определение

Обнаружение вторжений собирает и анализирует информацию из нескольких ключевых узлов сетевой системы, чтобы отслеживать наличие нарушений политик безопасности или вторжений в сеть.

Системы обнаружения вторжений обычно включают в себя3необходимые функциональные компоненты：Источник информации、Механизм анализаиотзывчивый компонент。

Принцип работы

1. Сбор информации

Сбор информации включает в себя сбор состояния и поведения систем, сетей, данных и действий пользователей. Информация, используемая при обнаружении вторжений, обычно поступает из трех аспектов: файлы системных и сетевых журналов, аномальные изменения каталогов и файлов и аномальное выполнение программ.

2. Анализ сигналов

собраны связанные системы、сеть、数据及用户活动из状态и行为等信息,переданосопоставление с образцом、Статистический анализианализ целостностиЭти три метода используются для анализа。

Первые два используются для обнаружения вторжений в реальном времени, а анализ целостности используется для анализа после события.

3. Тревога и реагирование

Создайте соответствующие сигналы тревоги и ответные меры в зависимости от характера и типа вторжения.

Основные функции

Он может предоставлять множество функций, таких как аудит безопасности, мониторинг, выявление атак и контратак, а также выполнять мониторинг внутренних атак, внешних атак и неправильных операций в режиме реального времени, играя незаменимую роль в технологии сетевой безопасности.

1. Мониторинг в реальном времени：Мониторинг в режиме реального времени、анализироватьсеть Все пакеты данных в,Обнаруживайте и обрабатывайте захваченные пакеты данных в режиме реального времени;
2. аудит безопасности：записано в системесетьпрогресс события Статистический анализ,Обнаружены аномалии,Получить статус безопасности системы,Найдите нужные вам доказательства
3. упреждающий ответ：Активно отключать соединение или связь с брандмауэром,Вызов других программ для обработки.

Основные типы

1. Хостовая система обнаружения вторжений(HIDS)：Хостовая система обнаружения вторжений — это архитектура системы раннего обнаружения вторжений.,Обычно на основе программного обеспечения,Устанавливайте непосредственно на хост, который нуждается в защите. Объектами обнаружения в основном являются хост-системы и локальные пользователи системы.,Принцип обнаружения заключается в обнаружении подозрительных событий на основе данных аудита хоста и системных журналов.

Основными преимуществами этого метода обнаружения являются:

• Более подробная информация
• Частота ложных тревог должна быть низкой.
• Гибкое развертывание.

Основными недостатками этого метода являются:

• Снизит производительность системы приложений;
• Полагается на исходные возможности сервера по ведению журнала и мониторингу;
• Стоимость выше;
• Сеть не может контролироваться;
• Необходимо установить несколько систем обнаружения для разных систем.

1. Сетевая система обнаружения вторжений(NIDS)：на основесеть Метод обнаружения вторжений в настоящее время является относительно распространенным методом мониторинга.,Этот тип системы обнаружения требует специального оборудования обнаружения. Оборудование обнаружения размещается в более важном сегменте сети.,Постоянно отслеживать различные пакеты данных в сегменте сети.,Вместо того, чтобы просто контролировать один хост. Он выполняет анализ характеристик каждого пакета данных или подозрительного пакета данных в отслеживаемой сети.,Если пакет соответствует определенным правилам, встроенным в продукт,Система обнаружения вторжения подаст сигнал тревоги,Или даже напрямую отключите сетевое соединение. в настоящий момент,大部分入侵检测产品是на основесетьиз。

Основными преимуществами этой технологии обнаружения являются:

• Способен обнаруживать атаки из сети и несанкционированный доступ без авторизации.
• Нет необходимости менять конфигурацию хостов, таких как серверы, и это не повлияет на производительность хоста;
• Низкий риск;
• Конфигурация проста.

Его основными недостатками являются:

• Высокая стоимость и ограниченная дальность обнаружения;
• Большой объем вычислений влияет на производительность системы;
• Большой объем потока аналитических данных влияет на производительность системы;
• Трудно обрабатывать зашифрованные сеансовые процессы;
• Когда скорость сетевого потока высока, многие пакеты могут быть потеряны, что может легко позволить злоумышленникам воспользоваться этим;
• Невозможно обнаружить зашифрованные пакеты; невозможно обнаружить прямое вторжение на хост.

Активный и пассивный

Система обнаружения вторжений — это устройство сетевой безопасности, которое отслеживает сетевые передачи в режиме реального времени и выдает предупреждения или принимает превентивные меры реагирования при обнаружении подозрительных передач. Подавляющее большинство систем IDS являются пассивными. То есть они часто не могут заранее предупредить о фактической атаке.

Использование

В качестве второй линии защиты за брандмауэром он подходит для развертывания в обход доступа на сетевых выходах с важными бизнес-системами или внутренней сетевой безопасностью и конфиденциальностью.

ограничение

1. Высокий уровень ложных тревог：В основном проявляется в том, что доброкачественный трафик принимается за злокачественный и вызывает ложные срабатывания.。Есть некоторыеIDS产品会对用户不关心事件из进行误报。
2. Плохая адаптируемость продукта：传统изIDSПродукты были разработаны без особых соображенийсеть环境下из需求,Плохая адаптивность. Продукты обнаружения вторжений должны иметь возможность адаптироваться к развитию современных сетевых технологий и оборудования и вносить динамические корректировки.,адаптироваться к потребностям различных сред.
3. Плохие возможности управления большой сетью：первый,Во-вторых, гарантировать, что новая архитектура продукта может поддерживать сотни датчиков IDS;,Он должен иметь возможность обрабатывать тревожные события, генерируемые датчиками, и, наконец, он также должен решать проблему создания базы данных сигнатур атак.,Проблемы с настройкой и обновлением.
4. Не хватает защитных функций.：большинствоIDSУ продукта отсутствуют функции активной защиты.。
5. Плохая производительность обработки：目前из百兆、По-прежнему существует большой разрыв между показателями производительности продуктов Gigabit IDS и реальными требованиями.