国产成 人 综合 亚洲绿色-国产成+人+亚洲+欧美+日韩-国产成+人+综合+欧美 亚洲-国产成+人+综合+亚洲 欧美-日本一级毛一级毛片短视频-日本一级毛片

< 返回

IDS的工作原理,為什么入侵檢測系統很重要

2023-05-16 13:56 作者:joseph wu 閱讀量:1767

入侵檢測系統 (IDS) 是一種網絡安全技術,最初用于檢測針對目標應用程序或計算機的漏洞利用。IDS 也是一種只聽設備。IDS 監控流量并將結果報告給管理員。它無法自動采取措施來防止檢測到的漏洞接管系統。一旦進入網絡,攻擊者就能夠迅速利用漏洞。因此,IDS 不足以預防。入侵檢測和入侵防御系統對于安全信息和事件管理都是必不可少的。

入侵檢測系統與入侵防御系統

下表總結了 IPS 和 IDS 部署之間的差異。

  入侵防御系統 IDS部署
在網絡基礎設施中的放置 部分直線通信(inline) 外部直接通信線路(帶外)
系統類型 主動(監控和自動防御)和/或被動 被動(監控和通知)
檢測機制 1. 基于統計異常的檢測2. 簽名檢測:- Exploit-facing 簽名- Vulnerability-facing 簽名 1. 簽名檢測:- 面向漏洞利用的簽名

描繪 IPS 和 IDS 之間差異的圖表

IDS 的工作原理

描述入侵檢測系統功能的圖表IDS 只需要檢測潛在的威脅。它位于網絡基礎設施的帶外。因此,它不在信息發送者和接收者之間的實時通信路徑中。IDS 解決方案通常利用 TAP 或 SPAN 端口來分析內聯流量流的副本。這可確保 IDS 不會影響內聯網絡性能。

開發 IDS 時,檢測入侵所需的分析深度無法足夠快地執行。速度跟不上網絡基礎設施直接通信路徑上的組件。網絡入侵檢測系統用于檢測可疑活動,以便在網絡受到損害之前抓住黑客。有基于網絡和基于主機的入侵檢測系統。基于主機的 IDS 安裝在客戶端計算機上;基于網絡的 IDS 位于網絡本身。

IDS 的工作原理是尋找與正常活動和已知攻擊特征的偏差。異常模式被發送到堆棧并在協議和應用程序層進行檢查。它可以檢測 DNS 中毒、畸形信息包和圣誕樹掃描等事件。IDS 可以實現為網絡安全設備或軟件應用程序。為了保護云環境中的數據和系統,還提供了基于云的 IDS。

IDS檢測的類型

IDS有五種類型:基于網絡的、基于主機的、基于協議的、基于應用協議的和混合的。

兩種最常見的 IDS 類型是:

  1. 基于網絡的入侵檢測系統 (NIDS):網絡 IDS 監控完整的受保護網絡。它部署在基礎設施的戰略點,例如最脆弱的子網。NIDS 監控流入和流出網絡設備的所有流量,根據數據包內容和元數據做出決定。
  2. 基于主機的入侵檢測系統 (HIDS):基于主機的 IDS 監視安裝它的計算機基礎結構。換句話說,它部署在特定端點上以保護其免受內部和外部威脅。IDS 通過分析流量、記錄惡意活動和通知指定機構來實現這一點。

其余三種類型可以這樣描述:

  1. 基于協議 (PIDS):基于協議的入侵檢測系統通常安裝在 Web 服務器上。它監視和分析用戶/設備與服務器之間的協議。PIDS 通常位于服務器的前端并監視協議的行為和狀態。
  2. 基于應用程序協議 (APIDS):APIDS 是通常位于服務器方內部的系統或代理。它跟蹤和解釋特定于應用程序的協議上的對應關系。例如,這將在與 Web 服務器進行交易時監視中間件的 SQL 協議。
  3. 混合入侵檢測系統:混合入侵檢測系統結合了兩種或多種入侵檢測方法。使用此系統、系統或主機代理數據與網絡信息相結合以獲得系統的綜合視圖。與其他系統相比,混合入侵檢測系統更強大。混合 IDS 的一個例子是 Prelude。

還有一個 IDS 檢測方法的子組,兩個最常見的變體是:

  1. 基于簽名:基于簽名的 IDS 監控入站網絡流量,尋找與已知攻擊簽名相匹配的特定模式和序列。雖然它可有效用于此目的,但它無法檢測沒有已知模式的身份不明的攻擊。
  2. 基于異常:基于異常的 IDS 是一種相對較新的技術,旨在檢測未知攻擊,超越攻擊特征的識別。這種類型的檢測改為使用機器學習來分析大量網絡數據和流量。基于異常的 IDS 創建一個已定義的正常活動模型,并使用它來識別異常行為。但是,它很容易出現誤報。例如,如果一臺機器表現出罕見但健康的行為,它就會被識別為異常。這會導致誤報。

IDS 與防火墻

IDses 和下一代防火墻都是網絡安全解決方案。IDS 與防火墻的區別在于它的用途。IDS 設備被動監控,在威脅發生時描述可疑威脅并發出警報。IDS 監視運動中的網絡數據包。這允許事件響應評估威脅并在必要時采取行動。但是,它不保護端點或網絡。

