什么是入侵检测系统? IDS如何发现威胁 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

什么是入侵检测系统? IDS如何发现威胁

浏览次数:665日期:2019-06-11小编:沐鸣

欢迎访问沐鸣平台网址,企业IT部门部署入侵检测系统,以了解其技术环境中发生的潜在恶意活动。作为一项长期的企业网络安全主要内容,入侵检测功能在现代企业中仍然至关重要,但可能不是一个独立的解决方案。


什么是IDS?

内部检测系统(IDS)是一种软件应用程序或硬件设备,用于监视在网络上移动的流量以及通过系统搜索可疑活动和已知威胁,在发现此类项目时发送警报。


“IDS的总体目的是告知IT人员可能正在进行网络入侵。警报信息通常包括有关入侵源地址,目标/受害者地址以及可疑攻击类型的信息,“AT&T安全平台副总裁Brian Rexroad说。


每个IDS都被编程为分析流量并识别该流量中可能表明各种类型的网络攻击的模式。


IDS可以识别“可被视为普遍恶意或值得注意的流量”,网络安全培训机构SANS的高级讲师,SANS SEC503:入侵检测深入的作者Judy Novak解释说,例如网络钓鱼攻击链接下载恶意软件。此外,IDS可以检测对特定软件有问题的流量;因此,如果它检测到对公司使用的Firefox浏览器的已知攻击,它会提醒IT(但如果该公司使用不同的浏览器则不应发出警报)。


IDS的类型

入侵检测软件系统可分为两大类:基于主机和基于网络;这两个类别说明IDS的传感器放置在哪里(在主机/端点或网络上)。


一些专家进一步细分市场,还列出了外围IDS,基于VM的IDS,基于堆栈的IDS,基于签名的IDS和基于异常的IDS(具有与IDS'描述性前缀相对应的类似缩写)。


无论何种类型,分析师表示该技术通常都是一样的,该系统旨在检测传感器所在位置的入侵,并提醒安全分析师。


入侵检测系统在网络上的功能是什么?

入侵检测是一种被动技术;诺瓦克说,它可以检测并确认问题但会中断网络流量。 “如上所述,目的是找到值得注意的交通并提醒他们。警报通知IDS分析师已观察到一些有趣的流量。但它是事后的事实,因为交通没有被阻止或以任何方式停止到达目的地。“


将其与阻止已知恶意软件和入侵防御系统(IPS)技术的防火墙进行比较,正如其名称所述,该技术还可阻止恶意流量。


尽管IDS并未阻止恶意软件,但网络安全专家表示,该技术仍然在现代企业中占有一席之地。


“它所做的功能仍然至关重要,”451 Research的首席分析师Eric Hanselman说。 “IDS本身仍然具有相关性,因为它的核心是它正在检测一个主动攻击。”


然而,网络安全专家表示,组织通常不像以前那样购买和实施IDS作为独立解决方案。相反,他们购买一套安全功能或安全平台,将入侵检测作为众多内置功能之一。


Rob Clyde,董事会副主席ISACA,一个IT治理专业人员协会,以及White Cloud Security Inc.董事会执行主席,同意入侵检测仍然是一项关键功能。但他表示,公司需要了解入侵检测系统需要维护,并考虑是否以及如何选择IDS支持IDS。


“一旦你走上了道路,说我们要跟踪我们环境中发生的事情,你需要有人来回应警报和事件。否则,为什么要打扰?“他说。


鉴于IDS所做的工作,他说较小的公司应该具备这种能力,但只能作为更大功能套件的一部分,因此除了其他独立解决方案之外,它们不会管理IDS。他们还应考虑与托管安全服务提供商合作以满足其总体安全要求,因为提供商因规模可以更有效地响应警报。 “他们将使用机器学习或人工智能和人工努力提醒员工注意您真正需要担心的事件或入侵,”他说。


“对于中等规模和规模较大的公司,你真的需要知道是否有人在网络中,你确实需要额外的层或附加层,而不仅仅是防火墙内置的内容,”他说。


管理IDS的3个挑战

入侵检测系统确实存在若干公认的管理挑战,这些挑战可能比组织愿意或能够承担的工作更多。

1、误报(即在没有实际问题时生成警报)。 “IDS因产生误报而臭名昭着,”Rexroad表示,并补充说警报通常会发送到二级分析平台,以帮助应对这一挑战。此挑战还给IT团队施加压力,要求他们使用正确的信息不断更新其IDS,以检测合法威胁并将这些真实威胁与允许的流量区分开来。专家说,这不是一项小任务。 “IT管理员必须调整IDS系统,以分析正确的背景并减少误报。例如,分析和提供针对受到已知攻击保护的服务器的互联网活动的警报几乎没有益处。这将产生数以千计的无关警报,代价是提高有意义的警报。同样,在某些情况下,完全有效的活动可能仅仅因为概率而产生错误警报,“Rexroad说,并指出组织经常选择辅助分析平台,例如安全事件和事件管理(SIEM)平台,以帮助调查警报。

2、工作人员。专家建议,鉴于需要理解背景,企业必须准备好让任何IDS符合其自身的独特需求。 “这意味着IDS不能是一个适合所有配置的准确有效的操作。而且,这需3、要一位精明的IDS分析师根据特定网站的兴趣和需求定制IDS。而且,知识渊博的训练有素的系统分析师很少,“诺瓦克补充道。

错过了合法的风险。 “IDS的诀窍在于你必须知道攻击能够识别它。 IDS一直有患者零问题:你必须找到一个生病的人,然后才能辨认出来,“汉塞尔曼说。

专家表示,IDS技术也可能无法通过加密流量检测恶意软件。另外,传入流量的速度和分布性质可能限制企业中入侵检测系统的有效性。


“你可能有一个可以处理100兆比特流量的IDS,但你可能有200兆比特的流量,或者流量被分配,所以你的IDS只能看到每三个或四个数据包中的一个,”汉塞尔曼说。


入侵检测系统的未来

Hanselman说这些限制仍然不会使IDS的价值失效。


“没有安全工具是完美的。不同的产品有不同的盲点,因此挑战是了解那些盲点,“他解释说。 “我仍然认为IDS会在很长一段时间内与我们在一起。能够识别线路上的特定恶意流量仍然具有基本价值。“


然而,专家表示,有些组织正在重新考虑IDS的需求 - 即使今天实施该技术仍然是安全最佳实践。


“这种调整和分析需要根据收到的警报数量进行大量工作。组织可能没有资源来管理此容量中的所有设备。其他组织可能会进行更全面的威胁评估,并决定不实施IDS设备,“Rexroad说,并补充说,大量的IDS误报使一些组织选择反对实施IPS以及担心阻止合法的商业交易。


他说,其他组织可能决定专注于互联网网关的更高级保护,或者使用来自网络设备的流量分析以及系统和应用程序的日志分析,以识别可疑事件而不是使用IDS。


IDS与IPS

同样,Palo Alto Networks威胁情报总监Scott Simkin表示,他并不认为IDS作为解决方案在大多数现代企业中都有作用。


但是,他说,他说他确实认为IDS在更广泛的网络安全组合中保留了一席之地。


“这种能力绝对是每个安全团队的关键和基础,”他说,并补充说,现代安全平台内置的自动化和智能已经将IDS作为一个更深入的解决方案。


“IDS [作为系统]已被IPS和下一代防火墙所取代,这些防火墙采用IDS的概念,然后在其上层叠。这些应该与行为分析,网络过滤,应用程序身份管理和其他控制一起存在,“他说。 “但你不再真的购买IDS了。”

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有