什麼是 IDS？

Internet 上充斥著大量惡意軟件。值得慶幸的是，有許多可用的保護措施。其中一些產品（例如防病毒產品）設計為在每台設備上運行，非常適合擁有少量設備的個人。防病毒軟件在大型企業網絡中也很有用。然而，其中的一個問題僅僅是運行防病毒軟件的設備數量僅在機器上報告。企業網絡確實希望將反病毒事件的報告集中起來。家庭用戶的優勢是企業網絡的弱點。

超越防病毒

為了更進一步，需要採用不同的方法。這種方法稱為 IDS 或入侵檢測系統。IDS 有許多不同的變體，其中許多可以相互補充。例如，IDS 可以負責監控設備或網絡流量。設備監控 IDS 稱為 HIDS 或主機（基於）入侵檢測系統。網絡監控 IDS 稱為 NIDS 或網絡入侵檢測系統。HIDS 類似於防病毒套件，監控設備並向中央系統報告。

NIDS 通常放置在網絡的高流量區域。通常這將在核心網絡/主幹路由器上或在網絡邊界及其與 Internet 的連接上。NIDS 可以配置為內聯或分接配置。內聯 NIDS 可以像 IPS 一樣根據檢測主動過濾流量（我們稍後會回到這個方面），但是，它充當單點故障。Tap 配置基本上將所有網絡流量鏡像到 NIDS。然後它可以執行其監視功能，而不會充當單點故障。

監測方法

IDS 通常使用一系列檢測方法。經典方法正是防病毒產品中使用的方法；基於簽名的檢測。在此過程中，IDS 將觀察到的軟件或網絡流量與大量已知惡意軟件和惡意網絡流量的簽名進行比較。這是對抗已知威脅的一種眾所周知且通常相當有效的方法。然而，基於簽名的監控並不是靈丹妙藥。簽名的問題是您需要先檢測惡意軟件，然後將其簽名添加到比較列表中。這使得它在檢測新攻擊時毫無用處，並且容易受到現有技術變化的影響。

IDS 用於識別的主要替代方法是異常行為。基於異常的檢測以標準使用為基準，然後報告異常活動。這可能是一個強大的工具。它甚至可以突出潛在流氓內部威脅的風險。這樣做的主要問題是它需要根據每個系統的基線行為進行調整，這意味著它必須接受培訓。這意味著如果在訓練 IDS 時系統已經受到損害，它不會將惡意活動視為異常。

一個發展中的領域是使用人工神經網絡來執行基於異常的檢測過程。該領域顯示出前景，但仍然相當新，並且可能面臨與基於異常檢測的更經典版本類似的挑戰。

中心化：詛咒還是祝福？

IDS 的主要特徵之一是集中化。它允許網絡安全團隊收集實時網絡和設備狀態更新。這包括很多信息，其中大部分是“一切都很好”。為了盡量減少誤報的可能性，即錯過惡意活動，大多數 IDS 系統都配置為非常“緊張”。即使是最輕微的異常跡像也會被報告。通常，此報告必須由人工進行分類。如果有很多誤報，負責的團隊很快就會不堪重負並面臨倦怠。為了避免這種情況，可以引入過濾器來降低 IDS 的靈敏度，但這會增加漏報的風險。此外，

集中系統通常還涉及添加複雜的 SIEM 系統。SIEM 代表安全信息和事件管理系統。它通常涉及網絡周圍的一系列收集代理，從附近的設備收集報告。然後，這些收集代理將報告反饋給中央管理系統。SIEM 的引入確實增加了網絡威脅面。安全系統通常相當安全，但這並不能保證，它們本身可能容易受到惡意軟件的感染，然後阻止自己被報告。然而，這對任何安全系統來說始終是一個風險。

使用 IPS 自動響應

IDS 基本上是一個警告系統。它會查找惡意活動，然後向監控團隊發出警報。這意味著一切都由人來檢查，但這有延遲的風險，尤其是在活動突然爆發的情況下。例如。想像一下，如果勒索軟件蠕蟲設法進入網絡。人工審核人員可能需要一些時間才能將 IDS 警報識別為合法的，此時蠕蟲很可能已經進一步傳播。

自動處理高確定性警報的 IDS 稱為 IPS 或 IDPS，其中“P”代表“保護”。IPS 採取自動操作以盡量降低風險。當然，由於 IDS 的高誤報率，您不希望 IPS 對每個警報都採取行動，而只對被認為具有高確定性的警報採取行動。

在 HIDS 上，IPS 充當防病毒軟件隔離功能。它會自動鎖定可疑的惡意軟件並提醒安全團隊分析事件。在 NIDS 上，IPS 必須是內聯的。這意味著所有流量都需要通過 IPS，使其成為單點故障。然而，相反，它可以主動刪除或丟棄可疑的網絡流量，並提醒安全團隊審查事件。

IPS 相對於純 IDS 的主要優勢在於它可以比僅通過人工審查更快地自動響應許多威脅。這允許它在發生數據洩露事件之類的事情時防止它們發生，而不是僅僅在事後識別它已經發生。

限制

IDS 有幾個限制。基於簽名的檢測功能依賴於最新的簽名，這使得它在捕獲潛在更危險的新型惡意軟件方面效率較低。誤報率通常非常高，合法問題之間可能會有很長一段時間。這可能會導致安全團隊對警報變得麻木和厭煩。這種態度增加了他們將罕見的真陽性錯誤歸類為假陽性的風險。

網絡流量分析工具通常使用標準庫來分析網絡流量。如果流量是惡意的並利用庫中的缺陷，則可能會感染 IDS 系統本身。內聯 NIDS 充當單點故障。他們需要非常快速地分析大量流量，如果他們跟不上，他們必須要么放棄它，導致性能/穩定性問題，要么允許它通過，可能會錯過惡意活動。

訓練基於異常的系統首先要求網絡是安全的。如果已經有惡意軟件在網絡上通信，這將正常包含在基線中並被忽略。此外，惡意行為者可以慢慢地擴展基線，他們只是花時間推動邊界，擴大邊界而不是打破邊界。最後，IDS 無法自行分析加密流量。為了能夠做到這一點，企業需要使用企業根證書對流量進行中間人 (MitM)。這在過去帶來了自身的風險。由於未加密的現代網絡流量百分比，這可能會在一定程度上限制 NIDS 的實用性。值得注意的是，即使不解密流量，

結論

IDS 是一種入侵檢測系統。它基本上是一種放大版的防病毒產品，專為在企業網絡中使用而設計，並通過 SIEM 進行集中報告。它既可以在單個設備上運行，也可以分別以稱為 HIDS 和 NIDS 的變體監視一般網絡流量。為了避免假陰性，IDS 會遭受非常高的誤報率。通常，報告由人工安全團隊進行分類。當檢測置信度高時，某些操作可能會自動進行，然後標記以供審查。這樣的系統被稱為 IPS 或 IDPS。