logo

TechCodeview

Systém detekcie narušenia (IDS)

Systém detekcie prienikov (IDS) udržiava sieťovú prevádzku, hľadá nezvyčajnú aktivitu a odosiela upozornenia, keď k nej dôjde. Hlavnými povinnosťami systému detekcie narušenia (IDS) sú detekcia a hlásenie anomálií, avšak niektoré systémy detekcie narušenia môžu podniknúť kroky, keď sa zistí škodlivá aktivita alebo nezvyčajná prevádzka. V tomto článku budeme diskutovať o každom bode o systéme detekcie narušenia.

Čo je systém detekcie narušenia?

Systém nazývaný Intrusion Detection System (IDS) sleduje sieťovú prevádzku na škodlivé transakcie a odosiela okamžité výstrahy, keď sú spozorované. Je to softvér, ktorý kontroluje sieť alebo systém na škodlivé aktivity alebo porušenia pravidiel. Každá nezákonná činnosť alebo porušenie sa často zaznamenáva buď centrálne pomocou systému SIEM, alebo sa oznamuje správe. IDS monitoruje sieť alebo systém z hľadiska škodlivých aktivít a chráni počítačovú sieť pred neoprávneným prístupom zo strany používateľov, možno aj zasvätených. Úlohou učenia sa detektora narušenia je vytvoriť prediktívny model (t. j. klasifikátor) schopný rozlišovať medzi „zlými spojeniami“ (narušenie/útoky) a „dobrými (normálnymi) spojeniami“.



Fungovanie systému detekcie narušenia (IDS)

  • IDS (systém detekcie narušenia) monitory premávka na a počítačová sieť na zistenie akejkoľvek podozrivej aktivity.
  • Analyzuje dáta pretekajúce cez sieť, aby hľadala vzorce a znaky abnormálneho správania.
  • IDS porovnáva sieťovú aktivitu so súborom preddefinovaných pravidiel a vzorov, aby identifikoval akúkoľvek aktivitu, ktorá by mohla naznačovať útok alebo prienik.
  • Ak IDS zistí niečo, čo sa zhoduje s jedným z týchto pravidiel alebo vzorov, odošle výstrahu správcovi systému.
  • Správca systému potom môže výstrahu preskúmať a podniknúť kroky, aby zabránil akémukoľvek poškodeniu alebo ďalšiemu narušeniu.

Klasifikácia systému detekcie narušenia (IDS)

Systémy detekcie narušenia sú rozdelené do 5 typov:

  • Systém detekcie narušenia siete (NIDS): Systémy detekcie narušenia siete (NIDS) sú nastavené v plánovanom bode v rámci siete, aby preskúmali prevádzku zo všetkých zariadení v sieti. Vykonáva pozorovanie prechádzajúcej prevádzky v celej podsieti a priraďuje premávku, ktorá sa prenáša na podsiete, ku kolekcii známych útokov. Po identifikácii útoku alebo spozorovaní abnormálneho správania je možné upozornenie odoslať správcovi. Príkladom NIDS je jeho inštalácia na podsieti, kde firewally sú umiestnené s cieľom zistiť, či sa niekto pokúša prelomiť POŽARNE DVERE .
  • Hostiteľský systém detekcie narušenia (HIDS): Hostiteľské systémy detekcie narušenia bezpečnosti (HIDS) bežia na nezávislých hostiteľoch alebo zariadeniach v sieti. HIDS monitoruje prichádzajúce a odchádzajúce pakety iba zo zariadenia a upozorní správcu, ak sa zistí podozrivá alebo škodlivá aktivita. Vytvorí snímku existujúcich systémových súborov a porovná ju s predchádzajúcou snímkou. Ak boli súbory analytického systému upravené alebo odstránené, správcovi sa odošle výstraha, aby to preskúmal. Príklad použitia HIDS je možné vidieť na kriticky dôležitých strojoch, od ktorých sa neočakáva, že zmenia svoje rozloženie.
Systém detekcie narušenia (IDS)

Systém detekcie narušenia (IDS)