防火墻會主動監控,尋找威脅以防止它們成為事件。防火墻能夠過濾和阻止流量。它們允許基于預配置規則的流量,依賴于端口、目標地址和源防火墻拒絕不遵守防火墻規則的流量。但是,如果攻擊來自網絡內部,IDS 將不會生成警報。

描述入侵檢測系統和防火墻功能的圖表

IDS規避技術

入侵者可以使用多種技術來避免被 IDS 檢測到。這些方法可能會給 IDS 帶來挑戰,因為它們旨在規避現有的檢測方法:

  • 分段:分段將數據包分成更小的分段數據包。這允許入侵者保持隱藏狀態,因為不會檢測到攻擊特征。分段的數據包隨后由 IP 層的接收節點重建。然后將它們轉發到應用層。碎片攻擊通過用新數據替換組成碎片數據包中的數據來生成惡意數據包。
  • 泛洪:這種攻擊旨在淹沒檢測器,從而觸發控制機制的故障。當檢測器出現故障時,將允許所有流量。引起泛濫的一種流行方法是欺騙合法的用戶數據報協議 (UDP) 和互聯網控制消息協議 (ICMP)。然后,流量泛濫被用來偽裝肇事者的異常活動。因此,IDS 很難在海量流量中找到惡意數據包。
  • 混淆:混淆可用于通過使消息難以理解來避免被發現,從而隱藏攻擊。混淆的術語意味著以使其在功能上無法區分的方式更改程序代碼。目的是通過模糊和損害可讀性來降低逆向工程或靜態分析過程的可檢測性。例如,混淆的惡意軟件允許它逃避 IDS。
  • 加密:加密提供多種安全功能,包括數據機密性、完整性和隱私性。不幸的是,惡意軟件創建者使用安全屬性來隱藏攻擊和逃避檢測。例如,IDS 無法讀取對加密協議的攻擊。當 IDS 無法將加密流量與現有數據庫簽名匹配時,加密流量就不會被加密。這使得檢測器很難識別攻擊。

為什么入侵檢測系統很重要

網絡攻擊的復雜性和復雜性一直在增加,零日攻擊很常見。因此,網絡保護技術必須跟上新威脅的步伐,企業必須保持高水平的安全性。目標是確保安全、可信的信息通信。因此,IDS 對安全生態系統很重要。當其他技術失敗時,它可以作為系統安全的防御措施。

  • 識別安全事件。
  • 分析攻擊的數量和類型。
  • 幫助識別設備配置的錯誤或問題。
  • 支持合規性(通過更好的網絡可見性和 IDS 日志文檔)。
  • 改進安全響應(通過檢查網絡數據包中的數據,而不是手動對系統進行普查)。

雖然 IDS 很有用,但當與 IPS 結合使用時,它們的影響會擴大。入侵防御系統(IPS) 增加了阻止威脅的能力。這已成為 IDS/IPS 技術的主要部署選項。

更好的是將多種威脅防御技術結合起來形成一個完整的解決方案。一種有效的方法是結合以下方法:

  • 漏洞防護
  • 反惡意軟件
  • 反間諜軟件

這些技術結合起來構成了高級威脅防護。該服務會掃描所有流量中的威脅(包括端口、協議和加密流量)。高級威脅防御解決方案在網絡攻擊生命周期內尋找威脅,而不僅僅是在它進入網絡時。這形成了一種分層防御——一種在所有方面都進行預防的零信任方法。

聯系我們
返回頂部 主站蜘蛛池模板: 日韩欧美毛片免费看播放 | 亚洲精品日韩专区在线观看 | 美国三级大片 | 亚洲精品综合 | 久久久久久久久毛片精品 | 一级毛片免费观看视频 | 国产精品亚洲第一区柳州莫青 | 久久亚洲国产伦理 | 成人免费高清视频 | 亚欧美图片自偷自拍另类 | 久久久久久久久久久福利观看 | 在线播放成人高清免费视频 | 女人张腿让男桶免费视频网站 | 国产精品美女一区二区 | 亚洲第一成人天堂第一 | 免费黄色三级网站 | 亚洲视频中文字幕 | 亚洲欧美久久精品一区 | 亚洲精品久久片久久 | 国产成人在线视频播放 | 欧美性高清视频免费看www | 欧美日本俄罗斯一级毛片 | 日韩一级片免费看 | 欧美久草视频 | 我要看欧美精品一级毛片 | 亚洲欧美二区三区久本道 | 美女叉开腿让男人捅 | 日本三级一区二区三区 | 国产精品免费看久久久久 | 欧美白人猛性xxxxx交69 | 久久综合久久美利坚合众国 | 草草在线观看视频 | 老外黑人欧美一级毛片 | 一级毛片免费观看视频 | 国产精品免费一区二区三区 | 国产精品午夜性视频网站 | 亚洲精品无码专区在线播放 | 亚洲精品国产成人99久久 | 国产成人精品一区二区三在线观看 | 欧美成人精品在线 | 制服丝袜在线视频香蕉 |