第6章 入侵检测技术IDS重点IDS定义、HIDS/NIDS、异常/滥用、步骤、特征/协议分析、IDS vs IPS6.1 入侵检测概述1. 定义与本质定义一种主动保护网络和系统免遭非法攻击的网络安全技术。通过收集、分析系统/网络信息检测违反安全策略的行为包括入侵-非法用户的违规和误用-合法用户的违规并做出反应。形象比喻网络摄像机捕获数据 智能摄像机分析提炼异常 X光摄像机穿透伪装 保安自动反击/联动防火墙。2. 通用入侵检测系统模型4大组件数据收集器探测器负责收集数据。检测器分析器/检测引擎分析并检测入侵发出警报核心。知识库提供必要的数据和规则支持。控制器根据警报做出反应人工或自动。(注通常还包含用户接口组件用于人机交互)3. IDS与P2DR模型P2DR策略、防护、检测、响应。核心结论安全目标 增大保护时间 减少检测时间和响应时间。IDS的地位实现P2DR中“D(检测)”的主要手段是承前启后的关键环节根据策略配置检测结果驱动响应和防护调整。4. IDS功能与意义事前检测企图报警驱逐事中减少损失事后收集信息丰富知识库。意义弥补防火墙等被动防御的不足是实现主动防御的核心技术。5. 两大关键指标漏报率攻击发生了但IDS没检测到。误报率正常行为被IDS当成攻击报警。误报率与检出率成正比检出越灵敏误报越多6. IDS的优缺点优点提高系统监控能力、跟踪用户活动、识别攻击并报警。不足不能弥补弱认证/协议弱点、无法分析加密数据/堵塞网络、需要人工干预、不知晓安全策略内容。6.2 入侵检测技术分类1. 按信息源分类类型数据来源优点缺点基于主机的IDS (HIDS)主机审计记录、系统日志检测高层复杂攻击准确视野集中能区分合法/非法用户不受网络流量影响适用加密和交换环境依赖特定OS影响宿主机性能无法监测网络大量攻击基于网络的IDS (NIDS)网络数据包监听侦测速度快隐蔽性好视野宽OS无关性占资源少无法检测不同网段包交换环境受限难以检测复杂计算攻击处理加密数据困难(IPv6下更突出)网络节点IDS (NNIDS)所在主机的网络进出流量结合NIDS和HIDS优点适合高速交换和加密环境分散计算量兼具部分两者缺点2. 按检测方法分类异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。首先总结正常操作应该具有的特征用户轮廓当用户活动与正常行为有重大偏离时即被认定是入侵。滥用/误用入侵检测的技术基础是分析各种类型的攻击手段并找出可能的攻击特征集合滥用入侵检测利用这些特征集合或者是对应的规则集合对当前的数据来源进行各种处理后再进行特征匹配或者规则匹配工作如果发现满足条件的匹配则指示发生了一次攻击行为。类型思想前提优点缺点异常检测任何正常行为有规律偏离规律即为入侵入侵是异常活动的子集能检测未知攻击可检测冒用账号自适应自学习误报率高漏报率高入侵者可缓慢改变行为逃避计算量大参考库难建误用检测预先定义入侵特征匹配即为入侵所有入侵都有特征算法简单开销小准确率高误报低效率高不能检测未知攻击(漏报高)模式库维护难依赖平台环境补充目前大多数商用系统基于误用检测但两者联合使用是必然趋势。3. 其他分类按工作方式在线检测实时、离线检测事后非实时。按体系结构集中式、等级式、协作式。6.3 入侵检测的核心技术与实现1. 入侵检测的三步骤信息收集依赖信息的可靠性、正确性、完备性防篡改。数据分析IDS的核心决定系统性能异常/误用。响应记录日志、触发警报、修改系统断开连接/改防火墙配置。2. 网络数据包的获取底层基石以太网环境将网卡设置为混杂模式直接访问数据链路层截获所有数据。跨平台库Libpcap(Linux) /Winpcap(Windows含NPF驱动、Packet.dll、Wpcap.dll)。交换网络环境利用交换机/路由器的监听端口/镜像端口。问题高带宽可能无法全部镜像并非所有设备支持。3. 检测引擎与Snort实例引擎类型嵌入式规则检测引擎遍历规则链表匹配、可编程检测引擎脚本语言自定义。Snort系统轻量级开源NIDS。原理Libpcap抓包 ➔ 协议栈分析 ➔ 误用检测规则库匹配。