什么是入侵检测系统 (IDS)？

对于每个重大违规行为，数百次攻击会摧毁小型企业及其客户。仅靠防火墙和反恶意软件程序不足以保护整个网络免受攻击。完善的安全策略还应包括入侵检测系统 (IDS)，一旦可疑流量通过防火墙并进入网络，该系统就会查明可疑流量。本文介绍了入侵检测系统 以及 IDS 在网络安全中的作用。继续阅读以了解这些系统是如何工作的，以及为什么它们对于防止代价高昂的停机和数据泄露至关重要。

什么是入侵检测系统 (IDS)？

入侵检测系统 (IDS) 是一种应用程序或设备，用于监控入站和出站网络流量，持续分析活动以发现模式变化，并在检测到异常行为时向管理员发出警报。然后管理员查看警报并采取措施消除威胁。

例如，IDS 可能会检查网络流量携带的数据，以查看它是否包含已知的恶意软件或其他恶意内容。如果它检测到此类威胁，则会向您的安全团队发送警报，以便他们进行调查和补救。一旦您的团队收到警报，他们必须迅速采取行动以防止攻击接管系统。

为确保 IDS 不会降低网络性能，这些解决方案通常使用交换端口分析器 (SPAN) 或测试访问端口 (TAP) 来分析内联数据流量的副本。然而，一旦威胁进入网络，它们就不会像入侵防御系统那样阻止威胁。

无论您是设置物理设备还是 IDS 程序，系统都可以：

• 识别网络数据包中的攻击模式。
• 监控用户行为。
• 识别异常流量活动。
• 确保用户和系统活动不违反安全策略。

来自入侵检测系统的信息还可以帮助安全团队：

• 审核网络是否存在漏洞和不良配置。
• 评估关键系统和文件的完整性。
• 创建更有效的控制和 事件响应。
• 分析攻击网络的网络威胁的数量和类型。

除了网络安全方面的好处，IDS 还有助于实现合规性。更高的网络可见性和更好的日志记录确保网络运营符合所有相关法规。

入侵检测系统的目标

仅靠防火墙并不能针对现代网络威胁提供足够的保护。恶意软件和其他恶意内容通常使用合法类型的流量传送，例如电子邮件或网络流量。IDS 能​​够检查这些通信的内容并识别它们可能包含的任何恶意软件。

IDS 的主要目标是在黑客完成其目标之前检测异常。一旦系统检测到威胁，IDS 就会通知 IT 人员并提供以下有关危险的信息：

• 入侵的源地址。
• 目标和受害者地址。
• 威胁的类型。

入侵检测系统的次要目标是观察入侵者并识别：

• 攻击者试图访问哪些资源。
• 黑客如何试图绕过安全控制。
•  入侵者发起了哪些 类型的网络攻击。

公司的 安全运营中心 (SOC) 和分析师可以使用这些信息来改进网络安全策略。

异常检测和报告是入侵检测系统的两个主要功能。但是，某些检测系统可以响应恶意活动，例如自动阻止 IP 地址或关闭对敏感文件的访问。具有这些响应能力的系统是入侵防御系统 (IPS)。

入侵检测系统如何工作？

IDS 监视进出网络上所有设备的流量。该系统在 防火墙后面运行， 作为恶意数据包的二级过滤器，主要寻找两个可疑线索：

• 已知攻击的签名。
• 偏离常规活动。

入侵检测系统通常依靠 模式关联 来识别威胁。这种方法允许 IDS 将网络数据包与具有已知网络攻击特征的数据库进行比较。IDS 可以通过模式关联标记的最常见攻击是：

• 恶意软件（蠕虫、 勒索软件、木马、病毒、机器人等）。
• 扫描向网络发送数据包以收集有关打开或关闭端口、允许的流量类型、活动主机和软件版本的信息的攻击。
• 发送恶意数据包并通过不同的进入和退出路由绕过安全控制的非对称路由。
• 使用恶意可执行文件替换数据库内容的缓冲区溢出攻击。
• 针对特定协议（ICMP、TCP、ARP 等）的特定协议攻击。
• 使网络过载的流量泛滥破坏，例如 DDoS 攻击。

一旦 IDS 发现异常，系统就会标记该问题并发出警报。警报的范围可以从审核日志中的简单注释到给 IT 管理员的紧急消息。然后，团队对问题进行故障排除并确定问题的根本原因。

