入侵检测系统(IDS)分类
入侵可以定義為任何類型的對(duì)信息系統(tǒng)造成損害的未經(jīng)授權(quán)的活動(dòng)。這意味著任何可能對(duì)信息機(jī)密性、完整性或可用性構(gòu)成威脅的攻擊都將被視為入侵。例如,使計(jì)算機(jī)服務(wù)對(duì)合法用戶無(wú)響應(yīng)的活動(dòng)被視為入侵。 IDS 是一種軟件或硬件系統(tǒng),用于識(shí)別計(jì)算機(jī)系統(tǒng)上的惡意行為,以便維護(hù)系統(tǒng)安全。 IDS 的目標(biāo)是識(shí)別傳統(tǒng)防火墻無(wú)法識(shí)別的不同類型的惡意網(wǎng)絡(luò)流量和計(jì)算機(jī)使用情況。這對(duì)于實(shí)現(xiàn)對(duì)損害計(jì)算機(jī)系統(tǒng)可用性、完整性或機(jī)密性的行為的高度保護(hù)至關(guān)重要。
總體上來(lái)說(shuō),IDS 系統(tǒng)可以大致分為兩類:基于簽名的入侵檢測(cè)系統(tǒng) (SIDS) 和基于異常的入侵檢測(cè)系統(tǒng) (AIDS),以下分別介紹:
- 基于簽名的入侵檢測(cè)系統(tǒng) (SIDS)。基于簽名入侵檢測(cè)系統(tǒng) (SIDS) 是基于模式匹配技術(shù)來(lái)發(fā)現(xiàn)已知攻擊,也被稱為基于知識(shí)的檢測(cè)或誤用檢測(cè)。在 SIDS 中,匹配方法用于查找先前的入侵。換言之,當(dāng)入侵特征與特征數(shù)據(jù)庫(kù)中已經(jīng)存在的先前入侵的特征相匹配時(shí),觸發(fā)警報(bào)信號(hào)。對(duì)于 SIDS,檢查主機(jī)的日志以查找先前被識(shí)別為惡意軟件的命令或操作序列。 SIDS主要思想是建立一個(gè)入侵特征數(shù)據(jù)庫(kù),并將當(dāng)前活動(dòng)集與現(xiàn)有特征進(jìn)行比較,如果發(fā)現(xiàn)匹配則發(fā)出警報(bào)。SIDS 通常對(duì)先前已知的入侵提供出色的檢測(cè)精度。然而,SIDS 難以檢測(cè)零日攻擊,因?yàn)樵谔崛『痛鎯?chǔ)新攻擊的簽名之前,數(shù)據(jù)庫(kù)中不存在匹配的簽名。 SIDS 被用于許多常用工具,例如 Snort (Roesch, 1999) 和 NetSTAT (Vigna & Kemmerer, 1999)。 SIDS 的傳統(tǒng)方法檢查網(wǎng)絡(luò)數(shù)據(jù)包并嘗試與簽名數(shù)據(jù)庫(kù)進(jìn)行匹配。但是這些技術(shù)無(wú)法識(shí)別跨越多個(gè)數(shù)據(jù)包的攻擊。由于現(xiàn)代惡意軟件更加復(fù)雜,可能有必要從多個(gè)數(shù)據(jù)包中提取簽名信息。這需要 IDS 調(diào)用早期數(shù)據(jù)包的內(nèi)容。關(guān)于為 SIDS 創(chuàng)建簽名,通常有許多方法可以將簽名創(chuàng)建為狀態(tài)機(jī) (Meiners et al., 2010)、正式語(yǔ)言字符串模式或語(yǔ)義條件 (Lin et al., 2011)。零日攻擊(賽門鐵克,2017 年)的頻率越來(lái)越高,這使得 SIDS 技術(shù)的有效性逐漸降低,因?yàn)槿魏未祟惞舳疾淮嬖谙惹暗暮灻阂廛浖亩鄳B(tài)變體和不斷增加的針對(duì)性攻擊可能會(huì)進(jìn)一步破壞這種傳統(tǒng)范式的充分性。SIDS的大體結(jié)構(gòu)如圖所示:
- 基于異常的入侵檢測(cè)系統(tǒng)(AIDS)。AIDS由于能夠克服SIDS的局限性而引起了許多學(xué)者的關(guān)注。在AIDS中,計(jì)算機(jī)系統(tǒng)行為的正常模型是使用機(jī)器學(xué)習(xí)、基于統(tǒng)計(jì)或基于知識(shí)的方法創(chuàng)建的。觀察到的行為與正常模型之間的任何顯著偏差都被視為異常,可以解釋為入侵。這組技術(shù)的假設(shè)是惡意行為不同于典型的用戶行為。異常用戶的與標(biāo)準(zhǔn)行為不同的行為被歸類為入侵。AIDS的發(fā)展包括兩個(gè)階段:訓(xùn)練階段和測(cè)試階段。在訓(xùn)練階段,正常流量配置文件用于學(xué)習(xí)正常行為模型,然后在測(cè)試階段,使用新數(shù)據(jù)集建立系統(tǒng)泛化到以前未見(jiàn)過(guò)的入侵的能力。AIDS可以根據(jù)訓(xùn)練的方法分為許多類別,例如,基于統(tǒng)計(jì)的、基于知識(shí)的和基于機(jī)器學(xué)習(xí)的(Butun et al., 2014)。 AIDS 的主要優(yōu)點(diǎn)是能夠識(shí)別零日攻擊,因?yàn)樽R(shí)別異常用戶活動(dòng)不依賴于簽名數(shù)據(jù)庫(kù)(Alazab 等,2012)。當(dāng)被檢查的行為與通常的行為不同時(shí),AIDS會(huì)觸發(fā)危險(xiǎn)信號(hào)。SIDS 只能識(shí)別已知的入侵,而 AIDS 可以檢測(cè)零日攻擊。然而,AIDS 可能導(dǎo)致高誤報(bào)率,因?yàn)楫惓?赡苤皇切碌恼;顒?dòng),而不是真正的入侵。
兩種IDS的比較如下表:
| SIDS | 設(shè)計(jì)簡(jiǎn)單 | 需要經(jīng)常更新簽名 |
| 非常有效的識(shí)別入侵且誤報(bào)率小 | 無(wú)法識(shí)別已知攻擊的變體 | |
| 速度快 | 無(wú)法識(shí)別0-day攻擊 | |
| 在檢測(cè)已知攻擊上具有優(yōu)勢(shì) | 不適合檢測(cè)多步攻擊 | |
| AIDS | 可用于檢測(cè)新的攻擊 | AIDS無(wú)法處理加密數(shù)據(jù)包 |
| 可用于創(chuàng)建入侵簽名 | 高誤報(bào)率 | |
| 很難為動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)建立保護(hù) | ||
| 無(wú)法具體檢測(cè)攻擊類別 | ||
| 需要訓(xùn)練模型 |
根據(jù)IDS實(shí)現(xiàn)的方式,也可以分為以下五類:基于統(tǒng)計(jì)的、基于模式的、基于規(guī)則的、基于狀態(tài)的和基于啟發(fā)式的。大致比較如下:
| 基于統(tǒng)計(jì):使用復(fù)雜的統(tǒng)計(jì)算法分析網(wǎng)絡(luò)流量以處理信息 | 需要大量統(tǒng)計(jì)知識(shí) |
| 簡(jiǎn)單但準(zhǔn)確率不高 | |
| 實(shí)時(shí) | |
| 基于模式:識(shí)別數(shù)據(jù)中的字符、形式和模式 | 實(shí)現(xiàn)簡(jiǎn)單 |
| 可以用Hash函數(shù)實(shí)現(xiàn) | |
| 基于規(guī)則:使用攻擊“簽名”來(lái)檢測(cè)對(duì)可疑網(wǎng)絡(luò)流量的潛在攻擊 | 因?yàn)樾枰J狡ヅ?#xff0c;計(jì)算成本可能比較高 |
| 需要大量的規(guī)則 | |
| 誤報(bào)率低 | |
| 檢出率高 | |
| 基于狀態(tài):檢查事件流以識(shí)別任何可能的攻擊 | 可以使用狀態(tài)機(jī)實(shí)現(xiàn)自訓(xùn)練 |
| 誤報(bào)率低 | |
| 基于啟發(fā)式:識(shí)別異常活動(dòng) | 需要先驗(yàn)知識(shí)和經(jīng)驗(yàn) |
根據(jù)數(shù)據(jù)來(lái)源,還可以將IDS分為基于主機(jī)的IDS(HIDS)和基于網(wǎng)絡(luò)的IDS(NIDS):
| HIDS | HIDS 可以檢查端到端的加密通信行為 | 延遲通常比較高 | 審核記錄 |
| 不需要額外的硬件 | 消耗主機(jī)資源 | 日志文件 | |
| 通過(guò)檢查主機(jī)文件系統(tǒng)、系統(tǒng)調(diào)用或網(wǎng)絡(luò)事件來(lái)檢測(cè)入侵 | 需要安裝在每臺(tái)主機(jī)上 | 應(yīng)用程序接口 (API) | |
