iT邦幫忙

2023 iThome 鐵人賽

DAY 10
0

入侵偵測系統(Intrusion Detection System,簡稱IDS)是一種網絡安全系統,主要用於監控網絡或系統中的異常活動或可疑行為。其核心目的是在不正常或有害的行為發生時,能夠及時警告或阻擋,從而提供一個更安全的網絡環境。

主要類型:

  1. 主機型(HIDS):主機型入侵偵測系統是安裝在單一主機上,用於監控該主機內的系統呼叫、文件系統變更等。
  2. 網絡型(NIDS):網絡型入侵偵測系統則是部署在網絡節點(例如路由器或防火牆後方)上,專門用於監控進出特定網絡段的數據流。

工作原理:

  • 異常偵測:這種方式基於行為分析,建立一個基線來描述「正常」行為,然後識別與這個基線有顯著差異的行為。
  • 特徵偵測:這種方式使用預先定義特徵(signature)來識別已知攻擊的模式。
  • 規則偵測:這種方式預先定義規則來識別

優點與缺點:

  • 優點
    • 可以實時或近實時地監控網絡活動。
    • 可以與其他安全措施(例如防火牆、反病毒軟體等)配合使用。
  • 缺點
    • 可能會產生偽陽性(false positive)或偽陰性(false negative)。
    • 需要專門的人員進行配置和維護。

結論:

入侵偵測系統是網絡安全的重要組成部分,它能夠幫助組織及時發現潛在威脅和攻擊行為,並採取適當的應對措施。然而,要最大限度地發揮其效用,需要對其進行細緻的配置和持續的維護。

在評估入侵偵測系統(IDS)或其他分類模型的性能時,一般會出現四種主要的警報(alert)狀態,即真陽性、真陰性、偽陽性和偽陰性。以下是這四種狀態的詳細介紹:

1. 真陽性(True Positive, TP)

真陽性是指系統成功地識別出一個實際存在的威脅或異常行為。這意味著警報是正確的,並且對應到一個真正的安全問題。例如,如果IDS發出了一個針對未經授權訪問的警報,並且該訪問確實是一個未經授權的攻擊,那麼這就是一個真陽性的例子。

2. 真陰性(True Negative, TN)

真陰性是指系統成功地識別出一個實際不存在的威脅或異常行為。也就是說,沒有發出警報,並且這個判斷是正確的。如果一個正常的網絡訪問未觸發任何警報,並且該訪問實際上是合法的,這便是真陰性的例子。

3. 偽陽性(False Positive, FP)

偽陽性是指系統錯誤地識別出一個實際不存在的威脅或異常行為。這通常會導致不必要的警報和後續調查,浪費資源和時間。例如,如果IDS對一個合法的網絡訪問發出了未經授權的訪問警報,這便是偽陽性。

4. 偽陰性(False Negative, FN)

偽陰性是指系統未能識別出一個實際存在的威脅或異常行為。這是一個嚴重的問題,因為它意味著真正的威脅或攻擊未能得到檢測和阻止。例如,如果一個未經授權的網絡訪問未能觸發警報,這便是一個偽陰性的情況。

這四種狀態是評價IDS或其他安全監控系統效能的基礎,通常會用於計算各種性能指標,如精確度、召回率、F1分數等。了解這些基本概念對於正確解讀和應用安全警報是非常重要的。

入侵防禦系統(Intrusion Prevention System,簡稱IPS)是一種網絡安全技術,不僅能偵測網絡中的不正常或可疑行為,還具有阻擋或減緩這些活動的能力。簡言之,IPS 是 IDS(入侵偵測系統)的一個進階版,除了識別外,還能採取主動措施以防止潛在的安全事件。

主要功能:

  1. 數據包過濾:IPS 會實時分析網絡流量,並根據預設的規則或特徵(signature)來過濾或阻止可疑的數據包。
  2. 行為分析:部分 IPS 也會使用異常偵測技術來學習「正常」網絡行為的模式,然後識別和阻止與這些模式不符的行為。
  3. 攻擊阻擋:在識別到威脅後,IPS 可以採取一系列的應對措施,例如切斷與惡意來源的連接、重新配置網絡設備,或者通過更新防火牆規則來阻擋進一步的不正常活動。

部署方式:

  1. 網絡型(NIPS):這種IPS 直接接入到網絡基礎設施中,通常位於防火牆後面,用於監控所有進出網絡的數據。
  2. 主機型(HIPS):這種IPS 是安裝在特定主機上,專門用於保護該主機。

優點與缺點:

  • 優點
    • 可以實時阻擋威脅,提供更主動的保護。
    • 可與其他安全裝置(例如 IDS、防火牆等)協同工作。
  • 缺點
    • 錯誤地阻擋合法流量(偽陽性)可能會對業務造成干擾。
    • 需要專業的配置和維護,以避免性能下降或不正確的警報。

總之,IPS 是一個重要的網絡安全工具,適合用於需要即時、主動防護的環境。然而,要充分發揮其效用,需要有專門人員負責其配置和維護。


上一篇
[Day9] 攻擊分析架構的三種方法 Analysis of attack frameworks
下一篇
[Day11] Malware Exploitation(惡意軟體利用)
系列文
你懂資安 資安就會幫你! CompTIA Security+ (SY0-601) 到底在講什麼!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言