入侵检测系统 (IDS) 是一种网络安全工具,用于监控网络流量和设备,以发现已知的恶意活动、可疑活动或违反安全策略的行为。
IDS 可以通过向安全管理员发出已知或潜在威胁的警报,或者向集中式安全工具发送警报,来帮助加速和自动化网络威胁检测。安全信息和事件管理 (SIEM) 系统就是这种安全工具的一个示例,在该系统中,警报可以与其他来源的数据相结合,帮助安全团队识别和应对可能被其他安全措施忽略的网络威胁。
IDS 还可以支持合规工作。某些法规,例如支付卡行业数据安全标准 (PCI-DSS),要求组织实施入侵检测措施。
IDS 无法自行阻止安全威胁。如今,IDS 功能通常与入侵防御系统 (IPS) 集成或合并到其中,该系统可以检测安全威胁并自动采取措施进行预防。
IDS 可以是安装在端点上的软件应用程序,也可以是连接到网络的专用硬件设备。一些 IDS 解决方案可作为云服务提供。无论采用何种形式,IDS 都将使用两种主要威胁检测方法中的一种或两种:基于特征符的检测或基于异常的检测。
基于特征符的检测分析网络数据包中的攻击特征符,即与特定威胁相关的独特特征或行为。特定恶意软件变体中出现的代码序列就是攻击特征符的一个例子。
基于特征符的 IDS 维护一个攻击特征符数据库,并将网络数据包与之进行比对。如果数据包触发了与其中一个特征符的匹配,IDS 就会采取行动。为了确保有效性,必须定期使用新的威胁情报更新特征符数据库,以便应对新网络攻击的出现和现有攻击的演变。尚未进行特征符分析的全新攻击可以躲过基于特征符的 IDS。
基于异常的检测方法使用机器学习来创建并不断完善正常网络活动的基准模型。然后,它将网络活动与模型进行比较,并标记出现的偏差,比如某个进程使用了比通常情况下更多的带宽,或者某个设备打开了通常关闭的端口。
由于基于异常的 IDS 会报告任何异常行为,因此它通常可以阻止全新网络攻击,尽管这些攻击可能躲过了基于特征符的检测。例如,基于异常的 IDS 可能会捕捉到零日漏洞,零日漏洞是指在软件开发人员知道存在软件漏洞或有时间修补漏洞之前,攻击者就已经利用该软件漏洞进行攻击。
但基于异常的 IDS 也可能更容易出现误报。即使是正常的良性活动,例如授权用户首次访问敏感网络资源,也可能触发基于异常的 IDS。
对于那些与恶意活动或可疑活动相关的 IP 地址和域发出来的流量,基于信誉的检测可以阻止这些流量。状态协议分析侧重于协议行为,例如,它可以通过检测短时间内发出许多并发 TCP 连接请求的单个 IP 地址,来识别拒绝服务 (DoS) 攻击。
无论使用什么方法,当 IDS 检测到潜在的威胁或违反策略时,它都会提醒事件响应团队进行调查。IDS 还保留安全事件的记录,无论是在自己的日志中还是通过使用安全信息和事件管理 (SIEM) 工具进行记录(请参阅下面的“IDS 和其他安全解决方案”)。这些事件日志可用于完善 IDS 的标准,例如添加新的攻击特征符或更新网络行为模型。
IDS 根据其在系统中的位置和监控的活动类型进行分类。
网络入侵检测系统 (NIDS) 监控网络上设备的入站和出站流量。NIDS 部署在网络的战略要地。它们通常位于网络外围的防火墙后面,可以标记任何突破防火墙的恶意流量。NIDS 也可能被放置在网络内部以捕获内部威胁或劫持用户帐户的黑客。例如,NIDS 可能放置在分段网络中的每个内部防火墙后面,以监视子网之间的流量流动。
为了避免妨碍合法流量的流动,NIDS 通常被放置在“带外”,这意味着流量不会直接通过它。NIDS 分析网络数据包的副本,而不是数据包本身。这样,合法流量就不必等待分析,但 NIDS 仍然可以捕获并标记恶意流量。
主机入侵检测系统 (HIDS) 安装在特定端点上,例如笔记本电脑、路由器或服务器。HIDS 只监控该设备上的活动,包括进出该设备的流量。HIDS 的工作原理通常是定期拍摄关键操作系统文件的快照,并且随着时间推移将这些快照进行比较。如果 HIDS 发现更改,例如日志文件被编辑或配置被更改,它会向安全团队发出警报。