  • Protokolový systém detekcie narušenia (PIDS): Protokolový systém detekcie narušenia bezpečnosti (PIDS) obsahuje systém alebo agenta, ktorý by sa dôsledne nachádzal na prednej strane servera a kontroloval a interpretoval protokol medzi používateľom/zariadením a serverom. Snaží sa zabezpečiť webový server pravidelným monitorovaním HTTPS protokol stream a akceptovanie súvisiaceho HTTP protokol . Keďže HTTPS je nešifrované a pred okamžitým vstupom do vrstvy webovej prezentácie by tento systém musel byť umiestnený v tomto rozhraní, aby mohol používať HTTPS.
  • Systém detekcie prienikov založený na aplikačnom protokole (APIDS): Aplikácia Protokolový systém detekcie narušenia (APIDS) je systém alebo agent, ktorý sa vo všeobecnosti nachádza v skupine serverov. Identifikuje prieniky monitorovaním a interpretáciou komunikácie na protokoloch špecifických pre aplikáciu. Napríklad by to monitorovalo protokol SQL explicitne pre middleware pri jeho transakciách s databázou na webovom serveri.
  • Hybridný systém detekcie narušenia: Hybridný systém detekcie narušenia je vytvorený kombináciou dvoch alebo viacerých prístupov k systému detekcie narušenia. V hybridnom systéme detekcie narušenia sú údaje hostiteľského agenta alebo systému kombinované s informáciami o sieti, aby sa vytvoril úplný pohľad na sieťový systém. Hybridný systém detekcie narušenia je efektívnejší v porovnaní s iným systémom detekcie narušenia. Prelude je príkladom hybridného IDS.

Techniky úniku systému detekcie narušenia

  • Fragmentácia: Rozdelenie paketu na menší paket nazývaný fragment a proces je známy ako fragmentácia . To znemožňuje identifikáciu prieniku, pretože nemôže existovať podpis škodlivého softvéru.
  • Kódovanie paketov: Kódovanie paketov pomocou metód ako Base64 alebo hexadecimálne môže skryť škodlivý obsah pred IDS založeným na podpisoch.
  • Dopravné zmätok: Tým, že sa správa skomplikuje na interpretáciu, môže sa znejasnenie využiť na skrytie útoku a vyhnutie sa odhaleniu.
  • Šifrovanie: Poskytuje niekoľko bezpečnostných funkcií, ako je integrita údajov, dôvernosť a súkromie údajov šifrovanie . Nanešťastie, bezpečnostné funkcie používajú vývojári malvéru na skrytie útokov a vyhýbanie sa ich odhaleniu.

Výhody IDS

  • Detekuje škodlivú aktivitu: IDS dokáže odhaliť akékoľvek podozrivé aktivity a upozorniť správcu systému skôr, ako dôjde k akejkoľvek významnej škode.
  • Zlepšuje výkon siete: IDS dokáže identifikovať akékoľvek problémy s výkonom v sieti, ktoré možno riešiť na zlepšenie výkonu siete.
  • Požiadavky na súlad: IDS môže pomôcť pri plnení požiadaviek zhody monitorovaním sieťovej aktivity a generovaním správ.
  • Poskytuje prehľad: IDS generuje cenné informácie o sieťovej prevádzke, ktoré možno použiť na identifikáciu akýchkoľvek slabých stránok a zlepšenie zabezpečenia siete.

Metóda detekcie IDS

  • Metóda založená na podpise: IDS detekuje útoky na základe špecifických vzorov, ako je počet bajtov alebo počet 1 s alebo počet 0 v sieťovej prevádzke. Detekuje tiež na základe už známej sekvencie škodlivých inštrukcií, ktoré malvér používa. Zistené vzory v IDS sú známe ako podpisy. IDS na základe podpisu dokáže ľahko odhaliť útoky, ktorých vzor (podpis) už v systéme existuje, ale je pomerne ťažké odhaliť nové útoky škodlivého softvéru, pretože ich vzor (podpis) nie je známy.
  • Metóda založená na anomálii: Systém IDS založený na anomáliách bol predstavený na detekciu neznámych útokov škodlivého softvéru, pretože nový malvér sa rýchlo vyvíja. V IDS založenom na anomáliách sa používa strojové učenie na vytvorenie dôveryhodného modelu aktivity a čokoľvek prichádzajúce sa porovnáva s týmto modelom a ak sa to v modeli nenájde, je to vyhlásené za podozrivé. Metóda založená na strojovom učení má lepšie zovšeobecnenú vlastnosť v porovnaní s IDS založenou na podpisoch, pretože tieto modely možno trénovať podľa aplikácií a hardvérových konfigurácií.

