網路安全中的入侵檢測是什麼？

網路安全中的入侵是什麼？

任何在數字網路上的非法行為都被稱為網路入侵。網路入侵通常包括竊取重要的網路資源，這幾乎總是會損害網路和/或資料安全。這可能表現為更危險和普遍的威脅，例如勒索軟體，或者員工或網路上的其他人意外洩露資料。

對您的網路或您分配的域中的地址進行的非法訪問稱為網路入侵。入侵可以是被動的（在這種情況下，訪問是悄無聲息且未被檢測到的）或主動的（在這種情況下，訪問是公開且未被檢測到的）（在這種情況下，會對網路資源進行更改）。

入侵可能來自外部，也可能來自您的網路結構內部（員工、客戶或業務合作伙伴）。一些入侵僅僅是為了提醒您入侵者已進入您的站點並正在用各種訊息或淫穢圖形對其進行破壞。其他入侵則更具惡意，試圖一次性獲取敏感資料，或作為長期寄生連線的一部分，該連線將持續竊取資料，直到被識別出來。

一些入侵者會嘗試植入經過精心設計的程式碼。另一些則會滲透到網路中，秘密地定期竊取資料或用各種訊息更改面向公眾的網站。

攻擊者可以獲取對您系統的物理訪問許可權（透過物理訪問受限的計算機及其硬碟和/或 BIOS）、外部訪問許可權（透過攻擊您的 Web 伺服器或破壞您的防火牆）或內部訪問許可權（透過物理訪問受限的計算機及其硬碟和/或 BIOS）（您自己的使用者、客戶或合作伙伴）。

以下任何一項都可能被視為入侵 -

• 惡意軟體，有時稱為勒索軟體，是一種計算機病毒。

• 試圖未經授權訪問系統

• DDOS（分散式拒絕服務）攻擊

• 破壞網路裝置

• 員工無意中造成的安全漏洞（例如，將安全檔案移動到共享資料夾中）

• 不可靠的使用者，包括公司內部和外部的使用者

• 網路釣魚活動以及其他使用看似真實的通訊欺騙使用者的社交工程攻擊。

網路入侵攻擊技術

在破壞網路方面，攻擊者越來越多地依賴現有的工具和程式以及被盜憑據。例如，作業系統實用程式、商業生產力軟體和指令碼語言顯然不是惡意軟體，並且具有廣泛的合法應用。

• 非對稱路由 - 如果網路允許非對稱路由，則攻擊者通常會使用多條路由來訪問目標裝置或網路。

• 緩衝區溢位 - 攻擊者可以透過用一系列命令替換網路裝置上計算機記憶體特定部分中的常規資料來覆蓋某些記憶體位置，這些命令隨後可用作網路入侵的一部分。

• 隱蔽的 CGI 指令碼 - 公共閘道器介面 (CGI) 允許伺服器將使用者請求中繼到相應的程式並獲取資料以然後轉發給使用者，不幸的是，它為攻擊者提供了一種簡單的機制來訪問網路系統檔案。

• 巨大的流量負載 - 攻擊者可以透過產生系統無法完全過濾的流量負載來造成網路環境中的混亂和擁塞，從而使他們能夠在未被發現的情況下執行攻擊。

• 蠕蟲 - 典型的、孤立的計算機病毒或蠕蟲是最容易和最危險的網路滲透工具之一。蠕蟲通常透過電子郵件附件或即時訊息傳播，它們會消耗大量的網路資源，從而阻止允許的活動進行。

入侵檢測是如何工作的？

入侵檢測系統 (IDS) 是一種僅監控的程式，它可以在駭客造成損害之前檢測並報告網路架構中的異常情況。可以在您的網路上或客戶端系統上設定 IDS（基於主機的 IDS）。

入侵檢測系統通常會查詢已知的攻擊特徵或與預定標準的異常偏差。然後，這些異常的網路流量模式將向上傳遞到 OSI（開放系統互連）模型的協議和應用程式層以進行進一步調查。

IDS 是一種檢測系統，它位於網路基礎設施中即時通訊頻帶（資訊傳送方和接收方之間的通道）之外。相反，它使用 SPAN 或 TAP 埠來監視網路，並檢查內聯網路資料包的副本（透過埠映象獲取），以確保流式傳輸的流量以任何方式都沒有欺詐或偽造。

IDS 可以輕鬆識別格式錯誤的資訊包、DNS 汙染、聖誕節掃描和其他汙染材料，這些材料可能會對您的整體網路效能產生嚴重影響。

入侵檢測系統使用兩種檢測方法 -

• 基於特徵的檢測將資料活動與特徵庫中的特徵或模式進行匹配。例如，當使用基於特徵的檢測時，會忽略不在資料庫中的新的有害行為。

• 與基於特徵的檢測不同，基於行為的檢測會識別任何異常併發出警報，使其能夠識別新型威脅。它被稱為專家系統，因為它會學習您的系統中常規行為的樣子。

Ayushi Bhargava

更新時間： 2022年5月4日

5K+ 次瀏覽

開啟您的 職業生涯

透過完成課程獲得認證

開始學習