入侵检测系统 (IDS) 是一种网络安全工具,用于监控网络流量和设备,以发现已知的恶意活动、可疑活动或违反安全策略的行为。
IDS 可以通过向安全管理员发出已知或潜在威胁的警报,或向集中式安全工具发送警报来帮助加速和自动执行网络威胁检测。安全信息和事件管理 (SIEM) 系统等集中式安全工具可以结合其他来源的数据,帮助安全团队识别和应对可能被其他安全措施忽略的网络威胁。
IDS 还可以支持合规工作。某些法规,例如《支付卡行业数据安全标准 (PCI-DSS)》,要求组织实施入侵检测措施。
IDS 无法自行阻止安全威胁。如今,IDS 功能通常与入侵防御系统 (IPS) 集成或合并到其中,该系统可以检测安全威胁并自动采取措施进行预防。
根据 IBM Security X-Force Threat Intelligence 指数获取洞察,以更快且更有效地准备和应对网络攻击。
注册获取《数据泄露成本报告》
IDS 可以是安装在端点上的软件应用程序,也可以是连接到网络的专用硬件设备。一些 IDS 解决方案可作为云服务提供。无论采用何种形式,IDS 都会使用两种主要威胁检测方法中的一种或两种:基于特征符的检测或基于异常的检测。
基于特征符的检测分析网络数据包中的攻击特征符,即与特定威胁相关的独特特征或行为。特定恶意软件变体中出现的代码序列就是攻击特征符的一个例子。
基于特征符的 IDS 维护一个攻击特征符数据库,并将网络数据包与之进行比对。如果数据包触发了与其中一个特征符的匹配,IDS 就会采取行动。为了确保有效性,必须定期使用新的威胁情报更新特征符数据库,以便应对新网络攻击的出现和现有攻击的演变。尚未进行特征符分析的全新攻击可躲过基于特征符的 IDS。
基于异常的检测方法使用机器学习来创建并不断完善正常网络活动的基准模型。然后,它将网络活动与模型进行比较,并标记偏差,例如某个进程使用了比正常情况更多的带宽,或设备打开端口。
由于基于异常的 IDS 会报告任何异常行为,因此它通常可以阻止全新网络攻击,尽管这些攻击可能躲过了基于特征符的检测。例如,基于异常的 IDS 可能会捕捉到零日漏洞,零日漏洞是指在软件开发人员知道存在软件漏洞或有时间修补漏洞之前,攻击者就已经利用该软件漏洞进行攻击。
但基于异常的 IDS 也可能更容易出现误报。即使是正常的良性活动,例如授权用户首次访问敏感网络资源,也可能触发基于异常的 IDS。
对于那些与恶意活动或可疑活动相关的 IP 地址和域发出来的流量,基于信誉的检测可以阻止这些流量。状态协议分析侧重于协议行为,例如,它可以通过检测短时间内发出许多并发 TCP 连接请求的单个 IP 地址,来识别拒绝服务 (DoS) 攻击。
无论使用什么方法,当 IDS 检测到潜在的威胁或违反策略时,它都会提醒事件响应团队进行调查。IDS 还保留安全事件的记录,无论是在自己的日志中还是通过使用安全信息和事件管理 (SIEM) 工具进行记录(请参阅下面的“IDS 和其他安全解决方案”)。这些事件日志可用于完善 IDS 的标准,例如添加新的攻击特征符或更新网络行为模型。
IDS 根据其在系统中的位置和监控的活动类型进行分类。
网络入侵检测系统 (NIDS) 会监控网络上设备的入站和出站流量。NIDS 部署在网络的战略要地,通常位于网络边界防火墙的正后方,以便能够标记任何突破的恶意流量。
NIDS 也可能部署在网络内部,以捕获内部威胁或劫持用户帐户的黑客。例如,NIDS 可能部署在分段网络中的每个内部防火墙后面,以监视子网之间的流量流动。
