A.3 入侵檢測和防御過程的通用模型

A.3.1 簡介

由軟硬件組成的IDPS通過自動監視、收集和分析信息系統或網絡中的可疑事態來發現入侵。入侵檢測和防御的通用模型主要包括的功能有：原始數據來源、事態檢測、分析、數據存儲和響應。這些功能可以由單獨的組件實現，也可作為更大系統一部分的軟件包來實現。圖A.1給出了這些功能之間相互關聯的方式。

A.3.2 數據來源

入侵檢測和防御過程的成功依賴于入侵信息的數據來源，主要包括：

– 來自不同系統資源的審計數據：審計數據記錄包含了消息和狀態信息，其范圍涵蓋了從高層次的抽象數據到顯示事態流時間順序的詳細數據。審計數據主要來源于操作系統日志文件(包括由操作系統產生的系統事態日志和活動日志，如審計痕跡或日志)或文件系統、網絡服務、訪問嘗試等記錄信息的應用。

– 操作系統系統資源的分配：系統監視的參數(例如， CPU工作負載、內存利用率、系統資源短缺、I/O速率、活躍的網絡連接數等)。

– 網絡管理日志：網絡管理日志主要提供網絡設備的健康程度信息、狀態信息和設備狀態轉換信息。

– 網絡流量：網絡流量提供了與安全相關的參數(比如源地址、目的地址、源端口、目的端口等)。

– 其他的數據來源：包括防火墻、交換機、路由器以及IDPS特定的傳感器或監視代理。

此外還需收集通信協議的不同選項(如IP和TCP狀態標記， 表示源路由或連接的嘗試與確認) 。數據收集前幾乎不會受到攻擊， 因此可依據OSI模型在低層次上收集原始數據[如果僅在OSI模型高層次(例如， 一個代理服務器上) 上收集原始數據， 那么底層的信息將會丟失] 。

原始數據來源可分為兩類：來自主機的數據和來自網絡的數據。根據IDPS位置的不同， 其也可同樣分為兩類：基于主機的IDPS和基于網絡的IDPS。基于主機的IDPS能檢查審計數據和其他來自主機或應用的數據。基于網絡的IDPS能檢查網絡管理目志， 以及來自防火墻、交換機、路由器和IDPS傳感器代理的數據。

A.3.3 事態檢測

事態檢測的目的是為了檢測和提供安全相關的事態數據，以用于分析。

檢測到的事態可以是簡單事態(包括正常操作過程中發生的攻擊或事件)，也可以是復雜事態(由簡單事態的組合組成，這些事態極有可能表示特定攻擊)。然而，事態和事態數據無法直接作為入侵的證據。

事態檢測可通過IDPS的監視組件實現。根據要檢測的事態數據的來源不同， IDPS的監視組件可安裝在網絡設備上(如路由器、網橋、防火墻)，或特定的計算機上(如應用服務器、數據庫服務器)。

由于事態檢測過程將產生大量的事態數據， 因此事態檢測的頻率會影響IDPS整體的有效性。這也適用于下面的分析過程。

A.3.4 分析

A.3.4.1 簡介

分析功能的目的是為了分析并處理由事態檢測提供的事態數據，以發現正在嘗試的、正在發生的或已經發生的入侵。

除了檢測到的事態數據，分析還可以利用的信息或數據來源包括：

– 先前分析的結果數據和存儲的數據；

– 從個體或系統如何表現的知識(如執行的已知任務和完成的已授權活動)中產生的信息或數據；

– 從個體或系統不被期望如何表現的知識(如已知攻擊或已知損害行為)中產生的信息或數據；

– 其他相關信息或數據，如可疑攻擊源站點、個體或攻擊者位置。

有兩種通用的分析方法：基于誤用的方法(也稱作基于知識的方法)和基于異常的方法(也稱作基于行為的方法)。

A.3.4.2 基于誤用的方法

A.3.4.2.1 總則

基于誤用的方法主要以已知攻擊和未授權活動的知識積累為基礎，對檢測到的事態數據進行分析，從而尋找出攻擊證據。

具體來說，此方法首先將信息系統的已知攻擊以及先前被認為是惡意的或入侵性的行為和活動，建模、編碼為特定的攻擊特征，然后系統地掃描信息系統以發現這些攻擊特征。由于已知攻擊的模式或已知攻擊的細微變化被稱作特征， 因此基于誤用的IDPS有時稱作基于特征的IDPS。

