网络安全
入侵检测系统(IDS)
别称: IDS
定义
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
入侵检测系统(IDS)检查流量、日志或系统调用,当观察到与已知特征匹配、统计异常或违反策略的活动时产生告警。IDS 可以部署在网络(NIDS,接入 SPAN/TAP 端口)或主机(HIDS,部署在端点),通常将告警发送到 SIEM 进行关联、研判和事件响应。由于 IDS 只检测而不阻断,部署上不易破坏流量,适合高吞吐、对可用性敏感的环境。要使 IDS 真正发挥作用,需要持续调优、及时更新特征库、结合威胁情报并由成熟的分析师工作流将告警转化为响应行动。
示例
- Suricata 监听 SPAN 端口并对 Log4Shell 利用特征触发告警。
- Linux 主机上的 OSSEC 监测到 /etc/passwd 被修改并将告警发送到 SIEM。
相关术语
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
基于主机的入侵检测系统(HIDS)
部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。
基于网络的入侵检测系统(NIDS)
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。