安全团队通常将基于网络的入侵检测系统和基于主机的入侵检测系统结合起来。NIDS 着眼于整体流量,而 HIDS 可以为高价值资产添加额外的保护。HIDS 还可以帮助捕获来自被感染网络节点的恶意活动,例如从被感染设备传播的勒索软件。
虽然 NIDS 和 HIDS 是最常见的,但安全团队可能会出于特殊目的使用其他 IDS。基于协议的 IDS (PIDS) 会监视服务器和设备之间的连接协议。PIDS 通常放置在 Web 服务器上,用于监视 HTTP 或 HTTPS 连接。基于应用程序协议的 IDS (APIDS) 在应用程序层工作,监视特定于应用程序的协议。APIDS 通常部署在 Web 服务器和 SQL 数据库之间以检测 SQL 注入。
虽然 IDS 解决方案可以检测许多威胁,但黑客已经开发出了绕过这些威胁的方法。IDS 供应商通过更新其解决方案来应对这些策略。不过,这也造成了某种程度上的军备竞赛,黑客和 IDS 均试图领先对方一步。
一些常见的 IDS 规避策略包括:
分布式拒绝服务 (DDoS) 攻击 - 通过使用来自多个来源的明显恶意流量淹没 IDS,使 IDS 脱机。当 IDS 的资源被诱饵威胁淹没时,黑客就会潜入。
欺骗 - 伪造 IP 地址和 DNS 记录,使其流量看起来像是来自值得信赖的来源。
分解片段 - 将恶意软件或其他恶意负载拆分为小数据包,掩盖特征符并避免检测。通过策略性地延迟数据包或乱序发送数据包,黑客可以阻止 IDS 重新组装数据包并发现攻击。
加密 - 如果 IDS 没有相应的解密密钥,则使用加密协议绕过 IDS。
令操作人员疲于应对 - 故意生成大量 IDS 警报,以分散事件响应团队对其真正攻击活动的注意力。
IDS 不是独立的工具。它们被设计为整体网络安全系统的一部分,并且通常与以下一个或多个安全解决方案紧密集成。
IDS 警报通常会传输到组织的 SIEM,在 SIEM 中,它们可以与来自其他安全工具的警报和信息合并到单个的集中式仪表板中。将 IDS 与 SIEM 集成,使安全团队能够利用来自其他工具的威胁情报和数据来丰富 IDS 警报、过滤掉错误警报并确定事件的优先级以进行补救。
如上所述,IPS 会像 IDS 一样监控可疑活动的网络流量,并通过自动终止连接或触发其他安全工具来实时拦截威胁。由于 IPS 旨在阻止网络攻击,因此它们通常内联放置,这意味着所有流量都必须经过 IPS,然后才能到达网络的其余部分。
一些组织将 IDS 和 IPS 作为单独的解决方案实施。更常见的是,IDS 和 IPS 结合在一个入侵检测和防御系统 (IDPS) 中,该系统可检测入侵、记录入侵、向安全团队发出警报并自动响应。
IDS 和防火墙是互补的。防火墙面向网络外部并充当屏障,使用预定义的规则集允许或禁止流量。IDS 通常安装在防火墙附近,帮助捕捉漏网之鱼。有些防火墙,特别是下一代防火墙,内置了 IDS 和 IPS 功能。
及时发现潜伏在网络中的威胁,以免为时已晚。IBM Security® QRadar® Network Detection and Response (NDR) 通过实时分析网络活动来帮助您的安全团队。它既增加可见性的深度和广度,又提供高质量的数据和分析,从而推动切实可行的洞察力和响应。
通过 IBM Security 的事件响应定额订阅,获得您的组织所需的安全保护,以提高漏洞防范能力。当您与我们的 IR 顾问精英团队合作时,您就有值得信赖的合作伙伴随时待命,帮助您缩短响应事件所需的时间,最大限度地减少其影响,并帮助您在怀疑发生网络安全事件之前更快地恢复。
防止勒索软件中断业务连续性,并在攻击发生时快速恢复 — 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度地减少勒索软件攻击的影响。