IDS
IDS=Intrusion Detection System=入侵检测系统
入侵检测标准化
- 入侵检测标准化
HIDS=Host-based Intrusion Detection System=基于主机的入侵检测系统DIDS=Distributed Intrusion Detection System=分布式入侵检测系统IDES=Intrusion Detection Expert System=入侵检测专家系统
NG-IDES=Next Generation IDES=下一代入侵检测专家系统
NIDS=Network Intrusion Detection System=基于网络的入侵检测系统NSM=Network Security Monitor=网络安全监测GrIDS=Graph-based Intrusion Detection System=基于图的入侵检测系统CIDF=Common Intrusion Detection Framework=通用入侵检测框架
- 是什么:
DARPA为IDS数据交据交换而作出的一个尝试
- 作用和目的
- 定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议
IDMEF=Intrusion Detection Message Exchange Format=入侵检测消息交换格式=RFC 4765IDMER=Intrusion Detection Message Exchange Requirements=入侵检测消息交换要求=RFC 4766IDXP=Intrusion Detection Exchange Protocol=入侵检测交换协议=RFC 4767
- 符合CIDF规范的IDS和安全设备可以共享检测信息,协同工作
- 集成各种安全设备使之协同工作
- 体系结构
- 规范语言
CISL=Common Intrusion Specification Language
- 诞生于 1999 年,定义了一个用来描述各种检测信息的标准语言
- CISL 和它的“继承者”们
- MISP
- 之前:
MISP=Malware Information Sharing Platform=恶意软件信息共享平台
- 后来(重新定位):
Open Source Threat Intelligence and Sharing Platform=开源威胁情报和共享平台
IODEF=Incident Object Description Exchange Format
- RFC 4765=
IDMEF=入侵检测消息交换格式
- OpenTPX - Threat Partner eXchange
STIX=Structured Threat Information eXpression
Sigma:Generic Signature Format for SIEM Systems
YARA:恶意软件特征匹配描述语言和工具
- 内部通讯
- 程序接口
入侵检测系统的部署
入侵检测 vs 威胁检测
入侵=intrusion
- 本意:an occasion when someone goes into a place or situation where they are not wanted or expected to be
威胁=threat
- 本意:a suggestion that something unpleasant or violent will happen, especially if a particular action or order is not followed
- 从「入侵」检测到「威胁」检测
- 检测范围扩大
入侵 检测强调在能区分内外网的场景下,重点关注从外到内的攻击行为威胁 检测不区分内外网
- 检测时间提前
入侵 检测强调检测已经发生的攻击行为威胁 检测强调预防尚未发生的攻击事件发生
- 检测目标扩充
入侵 检测虽然在最早的术语定义中是包含滥用行为的,但在实际研究和产品落地实现时主流 IDS 依然以狭义的漏洞利用行为检测为主威胁 检测的目标不再有遗漏:攻击、滥用、恶意代码等等一网打尽
- 自动化和协作共享防御目标没有变化
