入侵檢測系統(tǒng) (IDS) 是一種網(wǎng)絡(luò)安全技術(shù),最初用于檢測針對目標(biāo)應(yīng)用程序或計算機的漏洞利用。IDS 也是一種只聽設(shè)備。IDS 監(jiān)控流量并將結(jié)果報告給管理員。它無法自動采取措施來防止檢測到的漏洞接管系統(tǒng)。一旦進入網(wǎng)絡(luò),攻擊者就能夠迅速利用漏洞。因此,IDS 不足以預(yù)防。入侵檢測和入侵防御系統(tǒng)對于安全信息和事件管理都是必不可少的。
入侵檢測系統(tǒng)與入侵防御系統(tǒng)
下表總結(jié)了 IPS 和 IDS 部署之間的差異。
| 入侵防御系統(tǒng) | IDS部署 | |
|---|---|---|
| 在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的放置 | 部分直線通信(inline) | 外部直接通信線路(帶外) |
| 系統(tǒng)類型 | 主動(監(jiān)控和自動防御)和/或被動 | 被動(監(jiān)控和通知) |
| 檢測機制 | 1. 基于統(tǒng)計異常的檢測 2. 簽名檢測: - Exploit-facing 簽名 - Vulnerability-facing 簽名 |
1. 簽名檢測: - 面向漏洞利用的簽名 |
IDS 的工作原理
IDS 只需要檢測潛在的威脅。它位于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的帶外。因此,它不在信息發(fā)送者和接收者之間的實時通信路徑中。IDS 解決方案通常利用 TAP 或 SPAN 端口來分析內(nèi)聯(lián)流量流的副本。這可確保 IDS 不會影響內(nèi)聯(lián)網(wǎng)絡(luò)性能。
開發(fā) IDS 時,檢測入侵所需的分析深度無法足夠快地執(zhí)行。速度跟不上網(wǎng)絡(luò)基礎(chǔ)設(shè)施直接通信路徑上的組件。網(wǎng)絡(luò)入侵檢測系統(tǒng)用于檢測可疑活動,以便在網(wǎng)絡(luò)受到損害之前抓住黑客。有基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)。基于主機的 IDS 安裝在客戶端計算機上;基于網(wǎng)絡(luò)的 IDS 位于網(wǎng)絡(luò)本身。
IDS 的工作原理是尋找與正常活動和已知攻擊特征的偏差。異常模式被發(fā)送到堆棧并在協(xié)議和應(yīng)用程序?qū)舆M行檢查。它可以檢測 DNS 中毒、畸形信息包和圣誕樹掃描等事件。IDS 可以實現(xiàn)為網(wǎng)絡(luò)安全設(shè)備或軟件應(yīng)用程序。為了保護云環(huán)境中的數(shù)據(jù)和系統(tǒng),還提供了基于云的 IDS。
IDS檢測的類型
IDS有五種類型:基于網(wǎng)絡(luò)的、基于主機的、基于協(xié)議的、基于應(yīng)用協(xié)議的和混合的。
兩種最常見的 IDS 類型是:
- 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) (NIDS):網(wǎng)絡(luò) IDS 監(jiān)控完整的受保護網(wǎng)絡(luò)。它部署在基礎(chǔ)設(shè)施的戰(zhàn)略點,例如最脆弱的子網(wǎng)。NIDS 監(jiān)控流入和流出網(wǎng)絡(luò)設(shè)備的所有流量,根據(jù)數(shù)據(jù)包內(nèi)容和元數(shù)據(jù)做出決定。
- 基于主機的入侵檢測系統(tǒng) (HIDS):基于主機的 IDS 監(jiān)視安裝它的計算機基礎(chǔ)結(jié)構(gòu)。換句話說,它部署在特定端點上以保護其免受內(nèi)部和外部威脅。IDS 通過分析流量、記錄惡意活動和通知指定機構(gòu)來實現(xiàn)這一點。
其余三種類型可以這樣描述:
- 基于協(xié)議 (PIDS):基于協(xié)議的入侵檢測系統(tǒng)通常安裝在 Web 服務(wù)器上。它監(jiān)視和分析用戶/設(shè)備與服務(wù)器之間的協(xié)議。PIDS 通常位于服務(wù)器的前端并監(jiān)視協(xié)議的行為和狀態(tài)。
- 基于應(yīng)用程序協(xié)議 (APIDS):APIDS 是通常位于服務(wù)器方內(nèi)部的系統(tǒng)或代理。它跟蹤和解釋特定于應(yīng)用程序的協(xié)議上的對應(yīng)關(guān)系。例如,這將在與 Web 服務(wù)器進行交易時監(jiān)視中間件的 SQL 協(xié)議。
- 混合入侵檢測系統(tǒng):混合入侵檢測系統(tǒng)結(jié)合了兩種或多種入侵檢測方法。使用此系統(tǒng)、系統(tǒng)或主機代理數(shù)據(jù)與網(wǎng)絡(luò)信息相結(jié)合以獲得系統(tǒng)的綜合視圖。與其他系統(tǒng)相比,混合入侵檢測系統(tǒng)更強大。混合 IDS 的一個例子是 Prelude。
還有一個 IDS 檢測方法的子組,兩個最常見的變體是:
- 基于簽名:基于簽名的 IDS 監(jiān)控入站網(wǎng)絡(luò)流量,尋找與已知攻擊簽名相匹配的特定模式和序列。雖然它可有效用于此目的,但它無法檢測沒有已知模式的身份不明的攻擊。
- 基于異常:基于異常的 IDS 是一種相對較新的技術(shù),旨在檢測未知攻擊,超越攻擊特征的識別。這種類型的檢測改為使用機器學(xué)習(xí)來分析大量網(wǎng)絡(luò)數(shù)據(jù)和流量。基于異常的 IDS 創(chuàng)建一個已定義的正常活動模型,并使用它來識別異常行為。但是,它很容易出現(xiàn)誤報。例如,如果一臺機器表現(xiàn)出罕見但健康的行為,它就會被識別為異常。這會導(dǎo)致誤報。
IDS 與防火墻
IDses 和下一代防火墻都是網(wǎng)絡(luò)安全解決方案。IDS 與防火墻的區(qū)別在于它的用途。IDS 設(shè)備被動監(jiān)控,在威脅發(fā)生時描述可疑威脅并發(fā)出警報。IDS 監(jiān)視運動中的網(wǎng)絡(luò)數(shù)據(jù)包。這允許事件響應(yīng)評估威脅并在必要時采取行動。但是,它不保護端點或網(wǎng)絡(luò)。
防火墻會主動監(jiān)控,尋找威脅以防止它們成為事件。防火墻能夠過濾和阻止流量。它們允許基于預(yù)配置規(guī)則的流量,依賴于端口、目標(biāo)地址和源防火墻拒絕不遵守防火墻規(guī)則的流量。但是,如果攻擊來自網(wǎng)絡(luò)內(nèi)部,IDS 將不會生成警報。
IDS規(guī)避技術(shù)
入侵者可以使用多種技術(shù)來避免被 IDS 檢測到。這些方法可能會給 IDS 帶來挑戰(zhàn),因為它們旨在規(guī)避現(xiàn)有的檢測方法:
- 分段:分段將數(shù)據(jù)包分成更小的分段數(shù)據(jù)包。這允許入侵者保持隱藏狀態(tài),因為不會檢測到攻擊特征。分段的數(shù)據(jù)包隨后由 IP 層的接收節(jié)點重建。然后將它們轉(zhuǎn)發(fā)到應(yīng)用層。碎片攻擊通過用新數(shù)據(jù)替換組成碎片數(shù)據(jù)包中的數(shù)據(jù)來生成惡意數(shù)據(jù)包。
- 泛洪:這種攻擊旨在淹沒檢測器,從而觸發(fā)控制機制的故障。當(dāng)檢測器出現(xiàn)故障時,將允許所有流量。引起泛濫的一種流行方法是欺騙合法的用戶數(shù)據(jù)報協(xié)議 (UDP) 和互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)。然后,流量泛濫被用來偽裝肇事者的異常活動。因此,IDS 很難在海量流量中找到惡意數(shù)據(jù)包。
- 混淆:混淆可用于通過使消息難以理解來避免被發(fā)現(xiàn),從而隱藏攻擊。混淆的術(shù)語意味著以使其在功能上無法區(qū)分的方式更改程序代碼。目的是通過模糊和損害可讀性來降低逆向工程或靜態(tài)分析過程的可檢測性。例如,混淆的惡意軟件允許它逃避 IDS。
- 加密:加密提供多種安全功能,包括數(shù)據(jù)機密性、完整性和隱私性。不幸的是,惡意軟件創(chuàng)建者使用安全屬性來隱藏攻擊和逃避檢測。例如,IDS 無法讀取對加密協(xié)議的攻擊。當(dāng) IDS 無法將加密流量與現(xiàn)有數(shù)據(jù)庫簽名匹配時,加密流量就不會被加密。這使得檢測器很難識別攻擊。
為什么入侵檢測系統(tǒng)很重要
網(wǎng)絡(luò)攻擊的復(fù)雜性和復(fù)雜性一直在增加,零日攻擊很常見。因此,網(wǎng)絡(luò)保護技術(shù)必須跟上新威脅的步伐,企業(yè)必須保持高水平的安全性。目標(biāo)是確保安全、可信的信息通信。因此,IDS 對安全生態(tài)系統(tǒng)很重要。當(dāng)其他技術(shù)失敗時,它可以作為系統(tǒng)安全的防御措施。
- 識別安全事件。
- 分析攻擊的數(shù)量和類型。
- 幫助識別設(shè)備配置的錯誤或問題。
- 支持合規(guī)性(通過更好的網(wǎng)絡(luò)可見性和 IDS 日志文檔)。
- 改進安全響應(yīng)(通過檢查網(wǎng)絡(luò)數(shù)據(jù)包中的數(shù)據(jù),而不是手動對系統(tǒng)進行普查)。
雖然 IDS 很有用,但當(dāng)與 IPS 結(jié)合使用時,它們的影響會擴大。入侵防御系統(tǒng)(IPS) 增加了阻止威脅的能力。這已成為 IDS/IPS 技術(shù)的主要部署選項。
更好的是將多種威脅防御技術(shù)結(jié)合起來形成一個完整的解決方案。一種有效的方法是結(jié)合以下方法:
- 漏洞防護
- 反惡意軟件
- 反間諜軟件
這些技術(shù)結(jié)合起來構(gòu)成了高級威脅防護。該服務(wù)會掃描所有流量中的威脅(包括端口、協(xié)議和加密流量)。高級威脅防御解決方案在網(wǎng)絡(luò)攻擊生命周期內(nèi)尋找威脅,而不僅僅是在它進入網(wǎng)絡(luò)時。這形成了一種分層防御——一種在所有方面都進行預(yù)防的零信任方法。
文章鏈接: http://www.qzkangyuan.com/20536.html
文章標(biāo)題:什么是入侵檢測系統(tǒng)?
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
