网络入侵检测
一、核心基础概念
1.1 定义与核心目标
网络入侵检测系统(IDS):通过实时监控网络流量或主机行为,识别违反安全策略的攻击行为(如未授权访问、漏洞利用),并触发报警或响应的安全技术。
核心目标:
- 检测外部攻击(端口扫描、SQL注入等)
- 识别内部违规(越权访问、数据窃取)
- 监控异常行为(僵尸网络通信、暴力破解)
- 提供安全事件证据(攻击时间、手段、影响范围)
1.2 与防火墙的核心区别
| 对比项 | 防火墙 | IDS |
|---|---|---|
| 工作层次 | 网络层/传输层(包过滤、NAT) | 应用层/会话层(深度流量分析) |
| 核心功能 | 实时阻断非法流量(事前防御) | 检测并报警(事中/事后响应) |
| 检测能力 | 基于访问控制规则 | 复杂攻击模式识别(多阶段攻击) |
| 部署位置 | 串联在网络链路中 | 旁路部署(镜像端口)或主机Agent |
1.3 经典模型:Denning模型
- 数据收集:获取网络流量、主机日志、用户行为数据
- 事件分析:通过模式匹配或统计分析识别异常
- 响应机制:报警、记录日志、联动其他安全设备
二、入侵检测系统分类
2.1 按部署位置分类
2.1.1 主机型IDS(HIDS)
- 部署方式:安装在单个主机(服务器/终端),监控本地数据
- 检测对象:
- 系统文件篡改(如
/etc/shadow修改) - 异常进程(未授权程序运行)
- 登录日志异常(暴力破解尝试)
- 系统文件篡改(如
- 典型工具:Tripwire(文件完整性监控)、OSSEC
- 优缺点:
✅ 细粒度主机监控 ❌ 资源占用高,跨主机攻击检测能力弱
2.1.2 网络型IDS(NIDS)
- 部署方式:旁路部署(镜像端口),监控网络流量
- 检测对象:
- 恶意协议载荷(如SQL注入的
UNION SELECT) - 异常流量模式(端口扫描、DDoS特征)
- 漏洞利用包(如MS17-010永恒之蓝攻击包)
- 恶意协议载荷(如SQL注入的
- 典型工具:Snort、Suricata、Bro/Zeek
- 优缺点:
✅ 全网流量监控 ❌ 加密流量检测困难,依赖镜像端口配置
2.1.3 分布式IDS(DIDS)
- 部署方式:多台HIDS/NIDS协同,中央平台统一分析
- 适用场景:大型网络(跨地域企业、数据中心)
- 优势:覆盖主机+网络维度,检测跨主机攻击链(如APT攻击)
2.2 按检测方法分类(必考点)
2.2.1 误用检测(特征检测)
- 原理:基于已知攻击特征(规则库)匹配检测
- 特征类型:
- 攻击字符串(如
../../etc/passwd路径穿越) - 漏洞指纹(如Struts2漏洞的
%{表达式) - 协议异常(HTTP请求方法异常)
- 攻击字符串(如
- 优势:准确率高,适合已知攻击检测
- 缺点:无法检测零日漏洞,需定期更新规则库
2.2.2 异常检测
- 原理:建立系统正常行为基线,识别偏离基线的异常
- 常用方法:
- 统计分析(阈值检测,如单日登录失败>5次)
- 机器学习(聚类算法识别异常流量)
- 用户画像(如普通员工凌晨访问核心数据库)
- 优势:可检测未知攻击
- 缺点:误报率高,基线需持续优化
2.3 按技术实现分类
- 基于特征的检测:最常用误用检测技术(如Snort规则)
- 基于行为的检测:动态监控用户/系统行为(异常检测核心)
- 基于数据挖掘的检测:关联规则分析海量日志(适合复杂攻击)
三、核心技术与系统组成
3.1 检测模型核心要素
3.1.1 数据采集层
- 数据源:
- 网络流量(镜像端口抓包,如TCPdump)
- 主机日志(Windows事件日志、Linux syslog)
- 设备日志(防火墙、路由器日志)
