入侵檢測(cè)的概念已經(jīng)存在多年,只要惡意行為者試圖破壞網(wǎng)絡(luò)并竊取敏感數(shù)據(jù),就會(huì)繼續(xù)需要它。技術(shù)和“流行語(yǔ)”的新進(jìn)步有時(shí)會(huì)使入侵檢測(cè)聽(tīng)起來(lái)非常復(fù)雜,使您不知道從哪里開(kāi)始以及如何實(shí)施適當(dāng)?shù)娜肭謾z測(cè)框架。雖然入侵檢測(cè)背后的方法很廣泛,但概念保持不變。入侵檢測(cè)本質(zhì)上如下:一種檢測(cè)網(wǎng)絡(luò)或任何端點(diǎn)/系統(tǒng)上是否發(fā)生任何未經(jīng)授權(quán)的活動(dòng)的方法。
我們使用入侵檢測(cè)來(lái)識(shí)別在我們的網(wǎng)絡(luò)或端點(diǎn)上發(fā)生的任何不需要的活動(dòng),以便在威脅行為者對(duì)我們的網(wǎng)絡(luò)或業(yè)務(wù)造成損害之前抓住它們。
入侵檢測(cè)系統(tǒng)的類型
讓我們從入侵檢測(cè)的類型開(kāi)始。如果您曾經(jīng)在 Google 上搜索過(guò)“入侵檢測(cè)”,那么您可能已經(jīng)被有關(guān)網(wǎng)絡(luò)安全和檢測(cè)技術(shù)的供應(yīng)商、學(xué)術(shù)論文和文章淹沒(méi)了。雖然有這么多關(guān)于該主題的資源很好,但有時(shí)很難找到一些基礎(chǔ)知識(shí)。
歸結(jié)起來(lái),您可以將入侵檢測(cè)分為兩大類:基于簽名和無(wú)簽名(基于異常)的檢測(cè)。有多種形式的基于簽名和異常檢測(cè);但是,為了本文的目的,我們將只涉及基礎(chǔ)知識(shí)。
基于簽名的檢測(cè)涉及檢測(cè)已知的不良漏洞和攻擊。您必須有一個(gè)已知威脅的規(guī)則列表(也稱為“簽名”)才能檢測(cè)到此功能。基于簽名的檢測(cè)可能是最常見(jiàn)和最古老的檢測(cè)類型。雖然這可能涵蓋了基礎(chǔ)知識(shí),但實(shí)現(xiàn)某種形式的異常檢測(cè)也很好。這是系統(tǒng)檢測(cè)到以前未發(fā)現(xiàn)的威脅的地方。這種類型的檢測(cè)更復(fù)雜,通常需要某種形式的機(jī)器學(xué)習(xí)算法來(lái)完成。
入侵檢測(cè)與入侵預(yù)防
現(xiàn)在我們已經(jīng)討論了一些入侵檢測(cè)的類型,讓我們討論一些常見(jiàn)的誤解。在您開(kāi)始網(wǎng)絡(luò)安全之旅時(shí),您會(huì)交替聽(tīng)到 IDS(入侵檢測(cè)系統(tǒng))和 IPS(入侵防御系統(tǒng))這兩個(gè)術(shù)語(yǔ)。
這些術(shù)語(yǔ)和技術(shù)幾乎在所有方面都相似,除了一個(gè)。IDS 只檢測(cè)和警告威脅;它不會(huì)阻止任何東西。另一方面,一旦識(shí)別出 IPS 將嘗試阻止流量或威脅。許多供應(yīng)商的產(chǎn)品在其產(chǎn)品中同時(shí)包含 IDS 和 IPS 功能。
我們將在進(jìn)一步的文章中從技術(shù)角度深入探討可用的內(nèi)容并放置這些工具。現(xiàn)在,要知道,如果您使用的是 IDS,它只會(huì)檢測(cè)活動(dòng),不會(huì)采取任何行動(dòng)。
IDS 還是 IPS?決定,決定。最初,建議您從 IDS 開(kāi)始。使用 IDS,您可以了解有關(guān)您的網(wǎng)絡(luò)(或主機(jī),如果您使用基于主機(jī)的 IDS)的更多信息。如果您直接進(jìn)入 IPS 并開(kāi)始阻止某些事情,您最終可能會(huì)阻止對(duì)業(yè)務(wù)至關(guān)重要的某些事情。然后,您可能會(huì)接到來(lái)自權(quán)力的憤怒電話,詢問(wèn)為什么員工無(wú)法訪問(wèn)特定資源。即使您購(gòu)買了具有 IDS 和 IPS 功能的產(chǎn)品,大多數(shù)組織也會(huì)在 IDS 模式下運(yùn)行 IPS 幾周,以確保它們不會(huì)阻止合法流量。
免費(fèi)入侵檢測(cè)軟件的種類
您可以使用許多不同的開(kāi)源工具進(jìn)行入侵檢測(cè)。我們將在本文中僅介紹一些網(wǎng)絡(luò)入侵檢測(cè)工具 ,但我們將在接下來(lái)的文章中更深入地介紹哪些工具做什么、如何安裝/使用它們以及每個(gè)工具的用例。
- Snort:可能是最常見(jiàn)的網(wǎng)絡(luò) IDS 之一,也是許多供應(yīng)商構(gòu)建的基礎(chǔ)。
- Suricata:另一種流行的開(kāi)源網(wǎng)絡(luò)檢測(cè)工具。它同時(shí)具有 IDS 和 IPS 功能。
- Zeek:一個(gè)開(kāi)源的網(wǎng)絡(luò)監(jiān)控工具。
入侵檢測(cè)入門
希望本文為您提供了入侵檢測(cè)背后的一些基本知識(shí),以及為什么它對(duì)網(wǎng)絡(luò)和端點(diǎn)安全至關(guān)重要。為了在為時(shí)已晚之前正確保護(hù)您的網(wǎng)絡(luò)免受惡意黑客的攻擊并發(fā)現(xiàn)入侵者,某種形式的入侵檢測(cè)是必要的。
只要系統(tǒng)得到適當(dāng)?shù)木S護(hù)和調(diào)整,實(shí)施入侵檢測(cè)系統(tǒng)或入侵防御系統(tǒng)就可以幫助您改善整體安全狀況。網(wǎng)絡(luò)安全工程師或安全分析師需要參與系統(tǒng)的設(shè)置、配置和維護(hù),以有效部署這些工具并從中獲得價(jià)值。
文章鏈接: http://www.qzkangyuan.com/4346.html
文章標(biāo)題:入侵檢測(cè)系統(tǒng)的類型與入侵預(yù)防
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