| 重組每個(gè)數(shù)據(jù)包 | 只能監(jiān)視安裝它的機(jī)器上的攻擊 | 規(guī)則模式 | |
| 關(guān)注整體,而不是單個(gè)流 | 系統(tǒng)調(diào)用 | ||
| NIDS | 通過(guò)檢查網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)攻擊 | 需要專用硬件 | 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP) |
| 不需要在每臺(tái)主機(jī)上安裝 | 僅支持識(shí)別網(wǎng)絡(luò)層面的攻擊 | 網(wǎng)絡(luò)數(shù)據(jù)包(TCP/UDP/ICMP) | |
| 可以同時(shí)查看不同的主機(jī) | 難以分析高速網(wǎng)絡(luò) | 管理信息庫(kù)(MIB) | |
| 能夠檢測(cè)廣泛的網(wǎng)絡(luò)協(xié)議 | 路由器NetFlow記錄 |
同樣,根據(jù)AIDS的實(shí)現(xiàn)方式,可分為三類:基于統(tǒng)計(jì)的、基于知識(shí)的和機(jī)器學(xué)習(xí)方法。如下圖:
展開(kāi)介紹如下:
- 基于統(tǒng)計(jì)的技術(shù)。基于統(tǒng)計(jì)的 IDS 為正常行為配置文件構(gòu)建分布模型,然后檢測(cè)低概率事件并將其標(biāo)記為潛在入侵。統(tǒng)計(jì) AIDS 本質(zhì)上考慮了數(shù)據(jù)包的中位數(shù)、均值、眾數(shù)和標(biāo)準(zhǔn)差等統(tǒng)計(jì)指標(biāo)。換句話說(shuō),不是檢查數(shù)據(jù)流量,而是監(jiān)控每個(gè)數(shù)據(jù)包,用來(lái)表示流的指紋。統(tǒng)計(jì) AIDS 用于識(shí)別當(dāng)前行為與正常行為的任何類型的差異。
- 基于知識(shí)的技術(shù)。這組技術(shù)也稱為專家系統(tǒng)方法。這種方法需要?jiǎng)?chuàng)建一個(gè)反映合法流量配置文件的知識(shí)庫(kù)。與此標(biāo)準(zhǔn)配置文件不同的操作被視為入侵。與其他類型的 AIDS 不同,標(biāo)準(zhǔn)配置文件模型通常是根據(jù)人類知識(shí)創(chuàng)建的,根據(jù)一組試圖定義正常系統(tǒng)活動(dòng)的規(guī)則。基于知識(shí)的技術(shù)的主要好處是能夠減少誤報(bào),因?yàn)橄到y(tǒng)了解所有正常行為。然而,在動(dòng)態(tài)變化的計(jì)算環(huán)境中,這種 IDS 需要定期更新有關(guān)預(yù)期正常行為的知識(shí),這是一項(xiàng)耗時(shí)的任務(wù),因?yàn)槭占嘘P(guān)所有正常行為的信息非常困難。
- 基于機(jī)器學(xué)習(xí)的技術(shù)。機(jī)器學(xué)習(xí)是從大量數(shù)據(jù)中提取知識(shí)的過(guò)程。機(jī)器學(xué)習(xí)模型包含一組規(guī)則、方法或復(fù)雜的“傳遞函數(shù)”,可用于發(fā)現(xiàn)有趣的數(shù)據(jù)模式,或識(shí)別或預(yù)測(cè)行為(Dua & Du,2016)。機(jī)器學(xué)習(xí)技術(shù)已廣泛應(yīng)用于AIDS領(lǐng)域。方法分類大致如圖:
參考文獻(xiàn)
Khraisat A, Gondal I, Vamplew P, et al. Survey of intrusion detection systems: techniques, datasets and challenges[J]. Cybersecurity, 2019, 2(1): 1-22.
總結(jié)
以上是生活随笔為你收集整理的入侵检测系统(IDS)分类的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: python母亲节代码_python 计
- 下一篇: 入侵检测系统,浅析几个著名的入侵检测系统