- 关键技术:流量镜像配置(交换机SPAN端口)、日志标准化(统一格式便于分析)
3.1.2 分析引擎技术
3.1.2.1 模式匹配算法(误用检测核心)
- AC自动机:多关键字快速匹配(如检测攻击载荷中的多个特征)
- 正则表达式:复杂模式匹配(如检测SQL注入的
SELECT.*FROM) - 协议解析:深度分析应用层协议(如HTTP头部、FTP命令)
3.1.2.2 异常检测算法
- 统计方法:均值-标准差模型(识别流量突增)
- 机器学习模型:
- 监督学习(SVM分类正常/攻击流量)
- 无监督学习(孤立森林检测离群点)
3.2 系统组成部分(重点记忆)
- 探测器(Sensor):采集原始数据并预处理(过滤、标准化)
- 网络探测器:部署在镜像端口,抓取流量包
- 主机探测器:Agent形式安装,采集系统日志
- 分析引擎:执行检测算法(规则匹配/异常分析)
- 管理控制台:配置规则、可视化展示、日志管理
- 响应模块:
- 主动响应:联动防火墙阻断IP、终止异常进程
- 被动响应:邮件报警、生成安全工单
四、常用工具
| 工具 | 类型 | 核心技术 | 优势场景 |
|---|---|---|---|
| Snort | NIDS | 特征规则匹配(AC自动机) | 轻量级网络流量监控 |
| Suricata | NIDS | 多模式匹配(支持SSL解密) | 高性能检测(10Gbps+) |
| Bro/Zeek | NIDS | 协议行为分析 | 复杂网络环境(加密流量) |
| OSSEC | HIDS | 文件完整性+日志分析 | 主机安全审计 |
五、相关标准与合规
5.1 国内标准
- 等保2.0(GB/T 22239-2019)
- 三级及以上系统要求:
✅ 部署NIDS/HIDS,覆盖主要网络节点和关键主机
✅ 实现集中管理,日志留存≥6个月
- 三级及以上系统要求:
- 《网络安全法》第二十一条
- 要求采取技术措施监测网络安全事件,留存相关记录
5.2 国际标准
- ISO 27001:控制目标A.12.4,要求部署IDS监控网络攻击
- NIST SP 800-94:定义IDS技术架构,推荐分层检测(边界+主机)
练习题
单选题
- 以下属于主机型IDS检测对象的是?
A. 网络流量中的SQL注入Payload
B. 系统文件/etc/passwd的修改
C. 交换机镜像端口的异常流量
D. 防火墙的访问控制日志
答案:B
解析:HIDS专注主机本地检测,文件修改属于其检测范围;A、C为NIDS对象,D为设备日志分析。
- 误用检测的主要依据是?
A. 系统正常行为基线
B. 已知攻击特征库
C. 机器学习模型训练数据
D. 实时流量统计阈值
答案:B
解析:误用检测依赖预先定义的攻击特征(如规则库),异常检测才基于基线或阈值。
多选题
- 以下属于网络型IDS优点的有?(多选)
A. 细粒度主机进程监控
B. 全网流量实时监控
C. 支持加密流量检测
D. 部署方便(旁路镜像)
答案:BD
解析:A为HIDS优点,C错误(NIDS对加密流量检测困难,需解密技术),BD是NIDS核心优势。
- 等保2.0对三级系统的入侵检测要求包括?(多选)
A. 部署NIDS覆盖主要网络节点
B. 日志留存不少于3个月
C. 实现集中管理与审计
D. 支持与防火墙联动阻断
答案:AC
解析:等保要求日志留存≥6个月(B错误),联动阻断是IPS功能,IDS不强制要求(D错误),AC正确。
判断题
- IDS可以实时阻断攻击流量,无需依赖其他设备。( )
答案:×
解析:传统IDS以检测报警为主,阻断需依赖IPS或联动防火墙,题干混淆IDS与IPS功能。
- 异常检测对零日漏洞检测效果优于误用检测。( )
答案:√
解析:异常检测通过行为基线识别未知攻击,误用检测仅能检测已知特征,故正确。