入侵检测的概念已经存在多年,只要恶意行为者试图破坏网络并窃取敏感数据,就会继续需要它。技术和“流行语”的新进步有时会使入侵检测听起来非常复杂,使您不知道从哪里开始以及如何实施适当的入侵检测框架。虽然入侵检测背后的方法很广泛,但概念保持不变。入侵检测本质上如下:一种检测网络或任何端点/系统上是否发生任何未经授权的活动的方法。
我们使用入侵检测来识别在我们的网络或端点上发生的任何不需要的活动,以便在威胁行为者对我们的网络或业务造成损害之前抓住它们。
入侵检测系统的类型
让我们从入侵检测的类型开始。如果您曾经在 Google 上搜索过“入侵检测”,那么您可能已经被有关网络安全和检测技术的供应商、学术论文和文章淹没了。虽然有这么多关于该主题的资源很好,但有时很难找到一些基础知识。
归结起来,您可以将入侵检测分为两大类:基于签名和无签名(基于异常)的检测。有多种形式的基于签名和异常检测;但是,为了本文的目的,我们将只涉及基础知识。
基于签名的检测涉及检测已知的不良漏洞和攻击。您必须有一个已知威胁的规则列表(也称为“签名”)才能检测到此功能。基于签名的检测可能是最常见和最古老的检测类型。虽然这可能涵盖了基础知识,但实现某种形式的异常检测也很好。这是系统检测到以前未发现的威胁的地方。这种类型的检测更复杂,通常需要某种形式的机器学习算法来完成。
入侵检测与入侵预防
现在我们已经讨论了一些入侵检测的类型,让我们讨论一些常见的误解。在您开始网络安全之旅时,您会交替听到 IDS(入侵检测系统)和 IPS(入侵防御系统)这两个术语。
这些术语和技术几乎在所有方面都相似,除了一个。IDS 只检测和警告威胁;它不会阻止任何东西。另一方面,一旦识别出 IPS 将尝试阻止流量或威胁。许多供应商的产品在其产品中同时包含 IDS 和 IPS 功能。
我们将在进一步的文章中从技术角度深入探讨可用的内容并放置这些工具。现在,要知道,如果您使用的是 IDS,它只会检测活动,不会采取任何行动。
IDS 还是 IPS?决定,决定。最初,建议您从 IDS 开始。使用 IDS,您可以了解有关您的网络(或主机,如果您使用基于主机的 IDS)的更多信息。如果您直接进入 IPS 并开始阻止某些事情,您最终可能会阻止对业务至关重要的某些事情。然后,您可能会接到来自权力的愤怒电话,询问为什么员工无法访问特定资源。即使您购买了具有 IDS 和 IPS 功能的产品,大多数组织也会在 IDS 模式下运行 IPS 几周,以确保它们不会阻止合法流量。
免费入侵检测软件的种类
您可以使用许多不同的开源工具进行入侵检测。我们将在本文中仅介绍一些网络入侵检测工具 ,但我们将在接下来的文章中更深入地介绍哪些工具做什么、如何安装/使用它们以及每个工具的用例。
- Snort:可能是最常见的网络 IDS 之一,也是许多供应商构建的基础。
- Suricata:另一种流行的开源网络检测工具。它同时具有 IDS 和 IPS 功能。
- Zeek:一个开源的网络监控工具。
入侵检测入门
希望本文为您提供了入侵检测背后的一些基本知识,以及为什么它对网络和端点安全至关重要。为了在为时已晚之前正确保护您的网络免受恶意黑客的攻击并发现入侵者,某种形式的入侵检测是必要的。
只要系统得到适当的维护和调整,实施入侵检测系统或入侵防御系统就可以帮助您改善整体安全状况。网络安全工程师或安全分析师需要参与系统的设置、配置和维护,以有效部署这些工具并从中获得价值。
文章链接: https://www.mfisp.com/4346.html
文章标题:入侵检测系统的类型与入侵预防
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
