入侵检测系统 (IDS)

入侵检测系统 (IDS)是一种监控网络流量以发现可疑活动并在发现此类活动时发出警报的系统。它是一种软件应用程序，用于扫描网络或系统中的有害活动或违反政策的行为。任何恶意冒险或违规行为通常会报告给管理员或使用安全信息和事件管理 (SIEM) 系统集中收集。 SIEM 系统集成了来自多个来源的输出，并使用警报过滤技术来区分恶意活动和误报。

尽管入侵检测系统监视网络以发现潜在的恶意活动，但它们也容易误报。因此，组织在首次安装 IDS 产品时需要对其进行微调。这意味着正确设置入侵检测系统，以识别网络上的正常流量与恶意活动相比的样子。

入侵防御系统还监控进入系统的网络数据包，以检查其中涉及的恶意活动，并立即发送警告通知。

入侵检测系统分类：
IDS分为5种类型：

1. 网络入侵检测系统（NIDS）：
   网络入侵检测系统 (NIDS) 设置在网络内的计划点，以检查来自网络上所有设备的流量。它对整个子网上的传递流量进行观察，并将子网上传递的流量与已知攻击的集合相匹配。一旦识别出攻击或观察到异常行为，就可以将警报发送给管理员。 NIDS 的一个示例是将其安装在防火墙所在的子网上，以查看是否有人试图破解防火墙。
2. 主机入侵检测系统 (HIDS)：
   主机入侵检测系统 (HIDS) 在网络上的独立主机或设备上运行。 HIDS 仅监控来自设备的传入和传出数据包，并在检测到可疑或恶意活动时向管理员发出警报。它拍摄现有系统文件的快照并将其与之前的快照进行比较。如果分析系统文件被编辑或删除，则会向管理员发送警报以进行调查。可以在任务关键型机器上看到一个 HIDS 使用示例，这些机器预计不会改变其布局。
3. 基于协议的入侵检测系统 (PIDS)：
   基于协议的入侵检测系统 (PIDS) 包括始终驻留在服务器前端的系统或代理，用于控制和解释用户/设备与服务器之间的协议。它试图通过定期监视 HTTPS 协议流并接受相关的 HTTP 协议来保护 Web 服务器。由于 HTTPS 是未加密的，并且在立即进入其 Web 表示层之前，因此该系统需要驻留在此接口中，以使用 HTTPS。
4. 基于应用协议的入侵检测系统 (APIDS)：
   基于应用协议的入侵检测系统 (APIDS) 是通常驻留在一组服务器中的系统或代理。它通过监视和解释应用程序特定协议上的通信来识别入侵。例如，这将在中间件与 Web 服务器中的数据库进行交易时监控显式的 SQL 协议。
5. 混合入侵检测系统：
   混合入侵检测系统是由入侵检测系统的两种或多种方法组合而成。在混合入侵检测系统中，主机代理或系统数据与网络信息相结合，形成一个完整的网络系统视图。与其他入侵检测系统相比，混合入侵检测系统更有效。 Prelude 是混合 IDS 的一个例子。

IDS的检测方法：

1. 基于签名的方法：
   基于签名的 IDS 根据特定模式检测攻击，例如网络流量中的字节数或 1 的数量或 0 的数量。它还根据恶意软件使用的已知恶意指令序列进行检测。 IDS 中检测到的模式称为签名。

   基于签名的 IDS 可以很容易地检测到其模式（签名）已经存在于系统中的攻击，但是很难检测到新的恶意软件攻击，因为它们的模式（签名）是未知的。

2. 基于异常的方法：
   随着新恶意软件的快速开发，引入了基于异常的 IDS 来检测未知恶意软件攻击。在基于异常的 IDS 中，使用机器学习来创建一个可信的活动模型，并将任何出现的东西与该模型进行比较，如果在模型中没有发现它就被宣布为可疑。与基于签名的 IDS 相比，基于机器学习的方法具有更好的泛化特性，因为这些模型可以根据应用程序和硬件配置进行训练。

IDS 与防火墙的比较：
IDS 和防火墙都与网络安全有关，但 IDS 与防火墙不同，因为防火墙向外寻找入侵以阻止它们发生。防火墙限制网络之间的访问以防止入侵，如果攻击来自网络内部，它不会发出信号。 IDS 描述一旦发生的可疑入侵，然后发出警报信号。