對(duì)于每個(gè)重大違規(guī)行為，數(shù)百次攻擊會(huì)摧毀小型企業(yè)及其客戶(hù)。僅靠防火墻和反惡意軟件程序不足以保護(hù)整個(gè)網(wǎng)絡(luò)免受攻擊。完善的安全策略還應(yīng)包括入侵檢測(cè)系統(tǒng) (IDS)，一旦可疑流量通過(guò)防火墻并進(jìn)入網(wǎng)絡(luò)，該系統(tǒng)就會(huì)查明可疑流量。本文介紹了入侵檢測(cè)系統(tǒng) 以及 IDS 在網(wǎng)絡(luò)安全中的作用。繼續(xù)閱讀以了解這些系統(tǒng)是如何工作的，以及為什么它們對(duì)于防止代價(jià)高昂的停機(jī)和數(shù)據(jù)泄露至關(guān)重要。

什么是入侵檢測(cè)系統(tǒng) (IDS)？

入侵檢測(cè)系統(tǒng) (IDS) 是一種應(yīng)用程序或設(shè)備，用于監(jiān)控入站和出站網(wǎng)絡(luò)流量，持續(xù)分析活動(dòng)以發(fā)現(xiàn)模式變化，并在檢測(cè)到異常行為時(shí)向管理員發(fā)出警報(bào)。然后管理員查看警報(bào)并采取措施消除威脅。

例如，IDS 可能會(huì)檢查網(wǎng)絡(luò)流量攜帶的數(shù)據(jù)，以查看它是否包含已知的惡意軟件或其他惡意內(nèi)容。如果它檢測(cè)到此類(lèi)威脅，則會(huì)向您的安全團(tuán)隊(duì)發(fā)送警報(bào)，以便他們進(jìn)行調(diào)查和補(bǔ)救。一旦您的團(tuán)隊(duì)收到警報(bào)，他們必須迅速采取行動(dòng)以防止攻擊接管系統(tǒng)。

為確保 IDS 不會(huì)降低網(wǎng)絡(luò)性能，這些解決方案通常使用交換端口分析器 (SPAN) 或測(cè)試訪問(wèn)端口 (TAP) 來(lái)分析內(nèi)聯(lián)數(shù)據(jù)流量的副本。然而，一旦威脅進(jìn)入網(wǎng)絡(luò)，它們就不會(huì)像入侵防御系統(tǒng)那樣阻止威脅。

無(wú)論您是設(shè)置物理設(shè)備還是 IDS 程序，系統(tǒng)都可以：

• 識(shí)別網(wǎng)絡(luò)數(shù)據(jù)包中的攻擊模式。
• 監(jiān)控用戶(hù)行為。
• 識(shí)別異常流量活動(dòng)。
• 確保用戶(hù)和系統(tǒng)活動(dòng)不違反安全策略。

來(lái)自入侵檢測(cè)系統(tǒng)的信息還可以幫助安全團(tuán)隊(duì)：

• 審核網(wǎng)絡(luò)是否存在漏洞和不良配置。
• 評(píng)估關(guān)鍵系統(tǒng)和文件的完整性。
• 創(chuàng)建更有效的控制和?事件響應(yīng)。
• 分析攻擊網(wǎng)絡(luò)的網(wǎng)絡(luò)威脅的數(shù)量和類(lèi)型。

除了網(wǎng)絡(luò)安全方面的好處，IDS 還有助于實(shí)現(xiàn)合規(guī)性。更高的網(wǎng)絡(luò)可見(jiàn)性和更好的日志記錄確保網(wǎng)絡(luò)運(yùn)營(yíng)符合所有相關(guān)法規(guī)。

入侵檢測(cè)系統(tǒng)的目標(biāo)

僅靠防火墻并不能針對(duì)現(xiàn)代網(wǎng)絡(luò)威脅提供足夠的保護(hù)。惡意軟件和其他惡意內(nèi)容通常使用合法類(lèi)型的流量傳送，例如電子郵件或網(wǎng)絡(luò)流量。IDS 能??夠檢查這些通信的內(nèi)容并識(shí)別它們可能包含的任何惡意軟件。

IDS 的主要目標(biāo)是在黑客完成其目標(biāo)之前檢測(cè)異常。一旦系統(tǒng)檢測(cè)到威脅，IDS 就會(huì)通知 IT 人員并提供以下有關(guān)危險(xiǎn)的信息：

