络或系统...
  • AD安全入侵检测系统 英文文件|文件 在收集所有域控制器上的事件日志和kerberos流量之后,WatchAD可以通过功能匹配,Kerberos协议分析,历史行为,敏感操作,蜜罐帐户等来检测各种已知或未知威胁.WatchAD规则涵盖了...
  • 入侵检测系统( IDS)

    2021-05-26 10:12:59
    一个基于主机的IDS可以监视并通过安装加密的网络通信中分析活性剂...但是,更常见的是将其部署在更安全的环境中的防火墙后面。 具有网络行为分析(NBA)功能的(基于网络的)IDS监视通过网关的流量以及通过交换机集线器
  • 常见入侵检测数据集

    千次阅读 2022-03-10 00:40:31
    MIT LL DARPA 该研究共模拟了 5 大类网络攻击: 1.Denial-Of-Service(DOS):非法企图...4.Surveillance or probe(Probe):非法扫描主机或网络,寻找漏洞、搜索系统配置或网络拓扑; 5.Date Compromise(data):非法访.
  • 我在网上搜了很多答案,还买了一本入侵检测技术的书,书上是这么说,基于主机的入侵检测技术,基于网络的入侵检测技术,基于储存的入侵...我还在网上搜到分成为异常入侵检测和误用入侵检测系统。所以到底正确答案是啥?
  • 基于Snort的入侵检测系统_相关论文

    千次阅读 2019-07-22 09:43:26
    随着网络技术的发展,中小型企业已建设了属于自己的信息化业务平台与系统。中小型企业只有实现信息互通,资源共享,才能够在当今的竞争中生存下去,但信息的互通会面临一些安全问题,对此需要对其采取一些措施来进行...
  • 入侵检测系统(IDS)与协同

    千次阅读 2019-11-28 21:27:19
    入侵检测系统详解 ① 监控分析用户和系统活动 ② 返现入侵企图或异常现象 ③ 记录报警和响应 目前的入侵检测系统是网络安全整体解决方案的一个重要部分,需要与其他安全设备 之间协同工作,共同解决网络安全...
  • 本文在分析无线局域网常见攻击方法的基础上,设计了一个分布式无线入侵防御系统预先决策引擎(distributed pre-decision engine,DPDE),能够有效地预测攻击者的入侵意图并提供主动的入侵防御。DPDE引擎采集无线...
  • 概述 入侵检测系统的架构 入侵检测系统的实现 区块链与入侵检测
  • 入侵检测技术

    千次阅读 2022-01-15 20:15:57
    1987年,Dorothy Denning提出了入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次提出了入侵检测可作为一种计算机系统安全防御措施的概念,与传统的加密和访问控制技术相比,IDS是全新的计算机安全...
  • 因此,引入全流量入侵检测技术架构就很有必要了。我们会通过镜像端口获取Nginx后端进出的Http流量,结合Bro抓包进行规则匹配检测和异常流量分析。常见的如SQL注入、暴力破解、撞库攻击、CC攻击等攻击手段,都可以...
  • 基于机器学习的入侵检测系统

    千次阅读 2019-06-03 11:49:21
    我们需要可修改、可重复、可扩展的数据集来学习和处理,以便能够轻松绕过基本入侵检测系统(IDS)的复杂攻击。这是机器学习能够发挥作用的地方,我们将在本文学习可用于构建健壮的IDS的各种机器学习技术。 什么是IDS...
  •  rootkit是Linux平台下常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对...
  • 入侵检测技术框架总论

    千次阅读 多人点赞 2020-08-06 18:26:02
    文章目录1. 引言,网络安全态势理解0x1:网络安全检测的描述0x2:安全分析2. 入侵检测0x1:入侵检测通用模型`1.... 入侵检测系统分类0x1:根据检测所用数据源进行分类`1. 基于主机的入侵检测系统(HIDS
  • 1、rootkit是linux系统常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强;linux下容易被替换系统程序有login ls ps ifconfig du find nestat等文件,其中login是最经常被替换的;因为...
  • 作者:EasyJF开源团队 大峡一、简介在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据。当然,入侵检测可以用...
  • [转]基于网络和主机的入侵检测比较,各自优缺点(2011-10-18 00:11:05)标签:it大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种...
  • 入侵检测技术期末重点总结

    千次阅读 多人点赞 2019-07-01 16:15:44
    入侵检测定义:对入侵行为的发觉,它通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 1.2入侵检测的基本原理:主要分为四个...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 20,904
精华内容 8,361
热门标签
关键字:

常见的入侵检测系统