第10章 入侵检测技术原理应用

入侵检测概述
入侵检测技术 ※
入侵检测系统组成与分类 ※
入侵检测系统主要产品与技术指标
入侵检测应用 ※ ※
 
 命题规则：上午选择题2分左右，下午案例题结合其他知识考5-8分

入侵检测是网络安全态势感知的关键核心技术，支撑构建网络安全信息安全保障体系。

10.1入侵检测概述

10.1.1入侵检测概念

  美国专家讲入侵定义为“非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作”。我们一般认为，入侵应与受害目标相关联 ，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是否为入侵的依据是：对目标的操作是否超出了目标安全策略范围。因此入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称为IDS。

10.1.2入侵检测模型

  最早的入侵检测模型主要根据主机系统的审计记录数据，生成有关系统的若干轮廓，并监督测检测轮廓的变化差异，发现系统的入侵行为，如图

  后续由于入侵行为种类的不断增多，许多攻击都是经过长期准备。又提出了一种通用的入侵检测框架模型，简称CIDF。它由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成。CIDF将入侵检测系统需要分析的数据统称为事件（可以是数据包、从系统日志等其他信息得到的信息）。

• 事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。
• 事件分析器分析所得的数据，并产生分析结果。
• 响应单元对分析结果做出反应（如切断网络、改变文件属性、简单报警灯应急响应）。
• 事件数据库存放各种中间和最终数据
  

  10.1.3 入侵检测的作用

    入侵检测系统在网络安全保障过程中扮演类似“预警机"或“安全巡逻人员"的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图已经违背安全策略的行为，其作用表现为以下几个方面

1. 发现受保护系统中的入侵行为或异常行为
2. 检验安全保护措施的有效性
3. 分析受保护系统所面临的有效性
4. 有利于阻止安全事件扩大，及时报警触发网络安全应急响应
5. 可以为网络安全策略的制定提供重要指导
6. 报警信息可以作用网络犯罪取证

  除此之外，入侵检测技术还常用于态势感知，以获取网络信息系统的安全状况

10.2入侵检测技术

基于误用的入侵检测技术、基于异常的入侵检测技术和其他技术

10.2.1 基于误用的入侵检测技术

  误用入侵检测也叫基于特征的入侵检测方法，指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到。

  显然这种技术很依赖攻击模式库的大小。如果太小，IDS产品的有效性就大打折扣。但太大，也会影响到IDS的性能。

  基于误用的入侵检测实际上就是一个模式匹配的过程，需要入侵行为能够按某种方式进行特征编号。

 根据入侵特征秒描述的方式或构造技术，误用检测方法可以进一步细分:

书上的公式可以不用记

• 基于条件概率的误用检测方法，这是将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。
• 基于状态迁移的误用方法检测：利用状态图标识攻击特征，通过检查系统的状态变化发现系统中的入侵行为。采用该方法的 IDS 有 STAT( State Transition Analysis Technique)和 USTAT ( State Transition Analysis Tool for UNlX )。
• 基于键盘监控的误用检测方法：监测用户的击键模式，并将其与入侵模式匹配，从而发现入侵行为。这种方法的缺点是，在没有操作系统支持的情况下缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。
• 基于规则的误用检测方法：将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。大部分IDS采用的就是这种方法。Snort是典型的基于规则误用检测方法的应用实例。

10.2.2 基于异常的入侵检测技术

  异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。

  几种常见的异常检测方法：

• 基于统计的异常检测方法。利用数学统计学统计理论技术，通过构建用户或系统正常行为的特征轮廓。典型的系统主体特征有:系统的登录与注销时间，资源被占用的时间以及处理机、内存和外设的使用情况等。至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长。基于统计性特征轮廓的异常性检测器，对收集到的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较,然后根据二者的偏差是否超过指定的门限来进一步判断、处理。许多入侵检测系统或系统原型都采用了这种统计模型。
• 基于模式预测的异常检测方法。根据观察到的用户行为归纳产生一套规则集，构成用户的行为，构成用户的行为轮廓框架。如果观测到的事件序列匹配规则的左边，而后续事件显著地背离根据规则预测到的事件，那么系统就可以检测出这种偏离，表明用户操作异常。
• 基于文本分类的异常检测方法：将程序的系统调用视为某个文档中的“字”，而进程运行所产生的系统调用集合就产生一个“文档”。对于每个进程产生的“文档”，利用 K-最近邻聚类文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测入侵行为
• 基于贝叶斯推理的异常检测方法：在任意给定的时刻，测量A1 A2，…An 变量值，推理判断系统是否发生入侵行为
  

