[网络安全] 蓝队 (I) 入侵检测相关基本概念

前言

图书馆最近又进了一批新书，其中又以人工智能、大数据、网络安全和计算机体系基础系列数量最多。笔者随手翻了翻一本讲网安红蓝对抗的书，感觉很有意思。

笔者在这方面只是个小白，发表点谬论，让大佬们见笑了：个人感觉这就像是古代的兵法，各种工具是兵器，而攻防之间就是要讲究谋略（有哪些打法双方都是知道的，就是看具体怎么打才能出奇制胜）、讲究装备（古代是兵器的数量、质量，现代是计算机的算力以及队伍阵容）。

此外，其实笔者也深知，网络安全一直是个很复杂的问题，笔者这种门外汉能了解的其实只是冰山一角。信安/网安也分理论派和实践派。任何工科的尽头都是数学，所以信安/网安的学生在本科阶段往往要学很多数学、密码学相关的理论，该专业对计算机网络的要求也比其他计算机类专业更高，在他们高年级甚至硕士博士的时候，发表的文章大多和发明了一种新的xx加密算法、证实了xx算法在实践中的的可行性、发现了xx算法的xx漏洞这类题目有关。而实践派的大佬的网安知识则是通过在实战中检验。他们会利用一些现成的工具（如果是更高级别的大佬一般可以自己写脚本），参加各种对抗赛，通过攻击、入侵等方式挖漏洞。看似平静的互联网其实每天都在暗潮涌动、风云诡变，在我们看得见和看不见的地方其实每天都有很多故事在发生。

蓝队

蓝队是网络对抗赛中的防守方。笔者最先看的其实是和红队————进攻方有关的内容，看完之后不由得惊叹：原来所有我们能想到的和网络有关的内容，都是潜在的可攻击的对象。所以学会防守很关键。

入侵检测

入侵种类

入侵一般分为两类：

• 非法闯入。 即未经授权却访问了系统资源
• 企图获得不在允许范围内的权限

入侵检测

入侵检测则要完成这三类任务：

• 检测是否存在对计算机系统的非授权访问（针对上述第一条）
• 检测网络系统的异常，发现潜在的非法闯入或越权行为（针对上述第一二条）
• 通过监视系统的运行状态，发现潜在或正在的攻击行为（针对上述第一条）

入侵检测系统（IDS）的组成

• 数据采集器
• 检测器（分析器）
• 知识库
• 控制器

接下来我会详细说说这几部分的具体内容。

数据采集器

一般会采集如下几类信息。

• 日志文件

看是否有异常活动行为

• 系统目录和文件结构是否异常

有可能重要文件已经被替换

• 程序执行是否异常

这里的程序指的是进程。一般情况下，每个进程都有各自的权限环境、可访问的资源文件，如果它的行为异常，说明黑客有可能在入侵系统

• 网络活动信息是否异常

此处针对的是远程攻击的情况。大量TCP半开连接往往是DDoS的开始;短时间内被大量不同TCP/UDP端口连接，可能正在被端口扫描。

检测器（分析器）

分析器的作用就是要对接收的信息进行分析，一般分为如下几种形式：

• 模式匹配

简单来说就是数据库中已经记录了各类攻击的特征，只要这一次的攻击符合这种特征，就会被识别出来。缺点是灵活性较差，无法识别新型攻击。

• 统计分析

通过概率统计的手段，建立系统运行的行为轨迹。如果发现轨迹异常，说明可能存在问题。

• 完整性分析

检测文件或对象是否被更改，很微小的变化也能被识别（常用的算法函数有MD5、SHA等）

控制器

控制器就是自动或人为地对攻击做出响应。它分为主动和被动两类。

• 主动：采取相应措施，如断网、修改环境等
• 被动：发出告警信息、通知等

入侵检测系统（IDS）的分类

依据采集数据的来源不同，IDS可以分为如下几类：

• 基于网络
• 基于主机本身
• 基于Linux内核

（某种程度上说）它的数据来源于系统内核，安全性比前两种高

• 分布式

由于分布式系统的特性，使得它同时具有采集网络数据流和主机系统审计信息（前两种）的能力

下一篇文章会基于具体例子讲述入侵检测的原理。

参考资料

《网络安全服务能力运营指南 九维彩虹团队之蓝队“技战术”》 范渊主编