入侵檢測系統(tǒng)定義
入侵檢測系統(tǒng)(Intrusion-detectionsystem,下稱“IDS”)是一種監(jiān)控網(wǎng)絡(luò)流量并搜索已知威脅和可疑或惡意活動(dòng)的應(yīng)用程序。IDS在檢測到任何安全風(fēng)險(xiǎn)和威脅時(shí)會向IT和安全團(tuán)隊(duì)發(fā)送警報(bào)。
大多數(shù)IDS解決方案在檢測到異常時(shí)只是監(jiān)控和報(bào)告可疑活動(dòng)和流量。但是,有些可以在檢測到異常活動(dòng)(例如阻止惡意或可疑流量)時(shí)采取措施,從而更進(jìn)一步。
IDS是一個(gè)軟件應(yīng)用程序,可掃描網(wǎng)絡(luò)或系統(tǒng)以查找有害活動(dòng)或違反策略的行為。任何惡意風(fēng)險(xiǎn)或違規(guī)行為通常報(bào)告給管理員或使用安全信息和事件管理(SIEM)系統(tǒng)集中收集。SIEM系統(tǒng)集成了來自多個(gè)來源的輸出,并使用警報(bào)過濾技術(shù)來區(qū)分惡意活動(dòng)和誤報(bào)。
IDS工具通常是在組織的硬件上運(yùn)行或作為網(wǎng)絡(luò)安全解決方案運(yùn)行的軟件應(yīng)用程序。還有基于云的IDS解決方案,可保護(hù)組織在其云部署和環(huán)境中的數(shù)據(jù),資源和系統(tǒng)。
什么是網(wǎng)絡(luò)安全入侵?
“什么是入侵”的答案通常是攻擊者未經(jīng)授權(quán)訪問設(shè)備、網(wǎng)絡(luò)或系統(tǒng)。網(wǎng)絡(luò)犯罪分子使用越來越復(fù)雜的技術(shù)和策略滲透到組織而不被發(fā)現(xiàn)。這包括常見的技術(shù),例如:
地址欺騙:使用欺騙、配置錯(cuò)誤且安全性較差的代理服務(wù)器隱藏攻擊源,這使得組織難以發(fā)現(xiàn)攻擊者。
分段:分段數(shù)據(jù)包使攻擊者能夠繞過組織的檢測系統(tǒng)。
模式規(guī)避:黑客調(diào)整其攻擊架構(gòu),以避免IDS解決方案用于發(fā)現(xiàn)威脅的模式。
協(xié)調(diào)攻擊:網(wǎng)絡(luò)掃描威脅將大量主機(jī)或端口分配給不同的攻擊者,使IDS難以確定正在發(fā)生的事情。
入侵檢測系統(tǒng)(IDS)類型
IDS解決方案有一系列不同的類型和不同的功能。常見的入侵檢測系統(tǒng)(IDS)類型包括:
網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS):NIDS解決方案部署在組織網(wǎng)絡(luò)內(nèi)的戰(zhàn)略點(diǎn),以監(jiān)控傳入和傳出流量。此IDS方法監(jiān)視和檢測進(jìn)出連接到網(wǎng)絡(luò)的所有設(shè)備的惡意和可疑流量。
主機(jī)入侵檢測系統(tǒng)(HIDS):HIDS系統(tǒng)安裝在連接到Internet和組織內(nèi)部網(wǎng)絡(luò)的單個(gè)設(shè)備上。此解決方案可以檢測來自企業(yè)內(nèi)部的數(shù)據(jù)包以及NIDS解決方案無法檢測的其他惡意流量。它還可以發(fā)現(xiàn)來自主機(jī)的惡意威脅,例如主機(jī)感染了惡意軟件,試圖將其傳播到組織的系統(tǒng)中。
基于特征碼的入侵檢測系統(tǒng)(SIDS):SIDS解決方案監(jiān)控組織網(wǎng)絡(luò)上的所有數(shù)據(jù)包,并將其與已知威脅數(shù)據(jù)庫上的攻擊特征進(jìn)行比較。
