引言：

无逻辑,不成体系,无体系,何谈效率。

一、什么是入侵？

入侵行为是指来自具有不可靠意识（潜在的、有预谋的、未经授权的访问，企图致使系统不可靠或无法使用）的入侵者通过未经正常身份标识、身份认证，无对象访问授权，逃避审计，逃避可问责等非正常过程手段或过程对信息系统的信息安全三元组（C 机密性、I 完整性、A 可用性）造成破坏的恶意行为。

入侵行为的影响程度取决于对信息安全CIA三元组的破坏程度、商业压力及监管压力等多方面的影响。

二、什么是入侵检测技术？

企业入侵检测技术：入侵检测技术是对已有入侵防御技术的补充，是入侵检测实施主体通过建立入侵检测体系和知识库，预防、检测、缓解入侵、还原入侵过程，事件响应等对抗来自入侵者（包括来自内部）的入侵行为的手段。其本质上是一种基于信息技术的手段，是灵活运用入侵检测知识库的结构化体系，而不是单指技术人员狭义定义上的信息技术本身；

入侵检测技术从结构上包含了：入侵检测体系、入侵检测知识库、入侵检测实施主体等子结构。

过时的入侵检测技术概念：

“入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。”                  

三、入侵检测处于安全运营（治理）体系的什么位置？

四、入侵检测技术解决的是什么问题？

1.     通过特征、模型、异常检测等手段弥补基于访问控制、已有精细特征的入侵防御解决方案的短板。

2.     弥补因入侵防御系统的因客观因素（如部署位置或监控策略）产生的监控盲区。（例如，IPS部署在边界位置，反病毒对Windows自身组件滥用无能为力等情况）

3.     弥补在高可用场景下未部署入侵防御系统或防御系统策略宽松，而导致的防御绕过的入侵行为。过于依赖已知的入侵防御系统，如果没有基于异常的启发式规则，就存在被变种入侵手段绕过的风险。

4.     复杂入侵场景下，发现无法直接通过特征直接判断的可疑入侵行为。（例如单次行为是正常的，但某一时间段内组合发生的行为链是异常的）

5.     发现未知（即不能基于已有特征直接或间接判断的）且产生异常报警的入侵行为。

五、什么是入侵检测体系？

入侵检测体系是实施主体根据入侵检测知识库建立的对抗入侵行为的制度和框架。入侵检测体系从臃肿粗糙、概念笼统不清晰的安全运营体系中抽离并对入侵检测体系再次抽象。

对企业内部入侵检测制度规范、检测策略、框架产生定义。入侵检测主体根据入侵检测知识库提供设计指导思想，建设和实施入侵检测体系。对检测到入侵行为后还原事件提供极大的帮助。

六、入侵检测体系解决或弥补的是什么问题？

1.      弥补现有入侵检测框架中含有商业化方案 “水土不服”的缺陷：

• 环境适配难：商业化方案由于通用性要求过高，加上企业内部环境了解局限，难以匹配适应企业环境。

• 扩容性差：部分商业化解决方案难以满足业务体量增加后的扩容需求。

• 扩展性差：产品难以自主可控，扩展性有限，难以满足企业的其他定制化需求。

• 定制性差：针对非通用场景感知能力有限，难以弥补安全工程师根据企业内部环境定制策略的需求。

• 关联性差，难以和其他入侵检测系统实例适配，无法完善的贴合已有入侵检测框架及入侵检测实例。

2.     通过入侵检测弥补解决入侵检测效率低下的问题

• 一根麻线拧不成绳，散乱无章的入侵检测实例各自为战、不能统一结合，既无法形成强有力的感知能力，每个实例又产生海量告警，使实施主体响应效率低下，长期以往“狼来了”的现象，让实施主体意志消耗殆尽，从而丧失作战能力。

• 通过入侵检测框架中各个系统实例交叉验证、联动分析，降低误报率

3.     解决无完善标准化流程的问题

• 建立入侵检测体系中制度、策略、规范流程，整体从而在入侵检测体系上提升的预防、检测、缓解、事件还原、事件响应能力，而不是依赖单个入侵检测实例、入侵检测主体的技能经验，无章法、无序的解决以上问题。

4.     提升复杂入侵场景感知难（协同能力低下）的能力：

• 提升入侵检测技术之间的协同：互联网技术迅速发展的现在，0day、Nday和高级威胁泛滥，对抗利用各类Web应用、其他应用，操作系统的0day、Nday等等的漏洞入侵过程中，如果没有高效的情报协同（包括实施主体主动获取威胁情报或者获取第三方商业厂商的情报推送），实施主体快速制定的制度、策略，准确无误的安全系统策略下发，无情报的协同的入侵检测，就无法使制度、策略、框架等多元因素高效协同；

• 提升体系中各个元素之间的协同能力：通过入侵检测体系中制度、策略、框架、主体之间有限融合、高效协同，通过解决复杂入侵场景中入侵行为感知困难的问题。

• 弥补静态的、未整合的资源下检测能力不足的缺陷：静态的，未整合的资源及环境在应对多方位、多变的入侵时，无论从预防过程、实践效率，还是结果上来看都很难满足对抗部分现有入侵的需求，企业面临的多变的入侵风险的现状从本质上决定了入侵监测体系是动态的，可扩展的；而静态则意味着包含缺陷、盲区、缺乏维护等因素。建立入侵检测体系恰恰就是以高效检测入侵行为为目标，最大程度上解决这些问题。

