入侵检测与防御实验

最新推荐文章于 2024-06-15 00:00:00 发布

原创

最新推荐文章于 2024-06-15 00:00:00 发布 · 6.2k 阅读

41 ·

CC 4.0 BY-SA版权

文章标签：

#安全

本文深入探讨了入侵检测系统的基本原理和常见手法，包括什么是入侵、蜜罐技术、后门检测工具以及Surikata入侵检测系统。通过实验介绍了如何部署蜜罐系统和使用后门检测工具chkrootkit、RKHunter，以及Suricata的安装和配置，以增强网络防御能力。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

第一章入侵检测

一、原理

入侵检测系统，简称IDC，是一种基于硬件的防火墙，通过建控以知系统漏洞，黑客入侵手法并记录下来，通过分析数据包，安全的就通过。危险的就拦截，通过日志记录可轻松追查到入侵者的IP，用于取证。

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

1.1 什么是入侵

入侵，就是恶意攻击者（俗称黑客），不经授权的控制、使用我方资源（读写文件、执行命令、控制网络资源等）

1.2 入侵和内鬼

入侵本身是手段，GetShell只是开始，目的是为了之后对资源的控制和数据的窃取。而内鬼本身拥有合法的权限，可以合法接触敏感资产，但是基于工作以外的目的对这些资源进行非法处置，包括拷贝副本、转移外泄、篡改数据牟利等

二、入侵的本质

2.1 入侵检测的本质

根据特征进行模式匹配；（黑特征法，例如WebShell关键字匹配）

根据业务历史行为（生成基线模型），对入侵行为做异常对比；（非白既黑），如果业务的历史行为不够收敛，就用加固的手段对其进行收敛，再挑出不合规的小众异常行为。

2.2 入侵检测与攻击向量

针对一个明确的“目标”，它被访问的渠道可能是有限集，被攻击的必经路径也有限。一个可以成功入侵的 攻击方法 + 目标 合并起来，就称为一个“攻击向量”

因此，谈入侵检测模型效果时，需要先明确攻击向量，针对不同的攻击路径，采集对应的数据，才可能做对应的检测模型。比如，基于SSH登录后的SHELL命令采集，是不会让你发现Webshell的攻击的。而基于网络流量的采集数据，也不会让你获悉黑客是否在SSH后的SHELL环境里执行了什么文件切割打包的动作。

2.3 常见的入侵手法

高危服务入侵：所有的公共服务都叫做高危端口
Web入侵：基于PHP、JAVA、ASP/http://ASP.NET、NODE、C写的cgi等等动态的Web服务本身的漏洞
0day入侵：通过NSA泄漏的工具包
通过办公网入侵：绝大多数APT报告里，黑客是先对人下手，比如发个邮件，哄骗你打开后，控制了你的PC，再进行长期的观察/翻阅，拿到你的合法凭据后，再到内网漫游

2.4 常见入侵的应对方法

高危服务入侵：在这里做入侵检测的必要性不高，因为高危服务的具体所指非常的多，不一定存在通用的特征，所以，通过加固方式，收敛攻击入口才是更有效的策略。禁止所有高危端口对互联网开放即可
Web入侵：找到黑客GetShell和正常业务行为的一些区别
0day入侵：入侵检测模型可以通用

三、发现APT

所谓APT，就是高级的持续威胁。既然是高级的，按照一般的描述，他们的木马是免杀的（不能假定我们可以发现这个木马）、他们的漏洞不公开的（不能假定我们可以加固抵抗）、他们的手法是高级的（不能假定这个手法在已知的范畴里）。

所以，实际上APT的意思就几乎等同于我们不能发现的入侵事件了。

但是，业界总还有APT检测产品、解决方案的厂商在混饭吃，他们是怎么做的呢？

说木马免杀的，他们用沙箱+人工分析，哪怕效率低一些，还是试图做出定性，并快速的把IOC（威胁情报）同步给其它客户，发现1例，全网都去排查。

说流量变形对抗的，他们用异常检测的模型，把一些不认识的可疑的IP关系、payload给识别出来——当然，识别出来之后，也要运营人员跟进得仔细才能定性。

说攻击手法高级的，他们还是会假定黑客就用鱼叉、水坑之类的已知手法去执行，然后在邮箱附件、PC终端等环节采集日志，对用户行为进行分析，UEBA试图寻找出用户异于平常的动作。