• 入侵的源地址。
• 目標(biāo)和受害者地址。
• 威脅的類(lèi)型。

入侵檢測(cè)系統(tǒng)的次要目標(biāo)是觀察入侵者并識(shí)別：

• 攻擊者試圖訪問(wèn)哪些資源。
• 黑客如何試圖繞過(guò)安全控制。
• ?入侵者發(fā)起了哪些?類(lèi)型的網(wǎng)絡(luò)攻擊。

公司的?安全運(yùn)營(yíng)中心 (SOC)?和分析師可以使用這些信息來(lái)改進(jìn)網(wǎng)絡(luò)安全策略。

異常檢測(cè)和報(bào)告是入侵檢測(cè)系統(tǒng)的兩個(gè)主要功能。但是，某些檢測(cè)系統(tǒng)可以響應(yīng)惡意活動(dòng)，例如自動(dòng)阻止 IP 地址或關(guān)閉對(duì)敏感文件的訪問(wèn)。具有這些響應(yīng)能力的系統(tǒng)是入侵防御系統(tǒng) (IPS)。

入侵檢測(cè)系統(tǒng)如何工作？

IDS 監(jiān)視進(jìn)出網(wǎng)絡(luò)上所有設(shè)備的流量。該系統(tǒng)在?防火墻后面運(yùn)行，?作為惡意數(shù)據(jù)包的二級(jí)過(guò)濾器，主要尋找兩個(gè)可疑線索：

• 已知攻擊的簽名。
• 偏離常規(guī)活動(dòng)。

入侵檢測(cè)系統(tǒng)通常依靠?模式關(guān)聯(lián)?來(lái)識(shí)別威脅。這種方法允許 IDS 將網(wǎng)絡(luò)數(shù)據(jù)包與具有已知網(wǎng)絡(luò)攻擊特征的數(shù)據(jù)庫(kù)進(jìn)行比較。IDS 可以通過(guò)模式關(guān)聯(lián)標(biāo)記的最常見(jiàn)攻擊是：

• 惡意軟件（蠕蟲(chóng)、?勒索軟件、木馬、病毒、機(jī)器人等）。
• 掃描向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包以收集有關(guān)打開(kāi)或關(guān)閉端口、允許的流量類(lèi)型、活動(dòng)主機(jī)和軟件版本的信息的攻擊。
• 發(fā)送惡意數(shù)據(jù)包并通過(guò)不同的進(jìn)入和退出路由繞過(guò)安全控制的非對(duì)稱(chēng)路由。
• 使用惡意可執(zhí)行文件替換數(shù)據(jù)庫(kù)內(nèi)容的緩沖區(qū)溢出攻擊。
• 針對(duì)特定協(xié)議（ICMP、TCP、ARP 等）的特定協(xié)議攻擊。
• 使網(wǎng)絡(luò)過(guò)載的流量泛濫破壞，例如?DDoS 攻擊。

一旦 IDS 發(fā)現(xiàn)異常，系統(tǒng)就會(huì)標(biāo)記該問(wèn)題并發(fā)出警報(bào)。警報(bào)的范圍可以從審核日志中的簡(jiǎn)單注釋到給 IT 管理員的緊急消息。然后，團(tuán)隊(duì)對(duì)問(wèn)題進(jìn)行故障排除并確定問(wèn)題的根本原因。

入侵檢測(cè)系統(tǒng)有哪些類(lèi)型？

根據(jù)安全團(tuán)隊(duì)設(shè)置它們的位置，有兩種主要類(lèi)型的 IDS：

• 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）。
• 主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）。

入侵檢測(cè)系統(tǒng)檢測(cè)可疑活動(dòng)的方式還允許我們定義兩個(gè)類(lèi)別：

• 基于簽名的入侵檢測(cè)系統(tǒng) (SIDS)。
• 基于異常的入侵檢測(cè)系統(tǒng) (AIDS)。

根據(jù)您的用例和預(yù)算，您可以部署 NIDS 或 HIDS 或依賴(lài)這兩種主要 IDS 類(lèi)型。這同樣適用于檢測(cè)模型，因?yàn)樵S多團(tuán)隊(duì)建立了一個(gè)具有 SIDS 和 AIDS 能??力的混合系統(tǒng)。

在確定策略之前，您需要了解 IDS 類(lèi)型之間的差異以及它們?nèi)绾蜗嗷パa(bǔ)充。讓我們看看四種主要 IDS 類(lèi)型中的每一種，它們的優(yōu)缺點(diǎn)，以及何時(shí)使用它們。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (NIDS)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)監(jiān)控和分析進(jìn)出所有網(wǎng)絡(luò)設(shè)備的流量。NIDS 從網(wǎng)絡(luò)內(nèi)的一個(gè)戰(zhàn)略點(diǎn)（或多個(gè)點(diǎn)，如果您部署多個(gè)檢測(cè)系統(tǒng)）運(yùn)行，通常在數(shù)據(jù)阻塞點(diǎn)。

