对于每个重大违规行为，数百次攻击会摧毁小型企业及其客户。仅靠防火墙和反恶意软件程序不足以保护整个网络免受攻击。完善的安全策略还应包括入侵检测系统(IDS)，一旦可疑流量通过防火墙并进入网络，该系统就会查明可疑流量。本文介绍了入侵检测系统以及IDS在网络安全中的作用。继续阅读以了解这些系统是如何工作的，以及为什么它们对于防止代价高昂的停机和数据泄露至关重要。

什么是入侵检测系统(IDS)？

入侵检测系统(IDS)是一种应用程序或设备，用于监控入站和出站网络流量，持续分析活动以发现模式变化，并在检测到异常行为时向管理员发出警报。然后管理员查看警报并采取措施消除威胁。

例如，IDS可能会检查网络流量携带的数据，以查看它是否包含已知的恶意软件或其他恶意内容。如果它检测到此类威胁，则会向您的安全团队发送警报，以便他们进行调查和补救。一旦您的团队收到警报，他们必须迅速采取行动以防止攻击接管系统。

为确保IDS不会降低网络性能，这些解决方案通常使用交换端口分析器(SPAN)或测试访问端口(TAP)来分析内联数据流量的副本。一旦威胁进入网络，它们就不会像入侵防御系统那样阻止威胁。

无论您是设置物理设备还是IDS程序，系统都可以：

来自入侵检测系统的信息还可以帮助安全团队：

除了网络安全方面的好处，IDS还有助于实现合规性。更高的网络可见性和更好的日志记录确保网络运营符合所有相关法规。

仅靠防火墙并不能针对现代网络威胁提供足够的保护。恶意软件和其他恶意内容通常使用合法类型的流量传送，例如电子邮件或网络流量。IDS能够检查这些通信的内容并识别它们可能包含的任何恶意软件。

IDS的主要目标是在黑客完成其目标之前检测异常。一旦系统检测到威胁，IDS就会通知IT人员并提供以下有关危险的信息：

入侵检测系统的次要目标是观察入侵者并识别：

公司的?安全运营中心(SOC)?和分析师可以使用这些信息来改进网络安全策略。

异常检测和报告是入侵检测系统的两个主要功能。某些检测系统可以响应恶意活动，例如自动阻止IP地址或关闭对敏感文件的访问。具有这些响应能力的系统是入侵防御系统(IPS)。

IDS监视进出网络上所有设备的流量。该系统在?防火墙后面运行，?作为恶意数据包的二级过滤器，主要寻找两个可疑线索：

入侵检测系统通常依靠?模式关联?来识别威胁。这种方法允许IDS将网络数据包与具有已知网络攻击特征的数据库进行比较。IDS可以通过模式关联标记的最常见攻击是：

一旦IDS发现异常，系统就会标记该问题并发出警报。警报的范围可以从审核日志中的简单注释到给IT管理员的紧急消息。然后，团队对问题进行故障排除并确定问题的根本原因。

根据安全团队设置它们的位置，有两种主要类型的IDS：

入侵检测系统检测可疑活动的方式还允许我们定义两个类别：

根据您的用例和预算，您可以部署NIDS或HIDS或依赖这两种主要IDS类型。这同样适用于检测模型，因为许多团队建立了一个具有SIDS和AIDS能力的混合系统。

在确定策略之前，您需要了解IDS类型之间的差异以及它们如何相互补充。让我们看看四种主要IDS类型中的每一种，它们的优缺点，以及何时使用它们。

基于网络的入侵检测系统监控和分析进出所有网络设备的流量。NIDS从网络内的一个战略点（或多个点，如果您部署多个检测系统）运行，通常在数据阻塞点。

这种类型的IDS安全依赖于常规?快照，即捕获整个系统状态的文件集。当系统拍摄快照时，IDS会将其与之前的状态进行比较，并检查丢失或更改的文件或设置。

基于签名的入侵检测系统(SIDS)

SIDS监视通过网络移动的数据包，并将它们与已知攻击特征或属性的数据库进行比较。这种常见的IDS安全类型会寻找特定的模式，例如字节或指令序列。

基于异常的入侵检测系统(AIDS)

