入侵偵測系統分類
入侵偵測系統旨在部署在不同的環境中。 與許多網路安全解決方案一樣,IDS 可以是基於主機的,也可以是基於網路的。
- 基於主機的 IDS (HIDS):基於主機的 IDS 部署在特定端點上,旨在保護其免受內部和外部威脅。這樣的 IDS 可能具有監視進出機器的網路流量、觀察正在運行的進程以及檢查系統日誌的能力。以主機為基礎的 IDS 的可見性限於其主機器,從而減少決策的可用前後關聯,但對主機電腦內部具有深度的可見性。
- 網路為基礎的 IDS (NIDS):基於網路的 IDS 解決方案旨在監控整個受保護的網路。它可以查看流經網路的所有流量,並根據資料包元資料和內容做出決定。這種更廣泛的視角提供了更多背景資訊和偵測廣泛威脅的能力;然而,這些系統缺乏對其保護的端點內部的可見性。
由於可見性層級不同,隔離部署 HIDS 或 NIDS 可為組織的系統提供不完整的保護。 整合多種技術在一個系統中的統一威脅管理解決方案可以提供更全面的安全性。
IDS部署偵測方法
除了部署位置之外,IDS 解決方案在識別潛在入侵的方式上也有所不同:
- 簽名偵測:以簽名為基礎的 IDS 解決方案使用已知威脅的指紋來識別它們。 一旦識別出惡意軟體或其他惡意內容,就會產生簽名並將其新增至 IDS 解決方案用於測試傳入內容的清單中。這使 IDS 能夠實現高威脅偵測率,而且沒有假陽性,因為所有警示都是根據偵測已知惡意內容產生的。 然而,基於簽章的 IDS 僅限於偵測已知威脅,並且對零日脆弱性視而不見。
- 異常偵測:基於異常的 IDS 解決方案建立受保護系統的「正常」行為模型。 將來的所有行為都會與此模型進行比較,並將任何異常標記為潛在威脅並產生警示。 雖然這種方法可以檢測新型或零日威脅,但建立準確的「正常」行為模型的困難意味著這些系統必須平衡假陽性(不正確警報)和假負數(錯過偵測)。
- 混合式偵測:混合式 IDS 同時使用基於簽名和基於異常的偵測。 這使其能夠偵測更多潛在的攻擊,錯誤率較低的潛在攻擊,比分離使用任何一個系統。
IDS 與防火牆
入侵偵測系統和防火牆都是可以部署來保護端點或網路的網路安全解決方案。但是,它們在其目的方面顯著不同。
IDS 是一種被動監控裝置,可偵測潛在威脅並產生警報,使安全營運中心 ( SOC ) 分析師或事件回應人員能夠調查潛在事件並做出回應。IDS 不會為端點或網路提供實際保護。另一方面,防火牆被設計為充當保護系統。它對網路資料包的元資料進行分析,並根據預先定義的規則允許或阻止流量。這會建立某些類型的流量或通訊協定無法通過的邊界。
由於防火牆是一種主動保護裝置,因此它更像是入侵防禦系統(IPS)而不是IDS。IPS 就像 IDS,但主動阻止已識別的威脅,而不僅僅提出警報。 這補充了防火牆的功能,許多次世代防火牆 (NGFW)都整合了 IDS/IPS 功能。這使他們能夠執行預先定義的過濾規則(防火牆)並偵測和回應更複雜的網路威脅(IDS/IPS)。在此處了解有關 IPS 與 IDS 辯論的更多信息。
選取 IDS 解決方案
IDS 是任何組織網路安全部署的重要組成部分。簡單的防火牆為網路安全提供了基礎,但許多進階威脅可以繞過它。IDS 增加了一道額外的防線,使攻擊者更難在不被發現的情況下存取組織的網路。
選擇 IDS 解決方案時,仔細考慮部署場景非常重要。在某些情況下,IDS 可能是工作的最佳選擇,而在其他情況下,IPS 的集成保護可能是更好的選擇。 使用具有內建 IDS/IPS 功能的 NGFW 提供整合式解決方案,簡化威脅偵測和安全管理。
Check Point 在開發 IDS 和 IPS 系統方面擁有多年經驗,這些系統能夠以極低的錯誤率提供高水準的威脅偵測,讓 SOC 分析師和事件回應人員能夠輕鬆識別真正的威脅。要查看我們具有集成 IDS/IPS 功能的 NGFW 在行動中,請要求演示,或者如有任何疑問,只需與我們聯繫。 此外,歡迎您在本次網路研討會中了解如何防止對物聯網網路和裝置的攻擊。
反映意見