入侵检测系统 Intrusion detection system

入侵检测系统

入侵检测系统（IDS）是监控网络或系统恶意活动或违反政策的设备或软件应用程序。任何入侵活动或违规行为通常通过安全信息和事件管理 （SIEM） 系统向管理员报告或集中收集。SIEM 系统结合了来自多个来源的输出，并使用报警过滤技术来区分恶意活动和虚假警报。

IDS 类型的范围范围从单台计算机到大型网络。 最常见的分类是网络入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。监控重要操作系统文件的系统是 HIDS ，而分析传入网络流量的系统是 NIDS 。也可以通过检测方法对 IDS 进行分类。最知名的变种是基于签名的检测（识别不良模式，如恶意软件）和基于异常的检测（检测与通常依赖于机器学习的"良好"流量模型的偏差）。另一个常见的变种是基于声誉的检测（根据声誉评分识别潜在威胁）。某些 IDS 产品能够对检测到的入侵做出响应。具有响应能力的系统通常称为入侵预防系统。入侵检测系统还可以通过使用自定义工具（如使用蜜罐来吸引和描述恶意流量）来增强它们，从而满足特定目的。

1.与防火墙的比较

传统的网络防火墙（不同于下一代防火墙）使用静态规则来允许或拒绝网络连接。它含蓄地防止入侵，假设已经定义了一套适当的规则。从本质上讲，防火墙限制网络之间的访问，以防止入侵，并且不会发出来自网络内部的攻击信号。IDS 描述了一旦发生疑似入侵并发出警报信号。IDS 还会监视源自系统内的攻击。传统上，通过检查网络通信、识别常见计算机攻击的启发式和模式（通常称为签名）以及采取行动提醒操作员来实现这一点。终止连接的系统称为入侵预防系统，并像应用层防火墙一样执行访问控制。6

2.入侵检测类别

IDS 可按检测发生地点（网络或主机）或采用的检测方法（基于签名或异常）进行分类。

2.1分析活动

2.1.1网络入侵检测系统

网络入侵检测系统 （NIDS） 位于网络内的战略点，用于监控进出网络上所有设备的流量。它对整个子网的通过流量进行分析，并将子网中传递的流量与已知攻击库相匹配。一旦识别出攻击，或感觉到异常行为，就可以向管理员发送警报。NIDS 的一个示例将将其安装在防火墙所在的子网中，以便查看是否有人试图闯入防火墙。理想情况下，人们会扫描所有进站和出站流量，但这样做可能会造成瓶颈，从而损害网络的整体速度。OPNET和 Nasim 是模拟网络入侵检测系统的常用工具。NID 系统还能够比较类似数据包的签名，以链接和丢弃有害检测到的包，这些数据包的签名与 NIDS 中的记录相匹配。当我们根据系统交互属性对 NIDS 的设计进行分类时，有两种类型：在线和离线 NIDS，通常分别称为内联模式和点击模式。在线 NIDS 实时处理网络。它分析以太网数据包并应用一些规则，以决定它是否是攻击。离线 NIDS 处理存储的数据，并通过一些流程来决定它是否是攻击。

NIDS 还可以与其他技术相结合，以提高检测和预测速率。基于人工神经网络的 IDS 能够以智能方式分析大量数据，因为自组织结构使 INS IDS 能够更有效地识别入侵模式。神经网络通过从错误中吸取教训，协助 IDS 预测攻击；INN IDS 帮助开发基于两层的预警系统。第一层接受单个值，而第二层以第一层输出为输入：循环重复并允许系统自动识别网络中新的不可预见的模式。该系统根据 24 次网络攻击的研究结果，平均检测和分类率为 99.9%，分为四类：DOS、探头、远程到本地和用户对根。

2.2.2主机入侵检测系统

主机入侵检测系统 （HIDS） 运行在网络上的单个主机或设备上。HIDS 仅监控设备中的进出境数据包，如果检测到可疑活动，将提醒用户或管理员。它需要现有系统文件的快照，并将其与上一个快照匹配。如果关键系统文件被修改或删除，则会向管理员发送警报以进行调查。在任务关键机器上可以看到 HIDS 使用的示例，预计这些机器不会改变其配置。

2.2检测方法

2.2.1基于签名

基于签名的 IDS 是指通过查找特定模式（如网络流量中的子序列或恶意软件使用的已知恶意指令序列）来检测攻击。此术语源自防病毒软件，该软件将这些检测到的模式称为签名。虽然基于签名的 IDS 可以轻松检测已知攻击，但很难检测新的攻击，因为没有模式可用。

2.2.2基于异常

基于异常的入侵检测系统主要用于检测未知攻击，部分原因是恶意软件的快速发展。基本方法是使用机器学习创建值活动模型，然后将新行为与此模型进行比较。由于这些模型可以根据应用程序和硬件配置进行培训，与传统的基于签名的 IDS 相比，基于机器学习的方法具有更好的通用特性。虽然这种方法能够检测以前未知的攻击，但它可能遭受误报：以前未知的合法活动也可能被归类为恶意活动。大多数现有 IDS 在检测过程中耗时，会降低 IDS 的性能。高效的功能选择算法使用于检测的分类过程更加可靠。

3.IDS 放置

入侵检测系统的放置至关重要，因网络而异。最常见的位置是在网络边缘的防火墙后面。此操作为 IDS 提供了进入您的网络的流量的高可见性，并且不会接收网络上用户之间的任何流量。网络的边缘是网络连接到外联网的点。如果有更多的资源，可以完成的另一个做法是，技术人员将他们的第一个 IDS 放在最高可见度点，并根据资源可用性将另一个 IDS 放在下一个最高点，继续这一过程，直到网络的所有点都覆盖。

如果 IDS 被置于网络防火墙之外，其主要目的是防止来自互联网的噪音，但更重要的是，防止常见的攻击，如端口扫描和网络映射器。处于此位置的 IDS 将监视 OSI 模型的第 4 层到第 7 层，并将基于签名。这是一个非常有用的做法，因为与其显示通过防火墙进入网络的实际违规行为，不如显示尝试的违规行为，从而减少误报的数量。处于此位置的 IDS 还有助于减少发现成功攻击网络所需的时间。

有时具有更高级功能的 IDS 将与防火墙集成，以便能够拦截进入网络的复杂攻击。高级功能示例将包括路由级别和桥接模式中的多个安全上下文。所有这些反过来又有可能降低成本和运营复杂性。

IDS 放置的另一个选项是在实际网络中。这些将揭示网络内的攻击或可疑活动。忽略网络内的安全可能会导致许多问题，它要么允许用户带来安全风险，要么允许已经侵入网络的攻击者自由漫游。强大的内网安全使得黑客很难操纵和提权。

文献参考