入侵检测系统(IDS)分类
入侵可以定義為任何類型的對信息系統(tǒng)造成損害的未經(jīng)授權(quán)的活動。這意味著任何可能對信息機(jī)密性、完整性或可用性構(gòu)成威脅的攻擊都將被視為入侵。例如,使計算機(jī)服務(wù)對合法用戶無響應(yīng)的活動被視為入侵。 IDS 是一種軟件或硬件系統(tǒng),用于識別計算機(jī)系統(tǒng)上的惡意行為,以便維護(hù)系統(tǒng)安全。 IDS 的目標(biāo)是識別傳統(tǒng)防火墻無法識別的不同類型的惡意網(wǎng)絡(luò)流量和計算機(jī)使用情況。這對于實現(xiàn)對損害計算機(jī)系統(tǒng)可用性、完整性或機(jī)密性的行為的高度保護(hù)至關(guān)重要。
總體上來說,IDS 系統(tǒng)可以大致分為兩類:基于簽名的入侵檢測系統(tǒng) (SIDS) 和基于異常的入侵檢測系統(tǒng) (AIDS),以下分別介紹:
- 基于簽名的入侵檢測系統(tǒng) (SIDS)。基于簽名入侵檢測系統(tǒng) (SIDS) 是基于模式匹配技術(shù)來發(fā)現(xiàn)已知攻擊,也被稱為基于知識的檢測或誤用檢測。在 SIDS 中,匹配方法用于查找先前的入侵。換言之,當(dāng)入侵特征與特征數(shù)據(jù)庫中已經(jīng)存在的先前入侵的特征相匹配時,觸發(fā)警報信號。對于 SIDS,檢查主機(jī)的日志以查找先前被識別為惡意軟件的命令或操作序列。 SIDS主要思想是建立一個入侵特征數(shù)據(jù)庫,并將當(dāng)前活動集與現(xiàn)有特征進(jìn)行比較,如果發(fā)現(xiàn)匹配則發(fā)出警報。SIDS 通常對先前已知的入侵提供出色的檢測精度。然而,SIDS 難以檢測零日攻擊,因為在提取和存儲新攻擊的簽名之前,數(shù)據(jù)庫中不存在匹配的簽名。 SIDS 被用于許多常用工具,例如 Snort (Roesch, 1999) 和 NetSTAT (Vigna & Kemmerer, 1999)。 SIDS 的傳統(tǒng)方法檢查網(wǎng)絡(luò)數(shù)據(jù)包并嘗試與簽名數(shù)據(jù)庫進(jìn)行匹配。但是這些技術(shù)無法識別跨越多個數(shù)據(jù)包的攻擊。由于現(xiàn)代惡意軟件更加復(fù)雜,可能有必要從多個數(shù)據(jù)包中提取簽名信息。這需要 IDS 調(diào)用早期數(shù)據(jù)包的內(nèi)容。關(guān)于為 SIDS 創(chuàng)建簽名,通常有許多方法可以將簽名創(chuàng)建為狀態(tài)機(jī) (Meiners et al., 2010)、正式語言字符串模式或語義條件 (Lin et al., 2011)。零日攻擊(賽門鐵克,2017 年)的頻率越來越高,這使得 SIDS 技術(shù)的有效性逐漸降低,因為任何此類攻擊都不存在先前的簽名。惡意軟件的多態(tài)變體和不斷增加的針對性攻擊可能會進(jìn)一步破壞這種傳統(tǒng)范式的充分性。SIDS的大體結(jié)構(gòu)如圖所示:
- 基于異常的入侵檢測系統(tǒng)(AIDS)。AIDS由于能夠克服SIDS的局限性而引起了許多學(xué)者的關(guān)注。在AIDS中,計算機(jī)系統(tǒng)行為的正常模型是使用機(jī)器學(xué)習(xí)、基于統(tǒng)計或基于知識的方法創(chuàng)建的。觀察到的行為與正常模型之間的任何顯著偏差都被視為異常,可以解釋為入侵。這組技術(shù)的假設(shè)是惡意行為不同于典型的用戶行為。異常用戶的與標(biāo)準(zhǔn)行為不同的行為被歸類為入侵。AIDS的發(fā)展包括兩個階段:訓(xùn)練階段和測試階段。在訓(xùn)練階段,正常流量配置文件用于學(xué)習(xí)正常行為模型,然后在測試階段,使用新數(shù)據(jù)集建立系統(tǒng)泛化到以前未見過的入侵的能力。AIDS可以根據(jù)訓(xùn)練的方法分為許多類別,例如,基于統(tǒng)計的、基于知識的和基于機(jī)器學(xué)習(xí)的(Butun et al., 2014)。 AIDS 的主要優(yōu)點是能夠識別零日攻擊,因為識別異常用戶活動不依賴于簽名數(shù)據(jù)庫(Alazab 等,2012)。當(dāng)被檢查的行為與通常的行為不同時,AIDS會觸發(fā)危險信號。SIDS 只能識別已知的入侵,而 AIDS 可以檢測零日攻擊。然而,AIDS 可能導(dǎo)致高誤報率,因為異常可能只是新的正常活動,而不是真正的入侵。
兩種IDS的比較如下表:
| SIDS | 設(shè)計簡單 | 需要經(jīng)常更新簽名 |
| 非常有效的識別入侵且誤報率小 | 無法識別已知攻擊的變體 | |
| 速度快 | 無法識別0-day攻擊 | |
| 在檢測已知攻擊上具有優(yōu)勢 | 不適合檢測多步攻擊 | |
| AIDS | 可用于檢測新的攻擊 | AIDS無法處理加密數(shù)據(jù)包 |
| 可用于創(chuàng)建入侵簽名 | 高誤報率 | |
| 很難為動態(tài)的計算機(jī)系統(tǒng)建立保護(hù) | ||
| 無法具體檢測攻擊類別 | ||
| 需要訓(xùn)練模型 |