5.      解决经验无法赋能至体系中的问题

1)      事件响应后通过复盘优化入侵检测知识库，知识库再对系统赋能形成响应闭环。

6.     解决体系中因制度、策略、框架过度耦合带来的一些问题，将入侵检测体系中的制度、策略、框架在一定程度上解耦。

• 避免制度发生变更后同步至策略、框架困难；

• 避免一类入侵检测实例发生问题后，导致其他入侵检测实例功能失效；

• 避免主体与框架过度耦合，如发生人员离职后检测框架因入侵检测实例缺乏维护，影响整个入侵检测系统正常运行。

• 避免实例间过度耦合，实例发生故障而导致牵一发而动全身的情况。

• 除复杂的入侵场景以外，应依靠框架感知大部分入侵行为，避免更换主体后影响入侵检测框架的感知、事件还原等功能。在框架中实例开发时，应尽量使用易用、易维护、符合评估要求的公共组件。

七、什么是入侵检测框架？

入侵检测框架是入侵检测实施主体结合入侵检测体系的制度规范、入侵检测框架的设计需求，对入侵检测系统的产生定义。为入侵检测系统实例提供设计标准（例如，稳定性、鲁棒性、维护性、扩展性、关联性，可维护性、自身安全性等），功能模块（事件产生引擎、事件采集引擎、事件数据处理引擎、事件数据库、事件流处理引擎、事件告警引擎）等方面的指导思想。是为了提高同步性、整合性、解耦方面的产物。

八、什么是入侵检测系统？

入侵检测系统是根据入侵检测框架设计需求实现的结构化系统实例**。含有对入侵行为进行自动化的监视、审计、缓解、阻断，事件还原等方面功能。每个入侵检测系统实例基本含有四个模块：事件产生、事件数据库、事件分析引擎、事件告警引擎触发。每一个入侵检测实例含有一个或多个模块。根据企业环境，各个实例的数据库、分析引擎、告警引擎可能有不同程度的统一。各个模块也可能多次、交叉、无固定顺序的进行关联形成一个联合整体。

九、入侵检测系统应该含有哪些系统实例？

1.      基线监控系统：基于安全策略基线的采集、审计、配置的近实时或定时基线监控系统。基线监控系统也可整合至HIDS，也可在依靠操作系统自带的高级审核功能作为引擎。

Q：为什么基线监控系统归属于入侵检测系统？

A：因为入侵过程中，预防、缓解策略可能会影响攻击者TTP，从而导致基线策略的变更。

策略：

制度：

框架：

2.      网络入侵检测系统（NIDS）：基于网络流量特征、网络流量模型及启发式逻辑对监视、审计、控制的网络入侵检测系统（传统NIDS及基于模型的Web IDS/WAF）；

Q：为什么有了防火墙和WAF还需要NIDS呢？

A：原因可参考入侵检测技术解决的问题。

3.      终端入侵检测系统（HIDS）：基于终端行为对操作系统的程序，可执行代码，异常操作等可疑行为监视、审计的主机入侵检测系统；

4.      反病毒系统（AV）：基于终端的对恶意程序，恶意代码执行监视、控制的反恶意（反木马、病毒、蠕虫、勒索）行为的入侵防御系统；

Q：为什么反病毒系统归属入侵检测系统？

A：在入侵行为发生前阶段可对恶意特征定义，当发生恶意行为时可能会在反病毒系统实例中出现日志，日志提供为框架提供异常信号）

5.      防泄漏系统：基于终端或网络，对机密信息非正常或过程的转移、窃取、复制等异常行为预防、检测、缓解的（针对企业机密的透明加解密（HDLP）、网络行为审计（NDLP、行为审计）、非信任设备监控）系统；

Q：为什么防泄漏系统归属入侵检测系统？

A：原因是防泄漏系统不仅防护内部主体拷贝转移企业机密，也防护外部主体。当发生入侵事件时，防泄漏系统如果不关联至防泄漏系统入侵检测框架则难以对外部入侵行动导致的机密泄露事件还原、定性；

6.      公共流数据处理引擎：略

7.      公共安全信息事件管理系统：基于事件处理流程的事件告警、展示、管理的系统。

8.      威胁情报的系统：实施主体通过各种渠道积极获取威胁情报或者购买威胁情报厂商产品；

9.      恶意样本分析沙箱：基于动静态结合的手段，通过分析未知文件的特征、行为的恶意文件检测沙箱。

10.    蜜罐诱饵系统：基于伪/实状态结合的陷阱、诱饵式信息系统对入侵者进行情报收集的系统（蜜罐）；

11.    其他可扩展的对非正常手段或过程监视、审计、控制的入侵检测系统；

十、入侵检测框架的检测流程

1.   基于单实例单点感知的直接异常检测

2.   基于单实例多点感知的时序异常检测

3.   基于短时间内多个实例异常的组合事件检测

十一、      基于Webshell场景的入侵检测框架简单运用