10.2.3 其他

• 基于规范的检测方法。本方法介于异常检测和误用检测之间，定义安全跟踪策略，若操作序列不符合定义就报警。优点是能够发现已知和未知的攻击
• 基于生物免疫的检测方法。模仿生物免疫机制，是受保护的系统能够将“非自我”的攻击行为“自我”的合法行为区分开来。综合了异常检测和误用检测两种方法，其关键技术在于构造系统“自我”标志以及标志演变方法。
• 基于攻击诱骗的检测方法：提供虚假的系统或漏洞信息，如果入侵者应用这些信息攻击系统，就可以推断系统正在遭受入侵，并且安全管理员还可以诱惑入侵者，进一步跟踪攻击来源
• 基于入侵警报的关联检测方法：通过对原始的IDS报警事件的分类及相关性分析来发现复杂攻击行为。方法分为三类：第一类基于报警数据的相似性进行报警关联分析；第二类通过人为设置参数或通过机器学习的方法进行报警关联分析；第三类根据某种攻击的前提条件与结果进行报警关联分析
• 基于沙箱分析的检测方法：通过构建程序运行的受控安全环境，然后检测可疑恶意文件或程序在安全沙箱的运行状况，获取可疑恶意文件或可疑程序的动态信息，最后检测相关信息是否异常，从而发现入侵行为
• 基于大数据分析的检测方法：通过汇聚各种日志、情报、流量等多种数据资源，形成大数据资源池，然后利用人工智能技术，进行机器学习，以发现入侵行为。常见的大数据分析检查技术有数据挖掘、深度学习、数据关联、数据可视化等。

10.3入侵检测系统组成与分类

10.3.1 入侵检测系统组成

  入侵检测系统主要由一下模块组成：

数据采集模块：为分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行和网络数据包等
入侵分析引擎模块：依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。（属于入侵检测系统的核心模块）
应急处理模块：当发生入侵后，提供应急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等
管理配置模块：为其他模块提供配置服务，是IDS中模块与用户的接口。
辅助模块：协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。

10.3.2 基于主机的入侵检测系统

  基于主机的入侵检测系统，简称HIDS。通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并以此来判断该主机是否收到入侵。HIDS一般适合检测以下入侵行为：

• 针对主机的端口或漏洞扫描
• 重复失败的登入尝试
• 远程，口令破解
• 主机系统的用户账号添加
• 服务启动或停止
• 系统重启动
• 文件的完整性或许可权变化
• 注册表修改
• 重要系统启动文件变更
• 程序的异常调用
• 拒绝服务攻击

  基于主机的入侵检测系统（HIDS）的软件有很多，如
SWATCH：利用指定的触发器监视日志记录，当日志记录符合触发器条件时，SWATCH会按预先定义好的方式通知系统管理员。
Tripwire：是一个文件盒目录完整性检查工具软件包，用于协助管理员和用户监测特定文件的变化
网页防篡改系统：防止网页文件被入侵者非法修改，即在页面文件被篡改后，能够及时发现、产生报警、通知管理员、自动恢复。

基于主机入侵检测系统的优点

1. 可以检测基于NIDS不能检测的攻击；
2. 基于HIDS可以运行在加密系统的网络上，只要加密信息在达到被监控的主机时或达到前解密
3. 基于主机的入侵检测系统可以运行在交换机网络中

基于主机入侵检测系统的缺点：

1. 必须在每个被监控的主机上都安装和维护信息收集模块
2. 由于HIDS的一部分安装在被攻击主机上，HIDS可能受到攻击并被攻击者破坏
3. HIDS占用受保护的主机系统的系统资源，降低了主机系统的性能
4. 不能有效地检测针对网络中所有主机的网络扫描
5. 不能有效检测和处理拒绝服务攻击
6. 只能使用它所监控的主机的计算资源

