基於主機和網路的入侵檢測系統的工作原理

基於主機與基於網路：這些IDS如何保護您的伺服器免受網路攻擊，哪一個是最好的？...

有許多方法可以利用技術保護您的企業免受網絡攻擊。入侵檢測系統（IDS）是一個可靠的選擇，但選擇正確的產品可能很複雜。儘可能多地瞭解他們是一個偉大的第一步。

首先，它們分為兩類：基於主機的和基於網絡的。那麼它們之間有什麼區別呢？你如何根據自己的需要選擇合適的系統？

什麼是入侵檢測系統(intrusion detection systems)？

如果你有一個龐大的團隊和網絡需要管理，那麼你很容易忘記所有的事情，其中一些可能是惡意的。入侵檢測系統是一種監視潛在有害活動的設備或程序。

它可以監視人們訪問什麼以及如何訪問，以及流量在您的網絡上的行為。例如，在設置了安全協議之後，入侵檢測系統可以在有人違反協議時向您發出警報。

它還可以作為防止網絡攻擊的額外保障。即使是市場上最好的殺毒軟件也有不好的時候。如果已知的惡意軟件從你身邊溜走，IDS可以標記它，這樣你就可以擺脫威脅或通知受影響的員工和客戶。

入侵檢測系統基於以下內容查找威脅：

簽名或已知的惡意模式。
網絡正常活動中的異常現象。

不幸的是，IDS無法對威脅採取行動。為此，您需要一個入侵防禦系統（IPS），它可以檢測和反擊企業網絡上的可疑活動。

什麼是基於主機的入侵檢測系統(host-based intrusion detection systems)？

基於主機的入侵檢測系統（HIDS）監控設備的潛在問題。他們可以發現威脅性的特徵和異常，無論是由人還是惡意軟件造成的。

例如，攻擊者可能會篡改服務器上的文件、設置或應用程序。有人可能會禁用一個重要的功能，或試圖用錯誤的密碼登錄到其他人的計算機。

為了檢測這些類型的問題，HIDS會對計算機的基礎設施進行快照，並尋找隨時間變化的差異。如果發現任何威脅，特別是那些類似已知的威脅，軟件會立即讓你知道。

您網絡上所有由HIDS支持的設備都會向您發出奇怪行為的警報。您可以快速發現問題，從錯誤到內部和外部網絡攻擊。

安裝了一些更方便的軟件後，您就可以保護您的業務及其所包含的所有內容了。考慮到自動化的進步，尋找具有此功能的解決方案，因為它們可以使您的生活和工作更加簡單。

相關：你可以使用人工智能技術來改善你的業務

使用hids的優點

入侵檢測的重點是設備。
可以捕捉分鐘活動。
能夠檢測內部和外部問題。
可以幫助監視您的團隊和安全策略。
您可以調整HID以適應網絡的需要和協議。

使用hids的缺點

HID只檢測，不對抗威脅。
檢測可能需要時間。
會帶來假陽性。
您需要額外的軟件來完全保護您的網絡。
建立和管理系統需要花費時間、金錢和資源。

什麼是基於網絡的入侵檢測系統(network-based intrusion detection systems)？

為了更廣泛、更高效的安全性，基於網絡的檢測系統（NIDS）是更好的選擇。顧名思義，該軟件與網絡融合，監控進出網絡的所有活動。

這包括各個中心，但作為更大範圍的一部分。該軟件不斷尋找威脅，並從網絡行為中提取儘可能多的細節，就像HIDS從一臺計算機中提取的一樣。

這不僅僅關乎員工和資源的安全。客戶也通過電子郵件、訂閱、個人數據等方式加入您的網絡。

這是一個很大的責任，但是一個監控所有這些連接的入侵檢測系統有助於承擔大部分的負擔。

網絡已經連接了計算機、服務器、在線資產等，這一事實也允許更快的監控。除此之外，NIDS可以實時工作，這意味著檢測過程沒有延遲。

一個好的產品可以在可疑模式進入網絡後立即標記出來。再說一次，這不是一種可以應對威脅的技術，但它可以在現場提醒您，這樣您或您安裝的任何其他軟件都可以採取行動。

相關提示：幾分鐘內保護路由器和Wi-Fi網絡的簡單提示

使用nids的優點

入侵檢測可以覆蓋你網絡上的一切。
監視比HIDS工作得快。
設置和管理效率更高。
監視各種交通和活動。
能夠檢測內部和外部問題。
可以幫助監視您的團隊、客戶和安全策略。
更多的功能比HIDS來滿足您的入侵檢測需求。

使用nids的缺點

監控整個網絡意味著減少對單個部分的關注，使它們更加脆弱。
國家情報局不會反擊威脅。
無法分析加密數據。
為了提高安全性，需要額外的軟件。
設置和管理要求很高。
會帶來假陽性。