NIDS 的優(yōu)點(diǎn)：

• 提供整個(gè)網(wǎng)絡(luò)的 IDS 安全性。
• 一些戰(zhàn)略性放置的 NIDS 可以監(jiān)控企業(yè)規(guī)模的網(wǎng)絡(luò)。
• 不會(huì)影響?網(wǎng)絡(luò)可用性?或吞吐量的無(wú)源設(shè)備。
• 相對(duì)容易保護(hù)和隱藏入侵者。
• 涵蓋流量最易受攻擊的網(wǎng)絡(luò)部分。

NIDS 的缺點(diǎn)：

• 設(shè)置成本高。
• 如果 NIDS 必須監(jiān)視一個(gè)廣泛或繁忙的網(wǎng)絡(luò)，則系統(tǒng)可能會(huì)遭受低特異性和偶爾未被注意到的破壞。
• 檢測(cè)加密流量中的威脅可能會(huì)有問(wèn)題。
• 通常不適合基于交換機(jī)的網(wǎng)絡(luò)。

主機(jī)入侵檢測(cè)系統(tǒng) (HIDS)

HIDS 從特定端點(diǎn)運(yùn)行，在該端點(diǎn)監(jiān)視進(jìn)出單個(gè)設(shè)備的網(wǎng)絡(luò)流量和系統(tǒng)日志。

這種類(lèi)型的 IDS 安全依賴(lài)于常規(guī)?快照，即捕獲整個(gè)系統(tǒng)狀態(tài)的文件集。當(dāng)系統(tǒng)拍攝快照時(shí)，IDS 會(huì)將其與之前的狀態(tài)進(jìn)行比較，并檢查丟失或更改的文件或設(shè)置。

HIDS 的優(yōu)點(diǎn)

• 深入了解主機(jī)設(shè)備及其活動(dòng)（對(duì)配置、權(quán)限、文件、注冊(cè)表等的更改）。
• 針對(duì) NIDS 未能檢測(cè)到的惡意數(shù)據(jù)包的出色第二道防線。
• 擅長(zhǎng)檢測(cè)來(lái)自組織內(nèi)部的數(shù)據(jù)包，例如從系統(tǒng)控制臺(tái)對(duì)文件進(jìn)行未經(jīng)授權(quán)的更改。
• 有效檢測(cè)和防止軟件完整性違規(guī)。
• 由于數(shù)據(jù)包較少，因此比 NIDS 更擅長(zhǎng)分析加密流量。
• 比設(shè)置 NIDS 便宜得多。

HIDS 的缺點(diǎn)

• 由于系統(tǒng)僅監(jiān)控一臺(tái)設(shè)備，因此可見(jiàn)性有限。
• 用于決策的可用上下文較少。
• 對(duì)于大公司來(lái)說(shuō)很難管理，因?yàn)閳F(tuán)隊(duì)需要為每個(gè)主機(jī)配置和處理信息。
• 攻擊者比 NIDS 更容易看到。
• 不擅長(zhǎng)檢測(cè)網(wǎng)絡(luò)掃描或其他網(wǎng)絡(luò)范圍的監(jiān)視攻擊。

基于簽名的入侵檢測(cè)系統(tǒng) (SIDS)

SIDS 監(jiān)視通過(guò)網(wǎng)絡(luò)移動(dòng)的數(shù)據(jù)包，并將它們與已知攻擊特征或?qū)傩缘臄?shù)據(jù)庫(kù)進(jìn)行比較。這種常見(jiàn)的 IDS 安全類(lèi)型會(huì)尋找特定的模式，例如字節(jié)或指令序列。

小島嶼發(fā)展中國(guó)家的優(yōu)點(diǎn)

• 可以很好地對(duì)抗使用已知攻擊特征的攻擊者。
• 有助于發(fā)現(xiàn)低技能的攻擊嘗試。
• 有效監(jiān)控入站網(wǎng)絡(luò)流量。
• 可以有效地處理大量的網(wǎng)絡(luò)流量。

小島嶼發(fā)展中國(guó)家的缺點(diǎn)

• 無(wú)法識(shí)別威脅數(shù)據(jù)庫(kù)中沒(méi)有特定簽名的違規(guī)行為。
• 精明的黑客可以修改攻擊以避免匹配已知簽名，例如將小寫(xiě)字母更改為大寫(xiě)字母或?qū)⒎?hào)轉(zhuǎn)換為其字符代碼。
• 需要定期更新威脅數(shù)據(jù)庫(kù)，以使系統(tǒng)與最新風(fēng)險(xiǎn)保持同步。