10.3.3 基于网络的入侵检测系统

  基于网络的入侵检测系统简称NIDS。NIDS通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。NIDS通常由一组或用途单一的计算机组成，其构成分为两部分：探测器和管理控制器。探测器分布在网络中的不同区域，通过侦听（嗅探）方式获取网络包，探测器将检测到攻击行为形成报警事件，向管理控制器发送报警信息，报告发生入侵行为。一般来来说，NIDS能够检测到以下入侵行为：

同步风暴（SYN Flood）
分布式拒绝服务攻击（DDoS）
网络扫描
缓冲区溢出
协议攻击
流量异常
非法网络访问

10.3.4 分布式入侵检测系统

  分布式入侵检测系统可以跨越多个子网检测攻击行为，特别是大型网络。分布式入侵检测系统可以分成两种类型，即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。

基于主机检测的分布式入侵检测系统（HDIDS）
  HDIDS，其结构分为两个部分：主机探测器和入侵管理控制器。主机探测器多以安全代理（Agent）的形式直接安装在受保护主机上，通过网络中的系统管理控制台进行远程控制。这种控制方式，便于对系统进行状态监控、管理以及对检测模块的软件进行更新。HDIDS的典型配置如图。

基于网络的分布式入侵检测系统（NDIDS）
  NDIDS的结构分为两部分：网络探测器和管理控制器。网络探测器部署在重要的网络区域，如服务器所在的网段，用于收集网络通信数据和业务数据流，通过采用==异常和误用==两种方法对收集到的信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。网络入侵检测系统功能模块的分布式配置及管理如图

10.4入侵检测系统主要产品

10.4.1 入侵检测相关产品

入侵检测是网络安全监测和预警的核心关键技术，其产品技术日渐成熟完善。常见的入侵检测相关产品有如下几类

1. 主机入侵检测系统：根据主机活动信息及重要文件，采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术方法发现入侵行为。（典型的产品形态有安全产品，如360安全卫士、火绒）
2. 网络入侵检测系统：产品技术原理是更具网络流量数据分析，利用特征检测、协议异常检测等技术方法发现入侵行为。（国内绿盟、天融信、启明星辰都有提供此类产品）
3. 统一威胁管理（简称UTM）：该设备主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬盘设备里，形成标准的统一威胁管理平台，通过统一部署的安全策略，融合多种安全功能，是针对网络及应用系统的安全威胁进行综合防御的网关型设备或系统。
4. 高级持续威胁检测：高级持续威胁（简称APT）是复杂性攻击技术，常将恶意代码嵌入Word文档、Excel文档…中，以逃避普通的网络安全检测，达到攻击。高级持续威胁检测系统是入侵检测技术产品的特殊形态，其产品技术原理基于静态/动态分析检测可疑恶意电子文件及关联分析网络安全大数据以发现高级持续威胁活动。目前， 国内的APT产品有安天追影威胁分析系统、360天眼新一代威胁感知系统、华为FireHunter6000系列沙箱及CIS网络安全智能系统。
5. 其他：根据入侵检测引用对象，常见的产品类型有Web IDS、数据库IDS、工控IDS等

10.4.2 入侵检测相关指标

1. 可靠性：由于入侵检测系统需要不间断地监测受保护系统,因此,要求入侵检测系统具有容错能力,可以连续运行。
2. 可用性：入侵检测系统运行开销要尽量小，特别是基于主机的入侵检测系统，入侵检测系统不能影响到主机和网络系统的性能。
3. 可扩展性：该指标主要评价入侵检测系统是否易于配置修改和安装部署的能力，以适应新的攻击技术方法不断出现和系统环境的变迁需求。
4. 时效性：时效性要求入侵检测系统必须尽快地分析报警数据，并将分析结果传送到报警控制台，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者破坏审计系统甚至入侵检测系统的企图。
5. 准确性：准确性是指入侵检测系统能正确地检测出系统入侵活动的能力。
6. 安全性：与其他系统一样，入侵检测系统本身也往往存在安全漏洞。