Porovnanie IDS s firewallmi

IDS aj firewall súvisia s bezpečnosťou siete, ale IDS sa líši od a POŽARNE DVERE ako firewall navonok hľadá prieniky, aby im zabránil. Firewally obmedzujú prístup medzi sieťami, aby zabránili prieniku a ak je útok zvnútra siete, nesignalizuje. IDS opisuje podozrenie na vniknutie, keď k nemu došlo, a potom signalizuje alarm.



Umiestnenie IDS

  • Najoptimálnejšia a najbežnejšia pozícia pre umiestnenie IDS je za firewallom. Aj keď sa táto pozícia líši vzhľadom na sieť. Umiestnenie „za bránou firewall“ umožňuje IDS s vysokou viditeľnosťou prichádzajúcej sieťovej prevádzky a nebude prijímať prevádzku medzi používateľmi a sieťou. Okraj sieťového bodu poskytuje sieti možnosť pripojenia na extranet.
  • V prípadoch, keď je IDS umiestnený za bránou firewall siete, išlo by o obranu pred hlukom z internetu alebo pred útokmi, ako sú skenovanie portov a sieťový mapovač. IDS v tejto polohe by monitorovalo vrstvy 4 až 7 OSI model a použije metódu detekcie založenú na podpise. Zobrazovanie počtu pokusov o porušenia namiesto skutočných porušení, ktoré prešli cez bránu firewall, je lepšie, pretože znižuje množstvo falošných poplachov. Objavenie úspešných útokov proti sieti tiež trvá menej času.
  • Na zachytenie komplexných útokov vstupujúcich do siete možno použiť pokročilé IDS integrované s firewallom. Funkcie pokročilého IDS zahŕňajú viacero kontextov zabezpečenia na úrovni smerovania a režime premostenia. To všetko následne potenciálne znižuje náklady a prevádzkovú zložitosť.
  • Ďalšou možnosťou umiestnenia IDS je v rámci siete. Táto voľba odhalí útoky alebo podozrivú aktivitu v rámci siete. Nepriznanie bezpečnosti vo vnútri siete je škodlivé, pretože môže umožniť používateľom priniesť bezpečnostné riziko alebo umožniť útočníkovi, ktorý sa nabúral do systému, voľne sa pohybovať.

Záver

Intrusion Detection System (IDS) je výkonný nástroj, ktorý môže firmám pomôcť pri zisťovaní a prevencii neoprávneného prístupu do ich siete. Analýzou vzorov sieťovej prevádzky dokáže IDS identifikovať akékoľvek podozrivé aktivity a upozorniť správcu systému. IDS môže byť cenným doplnkom k bezpečnostnej infraštruktúre akejkoľvek organizácie, poskytuje prehľad a zlepšuje výkon siete.

double v jave

Často kladené otázky o systéme detekcie narušenia – často kladené otázky

Rozdiel medzi IDS a IPS?

Keď IDS deteguje prienik, upozorní iba správu siete Systém prevencie vniknutia (IPS) blokuje škodlivé pakety predtým, ako sa dostanú do cieľa.

Aké sú hlavné výzvy implementácie IDS?

Falošné pozitíva a falošné negatívy sú hlavnými nevýhodami IDS. Falošné pozitíva zvyšujú hluk, ktorý môže vážne narušiť účinnosť systému detekcie narušenia (IDS), zatiaľ čo falošne negatívna hodnota nastane, keď IDS prehliadne prienik a považuje ho za platný.



Dokáže IDS odhaliť vnútorné hrozby?

Áno Intrusion Detection System dokáže detekovať hrozby.

Aká je úloha strojového učenia v IDS?

Používaním Strojové učenie je možné dosiahnuť vysokú mieru detekcie a nízku mieru falošných poplachov.