入侵檢測(cè)系統(tǒng)定義
入侵檢測(cè)系統(tǒng)(Intrusion-detectionsystem��,下稱“IDS”)是一種監(jiān)控網(wǎng)絡(luò)流量并搜索已知威脅和可疑或惡意活動(dòng)的應(yīng)用程序���。IDS在檢測(cè)到任何安全風(fēng)險(xiǎn)和威脅時(shí)會(huì)向IT和安全團(tuán)隊(duì)發(fā)送警報(bào)。
大多數(shù)IDS解決方案在檢測(cè)到異常時(shí)只是監(jiān)控和報(bào)告可疑活動(dòng)和流量��。但是�����,有些可以在檢測(cè)到異?���;顒?dòng)(例如阻止惡意或可疑流量)時(shí)采取措施,從而更進(jìn)一步����。
IDS是一個(gè)軟件應(yīng)用程序�����,可掃描網(wǎng)絡(luò)或系統(tǒng)以查找有害活動(dòng)或違反策略的行為�����。任何惡意風(fēng)險(xiǎn)或違規(guī)行為通常報(bào)告給管理員或使用安全信息和事件管理(SIEM)系統(tǒng)集中收集��。SIEM系統(tǒng)集成了來(lái)自多個(gè)來(lái)源的輸出�,并使用警報(bào)過(guò)濾技術(shù)來(lái)區(qū)分惡意活動(dòng)和誤報(bào)����。
IDS工具通常是在組織的硬件上運(yùn)行或作為網(wǎng)絡(luò)安全解決方案運(yùn)行的軟件應(yīng)用程序。還有基于云的IDS解決方案���,可保護(hù)組織在其云部署和環(huán)境中的數(shù)據(jù)��,資源和系統(tǒng)����。
什么是網(wǎng)絡(luò)安全入侵�����?
“什么是入侵”的答案通常是攻擊者未經(jīng)授權(quán)訪問(wèn)設(shè)備�、網(wǎng)絡(luò)或系統(tǒng)。網(wǎng)絡(luò)犯罪分子使用越來(lái)越復(fù)雜的技術(shù)和策略滲透到組織而不被發(fā)現(xiàn)�。這包括常見(jiàn)的技術(shù),例如:
地址欺騙:使用欺騙����、配置錯(cuò)誤且安全性較差的代理服務(wù)器隱藏攻擊源,這使得組織難以發(fā)現(xiàn)攻擊者�。
分段:分段數(shù)據(jù)包使攻擊者能夠繞過(guò)組織的檢測(cè)系統(tǒng)。
模式規(guī)避:黑客調(diào)整其攻擊架構(gòu)���,以避免IDS解決方案用于發(fā)現(xiàn)威脅的模式���。
協(xié)調(diào)攻擊:網(wǎng)絡(luò)掃描威脅將大量主機(jī)或端口分配給不同的攻擊者,使IDS難以確定正在發(fā)生的事情�。
入侵檢測(cè)系統(tǒng)(IDS)類型
IDS解決方案有一系列不同的類型和不同的功能。常見(jiàn)的入侵檢測(cè)系統(tǒng)(IDS)類型包括:
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS):NIDS解決方案部署在組織網(wǎng)絡(luò)內(nèi)的戰(zhàn)略點(diǎn)��,以監(jiān)控傳入和傳出流量���。此IDS方法監(jiān)視和檢測(cè)進(jìn)出連接到網(wǎng)絡(luò)的所有設(shè)備的惡意和可疑流量�����。
主機(jī)入侵檢測(cè)系統(tǒng)(HIDS):HIDS系統(tǒng)安裝在連接到Internet和組織內(nèi)部網(wǎng)絡(luò)的單個(gè)設(shè)備上����。此解決方案可以檢測(cè)來(lái)自企業(yè)內(nèi)部的數(shù)據(jù)包以及NIDS解決方案無(wú)法檢測(cè)的其他惡意流量。它還可以發(fā)現(xiàn)來(lái)自主機(jī)的惡意威脅��,例如主機(jī)感染了惡意軟件�,試圖將其傳播到組織的系統(tǒng)中。
基于特征碼的入侵檢測(cè)系統(tǒng)(SIDS):SIDS解決方案監(jiān)控組織網(wǎng)絡(luò)上的所有數(shù)據(jù)包�����,并將其與已知威脅數(shù)據(jù)庫(kù)上的攻擊特征進(jìn)行比較�。
