入侵檢測(cè)系統(tǒng)(IDS)能夠監(jiān)視網(wǎng)絡(luò)上的流量，通過系統(tǒng)搜索可疑的活動(dòng)和已知的威脅，并在發(fā)現(xiàn)此類項(xiàng)目時(shí)發(fā)出威脅預(yù)警。

用稍微技術(shù)一點(diǎn)話來說，IDS的總體目標(biāo)是及時(shí)通知IT管理人員，系統(tǒng)中可能正在發(fā)生的異常行為。

威脅預(yù)警中通常會(huì)包含有關(guān)入侵源地址、目標(biāo)/受害者地址以及可疑攻擊類型等信息。

企業(yè)IT部門可以通過部署入侵檢測(cè)系統(tǒng)，來了解其技術(shù)環(huán)境中存在的潛在惡意活動(dòng)。

每個(gè)IDS都被編程為分析流量和識(shí)別模式，在這種模式下，IDS能夠識(shí)別出可能指示各種網(wǎng)絡(luò)攻擊的流量。

此外，入侵檢測(cè)系統(tǒng)還能夠檢測(cè)對(duì)特定軟件有問題的流量。

比如，如果它檢測(cè)到針對(duì)公司使用的Firefox瀏覽器的已知攻擊，它就會(huì)向公司IT管理人員發(fā)布預(yù)警信息，但是如果公司使用了不同的瀏覽器則不會(huì)發(fā)出警報(bào)。

一、IDS的類型入侵檢測(cè)系統(tǒng)可以分為兩大類：基于主機(jī)的入侵檢測(cè)系統(tǒng)，以及基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

區(qū)分這兩種類別的關(guān)鍵在于入侵檢測(cè)軟件的傳感器放置在何處(主機(jī)/端點(diǎn)或網(wǎng)絡(luò))。

除了上述分類方式外，一些專家甚至還對(duì)入侵檢測(cè)市場(chǎng)進(jìn)行了進(jìn)一步細(xì)分，其中包含邊界IDS、基于VM(虛擬機(jī))的IDS、基于堆棧的IDS、基于簽名的IDS以及基于異常行為的IDS等。

無論是何種類型，該技術(shù)通常都具備相同的功能，即旨在檢測(cè)傳感器所在位置上的入侵行為，并將其檢測(cè)到的異常行為及時(shí)反饋給安全分析師。

二、IDS在現(xiàn)代企業(yè)中的應(yīng)用入侵檢測(cè)是一項(xiàng)被動(dòng)的技術(shù)，它能夠檢測(cè)并確認(rèn)問題，但卻無法中斷可疑的網(wǎng)絡(luò)流量。

想要深入理解IDS，可以自行對(duì)比能夠阻止已知惡意軟件的防火墻和入侵防御系統(tǒng)(IPS)，所謂入侵防御系統(tǒng)(IPS)，顧名思義，就是能夠阻止惡意流量。

雖然IDS無法阻止惡意流量，但是其檢測(cè)主動(dòng)攻擊的功能仍然至關(guān)重要，因此這項(xiàng)技術(shù)在現(xiàn)代企業(yè)應(yīng)用中仍然占據(jù)重要的一席之地。

企業(yè)目前已經(jīng)不會(huì)像以前一樣將IDS作為獨(dú)立的解決方案進(jìn)行采購和部署。

相反地，他們會(huì)購買一整套安全功能或安全平臺(tái)，并將入侵檢測(cè)作為眾多內(nèi)置功能中的其中一個(gè)。

而且，企業(yè)必須了解入侵檢測(cè)系統(tǒng)同樣需要維護(hù)，如果你想要追蹤網(wǎng)絡(luò)環(huán)境中的各種行為，你就需要有人能夠?yàn)榫瘓?bào)和安全事故做出響應(yīng)。

考慮到入侵檢測(cè)系統(tǒng)所能承載的工作范圍，規(guī)模較小的公司應(yīng)該具備這種能力，但是只能將其作為更大功能套件的一部分使用，因此除了其他獨(dú)立解決方案之外，他們不需要管理IDS。

此外，他們還應(yīng)該考慮與管理有序的安全服務(wù)提供商合作，以滿足整體安全需求，因?yàn)橐?guī)模較大的提供商可以使用機(jī)器學(xué)習(xí)、或者人工智能等方式來提供相關(guān)的入侵警報(bào)信息。

如果需要了解網(wǎng)絡(luò)內(nèi)部的異常行為，那么就需要部署額外的防護(hù)層，而不僅僅是依賴防火墻。

三、管理IDS的3大挑戰(zhàn)IDS確實(shí)具備幾個(gè)公認(rèn)的管理挑戰(zhàn)，這些挑戰(zhàn)可能會(huì)使組織的管理工作變得更為艱難。