在IDPS商用產品中， (最常見的) 基于特征的攻擊檢測技術通常將與攻擊或未授權活動相一致的每個事態模式建模和編碼為一個獨立的攻擊特征。然而，也存在一些更復雜的系統允許使用單一的攻擊特征來檢測一組已知攻擊和未授權活動。

需要注意的是，基于誤用的方法是基于如下假設，即事態數據與攻擊特征不匹配時不代表有入侵或攻擊。由于某些入侵和攻擊在攻擊特征建模時還是未知的，因此不匹配的數據仍然可能包含入侵或攻擊的證據。

目前，基于誤用的分析廣泛使用的方法有攻擊特征分析、專家系統、狀態轉換分析。

A.3.4.2.2 攻擊特征分析

此方法是入侵檢測和防御中最常見的方法，主要基于如下假設，即信息系統中安全相關的行為都將能產生相應的審計日志。

攻擊特征分析首先分析、收集或制定已知攻擊的語義描述、攻擊特征，然后將其保存在數據庫中。對日志進行審計時，當發現與預定義的入侵攻擊特征相匹配的特定序列或攻擊特征時，就表示有入侵企圖。

此方法能用于有閾值(單位時間內發生事件的比例、數量或是其他的測量指標)或沒有閾值的情況。如果未定義閾值，當識別出一個攻擊特征時即產生報警。如果定義了閾值，會在攻擊特征數量超過閾值時才產生報警。

此方法的缺點主要是需要不斷地更新攻擊特征，以便發現新的脆弱性和攻擊。

A.3.4.2.3 專家系統

基于誤用的方法的專家系統包含了描述入侵的規則。而基于異常的方法的專家系統生成一系列規則，根據給定時間段內用戶行為記錄，統計用戶的使用行為。所有規則都需要不斷更新以適應新的入侵或新的使用模式。

本方法主要將經過審計的事態轉換為表達其語義的事實，輸入專家系統，利用這些規則和事實得出結論，以檢測可疑入侵或不一致的行為。

A.3.4.2.4 狀態轉換分析

該方法將帶有一系列目標和轉換的入侵表示成為狀態轉換圖。借助狀態轉換圖中與狀態相關的布爾聲明進行分析。

A.3.4.3 基于異常的方法

A.3.4.3.1 總則

基于異常的方法根據以往對正常系統行為的觀察或者預先定義的配置文件(一個預先確定的事態模式，通常與一系列的事態相關，存儲在數據庫中用于對比)，從預期或預測的常規行為中發現異常行為。

需要注意的是，基于異常的方法基于如下假設，即事態數據與攻擊特征不匹配時，代表有入侵或攻擊。由于某些正常的證據或已授權行為在攻擊特征建模時還是未知的，因此不匹配的數據仍然可能包含正常的證據或已授權行為。

目前，廣泛使用的基于異常的分析方法有識別異常行為、專家系統、統計方法和神經網絡。

A.3.4.3.2 識別異常行為

此方法主要匹配用戶的正常活動模式，而攻擊特征分析則匹配用戶的異常活動模式。

此方法通過一系列的任務(這些任務由用戶通過使用非統計技術在系統上執行，其表現為用戶期望的或授權的活動模式，如訪問特定文件或文件類型)對用戶正常的或已授權的行為進行建模，并將審計中發現的個人行為與預期的或授權的模式相比較，當行為模式與預期的或授權的模式不同時，將產生報警。

A.3.4.3.3 專家系統

參見 A.3.4.2.3。

A.3.4.3.4 統計方法

在基于異常的入侵檢測方法中，最常用的是統計方法。

本方法通過隨時間采樣的多個變量來測量用戶行為或系統行為，并將其存儲在配置文件中。當前配置文件定期與已存儲的配置文件合并，并隨著用戶行為的變化(如每次會話的登錄和退出時間、資源利用的持續時間，以及在會話或給定的時間內消耗的處理器內存磁盤資源量)而更新。