三种工作模式嗅探器、数据包记录器、网络入侵检测系统。4.特征分析与协议分析特征分析将数据包视为无结构字节流进行简单字符串匹配。早期技术效率低且易误报。协议分析利用协议高度规则性层层解析MAC头➔IP头➔TCP头➔应用层根据RFC规范寻找违反定义的数据包。优势减少误报、提高分析速度、能解决编码/模糊路径问题、可执行协议异常分析如检测0-day漏洞/NOP操作。趋势两者融合现代特征分析加入了3/4层解码现代协议分析深入到第7层应用层。6.4 IDS部署与体系结构1. 体系结构分类集中式多个审计程序一个中央服务器单点故障风险。等级式分等级监控区域逐级上报上级可能成为瓶颈。协作式多个HIDS不分等级各司其职无中央服务器。2. 复杂网络环境部署无监听端口的网络映射交换机出口。多VLAN网络检测端口映射为多个VLAN端口。多交换机串联使用多个探测器。广域网在各关键节点部署探测器集中管理。6.5IPS技术入侵防御系统1. IPS的产生原因防火墙能阻低层但防不住应用层深层攻击。IDS能发现深层攻击但是旁路部署无法实时阻断。IDS防火墙联动接口不统一对“瞬间攻击”如SQL注入反应太慢。结论需要一种能实时阻断深层攻击的系统 ➔IPS。2. IPS基本原理与特点部署方式串联在网络进出口与IDS旁路不同。工作机制信息采集 ➔ 分析同IDS ➔实时阻断响应发现即丢包/切断源。首先有信息采集模块实施信息收集内容包括系统和网络的数据以及用户获得的状态和行为然后利用模式匹配、协议分析、统计分析和完整性分析等技术手段由信息分析模块对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析最后有反应模块对采集分析后的结果做出相应的反应。核心设计理念实时检测与主动防御。3. IPS的优势与关键技术关键技术主动防御、防火墙/IPS联动、综合多种检测方法、硬件加速技术。优势在线安装流量必须经过它。实时阻断避免损失发生。先进检测技术并行处理检测 协议重组分析硬件预处理。特殊规则植入可执行可接受应用策略(AUP)。自学习与自适应自动更新特征库和安全策略。4. 发展趋势总结主动检测 ➔主动防御 (IPS)➔安全管理 (IMS)➔ 集中/分级管理 ➔ 主动追踪蜜罐/密网技术。模拟复习题一、 单项选择题共4题1. 在入侵检测系统IDS的评估指标中将正常事件错误地识别为攻击并发出报警称为 。A. 漏报率B. 误报率C. 检出率D. 容错率【答案】B解析误报率是把正常事件当成攻击报警漏报率是攻击发生了但没检测到。误报率与检出率成正比。2. 能够检测出未知攻击但误报率较高的入侵检测技术是 。A. 误用检测B. 异常检测C. 基于主机的检测D. 基于网络的检测【答案】B解析异常检测基于“偏离正常即为入侵”的思想不需要预先知道攻击特征因此能检测未知攻击但合法行为的突变容易导致高误报率。误用检测只能检测已知攻击漏报率高。3. 在交换网络环境中基于网络的IDSNIDS获取数据包的常用方法是 。A. 将网卡设置为混杂模式B. 利用交换机的镜像端口监听端口C. 在主机上安装代理程序D. 直接访问数据链路层【答案】B解析在共享式以太网中用混杂模式A但在交换网络中由于不再具备广播特性必须通过交换机/路由器的镜像端口或监听端口来获取流量。4. 关于IPS入侵防御系统与IDS入侵检测系统的比较下列说法正确的是 。A. IDS是串联部署IPS是旁路部署B. IPS是串联部署能够实时阻断攻击IDS是旁路部署主要起报警作用C. IDS可以防御应用层深层攻击IPS只能防御低层攻击D. IPS和IDS的部署方式相同仅检测引擎不同【答案】B解析核心区别在于部署方式和响应能力。IDS旁路并联只能报警不能阻断IPS串联可以直接丢包实时阻断攻击。二、 判断题共3题5. 在P2DR动态安全模型中入侵检测技术IDS是实现“Protection防护”部分的主要技术手段。 【答案】错误×解析在P2DR模型中IDS是实现“Detection检测”部分的主要技术手段并且是承前启后的关键环节而非防护。6. 