IDS - hvad er det? Intrusion Detection System (IDS), hvordan virker det?

IDS - Hvad er det? Hvordan virker dette system? Intrusionsdetekteringssystemer er software eller hardware til at registrere angreb og ondsindede handlinger. De hjælper netværk og computersystemer til at give dem en ordentlig tilbagekaldelse. For at nå dette mål indsamler IDS information fra flere system- eller netværkskilder. Derefter analyserer IDS-systemet det for tilstedeværelsen af angreb. Denne artikel vil forsøge at besvare spørgsmålet: "IDS - hvad er det og hvad er det til?"

Hvorfor Intrusion Detection Systems (IDS)

Informationssystemer og netværk udsættes konstant for cyberangreb. Firewalls og antivirusser til at afvise alle disse angreb er helt klart ikke nok, fordi de kun kan beskytte "hoveddøren" af computersystemer og netværk. Forskellige teenagere, der forestiller sig hackere, fortsætter med at skure internettet for at finde revner i sikkerhedssystemer.

Takket være World Wide Web har de en masse helt gratis ondsindet software - alle former for spammere, blinds og lignende skadelige programmer. Tjenester fra professionelle tyverier bruges af konkurrerende virksomheder til at neutralisere hinanden. Så systemer, der registrerer indtrængningssystemer, er en absolut nødvendighed. Ikke overraskende bliver de mere udbredte dag for dag.

IDS elementer

IDS elementer omfatter:

• Et detektor-delsystem, hvis formål er akkumulering af netværks- eller computersystemhændelser
• Et analysesubsystem, der registrerer cyberangreb og tvivlsom aktivitet
• Opbevaring til akkumulering af oplysninger om begivenheder samt resultaterne af analysen af cyberangreb og uautoriserede handlinger;
• En administrationskonsol, hvor du kan indstille IDS-parametre, overvåge status for netværket (eller computersystemet), har adgang til oplysninger om detekteret af angrebsanalysesystemet og ulovlige handlinger.

Af den måde kan mange spørge: "Hvordan er IDS oversat?" Oversættelse fra engelsk lyder som "et system, der fanger på varme ubudne gæster."

De vigtigste opgaver, der løses af indbrudsdetekteringssystemer

Intrusionsdetekteringssystemet har to hovedopgaver: Analyse af kilder til information og et passende svar baseret på resultaterne af denne analyse. For at udføre disse opgaver udfører IDS-systemet følgende handlinger:

• Overvåger og analyserer brugeraktivitet
• Det reviderer systemets konfiguration og dets svagheder;
• Kontrollerer integriteten af de vigtigste systemfiler samt datafiler;
• Gennemfører en statistisk analyse af systemets tilstander, baseret på sammenligning med de der forekom under allerede kendte angreb
• Reviderer operativsystemet.

Hvad kan indbrudsdetekteringssystemet give, og hvad der er uden for sin magt

Med sin hjælp kan du opnå følgende:

• Forbedre netværksinfrastrukturens integritet
• Spor brugerens aktivitet fra det tidspunkt, hvor han indtræder i systemet og indtil det tidspunkt, hvor det er skadet eller produktionen af uautoriserede handlinger.
• Identificer og underret om ændring eller sletning af data;
• Automatiser internetovervågningsopgaver for at søge efter de seneste angreb;
• Identificer fejl i systemkonfigurationen;
• Registrere begyndelsen af angrebet og give besked om det.

IDS-systemet kan ikke gøre dette:

• At udfylde fejl i netværksprotokoller;
• Spil en kompenserende rolle i tilfælde af svage identifikations- og godkendelsesmekanismer i de netværk eller computersystemer, som den overvåger
• Det skal også bemærkes, at IDS ikke altid klare de problemer, der er forbundet med pakke-niveau angreb.

IPS (indbrudssikringssystem) - fortsat IDS

IPS står for "at forhindre indtrængen i systemet." Disse er udvidet, mere funktionelle sorter af IDS. IPS IDS-systemer er reaktive (i modsætning til konventionelle). Det betyder, at de ikke kun kan registrere, registrere og underrette om et angreb, men også udføre beskyttelsesfunktioner. Disse funktioner omfatter genoprettelse af forbindelser og blokering af indkommende trafikpakker. Et andet kendetegn ved IPS er, at de arbejder online og kan automatisk blokere angreb.

IDS underarter som overvågning

NIDS (dvs. IDS'er, der overvåger hele netværket) analyserer trafikken i hele undernetværket og styres centralt. Den korrekte placering af flere NIDS kan opnås ved at overvåge en temmelig stor netværksstørrelse.

De arbejder i en ulæselige tilstand (det vil sige, de kontrollerer alle indgående pakker, og gør det ikke selektivt), sammenligner subnettrafik med kendte angreb fra deres bibliotek. Når et angreb er identificeret eller en uautoriseret aktivitet registreres, sendes en alarm til administratoren. Det skal dog nævnes, at NIDS undertiden ikke kontrollerer alle informationspakker i et stort netværk med stor trafik. Derfor er der en mulighed for, at de i løbet af "rush hour" ikke vil kunne genkende angrebet.

