入侵检测系统 (IDS) 是一种网络安全技术,最初用于检测针对目标应用程序或计算机的漏洞利用。IDS 也是一种只听设备。IDS 监控流量并将结果报告给管理员。它无法自动采取措施来防止检测到的漏洞接管系统。一旦进入网络,攻击者就能够迅速利用漏洞。因此,IDS 不足以预防。入侵检测和入侵防御系统对于安全信息和事件管理都是必不可少的。
入侵检测系统与入侵防御系统
下表总结了 IPS 和 IDS 部署之间的差异。
| 入侵防御系统 | IDS部署 | |
|---|---|---|
| 在网络基础设施中的放置 | 部分直线通信(inline) | 外部直接通信线路(带外) |
| 系统类型 | 主动(监控和自动防御)和/或被动 | 被动(监控和通知) |
| 检测机制 | 1. 基于统计异常的检测 2. 签名检测: - Exploit-facing 签名 - Vulnerability-facing 签名 |
1. 签名检测: - 面向漏洞利用的签名 |
IDS 的工作原理
IDS 只需要检测潜在的威胁。它位于网络基础设施的带外。因此,它不在信息发送者和接收者之间的实时通信路径中。IDS 解决方案通常利用 TAP 或 SPAN 端口来分析内联流量流的副本。这可确保 IDS 不会影响内联网络性能。
开发 IDS 时,检测入侵所需的分析深度无法足够快地执行。速度跟不上网络基础设施直接通信路径上的组件。网络入侵检测系统用于检测可疑活动,以便在网络受到损害之前抓住黑客。有基于网络和基于主机的入侵检测系统。基于主机的 IDS 安装在客户端计算机上;基于网络的 IDS 位于网络本身。
IDS 的工作原理是寻找与正常活动和已知攻击特征的偏差。异常模式被发送到堆栈并在协议和应用程序层进行检查。它可以检测 DNS 中毒、畸形信息包和圣诞树扫描等事件。IDS 可以实现为网络安全设备或软件应用程序。为了保护云环境中的数据和系统,还提供了基于云的 IDS。
IDS检测的类型
IDS有五种类型:基于网络的、基于主机的、基于协议的、基于应用协议的和混合的。
两种最常见的 IDS 类型是:
- 基于网络的入侵检测系统 (NIDS):网络 IDS 监控完整的受保护网络。它部署在基础设施的战略点,例如最脆弱的子网。NIDS 监控流入和流出网络设备的所有流量,根据数据包内容和元数据做出决定。
- 基于主机的入侵检测系统 (HIDS):基于主机的 IDS 监视安装它的计算机基础结构。换句话说,它部署在特定端点上以保护其免受内部和外部威胁。IDS 通过分析流量、记录恶意活动和通知指定机构来实现这一点。
其余三种类型可以这样描述:
- 基于协议 (PIDS):基于协议的入侵检测系统通常安装在 Web 服务器上。它监视和分析用户/设备与服务器之间的协议。PIDS 通常位于服务器的前端并监视协议的行为和状态。
- 基于应用程序协议 (APIDS):APIDS 是通常位于服务器方内部的系统或代理。它跟踪和解释特定于应用程序的协议上的对应关系。例如,这将在与 Web 服务器进行交易时监视中间件的 SQL 协议。
- 混合入侵检测系统:混合入侵检测系统结合了两种或多种入侵检测方法。使用此系统、系统或主机代理数据与网络信息相结合以获得系统的综合视图。与其他系统相比,混合入侵检测系统更强大。混合 IDS 的一个例子是 Prelude。
还有一个 IDS 检测方法的子组,两个最常见的变体是:
- 基于签名:基于签名的 IDS 监控入站网络流量,寻找与已知攻击签名相匹配的特定模式和序列。虽然它可有效用于此目的,但它无法检测没有已知模式的身份不明的攻击。
