什麼是入侵偵測系統?

入侵偵測系統 (IDS) 是一種網路安全技術,其最初設計目的是為了偵測目標應用程式或電腦中遭到利用的弱點。

IDS 也是一種「單純監聽」的裝置。其主要負責監控流量並將結果報告給管理員。但它並無法自動採取行動來防止偵測到的入侵接管系統。

攻擊者一旦進入網路就能夠快速利用各種弱點。因此,IDS 不足以達到防禦的目的。入侵偵測和入侵防禦系統對於安全資訊和事件管理來說都至關重要。

入侵偵測系統與入侵防禦系統的比較

下表總結 IPS 與 IDS 部署之間的差異。

  入侵防禦系統 IDS 部署
網路基礎結構中的佈局 直接通訊線路的一部分 (內嵌) 外部直接通訊線路 (頻外)
系統類型 主動 (監控和自動防禦) 和/或被動 被動 (監控和通知)
偵測機制 1. 基於統計性異常的偵測
2.特徵碼偵測:
- 面向漏洞的特徵碼
- 面向弱點的特徵碼
1.特徵碼偵測:
- 面向漏洞的特徵碼

 

描述 IPS 和 IDS 之間差異的圖表
描述 IPS 和 IDS 之間差異的圖表

IDS 運作方式

描述入侵偵測系統功能的圖表
描述入侵偵測系統功能的圖表

IDS 只需要偵測潛在的威脅。其通常置於網路基礎結構頻外。因此,它並不存在於資訊發送者和接收者之間的即時通訊路徑中。

IDS 解決方案通常會利用 TAP 或 SPAN 連接埠來分析內嵌流量串流的副本。這可確保 IDS 不會影響內嵌網路的效能。

在開發 IDS 時,系統往往無法即時執行偵測入侵所需的深度分析。因此其速度也跟不上網路基礎結構直接通訊路徑上的元件。

網路入侵偵測系統用於偵測可疑活動,以便在網路受到損害之前捕獲駭客。目前也設有基於網路和基於主機的入侵偵測系統。基於主機的 IDS 會安裝在用戶端電腦上;基於網路的 IDS 則位於網路本身。

IDS 的運作方式是找出與正常活動之間的偏差以及已知的攻擊特徵碼。異常模式會傳送到堆疊上並在通訊協定層和應用程式層進行檢查。它可以偵測例如 DNS 污染、格式錯誤資訊封包和聖誕樹掃描等事件。

通常您可以將 IDS 視為一種網路安全裝置或軟體應用程式進行實作。為了保護雲端環境中的數據和系統,您也可以使用基於雲端的 IDS。

IDS 偵測的類型

IDS 可分為五種類型:基於網路、基於主機、基於通訊協定、基於應用程式通訊協定以及混合式類型。

最常見的兩種 IDS 類型如下所示:

  1. 基於網路的入侵偵測系統 (NIDS)
    網路 IDS 負責監控完整的受保護網路。其主要部署在整個基礎結構中的戰略點,例如最容易遭到攻擊的子網路。NIDS 會監控流入和流出網路裝置的所有流量,並根據封包內容和中繼數據做出決定。
  2. 基於主機的入侵偵測系統 (HIDS)
    基於主機的 IDS 負責監控其安裝位置本身的電腦基礎結構。換句話說,它會部署在特定端點上以保護其免受內部和外部威脅。IDS 會分析流量、記錄惡意活動並通知指定機構以提供完整的防護。

其餘三種類型則分述如下:

  1. 基於通訊協定 (PIDS)
    基於通訊協定的入侵偵測系統通常安裝於 Web 伺服器上。它會監控並分析使用者/裝置與伺服器之間的通訊協定。PIDS 通常位於伺服器的前端並監控通訊協定的行為和狀態。
  2. 基於應用程式通訊協定 (APIDS)
    APIDS 是一種通常位於伺服器方內部的系統或代理程式。它會追蹤並判讀應用程式特定通訊協定的通訊。例如,它會監控與 Web 伺服器交易時的中介軟體 SQL 通訊協定。
  3. 混合式入侵偵測系統
    混合式入侵偵測系統結合兩種或多種入侵偵測方法。您可以透過此系統、系統或主機代理程式數據與網路資訊的結合,取得對於系統的全面檢視。相較於其他系統,混合式入侵偵測系統更為強大。Prelude 是混合式 IDS 的一種範例。

IDS 偵測方法還包含一個子群組,其中最常見的兩種變體如下所示:

  1. 基於特徵碼
    基於特徵碼的 IDS 會監控傳入的網路流量,尋找與已知攻擊特徵碼相符的特定模式和序列。雖然它對於此目的來說很有效,但其並無法偵測缺乏已知模式、無法識別的攻擊。
  2. 基於異常
    基於異常的 IDS 是一種相對較新的技術,其目的在於偵測未知攻擊,而不僅僅是識別攻擊特徵碼。相反地,這種類型的偵測會使用機器學習來分析大量網路數據和流量。

    基於異常的 IDS 會根據正常活動建立已定義的模型,並用其來識別異常行為。然而,其容易產生誤判。例如,如果一台電腦表現出罕見但正常的行為,系統仍會將其視為異常。這將會導致誤判的情況。

IDS 與防火牆的比較

IDS 和新世代防火牆都屬於網路安全解決方案。IDS 與防火牆的差別在於其目的。

IDS 裝置會被動進行監控,只有在偵測到威脅時進行描述並發出警示。IDS 會監視動態的網路封包。這讓事件回應能夠評估威脅並視需要採取行動。但它並不會保護端點或網路。

防火牆則會主動進行監控,找出威脅以防止其進一步演變成事件。防火牆還能夠篩選和封鎖流量。它們允許基於預設規則、依賴連接埠、目標位址和來源的流量

此外,防火牆會拒絕不遵循防火牆規則的流量。但是,如果攻擊來自網路內部,IDS 將不會產生警示。

描述入侵偵測系統和防火牆功能的圖表
描述入侵偵測系統和防火牆功能的圖表

IDS 迴避技術

入侵者可以使用多種技術來規避 IDS 偵測。這些方法可能會對 IDS 形成挑戰,因為其會企圖規避現有的偵測方法:

  • 片段化
    片段化會將封包分割成更小且更分散的封包。這讓入侵者能夠保持隱匿狀態,因為系統不會偵測到任何的攻擊特徵碼。

    分散的封包隨後會由接收節點在 IP 層進行重建。然後它們會被轉送到應用程式層。片段化攻擊會以新數據替換分散封包中的數據來產生惡意封包。
  • 泛濫
    這種攻擊的目的在於癱瘓偵測器,進而造成控制機制故障。當偵測器發生故障時,所有流量都將暢行無阻。

    造成泛濫的一種常見方式是欺騙合法的使用者資料包通訊協定 (UDP) 和網際網路控制訊息通訊協定 (ICMP)。然後,流量泛濫會被用來掩蓋入侵者的異常活動。因此,IDS 很難在極大量的流量中找到惡意封包。
  • 混淆
    混淆手法會讓訊息難以了解來隱藏攻擊行動,進而避免被偵測到。混淆一詞代表著利用在功能上難以區分的方式來變更程式碼。

    其目的是透過模糊化並降低程式碼的可讀性,以規避對於反向工程或靜態分析程序的偵測。例如,混淆惡意軟體可以規避 IDS 的偵測。
  • 加密
    加密技術提供多種安全功能,包括數據機密性、完整性和隱私性。遺憾的是惡意軟體建立者會利用安全屬性來隱匿攻擊行動並規避偵測。

    例如,IDS 無法判讀對於加密通訊協定的攻擊。當 IDS 無法將加密流量與現有數據庫特徵碼進行配對時,這種加密流量就無法進行加密。這讓偵測器很難識別攻擊行動。

為什麼入侵偵測系統如此重要

網路攻擊的複雜度和精密度會不斷增加,零時差攻擊也已相當普遍。因此,網路保護技術必須跟上新威脅的步伐,企業更必須保持高層級的安全性。

其目標在於確保安全且可信賴的資訊流通。因此,IDS 對於安全生態系統來說非常重要。當其他技術失效時,它可以作為系統安全的防禦手段。

  • 識別安全事件。
  • 分析攻擊的數量和類型。
  • 協助透過裝置設定識別錯誤或問題。
  • 支援法規合規性 (透過更佳的網路可視性和 IDS 日誌文件)。
  • 提升安全回應 (透過檢查網路封包內的數據,而不是對系統進行手動普查)。

雖然 IDS 已經很有用,但若能結合 IPS 使用,其發揮的影響力會更大。入侵防禦系統 (IPS) 提升了阻止威脅的能力。這已成為 IDS/IPS 技術的主要部署選項。

更理想的情況是融合多種威脅防禦技術以形成完整的解決方案。有效的方法是以下各項的組合:

  • 弱點防護
  • 反惡意軟體
  • 反間諜軟體

這些技術結合起來構成進階威脅防護。此服務會掃描所有流量是否具有威脅性 (包括連接埠、通訊協定和加密流量)。進階威脅防禦解決方案會在網路攻擊生命週期內尋找威脅,而不僅僅是在威脅進入網路時才有所動作。這形成一種分層防禦 — 在各個點進行防禦的零信任方法