基于異常的入侵檢測系統(tǒng)(AIDS):此解決方案監(jiān)視網(wǎng)絡(luò)上的流量,并將其與被視為“正常”的預(yù)定義基線進(jìn)行比較。它可以檢測網(wǎng)絡(luò)中的異?;顒?dòng)和行為,包括帶寬、設(shè)備、端口和協(xié)議。艾滋病解決方案使用機(jī)器學(xué)習(xí)技術(shù)來構(gòu)建正常行為的基線并建立相應(yīng)的安全策略。這可確保企業(yè)能夠發(fā)現(xiàn)SIDS等解決方案無法發(fā)現(xiàn)的不斷演變的新威脅。
周界入侵檢測系統(tǒng)(PIDS):將PIDS解決方案放置在網(wǎng)絡(luò)上,以檢測在組織關(guān)鍵基礎(chǔ)設(shè)施周邊發(fā)生的入侵嘗試。
基于虛擬機(jī)的入侵檢測系統(tǒng)(VMIDS):VMIDS解決方案通過監(jiān)視虛擬機(jī)來檢測入侵。它使組織能夠監(jiān)視其設(shè)備連接到的所有設(shè)備和系統(tǒng)的流量。
基于堆棧的入侵檢測系統(tǒng)(SBIDS):SBIDS被集成到組織的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)中,該協(xié)議用作專用網(wǎng)絡(luò)上的通信協(xié)議。此方法使IDS能夠在數(shù)據(jù)包通過組織網(wǎng)絡(luò)時(shí)監(jiān)視數(shù)據(jù)包,并在應(yīng)用程序或操作系統(tǒng)處理它們之前拉取惡意數(shù)據(jù)包。
入侵檢測系統(tǒng)(IDS)有什么用?
IDS解決方案在監(jiān)控網(wǎng)絡(luò)流量和檢測異?;顒?dòng)方面表現(xiàn)出色。它們被放置在網(wǎng)絡(luò)中的戰(zhàn)略位置或設(shè)備本身上,以分析網(wǎng)絡(luò)流量并識別潛在攻擊的跡象。
IDS的工作原理是查找已知攻擊類型的特征或檢測偏離規(guī)定正常值的活動(dòng)。然后,它會向管理員發(fā)出警報(bào)或報(bào)告這些異常和潛在的惡意操作,以便在應(yīng)用程序和協(xié)議層對其進(jìn)行檢查。
這使組織能夠檢測攻擊者開始或正在執(zhí)行攻擊的潛在跡象。IDS解決方案通過多種功能來實(shí)現(xiàn)這一點(diǎn),包括:
監(jiān)控關(guān)鍵防火墻、文件、路由器和服務(wù)器的性能,以檢測、預(yù)防和從網(wǎng)絡(luò)攻擊中恢復(fù)
使系統(tǒng)管理員能夠組織和了解其相關(guān)的操作系統(tǒng)審核跟蹤和日志,這些跟蹤和日志通常難以管理和跟蹤
提供易于使用的界面,允許非安全專家的員工幫助管理組織的系統(tǒng)
提供廣泛的攻擊特征數(shù)據(jù)庫,可用于匹配和檢測已知威脅
在發(fā)生異?;驉阂饣顒?dòng)時(shí)提供快速有效的報(bào)告系統(tǒng),使威脅能夠傳遞到堆棧中
生成警報(bào),在發(fā)生違規(guī)時(shí)通知必要的人員,例如系統(tǒng)管理員和安全團(tuán)隊(duì)
在某些情況下,通過阻止?jié)撛诘膼阂庑袨檎呒捌鋵Ψ?wù)器或網(wǎng)絡(luò)的訪問來應(yīng)對他們,以防止他們執(zhí)行任何進(jìn)一步的操作
業(yè)務(wù)環(huán)境和基礎(chǔ)設(shè)施的日益互聯(lián)性質(zhì)意味著他們需要高度安全的系統(tǒng)和技術(shù)來建立可信的通信線路。IDS在現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略中發(fā)揮著重要作用,可以保護(hù)組織免受黑客試圖未經(jīng)授權(quán)訪問網(wǎng)絡(luò)和竊取公司數(shù)據(jù)的侵害。
為什么入侵檢測系統(tǒng)(IDS)對企業(yè)至關(guān)重要?