问今天IDS在哪里有用？

EN

首先，IDS技术不一定要简化为简单的模式匹配，但IDS通常也可以解析HTTP流量，包括压缩有效载荷的解压缩、从邮件中提取附件等，并在其中查找模式。此外，像Suricata这样的IDS可以扩展到简单的字符串匹配和脚本语言(如LUA )之间。

一些现代的入侵检测系统还可以使用包含有价值信息的TLS握手分析，比如包含目标主机名的SNI扩展或者从服务器返回的证书。这两种信息都没有加密。有时可以检测到恶意软件，因为它们以不同于其他客户端的特殊方式使用TLS密码或TLS扩展。有关这一领域的一些研究，请参见隐藏在眼前:恶意软件使用TLS和加密。

除此之外，IDS还可以与侦听代理或类似工具一起使用，这些代理将解密后的流量提供给IDS进行更深入的分析。

关于SSL: SSL终止可能发生在IDS查看流量之前。仅仅因为一个the服务器能够处理SSL/TLS并不意味着它必须在the服务器上完成。您的网络边界可能有一台机器对SSL通信进行加密和解密。

除此之外，IDS并不局限于单个的网络流。它可以记录所有的流量，并构建关于什么是正常的统计数据。然后，如果流量突然发生变化，例如，如果源地址的分布发生了显著变化，或者流量大幅度增加，或者在以前从未通信过的机器之间突然出现了通信量，或者任何其他您可以想到的变化模式，那么它可能会提醒人们。不需要查看流量有效负载就可以完成所有这些工作；查看TCP/IP报头以及流量和时间就足以进行此类分析。