入侵检测系统 (IDS) 是一种网络安全技术,最初用于检测针对目标应用程序或计算机的漏洞利用。IDS 也是一种只听设备。IDS 监控流量并将结果报告给管理员。它无法自动采取措施来防止检测到的漏洞接管系统。一旦进入网络,攻击者就能够迅速利用漏洞。因此,IDS 不足以预防。入侵检测和入侵防御系统对于安全信息和事件管理都是必不可少的。
下表总结了 IPS 和 IDS 部署之间的差异。
入侵防御系统 | IDS部署 | |
---|---|---|
在网络基础设施中的放置 | 部分直线通信(inline) | 外部直接通信线路(带外) |
系统类型 | 主动(监控和自动防御)和/或被动 | 被动(监控和通知) |
检测机制 | 1. 基于统计异常的检测2. 签名检测:- Exploit-facing 签名- Vulnerability-facing 签名 | 1. 签名检测:- 面向漏洞利用的签名 |
IDS 只需要检测潜在的威胁。它位于网络基础设施的带外。因此,它不在信息发送者和接收者之间的实时通信路径中。IDS 解决方案通常利用 TAP 或 SPAN 端口来分析内联流量流的副本。这可确保 IDS 不会影响内联网络性能。
开发 IDS 时,检测入侵所需的分析深度无法足够快地执行。速度跟不上网络基础设施直接通信路径上的组件。网络入侵检测系统用于检测可疑活动,以便在网络受到损害之前抓住黑客。有基于网络和基于主机的入侵检测系统。基于主机的 IDS 安装在客户端计算机上;基于网络的 IDS 位于网络本身。
IDS 的工作原理是寻找与正常活动和已知攻击特征的偏差。异常模式被发送到堆栈并在协议和应用程序层进行检查。它可以检测 DNS 中毒、畸形信息包和圣诞树扫描等事件。IDS 可以实现为网络安全设备或软件应用程序。为了保护云环境中的数据和系统,还提供了基于云的 IDS。
IDS有五种类型:基于网络的、基于主机的、基于协议的、基于应用协议的和混合的。
两种最常见的 IDS 类型是:
其余三种类型可以这样描述:
还有一个 IDS 检测方法的子组,两个最常见的变体是:
IDses 和下一代防火墙都是网络安全解决方案。IDS 与防火墙的区别在于它的用途。IDS 设备被动监控,在威胁发生时描述可疑威胁并发出警报。IDS 监视运动中的网络数据包。这允许事件响应评估威胁并在必要时采取行动。但是,它不保护端点或网络。
防火墙会主动监控,寻找威胁以防止它们成为事件。防火墙能够过滤和阻止流量。它们允许基于预配置规则的流量,依赖于端口、目标地址和源防火墙拒绝不遵守防火墙规则的流量。但是,如果攻击来自网络内部,IDS 将不会生成警报。
入侵者可以使用多种技术来避免被 IDS 检测到。这些方法可能会给 IDS 带来挑战,因为它们旨在规避现有的检测方法:
网络攻击的复杂性和复杂性一直在增加,零日攻击很常见。因此,网络保护技术必须跟上新威胁的步伐,企业必须保持高水平的安全性。目标是确保安全、可信的信息通信。因此,IDS 对安全生态系统很重要。当其他技术失败时,它可以作为系统安全的防御措施。
虽然 IDS 很有用,但当与 IPS 结合使用时,它们的影响会扩大。入侵防御系统(IPS) 增加了阻止威胁的能力。这已成为 IDS/IPS 技术的主要部署选项。
更好的是将多种威胁防御技术结合起来形成一个完整的解决方案。一种有效的方法是结合以下方法:
这些技术结合起来构成了高级威胁防护。该服务会扫描所有流量中的威胁(包括端口、协议和加密流量)。高级威胁防御解决方案在网络攻击生命周期内寻找威胁,而不仅仅是在它进入网络时。这形成了一种分层防御——一种在所有方面都进行预防的零信任方法。