對于每個重大違規行為，數百次攻擊會摧毀小型企業及其客戶。僅靠防火墻和反惡意軟件程序不足以保護整個網絡免受攻擊。完善的安全策略還應包括入侵檢測系統 (IDS)，一旦可疑流量通過防火墻并進入網絡，該系統就會查明可疑流量。本文介紹了入侵檢測系統 以及 IDS 在網絡安全中的作用。繼續閱讀以了解這些系統是如何工作的，以及為什么它們對于防止代價高昂的停機和數據泄露至關重要。

什么是入侵檢測系統 (IDS)？

入侵檢測系統 (IDS) 是一種應用程序或設備，用于監控入站和出站網絡流量，持續分析活動以發現模式變化，并在檢測到異常行為時向管理員發出警報。然后管理員查看警報并采取措施消除威脅。

例如，IDS 可能會檢查網絡流量攜帶的數據，以查看它是否包含已知的惡意軟件或其他惡意內容。如果它檢測到此類威脅，則會向您的安全團隊發送警報，以便他們進行調查和補救。一旦您的團隊收到警報，他們必須迅速采取行動以防止攻擊接管系統。

為確保 IDS 不會降低網絡性能，這些解決方案通常使用交換端口分析器 (SPAN) 或測試訪問端口 (TAP) 來分析內聯數據流量的副本。然而，一旦威脅進入網絡，它們就不會像入侵防御系統那樣阻止威脅。

無論您是設置物理設備還是 IDS 程序，系統都可以：

• 識別網絡數據包中的攻擊模式。
• 監控用戶行為。
• 識別異常流量活動。
• 確保用戶和系統活動不違反安全策略。

來自入侵檢測系統的信息還可以幫助安全團隊：

• 審核網絡是否存在漏洞和不良配置。
• 評估關鍵系統和文件的完整性。
• 創建更有效的控制和?事件響應。
• 分析攻擊網絡的網絡威脅的數量和類型。

除了網絡安全方面的好處，IDS 還有助于實現合規性。更高的網絡可見性和更好的日志記錄確保網絡運營符合所有相關法規。

入侵檢測系統的目標

僅靠防火墻并不能針對現代網絡威脅提供足夠的保護。惡意軟件和其他惡意內容通常使用合法類型的流量傳送，例如電子郵件或網絡流量。IDS 能??夠檢查這些通信的內容并識別它們可能包含的任何惡意軟件。

IDS 的主要目標是在黑客完成其目標之前檢測異常。一旦系統檢測到威脅，IDS 就會通知 IT 人員并提供以下有關危險的信息：

• 入侵的源地址。
• 目標和受害者地址。
• 威脅的類型。

入侵檢測系統的次要目標是觀察入侵者并識別：

• 攻擊者試圖訪問哪些資源。
• 黑客如何試圖繞過安全控制。
• ?入侵者發起了哪些?類型的網絡攻擊。

公司的?安全運營中心 (SOC)?和分析師可以使用這些信息來改進網絡安全策略。

異常檢測和報告是入侵檢測系統的兩個主要功能。但是，某些檢測系統可以響應惡意活動，例如自動阻止 IP 地址或關閉對敏感文件的訪問。具有這些響應能力的系統是入侵防御系統 (IPS)。

入侵檢測系統如何工作？

IDS 監視進出網絡上所有設備的流量。該系統在?防火墻后面運行，?作為惡意數據包的二級過濾器，主要尋找兩個可疑線索：

• 已知攻擊的簽名。
• 偏離常規活動。

入侵檢測系統通常依靠?模式關聯?來識別威脅。這種方法允許 IDS 將網絡數據包與具有已知網絡攻擊特征的數據庫進行比較。IDS 可以通過模式關聯標記的最常見攻擊是：

• 惡意軟件（蠕蟲、?勒索軟件、木馬、病毒、機器人等）。
• 掃描向網絡發送數據包以收集有關打開或關閉端口、允許的流量類型、活動主機和軟件版本的信息的攻擊。
• 發送惡意數據包并通過不同的進入和退出路由繞過安全控制的非對稱路由。
• 使用惡意可執行文件替換數據庫內容的緩沖區溢出攻擊。
• 針對特定協議（ICMP、TCP、ARP 等）的特定協議攻擊。
• 使網絡過載的流量泛濫破壞，例如?DDoS 攻擊。

一旦 IDS 發現異常，系統就會標記該問題并發出警報。警報的范圍可以從審核日志中的簡單注釋到給 IT 管理員的緊急消息。然后，團隊對問題進行故障排除并確定問題的根本原因。

