有许多方法可以利用技术保护您的企业免受网络攻击。入侵检测系统（IDS）是一个可靠的选择，但选择正确的产品可能很复杂。尽可能多地了解他们是一个伟大的第一步。

首先，它们分为两类：基于主机的和基于网络的。那么它们之间有什么区别呢？你如何根据自己的需要选择合适的系统？

什么是入侵检测系统(intrusion detection systems)？

如果你有一个庞大的团队和网络需要管理，那么你很容易忘记所有的事情，其中一些可能是恶意的。入侵检测系统是一种监视潜在有害活动的设备或程序。

它可以监视人们访问什么以及如何访问，以及流量在您的网络上的行为。例如，在设置了安全协议之后，入侵检测系统可以在有人违反协议时向您发出警报。

它还可以作为防止网络攻击的额外保障。即使是市场上最好的杀毒软件也有不好的时候。如果已知的恶意软件从你身边溜走，IDS可以标记它，这样你就可以摆脱威胁或通知受影响的员工和客户。

入侵检测系统基于以下内容查找威胁：

• 签名或已知的恶意模式。
• 网络正常活动中的异常现象。

不幸的是，IDS无法对威胁采取行动。为此，您需要一个入侵防御系统（IPS），它可以检测和反击企业网络上的可疑活动。

什么是基于主机的入侵检测系统(host-based intrusion detection systems)？

基于主机的入侵检测系统（HIDS）监控设备的潜在问题。他们可以发现威胁性的特征和异常，无论是由人还是恶意软件造成的。

例如，攻击者可能会篡改服务器上的文件、设置或应用程序。有人可能会禁用一个重要的功能，或试图用错误的密码登录到其他人的计算机。

为了检测这些类型的问题，HIDS会对计算机的基础设施进行快照，并寻找随时间变化的差异。如果发现任何威胁，特别是那些类似已知的威胁，软件会立即让你知道。

您网络上所有由HIDS支持的设备都会向您发出奇怪行为的警报。您可以快速发现问题，从错误到内部和外部网络攻击。

安装了一些更方便的软件后，您就可以保护您的业务及其所包含的所有内容了。考虑到自动化的进步，寻找具有此功能的解决方案，因为它们可以使您的生活和工作更加简单。

相关：你可以使用人工智能技术来改善你的业务

使用hids的优点

• 入侵检测的重点是设备。
• 可以捕捉分钟活动。
• 能够检测内部和外部问题。
• 可以帮助监视您的团队和安全策略。
• 您可以调整HID以适应网络的需要和协议。

使用hids的缺点

• HID只检测，不对抗威胁。
• 检测可能需要时间。
• 会带来假阳性。
• 您需要额外的软件来完全保护您的网络。
• 建立和管理系统需要花费时间、金钱和资源。

什么是基于网络的入侵检测系统(network-based intrusion detection systems)？

为了更广泛、更高效的安全性，基于网络的检测系统（NIDS）是更好的选择。顾名思义，该软件与网络融合，监控进出网络的所有活动。

这包括各个中心，但作为更大范围的一部分。该软件不断寻找威胁，并从网络行为中提取尽可能多的细节，就像HIDS从一台计算机中提取的一样。

这不仅仅关乎员工和资源的安全。客户也通过电子邮件、订阅、个人数据等方式加入您的网络。

这是一个很大的责任，但是一个监控所有这些连接的入侵检测系统有助于承担大部分的负担。

网络已经连接了计算机、服务器、在线资产等，这一事实也允许更快的监控。除此之外，NIDS可以实时工作，这意味着检测过程没有延迟。

一个好的产品可以在可疑模式进入网络后立即标记出来。再说一次，这不是一种可以应对威胁的技术，但它可以在现场提醒您，这样您或您安装的任何其他软件都可以采取行动。

相关提示：几分钟内保护路由器和Wi-Fi网络的简单提示

使用nids的优点

• 入侵检测可以覆盖你网络上的一切。
• 监视比HIDS工作得快。
• 设置和管理效率更高。
• 监视各种交通和活动。
• 能够检测内部和外部问题。
• 可以帮助监视您的团队、客户和安全策略。
• 更多的功能比HIDS来满足您的入侵检测需求。

使用nids的缺点

• 监控整个网络意味着减少对单个部分的关注，使它们更加脆弱。
• 国家情报局不会反击威胁。
• 无法分析加密数据。
• 为了提高安全性，需要额外的软件。
• 设置和管理要求很高。
• 会带来假阳性。

选择入侵检测系统时要牢记的事实

无论是基于网络还是基于集线器的入侵检测系统都不能单独保护您的业务。这就是为什么人们更喜欢将软件组合起来，或者在一个软件包中找到包含以上所有优点的解决方案。

也就是说，即使是像OSSEC的软件这样的HIDS也变得越来越先进，所以你可以找到单独的产品，它们可以很好地协同工作，而且不需要花费很多钱。不要期望你的安全性来得便宜，但是一个经过充分研究的策略可以帮助你保持低成本和可控的开支。

不管你做什么样的设置，确保你尽可能的微调和维护你的探测系统。例如，自定义NIDS，以便它可以单独或与反恶意软件协作更有效地处理可疑但加密的数据。

把入侵检测系统看作是你的网络安全的基础。它越强大，你对自己的安全、稳定和公司潜力就越有信心。您添加的其他软件的性能也可能依赖于该基础。

相关：了解恶意软件：您应该了解的常见类型

了解系统如何工作并平衡它们

既然您已经了解了入侵检测系统的基础知识，请将搜索范围扩展到预防、防病毒和其他管理工具。你对这些软件了解得越多，以及它们如何与你的环境相联系，你就越能使它们适合你。

当不同的软件同时处于活动状态时，它们需要很好地工作，尤其是彼此之间。否则，您的操作系统和生产力将付出滞后和故障的代价。除了花费时间和金钱进行修复外，它还为威胁提供了从漏洞中溜走的机会。