入侵檢測(cè)系統(tǒng) (IDS) 是一種網(wǎng)絡(luò)安全技術(shù),最初用于檢測(cè)針對(duì)目標(biāo)應(yīng)用程序或計(jì)算機(jī)的漏洞利用。IDS 也是一種只聽設(shè)備。IDS 監(jiān)控流量并將結(jié)果報(bào)告給管理員。它無法自動(dòng)采取措施來防止檢測(cè)到的漏洞接管系統(tǒng)。一旦進(jìn)入網(wǎng)絡(luò),攻擊者就能夠迅速利用漏洞。因此,IDS 不足以預(yù)防。入侵檢測(cè)和入侵防御系統(tǒng)對(duì)于安全信息和事件管理都是必不可少的。
入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)
下表總結(jié)了 IPS 和 IDS 部署之間的差異。
| |
入侵防御系統(tǒng) |
IDS部署 |
| 在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的放置 |
部分直線通信(inline) |
外部直接通信線路(帶外) |
| 系統(tǒng)類型 |
主動(dòng)(監(jiān)控和自動(dòng)防御)和/或被動(dòng) |
被動(dòng)(監(jiān)控和通知) |
| 檢測(cè)機(jī)制 |
1. 基于統(tǒng)計(jì)異常的檢測(cè)2. 簽名檢測(cè):- Exploit-facing 簽名- Vulnerability-facing 簽名 |
1. 簽名檢測(cè):- 面向漏洞利用的簽名 |
IDS 的工作原理
IDS 只需要檢測(cè)潛在的威脅。它位于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的帶外。因此,它不在信息發(fā)送者和接收者之間的實(shí)時(shí)通信路徑中。IDS 解決方案通常利用 TAP 或 SPAN 端口來分析內(nèi)聯(lián)流量流的副本。這可確保 IDS 不會(huì)影響內(nèi)聯(lián)網(wǎng)絡(luò)性能。
開發(fā) IDS 時(shí),檢測(cè)入侵所需的分析深度無法足夠快地執(zhí)行。速度跟不上網(wǎng)絡(luò)基礎(chǔ)設(shè)施直接通信路徑上的組件。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)用于檢測(cè)可疑活動(dòng),以便在網(wǎng)絡(luò)受到損害之前抓住黑客。有基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。基于主機(jī)的 IDS 安裝在客戶端計(jì)算機(jī)上;基于網(wǎng)絡(luò)的 IDS 位于網(wǎng)絡(luò)本身。
IDS 的工作原理是尋找與正常活動(dòng)和已知攻擊特征的偏差。異常模式被發(fā)送到堆棧并在協(xié)議和應(yīng)用程序?qū)舆M(jìn)行檢查。它可以檢測(cè) DNS 中毒、畸形信息包和圣誕樹掃描等事件。IDS 可以實(shí)現(xiàn)為網(wǎng)絡(luò)安全設(shè)備或軟件應(yīng)用程序。為了保護(hù)云環(huán)境中的數(shù)據(jù)和系統(tǒng),還提供了基于云的 IDS。
IDS檢測(cè)的類型
IDS有五種類型:基于網(wǎng)絡(luò)的、基于主機(jī)的、基于協(xié)議的、基于應(yīng)用協(xié)議的和混合的。
兩種最常見的 IDS 類型是:
- 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) (NIDS):網(wǎng)絡(luò) IDS 監(jiān)控完整的受保護(hù)網(wǎng)絡(luò)。它部署在基礎(chǔ)設(shè)施的戰(zhàn)略點(diǎn),例如最脆弱的子網(wǎng)。NIDS 監(jiān)控流入和流出網(wǎng)絡(luò)設(shè)備的所有流量,根據(jù)數(shù)據(jù)包內(nèi)容和元數(shù)據(jù)做出決定。