入侵检测系统有哪些类型？

根据安全团队设置它们的位置，有两种主要类型的 IDS：

• 网络入侵检测系统（NIDS）。
• 主机入侵检测系统（HIDS）。

入侵检测系统检测可疑活动的方式还允许我们定义两个类别：

• 基于签名的入侵检测系统 (SIDS)。
• 基于异常的入侵检测系统 (AIDS)。

根据您的用例和预算，您可以部署 NIDS 或 HIDS 或依赖这两种主要 IDS 类型。这同样适用于检测模型，因为许多团队建立了一个具有 SIDS 和 AIDS 能​​力的混合系统。

在确定策略之前，您需要了解 IDS 类型之间的差异以及它们如何相互补充。让我们看看四种主要 IDS 类型中的每一种，它们的优缺点，以及何时使用它们。

网络入侵检测系统 (NIDS)

基于网络的入侵检测系统监控和分析进出所有网络设备的流量。NIDS 从网络内的一个战略点（或多个点，如果您部署多个检测系统）运行，通常在数据阻塞点。

NIDS 的优点：

• 提供整个网络的 IDS 安全性。
• 一些战略性放置的 NIDS 可以监控企业规模的网络。
• 不会影响 网络可用性 或吞吐量的无源设备。
• 相对容易保护和隐藏入侵者。
• 涵盖流量最易受攻击的网络部分。

NIDS 的缺点：

• 设置成本高。
• 如果 NIDS 必须监视一个广泛或繁忙的网络，则系统可能会遭受低特异性和偶尔未被注意到的破坏。
• 检测加密流量中的威胁可能会有问题。
• 通常不适合基于交换机的网络。

主机入侵检测系统 (HIDS)

HIDS 从特定端点运行，在该端点监视进出单个设备的网络流量和系统日志。

这种类型的 IDS 安全依赖于常规 快照，即捕获整个系统状态的文件集。当系统拍摄快照时，IDS 会将其与之前的状态进行比较，并检查丢失或更改的文件或设置。

HIDS 的优点

• 深入了解主机设备及其活动（对配置、权限、文件、注册表等的更改）。
• 针对 NIDS 未能检测到的恶意数据包的出色第二道防线。
• 擅长检测来自组织内部的数据包，例如从系统控制台对文件进行未经授权的更改。
• 有效检测和防止软件完整性违规。
• 由于数据包较少，因此比 NIDS 更擅长分析加密流量。
• 比设置 NIDS 便宜得多。

HIDS 的缺点

• 由于系统仅监控一台设备，因此可见性有限。
• 用于决策的可用上下文较少。
• 对于大公司来说很难管理，因为团队需要为每个主机配置和处理信息。
• 攻击者比 NIDS 更容易看到。
• 不擅长检测网络扫描或其他网络范围的监视攻击。

基于签名的入侵检测系统 (SIDS)

SIDS 监视通过网络移动的数据包，并将它们与已知攻击特征或属性的数据库进行比较。这种常见的 IDS 安全类型会寻找特定的模式，例如字节或指令序列。

小岛屿发展中国家的优点

• 可以很好地对抗使用已知攻击特征的攻击者。
• 有助于发现低技能的攻击尝试。
• 有效监控入站网络流量。
• 可以有效地处理大量的网络流量。

小岛屿发展中国家的缺点

• 无法识别威胁数据库中没有特定签名的违规行为。
• 精明的黑客可以修改攻击以避免匹配已知签名，例如将小写字母更改为大写字母或将符号转换为其字符代码。
• 需要定期更新威胁数据库，以使系统与最新风险保持同步。

基于异常的入侵检测系统 (AIDS)

AIDS 监控正在进行的网络流量并根据基线分析模式。它超越了攻击签名模型并检测恶意行为模式而不是特定的数据模式。

这种类型的 IDS 使用机器学习在带宽、协议、端口和设备使用方面建立预期系统行为（信任模型）的基线。然后，系统可以将任何新行为与经过验证的信任模型进行比较，并发现基于签名的 IDS 无法识别的未知攻击。

