信息技术数字 » 电脑 » 计算机安全中的 IDS：它们是什么、如何工作以及为什么它们至关重要

IDS 可检测网络或设备上的可疑访问或活动，并向您发出潜在威胁警报。

根据要保护的环境，IDS 有不同类型：网络、主机、协议、应用程序和混合。

其有效性取决于结合不同的检测方法并将它们与 IPS 或 SIEM 等其他工具集成。

您是否曾经想过，公司如何知道是否有人试图侵入其计算机网络？ 如今，由于数字威胁的数量众多，任何严肃的组织都需要系统来持续监控其安全。 这个角色由入侵检测系统 (IDS) 扮演， 现代网络安全难题中的一个基本部分。

在本文中，我们将深入探讨 IDS 是什么、它如何工作、有哪些类型、它与 IPS 或防火墙等其他工具有何不同，以及为什么对于任何想要高枕无忧的公司来说，正确配置 IDS 至关重要。 目标是使用相关的语言和例子清楚详细地解释一切，以便毫无疑问其重要性和功能。

什么是 IDS 以及它有什么用途？

IDS 或入侵检测系统是一种旨在识别网络或设备内未经授权的访问或活动的技术。. 它的主要使命是充当数字基础设施的“眼睛和耳朵”， 监控流量并检测可能表明存在攻击或安全漏洞的异常或可疑活动。

IDS 不断分析进出网络的信息流。，将流量行为或某些模式与已知威胁的数据库或预期行为模型进行比较。 如果它检测到任何异常情况，它就会发出警报，以便安全官员进行调查并做出决定。 然而，这是与其他系统的一个关键区别： IDS 不会自动阻止攻击，它只会检测并警告它们。

可以将其想象成一个警卫，他在岗亭里监视着一切，如果发现异常情况就会发出警报，但不会进行身体干预，而是将决定权交给安保人员或其他补充系统。

IDS、IPS 和防火墙之间的区别：各自扮演什么角色？

在网络安全领域，这些概念经常被混淆，但 每种工具都发挥着不同的、互补的作用. 明确IDS的位置非常重要：

IDS（入侵检测系统）： 它负责识别和警告可疑活动或访问， 而不直接采取行动来阻止他们。

IPS（入侵防御系统）： 除了检测之外， 它能够实时采取行动，阻止恶意流量。，断开危险的连接或者丢弃不符合安全策略的数据包。

防火墙： 它充当内部和外部网络之间的屏障，建立基于端口、IP 地址或协议允许或阻止流量的规则。 它的主要功能是过滤流量， 但它不能深入分析或检测复杂的攻击。

关于超频的全部内容：它是什么、它的好处、它的风险以及它如何影响您的 PC。主要区别在于 IDS 仅检测和警告，而 IPS 可以预防， 防火墙根据预定义的规则过滤流量。 通常将这些解决方案结合起来以实现全面的保护。

IDS 究竟是如何工作的？

IDS 可以作为专用硬件设备运行，也可以通过安装在特定计算机上的软件运行。. 它们的作用方式取决于它们的类型和位置， 但总体来说遵循以下原则：

IDS 通常放置在“带外”， 也就是说，它不会干扰主要交通路线。 它通常分析数据流的副本 （使用镜像端口，如 TAP 或 SPAN），这样网络性能就不会受到影响，并且您可以在不降低速度的情况下检查大量信息。

IDS 执行的分析可以基于以下几种方法： 通过签名（比较已知的攻击模式）、异常（寻找与常态相比的奇怪行为）、启发式（基于动态规则分析可疑行为）甚至通过最先进系统中的机器学习进行检测。

当它检测到可能的入侵时， IDS 生成并向管理员或 SIEM 系统发送警报 （集中式安全事件平台） 调查该事件并决定是否需要采取行动 例如更新规则、阻止防火墙访问，甚至实施 IPS 或隔离受感染的系统。

IDS 的主要类型：覆盖范围和目标

根据 IDS 的安装位置和监控活动，IDS 可分为多种类型。通常会结合几种方法来覆盖所有可能的方面：

网络入侵检测系统 (NIDS)： 它们位于基础设施的关键点， 监控设备之间流通的流量， 子网和外部。 它们通常安装在外围防火墙后面或内部子网之间， 分析整个流程寻找恶意数据包或可疑攻击活动。

主机入侵检测系统 (HIDS)： 它们直接安装在服务器、工作站或其他关键端点上。 它们既分析设备自身的流量，也分析操作系统文件、日志和配置的变化。 它们是保护高价值资产或检测网络内恶意软件横向移动的理想选择。

基于协议的入侵检测系统 (PIDS)： 专门监控特定协议的使用情况（例如 Web 服务器上的 HTTP 或 HTTPS）， 检测可疑模式或与正常操作不兼容的模式。

