7种常见入侵检测系统规避技术

恶意攻击者使用各种规避策略渗透网络，而入侵检测系统却无法察觉。了解这些技术及其缓解方法至关重要。

入侵检测系统帮助企业网络安全团队监控系统和工作负载中的可疑活动。然而，攻击者仍可通过规避技术渗透网络并长期不被发现。

二十多年来，入侵检测系统一直是安全必备工具，帮助识别异常活动并向管理员发出潜在问题警报。其后续发展包括自动化操作，如阻止可疑网络流量、拦截恶意数据包以及向SIEM或类似集中平台发送警报和数据，巩固了其在安全武器库中的地位。

然而，恶意黑客设计了多种逃避入侵检测系统的方法。下面我们来探讨安全团队应该了解的七种常见入侵检测系统规避技术及其缓解措施。

1. 入侵可信应用程序和基础设施

终端用户往往隐式信任他们使用的应用程序及运行这些应用程序的基础设施。攻击者开发了诸如无文件恶意软件等技术，伪装成受信任的应用程序和服务。无文件恶意软件没有可执行文件，因此难以检测。它旨在接管和控制受信任的应用程序和服务而不被用户察觉。然后，恶意软件安装键盘记录器或特洛伊木马，试图窃取登录凭证。由于并非所有服务和应用程序都加密通信，攻击者可以轻松插入恶意负载来窃取业务关键数据。

2. 混淆技术

网络攻击者设计恶意软件来混淆网络安全工具并悄无声息地渗透网络。这被称为混淆技术。例如，组织使用加密混淆来保护数据不被恶意行为者读取。攻击者使用混淆使文件数据或签名无法破译，删除识别元数据，插入无用代码或更改文件名。经过混淆后，恶意软件的代码对入侵检测系统或静态分析工具可能显得无害，从而在扫描中被允许通过而不被发现是恶意的。

2019年的SolarWinds供应链攻击就涉及混淆技术。攻击者使用它绕过安全措施，在SolarWinds Orion平台中插入后门。混淆技术包括伪造活动、使用后删除程序和更改审计日志。

3. IP数据包分片

数据包分片涉及将数据包分割成小于网络最大大小的较小片段，并在目的地重新组装。虽然这不一定是一个恶意过程，但攻击者会恶意使用数据包分片。例如，攻击者知道入侵检测系统通常不会扫描每个网络数据包片段，因为这会消耗大量计算和处理能力。因此，攻击者发送大量分片数据包，希望入侵检测系统不会扫描它们，从而让恶意代码完全绕过安全系统。

4. 源路由

源路由使发送方能够指定数据包通过网络的路由，而不是让路由器确定其路径。攻击者恶意使用源路由，提供绕过入侵检测系统的特定目的地。

5. 源端口操纵

入侵检测系统和防火墙可能被欺骗，认为文件正在前往特定（通常是良性的）端口，而不是合法端口。这被称为源端口操纵，通常涉及被外部流量阻止的端口。例如，攻击者可能使其恶意软件的目的地看起来是端口80（主要用于HTTP），而实际目标端口通常不向外部流量开放。

6. IP地址欺骗

IP地址欺骗涉及攻击者更改其恶意数据包的标头，使其看起来来自合法主机。目标系统的入侵检测系统和防火墙认为数据包来自合法来源，因此不会过滤包含欺骗性IP地址的数据包。

7. 创建特殊数据包

攻击者可以使用数据包制作工具创建自己的定制数据包以逃避入侵检测系统。攻击者将数据附加到有效负载或使用Unicode（设计用于表示各种语言的特殊字符）。恶意软件的模式经过伪装以欺骗基于签名的入侵检测系统，看起来合法，从而使恶意负载能够到达目标服务器。

如何缓解入侵检测系统规避

组织应采取以下步骤来预防和检测入侵检测系统规避技术：

• 定期补丁管理确保入侵检测系统软件和固件是最新的。
• 集中管理系统使入侵检测系统能够实时向安全团队发出问题警报，从而实现更快的安全响应并减少误报。
• 零信任框架将网络分割成不同的区域，每个区域都有自己的安全控制和机制，如多因素认证。这种多层策略有助于减少漏洞和攻击面。
• 下一代防火墙等先进技术使安全团队能够创建更定制化和复杂的数据包过滤规则。
• 保持警惕并报告可疑的网络活动。