- 基于主機(jī)的入侵檢測(cè)系統(tǒng) (HIDS):基于主機(jī)的 IDS 監(jiān)視安裝它的計(jì)算機(jī)基礎(chǔ)結(jié)構(gòu)。換句話說,它部署在特定端點(diǎn)上以保護(hù)其免受內(nèi)部和外部威脅。IDS 通過分析流量、記錄惡意活動(dòng)和通知指定機(jī)構(gòu)來實(shí)現(xiàn)這一點(diǎn)。
其余三種類型可以這樣描述:
- 基于協(xié)議 (PIDS):基于協(xié)議的入侵檢測(cè)系統(tǒng)通常安裝在 Web 服務(wù)器上。它監(jiān)視和分析用戶/設(shè)備與服務(wù)器之間的協(xié)議。PIDS 通常位于服務(wù)器的前端并監(jiān)視協(xié)議的行為和狀態(tài)。
- 基于應(yīng)用程序協(xié)議 (APIDS):APIDS 是通常位于服務(wù)器方內(nèi)部的系統(tǒng)或代理。它跟蹤和解釋特定于應(yīng)用程序的協(xié)議上的對(duì)應(yīng)關(guān)系。例如,這將在與 Web 服務(wù)器進(jìn)行交易時(shí)監(jiān)視中間件的 SQL 協(xié)議。
- 混合入侵檢測(cè)系統(tǒng):混合入侵檢測(cè)系統(tǒng)結(jié)合了兩種或多種入侵檢測(cè)方法。使用此系統(tǒng)、系統(tǒng)或主機(jī)代理數(shù)據(jù)與網(wǎng)絡(luò)信息相結(jié)合以獲得系統(tǒng)的綜合視圖。與其他系統(tǒng)相比,混合入侵檢測(cè)系統(tǒng)更強(qiáng)大。混合 IDS 的一個(gè)例子是 Prelude。
還有一個(gè) IDS 檢測(cè)方法的子組,兩個(gè)最常見的變體是:
- 基于簽名:基于簽名的 IDS 監(jiān)控入站網(wǎng)絡(luò)流量,尋找與已知攻擊簽名相匹配的特定模式和序列。雖然它可有效用于此目的,但它無法檢測(cè)沒有已知模式的身份不明的攻擊。
- 基于異常:基于異常的 IDS 是一種相對(duì)較新的技術(shù),旨在檢測(cè)未知攻擊,超越攻擊特征的識(shí)別。這種類型的檢測(cè)改為使用機(jī)器學(xué)習(xí)來分析大量網(wǎng)絡(luò)數(shù)據(jù)和流量。基于異常的 IDS 創(chuàng)建一個(gè)已定義的正常活動(dòng)模型,并使用它來識(shí)別異常行為。但是,它很容易出現(xiàn)誤報(bào)。例如,如果一臺(tái)機(jī)器表現(xiàn)出罕見但健康的行為,它就會(huì)被識(shí)別為異常。這會(huì)導(dǎo)致誤報(bào)。
IDS 與防火墻
IDses 和下一代防火墻都是網(wǎng)絡(luò)安全解決方案。IDS 與防火墻的區(qū)別在于它的用途。IDS 設(shè)備被動(dòng)監(jiān)控,在威脅發(fā)生時(shí)描述可疑威脅并發(fā)出警報(bào)。IDS 監(jiān)視運(yùn)動(dòng)中的網(wǎng)絡(luò)數(shù)據(jù)包。這允許事件響應(yīng)評(píng)估威脅并在必要時(shí)采取行動(dòng)。但是,它不保護(hù)端點(diǎn)或網(wǎng)絡(luò)。
防火墻會(huì)主動(dòng)監(jiān)控,尋找威脅以防止它們成為事件。防火墻能夠過濾和阻止流量。它們?cè)试S基于預(yù)配置規(guī)則的流量,依賴于端口、目標(biāo)地址和源防火墻拒絕不遵守防火墻規(guī)則的流量。但是,如果攻擊來自網(wǎng)絡(luò)內(nèi)部,IDS 將不會(huì)生成警報(bào)。
IDS規(guī)避技術(shù)
入侵者可以使用多種技術(shù)來避免被 IDS 檢測(cè)到。這些方法可能會(huì)給 IDS 帶來挑戰(zhàn),因?yàn)樗鼈冎荚谝?guī)避現(xiàn)有的檢測(cè)方法:
- 分段:分段將數(shù)據(jù)包分成更小的分段數(shù)據(jù)包。這允許入侵者保持隱藏狀態(tài),因?yàn)椴粫?huì)檢測(cè)到攻擊特征。分段的數(shù)據(jù)包隨后由 IP 層的接收節(jié)點(diǎn)重建。然后將它們轉(zhuǎn)發(fā)到應(yīng)用層。碎片攻擊通過用新數(shù)據(jù)替換組成碎片數(shù)據(jù)包中的數(shù)據(jù)來生成惡意數(shù)據(jù)包。
- 泛洪:這種攻擊旨在淹沒檢測(cè)器,從而觸發(fā)控制機(jī)制的故障。當(dāng)檢測(cè)器出現(xiàn)故障時(shí),將允許所有流量。引起泛濫的一種流行方法是欺騙合法的用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 和互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)。然后,流量泛濫被用來偽裝肇事者的異常活動(dòng)。因此,IDS 很難在海量流量中找到惡意數(shù)據(jù)包。
- 混淆:混淆可用于通過使消息難以理解來避免被發(fā)現(xiàn),從而隱藏攻擊。混淆的術(shù)語意味著以使其在功能上無法區(qū)分的方式更改程序代碼。目的是通過模糊和損害可讀性來降低逆向工程或靜態(tài)分析過程的可檢測(cè)性。例如,混淆的惡意軟件允許它逃避 IDS。
- 加密:加密提供多種安全功能,包括數(shù)據(jù)機(jī)密性、完整性和隱私性。不幸的是,惡意軟件創(chuàng)建者使用安全屬性來隱藏攻擊和逃避檢測(cè)。例如,IDS 無法讀取對(duì)加密協(xié)議的攻擊。當(dāng) IDS 無法將加密流量與現(xiàn)有數(shù)據(jù)庫簽名匹配時(shí),加密流量就不會(huì)被加密。這使得檢測(cè)器很難識(shí)別攻擊。
為什么入侵檢測(cè)系統(tǒng)很重要
網(wǎng)絡(luò)攻擊的復(fù)雜性和復(fù)雜性一直在增加,零日攻擊很常見。因此,網(wǎng)絡(luò)保護(hù)技術(shù)必須跟上新威脅的步伐,企業(yè)必須保持高水平的安全性。目標(biāo)是確保安全、可信的信息通信。因此,IDS 對(duì)安全生態(tài)系統(tǒng)很重要。當(dāng)其他技術(shù)失敗時(shí),它可以作為系統(tǒng)安全的防御措施。
- 識(shí)別安全事件。
- 分析攻擊的數(shù)量和類型。
- 幫助識(shí)別設(shè)備配置的錯(cuò)誤或問題。
- 支持合規(guī)性(通過更好的網(wǎng)絡(luò)可見性和 IDS 日志文檔)。
- 改進(jìn)安全響應(yīng)(通過檢查網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù),而不是手動(dòng)對(duì)系統(tǒng)進(jìn)行普查)。
雖然 IDS 很有用,但當(dāng)與 IPS 結(jié)合使用時(shí),它們的影響會(huì)擴(kuò)大。入侵防御系統(tǒng)(IPS) 增加了阻止威脅的能力。這已成為 IDS/IPS 技術(shù)的主要部署選項(xiàng)。
更好的是將多種威脅防御技術(shù)結(jié)合起來形成一個(gè)完整的解決方案。一種有效的方法是結(jié)合以下方法:
這些技術(shù)結(jié)合起來構(gòu)成了高級(jí)威脅防護(hù)。該服務(wù)會(huì)掃描所有流量中的威脅(包括端口、協(xié)議和加密流量)。高級(jí)威脅防御解決方案在網(wǎng)絡(luò)攻擊生命周期內(nèi)尋找威脅,而不僅僅是在它進(jìn)入網(wǎng)絡(luò)時(shí)。這形成了一種分層防御——一種在所有方面都進(jìn)行預(yù)防的零信任方法。
網(wǎng)站資訊
解決方案
關(guān)于我們
IDS 只需要檢測(cè)潛在的威脅。它位于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的帶外。因此,它不在信息發(fā)送者和接收者之間的實(shí)時(shí)通信路徑中。IDS 解決方案通常利用 TAP 或 SPAN 端口來分析內(nèi)聯(lián)流量流的副本。這可確保 IDS 不會(huì)影響內(nèi)聯(lián)網(wǎng)絡(luò)性能。