基于異常的入侵檢測(cè)系統(tǒng)(AIDS):此解決方案監(jiān)視網(wǎng)絡(luò)上的流量,并將其與被視為“正常”的預(yù)定義基線進(jìn)行比較�����。它可以檢測(cè)網(wǎng)絡(luò)中的異?���;顒?dòng)和行為,包括帶寬�、設(shè)備、端口和協(xié)議。艾滋病解決方案使用機(jī)器學(xué)習(xí)技術(shù)來(lái)構(gòu)建正常行為的基線并建立相應(yīng)的安全策略���。這可確保企業(yè)能夠發(fā)現(xiàn)SIDS等解決方案無(wú)法發(fā)現(xiàn)的不斷演變的新威脅���。
周界入侵檢測(cè)系統(tǒng)(PIDS):將PIDS解決方案放置在網(wǎng)絡(luò)上��,以檢測(cè)在組織關(guān)鍵基礎(chǔ)設(shè)施周邊發(fā)生的入侵嘗試��。
基于虛擬機(jī)的入侵檢測(cè)系統(tǒng)(VMIDS):VMIDS解決方案通過(guò)監(jiān)視虛擬機(jī)來(lái)檢測(cè)入侵����。它使組織能夠監(jiān)視其設(shè)備連接到的所有設(shè)備和系統(tǒng)的流量。
基于堆棧的入侵檢測(cè)系統(tǒng)(SBIDS):SBIDS被集成到組織的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)中����,該協(xié)議用作專用網(wǎng)絡(luò)上的通信協(xié)議。此方法使IDS能夠在數(shù)據(jù)包通過(guò)組織網(wǎng)絡(luò)時(shí)監(jiān)視數(shù)據(jù)包����,并在應(yīng)用程序或操作系統(tǒng)處理它們之前拉取惡意數(shù)據(jù)包。
入侵檢測(cè)系統(tǒng)(IDS)有什么用��?
IDS解決方案在監(jiān)控網(wǎng)絡(luò)流量和檢測(cè)異?��;顒?dòng)方面表現(xiàn)出色�。它們被放置在網(wǎng)絡(luò)中的戰(zhàn)略位置或設(shè)備本身上,以分析網(wǎng)絡(luò)流量并識(shí)別潛在攻擊的跡象��。
IDS的工作原理是查找已知攻擊類型的特征或檢測(cè)偏離規(guī)定正常值的活動(dòng)�。然后,它會(huì)向管理員發(fā)出警報(bào)或報(bào)告這些異常和潛在的惡意操作�����,以便在應(yīng)用程序和協(xié)議層對(duì)其進(jìn)行檢查���。
這使組織能夠檢測(cè)攻擊者開(kāi)始或正在執(zhí)行攻擊的潛在跡象���。IDS解決方案通過(guò)多種功能來(lái)實(shí)現(xiàn)這一點(diǎn),包括:
監(jiān)控關(guān)鍵防火墻���、文件��、路由器和服務(wù)器的性能�����,以檢測(cè)�����、預(yù)防和從網(wǎng)絡(luò)攻擊中恢復(fù)
使系統(tǒng)管理員能夠組織和了解其相關(guān)的操作系統(tǒng)審核跟蹤和日志��,這些跟蹤和日志通常難以管理和跟蹤
提供易于使用的界面����,允許非安全專家的員工幫助管理組織的系統(tǒng)
提供廣泛的攻擊特征數(shù)據(jù)庫(kù),可用于匹配和檢測(cè)已知威脅
在發(fā)生異?;驉阂饣顒?dòng)時(shí)提供快速有效的報(bào)告系統(tǒng)�����,使威脅能夠傳遞到堆棧中
生成警報(bào)���,在發(fā)生違規(guī)時(shí)通知必要的人員��,例如系統(tǒng)管理員和安全團(tuán)隊(duì)
在某些情況下����,通過(guò)阻止?jié)撛诘膼阂庑袨檎呒捌鋵?duì)服務(wù)器或網(wǎng)絡(luò)的訪問(wèn)來(lái)應(yīng)對(duì)他們��,以防止他們執(zhí)行任何進(jìn)一步的操作
業(yè)務(wù)環(huán)境和基礎(chǔ)設(shè)施的日益互聯(lián)性質(zhì)意味著他們需要高度安全的系統(tǒng)和技術(shù)來(lái)建立可信的通信線路�。IDS在現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略中發(fā)揮著重要作用�����,可以保護(hù)組織免受黑客試圖未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)和竊取公司數(shù)據(jù)的侵害���。
為什么入侵檢測(cè)系統(tǒng)(IDS)對(duì)企業(yè)至關(guān)重要?