基于主机的入侵检测系统HIDS由于依赖特定的操作系统平台且无法检测网络环境下的海量攻击因此它不适用于被加密的以及交换的网络环境。 【答案】错误×解析基于主机的HIDS适用于被加密的以及交换的环境。因为HIDS数据来源于主机日志而非网络数据包所以网络是否加密或交换对它影响不大。7. 协议分析技术利用了网络协议的高度规则性相比早期的简单特征匹配字符串匹配它能够有效减少误报率并解决诸如十六进制编码、模糊路径等逃避检测的问题。 【答案】正确√解析协议分析根据RFC规范层层解码不仅速度快还能精准定位协议字段有效解决特征匹配无法处理的编码伪装和路径模糊问题。三、 简答题共3题8. 简述异常检测和误用检测的优缺点对比。【答案要点】异常检测优点能够检测未知的入侵行为可以检测冒用他人账号的行为具有自适应和自学习能力。缺点误报率和漏报率高入侵者可缓慢改变行为模式逃避检测统计算法计算量大效率低。误用检测优点算法简单、系统开销小、准确率高误报低、效率高。缺点被动只能检测已知攻击无法发现新型攻击模式库建立和维护困难需不断更新。9. 简述IPS入侵防御系统产生的原因。【答案要点】IPS的产生是为了弥补防火墙和IDS的不足防火墙的局限串行部署的防火墙能拦截低层攻击但对应用层的深层攻击无能为力。IDS的局限旁路部署的IDS能发现深层攻击但无法实时阻断。联动的失效虽然IDS可以与防火墙联动IDS发现防火墙阻断但由于缺乏统一接口规范且面对“瞬间攻击”如SQL注入一个会话即达成攻击时反应太慢联动效果不佳。结论因此需要一种既能深度检测又能实时阻断的系统即IPS。10. 简述通用入侵检测系统模型的主要组成部分及其功能。【答案要点】通用入侵检测系统模型主要由以下四部分组成数据收集器探测器主要负责收集系统和网络中的数据。检测器分析器/检测引擎负责分析和检测入侵任务是系统的核心发现入侵后发出警报信号。知识库提供必要的数据信息支持如攻击特征库、正常行为轮廓等。控制器根据警报信号人工或自动做出反应动作如切断连接、记录日志等。(补充通常还包含用户接口组件用于人机交互)
《物联网安全》第6章 入侵检测技术
发布时间:2026/6/3 1:01:26
第6章 入侵检测技术IDS重点IDS定义、HIDS/NIDS、异常/滥用、步骤、特征/协议分析、IDS vs IPS6.1 入侵检测概述1. 定义与本质定义一种主动保护网络和系统免遭非法攻击的网络安全技术。通过收集、分析系统/网络信息检测违反安全策略的行为包括入侵-非法用户的违规和误用-合法用户的违规并做出反应。形象比喻网络摄像机捕获数据 智能摄像机分析提炼异常 X光摄像机穿透伪装 保安自动反击/联动防火墙。2. 通用入侵检测系统模型4大组件数据收集器探测器负责收集数据。检测器分析器/检测引擎分析并检测入侵发出警报核心。知识库提供必要的数据和规则支持。控制器根据警报做出反应人工或自动。(注通常还包含用户接口组件用于人机交互)3. IDS与P2DR模型P2DR策略、防护、检测、响应。核心结论安全目标 增大保护时间 减少检测时间和响应时间。IDS的地位实现P2DR中“D(检测)”的主要手段是承前启后的关键环节根据策略配置检测结果驱动响应和防护调整。4. IDS功能与意义事前检测企图报警驱逐事中减少损失事后收集信息丰富知识库。意义弥补防火墙等被动防御的不足是实现主动防御的核心技术。5. 两大关键指标漏报率攻击发生了但IDS没检测到。误报率正常行为被IDS当成攻击报警。误报率与检出率成正比检出越灵敏误报越多6. IDS的优缺点优点提高系统监控能力、跟踪用户活动、识别攻击并报警。不足不能弥补弱认证/协议弱点、无法分析加密数据/堵塞网络、需要人工干预、不知晓安全策略内容。6.2 入侵检测技术分类1. 按信息源分类类型数据来源优点缺点基于主机的IDS (HIDS)主机审计记录、系统日志检测高层复杂攻击准确视野集中能区分合法/非法用户不受网络流量影响适用加密和交换环境依赖特定OS影响宿主机性能无法监测网络大量攻击基于网络的IDS (NIDS)网络数据包监听侦测速度快隐蔽性好视野宽OS无关性占资源少无法检测不同网段包交换环境受限难以检测复杂计算攻击处理加密数据困难(IPv6下更突出)网络节点IDS (NNIDS)所在主机的网络进出流量结合NIDS和HIDS优点适合高速交换和加密环境分散计算量兼具部分两者缺点2. 