入侵检测系统:实时监测与防范网络攻击

本文涉及的产品
云防火墙,500元 1000GB
简介: 网络攻击频发,防火墙并非万全之策。入侵检测系统(IDS)成为重要补充,监控可疑活动并发出警报。IDS分为网络IDS(NIDS)、主机IDS(HIDS)等类型,分别监控网络流量和主机行为。NIDS部署在边界或内部网络,HIDS关注单台主机安全。IDS结合机器学习能检测异常行为,有效应对已知和未知威胁。在容器安全领域,如德迅蜂巢,通过多锚点监测实现入侵的实时响应和闭环处理,确保业务系统安全,同时具备低影响和高准确性。未来,研究人员将继续借助深度学习等技术提升入侵检测效能。

前言
在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击。有人说了,不是有防火墙嘛?
确实,防火墙是防止有害和可疑流量流入系统的首选解决方案,但是防火墙并不能保证 100% 万无一失,随着技术的不断更新,攻击者的攻击手段也在不断进步,他们可以很轻松绕过所有安全措施。
所以,入侵检测显得非常有用了,防火墙管理进入的内容,而入侵检测管理流经系统的内容,一般位于防火墙后面,与防火墙协同工作。
小德将给大家介绍一下什么是入侵检测、入侵检测的工作原理、入侵检测的分类,让我们直接开始。

一、什么是入侵检测?
入侵检测系统 (IDS) 是一种监控系统,可检测可疑活动并在检测到这些活动时生成警报,它是一种软件应用程序,用于扫描网络或系统中的有害活动或违反政策的行为。

图片.png


概述:
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。

保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及 VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。

检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。

响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。

入侵检测(Intrusion Detection ,ID)通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵( Intrusion )定义为未经授权的计算机使用者以及不正当使用 (misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion DetectionSystem,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显着的不同,因而是可以检测的。入侵检测的研究开始于 20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。

入侵检测系统在功能上是入侵防范系统的补充, 而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。

一个理想的入侵检测系统具有如下特性:
能以最小的人为干预持续运行。
能够从系统崩溃中恢复和重置。
能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
运行时占用系统的开销最小。
能够根据被监视系统的安全策略进行配置。
能在使用过程中适应系统和用户行为的改变。


二、入侵检测的分类

图片.png

NIDS
NIDS英文全称:network intrusion detection system,中文名称:网络入侵检测系统。这是分析传入网络流量的系统。

将网络IDS的探测器接在内部的广播式Hub或交换机的镜像端口,如图。探测器通过采集内部网络流量数据,然后基于网络流量分析监测内部网络活动,从而可以发现内网中的入侵行为。

图片.png

将NIDS的探测器接在网络边界处,采集与内部网进行同信的数据包,然后分析来自于外部的入侵行为。

图片.png

HIDS
HIDS英文全称:host intrusion detection system,中文名称:主机入侵检测系统。这是监控重要操作系统文件的系统。HIDS一般用于检测针对单台主机的入侵行为。

应用方式:
(1)单机应用。(把HIDS系统直接安装在受监测的主机上即可)
(2)分布式应用。这种方式需要安装管理器和多个主机探测器(sensor)。管理器控制多个主机探测器(sensor),从而可以远程监控多台主机的安全状况

图片.png

SIDS
SIDS英文全称:signature-based intrusion detection system,中文名称:基于签名的入侵检测系统。监控通过网络的所有数据包,并将它们与攻击签名或已知恶意威胁属性的数据库进行比较,就像防病毒软件一样。

AIDS
AIDS英文全称:anomaly-based intrusion detection system,中文名称:基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型,任何不一致都会被识别为可能的危险,为了建立基线和支持安全策略,这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制,尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁,但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。
三、入侵检测的应用
蜂巢(容器安全):
蜂巢通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意⾏为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。

实时入侵检测 威胁闭环处理

图片.png

模块化说明:
基于已知威胁进行检测——德迅蜂巢通过监控容器内的进程创建、文件变化等行为,获取行为特征,将这些特征经过德迅五大检测引擎的检测,以发现容器中的病毒、挖矿、Webshell等攻击行为。