例如，销售部门的某个人第一次尝试访问网站的后端可能不是 SIDS 的危险信号。然而，对于基于异常的设置，第一次尝试访问敏感系统的人是需要调查的原因。

IDS 的优势和局限

部署 IDS 的明显优势在于对网络活动的关键洞察力。及早发现异常行为有助于将网络攻击的风险降至最低，并确保整体网络健康状况更好。

使用 IDS 保护网络是提高安全性的有效策略。当与强大的反恶意软件程序和防火墙配合使用时，IDS 可确保团队：

• 领先于大部分网络问题，无论是由恶意行为者、事故还是错误引起的。
• 无需梳理数千个系统日志以获取关键信息。
• 可以在网络级别可靠地执行公司的安全策略。

IDS（甚至 IPS）也变得更便宜且更易于管理，因此即使是预算较少且 IT 人员较少的 SMB 也可以依赖此策略。然而，尽管有这些好处，IDS 也有一些独特的挑战：

• 避免 IDS 是成功攻击的首要任务，这使这些系统成为黑客的首选目标。
• 在加密流量中检测恶意活动是一个常见问题。
• IDS 在具有大量流量的网络中可能不太有效。
• 即使是最好的系统也可能无法识别新攻击的迹象。
• IDS 监控南北流量，它不提供对东西流量的洞察力。

IDS 的最大挑战是避免错误，因为即使是最好的系统也可以：

• 对非攻击事件发出警报。
• 当存在真正的威胁时未能发出警报。

太多误报意味着 IT 团队对 IDS 的警告信心不足。然而，误报意味着恶意数据包在没有引发警报的情况下进入网络，因此过度敏感的 IDS 始终是更好的选择。

IDS 最佳实践

一旦您知道需要设置哪种 IDS 类型和检测模型，请确保您的策略遵循以下最佳实践：

培训 IT 人员。确保设置 IDS 的团队对您的设备清单和每台机器的角色有透彻的了解。

确定基线。为确保您的 IDS 从异常行为中检测到正常行为，请建立一个基线，以便您了解网络上的情况。请记住，每个网络承载的流量类型不同。定义明确的初始基线有助于防止误报和误报。

IDS 部署。在最高可见性点部署 IDS，以免系统被数据淹没。理想情况下，将 IDS 放置在网络边缘的防火墙后面。如果您需要处理主机内流量，请在网络上安装多个 IDS。系统和部署位置的正确选择取决于网络和安全目标。

将 IDS 调整到网络。仅在对网络有意义的地方更改 IDS 的默认设置。配置 IDS 以适应网络上的所有设备、应用程序、端口、协议和安全点。通过自定义配置以应用于您的网络基础设施，您可以为检测奠定坚实的基础。

设置隐身模式。将 IDS 设置为以隐身模式运行，以使系统难以检测到恶意行为者。最简单的方法是确保 IDS 有两个网络接口，一个用于网络，另一个用于生成警报。IDS 应该只使用被监控的接口作为输入。

测试 IDS。测试 IDS 以确保它检测到潜在威胁并正确响应它们。使用测试数据集，或者更好的是让安全专业人员进行渗透测试（渗透测试）。定期运行这些测试以确保一切继续按预期工作。随着时间的推移，改进您的测试方法以跟上可能发生的攻击类型的变化。

平衡假阳性和阴性。小心不要过度调整您的 IDS 或以其他方式错误配置它，以免造成误报或漏报。两者中的任何一个都可能使您的 IT 和安全团队不堪重负，甚至使您的组织面临更大的攻击风险。结合 NIDS 设置和 网络分段 ，使检测更有效且更易于管理。

调查和响应事件。定义准备采取行动的事件响应计划。该计划必须包括熟练的安全人员，他们知道如何快速有效地做出响应，同时尽量减少对日常运营的干扰和对组织的影响。如果您的组织必须遵守某些行业要求，例如HIPAA、GDPR或SOC 2，请定义适当的控制并遵循既定协议。考虑在 IDS 发出警报后添加辅助分析平台来分析威胁。

定期更新威胁数据库。一旦 IDS 启动并运行，您的团队应不断更新威胁数据库以保持系统有效。确保您的所有 IDS 和威胁数据库都遵循 零信任安全原则。

不要忽视 IDS 安全的价值

高质量的 IDS（或 IPS）对于维持可接受的网络安全水平至关重要。IDS 仅检测威胁，可能无法捕获所有潜在威胁。因此，仅靠自己来防止攻击并保护您的组织免受攻击是不够的。

相反，IDS 是总体安全策略的一部分。除了拥有正确的安全工具外，您还需要确保您的员工（您的第一道防线）知道如何保护您的组织、信息和资产的安全。这种防御始于有效的网络安全意识计划。作为回报，他们将更有信心知道如何应对和回应他们，并将对您的业务和客户的风险降至最低。