入侵檢測系統(IDS)監控網絡流量並監控可疑活動並警告系統或網絡管理員。 在某些情況下,IDS還可能通過採取阻止用戶或源IP地址訪問網絡的操作來響應異常或惡意流量。
IDS具有各種“風味”,並以不同方式檢測可疑流量的目標。 有基於網絡(NIDS)和基於主機(HIDS)的入侵檢測系統。 有些IDS是基於查找已知威脅的特定簽名進行檢測的 - 類似於防病毒軟件通常檢測並防止惡意軟件的方式 - 並且還有基於比較基準流量模式和查找異常的IDS。 有IDS只是監視和警報,並且有IDS執行一個或多個操作來響應檢測到的威脅。 我們將簡要介紹其中的每一個。
NIDS
網絡入侵檢測系統被放置在網絡中的一個或多個關鍵點上,以監視網絡上所有設備之間的流量。 理想情況下,您可以掃描所有入站和出站流量,但這樣做可能會造成瓶頸,從而影響網絡的整體速度。
HIDS
主機入侵檢測系統在網絡上的單個主機或設備上運行。 HIDS只監視來自設備的入站和出站數據包,並將警告用戶或管理員檢測到可疑活動
基於簽名
基於簽名的IDS將監控網絡上的數據包,並將它們與來自已知惡意威脅的簽名或屬性數據庫進行比較。 這與大多數防病毒軟件檢測惡意軟件的方式類似。 問題在於,在野外發現的新威脅與用於檢測應用於您的IDS的威脅的簽名之間會存在滯後。 在這段時間內,您的IDS將無法檢測到新的威脅。
基於異常
基於異常的IDS將監視網絡流量並將其與已建立的基准進行比較。 基線將識別什麼是該網絡的“正常” - 通常使用什麼類型的帶寬,使用什麼協議,什麼端口和設備通常彼此連接 - 並且在檢測到異常的流量時警告管理員或用戶,或與基線明顯不同。
被動IDS
被動IDS只是檢測和警報。 當檢測到可疑或惡意流量時,會生成警報並發送給管理員或用戶,由他們採取措施阻止活動或以某種方式進行響應。
反應性IDS
被動入侵檢測系統不僅會檢測可疑或惡意的流量並提醒管理員,還會採取預定義的主動行動來應對威脅。 通常這意味著阻止來自源IP地址或用戶的任何進一步的網絡流量。
最知名的和廣泛使用的入侵檢測系統之一是開放源代碼,免費提供的Snort。 它適用於包括Linux和Windows在內的多種平台和操作系統 。 Snort擁有大量忠實的追隨者,並且互聯網上有許多可用的資源,您可以獲取簽名以實施檢測最新的威脅。 對於其他免費入侵檢測應用程序,您可以訪問免費入侵檢測軟件 。
防火牆和IDS之間有一條細線。 還有一種稱為IPS - 入侵防禦系統的技術 。 IPS本質上是一個防火牆,它將網絡級和應用級過濾與被動式IDS相結合,以主動保護網絡。 看起來,隨著時間的推移,IDS和IPS將相互吸引更多的屬性,並且更加模糊線路。
本質上來說,你的防火牆是你的第一道防線。 最佳做法建議您將防火牆明確配置為拒絕所有傳入流量,然後在必要時打開漏洞。 您可能需要打開端口80來託管網站或端口21來託管FTP文件服務器 。 從一個角度來看,每個漏洞都可能是必需的,但它們也代表了惡意流量進入網絡而不是被防火牆阻止的可能媒介。
這就是您的入侵檢測系統的出處。無論您是在整個網絡中實施NIDS還是在您的特定設備上使用HIDS,IDS都會監控入站和出站流量,並識別可能繞過防火牆的可疑或惡意流量 ,也可能來自您的網絡內部。
IDS可以成為主動監控和保護您的網絡免受惡意活動攻擊的強大工具,但它們也容易出現誤報。 幾乎所有您實施的IDS解決方案都需要在首次安裝後“調整”。 您需要正確配置IDS以識別網絡上的正常流量與可能是惡意流量的流量,而您或負責響應IDS警報的管理員需要了解警報的含義以及如何進行有效響應。