10.5入侵 检测系统应用

10.5.1 入侵检测应用场景

• 上网保护
• 网站入侵检测与保护
• 网络攻击阻断
• 主机/终端恶意代码检测
• 网络安全监测与应急处理
• 网络安全等级保护

10.5.2 入侵检测系统部署方法

  IDS部署是指将IDS安装在网络系统区域中，使之能检测到网络中的攻击行为。IDS部署的过程包含以下几个步骤：

    第一步，根据组织或公司的安全策略要求，确定IDS要监测的对象或保护网段

    第二步，在监测对象或保护网段，安装IDS探测器，采集网络入侵检测所需要的信息

    第三步，针对监测对象或保护网段的安全需求，制定相应的检测策略

    第四步，依据检测策略，选用适合的IDS结构

    第五步，在IDS上，配置入侵检测规则

    第六步，测试验证IDS的安全策略是否正常执行

    第七步，运行和维护IDS

10.5.3 基于HIDS的主机威胁检测

  HIDS一般用于检测针对单台主机的入侵行为，其主要应用方式如下

（1）单机应用。（把HIDS系统直接安装在受监测的主机上即可）

（2）分布式应用。这种方式需要安装管理器和多个主机探测器（sensor）。管理器控制多个主机探测器（sensor），从而可以远程监控多台主机的安全状况。

10.5.4 基于NIDS的内网威胁检测

  将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口，如图。探测器通过采集内部网络流量数据，然后基于网络流量分析监测内部网络活动，从而可以发现内网中的入侵行为。

10.5.5 基于NIDS的网络边界威胁检测

  将NIDS的探测器接在网络边界处，采集与内部网进行同信的数据包，然后分析来自于外部的入侵行为。

10.5.6 网络安全态势感知应用

  网络态势感知通过汇聚IDS报警信息、系统日志、然后利用大数据分析技术对网络系统的安全状况进行分析，检测网络安全态势。

10.5.7 开源的网络入侵检测系统

这里出过选择题

  开源IDS系统Snort：网络误用检测系统，基本技术原理是通过获取网络数据包，基于安全规则进行检测，形成报警信息。

  Snort规则由两部分组成，即规则头和规则选项。规则头包含规则操作（action）、协议（protocol）、源地址和目的IP地址及网络掩码、源端口和目的端口信息。规则选项包含报警消息、被检查网络包的部分信息及规则应采取的动作。

  snort配置为以三种模式运行：

嗅探模式：从网络中读取数据包并在控制台（屏幕）上已连续流的形式显示
数据包记录器模式：将数据包记录到磁盘。可以用-l 命令来把日志存到一个目录下，比如 -l ./log
网络入侵检测（NIDS）模式：对网络流量进行检测和分析。这是最复杂和可配置的模式

后续会更新snort的具体使用方法

Snort是一个开源的入侵检测系统（IDS），它能够实时分析网络流量并检测潜在的攻击行为。针对Nmap扫描的检测，Snort可以通过编写特定的规则来实现。以下是对Snort命令规则以及Nmap扫描检测规则的详细解释：

Snort规则的基本结构

Snort规则通常分为两个逻辑部分：规则头和规则选项。

1. 规则头：包含规则的动作、协议、源和目标IP地址与网络掩码，以及源和目标端口信息。
   • 动作：Snort中有多种动作，如alert（告警）、log（记录）、pass（忽略）等。其中，alert动作是最常用的，它会在检测到匹配规则的数据包时生成告警。
   • 协议：指定要检测的协议类型，如tcp、udp等。
   • 源和目标IP地址与网络掩码：定义规则的适用范围。
   • 源和目标端口信息：指定要检测的端口范围。
2. 规则选项：包含报警消息内容和要检查的包的具体部分。这部分定义了触发规则的具体条件，如数据包的内容、长度、标志位等。