按检测方法分类异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。首先总结正常操作应该具有的特征用户轮廓当用户活动与正常行为有重大偏离时即被认定是入侵。滥用/误用入侵检测的技术基础是分析各种类型的攻击手段并找出可能的攻击特征集合滥用入侵检测利用这些特征集合或者是对应的规则集合对当前的数据来源进行各种处理后再进行特征匹配或者规则匹配工作如果发现满足条件的匹配则指示发生了一次攻击行为。类型思想前提优点缺点异常检测任何正常行为有规律偏离规律即为入侵入侵是异常活动的子集能检测未知攻击可检测冒用账号自适应自学习误报率高漏报率高入侵者可缓慢改变行为逃避计算量大参考库难建误用检测预先定义入侵特征匹配即为入侵所有入侵都有特征算法简单开销小准确率高误报低效率高不能检测未知攻击(漏报高)模式库维护难依赖平台环境补充目前大多数商用系统基于误用检测但两者联合使用是必然趋势。3. 其他分类按工作方式在线检测实时、离线检测事后非实时。按体系结构集中式、等级式、协作式。6.3 入侵检测的核心技术与实现1. 入侵检测的三步骤信息收集依赖信息的可靠性、正确性、完备性防篡改。数据分析IDS的核心决定系统性能异常/误用。响应记录日志、触发警报、修改系统断开连接/改防火墙配置。2. 网络数据包的获取底层基石以太网环境将网卡设置为混杂模式直接访问数据链路层截获所有数据。跨平台库Libpcap(Linux) /Winpcap(Windows含NPF驱动、Packet.dll、Wpcap.dll)。交换网络环境利用交换机/路由器的监听端口/镜像端口。问题高带宽可能无法全部镜像并非所有设备支持。3. 检测引擎与Snort实例引擎类型嵌入式规则检测引擎遍历规则链表匹配、可编程检测引擎脚本语言自定义。Snort系统轻量级开源NIDS。原理Libpcap抓包 ➔ 协议栈分析 ➔ 误用检测规则库匹配。三种工作模式嗅探器、数据包记录器、网络入侵检测系统。4.特征分析与协议分析特征分析将数据包视为无结构字节流进行简单字符串匹配。早期技术效率低且易误报。协议分析利用协议高度规则性层层解析MAC头➔IP头➔TCP头➔应用层根据RFC规范寻找违反定义的数据包。优势减少误报、提高分析速度、能解决编码/模糊路径问题、可执行协议异常分析如检测0-day漏洞/NOP操作。趋势两者融合现代特征分析加入了3/4层解码现代协议分析深入到第7层应用层。6.4 IDS部署与体系结构1. 体系结构分类集中式多个审计程序一个中央服务器单点故障风险。等级式分等级监控区域逐级上报上级可能成为瓶颈。协作式多个HIDS不分等级各司其职无中央服务器。2. 复杂网络环境部署无监听端口的网络映射交换机出口。多VLAN网络检测端口映射为多个VLAN端口。多交换机串联使用多个探测器。广域网在各关键节点部署探测器集中管理。6.5IPS技术入侵防御系统1. IPS的产生原因防火墙能阻低层但防不住应用层深层攻击。IDS能发现深层攻击但是旁路部署无法实时阻断。IDS防火墙联动接口不统一对“瞬间攻击”如SQL注入反应太慢。结论需要一种能实时阻断深层攻击的系统 ➔IPS。2. IPS基本原理与特点部署方式串联在网络进出口与IDS旁路不同。工作机制信息采集 ➔ 分析同IDS ➔实时阻断响应发现即丢包/切断源。首先有信息采集模块实施信息收集内容包括系统和网络的数据以及用户获得的状态和行为然后利用模式匹配、协议分析、统计分析和完整性分析等技术手段由信息分析模块对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析最后有反应模块对采集分析后的结果做出相应的反应。核心设计理念实时检测与主动防御。3. IPS的优势与关键技术关键技术主动防御、防火墙/IPS联动、综合多种检测方法、硬件加速技术。优势在线安装流量必须经过它。实时阻断避免损失发生。先进检测技术并行处理检测 协议重组分析硬件预处理。