入侵檢測系統(tǒng)(IDS)能夠監(jiān)視網(wǎng)絡(luò)上的流量，通過系統(tǒng)搜索可疑的活動和已知的威脅，并在發(fā)現(xiàn)此類項目時發(fā)出威脅預(yù)警。

用稍微技術(shù)一點話來說，IDS的總體目標(biāo)是及時通知IT管理人員，系統(tǒng)中可能正在發(fā)生的異常行為。

威脅預(yù)警中通常會包含有關(guān)入侵源地址、目標(biāo)/受害者地址以及可疑攻擊類型等信息。

企業(yè)IT部門可以通過部署入侵檢測系統(tǒng)，來了解其技術(shù)環(huán)境中存在的潛在惡意活動。

每個IDS都被編程為分析流量和識別模式，在這種模式下，IDS能夠識別出可能指示各種網(wǎng)絡(luò)攻擊的流量。

此外，入侵檢測系統(tǒng)還能夠檢測對特定軟件有問題的流量。

比如，如果它檢測到針對公司使用的Firefox瀏覽器的已知攻擊，它就會向公司IT管理人員發(fā)布預(yù)警信息，但是如果公司使用了不同的瀏覽器則不會發(fā)出警報。

一、IDS的類型入侵檢測系統(tǒng)可以分為兩大類：基于主機的入侵檢測系統(tǒng)，以及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

區(qū)分這兩種類別的關(guān)鍵在于入侵檢測軟件的傳感器放置在何處(主機/端點或網(wǎng)絡(luò))。

除了上述分類方式外，一些專家甚至還對入侵檢測市場進行了進一步細分，其中包含邊界IDS、基于VM(虛擬機)的IDS、基于堆棧的IDS、基于簽名的IDS以及基于異常行為的IDS等。

無論是何種類型，該技術(shù)通常都具備相同的功能，即旨在檢測傳感器所在位置上的入侵行為，并將其檢測到的異常行為及時反饋給安全分析師。

二、IDS在現(xiàn)代企業(yè)中的應(yīng)用入侵檢測是一項被動的技術(shù)，它能夠檢測并確認問題，但卻無法中斷可疑的網(wǎng)絡(luò)流量。

想要深入理解IDS，可以自行對比能夠阻止已知惡意軟件的防火墻和入侵防御系統(tǒng)(IPS)，所謂入侵防御系統(tǒng)(IPS)，顧名思義，就是能夠阻止惡意流量。

雖然IDS無法阻止惡意流量，但是其檢測主動攻擊的功能仍然至關(guān)重要，因此這項技術(shù)在現(xiàn)代企業(yè)應(yīng)用中仍然占據(jù)重要的一席之地。

企業(yè)目前已經(jīng)不會像以前一樣將IDS作為獨立的解決方案進行采購和部署。

相反地，他們會購買一整套安全功能或安全平臺，并將入侵檢測作為眾多內(nèi)置功能中的其中一個。

而且，企業(yè)必須了解入侵檢測系統(tǒng)同樣需要維護，如果你想要追蹤網(wǎng)絡(luò)環(huán)境中的各種行為，你就需要有人能夠為警報和安全事故做出響應(yīng)。

考慮到入侵檢測系統(tǒng)所能承載的工作范圍，規(guī)模較小的公司應(yīng)該具備這種能力，但是只能將其作為更大功能套件的一部分使用，因此除了其他獨立解決方案之外，他們不需要管理IDS。

此外，他們還應(yīng)該考慮與管理有序的安全服務(wù)提供商合作，以滿足整體安全需求，因為規(guī)模較大的提供商可以使用機器學(xué)習(xí)、或者人工智能等方式來提供相關(guān)的入侵警報信息。

如果需要了解網(wǎng)絡(luò)內(nèi)部的異常行為，那么就需要部署額外的防護層，而不僅僅是依賴防火墻。

三、管理IDS的3大挑戰(zhàn)IDS確實具備幾個公認的管理挑戰(zhàn)，這些挑戰(zhàn)可能會使組織的管理工作變得更為艱難。

1. 誤報(即在沒有發(fā)生真正問題時發(fā)出警報)IDS的誤報問題最為令人頭痛，大量的誤報無疑為IT團隊施加了壓力，他們必須用正確的信息不斷更新其IDS，以檢測合法的威脅并將這些真正的威脅從允許的流量區(qū)中區(qū)分開來。