Nmap扫描检测规则示例

以下是一些针对Nmap扫描的Snort检测规则示例：

1. 检测Nmap Ping扫描

   snort复制代码
   
   alert icmp any any -> 192.168.43.97 any (msg:"NMAP ping sweep Scan"; dsize:0; sid:10000001; rev:1;)

   这条规则检测ICMP协议的数据包，当目标IP为192.168.43.97且数据包大小为0时，触发告警。这通常是Nmap进行Ping扫描的特征。

2. 检测Nmap TCP/UDP扫描

   alert tcp any any -> 192.168.43.97 any (msg:"NMAP TCP Scan"; sid:10000002; rev:2;)  
   alert udp any any -> 192.168.43.97 any (msg:"Nmap UDP Scan"; sid:10000003; rev:1;)

   这两条规则分别检测TCP和UDP协议的数据包，当目标IP为192.168.43.97时，触发告警。这通常是Nmap进行TCP或UDP端口扫描的特征。

3. 检测Nmap XMAS扫描

   snort复制代码
   
   alert tcp any any -> 192.168.43.97 any (msg:"Nmap XMAS Tree Scan"; flags:FPU; sid:1000004; rev:1;)

   这条规则检测TCP协议的数据包，当目标IP为192.168.43.97且数据包标志位为FPU（Fin、PSH、URG）时，触发告警。这通常是Nmap进行XMAS扫描的特征。

4. 检测Nmap FIN扫描

   snort复制代码
   
   alert tcp any any -> 192.168.43.97 any (msg:"Nmap FIN Scan"; flags:F; sid:1000005; rev:1;)

   这条规则检测TCP协议的数据包，当目标IP为192.168.43.97且数据包标志位为F（Fin）时，触发告警。这通常是Nmap进行FIN扫描的特征。

5. 检测Nmap NULL扫描

   snort复制代码
   
   alert tcp any any -> 192.168.43.97 any (msg:"Nmap NULL Scan"; flags:0; sid:1000006; rev:1;)

   这条规则检测TCP协议的数据包，当目标IP为192.168.43.97且数据包标志位为0（无标志位）时，触发告警。这通常是Nmap进行NULL扫描的特征。

注意事项

1. 规则灵活性：Snort的规则非常灵活，可以根据实际需求进行定制。但是，规则的匹配并不是百分之百准确的，可能会存在误报或漏报的情况。因此，在实际应用中，需要结合其他安全设备或工具进行综合防御。
2. 规则更新：随着网络攻击手段的不断变化，Snort的规则也需要不断更新以适应新的威胁。建议定期从Snort的官方网站或社区获取最新的规则集。
3. 性能影响：编写过多的规则可能会对Snort的性能产生影响。因此，在编写规则时，需要权衡检测效果和性能之间的关系。

综上所述，Snort可以通过编写特定的规则来检测Nmap扫描等潜在的网络攻击行为。这些规则可以根据实际需求进行定制和更新，以提高网络安全防护的准确性和有效性。

Snort是一款开源的入侵检测系统（IDS），它能够监控网络流量并检测潜在的攻击模式，包括SQL注入攻击。以下是针对SQL注入攻击，可以在Snort中设置的一些命令规则示例：

基于SQL注入特征的检测规则

1. 检测单引号、双引号等SQL特殊字符

   SQL注入攻击中，攻击者常常会在输入字段中插入单引号（'）、双引号（"）等SQL特殊字符来尝试构造恶意的SQL语句。因此，可以设置规则来检测这些特殊字符的出现。

   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Single Quote Detected"; content:"%27"; sid:1000001; rev:1;)  
   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Double Quote Detected"; content:"%22"; sid:1000002; rev:1;)

2. 检测SQL关键字

   SQL注入攻击还常常涉及SQL关键字的使用，如SELECT、INSERT、UPDATE、DELETE等。因此，可以设置规则来检测这些关键字的出现。

   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - SELECT Keyword Detected"; content:"select"; nocase; sid:1000003; rev:1;)  
   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - UNION Keyword Detected"; content:"union"; nocase; sid:1000004; rev:1;)

