入侵检测&入侵防御

IDS（入侵检测系统）

什么是IDS

IDS（入侵检测系统）。它是一种安全技术

作用：

用于监视主机网络或系统网络流量和网络活动，以识别潜在的恶意行为或入侵尝试。

工作原理：

IDS可以通过分析网络数据包、审查日志文件、检测异常行为或特定的攻击模式来提供网络安全防护。当IDS检测到可疑活动时，它可以触发警报、记录事件或采取其他相应措施，以便管理员进一步调查并采取措施应对潜在的安全威胁。IDS通常与防火墙、入侵预防系统（IPS）等其他安全措施结合使用，以增强网络的安全性和防护能力。

同时对系统的运行状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、机密性、可用性）。是一个软件与硬件的组合系统

IDS的分类及部署：

• 在目标主机上运行以监测其本身的通信信息

• 在一台单独的机器上运行以监测所有网络设备的通信信息，比如交换机、路由器

• 网络入口点部署：在网络的入口点（如边界路由器、防火墙）设置IDS设备，以监控整个网络流量。这种部署方式可以提供对整个网络的全面监控，并帮助识别和阻止网络入侵。

• 分布式部署：将多个IDS设备分布在网络中不同位置，形成一个分布式的IDS系统。每个设备专注于特定的网络区域或子网，相互协作以实现全局的入侵检测和响应能力。这种部署方式适用于大规模网络环境或需要实时反应的安全需求。

• 云端部署：将IDS部署在云平台上，以监控云环境中的网络流量和虚拟机实例。云端部署的IDS可以提供对云基础架构的安全监控，并确保云资源的安全性。

• 混合部署：组合不同的部署方式，例如将IDS集成到防火墙中并同时在关键主机上进行部署，以达到多层次、全方位的入侵检测和防御。

• 旁挂：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御。

IDS和防火墙有什么不同：

（1） 功能：防火墙主要用于控制网络通信流量的进出，它基于预定义的规则集来允许或阻止特定的数据包通过网络边界。防火墙可以实现访问控制、地址转换和网络地址翻译等功能。而IDS则专注于监测和分析网络流量，检测潜在的入侵行为或安全事件。

（2） 工作原理：防火墙运行于网络边界，依靠规则对数据包进行筛选和策略控制。它检查数据包头部信息、源地址、目标地址和端口等，基于这些信息判断是否允许或拒绝数据包通过。IDS则通过监听网络流量，分析数据包的内容和行为，检测可能的入侵行为，如异常连接、恶意软件或攻击模式等。

（3） 反应能力：防火墙通常采取主动的阻断措施，根据事先设定的规则拦截或阻止潜在的威胁。IDS则更多地用于被动检测和报警，识别潜在的入侵或异常后，会发出警报通知管理员，以便进一步的调查和应对。

（4） 部署位置：防火墙一般位于网络的边界或内部关键位置，以保护整个网络。IDS可以部署在网络的不同位置，用于监测特定的主机、子网或整个网络。

（5） 监测粒度：防火墙通常基于网络层和传输层信息进行判断，对内部数据包的内容检查有限。IDS则更为强大，可以检测和分析更深层次的数据包内容，甚至进行应用层的检测。

综上所述，防火墙主要用于网络流量的筛选和控制，而IDS则更专注于检测和报警。一般来说，防火墙和IDS应该结合使用，以提高网络安全的整体防护能力。

IDS工作原理分为两个主要步骤：监测和分析。

1. 监测流量：IDS通过监听网络流量来获取数据包，可以在网络交换机、路由器、入侵检测传感器等位置进行部署。IDS可以采用两种不同的监测方式：

• 签名检测：IDS使用预定义的签名或规则集来匹配已知的攻击模式或恶意行为。当数据包与任何已知的签名匹配时，IDS会触发警报并采取相应措施。

• 异常检测：IDS通过建立正常网络活动的基准模型，监测和分析异常行为。它会对网络流量、主机活动、协议使用等进行建模，如果发现与预期模型不符的活动，就会发出警报。