- 基于异常:基于异常的 IDS 是一种相对较新的技术,旨在检测未知攻击,超越攻击特征的识别。这种类型的检测改为使用机器学习来分析大量网络数据和流量。基于异常的 IDS 创建一个已定义的正常活动模型,并使用它来识别异常行为。但是,它很容易出现误报。例如,如果一台机器表现出罕见但健康的行为,它就会被识别为异常。这会导致误报。
IDS 与防火墙
IDses 和下一代防火墙都是网络安全解决方案。IDS 与防火墙的区别在于它的用途。IDS 设备被动监控,在威胁发生时描述可疑威胁并发出警报。IDS 监视运动中的网络数据包。这允许事件响应评估威胁并在必要时采取行动。但是,它不保护端点或网络。
防火墙会主动监控,寻找威胁以防止它们成为事件。防火墙能够过滤和阻止流量。它们允许基于预配置规则的流量,依赖于端口、目标地址和源防火墙拒绝不遵守防火墙规则的流量。但是,如果攻击来自网络内部,IDS 将不会生成警报。
IDS规避技术
入侵者可以使用多种技术来避免被 IDS 检测到。这些方法可能会给 IDS 带来挑战,因为它们旨在规避现有的检测方法:
- 分段:分段将数据包分成更小的分段数据包。这允许入侵者保持隐藏状态,因为不会检测到攻击特征。分段的数据包随后由 IP 层的接收节点重建。然后将它们转发到应用层。碎片攻击通过用新数据替换组成碎片数据包中的数据来生成恶意数据包。
- 泛洪:这种攻击旨在淹没检测器,从而触发控制机制的故障。当检测器出现故障时,将允许所有流量。引起泛滥的一种流行方法是欺骗合法的用户数据报协议 (UDP) 和互联网控制消息协议 (ICMP)。然后,流量泛滥被用来伪装肇事者的异常活动。因此,IDS 很难在海量流量中找到恶意数据包。
- 混淆:混淆可用于通过使消息难以理解来避免被发现,从而隐藏攻击。混淆的术语意味着以使其在功能上无法区分的方式更改程序代码。目的是通过模糊和损害可读性来降低逆向工程或静态分析过程的可检测性。例如,混淆的恶意软件允许它逃避 IDS。
- 加密:加密提供多种安全功能,包括数据机密性、完整性和隐私性。不幸的是,恶意软件创建者使用安全属性来隐藏攻击和逃避检测。例如,IDS 无法读取对加密协议的攻击。当 IDS 无法将加密流量与现有数据库签名匹配时,加密流量就不会被加密。这使得检测器很难识别攻击。
为什么入侵检测系统很重要
网络攻击的复杂性和复杂性一直在增加,零日攻击很常见。因此,网络保护技术必须跟上新威胁的步伐,企业必须保持高水平的安全性。目标是确保安全、可信的信息通信。因此,IDS 对安全生态系统很重要。当其他技术失败时,它可以作为系统安全的防御措施。
- 识别安全事件。
- 分析攻击的数量和类型。
- 帮助识别设备配置的错误或问题。
- 支持合规性(通过更好的网络可见性和 IDS 日志文档)。
- 改进安全响应(通过检查网络数据包中的数据,而不是手动对系统进行普查)。
虽然 IDS 很有用,但当与 IPS 结合使用时,它们的影响会扩大。入侵防御系统(IPS) 增加了阻止威胁的能力。这已成为 IDS/IPS 技术的主要部署选项。
更好的是将多种威胁防御技术结合起来形成一个完整的解决方案。一种有效的方法是结合以下方法:
- 漏洞防护
- 反恶意软件
- 反间谍软件
这些技术结合起来构成了高级威胁防护。该服务会扫描所有流量中的威胁(包括端口、协议和加密流量)。高级威胁防御解决方案在网络攻击生命周期内寻找威胁,而不仅仅是在它进入网络时。这形成了一种分层防御——一种在所有方面都进行预防的零信任方法。
文章链接: https://www.mfisp.com/20536.html
文章标题:什么是入侵检测系统?
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