图片.png


基于恶意行为进行检测——以ATT&CK框架中定义的入侵模型为参考,结合对于运行时基础事件监控来建立IOC模型进行分析,能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。

图片.png

基于异常行为进行检测——通过容器进程行为、文件行为、网络行为的监控/学习,建立容器行为模型,分析异常偏离行为, 发现未知入侵威胁。

模块化优势:

实时发现失陷容器

有效发现未知⿊客攻击

对业务系统“零”影响

结合资产信息,为响应提供最准确的⼀线信息

四、结论
入侵检测技术是一项相对传统的技术,它提高了各类设备以及网络环境的安全性。最近,ML算法已被用来开发这项技术,对于保护和监控非常有帮助。在未来的工作中,大量研究人员将持续通过使用DL或者集成学习技术来改进传统的入侵检测系统。

相关文章
|
2月前
|
机器学习/深度学习 算法 机器人
【PID】基于人工神经网络的PID控制器,用于更好的系统响应研究(Matlab&Simulink代码实现)
【PID】基于人工神经网络的PID控制器,用于更好的系统响应研究(Matlab&Simulink代码实现)
190 15
|
2月前
|
机器学习/深度学习 数据采集 传感器
具有多种最大功率点跟踪(MPPT)方法的光伏发电系统(P&O-增量法-人工神经网络-模糊逻辑控制-粒子群优化)之使用粒子群算法的最大功率点追踪(MPPT)(Simulink仿真实现)
具有多种最大功率点跟踪(MPPT)方法的光伏发电系统(P&O-增量法-人工神经网络-模糊逻辑控制-粒子群优化)之使用粒子群算法的最大功率点追踪(MPPT)(Simulink仿真实现)
139 0
|
3月前
|
Kubernetes Ubuntu 网络安全
Ubuntu系统关闭防火墙的正确方式
Ubuntu系统关闭防火墙的正确方式
526 2
|
3月前
|
数据采集 存储 算法
MyEMS 开源能源管理系统:基于 4G 无线传感网络的能源数据闭环管理方案
MyEMS 是开源能源管理领域的标杆解决方案,采用 Python、Django 与 React 技术栈,具备模块化架构与跨平台兼容性。系统涵盖能源数据治理、设备管理、工单流转与智能控制四大核心功能,结合高精度 4G 无线计量仪表,实现高效数据采集与边缘计算。方案部署灵活、安全性高,助力企业实现能源数字化与碳减排目标。
67 0
|
安全 网络安全 网络虚拟化
Cisco Secure Firewall 4200 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
Cisco Secure Firewall 4200 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
23 0
|
编解码 安全 网络安全
Cisco Firepower 9300 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
Cisco Firepower 9300 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
30 0
|
2月前
|
机器学习/深度学习 传感器 运维
【电机轴承监测】基于matlab声神经网络电机轴承监测研究(Matlab代码实现)
【电机轴承监测】基于matlab声神经网络电机轴承监测研究(Matlab代码实现)
|
2月前
|
XML JSON JavaScript
从解决跨域CSOR衍生知识 Network 网络请求深度解析:从快递系统到请求王国-优雅草卓伊凡
从解决跨域CSOR衍生知识 Network 网络请求深度解析:从快递系统到请求王国-优雅草卓伊凡
65 0
从解决跨域CSOR衍生知识 Network 网络请求深度解析:从快递系统到请求王国-优雅草卓伊凡
|
2月前
|
算法 安全 网络安全
【多智能体系统】遭受DoS攻击的网络物理多智能体系统的弹性模型预测控制MPC研究(Simulink仿真实现)
【多智能体系统】遭受DoS攻击的网络物理多智能体系统的弹性模型预测控制MPC研究(Simulink仿真实现)
104 0
|
4月前
|
运维 监控 Linux
网络延迟监测工具选择(第一篇)
**WGCLOUD**是一款开源免费的跨平台运维监控工具,支持Windows、Linux、MacOS等系统,具备网络延迟监测功能。其内置的**PING监测**模块可实时ping目标IP,图形化展示延迟趋势,并在目标IP不可达时发送告警通知。支持分组管理,操作简单便捷,适合运维人员高效监控网络状态。