前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >入侵检测系统:实时监测与防范网络攻击

入侵检测系统:实时监测与防范网络攻击

原创
作者头像
德迅云安全--陈琦琦
发布2024-04-28 17:22:00
1K0
发布2024-04-28 17:22:00

前言

在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击。有人说了,不是有防火墙嘛?

确实,防火墙是防止有害和可疑流量流入系统的首选解决方案,但是防火墙并不能保证 100% 万无一失,随着技术的不断更新,攻击者的攻击手段也在不断进步,他们可以很轻松绕过所有安全措施。

所以,入侵检测显得非常有用了,防火墙管理进入的内容,而入侵检测管理流经系统的内容,一般位于防火墙后面,与防火墙协同工作。

小德将给大家介绍一下什么是入侵检测、入侵检测的工作原理、入侵检测的分类,让我们直接开始。

什么是入侵检测?

入侵检测系统 (IDS) 是一种监控系统,可检测可疑活动并在检测到这些活动时生成警报,它是一种软件应用程序,用于扫描网络或系统中的有害活动或违反政策的行为。

概述:

通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。

保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及 VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。

检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。

响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。

入侵检测(Intrusion Detection ,ID)通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵( Intrusion )定义为未经授权的计算机使用者以及不正当使用 (misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion DetectionSystem,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显着的不同,因而是可以检测的。入侵检测的研究开始于 20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。

入侵检测系统在功能上是入侵防范系统的补充, 而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。

一个理想的入侵检测系统具有如下特性:

  • 能以最小的人为干预持续运行。
  • 能够从系统崩溃中恢复和重置。
  • 能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
  • 运行时占用系统的开销最小。
  • 能够根据被监视系统的安全策略进行配置。
  • 能在使用过程中适应系统和用户行为的改变。

入侵检测的分类

NIDS

NIDS英文全称:network intrusion detection system,中文名称:网络入侵检测系统。这是分析传入网络流量的系统。

将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口,如图。探测器通过采集内部网络流量数据,然后基于网络流量分析监测内部网络活动,从而可以发现内网中的入侵行为。

将NIDS的探测器接在网络边界处,采集与内部网进行同信的数据包,然后分析来自于外部的入侵行为。

HIDS

HIDS英文全称:host intrusion detection system,中文名称:主机入侵检测系统。这是监控重要操作系统文件的系统。HIDS一般用于检测针对单台主机的入侵行为。

应用方式:
  1. 单机应用。(把HIDS系统直接安装在受监测的主机上即可)
  2. 分布式应用。这种方式需要安装管理器和多个主机探测器(sensor)。管理器控制多个主机探测器(sensor),从而可以远程监控多台主机的安全状况

SIDS

SIDS英文全称:signature-based intrusion detection system,中文名称:基于签名的入侵检测系统。监控通过网络的所有数据包,并将它们与攻击签名或已知恶意威胁属性的数据库进行比较,就像防病毒软件一样。

AIDS

AIDS英文全称:anomaly-based intrusion detection system,中文名称:基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型,任何不一致都会被识别为可能的危险,为了建立基线和支持安全策略,这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制,尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁,但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。

入侵检测的应用

蜂巢(容器安全):

蜂巢通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意⾏为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。

实时入侵检测 威胁闭环处理

模块化说明:

基于已知威胁进行检测——德迅蜂巢通过监控容器内的进程创建、文件变化等行为,获取行为特征,将这些特征经过德迅五大检测引擎的检测,以发现容器中的病毒、挖矿、Webshell等攻击行为。

基于恶意行为进行检测——以ATT&CK框架中定义的入侵模型为参考,结合对于运行时基础事件监控来建立IOC模型进行分析,能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。

基于异常行为进行检测——通过容器进程行为、文件行为、网络行为的监控/学习,建立容器行为模型,分析异常偏离行为, 发现未知入侵威胁。

模块化优势:

  • 实时发现失陷容器
  • 有效发现未知⿊客攻击
  • 对业务系统“零”影响
  • 结合资产信息,为响应提供最准确的⼀线信息

结论

入侵检测技术是一项相对传统的技术,它提高了各类设备以及网络环境的安全性。最近,ML算法已被用来开发这项技术,对于保护和监控非常有帮助。在未来的工作中,大量研究人员将持续通过使用DL或者集成学习技术来改进传统的入侵检测系统。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 前言
    • 什么是入侵检测?
      • 概述:
    • 入侵检测的分类
      • NIDS
      • HIDS
      • SIDS
      • AIDS
    • 入侵检测的应用
      • 实时入侵检测 威胁闭环处理
      • 模块化说明:
    • 结论
    相关产品与服务
    主机安全
    主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
    领券
    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档