但這可不是一項小任務(wù)。

管理人員必須對IDS系統(tǒng)進行調(diào)整，以分析正確的環(huán)境并減少誤報。

例如，分析和提供有關(guān)‘防止已知攻擊的‘服務(wù)器的互聯(lián)網(wǎng)活動警報沒有什么益處，這樣只會產(chǎn)生成千上萬的不相關(guān)警報，而不會產(chǎn)生任何有意義的警報。

同樣，在某些情況下，完全有效的活動也可能存在產(chǎn)生虛假警報的概率。

因此，建議企業(yè)可通過二級分析平臺，例如安全信息和事件管理(SIEM)平臺來幫助分析這些警報。

2. 人員配置鑒于理解網(wǎng)絡(luò)上下文的需求，企業(yè)必須做好準(zhǔn)備讓任何IDS符合自身獨特需求。

這就意味著，IDS不可能成為一種適合所有配置來實現(xiàn)準(zhǔn)確有效操作的工具。

而且，這要求精明的IDS分析師能夠根據(jù)給定站點的具體情況和需求來量身定制IDS。

更重要的是，這種知識淵博且訓(xùn)練有素的系統(tǒng)分析師本就十分稀少。

3. 漏檢問題IDS的工作機制在于，必須知道攻擊是什么之后才能識別它。

而且，IDS技術(shù)在檢測加密流量中的惡意軟件時也存在問題。

另外，傳入流量的速度和分布特征也可能會限制入侵檢測系統(tǒng)在企業(yè)運用中的有效性。

比如，企業(yè)配置的IDS可能能夠處理100兆流量，但是可能會有200兆的流量進入或流量分配，如此一來，IDS就只能看到1/3或1/4的流量數(shù)據(jù)包。

四、入侵檢測的未來盡管上述種種局限性，我們?nèi)匀粺o法否定IDS作為一項功能所產(chǎn)生的實際價值。

沒有安全工具是完美的，不同的產(chǎn)品具備不同的缺陷，所以現(xiàn)在我們面臨的挑戰(zhàn)是了解這些缺陷。

相信IDS將在未來很長一段時間內(nèi)繼續(xù)發(fā)揮效用，其對于識別異常流量仍然具有基本的價值。

然而，這些局限性也開始讓業(yè)內(nèi)人士重新考慮對IDS的需求。

基于收到的警報數(shù)量，這種調(diào)整和分析仍需要大量的努力。

一個組織可能沒有足夠的資源來管理具備如此大容量的所有設(shè)備。

來自IDS的大量虛假警報也讓一些組織選擇拒絕部署IPS，因為害怕虛假的情報會造成IPS程序阻止到合法的商業(yè)交易行為。

另外一些組織可能會實施更全面的威脅評估，因此決定不部署IDS設(shè)備，而將重點放在針對互聯(lián)網(wǎng)網(wǎng)關(guān)的更高級防護上，或者將來自網(wǎng)絡(luò)設(shè)備的流量分析與來自系統(tǒng)和應(yīng)用程序的日志分析結(jié)合使用，以識別可疑事件，而不是使用IDS。

Palo Alto Networks公司威脅情報總監(jiān)Scott Simkin也認為，IDS作為一種解決方案并不能夠在大多數(shù)現(xiàn)代企業(yè)中發(fā)揮作用。

但同時他也表示，自己堅信IDS會在更廣泛的網(wǎng)絡(luò)安全投資組合中保留著一席之地。

IDS(作為系統(tǒng))已經(jīng)被IPS和下一代防火墻取代，這些工具采用了IDS的概念，并在其上補充了許多新功能和保護層，這些功能包括行為分析、網(wǎng)頁過濾、應(yīng)用程序身份管理以及其他控制功能等。

這種能力對于每個安全團隊來說都是絕對重要和基礎(chǔ)的。