An入侵检测系统(IDS)是一个监控网络流量进行可疑活动, 并在发现此类活动时发出警报。它是一种软件应用程序, 可扫描网络或系统是否存在有害活动或违反政策的行为。通常, 任何恶意冒险或违规行为都会报告给管理员, 或者使用安全信息和事件管理(SIEM)系统集中收集。 SIEM系统集成了来自多个来源的输出, 并使用警报过滤技术将恶意活动与虚假警报区分开。
尽管入侵检测系统监视网络中是否存在潜在的恶意活动, 但它们也容易受到虚假警报的影响。因此, 组织在首次安装IDS产品时需要对其进行微调。这意味着要正确设置入侵检测系统, 以识别与恶意活动相比网络上的正常流量。
入侵防御系统还监视进入系统的网络数据包, 以检查其中涉及的恶意活动, 并立即发送警告通知。
入侵检测系统分类:
IDS分为5种类型:
- 网络入侵检测系统(NIDS):
网络入侵检测系统(NIDS)设置在网络中的计划点, 以检查来自网络上所有设备的流量。它对整个子网上的通过流量进行观察, 并将子网上通过的流量与已知攻击的集合进行匹配。一旦发现攻击或观察到异常行为, 便可以将警报发送给管理员。 NIDS的一个示例是将其安装在防火墙所在的子网中, 以查看是否有人试图破解防火墙。 - 主机入侵检测系统(HIDS):
主机入侵检测系统(HIDS)在网络上的独立主机或设备上运行。 HIDS仅监视来自设备的传入和传出数据包, 并且如果检测到可疑或恶意活动, 则将警告管理员。它拍摄现有系统文件的快照, 并将其与先前的快照进行比较。如果分析系统文件已被编辑或删除, 则会向管理员发送警报以进行调查。在任务关键型计算机上可以看到HIDS用法的一个示例, 该计算机不应更改其布局。 - 基于协议的入侵检测系统(PIDS):
基于协议的入侵检测系统(PIDS)包含一个系统或代理, 该系统或代理将始终位于服务器的前端, 以控制和解释用户/设备与服务器之间的协议。它试图通过定期监视HTTPS协议流并接受相关的HTTP协议来保护Web服务器的安全。由于HTTPS是未加密的, 因此在立即进入其Web表示层之前, 此系统将需要驻留在此接口之间, 才能使用HTTPS。 - 基于应用协议的入侵检测系统(APIDS):
基于应用协议的入侵检测系统(APIDS)是通常驻留在一组服务器中的系统或代理。它通过监视和解释基于特定协议的通信来识别入侵。例如, 当它与Web服务器中的数据库进行事务处理时, 它将监视对中间件显式的SQL协议。 - 混合入侵检测系统:
混合入侵检测系统是由两种或两种以上入侵检测系统的方法组合而成的。在混合入侵检测系统中, 主机代理或系统数据与网络信息相结合, 以开发出完整的网络系统视图。混合入侵检测系统比其他入侵检测系统更有效。前奏是混合IDS的示例。
IDS的检测方法:
基于签名的方法:
基于签名的IDS根据网络流量中的字节数或1或0的特定模式来检测攻击。它还根据恶意软件使用的已知恶意指令序列进行检测。 IDS中检测到的模式称为签名。
基于签名的IDS可以轻松检测其特征码(特征码)已存在于系统中的攻击, 但是由于未知的特征码(特征码), 因此很难检测到新的恶意软件攻击。
基于异常的方法:
引入了基于异常的IDS, 以随着新恶意软件的迅速发展来检测未知的恶意软件攻击。在基于异常的IDS中, 使用了机器学习来创建一个可信任的活动模型, 并将即将出现的任何事物与该模型进行比较, 如果在模型中找不到该模型, 则将其声明为可疑的。与基于签名的IDS相比, 基于机器学习的方法具有更好的通用性, 因为可以根据应用程序和硬件配置来训练这些模型。
IDS与防火墙的比较:
IDS和防火墙都与网络安全性相关, 但是IDS与防火墙不同, 因为防火墙从外部查找入侵以阻止入侵发生。防火墙会限制网络之间的访问, 以防止入侵, 如果网络内部发动攻击, 则不会发出信号。 IDS描述了一旦发生可疑入侵, 然后发出警报的信号。
