入侵檢測的概念已經(jīng)存在多年，只要惡意行為者試圖破壞網(wǎng)絡并竊取敏感數(shù)據(jù)，就會繼續(xù)需要它。技術和“流行語”的新進步有時會使入侵檢測聽起來非常復雜，使您不知道從哪里開始以及如何實施適當?shù)娜肭謾z測框架。雖然入侵檢測背后的方法很廣泛，但概念保持不變。入侵檢測本質上如下：一種檢測網(wǎng)絡或任何端點/系統(tǒng)上是否發(fā)生任何未經(jīng)授權的活動的方法。

我們使用入侵檢測來識別在我們的網(wǎng)絡或端點上發(fā)生的任何不需要的活動，以便在威脅行為者對我們的網(wǎng)絡或業(yè)務造成損害之前抓住它們。

入侵檢測系統(tǒng)的類型

讓我們從入侵檢測的類型開始。如果您曾經(jīng)在 Google 上搜索過“入侵檢測”，那么您可能已經(jīng)被有關網(wǎng)絡安全和檢測技術的供應商、學術論文和文章淹沒了。雖然有這么多關于該主題的資源很好，但有時很難找到一些基礎知識。

歸結起來，您可以將入侵檢測分為兩大類：基于簽名和無簽名（基于異常）的檢測。有多種形式的基于簽名和異常檢測；但是，為了本文的目的，我們將只涉及基礎知識。

基于簽名的檢測涉及檢測已知的不良漏洞和攻擊。您必須有一個已知威脅的規(guī)則列表（也稱為“簽名”）才能檢測到此功能?；诤灻臋z測可能是最常見和最古老的檢測類型。雖然這可能涵蓋了基礎知識，但實現(xiàn)某種形式的異常檢測也很好。這是系統(tǒng)檢測到以前未發(fā)現(xiàn)的威脅的地方。這種類型的檢測更復雜，通常需要某種形式的機器學習算法來完成。

入侵檢測與入侵預防

現(xiàn)在我們已經(jīng)討論了一些入侵檢測的類型，讓我們討論一些常見的誤解。在您開始網(wǎng)絡安全之旅時，您會交替聽到 IDS（入侵檢測系統(tǒng)）和 IPS（入侵防御系統(tǒng)）這兩個術語。

這些術語和技術幾乎在所有方面都相似，除了一個。IDS 只檢測和警告威脅；它不會阻止任何東西。另一方面，一旦識別出 IPS 將嘗試阻止流量或威脅。許多供應商的產品在其產品中同時包含 IDS 和 IPS 功能。

我們將在進一步的文章中從技術角度深入探討可用的內容并放置這些工具?，F(xiàn)在，要知道，如果您使用的是 IDS，它只會檢測活動，不會采取任何行動。

IDS 還是 IPS？決定，決定。最初，建議您從 IDS 開始。使用 IDS，您可以了解有關您的網(wǎng)絡（或主機，如果您使用基于主機的 IDS）的更多信息。如果您直接進入 IPS 并開始阻止某些事情，您最終可能會阻止對業(yè)務至關重要的某些事情。然后，您可能會接到來自權力的憤怒電話，詢問為什么員工無法訪問特定資源。即使您購買了具有 IDS 和 IPS 功能的產品，大多數(shù)組織也會在 IDS 模式下運行 IPS 幾周，以確保它們不會阻止合法流量。

免費入侵檢測軟件的種類

您可以使用許多不同的開源工具進行入侵檢測。我們將在本文中僅介紹一些網(wǎng)絡入侵檢測工具 ，但我們將在接下來的文章中更深入地介紹哪些工具做什么、如何安裝/使用它們以及每個工具的用例。

• Snort：可能是最常見的網(wǎng)絡 IDS 之一，也是許多供應商構建的基礎。
• Suricata：另一種流行的開源網(wǎng)絡檢測工具。它同時具有 IDS 和 IPS 功能。
• Zeek：一個開源的網(wǎng)絡監(jiān)控工具。

入侵檢測入門

希望本文為您提供了入侵檢測背后的一些基本知識，以及為什么它對網(wǎng)絡和端點安全至關重要。為了在為時已晚之前正確保護您的網(wǎng)絡免受惡意黑客的攻擊并發(fā)現(xiàn)入侵者，某種形式的入侵檢測是必要的。

只要系統(tǒng)得到適當?shù)木S護和調整，實施入侵檢測系統(tǒng)或入侵防御系統(tǒng)就可以幫助您改善整體安全狀況。網(wǎng)絡安全工程師或安全分析師需要參與系統(tǒng)的設置、配置和維護，以有效部署這些工具并從中獲得價值。