入侵检测系统(IDS)监视网络流量并监视可疑活动并向系统或网络管理员发出警报。在某些情况下,IDS还可以通过阻止用户或源IP地址访问网络等操作来响应异常或恶意流量。
IDS有各种各样的“风味”,并且以不同的方式实现检测可疑流量的目标。有基于网络(NIDS)和基于主机(HIDS)的入侵检测系统。 IDS基于寻找已知威胁的特定签名进行检测 - 类似于防病毒软件通常检测和防范恶意软件的方式 - 并且存在基于将流量模式与基线进行比较并寻找异常来检测的IDS。有IDS只是监视和警报,并且有IDS执行一个或多个动作以响应检测到的威胁。我们将简要介绍这些内容。
NIDS
网络入侵检测系统位于网络中的一个或多个战略点,用于监控进出网络上所有设备的流量。理想情况下,您将扫描所有入站和出站流量,但这样做可能会产生一个瓶颈,从而影响网络的整体速度。
HIDS
主机入侵检测系统在网络上的各个主机或设备上运行。 HIDS仅监视来自设备的入站和出站数据包,并将警告用户或管理员检测到可疑活动
基于签名的
基于签名的IDS将监视网络上的数据包,并将其与已知恶意威胁的签名或属性数据库进行比较。这类似于大多数防病毒软件检测恶意软件的方式。问题是,在野外发现的新威胁与检测到应用于您的IDS的威胁的签名之间会存在延迟。在此延迟时间内,您的IDS将无法检测到新威胁。
基于异常的
基于异常的IDS将监视网络流量并将其与已建立的基线进行比较。基线将识别该网络的“正常” - 通常使用什么类型的带宽,使用什么协议,哪些端口和设备通常彼此连接 - 并在检测到异常的流量时提醒管理员或用户,或与基线显着不同。
被动IDS
被动IDS只是检测并发出警报。当检测到可疑或恶意流量时,会生成警报并发送给管理员或用户,由他们采取措施阻止活动或以某种方式响应。
反应性IDS
被动IDS不仅会检测可疑或恶意流量并向管理员发出警报,还会采取预定义的主动操作来响应威胁。通常,这意味着阻止来自源IP地址或用户的任何其他网络流量。
最着名和最广泛使用的入侵检测系统之一是开源,免费提供的Snort。它适用于许多平台和操作系统,包括Linux和Windows。 Snort拥有庞大且忠诚的关注者,互联网上有许多资源可供您获取签名以实施以检测最新威胁。
防火墙和IDS之间有一条细线。还有一项名为IPS的技术 - 入侵防御系统。 IPS本质上是一种防火墙,它将网络级和应用级过滤与被动IDS相结合,以主动保护网络。似乎随着防火墙时间的推移,IDS和IPS会相互接受更多属性并使线条更加模糊。
从本质上讲,您的防火墙是您的第一道防线。最佳做法建议明确配置防火墙以拒绝所有传入流量,然后在必要时打开漏洞。您可能需要打开端口80来托管网站或端口21来托管FTP文件服务器。从一个角度来看,这些漏洞中的每一个都是必要的,但它们也代表了恶意流量进入您的网络而不是被防火墙阻止的可能向量。
这就是您的IDS进入的地方。无论您是在整个网络中实施NIDS还是在特定设备上实施HIDS,IDS都会监控入站和出站流量,并识别可能以某种方式绕过您的防火墙或其中的可疑或恶意流量也可能源自你的网络内部。
IDS可以是一个很好的工具,可以主动监控和保护您的网络免受恶意活动的影响,但是,它们也容易出现误报。使用您实施的任何IDS解决方案,您需要在首次安装后对其进行“调整”。您需要正确配置IDS以识别网络上的正常流量与可能是恶意流量的内容,而您或负责响应IDS警报的管理员需要了解警报的含义以及如何有效响应。
