7种常见的入侵检测系统规避技术

恶意攻击者会利用各种规避策略来渗透网络，同时不被入侵检测系统发现。本文将探讨这些技术以及如何缓解它们。

入侵检测系统能帮助企业网络安全团队监控系统和负载中的可疑活动。然而，攻击者仍可使用规避技术渗透网络并长时间不被发现。

二十多年来，IDS一直是安全必备品，有助于识别异常活动并向管理员发出潜在问题警报。其后续的进步，包括自动化操作（例如阻止可疑网络流量、拦截恶意数据包以及向SIEM或类似的集中式平台发送警报和数据），巩固了其在安全武器库中的地位。 然而，恶意黑客已经设计出多种方法来逃避IDS。让我们来探讨安全团队应该了解的七种常见IDS规避技术，以及如何缓解它们。

1. 利用受信任的应用程序和基础设施

终端用户倾向于隐式信任他们使用的应用程序以及运行这些应用程序的基础设施。攻击者已开发出技术，例如无文件恶意软件，来伪装成受信任的应用程序和服务。无文件恶意软件没有可执行文件，这使其难以检测。它的设计目的是在不被用户察觉的情况下接管并控制受信任的应用程序和服务。然后，该恶意软件会安装键盘记录程序或木马程序，并尝试窃取登录凭据。由于并非所有服务和应用程序都对通信进行加密，攻击者可以轻松插入恶意负载来窃取关键业务数据。

2. 混淆

网络攻击者设计恶意软件以混淆网络安全工具并在不被注意的情况下渗透网络。这被称为混淆。例如，组织使用加密混淆来保护数据不被恶意行为者读取。攻击者使用混淆来使文件的数据或签名变得不可理解，删除识别元数据，插入无用的代码或更改文件名。经过混淆后，恶意软件的代码对IDS或静态分析工具来说可能显得无害，从而允许其通过扫描而不被揭示为恶意。 2019年的SolarWinds供应链攻击就涉及了混淆。攻击者利用它绕过安全措施，将后门插入到SolarWinds Orion平台中。混淆技术包括伪造活动、使用后删除程序以及更改审计日志。

3. IP报文分片

报文分片涉及将数据包分割成小于网络最大尺寸的较小片段，并在目的地重新组装它们。虽然这本身不一定是一个恶意过程，但攻击者会恶意使用报文分片。例如，攻击者知道IDS通常不会扫描每个网络数据包片段，因为这需要消耗大量的计算和处理能力。因此，攻击者发送一组分片的数据包，希望IDS不会扫描它们，从而允许恶意代码完全绕过安全系统。

4. 源路由

源路由使发送方能够指定数据包通过网络的路由，而不是让路由器决定其路径。攻击者通过提供一个绕开IDS的特定目的地来恶意使用源路由。

5. 源端口操纵

IDS和防火墙可能被欺骗，认为文件正在发往一个特定的（通常是良性的）端口，而不是一个合法的端口。这被称为源端口操纵，通常涉及一个被阻止外部访问的端口。例如，攻击者可以让他们的恶意软件看起来目的地是端口80（主要用于HTTP），而实际的目标端口通常不对外开放。

6. IP地址欺骗

IP地址欺骗涉及攻击者更改其恶意数据包的报头，使其看起来来自合法主机。目标系统的IDS和防火墙认为数据包来自合法来源，因此不会过滤包含欺骗性IP地址的数据包。

7. 创建特制报文

攻击者可以使用报文制作工具来创建自己的自定义数据包，以规避IDS。攻击者将数据附加到有效负载中，或使用Unicode（为表示各种语言而设计的特殊字符）。恶意软件的模式经过伪装以欺骗基于签名的IDS，看起来是合法的，这使得恶意负载能够到达目标服务器。

如何缓解入侵检测系统的规避

组织应采取以下步骤来预防和检测IDS规避技术：

• 定期补丁管理确保IDS软件和固件保持最新。
• 集中式管理系统使IDS能够实时向安全团队发出问题警报，从而实现更快的安全响应并减少误报。
• 零信任框架将网络划分为不同的区域，每个区域都有自己的安全控制机制，例如多因素认证。这种多层策略有助于减少漏洞和攻击面。
• 先进技术，如下一代防火墙，使安全团队能够创建更定制化和复杂的数据包过滤规则。
• 保持警惕并报告可疑的网络活动。