网络犯罪分子和网络安全专家几十年来一直在玩猫捉老鼠。网络防御技术的每一次进步都是黑客攻击和其他网络犯罪方法相应进步的结果。这导致了看似无穷无尽的各种攻击向量需要导航。
还有许多类型的入侵检测系统可以匹配企业面临的一系列威胁。
入侵检测系统有哪些类型?
由于提供了所有不同的 IDS 选项,因此很难跟踪什么最适合您的公司。本指南将您需要了解的有关入侵检测和防御系统类型的所有内容分为三个部分,分别针对主要类别:
- 基于检测位置的入侵检测系统(基于主机或基于网络)
- 基于检测方法(异常或签名)的入侵检测系统
- 入侵防御系统以及如何将它们集成到整体托管 IT 安全中
读完本文,您将做好在网络安全基础设施中安装一个或多个检测或预防系统的准备。但首先,让我们定义一些基本术语。
什么是入侵检测和防御系统?
入侵检测系统 (IDS) 是安全框架内的任何功能,可扫描攻击、漏洞和其他网络安全事件。在某些情况下,IDS 的功能独立于旨在缓解这些事件的其他安全控制。在其他情况下,IDS 被集成到更广泛的安全信息事件管理系统 (SIEM) 中。示例包括全面的入侵检测和预防系统。
IDS 本身主要关注检测攻击,而入侵防御系统则致力于防止攻击。这意味着扫描可能导致攻击的入侵和风险。一个例子是一个强大的托管检测和响应程序。
基于检测点的入侵检测
第一主型或IDS的类别的特征在于,其中所述IDS就建立了内网络安全体系结构和其中它检测到入侵。在基于检测位置的 IDS 类别中,有两个子类别或子类型:
- 基于主机的入侵检测系统 (HIDS)
- 基于网络的入侵检测系统 (NIDS)
在某些情况下,公司可能会同时使用两个子类别或具有每个子类别特性的混合体。让我们仔细看看它们,它们是如何工作的,以及它们各自的优缺点。
基于主机的入侵检测系统小号
IDS 的第一个子类型是基于主机的入侵检测系统 (HIDS),它存在于更广泛网络中的一个主机或单个端点上。它是 IDS 的原始形式,功能简单,充当所有传入和传出流量的特定于设备的过滤器。
通常,HIDS 通过定期将给定主机的当前状态与该主机在最佳安全性或完整性下的过去基线进行比较来发挥作用。当前状态与规范不同的任何违规行为或方式都会根据威胁情报进行标记和分析。
HIDS 的简单性可能是优势也可能是挑战,这取决于贵公司更广泛的信息网络中各个主机的数量、复杂性和互连性。
基于网络的入侵检测系统
IDS 的第二种子类型,一种基于网络的入侵检测系统 (NIDS),存在于贵公司网络中的一个或多个战略位置。与防火墙类似,它们可以作为网络内敏感点之间的边界。它们通常与防火墙一起工作,在数据包和其他内容通过墙或过滤器之前和之后对其进行筛选。
正常工作时,NIDS 通过减轻防火墙和其他控制的负担来优化周围的系统。但是,它与任何其他Web 过滤机制都存在相同的局限性:最先进和伪装良好的攻击可能无法检测到。
基于检测方法的入侵检测
第二个主要类别或类型的 IDS 的特点是检测入侵,以及它利用的确切类型的监控和分析方法。在基于检测方法的 IDS 类别中,有两个子类别或子类型:
- 基于异常的入侵检测系统专注于异常活动
- 基于签名的入侵检测系统专注于模式识别
与基于位置的 IDS 一样,公司可以同时使用这两种子类别或混合使用。再次,让我们仔细看看它们,它们是如何工作的,以及它们各自的优缺点。
基于异常的入侵检测系统
IDS 的第三个子类型是主要扫描网络或主机内异常的系统。IDS 被编程为在构成安全基线的一组动态规则上运行。通过这种方式,它的功能类似于 HIDS,但具有适用于多个主机或整个网络的灵活性。
基于异常的 IDS 程序的最大好处涉及未知或难以追踪的攻击,即一些最复杂和多方面的攻击。然而,这种方法的一个主要缺点是它可能会高估给定的违规行为的威胁并错误地将一项活动指定为入侵,从而导致对缓解资源的代价高昂的滥用。
基于签名的入侵检测系统
IDS 的第四个也是最后一个子类型是一种系统,它通过扫描指示攻击、未遂攻击或其他危险形式的入侵的唯一“签名”来工作。此 IDS 还通过扫描特定类型的流量和事件跟踪来识别违规行为。
基于签名的 IDS 系统在快速识别和标记已知攻击方面特别有效。它难以提供太多价值的地方是基于异常的 IDS 系统的亮点:未知或难以表征的攻击。具有两者元素的混合 IDS 是理想的。
入侵防御系统和最佳实践
事件检测是最大限度减少网络犯罪危害的关键步骤。总体而言,IDS 作为预防事件的手段最为有用。与 IDS 一样,预防分为四种主要类型:
- 基于主机的入侵防御系统专注于单个端点(如 HIDS)。
- 基于网络的入侵防御系统专注于整个网络(如 NIDS)。
- 基于无线的入侵防御系统专门针对 WiFi 和云。
- 网络行为分析侧重于利用威胁分析来防止入侵。
这些方法中的每一种都有其优点和缺点,许多组织发现混合所有四种元素的混合方法最适合他们的风险环境。
专业事件管理服务的好处
对于许多公司来说,解决网络安全问题的最佳方法是最容易实施的方法。为此,布尔云安的事件管理包括六个循环步骤:
- 一旦发生在主机或网络中,立即识别事件
- 记录事件并立即根据威胁情报建立索引
- 经过漫长而复杂的分析过程后诊断事件
- 分配适当的控制、职责和资源
- 事件的解决,包括扣押和追回资产
- 业务连续性和客户满意度措施
我们的专家团队可以利用上述类型的任意组合,根据贵公司的特定需求和手段定制检测和响应计划。这包括合规性要求和您的网络安全架构的任何其他特性。
专业的入侵检测与防御
该博客涵盖了各种入侵检测和防御系统类型。入侵检测有两种主要方法。这些分为四种主要类型的入侵检测系统。关于预防,还有四种类型需要考虑。
但是,许多公司都可以从简单、全面的入侵检测和预防方法中受益。要了解您的入侵防御和整体安全性有多强大,请立即联系布尔云安团队!
转载请注明:布尔云安的博客 » 入侵检测系统有哪些类型?