配置文件可以由不同類型的測量組成，主要包括：

– 活動強度測量；

– 審計記錄分發測量；

– 分類測量(如登錄的相對頻率)；

– 計數測量(如特定用戶的CPU或I/O的數值) 。

異常行為主要通過檢查當前配置文件和存儲的配置文件來確定，即閾值是否超出了變量的標準偏差。

A.3.4.3.5 神經網絡

神經網絡是一種算法，用來學習輸入 一 輸出向量的關系并從中發現普遍規則，以獲得新的輸入 一 輸出向量。對入侵檢測和防御來說，神經網絡主要用于學習系統內角色(如用戶、后臺程序)的行為。使用神經網絡的優勢在于神經網絡能夠較為簡單的表示變量之間的非線性關系，還能夠自學習和再訓練。

A.3.4.4 結合方法

基于誤用和基于異常的方法可以結合使用， 以便利用彼此的優點。混合方式的IDPS部署允許基于已知攻擊特征和未經確認的模式(如特定用戶登錄嘗試的次數)來檢測入侵。

此外檢測入侵的其他方式或方法正在探索研究中。例如， Petri網的應用研究和計算機免疫學的研究。

A.3.4.5 分析頻率

A.3.4.5.1 總則

原始數據(如審計痕跡或日志)通常是連續產生的，但它們可能不會全部用于事態檢測處理或事態分析。因此，分析的頻率可分為：

– 連續的；

– 周期性的；

– 特定條件下的。

A.3.4.5.2 連續的或接近實時的

此種情況下，事態檢測不斷查找出現的特定數據、情況或活動并提供事態數據，分析也持續不斷的進行。

此時，需要注意在檢測到并且報告入侵之前，入侵已經完成的情況。由于事態發生時間與檢測并報告它的時間之間存在時間差，因此導致了入侵開始和侵入目標系統之間存在時間差(這主要取決于事態數據來源、檢測方法或入侵性質等相關信息)。

A.3.4.5.3 定期或批量處理

將原始數據和檢測到的事態數據放置到存儲介質時，可選擇定期或在合適的時間檢測分析這些數據。例如，可在IT系統負荷較低時(如晚上或通過一個輔助的旁路子系統)，對事態數據進行檢測和分析。

A.3.4.5.4 僅在特定條件下發起

取證分析是一種僅在特定條件下(如發生大范圍的攻擊，且引起了嚴重破壞)才發起的分析，需集中力量對攻擊相關方面和產生的后果進行全面分析，主要用于法律訴訟，因此需要遵循相關的證據規則。

A.3.5 數據存儲

數據存儲的目的是存儲安全相關信息，并用于后續的分析和報告中。

存儲的數據主要包括：

– 已檢測到的事態數據和其他的必要數據；

– 分析的結果，包括已檢測到的入侵和可疑事態(后續用于可疑事態分析)；

– 收集已知攻擊和正常行為的配置文件；

– 安全報警響起時，收集和保存的詳細原始數據(作為證據，如為了可追溯性)。

需要提供數據保留和數據保護策略，用于處理各種后續事項，如完成分析、數據取證、證據保存，以及防止對安全相關信息的竊聽。

A.3.6 響應

響應的目的是為了向相關人員(如系統管理員、安全負責人)提供合適的分析結果。這些結果通常以圖形用戶界面的形式呈現，并可通過郵件、短信、電話等方式通知相關人員，以便升級和組織對報警的響應。

被動響應僅限于在控制臺產生報警， 而主動響應(具有主動響應功能的IDS也稱為IPS) 還能針對入侵提供適當的對策，以限制入侵或將其影響降到最低，相關對策主要包括：

– 重新配置被入侵的系統；

– 鎖定入侵的賬戶；

– 封鎖會話協議。

響應提供的信息主要幫助評估入侵的嚴重程度，并決定所采取的對策。此時需要確保評估得到的入侵嚴重程度及所采取的對策要與組織的信息安全策略和程序相一致。

GB/T 22081-2016 第 13 章給出了相關的對策，包括信息安全事態的報告、從安全漏洞中恢復、糾正系統故障的職責和程序。此外，GB/T20985.1一2017也提供了關于信息安全事件管理的相關信息。