根據(jù)IDS實現(xiàn)的方式,也可以分為以下五類:基于統(tǒng)計的、基于模式的、基于規(guī)則的、基于狀態(tài)的和基于啟發(fā)式的。大致比較如下:
| 基于統(tǒng)計:使用復(fù)雜的統(tǒng)計算法分析網(wǎng)絡(luò)流量以處理信息 | 需要大量統(tǒng)計知識 |
| 簡單但準(zhǔn)確率不高 | |
| 實時 | |
| 基于模式:識別數(shù)據(jù)中的字符、形式和模式 | 實現(xiàn)簡單 |
| 可以用Hash函數(shù)實現(xiàn) | |
| 基于規(guī)則:使用攻擊“簽名”來檢測對可疑網(wǎng)絡(luò)流量的潛在攻擊 | 因為需要模式匹配,計算成本可能比較高 |
| 需要大量的規(guī)則 | |
| 誤報率低 | |
| 檢出率高 | |
| 基于狀態(tài):檢查事件流以識別任何可能的攻擊 | 可以使用狀態(tài)機(jī)實現(xiàn)自訓(xùn)練 |
| 誤報率低 | |
| 基于啟發(fā)式:識別異常活動 | 需要先驗知識和經(jīng)驗 |
根據(jù)數(shù)據(jù)來源,還可以將IDS分為基于主機(jī)的IDS(HIDS)和基于網(wǎng)絡(luò)的IDS(NIDS):
| HIDS | HIDS 可以檢查端到端的加密通信行為 | 延遲通常比較高 | 審核記錄 |
| 不需要額外的硬件 | 消耗主機(jī)資源 | 日志文件 | |
| 通過檢查主機(jī)文件系統(tǒng)、系統(tǒng)調(diào)用或網(wǎng)絡(luò)事件來檢測入侵 | 需要安裝在每臺主機(jī)上 | 應(yīng)用程序接口 (API) | |
| 重組每個數(shù)據(jù)包 | 只能監(jiān)視安裝它的機(jī)器上的攻擊 | 規(guī)則模式 | |
| 關(guān)注整體,而不是單個流 | 系統(tǒng)調(diào)用 | ||
| NIDS | 通過檢查網(wǎng)絡(luò)數(shù)據(jù)包檢測攻擊 | 需要專用硬件 | 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP) |
| 不需要在每臺主機(jī)上安裝 | 僅支持識別網(wǎng)絡(luò)層面的攻擊 | 網(wǎng)絡(luò)數(shù)據(jù)包(TCP/UDP/ICMP) | |
| 可以同時查看不同的主機(jī) | 難以分析高速網(wǎng)絡(luò) | 管理信息庫(MIB) | |
| 能夠檢測廣泛的網(wǎng)絡(luò)協(xié)議 | 路由器NetFlow記錄 |
同樣,根據(jù)AIDS的實現(xiàn)方式,可分為三類:基于統(tǒng)計的、基于知識的和機(jī)器學(xué)習(xí)方法。如下圖:
展開介紹如下:
- 基于統(tǒng)計的技術(shù)。基于統(tǒng)計的 IDS 為正常行為配置文件構(gòu)建分布模型,然后檢測低概率事件并將其標(biāo)記為潛在入侵。統(tǒng)計 AIDS 本質(zhì)上考慮了數(shù)據(jù)包的中位數(shù)、均值、眾數(shù)和標(biāo)準(zhǔn)差等統(tǒng)計指標(biāo)。換句話說,不是檢查數(shù)據(jù)流量,而是監(jiān)控每個數(shù)據(jù)包,用來表示流的指紋。統(tǒng)計 AIDS 用于識別當(dāng)前行為與正常行為的任何類型的差異。
- 基于知識的技術(shù)。這組技術(shù)也稱為專家系統(tǒng)方法。這種方法需要創(chuàng)建一個反映合法流量配置文件的知識庫。與此標(biāo)準(zhǔn)配置文件不同的操作被視為入侵。與其他類型的 AIDS 不同,標(biāo)準(zhǔn)配置文件模型通常是根據(jù)人類知識創(chuàng)建的,根據(jù)一組試圖定義正常系統(tǒng)活動的規(guī)則。基于知識的技術(shù)的主要好處是能夠減少誤報,因為系統(tǒng)了解所有正常行為。然而,在動態(tài)變化的計算環(huán)境中,這種 IDS 需要定期更新有關(guān)預(yù)期正常行為的知識,這是一項耗時的任務(wù),因為收集有關(guān)所有正常行為的信息非常困難。
- 基于機(jī)器學(xué)習(xí)的技術(shù)。機(jī)器學(xué)習(xí)是從大量數(shù)據(jù)中提取知識的過程。機(jī)器學(xué)習(xí)模型包含一組規(guī)則、方法或復(fù)雜的“傳遞函數(shù)”,可用于發(fā)現(xiàn)有趣的數(shù)據(jù)模式,或識別或預(yù)測行為(Dua & Du,2016)。機(jī)器學(xué)習(xí)技術(shù)已廣泛應(yīng)用于AIDS領(lǐng)域。方法分類大致如圖:
參考文獻(xiàn)
Khraisat A, Gondal I, Vamplew P, et al. Survey of intrusion detection systems: techniques, datasets and challenges[J]. Cybersecurity, 2019, 2(1): 1-22.
總結(jié)
以上是生活随笔為你收集整理的入侵检测系统(IDS)分类的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python母亲节代码_python 计
- 下一篇: 木桶理论