1. 誤報(bào)(即在沒有發(fā)生真正問題時(shí)發(fā)出警報(bào))IDS的誤報(bào)問題最為令人頭痛，大量的誤報(bào)無疑為IT團(tuán)隊(duì)施加了壓力，他們必須用正確的信息不斷更新其IDS，以檢測(cè)合法的威脅并將這些真正的威脅從允許的流量區(qū)中區(qū)分開來。

但這可不是一項(xiàng)小任務(wù)。

管理人員必須對(duì)IDS系統(tǒng)進(jìn)行調(diào)整，以分析正確的環(huán)境并減少誤報(bào)。

例如，分析和提供有關(guān)‘防止已知攻擊的‘服務(wù)器的互聯(lián)網(wǎng)活動(dòng)警報(bào)沒有什么益處，這樣只會(huì)產(chǎn)生成千上萬的不相關(guān)警報(bào)，而不會(huì)產(chǎn)生任何有意義的警報(bào)。

同樣，在某些情況下，完全有效的活動(dòng)也可能存在產(chǎn)生虛假警報(bào)的概率。

因此，建議企業(yè)可通過二級(jí)分析平臺(tái)，例如安全信息和事件管理(SIEM)平臺(tái)來幫助分析這些警報(bào)。

2. 人員配置鑒于理解網(wǎng)絡(luò)上下文的需求，企業(yè)必須做好準(zhǔn)備讓任何IDS符合自身獨(dú)特需求。

這就意味著，IDS不可能成為一種適合所有配置來實(shí)現(xiàn)準(zhǔn)確有效操作的工具。

而且，這要求精明的IDS分析師能夠根據(jù)給定站點(diǎn)的具體情況和需求來量身定制IDS。

更重要的是，這種知識(shí)淵博且訓(xùn)練有素的系統(tǒng)分析師本就十分稀少。

3. 漏檢問題IDS的工作機(jī)制在于，必須知道攻擊是什么之后才能識(shí)別它。

而且，IDS技術(shù)在檢測(cè)加密流量中的惡意軟件時(shí)也存在問題。

另外，傳入流量的速度和分布特征也可能會(huì)限制入侵檢測(cè)系統(tǒng)在企業(yè)運(yùn)用中的有效性。

比如，企業(yè)配置的IDS可能能夠處理100兆流量，但是可能會(huì)有200兆的流量進(jìn)入或流量分配，如此一來，IDS就只能看到1/3或1/4的流量數(shù)據(jù)包。

四、入侵檢測(cè)的未來盡管上述種種局限性，我們?nèi)匀粺o法否定IDS作為一項(xiàng)功能所產(chǎn)生的實(shí)際價(jià)值。

沒有安全工具是完美的，不同的產(chǎn)品具備不同的缺陷，所以現(xiàn)在我們面臨的挑戰(zhàn)是了解這些缺陷。

相信IDS將在未來很長一段時(shí)間內(nèi)繼續(xù)發(fā)揮效用，其對(duì)于識(shí)別異常流量仍然具有基本的價(jià)值。

然而，這些局限性也開始讓業(yè)內(nèi)人士重新考慮對(duì)IDS的需求。

基于收到的警報(bào)數(shù)量，這種調(diào)整和分析仍需要大量的努力。

一個(gè)組織可能沒有足夠的資源來管理具備如此大容量的所有設(shè)備。

來自IDS的大量虛假警報(bào)也讓一些組織選擇拒絕部署IPS，因?yàn)楹ε绿摷俚那閳?bào)會(huì)造成IPS程序阻止到合法的商業(yè)交易行為。

另外一些組織可能會(huì)實(shí)施更全面的威脅評(píng)估，因此決定不部署IDS設(shè)備，而將重點(diǎn)放在針對(duì)互聯(lián)網(wǎng)網(wǎng)關(guān)的更高級(jí)防護(hù)上，或者將來自網(wǎng)絡(luò)設(shè)備的流量分析與來自系統(tǒng)和應(yīng)用程序的日志分析結(jié)合使用，以識(shí)別可疑事件，而不是使用IDS。

Palo Alto Networks公司威脅情報(bào)總監(jiān)Scott Simkin也認(rèn)為，IDS作為一種解決方案并不能夠在大多數(shù)現(xiàn)代企業(yè)中發(fā)揮作用。

但同時(shí)他也表示，自己堅(jiān)信IDS會(huì)在更廣泛的網(wǎng)絡(luò)安全投資組合中保留著一席之地。

IDS(作為系統(tǒng))已經(jīng)被IPS和下一代防火墻取代，這些工具采用了IDS的概念，并在其上補(bǔ)充了許多新功能和保護(hù)層，這些功能包括行為分析、網(wǎng)頁過濾、應(yīng)用程序身份管理以及其他控制功能等。

這種能力對(duì)于每個(gè)安全團(tuán)隊(duì)來說都是絕對(duì)重要和基礎(chǔ)的。