NIDS (netværksbaserede IDS) er de systemer, der er nemme at integrere i nye netværkstopologier, da de ikke har nogen særlig virkning på deres funktion, idet de er passive. De optager kun, registrerer og notificerer i modsætning til den reaktive type IPS-systemer, der er diskuteret ovenfor. Det skal dog også siges om netværksbaserede IDS, at disse er systemer, der ikke kan analysere information, der er krypteret. Dette er en betydelig ulempe, fordi krypterede oplysninger i stigende grad bliver brugt af cyberkriminelle til angreb på grund af den stadigt stigende introduktion af virtuelle private netværk (VPN'er).

NIDS kan heller ikke bestemme, hvad der skete som følge af angrebet, uanset om det har skadet eller ej. Alt der er i deres magt er at rette sin begyndelse. Derfor er administratoren tvunget til uafhængigt at kontrollere hvert tilfælde af et angreb for at sikre, at angriberne har nået deres mål. Et andet vigtigt problem er, at NIDS næppe kan opdage angreb ved hjælp af fragmenterede pakker. De er især farlige, da de kan forstyrre normal drift af NIDS. Hvad dette kan betyde for hele netværket eller computersystemet, behøver du ikke at forklare.

HIDS (værtsindbruddetekteringssystem)

HIDS (IDS, værtsovervågning) tjener kun en bestemt computer. Dette giver selvfølgelig meget højere effektivitet. HIDS analyserer to typer information: system logs og revisionsresultater af operativsystemet. De tager et øjebliksbillede af systemfilerne og sammenligner det med et tidligere øjebliksbillede. Hvis kritiske filer til systemet er blevet ændret eller slettet, sendes en alarm til administratoren.

En væsentlig fordel ved HIDS er evnen til at udføre sit arbejde i en situation, hvor netværkstrafik kan krypteres. Dette er muligt på grund af, at værtsbaserede informationskilder kan oprettes, før data krypteres, eller efter at de er dekrypteret på destinationsværten.

Ulemperne ved dette system inkluderer muligheden for at blokere eller endog forbyde visse typer DoS-angreb. Problemet her er, at sensorerne og nogle HIDS analyseværktøjer er på værten, der angribes, det vil sige at de også bliver angrebet. Det faktum, at HIDS bruger ressourcerne til værter, hvis arbejde de overvåger, er også svært at kalde et plus, da det naturligvis reducerer deres ydeevne.

IDS IDE'er til metoder til registrering af angreb

Metoden for afvigelser, metoden til underskriftsanalyse og metoden for politikker - sådanne undertyper ved metoder til at påvise angreb har IDS-systemet.

Signaturanalysemetode

I dette tilfælde kontrolleres datapakkerne for angrebssignaturer. Signaturen af angrebet er korrespondance af arrangementet til en af de prøver, der beskriver det kendte angreb. Denne metode er ret effektiv, for når du bruger den, er beskeder om falske angreb ret sjældne.

Metode for anomalier

Med sin hjælp opdages der ulovlige handlinger på netværket og på værter. Baseret på historien om den normale drift af værten og netværket oprettes specielle profiler med data om det. Derefter kommer specielle detektorer til spil, der analyserer begivenhederne. Ved hjælp af forskellige algoritmer analyserer de disse begivenheder og sammenligner dem med "normen" i profilerne. Fraværet af behovet for at akkumulere et stort antal angreb signaturer er et konkret plus af denne metode. Men et betydeligt antal falske signaler om angreb med atypiske, men ret legitime begivenheder i netværket - dette er uden tvivl negativt.

Politisk metode

En anden metode til at opdage angreb er den politiske metode. Kernen i det - i etableringen af netværkssikkerhedsregler, hvor f.eks. Princippet om netværk mellem hinanden og de anvendte protokoller kan specificeres. Denne metode er lovende, men vanskeligheden ligger i den ret komplicerede proces med at skabe en politikbase.

ID Systems vil give pålidelig beskyttelse af dine netværk og computersystemer

ID Systems gruppen af virksomheder er en af markedsledere inden for oprettelse af sikkerhedssystemer til computernetværk. Det giver dig en pålidelig beskyttelse mod cyber-skurke. Med ID Systems beskyttelsessystemer kan du ikke bekymre dig om de vigtige data for dig. Takket være dette vil du kunne nyde livet mere, fordi du vil have mindre angst i din sjæl.

ID Systems - medarbejder feedback

Et fint team, og vigtigst af alt, er selvfølgelig den rigtige holdning til virksomhedens ledelse til medarbejderne. Alle (selv de spændende nykommere) har mulighed for professionel vækst. Sandt, selvfølgelig skal du bevise dig selv, og så vil alt vise sig.

Holdet har en sund atmosfære. Begyndere vil altid blive undervist i alt, og alt vil blive vist. Ingen usund konkurrence synes ikke. Medarbejdere, der arbejder i virksomheden i mange år, deler med glæde alle de tekniske finesser. De er velvillige, selv uden en skygge af nedlæggelse besvare de mest dumme spørgsmål af uerfarne arbejdere. Generelt fra arbejde i ID Systems nogle hyggelige følelser.

Holdningen af ledelsen er behageligt glædeligt. Glæder sig også over, at her selvfølgelig de er i stand til at arbejde med kadre, fordi teamet er meget professionelt. Medarbejdernes mening er næsten entydig: de føler sig hjemme hjemme.