中文站

入侵检测系统简介

 随着网络的普及,网络攻击工具朝着自动化、易用化、平民化的方向发展,是否能够及时发现网络黑客的入侵行为,保证系统安全,成为所有网络用户包括云计算用户所面临的一个重要问题。本文介绍了2种入侵检测系统-基于网络入侵检测系统 NIDS 和基于主机的入侵检测系统 HIDS。

1.入侵检测系统概述

针对日趋复杂的应用安全威胁和混合型网络攻击,各类企事业单位为了保护好自身的 应用做了很多的工作,各种乙方安全公司也提供一系列的安全产品和解决方案。各类新的服务层出不穷,例如 Web应用、H5 应用、App 应用,在给用户带来更好体验的同时,也带来了前所未有的复杂性和危险性。入侵检测系统 IDS 是检测和发现网络攻击的一种常规手段,根据部署的位置不同,大致可以分为基于网络入侵检测系统 NIDS 和基于主机的入侵检测系统 HIDS 两种。

2.基于网络入侵检测系统 NIDS 

基于网络的入侵检测 NIDS 是传统入侵检测系统,主要通过旁路在计算机网络中检 测设备和系统,对网络数据流量进行深度检测和分析,并对网络中的攻击行为和特征进行主动检测匹配,如下图所示。通过使用异常检测、协议分析、会话分析、 实时关联检测、机器学习等多种技术手段,系统可以实现对网络流量的入侵检测。



经典的开源解决方案有 Snort。Snort 通过对网络的数据包进行嗅探和实时分析,进行 规则的匹配和处理之后,输出各类报警、忽略、Log 等多种处理方式。  

3.基于主机的入侵检测系统 HIDS

基于主机的入侵检测系统 HIDS 是云计算中的入侵检测系统,通常通过安装在主 机上 Agent 程序对该主机的网络实时连接、文件系统、日志进行智能分析和判断。 当有文件发生变化时,HIDS 将文件与攻击特征样本库进行对比,看它们是否匹配。 如果匹配,HIDS 就会向相关人员报警,相关人员在确认之后采取对应的措施。基 于主机的 IDS 在发展过程中融入了其他技术。HIDS 还可以监控端口和进程来发 现入侵行为。对于常用服务端口的暴力破解和异常登录也是 HIDS 常见的功能, 能在很大程度上缓解内外部的攻击行为。

HIDS 典型的开源方案是 OSSEC。OSSEC 支持多种操作系统,如 Windows、Linux、MacOS 等,它包括了日志分析、rootkit 检测、文件异常检测等功能。OSSEC 使用 CS 方式部署,需要在检测的系统上安装 Agent,通过 Server 端预设的规则进行分析和报警处理。 


4.入侵检测实践

目前云计算常见的入侵检测方案也分为网络和主机两种,网络检测方案更多用于特定 的应用场景下,对用户提供更多的是基于主机的入侵检测功能,需要用户配合在虚拟机或 者容器中安装相应的 Agent 客户端进行监控。

一般的入侵检测 Agent 包含检测、修复、防御等功能,提供全面的木马查杀、0day 漏洞修复、安全基线巡检、主机访问控制、暴力破解防护、异地登录提醒等功能,保障服务器安全。

参考文献:《云原生应用架构实践》 网易云基础服务架构团队 著

https://sq.163yun.com/blog/article/221402961891004416

相关阅读:

零日漏洞(0day)是什么?如何防范零日攻击?

SQL注入攻击原理是什么?如何防护SQL注入?