1. 分析流量：IDS获取到网络流量后，会进行进一步的分析来确定是否存在入侵行为或安全事件。这个过程通常包括以下几个步骤：

• 解码和重组：IDS会对数据包进行解码，重组分片或片段，以确保能够完整地分析和理解数据包的内容。

• 协议分析：IDS会解析数据包中的协议信息，如IP地址、端口、协议类型等，并根据定义好的规则进行匹配和分析。

• 异常检测：IDS会使用正常行为的基准模型，检测所有可能的异常行为，如异常流量、异常主机活动、异常协议使用等。

• 签名匹配：IDS会将数据包与已知的攻击模式签名进行比对，如果匹配到相应的签名，即可判定为已知攻击，并触发警报。

• 合并和告警：IDS将处理过的数据包和分析结果进行合并，并根据配置的策略进行警报或日志记录。管理员可以根据警报信息采取进一步的操作。

需要明确的是，IDS主要是被动的检测和监测系统，它可以提供实时的警报和日志，但无法主动阻止或阻断攻击。在实际应用中，IDS通常与其他安全措施（如防火墙、入侵防御系统等）结合使用，以提供更全面的网络安全防护。

IDS的主要检测方法：

1、异常检测模型（Anomaly Detection)

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

2、误用检测模型（Misuse Detection）

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测。

IDS的签名是什么意思：

是用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器中为这些签名统一设置新的动作，操作非常便捷。

签名过滤器的作用：

由于设备长时间工作，累积了大量签名，需要对其进行分类，没有价值会被过滤器过滤掉。起到筛选的作用。

签名过滤器的动作分为：

阻断：丢弃命中签名的报文，并记录日志。

告警：对命中签名的报文放行，但记录日志。

采用签名的缺省动作，实际动作以签名的缺省动作为准。

例外签名：

由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名作用：

就是为了更加细化的进行流量的放行，精准的控制。

例外签名的动作分为：

阻断：丢弃命中签名的报文并记录日志。

告警：对命中签名的报文放行，但记录日志。

放行：对命中签名的报文放行，且不记录日志。

添加黑名单：是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单

IDS主要工作第几层及防御哪些：

IDS主要工作在网络层和传输层，即第三层和第四层。IDS通过监测和分析网络流量，检测潜在的入侵和攻击行为。它可以检测到来自不同主机和网络的异常流量、恶意软件、漏洞利用等。

IDS可以检测和报告网络层和传输层的安全事件，例如IP地址伪装、端口扫描、拒绝服务攻击、TCP/IP协议漏洞等。它可以基于事先定义的规则集或行为模式进行检测，也可以使用机器学习和人工智能等技术进行异常检测和行为分析。

 IPS（入侵防御系统）

IPS基本原理：

通过监测和分析网络流量，识别和阻止恶意活动和入侵行为，实现对网络的保护。

IPS的工作原理：

1. 流量监测：IPS会监测网络流量，包括传入和传出的数据包。它可以通过网络镜像、端口监听或网络流量重定向等方式来获取流量。

2. 流量分析：IPS会对监测到的流量进行深度分析，包括检查数据包的头部和负载内容。它使用预先定义的规则、签名或模式来识别恶意活动和攻击行为，如DoS（拒绝服务）攻击、SQL注入、恶意软件传播等。

3. 恶意行为检测：IPS会根据分析结果判断是否存在恶意行为或攻击行为。这可能包括识别到的恶意流量、异常的流量模式、异常的协议行为等。

4. 阻止或响应：如果IPS发现恶意行为或攻击，它可以采取相应的阻止措施或响应措施来防止进一步的损害。这可能包括阻止特定的IP地址或端口、停止恶意进程、断开连接等。

5. 日志记录和报告：IPS会记录所有的事件和操作，并生成相应的日志和报告。这些日志和报告可以用于安全分析、调查和审计。

6. 更新和升级：为了保持有效性，IPS需要及时更新和升级其规则库和软件。这样可以确保它能够识别新的攻击方式和漏洞。

防御范围：

IPS可以防御漏洞、病毒和木马等恶意活动。

漏洞防御：IPS能够监测和阻止针对系统或应用程序中已知漏洞的攻击。它可以识别到尝试利用已知漏洞的攻击数据包，并立即采取措施，如阻断相关的数据包或发出警报通知，以防止攻击成功。

病毒和木马防御：IPS可以使用病毒和木马的特征库或行为分析来检测和阻止病毒和木马的传播。它可以监测到病毒传播或木马活动的行为，如恶意文件的传输、恶意代码的执行等，并采取相应的措施进行阻止。

IPS还可以防御其他类型的恶意活动，如分布式拒绝服务攻击（DDoS攻击）、入侵行为等。它可以监测大量的流量和网络活动，并根据预定义的规则或行为分析技术来识别和阻止恶意活动，以保护网络和系统的安全。

IPS的能力取决于其所使用的规则集、特征库和行为分析技术的更新与完善程度。

部署位置：

网络层：IPS可以监测和过滤通过网络的IP数据包。它会检查数据包的源地址、目标地址、协议类型等信息，并与预定义的规则或特征进行比对，以识别潜在的攻击行为。一旦识别到恶意活动，IPS可以立即采取措施，例如阻断相关的数据包或发出警报通知。

