在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击。有人说了,不是有防火墙嘛?
确实,防火墙是防止有害和可疑流量流入系统的首选解决方案,但是防火墙并不能保证 100% 万无一失,随着技术的不断更新,攻击者的攻击手段也在不断进步,他们可以很轻松绕过所有安全措施。
所以,入侵检测显得非常有用了,防火墙管理进入的内容,而入侵检测管理流经系统的内容,一般位于防火墙后面,与防火墙协同工作。
本文将介绍一下什么是入侵检测、入侵检测的工作原理、入侵检测的分类,让我们直接开始。
什么是入侵检测?
入侵检测系统 (IDS) 是一种监控系统,可检测可疑活动并在检测到这些活动时生成警报,它是一种软件应用程序,用于扫描网络或系统中的有害活动或违反政策的行为。任何恶意冒险或违规行为通常会报告给管理员或使用安全信息和事件管理 (SIEM) 系统集中收集。SIEM 系统集成了来自多个来源的输出,并使用警报过滤技术来区分恶意活动和误报。入侵防御系统还监控入站系统的网络数据包,来检查其中涉及的恶意活动,并立即发送警告通知。
入侵检测的分类
入侵检测一般分为四类:
NIDS
NIDS英文全称:network intrusion detection system,中文名称:网络入侵检测系统。这是分析传入网络流量的系统。
HIDS
HIDS英文全称:host intrusion detection system,中文名称:主机入侵检测系统。这是监控重要操作系统文件的系统。
SIDS
SIDS英文全称:signature-based intrusion detection system,中文名称:基于签名的入侵检测系统。监控通过网络的所有数据包,并将它们与攻击签名或已知恶意威胁属性的数据库进行比较,就像防病毒软件一样。
AIDS
AIDS英文全称:anomaly-based intrusion detection system,中文名称:基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型,任何不一致都会被识别为可能的危险,为了建立基线和支持安全策略,这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制,尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁,但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。
总结
入侵检测对于系统安全来说非常重要,本文主要讲解了入侵检测的原理和分类,希望对您有所帮助。