入侵檢測系統有哪些類型？

根據安全團隊設置它們的位置，有兩種主要類型的 IDS：

• 網絡入侵檢測系統（NIDS）。
• 主機入侵檢測系統（HIDS）。

入侵檢測系統檢測可疑活動的方式還允許我們定義兩個類別：

• 基于簽名的入侵檢測系統 (SIDS)。
• 基于異常的入侵檢測系統 (AIDS)。

根據您的用例和預算，您可以部署 NIDS 或 HIDS 或依賴這兩種主要 IDS 類型。這同樣適用于檢測模型，因為許多團隊建立了一個具有 SIDS 和 AIDS 能??力的混合系統。

在確定策略之前，您需要了解 IDS 類型之間的差異以及它們如何相互補充。讓我們看看四種主要 IDS 類型中的每一種，它們的優缺點，以及何時使用它們。

網絡入侵檢測系統 (NIDS)

基于網絡的入侵檢測系統監控和分析進出所有網絡設備的流量。NIDS 從網絡內的一個戰略點（或多個點，如果您部署多個檢測系統）運行，通常在數據阻塞點。

NIDS 的優點：

• 提供整個網絡的 IDS 安全性。
• 一些戰略性放置的 NIDS 可以監控企業規模的網絡。
• 不會影響?網絡可用性?或吞吐量的無源設備。
• 相對容易保護和隱藏入侵者。
• 涵蓋流量最易受攻擊的網絡部分。

NIDS 的缺點：

• 設置成本高。
• 如果 NIDS 必須監視一個廣泛或繁忙的網絡，則系統可能會遭受低特異性和偶爾未被注意到的破壞。
• 檢測加密流量中的威脅可能會有問題。
• 通常不適合基于交換機的網絡。

主機入侵檢測系統 (HIDS)

HIDS 從特定端點運行，在該端點監視進出單個設備的網絡流量和系統日志。

這種類型的 IDS 安全依賴于常規?快照，即捕獲整個系統狀態的文件集。當系統拍攝快照時，IDS 會將其與之前的狀態進行比較，并檢查丟失或更改的文件或設置。

HIDS 的優點

• 深入了解主機設備及其活動（對配置、權限、文件、注冊表等的更改）。
• 針對 NIDS 未能檢測到的惡意數據包的出色第二道防線。
• 擅長檢測來自組織內部的數據包，例如從系統控制臺對文件進行未經授權的更改。
• 有效檢測和防止軟件完整性違規。
• 由于數據包較少，因此比 NIDS 更擅長分析加密流量。
• 比設置 NIDS 便宜得多。

HIDS 的缺點

• 由于系統僅監控一臺設備，因此可見性有限。
• 用于決策的可用上下文較少。
• 對于大公司來說很難管理，因為團隊需要為每個主機配置和處理信息。
• 攻擊者比 NIDS 更容易看到。
• 不擅長檢測網絡掃描或其他網絡范圍的監視攻擊。

基于簽名的入侵檢測系統 (SIDS)

SIDS 監視通過網絡移動的數據包，并將它們與已知攻擊特征或屬性的數據庫進行比較。這種常見的 IDS 安全類型會尋找特定的模式，例如字節或指令序列。

小島嶼發展中國家的優點

• 可以很好地對抗使用已知攻擊特征的攻擊者。
• 有助于發現低技能的攻擊嘗試。
• 有效監控入站網絡流量。
• 可以有效地處理大量的網絡流量。

小島嶼發展中國家的缺點

• 無法識別威脅數據庫中沒有特定簽名的違規行為。
• 精明的黑客可以修改攻擊以避免匹配已知簽名，例如將小寫字母更改為大寫字母或將符號轉換為其字符代碼。
• 需要定期更新威脅數據庫，以使系統與最新風險保持同步。

基于異常的入侵檢測系統 (AIDS)

AIDS 監控正在進行的網絡流量并根據基線分析模式。它超越了攻擊簽名模型并檢測惡意行為模式而不是特定的數據模式。

這種類型的 IDS 使用機器學習在帶寬、協議、端口和設備使用方面建立預期系統行為（信任模型）的基線。然后，系統可以將任何新行為與經過驗證的信任模型進行比較，并發現基于簽名的 IDS 無法識別的未知攻擊。

