入侵检测与预防的方法

先决条件 –

• 入侵检测系统（IDS）
• 入侵防御系统（IPS）

IDS代表入侵检测系统（IDS）. 这是一种设备或软件应用程序，用于监控网络或系统中的恶意活动或违反政策的行为。 入侵检测与预防主要有六种基本方法。 其中一些方法被应用于各种软件包中，而另一些则只是组织可以用来降低成功入侵可能性的策略而已。 从历史上看，当身份识别技术刚刚被开发出来时，人们经常使用“中心节点”来进行身份识别。 如今，人们更倾向于使用交换机而不是集线器。因为，当数据包从源网络传输到目标网络后（通过目标网络的IP地址进行路由），它最终会到达目标设备所在的网络段。 在最后一部分中，会使用MAC地址来定位目标设备。 该网络段上的所有计算机都能看到这些数据包。但由于目标MAC地址与它们自己的网络接口卡的MAC地址不匹配，因此这些计算机会忽略这些数据包。 在某个时刻，企业员工意识到，如果他们不忽略那些并非 destinative 于他们的网络卡的数据包，那么他们就能看到整个网络段上的所有流量。 换句话说，可以查看该网络段上所有的数据包。 于是，数据包嗅探器便诞生了。 之后，分析这些数据包以寻找攻击迹象的时间问题就变得微不足道了。 从而催生了入侵检测系统。入侵检测与预防的方法： 预防性阻断：这种方法也被称为“禁止入侵机制”。它的目的是在入侵发生之前就加以阻止。具体来说，就是通过监测任何潜在的威胁信号，然后阻止来自这些信号的用户或IP地址的访问。例如——这种技术旨在及时发现即将发生的入侵行为，从而阻止那些作为入侵源的网络或用户的访问。 如果管理员发现某个特定IP地址经常进行端口扫描或其他类型的系统扫描，那么他们将会在防火墙上封锁该IP地址。 上述入侵检测与避免机制可能会变得相当复杂，这可能会导致系统误拦合法用户。 这种复杂性源于需要区分合法流量与那些可能预示着即将发生攻击的流量。 这可能会导致误报的问题，即系统错误地将合法的网络流量识别为某种攻击行为。

• 该软件系统会简单地向管理员发出警报，提示有可疑的活动发生。然后，由人工管理员来决定是否阻止这些流量。
• 如果软件会自动屏蔽那些它认为可疑的地址，那么就有可能把合法用户也排除在外。
• 此外，还需要注意的是，没有任何措施能够阻止那些进行攻击的用户转移到其他机器上，继续他们的攻击行为。
• 这种处理方式应该只是整体入侵检测策略的一部分而已，而不应作为整个策略的全部内容。

2. 异常检测：

• 它涉及到一些实际的软件，这些软件能够检测入侵企图，并立即通知管理员。
• 整个过程很简单。系统会检测任何异常行为。任何不符合正常用户行为的活动都会被记录下来。该软件会将观察到的行为与预期的正常运行模式进行比较。
• 这些配置文件通常是为特定的用户、用户群体或应用程序而创建的。任何不符合正常行为定义的活动都会被视为异常，并会被记录下来。
• 有时候，这种情况被称为“追溯检测”或“追溯过程”。通过这种方式，我们能够确定该数据包是从哪里被传输过来的。

检测异常的具体方式包括：阈值监控、资源分析、用户/群组工作分析，以及可执行文件分析。下面将对这些方式进行详细说明。3. 阈值监控：阈值监控会预先设定可接受的行为范围，并检测是否超出了这些范围。 这可能包括一些简单的情况，比如登录尝试的次数有限；也可能包括一些复杂的情况，比如监控用户连接网络的时间以及用户下载的数据量。 阈值监控能够明确界定什么是可接受的行为。 仅通过阈值来定义侵入性行为，这确实具有一定的挑战性。 通常，要确定合适的阈值或检查这些阈值的适当时间范围是非常困难的。 这可能会导致高比例的误报，即系统将正常的操作误认为是潜在的攻击行为。4. 资源分析：该工具能够测量整个系统范围内资源的使用情况，并记录历史使用情况。异常的数据读数可能表明存在非法活动。不过，对于系统整体使用情况的变动来说，很难准确解读其含义。使用量的增加可能只是因为工作流程有所变化而已，而不是试图突破安全措施。5. 用户/群组工作分析：在这里，IDS会维护关于用户和组的个人工作信息。 这些用户和群组都应遵守这些规定。 当用户改变自己的活动方式时，其预期的工作状态也会随之更新，以反映这些变化。 一些系统试图监控短期与长期配置之间的相互作用。 短期趋势分析能够反映近期工作模式的变动情况，而长期趋势分析则能揭示一段时间内的使用模式。 不过，对于那些不规则或动态变化的用户群体来说，进行特征分析确实比较困难。 如果定义过于宽泛，那么任何活动都可能会被审查；而如果定义过于狭隘，则可能会妨碍用户的工作。6. 可执行性分析：可执行程序分析的目的是衡量和监控程序对系统资源的使用情况，尤其是那些其活动可以被明确追溯到特定用户的程序。 例如，系统服务通常无法被追溯到具体发起这些服务的用户身上。 病毒、特洛伊木马、蠕虫、Tap-door以及其他类型的软件攻击，都是通过分析系统中的各种对象（如文件和打印机）的正常使用方式来加以防范的。这种分析不仅涉及用户本身，还涉及到用户所在系统中的其他相关主体。 如果这些病毒能够继承用户执行软件时所拥有的所有权限的话…… 软件并不受“最小权限”原则的限制，而是只受到确保程序能够正常运行所需的那些权限的限制。 这种开放架构使得病毒能够秘密地修改和感染系统中完全不相关的部分。 可执行文件分析可以帮助IDS识别出可能表明存在攻击行为的活动。 一旦识别出潜在的危险，那么向管理员通知的方式，比如通过网络消息或电子邮件等方式，则是由各个入侵检测系统来决定的。