3. 检测布尔型SQL注入

   布尔型SQL注入攻击中，攻击者会使用AND/OR运算符来评估页面返回的true或false，从而判断SQL注入是否成功。因此，可以设置规则来检测这些运算符的出现。

   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"Boolean SQL Injection - AND Detected"; content:"and"; nocase; sid:1000005; rev:1;)  
   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"Boolean SQL Injection - OR Detected"; content:"or"; nocase; sid:1000006; rev:1;)

二、基于正则表达式的复杂检测规则

为了更精确地检测SQL注入攻击，可以使用正则表达式来匹配更复杂的攻击模式。以下是一些基于正则表达式的检测规则示例：

1. 检测SQL注入的元字符

   SQL注入攻击中，攻击者可能会使用单引号（'）、分号（;）和双减号（--）等元字符来构造恶意的SQL语句。可以使用正则表达式来检测这些元字符的出现。

   plaintext复制代码
   
   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Meta Characters Detected"; pcre:"/(\%27)|(\')|(\-\-)|(\%3B)|(;)|(#)/i"; sid:1000007; rev:1;)

2. 检测UNION+SELECT攻击

   UNION+SELECT攻击是SQL注入攻击中常见的一种形式，攻击者通过构造UNION SELECT语句来尝试访问数据库中的其他表或列。可以使用正则表达式来检测这种攻击模式。

   plaintext复制代码
   
   alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - UNION SELECT Detected"; pcre:"/(\%3D|=)+((\S|\s))+((\%75)|u|U|(\%55))((\%6E)|n|N|(\%4E))((\%69)|i|I|(\%49))((\%6F)|o|O|(\%4F))((\%6E)|n|n|(\%4E))((%20)|(\w+)|\S|\s)+((\%73)|s|S|(\%53))((\%65)|e|E|(\%45))((\%6C)|l|L|(\%4C))((\%65)|e|E|(\%45))((\%63)|c|C|(\%43))((\%74)|t|T|(\%54))/i"; sid:1000008; rev:1;)

三、注意事项

1. 规则优化

   Snort的规则可以非常灵活和复杂，但也可能导致误报或漏报。因此，在设置规则时，需要仔细考虑规则的准确性和效率，并进行适当的优化。

2. 定期更新

   随着SQL注入攻击技术的不断发展，新的攻击模式和特征可能会不断出现。因此，需要定期更新Snort的规则库，以确保能够检测到最新的SQL注入攻击。

3. 综合防御

   Snort作为IDS的一种，可以提供实时的攻击检测能力。但仅仅依靠Snort是不足以完全防御SQL注入攻击的。还需要结合其他安全措施，如输入验证、参数化查询、Web应用防火墙（WAF）等，来构建综合的防御体系。

以上规则仅供参考，具体设置时需要根据实际情况进行调整和优化。同时，还需要注意保持Snort的更新和配置的正确性，以确保其能够发挥最佳的检测效果。

10.5.8 华为 CIS 网络安全智能系统应用

华为CIS(Cybersecurity Inteligence System，网络安全智能系统)采用最新的大数据分析和机器学习技术，用于抵御 APT攻击。其产品技术原理是从海量数据中提取关键信息，通过多维度风险评估，采用大数据分析方法关联单点异常行为，从而还原出APT攻击链，准确识别和防御 APT 攻击，避免核心信息资产损失。华为CIS网络安全智能系统的分布式机构如图10-14所示。

CIS 基于大数据平台，采用机器学习模式,针对 APT 攻击过程进行检测，如图 10-15 所示。CIS 提供文件异常检测、Mail 异常检测、C&C检测、流量基线异常检测、隐蔽通道检测、攻击链关联等安全功能。CIS网络安全态势感知应用如图10-16所示。

10.6 本章小结

网络系统安全保障体系包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分，扮演着网络空间“预警机”的角色。本章首先介绍了入侵检测系统的基本概念和作用，分析了各类入侵检测技术;然后还就入侵检测系统的组成结构和类型进行了分析，并举例说明常见的入侵检测系统;最后给出入侵检测系统的应用案例。随着计算机和网络技术的发展，IDS作为重要的安全防范措施，将会受到网络管理员的重视。