[网络安全] 蓝队 (I) 入侵检测相关基本概念
前言
图书馆最近又进了一批新书,其中又以人工智能、大数据、网络安全和计算机体系基础系列数量最多。笔者随手翻了翻一本讲网安红蓝对抗的书,感觉很有意思。
笔者在这方面只是个小白,发表点谬论,让大佬们见笑了:个人感觉这就像是古代的兵法,各种工具是兵器,而攻防之间就是要讲究谋略(有哪些打法双方都是知道的,就是看具体怎么打才能出奇制胜)、讲究装备(古代是兵器的数量、质量,现代是计算机的算力以及队伍阵容)。
此外,其实笔者也深知,网络安全一直是个很复杂的问题,笔者这种门外汉能了解的其实只是冰山一角。信安/网安也分理论派和实践派。任何工科的尽头都是数学,所以信安/网安的学生在本科阶段往往要学很多数学、密码学相关的理论,该专业对计算机网络的要求也比其他计算机类专业更高,在他们高年级甚至硕士博士的时候,发表的文章大多和发明了一种新的xx加密算法、证实了xx算法在实践中的的可行性、发现了xx算法的xx漏洞
这类题目有关。而实践派的大佬的网安知识则是通过在实战中检验。他们会利用一些现成的工具(如果是更高级别的大佬一般可以自己写脚本),参加各种对抗赛,通过攻击、入侵等方式挖漏洞。看似平静的互联网其实每天都在暗潮涌动、风云诡变,在我们看得见和看不见的地方其实每天都有很多故事在发生。
蓝队
蓝队是网络对抗赛中的防守方。笔者最先看的其实是和红队————进攻方有关的内容,看完之后不由得惊叹:原来所有我们能想到的和网络有关的内容,都是潜在的可攻击的对象。所以学会防守很关键。
入侵检测
入侵种类
入侵一般分为两类:
- 非法闯入。 即未经授权却访问了系统资源
- 企图获得不在允许范围内的权限
入侵检测
入侵检测则要完成这三类任务:
- 检测是否存在对计算机系统的非授权访问(针对上述第一条)
- 检测网络系统的异常,发现潜在的非法闯入或越权行为(针对上述第一二条)
- 通过监视系统的运行状态,发现潜在或正在的攻击行为(针对上述第一条)
入侵检测系统(IDS)的组成
- 数据采集器
- 检测器(分析器)
- 知识库
- 控制器
接下来我会详细说说这几部分的具体内容。
数据采集器
一般会采集如下几类信息。
- 日志文件
看是否有异常活动行为
- 系统目录和文件结构是否异常
有可能重要文件已经被替换
- 程序执行是否异常
这里的程序指的是进程。一般情况下,每个进程都有各自的权限环境、可访问的资源文件,如果它的行为异常,说明黑客有可能在入侵系统
- 网络活动信息是否异常
此处针对的是远程攻击的情况。大量TCP半开连接往往是DDoS的开始;短时间内被大量不同TCP/UDP端口连接,可能正在被端口扫描。
检测器(分析器)
分析器的作用就是要对接收的信息进行分析,一般分为如下几种形式:
- 模式匹配
简单来说就是数据库中已经记录了各类攻击的特征,只要这一次的攻击符合这种特征,就会被识别出来。缺点是灵活性较差,无法识别新型攻击。
- 统计分析
通过概率统计的手段,建立系统运行的行为轨迹。如果发现轨迹异常,说明可能存在问题。
- 完整性分析
检测文件或对象是否被更改,很微小的变化也能被识别(常用的算法函数有MD5、SHA等)
控制器
控制器就是自动或人为地对攻击做出响应。它分为主动和被动两类。
- 主动:采取相应措施,如断网、修改环境等
- 被动:发出告警信息、通知等
入侵检测系统(IDS)的分类
依据采集数据的来源不同,IDS可以分为如下几类:
- 基于网络
- 基于主机本身
- 基于Linux内核
(某种程度上说)它的数据来源于系统内核,安全性比前两种高
- 分布式
由于分布式系统的特性,使得它同时具有采集网络数据流和主机系统审计信息(前两种)的能力
下一篇文章会基于具体例子讲述入侵检测的原理。
参考资料
《网络安全服务能力运营指南 九维彩虹团队之蓝队“技战术”》 范渊主编
上一篇: 蓝队面试题整理
下一篇: 什么是 "保护网络行动"?