例如，銷售部門的某個人第一次嘗試訪問網站的后端可能不是 SIDS 的危險信號。然而，對于基于異常的設置，第一次嘗試訪問敏感系統的人是需要調查的原因。

IDS 的優勢和局限

部署 IDS 的明顯優勢在于對網絡活動的關鍵洞察力。及早發現異常行為有助于將網絡攻擊的風險降至最低，并確保整體網絡健康狀況更好。

使用 IDS 保護網絡是提高安全性的有效策略。當與強大的反惡意軟件程序和防火墻配合使用時，IDS 可確保團隊：

• 領先于大部分網絡問題，無論是由惡意行為者、事故還是錯誤引起的。
• 無需梳理數千個系統日志以獲取關鍵信息。
• 可以在網絡級別可靠地執行公司的安全策略。

IDS（甚至 IPS）也變得更便宜且更易于管理，因此即使是預算較少且 IT 人員較少的 SMB 也可以依賴此策略。然而，盡管有這些好處，IDS 也有一些獨特的挑戰：

• 避免 IDS 是成功攻擊的首要任務，這使這些系統成為黑客的首選目標。
• 在加密流量中檢測惡意活動是一個常見問題。
• IDS 在具有大量流量的網絡中可能不太有效。
• 即使是最好的系統也可能無法識別新攻擊的跡象。
• IDS 監控南北流量，它不提供對東西流量的洞察力。

IDS 的最大挑戰是避免錯誤，因為即使是最好的系統也可以：

• 對非攻擊事件發出警報。
• 當存在真正的威脅時未能發出警報。

太多誤報意味著 IT 團隊對 IDS 的警告信心不足。然而，誤報意味著惡意數據包在沒有引發警報的情況下進入網絡，因此過度敏感的 IDS 始終是更好的選擇。

IDS 最佳實踐

一旦您知道需要設置哪種 IDS 類型和檢測模型，請確保您的策略遵循以下最佳實踐：

培訓 IT 人員。確保設置 IDS 的團隊對您的設備清單和每臺機器的角色有透徹的了解。

確定基線。為確保您的 IDS 從異常行為中檢測到正常行為，請建立一個基線，以便您了解網絡上的情況。請記住，每個網絡承載的流量類型不同。定義明確的初始基線有助于防止誤報和誤報。

IDS 部署。在最高可見性點部署 IDS，以免系統被數據淹沒。理想情況下，將 IDS 放置在網絡邊緣的防火墻后面。如果您需要處理主機內流量，請在網絡上安裝多個 IDS。系統和部署位置的正確選擇取決于網絡和安全目標。

將 IDS 調整到網絡。僅在對網絡有意義的地方更改 IDS 的默認設置。配置 IDS 以適應網絡上的所有設備、應用程序、端口、協議和安全點。通過自定義配置以應用于您的網絡基礎設施，您可以為檢測奠定堅實的基礎。

設置隱身模式。將 IDS 設置為以隱身模式運行，以使系統難以檢測到惡意行為者。最簡單的方法是確保 IDS 有兩個網絡接口，一個用于網絡，另一個用于生成警報。IDS 應該只使用被監控的接口作為輸入。

測試 IDS。測試 IDS 以確保它檢測到潛在威脅并正確響應它們。使用測試數據集，或者更好的是讓安全專業人員進行滲透測試（滲透測試）。定期運行這些測試以確保一切繼續按預期工作。隨著時間的推移，改進您的測試方法以跟上可能發生的攻擊類型的變化。

平衡假陽性和陰性。小心不要過度調整您的 IDS 或以其他方式錯誤配置它，以免造成誤報或漏報。兩者中的任何一個都可能使您的 IT 和安全團隊不堪重負，甚至使您的組織面臨更大的攻擊風險。結合 NIDS 設置和?網絡分段?，使檢測更有效且更易于管理。

調查和響應事件。定義準備采取行動的事件響應計劃。該計劃必須包括熟練的安全人員，他們知道如何快速有效地做出響應，同時盡量減少對日常運營的干擾和對組織的影響。如果您的組織必須遵守某些行業要求，例如HIPAA、GDPR或SOC 2，請定義適當的控制并遵循既定協議。考慮在 IDS 發出警報后添加輔助分析平臺來分析威脅。

定期更新威脅數據庫。一旦 IDS 啟動并運行，您的團隊應不斷更新威脅數據庫以保持系統有效。確保您的所有 IDS 和威脅數據庫都遵循?零信任安全原則。

不要忽視 IDS 安全的價值

高質量的 IDS（或 IPS）對于維持可接受的網絡安全水平至關重要。IDS 僅檢測威脅，可能無法捕獲所有潛在威脅。因此，僅靠自己來防止攻擊并保護您的組織免受攻擊是不夠的。

相反，IDS 是總體安全策略的一部分。除了擁有正確的安全工具外，您還需要確保您的員工（您的第一道防線）知道如何保護您的組織、信息和資產的安全。這種防御始于有效的網絡安全意識計劃。作為回報，他們將更有信心知道如何應對和回應他們，并將對您的業務和客戶的風險降至最低。