選擇入侵檢測系統時要牢記的事實

無論是基於網絡還是基於集線器的入侵檢測系統都不能單獨保護您的業務。這就是為什麼人們更喜歡將軟件組合起來，或者在一個軟件包中找到包含以上所有優點的解決方案。

也就是說，即使是像OSSEC的軟件這樣的HIDS也變得越來越先進，所以你可以找到單獨的產品，它們可以很好地協同工作，而且不需要花費很多錢。不要期望你的安全性來得便宜，但是一個經過充分研究的策略可以幫助你保持低成本和可控的開支。

不管你做什麼樣的設置，確保你儘可能的微調和維護你的探測系統。例如，自定義NIDS，以便它可以單獨或與反惡意軟件協作更有效地處理可疑但加密的數據。

把入侵檢測系統看作是你的網絡安全的基礎。它越強大，你對自己的安全、穩定和公司潛力就越有信心。您添加的其他軟件的性能也可能依賴於該基礎。

相關：瞭解惡意軟件：您應該瞭解的常見類型

瞭解系統如何工作並平衡它們

既然您已經瞭解了入侵檢測系統的基礎知識，請將搜索範圍擴展到預防、防病毒和其他管理工具。你對這些軟件瞭解得越多，以及它們如何與你的環境相聯繫，你就越能使它們適合你。

當不同的軟件同時處於活動狀態時，它們需要很好地工作，尤其是彼此之間。否則，您的操作系統和生產力將付出滯後和故障的代價。除了花費時間和金錢進行修復外，它還為威脅提供了從漏洞中溜走的機會。

發表於 2021-03-11 11:17
閱讀 ( 54 )
分類：安全

你可能感興趣的文章

什麼是dmz？如何在網路上配置dmz？

... 此外，基於家庭的DMZ主機仍然能夠連線到內部網路上的所有主機，而商業DMZ配置的情況並非如此，在商業DMZ配置中，這些連線是透過分離的防火牆進行的。 ...

發佈於 2021-03-11 08:47
閲讀 ( 46 )

你沒有使用的7個優秀的開源安全應用程式

...是一個可引導的ISO，您可以將其載入到CD或隨身碟上。它基於Linux發行版Fedora，但可以在大多數x86和x64系統上使用。 ...

發佈於 2021-03-11 14:26
閲讀 ( 48 )

完整的windows網路故障排除指南

...P地址是一個網路硬體的識別號。擁有IP地址允許裝置透過基於IP的網路（如internet）與其他裝置通訊。網路上的每個裝置都必須具有唯一的IP。 ...

發佈於 2021-03-11 18:35
閲讀 ( 43 )

提高虛擬機器效能的6個技巧

...到虛擬機器。這意味著在VM執行時凍結後臺任務，這有利於主機和來賓作業系統的效能。 ...

發佈於 2021-03-19 02:20
閲讀 ( 54 )

pc遊戲優於主機遊戲的7個原因

如果你想進入電子遊戲領域，遊戲機似乎是一個很有吸引力的選擇。他們隨時可用，有噸偉大的遊戲，並提供媒體功能。 ...

發佈於 2021-03-22 10:02
閲讀 ( 54 )

如何保護你的個人資料不被僱主發現

...施強有力的安全措施，您可以限制駭客對文件、電子郵件和網路的訪問點數量。 ...

發佈於 2021-03-26 15:19
閲讀 ( 47 )

初學者的nmap：獲得埠掃描的實踐經驗

... Nmap可以掃描整個網路中的可用主機和開放埠。有幾種掃描方法可供選擇。攻擊性掃描型別產生更多資訊，但防火牆可能會標記這些資訊。另一方面，隱形掃描更適合於現實場景。 ...

發佈於 2021-03-28 11:48
閲讀 ( 43 )

什麼是滲透測試？它如何提高網路安全性？

... Parrot Security是一個基於Linux的作業系統，設計用於滲透測試和漏洞評估。它對雲友好，易於使用，並支援各種開源pentest軟體。 ...

發佈於 2021-03-28 16:16
閲讀 ( 49 )

如何在iphone、ipad和apple tv上設定steam link

...置、智慧電視和機頂盒，Valve停止了硬體版本，轉而採用基於應用程式的解決方案。不過，蘋果在2018年5月以“業務衝突”為由，刪除了Valve軟體的Steam Link應用程式從那以後有了很大的變化，包括Xbox Wireless和PlayStation 4 DualShock控...

發佈於 2021-04-02 19:09
閲讀 ( 69 )

什麼是lan喚醒，如何啟用它？

...包由為任何平臺**的專業軟體傳送，也可以透過路由器和基於網際網路的網站傳送。用於WoL魔術包的典型埠是udp7和9。因為你的電腦正在積極地監聽一個數據包，一些電源正在給你的網絡卡供電，這將導致你的膝上型電腦的電池...

發佈於 2021-04-07 11:16
閲讀 ( 54 )