入侵检测系统定义
入侵检测系统(Intrusion-detectionsystem,下称“IDS”)是一种监控网络流量并搜索已知威胁和可疑或恶意活动的应用程序。IDS在检测到任何安全风险和威胁时会向IT和安全团队发送警报。
大多数IDS解决方案在检测到异常时只是监控和报告可疑活动和流量。但是,有些可以在检测到异常活动(例如阻止恶意或可疑流量)时采取措施,从而更进一步。
IDS是一个软件应用程序,可扫描网络或系统以查找有害活动或违反策略的行为。任何恶意风险或违规行为通常报告给管理员或使用安全信息和事件管理(SIEM)系统集中收集。SIEM系统集成了来自多个来源的输出,并使用警报过滤技术来区分恶意活动和误报。
IDS工具通常是在组织的硬件上运行或作为网络安全解决方案运行的软件应用程序。还有基于云的IDS解决方案,可保护组织在其云部署和环境中的数据,资源和系统。
什么是网络安全入侵?
“什么是入侵”的答案通常是攻击者未经授权访问设备、网络或系统。网络犯罪分子使用越来越复杂的技术和策略渗透到组织而不被发现。这包括常见的技术,例如:
地址欺骗:使用欺骗、配置错误且安全性较差的代理服务器隐藏攻击源,这使得组织难以发现攻击者。
分段:分段数据包使攻击者能够绕过组织的检测系统。
模式规避:黑客调整其攻击架构,以避免IDS解决方案用于发现威胁的模式。
协调攻击:网络扫描威胁将大量主机或端口分配给不同的攻击者,使IDS难以确定正在发生的事情。
入侵检测系统(IDS)类型
IDS解决方案有一系列不同的类型和不同的功能。常见的入侵检测系统(IDS)类型包括:
网络入侵检测系统(NIDS):NIDS解决方案部署在组织网络内的战略点,以监控传入和传出流量。此IDS方法监视和检测进出连接到网络的所有设备的恶意和可疑流量。
主机入侵检测系统(HIDS):HIDS系统安装在连接到Internet和组织内部网络的单个设备上。此解决方案可以检测来自企业内部的数据包以及NIDS解决方案无法检测的其他恶意流量。它还可以发现来自主机的恶意威胁,例如主机感染了恶意软件,试图将其传播到组织的系统中。
基于特征码的入侵检测系统(SIDS):SIDS解决方案监控组织网络上的所有数据包,并将其与已知威胁数据库上的攻击特征进行比较。
基于异常的入侵检测系统(AIDS):此解决方案监视网络上的流量,并将其与被视为“正常”的预定义基线进行比较。它可以检测网络中的异常活动和行为,包括带宽、设备、端口和协议。艾滋病解决方案使用机器学习技术来构建正常行为的基线并建立相应的安全策略。这可确保企业能够发现SIDS等解决方案无法发现的不断演变的新威胁。
周界入侵检测系统(PIDS):将PIDS解决方案放置在网络上,以检测在组织关键基础设施周边发生的入侵尝试。
基于虚拟机的入侵检测系统(VMIDS):VMIDS解决方案通过监视虚拟机来检测入侵。它使组织能够监视其设备连接到的所有设备和系统的流量。
基于堆栈的入侵检测系统(SBIDS):SBIDS被集成到组织的传输控制协议/互联网协议(TCP/IP)中,该协议用作专用网络上的通信协议。此方法使IDS能够在数据包通过组织网络时监视数据包,并在应用程序或操作系统处理它们之前拉取恶意数据包。
入侵检测系统(IDS)有什么用?
IDS解决方案在监控网络流量和检测异常活动方面表现出色。它们被放置在网络中的战略位置或设备本身上,以分析网络流量并识别潜在攻击的迹象。
IDS的工作原理是查找已知攻击类型的特征或检测偏离规定正常值的活动。然后,它会向管理员发出警报或报告这些异常和潜在的恶意操作,以便在应用程序和协议层对其进行检查。
这使组织能够检测攻击者开始或正在执行攻击的潜在迹象。IDS解决方案通过多种功能来实现这一点,包括:
监控关键防火墙、文件、路由器和服务器的性能,以检测、预防和从网络攻击中恢复
使系统管理员能够组织和了解其相关的操作系统审核跟踪和日志,这些跟踪和日志通常难以管理和跟踪
提供易于使用的界面,允许非安全专家的员工帮助管理组织的系统
提供广泛的攻击特征数据库,可用于匹配和检测已知威胁
在发生异常或恶意活动时提供快速有效的报告系统,使威胁能够传递到堆栈中
生成警报,在发生违规时通知必要的人员,例如系统管理员和安全团队
在某些情况下,通过阻止潜在的恶意行为者及其对服务器或网络的访问来应对他们,以防止他们执行任何进一步的操作
业务环境和基础设施的日益互联性质意味着他们需要高度安全的系统和技术来建立可信的通信线路。IDS在现代网络安全战略中发挥着重要作用,可以保护组织免受黑客试图未经授权访问网络和窃取公司数据的侵害。
为什么入侵检测系统(IDS)对企业至关重要?
