IDS 入侵检测系统
Intrusion Detection System。监控系统/网络活动、发现可能入侵就告警的应用。被动检测,不主动阻止。
IDS vs IPS
| IDS | IPS | |
|---|---|---|
| 全称 | Intrusion Detection | Intrusion Prevention |
| 动作 | 告警 | 拦截 |
| 部署位置 | 旁路(听镜像流量) | 串行(在流量路径上) |
| 误报代价 | 一条没用的告警 | 阻断合法业务 |
| 调优要求 | 中 | 高 |
很多公司先部 IDS(只看不动)调一段时间,信心足了再升级 IPS。
检测方法
- Signature-based —— 跟已知攻击指纹库匹配(精准但只能查已知)
- Anomaly-based —— 跟”正常”基线比较,发现异常(能查未知但误报多)
- Behavior-based —— 看流程是否符合正常模式
部署形态
- NIDS —— Network IDS,监控网络流量
- HIDS —— Host IDS,监控单台主机(文件完整性、日志)
- WAF —— 应用层 IDS/IPS 子集
主流工具
- Snort —— 开源 NIDS 鼻祖
- Suricata —— 现代化、多线程、性能好
- Zeek(原 Bro) —— 强大的流量分析框架
- OSSEC / Wazuh —— HIDS
跟 SIEM 的关系
- IDS 告警是 SIEM 的重要数据源
- SIEM 跨多个 IDS 做关联,发现单 IDS 看不到的攻击链
- IDS 告警量大,SIEM 帮过滤和优先级排序
跟 Firewall 区别:Firewall 在边界做粗筛(端口、IP),IDS 在内部深度分析。两者互补,不互相替代。