所有的入侵检测都会成为宿主吗？

Question

一旦所有网络数据包都被加密，所有的入侵检测都会变成基于主机的入侵检测吗？

Answer 1

如果我正确地理解了你的问题，那么是的。

如果您在所有流量(例如ipsec或SSL/TLS )上使用网络层加密，那么任何基于网络的IDS/IPS检测应用程序级(或任何上层)攻击的能力都将受到限制，因为它是封装/加密的。如果是这样的话，那么拥有某种形式的基于主机的保护是你最好的选择。

Answer 2

不是的。即使你的网络层是完全加密的，这一切都很好，你仍然希望传感器在两个位置的防御深度和警报相关性。您可以并且应该部署各种技术来解密应用程序流中不同位置被截获的通信(代理、负载平衡器、防火墙、SPAN/TAP .)所以您的IDS不应该是完全盲目的。IDS签名在没有数据包内容的情况下可能不太有用，但是仍然可以工作，流和统计数据捕获大多数类型的加密都很好(尽管IPSec ESP会限制这一点)。

我同意，在一个完全加密的网络中，您可能希望将平衡转向基于主机的工具，但这并不是读取您自己加密通信量的唯一方法。要回答您的问题，您可能需要重新定义“主机”，以包括其他可用于分析的清晰通信量的设备，而不仅仅是终端客户端和服务器。

Answer 3

我认为，在一段时间内，基于网络的IDS/IPS将有足够的未加密通信量和其他覆盖情况。

首先，加密在计算和管理上都是昂贵的。除非有一个很好的理由对所有数据进行加密(有限的用例)，否则混合中仍将保持未加密的通信量(即协议聊天--“加密icmp数据包是否有意义？”)。由于IDS/IPS有助于监视和应用策略，从分组报头中的数据(ip地址、端口等)到负载中的数据，安全管理员仍将在基于网络的IDS/IPS中找到价值。

第二，纵深防御策略意味着有多个防御层是保护信息资产的重要策略。如果基于主机的IDS/IPS失败怎么办？如果基于主机的IDS/IPS代理本身存在脆弱性怎么办？从网络外围到主机的惊人的安全工具有助于降低单点故障的风险。

最后，IDS/IPS市场将继续随着市场的发展或面临灭绝的风险。许多供应商已经开始在防火墙或IDS/IPS产品前加上" next - gen“(即next gen防火墙，next gen ids/ips)。此外，IDS/IPS实际上是一个术语，用于描述一组实现技术安全控制的技术和方法。因此，如果市场发生变化，将会有供应商找到创造性的解决方案，或者重复使用或者创建一个新的术语来描述这个市场。