为了避免妨碍合法流量的流动,NIDS 通常被放置在“带外”,这意味着流量不会直接通过它。NIDS 分析网络数据包的副本,而不是数据包本身。这样一来,合法流量就不必等待分析,但 NIDS 仍然可以捕获并标记恶意流量。
主机入侵检测系统 (HIDS) 安装在特定端点上,例如笔记本电脑、路由器或服务器。HIDS 只监控该设备上的活动,包括进出该设备的流量。HIDS 的工作原理通常是定期拍摄关键操作系统文件的快照,并且随着时间推移将这些快照进行比较。如果 HIDS 发现更改,例如日志文件被编辑或配置被更改,它会向安全团队发出警报。
安全团队通常将基于网络的入侵检测系统和基于主机的入侵检测系统结合起来。NIDS 着眼于整体流量,而 HIDS 可以为高价值资产添加额外的保护。HIDS 还可以帮助捕获来自被感染网络节点的恶意活动,例如从被感染设备传播的勒索软件。
虽然 NIDS 和 HIDS 是最常见的,但安全团队会出于特殊目的使用其他 IDS。基于协议的 IDS (PIDS) 会监视服务器和设备之间的连接协议。PIDS 通常放置在 Web 服务器上,用于监视 HTTP 或 HTTPS 连接。
基于应用程序协议的 IDS (APIDS) 在应用程序层工作,监视特定于应用程序的协议。APIDS 通常部署在 Web 服务器和 SQL 数据库之间以检测 SQL 注入。
虽然 IDS 解决方案可以检测许多威胁,但黑客可以绕过这些威胁。IDS 供应商通过更新其解决方案来应对这些策略。不过,这些解决方案更新也造成了军备竞赛,黑客和 IDS 均试图领先对方一步。
一些常见的 IDS 规避策略包括:
分布式拒绝服务 (DDoS) 攻击 - 通过使用来自多个来源的明显恶意流量淹没 IDS,使 IDS 脱机。当 IDS 的资源被诱饵威胁淹没时,黑客就会潜入。
欺骗 - 伪造 IP 地址和 DNS 记录,使其流量看起来像是来自值得信赖的来源。
分解片段 - 将恶意软件或其他恶意负载拆分为小数据包,掩盖特征符并避免检测。通过策略性地延迟数据包或乱序发送数据包,黑客可以阻止 IDS 重新组装数据包并发现攻击。
加密 - 如果 IDS 没有相应的解密密钥,则使用加密协议绕过 IDS。
令操作人员疲于应对 - 故意生成大量 IDS 警报,以分散事件响应团队对其真正攻击活动的注意力。
IDS 不是独立的工具。它们被设计为整体网络安全系统的一部分,并且通常与以下一个或多个安全解决方案紧密集成。
IDS 警报通常会传输到组织的 SIEM,在 SIEM 中,它们可以与来自其他安全工具的警报和信息合并到单个的集中式仪表板中。将 IDS 与 SIEM 集成,使安全团队能够利用来自其他工具的威胁情报和数据来丰富 IDS 警报、过滤掉错误警报并确定事件的优先级以进行补救。
如上所述,IPS 会像 IDS 一样监控可疑活动的网络流量,并通过自动终止连接或触发其他安全工具来实时拦截威胁。由于 IPS 旨在阻止网络攻击,因此它们通常内联放置,这意味着所有流量都必须经过 IPS,然后才能到达网络的其余部分。
一些组织将 IDS 和 IPS 分别作为单独的解决方案实施。更常见的是,IDS 和 IPS 整合在一个入侵检测和防御系统 (IDPS) 中,该系统可检测入侵、记录入侵、向安全团队发出警报并自动响应。
IDS 和防火墙是互补的。防火墙面向网络外部并充当屏障,通过使用预定义的规则集来允许或禁止流量。IDS 通常安装在防火墙附近,帮助捕捉漏网之鱼。有些防火墙,特别是下一代防火墙,内置了 IDS 和 IPS 功能。