基于应用程序的入侵检测系统 (APIDS)： 旨在监控某些应用程序的特定协议（例如，Web 服务器和数据库之间的 SQL）， 检测注入或未经授权的访问等攻击。

混合入侵检测系统： 它们结合了上述几种方法， 整合网络和主机信息，提供更强大、更全面的潜在威胁视图。 现实生活中这种类型的例子是像 Prelude 这样的系统。

什么是计算机安全以及它如何保护您的数据？实现最佳保护 结合网络、主机以及特定协议或特定应用程序的 IDS从而使内部和外部攻击变得困难，并实现 几乎完全可见。

IDS使用的检测方法

IDS 可以采用不同的检测机制，每种机制都有其优点和缺点。. 主要有：

根据签名： 它们通过将流量与已知模式的数据库进行比较来检测攻击。 它们对已经分类的威胁非常有效，但是， 如果出现新的攻击，且其模式未被记录，可能检测不到。

根据异常情况： 它们学习网络的通常行为，并在检测到重大偏差时发出警报。 它们擅长检测新威胁或“零日”攻击，尽管 它们会产生更多的误报，因为并非所有不寻常的事情都一定是危险的。

启发式和机器学习： 他们使用能够识别可疑行为或预测攻击者下一步行动的算法。 它的优势在于适应性和进化能力，尽管 需要事先设置和培训。

状态协议分析： 他们了解网络协议的逻辑，并将观察到的操作与“正常”操作配置文件进行比较。 如果检测到偏差，则会触发警报。

基于策略： 它们按照管理员预先定义的规则运行。 如果违反任何规则（例如访问限制、某些文件的传输）， 系统发出警告。 它非常有用，但政策需要更新。

使用蜜罐： 诱饵系统故意引诱攻击者研究它们并学习新的战术， 允许根据观察到的方法来强化真实的 IDS。

最常见的是，现代 IDS 结合使用这些方法来实现更强大的保护从而适应已知和新出现的威胁。

IDS的优点和缺点

拥有一个实施良好的 IDS 会给任何组织带来很多好处，尽管它也不是没有弱点。:

主要优势： 它们可以让你实时看到网络和系统中发生的情况， 帮助检测对文件和设置的可疑修改， 允许自动识别危险模式 并改进对安全事件的响应。此外， 通过记录事件和提高可见性来促进法规遵从。

缺点： 被动 IDS 无法自行阻止检测到的攻击；它们只是发出警报。 另外， 可能容易受到拒绝服务（DoS 或 DDoS）攻击， 并且基于异常的系统可能会产生相当多的误报，因此 需要不断审查和微调。

因此， 通过将 IDS 与其他工具（如 IPS、防火墙以及（如果可能）SIEM）集成，可以实现其最大有效性 用于集中事件管理。 您可以了解更多有关如何管理网络安全风险的信息。.

如何规避IDS？攻击者使用的技术

网络犯罪分子总是在寻找绕过防御的新方法，并且 尝试逃避IDS检测的特定技术:

碎片： 该方法将攻击拆分成多个较小的数据包，以防止入侵检测系统 (IDS) 识别完整的签名。这些碎片随后在目的地重新组合，对目标执行攻击。

溢出或洪水： 攻击者向 IDS 发送大量流量，使其不堪重负并导致其崩溃或允许恶意数据包未经检查就通过。

混淆： 恶意数据通过伪装代码或内容来改变或隐藏，使IDS难以识别。

西弗拉多： 如果恶意数据以加密方式传输，而 IDS 无法读取这些数据包的内容，它将无法将其与其签名进行比较，因此也无法检测到它们。

TrickMo：威胁您移动数据安全的银行恶意软件这些技术强调了保持系统更新的重要性，并考虑可以检查加密流量的解决方案（例如 Wazuh 等工具）来检测隐藏的威胁。

IDS与网络安全的法规、合规性和演进

除了技术保护外， IDS 在遵守安全法规方面发挥着重要作用 例如 GDPR、ISO 27001 或 PCI DSS，因为 它们有助于监控事件、识别事故并记录任何相关的异常活动。

另一个根本问题是 网络攻击不断演变单一解决方案已不再足够： 现代 IDS 与 SIEM 等系统集成 提供更全面的保护并提供组织安全的全面视图。

IDS 对哪些人真正重要？

尽管 IDS 传统上一直是大公司的一部分， 任何组织，无论其规模大小，如果其处理敏感信息、提供在线服务，或者只是想在潜在威胁变成严重问题之前阻止它们，都应该考虑使用它。投资保护可以对业务连续性和客户信心产生影响。

在医疗保健、银行、公共管理和工业等领域，IDS 已经是一项实际（通常是合法的）义务，但在中小企业、初创企业以及任何以业务连续性和客户信任为优先考虑的环境中，IDS 也受到强烈推荐。

关键在 选择适合每个组织的技术环境、预算和目标的正确 IDS 模型如今，解决方案范围从免费开源系统到具有全天候支持和云集成功能的先进商业系统。

目录

什么是 IDS 以及它有什么用途？IDS、IPS 和防火墙之间的区别：各自扮演什么角色？IDS 究竟是如何工作的？IDS 的主要类型：覆盖范围和目标IDS使用的检测方法IDS的优点和缺点如何规避IDS？攻击者使用的技术IDS与网络安全的法规、合规性和演进IDS 对哪些人真正重要？