《安全攻防技能》-IDS

来源极客时间《安全攻防技能30讲》
以下是自己总结笔记，仅用于学习思考！

无论是防火墙还是WAF，都无法达到100%的防护效果。黑客都有办法去绕过检测，要及时发现入侵到内网中的黑客，就需要使用到IDS（入侵检测系统）

一、什么是IDS？

IDS 的最终目的是检测黑客的攻击行为。
根据检测内容的不同，IDS可以分为两种类型：NDIS（网络入侵检测系统）和HIDS（基于主机型入侵检测系统）。

1、NIDS

防火墙只能检测穿越网络边界的流量，黑客进入内网后，就无法进行提供安全防护了。这个时候就需要NIDS了。主要检测网络流量中的攻击行为。区别于部署在网络边界的防火墙，NIDS 一般部署在内网的网络节点（路由器或交换机）中，所有的网络请求都会流经这些网络节点，所以，NIDS 基本可以获取到对应网络节点下全部的网络行为。

由于NIDS一般不具备拦截网络请求的能力，能够很好的隐蔽自己，检测能力比较稳定，不需要频繁地更新规则策略。

使用NIDS只要注意及时对规则进行维护即可。

2、HIDS

HIDS主要检测服务器系统中的攻击行为。通过监控各个用户在服务器系统上的行为来检测黑客的存在。

NIDS 运行在某个网络节点之上，相当于集中式的对网络流量进行检测，但是 HIDS 运行于每一个服务器中，也就相当于对系统行为进行分布式检测。

3、IPS

在 HIDS 和 NIDS 中，我们分别通过网络行为和服务器系统行为对黑客入侵进行检测。只能检测，那就需要加入拦截能力，就有了NIPS和HIPS，统称为IPS（入侵防御系统）。

IPS 的实现总体和 IDS 比较类似，只是 IDS 通常不会去修改网络节点和操作系统，而 IPS会实现额外的逻辑，对网络节点和系统内的行为进行封停，从而阻止黑客入侵。

二、什么是蜜罐

所谓“蜜罐”，就是一台部署在内网的服务器。这个服务器没有任何保护措施，并且提供带有漏洞的服务，就是为了吸引黑客来攻击它。蜜罐由安全人员部署在网络的各个节点中，理论上，其他开发人员都不会知道蜜罐的存在，也就不会向蜜罐发起任何请求。而黑客入侵内网后，需要对内网进行探测，如果发现蜜罐中的服务有漏洞，自然就会针对蜜罐发起攻击。

基于蜜罐的报警和日志，我们就能够及时发现黑客的存在，并且还原出黑客的攻击行为。

蜜罐的类型主要分为两种:低交互蜜罐和高交互蜜罐

低交互蜜罐，就是蜜罐内的所有服务都是模拟的，不能提供真实的服务功能。
高交互蜜罐会提供一个真实的服务，而且不施加任何限制，只是用做详细的记录而已。

蜜罐的优点: 几乎不会产生误报;所有行为都是真实的黑客攻击行为,因此数据量小,价值高;不需要已知的攻击样本，根据黑客的行为我们至能够发现新的攻击方式。

蜜罐的缺陷是入侵检测的实现非常依靠运气。

三、如何构建入侵检测体系?

1、蜜罐中的黑客的行为特征作为攻击样本的特征可以输入到IDS和IPS中,这样子两者就具备了根据黑客行为自动学习和升级的能力。.
2、IPS可以直接拦截黑客的攻击行为,但是容易被察觉。可以将黑客的攻击行为转发到蜜罐中,这样子攻击成功,行为也得到记录。
3、为了提升黑客发现蜜罐的概率，我们通常需要在内网中广泛地部署蜜罐。但是，这又增加了很多额外的硬件部署成本。因此，有的 HIDS 中会嵌入“微蜜罐”，就是利用服务器本身的资源实现一个小型的蜜罐服务。