• 入侵检测系统(IDS)是一种技术解决方案,用于监控网络中入站和出站流量,以发现可疑活动和策略违规行为。
  • IDS 是网络系统的第一道防线,能够主动检测异常行为,并缩短平均检测时间。

IDS 是组织网络安全架构的重要组成部分,因为它能识别并向安全运营中心(SOC)发出威胁警报,而这些威胁是传统防火墙无法捕捉到的。尽管所有入侵检测系统都实现相同的目的,但它们的工作方式略有不同。总共有五种 IDS 类型。

什么是入侵检测系统

一种 入侵检测系统 (IDS)是一种技术解决方案,用于监控网络中入站和出站流量,以发现可疑活动和策略违规行为。顾名思义,IDS 的主要目的是检测和防止 IT 基础设施中的入侵行为,并向相关人员发出警报。这些解决方案可以是硬件设备或软件应用程序。

通常,IDS 会是更大的安全信息和事件管理(SIEM)系统的一部分。当作为整体系统的一部分实施时,IDS 就是您的第一道防线。它主动检测异常行为,缩短平均检测时间。最终,您越早发现试图入侵或已成功的入侵,就能越早采取行动保护您的网络。

另请阅读:什么是主机入侵防御系统,它是如何工作的?

另请阅读:主机入侵防护:保护单个主机的关键方法

入侵检测系统的不同类型

1. 网络入侵检测系统

网络入侵检测系统(NIDS)是一种通过一个或多个接触点监控整个网络的解决方案。要使用 NIDS,通常需要在网络基础设施中的某台硬件上安装它。安装后,NIDS 将采样流经它的每个数据包(数据集合)。

典型的 NIDS 可以检查所有流经它的流量。它们能够实时分析所有入站和出站流量并检测事件,从而快速响应。它们对入侵者更具挑战性,可以战略性地部署在关键区域。

2. 网络节点入侵检测系统

网络节点入侵检测系统(NNIDS)在技术上是 NIDS 的变体,但因为它们的工作方式不同,我们将其视为一种不同类型的 ID。

NNIDS 也分析流经它的数据包。然而,它不依赖中央设备监控所有网络流量,而是监控连接到网络的每个节点。由于每个 NNIDS 代理分析的流量较少,系统可以更快地工作。但 NNIDS 需要针对您想监控的每台服务器部署多个代理。

3. 主机入侵检测系统

主机入侵检测系统(HIDS)进一步增强了 NNIDS 的设备独立性。通过 HIDS,您可以在网络上连接的每台设备上安装 IDS 软件。

HIDS 通过对其指定的设备拍摄“快照”来工作。通过将近期快照与过去的记录进行比较,HIDS 可以识别可能表明入侵的差异。它们可以安装在计算机或服务器上,以精确定位受影响的设备。然而,HIDS 解决方案可能受“事后”监控的影响。

4. 基于协议的入侵检测系统

基于协议的入侵检测系统(PIDS)是一种专用入侵检测系统,用于监控使用的协议。在实际应用中,该系统通常分析设备与服务器之间的 HTTP 或 HTTPS 协议流。

5. 基于应用协议的入侵检测系统

基于应用协议的入侵检测系统(APIDS)是一种用于软件应用程序安全的入侵检测系统。APIDS 通常与基于主机的入侵检测系统(HIDS)关联,监控应用程序和服务器之间的通信。APIDS 通常安装在服务器群组上。