特殊规则植入可执行可接受应用策略(AUP)。自学习与自适应自动更新特征库和安全策略。4. 发展趋势总结主动检测 ➔主动防御 (IPS)➔安全管理 (IMS)➔ 集中/分级管理 ➔ 主动追踪蜜罐/密网技术。模拟复习题一、 单项选择题共4题1. 在入侵检测系统IDS的评估指标中将正常事件错误地识别为攻击并发出报警称为 。A. 漏报率B. 误报率C. 检出率D. 容错率【答案】B解析误报率是把正常事件当成攻击报警漏报率是攻击发生了但没检测到。误报率与检出率成正比。2. 能够检测出未知攻击但误报率较高的入侵检测技术是 。A. 误用检测B. 异常检测C. 基于主机的检测D. 基于网络的检测【答案】B解析异常检测基于“偏离正常即为入侵”的思想不需要预先知道攻击特征因此能检测未知攻击但合法行为的突变容易导致高误报率。误用检测只能检测已知攻击漏报率高。3. 在交换网络环境中基于网络的IDSNIDS获取数据包的常用方法是 。A. 将网卡设置为混杂模式B. 利用交换机的镜像端口监听端口C. 在主机上安装代理程序D. 直接访问数据链路层【答案】B解析在共享式以太网中用混杂模式A但在交换网络中由于不再具备广播特性必须通过交换机/路由器的镜像端口或监听端口来获取流量。4. 关于IPS入侵防御系统与IDS入侵检测系统的比较下列说法正确的是 。A. IDS是串联部署IPS是旁路部署B. IPS是串联部署能够实时阻断攻击IDS是旁路部署主要起报警作用C. IDS可以防御应用层深层攻击IPS只能防御低层攻击D. IPS和IDS的部署方式相同仅检测引擎不同【答案】B解析核心区别在于部署方式和响应能力。IDS旁路并联只能报警不能阻断IPS串联可以直接丢包实时阻断攻击。二、 判断题共3题5. 在P2DR动态安全模型中入侵检测技术IDS是实现“Protection防护”部分的主要技术手段。 【答案】错误×解析在P2DR模型中IDS是实现“Detection检测”部分的主要技术手段并且是承前启后的关键环节而非防护。6. 基于主机的入侵检测系统HIDS由于依赖特定的操作系统平台且无法检测网络环境下的海量攻击因此它不适用于被加密的以及交换的网络环境。 【答案】错误×解析基于主机的HIDS适用于被加密的以及交换的环境。因为HIDS数据来源于主机日志而非网络数据包所以网络是否加密或交换对它影响不大。7. 协议分析技术利用了网络协议的高度规则性相比早期的简单特征匹配字符串匹配它能够有效减少误报率并解决诸如十六进制编码、模糊路径等逃避检测的问题。 【答案】正确√解析协议分析根据RFC规范层层解码不仅速度快还能精准定位协议字段有效解决特征匹配无法处理的编码伪装和路径模糊问题。三、 简答题共3题8. 简述异常检测和误用检测的优缺点对比。【答案要点】异常检测优点能够检测未知的入侵行为可以检测冒用他人账号的行为具有自适应和自学习能力。缺点误报率和漏报率高入侵者可缓慢改变行为模式逃避检测统计算法计算量大效率低。误用检测优点算法简单、系统开销小、准确率高误报低、效率高。缺点被动只能检测已知攻击无法发现新型攻击模式库建立和维护困难需不断更新。9. 简述IPS入侵防御系统产生的原因。【答案要点】IPS的产生是为了弥补防火墙和IDS的不足防火墙的局限串行部署的防火墙能拦截低层攻击但对应用层的深层攻击无能为力。IDS的局限旁路部署的IDS能发现深层攻击但无法实时阻断。联动的失效虽然IDS可以与防火墙联动IDS发现防火墙阻断但由于缺乏统一接口规范且面对“瞬间攻击”如SQL注入一个会话即达成攻击时反应太慢联动效果不佳。结论因此需要一种既能深度检测又能实时阻断的系统即IPS。10. 简述通用入侵检测系统模型的主要组成部分及其功能。【答案要点】通用入侵检测系统模型主要由以下四部分组成数据收集器探测器主要负责收集系统和网络中的数据。检测器分析器/检测引擎负责分析和检测入侵任务是系统的核心发现入侵后发出警报信号。知识库提供必要的数据信息支持如攻击特征库、正常行为轮廓等。控制器根据警报信号人工或自动做出反应动作如切断连接、记录日志等。(补充通常还包含用户接口组件用于人机交互)
)
