1 网络安全简介

如果希望保护服务器上的资产。但是，即使出现问题，也不想减慢流量。入侵检测系统 （IDS） 可能是一个解决方案。
入侵检测系统 （IDS） 是一个强大的工具，可以帮助企业检测和防止对其网络的未经授权的访问。通过分析网络流量模式，IDS 可以识别任何可疑活动并向系统管理员发出警报。IDS 可以成为任何组织安全基础设施的宝贵补充，提供洞察力并提高网络性能。

• 网络安全入侵？

了解入侵 入侵是指攻击者未经授权访问设备、网络或系统。网络犯罪使用先进的技术潜入组织而不被发现。常见方法包括：

地址欺骗：通过使用虚假、配置错误或不安全的代理服务器来隐藏攻击源，从而难以识别攻击者。
碎片化：将数据分成小块以逃过检测系统。
Pattern Evasion：更改攻击方法以避免被查找特定模式的 IDS 系统检测到。
协同攻击：使用多个攻击者或端口扫描网络，使 IDS 感到困惑，难以看到发生了什么。

• 入侵检测系统规避技术

分片：将数据包分成更小的数据包（称为分片），该过程称为分片。这使得无法识别入侵，因为不可能有恶意软件签名。

数据包编码：使用 Base64 或十六进制等方法对数据包进行编码可以隐藏基于签名的 IDS 中的恶意内容。

流量混淆：通过使消息的解释更加复杂，可以利用混淆来隐藏攻击并避免被发现。

加密：加密提供了多种安全功能，例如数据完整性、机密性和数据隐私。

但是恶意软件开发人员同样使用安全功能来隐藏攻击和避免被发现。

2 有5 种主要类型的 IDS。

网络： 在网络上选择一个点，并从该点开始检查所有设备上的所有流量。
网络入侵检测系统 （NIDS）：网络入侵检测系统 （NIDS） 设置在网络内的计划点，以检查来自网络上所有设备流量。
它对整个子网上传递的流量执行观察，并将子网上传递的流量与已知攻击的集合进行匹配。
一旦发现攻击或观察到异常行为，就可以向管理员发送警报。
NIDS 的一个示例是将其安装在防火墙所在的子网上，以查看是否有人试图破解防火墙。

2.1 HIDS： 检查进出网络内独立设备的流量，并忽略所有其他设备。

主机入侵检测系统 （HIDS）：主机入侵检测系统 （HIDS） 在网络上的独立主机或设备上运行。
HIDS 仅监控来自设备的传入和传出数据包，并在检测到可疑或恶意活动时提醒管理员。
它会拍摄现有系统文件的快照，并将其与之前的快照进行比较。
如果编辑或删除了分析系统文件，则会向管理员发送警报以进行调查。
HIDS 使用示例可以在任务关键型计算机上看到，这些计算机预计不会更改其布局。

2.2 PIDS： 在设备和服务器之间放置保护，并监控它们之间的所有流量。

基于协议的入侵检测系统 （PIDS）：

基于协议的入侵检测系统 （PIDS） 包括一个系统或代理，该系统或代理始终驻留在服务器的前端，控制和解释用户/设备和服务器之间的协议。

它试图通过定期监控 HTTPS 协议流并接受相关的 HTTP 协议来保护 Web 服务器。

由于 HTTPS 是未加密的，并且在立即进入其 Web 表示层之前，该系统需要驻留在此接口中，才能使用 HTTPS。

2.3 APIDS： 将保护置于一组服务器中，并观察它们如何相互通信。

基于应用程序协议的入侵检测系统 （APIDS）：基于应用程序协议的入侵检测系统 （APIDS） 是通常驻留在一组服务器内的系统或代理。
它通过监控和解释应用程序特定协议上的通信来识别入侵。
例如，这将在中间件与 Web 服务器中的数据库进行交易时显式监视中间件的 SQL 协议。

2.4 混合检查系统： 将上面列出的一些方法组合成一个专门设计的系统。

混合入侵检测系统：混合入侵检测系统是由两种或多种入侵检测系统方法的组合而成。
在混合入侵检测系统中，主机代理或系统数据与网络信息相结合，以开发网络系统的完整视图。
与其他入侵检测系统相比，混合入侵检测系统更有效。Prelude 是 Hybrid IDS 的一个示例。

3 IDS 的位置

放置 IDS 的最佳和常见位置是防火墙后面。尽管这个位置因网络而异。

“防火墙后”放置允许 IDS 对传入网络流量具有高度可见性，并且不会接收用户和网络之间的流量。
网络点的边缘为网络提供了连接到 Extranet 的可能性。

如果 IDS 位于网络防火墙之外，则用于抵御来自 Internet 的噪音或抵御端口扫描和网络映射器等攻击。
处于此位置的 IDS 将监控 OSI 模型的第 4 层到第 7 层，并将使用基于签名的检测方法。最好显示已发现的违规行为数量，而不是通过防火墙的实际违规行为，因为它可以减少误报的数量。

此外，发现针对网络的成功攻击所需的时间也更短。
与防火墙相结合的高级 IDS 可用于拦截进入网络的复杂攻击。高级 IDS 的功能包括路由级别和桥接模式中的多个安全上下文。所有这些都有可能降低成本和运营复杂性。

IDS 放置的另一种选择是在网络内。此选项显示网络内的攻击或可疑活动。不承认网络内部的安全性是有害的，因为它可能会让用户带来安全风险，或者允许闯入系统的攻击者自由漫游。

4 分析优势

早期威胁检测：IDS 可及早识别潜在威胁，从而更快地做出响应以防止损坏。
增强的安全性： 它增加了一层额外的安全保护，补充其他网络安全措施以提供全面保护。
网络监控：持续监控网络流量是否存在异常活动，确保持续警惕。
详细警报：提供有关可疑活动的详细警报和日志，帮助 IT 团队进行调查和有效响应。

• 缺点

误报：IDS 可能会生成误报，对无害活动发出警报并引起不必要的担忧。
资源密集型：它会使用大量系统资源，可能会降低网络性能。
需要维护：需要定期更新和调整以保持 IDS 有效，这可能非常耗时。
无法阻止攻击：IDS 会检测攻击并发出警报，但不会阻止攻击，因此仍需要采取其他措施。
管理复杂：设置和管理 IDS 可能很复杂，并且可能需要专业知识。

5 结论

无论选择哪种类型的 IDS，底层功能都是相似的。将使用被动技术来检测入侵。找到某些内容后，将收到有关该内容的提醒。

IDS系统可能会检测到以下问题：

模式。 该技术会标记异常请求、非常大的数据包大小或当时对您的系统来说似乎异常的任何内容。
先前的攻击。 该技术会标记您的服务器上用于对另一台服务器进行已知且成功攻击的任何内容。
机器学习。 系统会收集有关您服务器上平均每天发生的所有事情的信息，这些数据有助于优化现有的保护措施。

像这样的系统有很多优点。您可以非常快速地设置一个，攻击者很难发现您的保护措施。但是，当您收到攻击正在进行的通知时，您可能已经失去了用于保护资产的宝贵时间。

如果希望在发现攻击后立即阻止攻击，即使这意味着出于安全考虑而关闭合法流量。入侵防护系统 （IPS） 可能正好适合您。