入侵检测系统

2017 年周界入侵检测系统市场价值 95.2 亿美元，预计到 2023 年将达到 217.5 亿美元，预测期内的复合年增长率为 15.2%。

资料来源： marketsandmarkets

入侵检测系统为安全专业人员提供什么价值？

入侵检测系统监控网络流量，以检测未经授权的实体何时进行入侵。 IDS 通过提供以下部分或全部功能来做到这一点：

- 监控其他安全控制所需的路由器、防火墙、密钥管理服务器和文件的操作，以检测、防止或从网络攻击中恢复。

- 为管理员提供一种方法来调整、组织和理解相关的操作系统审计跟踪和其他通常难以跟踪或解析的日志

- 提供用户友好的界面，以便非专业工作人员可以协助管理系统安全

- 包括一个广泛的攻击特征数据库，可以匹配来自系统的信息

- 当 IDS 检测到数据文件已被更改时识别和报告

- 生成警报并通知安全已被破坏

- 通过阻止入侵者或阻止服务器来应对入侵者

入侵检测系统有什么好处？

它们可以为组织提供许多好处，首先是识别安全事件的能力。 IDS 可用于帮助分析攻击的数量和类型，组织可以使用此信息来更改其安全系统或实施更有效的控制。它还可以帮助公司识别其网络设备配置的错误或问题。然后可以使用这些指标来评估未来的风险。

此外，它还可以帮助企业实现法规遵从性，还可以提高安全响应。由于 IDS 传感器可以检测网络主机和设备，它们还可以用于检查网络数据包中的数据，以及识别正在使用的服务的操作系统。

哪些 IDS 类型最常见？

IDS 类型的范围从单台计算机到大型网络。

最常见的分类是：

- 网络入侵检测系统（NIDS）：它是一个监控这些操作系统文件的系统。

- 基于主机的入侵检测系统 (HIDS)：它是一种分析传入网络流量的系统。

是否有任何其他可能通过另一种方法对 IDS 进行分类？

是的，通过检测方法。最著名的变种是：

- 基于签名的检测：识别不良模式，例如恶意软件。

- 基于异常的检测：检测与“良好”流量模型的偏差，这通常依赖于机器学习。

还有一些 IDS 产品能够响应检测到的入侵。具有响应能力的系统通常被称为入侵防御系统。

入侵检测系统在网络上的作用是什么？

入侵检测是一种被动技术；它检测并确认问题，但会中断网络流量。

我们可以在这些系统上找到哪些限制？

- 噪音会严重限制入侵检测系统的有效性。由软件错误、损坏的 DNS 数据和逃逸的本地数据包生成的坏数据包会造成非常高的误报率。

- 真实攻击的数量通常远远低于误报的数量，以至于真实的攻击经常被遗漏和忽略。

- 需要一个不断变化的签名库来减轻威胁。过时的签名数据库会使 IDS 容易受到新策略的攻击。

- 对于基于签名的 IDS，在发现新威胁和将其签名应用于 IDS 之间会有延迟。在此延迟时间内，IDS 将无法识别威胁。

- 它无法弥补弱识别和认证机制或网络协议中的弱点。当攻击者由于身份验证机制较弱而获得访问权限时，IDS 无法阻止对手的任何不当行为。

- 大多数入侵检测设备不处理加密数据包。因此，加密的数据包可以允许对网络的入侵，直到发生更严重的网络入侵才被发现。

- 入侵检测软件根据与发送到网络的 IP 数据包相关的网络地址提供信息。但是，IP 数据包中包含的地址可能是伪造的或加扰的。

- 由于 NIDS 系统的性质，以及它们需要在捕获协议时对其进行分析，NIDS 系统可能容易受到网络主机可能易受攻击的相同的基于协议的攻击。无效数据和 TCP/IP 堆栈攻击可能会导致 NIDS 崩溃。