AIDS监控正在进行的网络流量并根据基线分析模式。它超越了攻击签名模型并检测恶意行为模式而不是特定的数据模式。

这种类型的IDS使用机器学习在带宽、协议、端口和设备使用方面建立预期系统行为（信任模型）的基线。然后，系统可以将任何新行为与经过验证的信任模型进行比较，并发现基于签名的IDS无法识别的未知攻击。

例如，销售部门的某个人第一次尝试访问网站的后端可能不是SIDS的危险信号。对于基于异常的设置，第一次尝试访问敏感系统的人是需要调查的原因。

部署IDS的明显优势在于对网络活动的关键洞察力。及早发现异常行为有助于将网络攻击的风险降至最低，并确保整体网络健康状况更好。

使用IDS保护网络是提高安全性的有效策略。当与强大的反恶意软件程序和防火墙配合使用时，IDS可确保团队：

IDS（甚至IPS）也变得更便宜且更易于管理，因此即使是预算较少且IT人员较少的SMB也可以依赖此策略。尽管有这些好处，IDS也有一些独特的挑战：

IDS的最大挑战是避免错误，因为即使是最好的系统也可以：

太多误报意味着IT团队对IDS的警告信心不足。误报意味着恶意数据包在没有引发警报的情况下进入网络，因此过度敏感的IDS始终是更好的选择。

一旦您知道需要设置哪种IDS类型和检测模型，请确保您的策略遵循以下最佳实践：

培训IT人员。确保设置IDS的团队对您的设备清单和每台机器的角色有透彻的了解。

确定基线。为确保您的IDS从异常行为中检测到正常行为，请建立一个基线，以便您了解网络上的情况。请记住，每个网络承载的流量类型不同。定义明确的初始基线有助于防止误报和误报。

IDS部署。在最高可见性点部署IDS，以免系统被数据淹没。理想情况下，将IDS放置在网络边缘的防火墙后面。如果您需要处理主机内流量，请在网络上安装多个IDS。系统和部署位置的正确选择取决于网络和安全目标。

将IDS调整到网络。仅在对网络有意义的地方更改IDS的默认设置。配置IDS以适应网络上的所有设备、应用程序、端口、协议和安全点。通过自定义配置以应用于您的网络基础设施，您可以为检测奠定坚实的基础。

设置隐身模式。将IDS设置为以隐身模式运行，以使系统难以检测到恶意行为者。最简单的方法是确保IDS有两个网络接口，一个用于网络，另一个用于生成警报。IDS应该只使用被监控的接口作为输入。

测试IDS。测试IDS以确保它检测到潜在威胁并正确响应它们。使用测试数据集，或者更好的是让安全专业人员进行渗透测试（渗透测试）。定期运行这些测试以确保一切继续按预期工作。随着时间的推移，改进您的测试方法以跟上可能发生的攻击类型的变化。

平衡假阳性和阴性。小心不要过度调整您的IDS或以其他方式错误配置它，以免造成误报或漏报。两者中的任何一个都可能使您的IT和安全团队不堪重负，甚至使您的组织面临更大的攻击风险。结合NIDS设置和?网络分段?，使检测更有效且更易于管理。

调查和响应事件。定义准备采取行动的事件响应计划。该计划必须包括熟练的安全人员，他们知道如何快速有效地做出响应，同时尽量减少对日常运营的干扰和对组织的影响。如果您的组织必须遵守某些行业要求，例如HIPAA、GDPR或SOC2，请定义适当的控制并遵循既定协议。考虑在IDS发出警报后添加辅助分析平台来分析威胁。

定期更新威胁数据库。一旦IDS启动并运行，您的团队应不断更新威胁数据库以保持系统有效。确保您的所有IDS和威胁数据库都遵循?零信任安全原则。

高质量的IDS（或IPS）对于维持可接受的网络安全水平至关重要。IDS仅检测威胁，可能无法捕获所有潜在威胁。因此，仅靠自己来防止攻击并保护您的组织免受攻击是不够的。

相反，IDS是总体安全策略的一部分。除了拥有正确的安全工具外，您还需要确保您的员工（您的第一道防线）知道如何保护您的组织、信息和资产的安全。这种防御始于有效的网络安全意识计划。作为回报，他们将更有信心知道如何应对和回应他们，并将对您的业务和客户的风险降至最低。