传输层：IPS可以监测和分析传输层协议（如TCP和UDP）中的数据包。它会检查数据包的源端口、目标端口、序列号等信息，并进行恶意行为的检测和防御。

现代IPS也可以在应用层（第七层）进行部署：更深入地检测和分析应用层的流量，包括应用层协议的操作和内容

虽然IPS主要工作在网络层和传输层，但它也可以与其他层级的网络安全设备配合使用，以提供更全面的安全防护。例如，可以与防火墙（工作在网络层）配合使用，以实现入侵防御和访问控制的双重保护。

部署方式:

直连部署 ---------- 做IPS功能(串联进网络中）

旁路部署 --------- 做IDS功能(端口镜像）

背景：

随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。

在这种情况下，入侵防御技术应运而生，入侵防御技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络

带宽资源：

入侵防御定义 入侵防御是一种安全机制，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。

优势：

入侵防御是一种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻击源，从根本上避免攻击行为。

• 实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，将对网络的入侵降到最低。

• 深层防护：新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等确定应该被拦截的流量。

• 全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。

• 内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。

• 不断升级，精准防护：入侵防御特征库会持续的更新，以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库，以保持入侵防御的持续有效性。 入侵防御 -----IPS (NIP)-----二层设备 既能做检测，同时可以做阻断处理

入侵防御设备的应用场景：

主要的应用场景有互联网边界、IDC/服务器前端、网络边界、旁路监控。

入侵防御的主要功能：

接口对技术：

一对，2个接口， 一进一出。 固定从那个接口发出，无需查看MAC地址表

接口对技术的应用：

IPS是通过直接嵌入到网络流量中实现入侵防御功能的，即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包，以及所有来自同—数据流的后续数据包,都能在IPS设备中被清除掉。

入侵防御实现机制：

签名：

入侵防御签名用来描述网络中攻击行为的特征，FW通过将数据流和入侵防御签名进行比较来检测和防范攻击。

FW的入侵防御签名分为两类：

1、预定义签名：

预定义签名是入侵防御特征库中包含的签名。预定义签名也能修改默认的动作，V100是不能的

每个预定义签名都有缺省的动作，分为：

1、1）放行：指对命中签名的报文放行，不记录日志。

1、2）告警：指对命中签名的报文放行，但记录日志。

1、3）阻断：指丢弃命中签名的报文，阻断该报文所在的数据流，并记录日志。

2、自定义签名：

自定义签名是指管理员通过自定义规则创建的签名。新的攻击出现后，其对应的攻击签名通常都会晚一点才会出现。当用户自身对这些新的攻击比较了解时，可以自行创建自定义签名以便实时地防御这些攻击。另外，当用户出于特殊的目的时，也可以创建一些对应的自定义签名。自定义签名创建后，系统会自动对自定义规则的合法性和正则表达式进行检查，避免低效签名浪费系统资源。

自定义签名的动作分为阻断和告警，您可以在创建自定义签名时配置签名的响应动作。

入侵防御对数据流的处理：

入侵防御配置文件包含多个签名过滤器和多个例外签名。

签名、签名过滤器、例外签名的关系如图1所示。假设设备中配置了3个预定义签名，分别为a01、a02、a03，且存在1个自定义签名a04。配置文件中创建了2个签名过滤器，签名过滤器1可以过滤出协议为HTTP、其他项为条件A的签名a01和a02，动作为使用签名缺省动作。签名过滤器2可以过滤出协议为HTTP和UDP、其他项为条件B的签名a03和a04，动作为阻断。另外，2个配置文件中分别引入1个例外签名。例外签名1中，将签名a02的动作设置为告警；例外签名2中，将签名a04的动作设置为告警。

签名的实际动作由签名缺省动作、签名过滤器和例外签名的动作共同决定的，参见图1中的“签名实际动作”。

当数据流命中的安全策略中包含入侵防御配置文件时，设备将数据流送到入侵防御模块，并依次匹配入侵防御配置文件引用的签名。入侵防御对数据流的通用处理流程请参见下图：

当数据流命中多个签名，对该数据流的处理方式如下：

• 如果这些签名的实际动作都为告警时，最终动作为告警。

• 如果这些签名中至少有一个签名的实际动作为阻断时，最终动作为阻断。

• 当数据流命中了多个签名过滤器时，设备会按照优先级最高的签名过滤器的动作来处理

对比：