基于異常的入侵檢測(cè)系統(tǒng) (AIDS)

AIDS 監(jiān)控正在進(jìn)行的網(wǎng)絡(luò)流量并根據(jù)基線分析模式。它超越了攻擊簽名模型并檢測(cè)惡意行為模式而不是特定的數(shù)據(jù)模式。

這種類(lèi)型的 IDS 使用機(jī)器學(xué)習(xí)在帶寬、協(xié)議、端口和設(shè)備使用方面建立預(yù)期系統(tǒng)行為（信任模型）的基線。然后，系統(tǒng)可以將任何新行為與經(jīng)過(guò)驗(yàn)證的信任模型進(jìn)行比較，并發(fā)現(xiàn)基于簽名的 IDS 無(wú)法識(shí)別的未知攻擊。

例如，銷(xiāo)售部門(mén)的某個(gè)人第一次嘗試訪問(wèn)網(wǎng)站的后端可能不是 SIDS 的危險(xiǎn)信號(hào)。然而，對(duì)于基于異常的設(shè)置，第一次嘗試訪問(wèn)敏感系統(tǒng)的人是需要調(diào)查的原因。

IDS 的優(yōu)勢(shì)和局限

部署 IDS 的明顯優(yōu)勢(shì)在于對(duì)網(wǎng)絡(luò)活動(dòng)的關(guān)鍵洞察力。及早發(fā)現(xiàn)異常行為有助于將網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)降至最低，并確保整體網(wǎng)絡(luò)健康狀況更好。

使用 IDS 保護(hù)網(wǎng)絡(luò)是提高安全性的有效策略。當(dāng)與強(qiáng)大的反惡意軟件程序和防火墻配合使用時(shí)，IDS 可確保團(tuán)隊(duì)：

• 領(lǐng)先于大部分網(wǎng)絡(luò)問(wèn)題，無(wú)論是由惡意行為者、事故還是錯(cuò)誤引起的。
• 無(wú)需梳理數(shù)千個(gè)系統(tǒng)日志以獲取關(guān)鍵信息。
• 可以在網(wǎng)絡(luò)級(jí)別可靠地執(zhí)行公司的安全策略。

IDS（甚至 IPS）也變得更便宜且更易于管理，因此即使是預(yù)算較少且 IT 人員較少的 SMB 也可以依賴(lài)此策略。然而，盡管有這些好處，IDS 也有一些獨(dú)特的挑戰(zhàn)：

• 避免 IDS 是成功攻擊的首要任務(wù)，這使這些系統(tǒng)成為黑客的首選目標(biāo)。
• 在加密流量中檢測(cè)惡意活動(dòng)是一個(gè)常見(jiàn)問(wèn)題。
• IDS 在具有大量流量的網(wǎng)絡(luò)中可能不太有效。
• 即使是最好的系統(tǒng)也可能無(wú)法識(shí)別新攻擊的跡象。
• IDS 監(jiān)控南北流量，它不提供對(duì)東西流量的洞察力。

IDS 的最大挑戰(zhàn)是避免錯(cuò)誤，因?yàn)榧词故亲詈玫南到y(tǒng)也可以：

• 對(duì)非攻擊事件發(fā)出警報(bào)。
• 當(dāng)存在真正的威脅時(shí)未能發(fā)出警報(bào)。

太多誤報(bào)意味著 IT 團(tuán)隊(duì)對(duì) IDS 的警告信心不足。然而，誤報(bào)意味著惡意數(shù)據(jù)包在沒(méi)有引發(fā)警報(bào)的情況下進(jìn)入網(wǎng)絡(luò)，因此過(guò)度敏感的 IDS 始終是更好的選擇。

IDS 最佳實(shí)踐

一旦您知道需要設(shè)置哪種 IDS 類(lèi)型和檢測(cè)模型，請(qǐng)確保您的策略遵循以下最佳實(shí)踐：

培訓(xùn) IT 人員。確保設(shè)置 IDS 的團(tuán)隊(duì)對(duì)您的設(shè)備清單和每臺(tái)機(jī)器的角色有透徹的了解。

確定基線。為確保您的 IDS 從異常行為中檢測(cè)到正常行為，請(qǐng)建立一個(gè)基線，以便您了解網(wǎng)絡(luò)上的情況。請(qǐng)記住，每個(gè)網(wǎng)絡(luò)承載的流量類(lèi)型不同。定義明確的初始基線有助于防止誤報(bào)和誤報(bào)。

