IDS 入侵检测

什么是入侵检测？

如果把防火墙比喻成门卫，那么入侵检测ids就是监控摄像头。

学习目标

• 入侵检测系统的类型及其检测能力
• 入侵检测系统的工作原理
• 入侵检测系统中的默认规则和自定义规则
• 在Snort入侵检测系统中创建自定义规则

入侵检测系统（IDS）可以根据某些因素进行不同的分类。入侵检测系统的主要分类取决于其部署方式和检测模式。

Deployment Modes 部署模式

• 主机入侵检测系统（HIDS）：基于主机的入侵检测系统解决方案单独安装在主机上，仅负责检测与该特定主机相关的潜在安全威胁。它们提供主机活动的详细可见性。然而，在大型网络中，主机入侵检测系统可能难以管理，因为它们资源密集，并且需要在每台主机上进行管理。
• 网络入侵检测系统（NIDS）：基于网络的入侵检测系统解决方案对于检测整个网络内潜在的恶意活动至关重要，无论涉及任何特定主机。它们监控所有相关主机的网络流量，以检测可疑活动。它提供了整个网络内所有检测情况的集中视图。

Detection Modes 检测模式

• 基于特征的入侵检测系统： 每天都会发生许多攻击。每次攻击都有其独特的模式，即所谓的特征。
• 基于异常的入侵检测系统（IDS）:这类入侵检测系统首先学习网络或系统的正常行为（基线），如果出现任何与正常行为的偏差，就会进行检测。
• 混合入侵检测系统（Hybrid IDS）： 混合入侵检测系统结合了基于特征的入侵检测系统和基于异常的入侵检测系统的检测方法，以利用每种方法的优势。一些已知威胁可能在入侵检测系统数据库中已有某些特征；在这种情况下，混合入侵检测系统将使用基于特征的入侵检测系统的检测技术。如果遇到新威胁，它可以利用基于异常的入侵检测系统的检测方法。

Snort的模式

Snort是1998年开发的使用最为广泛的开源入侵检测系统（IDS）解决方案之一。它采用基于特征和基于异常的检测方法来识别已知威胁。这些威胁在Snort工具的规则文件中进行定义。该工具包中预安装了几个内置规则文件。这些内置规则文件包含各种已知的攻击模式。Snort的内置规则可以为您检测到大量恶意流量。但是，您可以对Snort进行配置，以检测默认规则文件未涵盖的特定类型的网络流量。您可以根据自己的需求创建自定义规则，以检测特定流量。如果某些内置检测规则对您的系统或网络而言并不指向有害流量，您也可以禁用它们，转而定义一些自定义规则。在接下来的任务中，我们将探究内置规则，并创建自定义规则以检测特定流量。

在安装Snort时，你必须提供网络接口和范围。你可以正常运行Snort，此时它仅捕获发往你主机的流量。但是，如果你想使用Snort捕获并检测整个网络中的入侵行为，则必须开启主机网络接口的混杂模式。

Snort有一些内置的规则文件、一个配置文件和其他文件。这些文件存储在/etc/snort目录中。Snort的关键文件是其配置文件snort.conf，在该文件中，你可以指定启用哪些规则文件、监控哪个网络范围以及启用其他设置。规则文件存储在rules文件夹中。\

我们来讨论在Snort中规则是如何创建的。编写规则有特定的方法。以下是一个示例规则，它可以检测来自任何IP地址和端口、发往家庭网络（网络范围在Snort的配置文件中定义）任何端口的ICMP数据包（通常在ping主机时使用）。一旦检测到此类流量，就会生成“检测到Ping”警报。