Geekly articles weekly

通用入侵检测与防御系统

你好 考虑到“逆向工程”课程的开始,我们决定与您分享一篇有关信息安全的小文章,尽管该文章与逆向工程有相当间接的联系,但对许多人来说都是有用的材料。




信息安全产品的全球市场正在迅速发展的各种复杂威胁的影响下发展,这对业务产生了直接影响,不仅对于大中型企业,而且对小型组织的需求都日益增加。 当前,情况是这种情况,因为防火墙和防病毒等传统安全工具无法为组织的内部网络提供足够级别的保护,因为恶意软件可以“掩盖”并发送从防火墙角度来看完全可见的数据包合法的。 有许多商业解决方案可以为组织的内部网络提供足够水平的保护,但是今天,我们将重点关注一类解决方案,例如入侵检测系统和入侵防御系统。 在英语文献中,这些是入侵检测系统(IDS)和入侵防御系统(IPS)。

它们之间的区别只是一个可以自动阻止攻击,而另一个仅警告它。

此类解决方案可以是商业的(专有的)解决方案,也可以是开源的,并且在正确的手中可以很好地补充组织保护的一般系统。 此类安全功能涉及一种跟踪未经授权的尝试以获得对组织受保护资源的访问的方法,称为访问控制监视。 它旨在识别和记录内部基础结构中的安全缺陷-网络攻击,未经授权的访问或特权升级尝试,恶意软件等。 因此,与仅控制会话参数的防火墙相比,IDS和IPS分析传输的内部数据流,在其中查找可能是恶意行为或事件的比特序列。 此外,他们可以监视系统日志和其他用户活动日志文件。

但是首先是第一件事。 因此, IDS是一种入侵检测系统,旨在在网络上注册可疑行为,并通过向管理控制台发送消息,向移动电话发送电子邮件,SMS消息等方式通知负责信息安全的员工。

传统的IDS由扫描网络流量或日志并传输到分析仪的传感器组成,分析仪在接收到的数据中查找恶意数据,如果成功,则将结果发送到管理界面。 根据位置,IDS分为网络 (基于网络的IDS,NIDS)和主机 (基于主机的HIDS)。 顾名思义,很明显一个监视安装它的网段的所有网络流量,另一个监视在一台计算机内的流量。 为了使IDS的分类更容易理解,有必要区分另外两个子集,这些子集按正在分析的流量类型进行划分:基于协议的IDS(PIDS),用于分析与相关系统或用户的通信协议;以及基于应用程序协议的IDS (基于应用程序协议的IDS,APIDS),旨在分析使用特定于应用程序的协议传输的数据。

自然,可以通过多种方式检测分析流量中的恶意活动。 因此,IDS中存在以下特征,它们将不同类型的IDS技术彼此区分开,可以描述如下:

  • 签名IDS 。 跟踪流量中的特定模式,并像防病毒软件一样工作。 这种方法的缺点:签名必须是最新的,并且这种类型的IDS无法检测到陌生的攻击。 此类别也可以分为两种类型:签名IDS,跟踪模板(将网络数据包与签名进行比较)和状态跟踪(将动作与模板进行比较)。 我敢肯定,跟踪模板的签名NIDS原理是已知的并且可以理解。 至于监视状态的签名IDS,在这里我们应该了解IDS所使用的状态的概念。 系统操作的任何更改(启动软件,输入数据,应用程序之间的交互等)都会导致状态更改。 对于IDS,初始状态是在攻击之前,受损状态是在攻击之后,即 成功感染。
  • 基于异常的IDS 。 这种类型的IDS不使用签名。 它基于系统的行为,在开始工作之前,发生了学习系统“正常”活动的阶段。 因此,它能够检测到陌生的攻击。 反过来,此类别中的异常又分为三种类型:统计-IDS创建系统常规活动的配置文件,并将通过此活动的所有流量与该配置文件进行比较; 协议异常-IDS分析流量以识别非法使用协议的片段; 流量异常-IDS检测到网络流量中的非法活动。
  • 基于规则的IDS 。 IDS数据使用基于规则的“如果情况发生则 采取行动 ”。 基于规则的IDS与专家系统相似,因为 专家系统是知识库,逻辑结论和基于规则的编程的联合工作。 在这种情况下,知识就是规则,所分析的数据可以称为规则所适用的事实。 例如:“如果管理员用户登录到System1并更改了File2,则在“发送通知时”启动“ Utility3”,即 如果用户登录到系统1并更改了文件2,然后运行了实用程序3,则发送通知。

因此,我们的IDS可以警告恶意活动,但通常的任务仅仅是在早期阶段防止恶意活动。 前面提到的IPS可以帮助解决这一问题。 与执行侦探功能的IDS相比,她的工作方法及时(预防)和主动。 值得注意的是,IPS是IDS的子类,因此它基于其攻击检测方法。 IPS可以在主机级别(HIPS)和网络级别(NIPS)上运行。 由于通常将网络IPS内置到网络中并通过它传递所有流量,并且外部接口可以接收流量,而内部接口可以将流量进一步传递,因此可以实现预防攻击的能力安全 也有可能在监视模式下使用流量的副本,但是随后我们失去了该系统的主要功能。

在全球范围内,IPS可以分为分析流量并与已知签名进行比较的IPS和基于协议分析基于先前发现的漏洞的知识寻找非法流量的IPS。 第二类提供了针对未知攻击类型的保护。 至于应对攻击的方法,已经积累了很多,但可以与主要方法区别开来:使用带有RST标志的TCP数据包或通过防火墙阻止连接,重新配置通信设备以及阻止用户记录或基础架构中的特定主机。

最终,保护基础架构的最有效方法是在一个产品(防火墙)中同时使用IDS和IPS,该防火墙通过对网络数据包的深入分析来检测并阻止攻击。 值得注意的是,我们仅谈论一道防线,通常它位于防火墙后面。 为了实现全面的网络保护,有必要使用整个保护工具库,例如UTM(统一威胁管理)-联合工作的防火墙,VPN,IPS,防病毒,过滤工具和反垃圾邮件工具。

面对许多架构问题,全球供应商在此类系统的下一轮开发中是下一代防火墙(NGFW,下一代防火墙),该防火墙受益于使用所有保护工具对同一流量进行并行分析,对内存中防病毒检查进行流量分析,不是将它保存到硬盘后,而是由于分析了OSI 7级协议,这使您可以分析特定应用程序的操作。

Source: https://habr.com/ru/post/zh-CN479584/

More articles:


All Articles