入侵检测系统(IDS)监控网络流量并监控可疑活动并警告系统或网络管理员。 在某些情况下,IDS还可能通过采取阻止用户或源IP地址访问网络的操作来响应异常或恶意流量。
IDS具有各种“风味”,并以不同方式检测可疑流量的目标。 有基于网络(NIDS)和基于主机(HIDS)的入侵检测系统。 有些IDS是基于查找已知威胁的特定签名进行检测的 - 类似于防病毒软件通常检测并防止恶意软件的方式 - 并且还有基于比较基准流量模式和查找异常的IDS。 有IDS只是监视和警报,并且有IDS执行一个或多个操作来响应检测到的威胁。 我们将简要介绍其中的每一个。
NIDS
网络入侵检测系统被放置在网络中的一个或多个关键点上,以监视网络上所有设备之间的流量。 理想情况下,您可以扫描所有入站和出站流量,但这样做可能会造成瓶颈,从而影响网络的整体速度。
HIDS
主机入侵检测系统在网络上的单个主机或设备上运行。 HIDS只监视来自设备的入站和出站数据包,并将警告用户或管理员检测到可疑活动
基于签名
基于签名的IDS将监控网络上的数据包,并将它们与来自已知恶意威胁的签名或属性数据库进行比较。 这与大多数防病毒软件检测恶意软件的方式类似。 问题在于,在野外发现的新威胁与用于检测应用于您的IDS的威胁的签名之间会存在滞后。 在这段时间内,您的IDS将无法检测到新的威胁。
基于异常
基于异常的IDS将监视网络流量并将其与已建立的基准进行比较。 基线将识别什么是该网络的“正常” - 通常使用什么类型的带宽,使用什么协议,什么端口和设备通常彼此连接 - 并且在检测到异常的流量时警告管理员或用户,或与基线明显不同。
被动IDS
被动IDS只是检测和警报。 当检测到可疑或恶意流量时,会生成警报并发送给管理员或用户,由他们采取措施阻止活动或以某种方式进行响应。
反应性IDS
被动入侵检测系统不仅会检测可疑或恶意的流量并提醒管理员,还会采取预定义的主动行动来应对威胁。 通常这意味着阻止来自源IP地址或用户的任何进一步的网络流量。
最知名的和广泛使用的入侵检测系统之一是开放源代码,免费提供的Snort。 它适用于包括Linux和Windows在内的多种平台和操作系统 。 Snort拥有大量忠实的追随者,并且互联网上有许多可用的资源,您可以获取签名以实施检测最新的威胁。 对于其他免费入侵检测应用程序,您可以访问免费入侵检测软件 。
防火墙和IDS之间有一条细线。 还有一种称为IPS - 入侵防御系统的技术 。 IPS本质上是一个防火墙,它将网络级和应用级过滤与被动式IDS相结合,以主动保护网络。 看起来,随着时间的推移,IDS和IPS将相互吸引更多的属性,并且更加模糊线路。
本质上来说,你的防火墙是你的第一道防线。 最佳做法建议您将防火墙明确配置为拒绝所有传入流量,然后在必要时打开漏洞。 您可能需要打开端口80来托管网站或端口21来托管FTP文件服务器 。 从一个角度来看,每个漏洞都可能是必需的,但它们也代表了恶意流量进入网络而不是被防火墙阻止的可能媒介。
这就是您的入侵检测系统的出处。无论您是在整个网络中实施NIDS还是在您的特定设备上使用HIDS,IDS都会监控入站和出站流量,并识别可能绕过防火墙的可疑或恶意流量 ,也可能来自您的网络内部。
IDS可以成为主动监控和保护您的网络免受恶意活动攻击的强大工具,但它们也容易出现误报。 几乎所有您实施的IDS解决方案都需要在首次安装后“调整”。 您需要正确配置IDS以识别网络上的正常流量与可能是恶意流量的流量,而您或负责响应IDS警报的管理员需要了解警报的含义以及如何进行有效响应。