IDS 部署。在最高可見(jiàn)性點(diǎn)部署 IDS，以免系統(tǒng)被數(shù)據(jù)淹沒(méi)。理想情況下，將 IDS 放置在網(wǎng)絡(luò)邊緣的防火墻后面。如果您需要處理主機(jī)內(nèi)流量，請(qǐng)?jiān)诰W(wǎng)絡(luò)上安裝多個(gè) IDS。系統(tǒng)和部署位置的正確選擇取決于網(wǎng)絡(luò)和安全目標(biāo)。

將 IDS 調(diào)整到網(wǎng)絡(luò)。僅在對(duì)網(wǎng)絡(luò)有意義的地方更改 IDS 的默認(rèn)設(shè)置。配置 IDS 以適應(yīng)網(wǎng)絡(luò)上的所有設(shè)備、應(yīng)用程序、端口、協(xié)議和安全點(diǎn)。通過(guò)自定義配置以應(yīng)用于您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，您可以為檢測(cè)奠定堅(jiān)實(shí)的基礎(chǔ)。

設(shè)置隱身模式。將 IDS 設(shè)置為以隱身模式運(yùn)行，以使系統(tǒng)難以檢測(cè)到惡意行為者。最簡(jiǎn)單的方法是確保 IDS 有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)用于網(wǎng)絡(luò)，另一個(gè)用于生成警報(bào)。IDS 應(yīng)該只使用被監(jiān)控的接口作為輸入。

測(cè)試 IDS。測(cè)試 IDS 以確保它檢測(cè)到潛在威脅并正確響應(yīng)它們。使用測(cè)試數(shù)據(jù)集，或者更好的是讓安全專(zhuān)業(yè)人員進(jìn)行滲透測(cè)試（滲透測(cè)試）。定期運(yùn)行這些測(cè)試以確保一切繼續(xù)按預(yù)期工作。隨著時(shí)間的推移，改進(jìn)您的測(cè)試方法以跟上可能發(fā)生的攻擊類(lèi)型的變化。

平衡假陽(yáng)性和陰性。小心不要過(guò)度調(diào)整您的 IDS 或以其他方式錯(cuò)誤配置它，以免造成誤報(bào)或漏報(bào)。兩者中的任何一個(gè)都可能使您的 IT 和安全團(tuán)隊(duì)不堪重負(fù)，甚至使您的組織面臨更大的攻擊風(fēng)險(xiǎn)。結(jié)合 NIDS 設(shè)置和?網(wǎng)絡(luò)分段?，使檢測(cè)更有效且更易于管理。

調(diào)查和響應(yīng)事件。定義準(zhǔn)備采取行動(dòng)的事件響應(yīng)計(jì)劃。該計(jì)劃必須包括熟練的安全人員，他們知道如何快速有效地做出響應(yīng)，同時(shí)盡量減少對(duì)日常運(yùn)營(yíng)的干擾和對(duì)組織的影響。如果您的組織必須遵守某些行業(yè)要求，例如HIPAA、GDPR或SOC 2，請(qǐng)定義適當(dāng)?shù)目刂撇⒆裱榷▍f(xié)議。考慮在 IDS 發(fā)出警報(bào)后添加輔助分析平臺(tái)來(lái)分析威脅。

定期更新威脅數(shù)據(jù)庫(kù)。一旦 IDS 啟動(dòng)并運(yùn)行，您的團(tuán)隊(duì)?wèi)?yīng)不斷更新威脅數(shù)據(jù)庫(kù)以保持系統(tǒng)有效。確保您的所有 IDS 和威脅數(shù)據(jù)庫(kù)都遵循?零信任安全原則。

不要忽視 IDS 安全的價(jià)值

高質(zhì)量的 IDS（或 IPS）對(duì)于維持可接受的網(wǎng)絡(luò)安全水平至關(guān)重要。IDS 僅檢測(cè)威脅，可能無(wú)法捕獲所有潛在威脅。因此，僅靠自己來(lái)防止攻擊并保護(hù)您的組織免受攻擊是不夠的。

相反，IDS 是總體安全策略的一部分。除了擁有正確的安全工具外，您還需要確保您的員工（您的第一道防線）知道如何保護(hù)您的組織、信息和資產(chǎn)的安全。這種防御始于有效的網(wǎng)絡(luò)安全意識(shí)計(jì)劃。作為回報(bào)，他們將更有信心知道如何應(yīng)對(duì)和回應(yīng)他們，并將對(duì)您的業(yè)務(wù)和客戶(hù)的風(fēng)險(xiǎn)降至最低。