IDS - kas tas ir? Ielaušanās atklāšanas sistēma (IDS), kā tā darbojas?

IDS - Kas tas ir? Kā šī sistēma darbojas? Iebrukuma atklāšanas sistēmas ir programmatūra vai aparatūra, lai noteiktu uzbrukumus un ļaunprātīgas darbības. Viņi palīdz tīkliem un datorsistēmām, lai viņiem nodrošinātu atbilstošu atsaukšanu. Lai sasniegtu šo mērķi, IDS apkopo informāciju no vairākiem sistēmas vai tīkla avotiem. Tad IDS sistēma to analizē par uzbrukumu klātbūtni. Šis raksts mēģinās atbildēt uz jautājumu: "IDS - kas tas ir un kas tas ir?"

Kāpēc ielaušanās atklāšanas sistēmas (IDS)

Informācijas sistēmas un tīkli pastāvīgi tiek pakļauti kiberuzbrukumiem. Ugunsmūri un pretvīrusi, lai atturētu visus šos uzbrukumus, acīmredzami nepietiek, jo tie spēj aizsargāt tikai datorsistēmu un tīklu "priekšējās durvis". Dažādi pusaudži, iedomājoties sevi hackers, nepārtraukti berzēt internetu, meklējot plaisas drošības sistēmās.

Pateicoties World Wide Web, viņiem ir daudz pilnīgi brīvas ļaunprātīgas programmatūras - visu veidu surogātpasta izplatītāji, žalūzijas un līdzīgas kaitīgas programmas. Profesionālo laupītāju pakalpojumus izmanto konkurējošie uzņēmumi, lai neitralizētu cits citu. Tātad sistēmas, kas nosaka ielaušanās atklāšanas sistēmas, ir absolūti nepieciešamas. Nav pārsteidzoši, ka tie arvien vairāk tiek izmantoti katru dienu.

IDS elementi

IDS elementi ietver:

• Detektora apakšsistēma, kuras mērķis ir tīkla vai datorsistēmas notikumu uzkrāšanās;
• Analīzes apakšsistēma, kas atklāj kiberuzbrukumus un apšaubāmu darbību;
• Uzglabāšana informācijas uzkrāšanai par notikumiem, kā arī kiberuzbrukumu un neatļautu darbību analīzes rezultātiem;
• Vadības konsolē, ar kuras palīdzību jūs varat iestatīt IDS parametrus, pārrauga tīkla (vai datorsistēmas) statusu, ir pieejama informācija par uzbrukuma analīzes apakšsistēmas konstatētajām un nelikumīgajām darbībām.

Starp citu, daudzi var jautāt: "Kā IDS tulko?" Tulkošana no angļu valodas izklausās kā "sistēma, kas uzņemas karstos nezināmos viesus".

Galvenie uzdevumi, kurus atrisina ielaušanās atklāšanas sistēmas

Ielaušanās atklāšanas sistēmai ir divi galvenie uzdevumi: informācijas avotu analīze un atbilstoša atbilde, pamatojoties uz šīs analīzes rezultātiem. Lai veiktu šos uzdevumus, IDS sistēma veic šādas darbības:

• Uzrauga un analizē lietotāju aktivitāti;
• Tā pārbauda sistēmas konfigurāciju un tās vājās vietas;
• Pārbauda vissvarīgāko sistēmas failu, kā arī datu failu integritāti;
• Veic statistikas analīzi par sistēmas stāvokli, pamatojoties uz salīdzinājumu ar tiem, kas notika jau zināmu uzbrukumu laikā;
• Pārbauda operētājsistēmu.

Ko var nodrošināt ielaušanās atklāšanas sistēma un kas ir ārpus tās jaudas

Ar tās palīdzību jūs varat sasniegt sekojošo:

• Uzlabot tīkla infrastruktūras integritāti;
• Izsekot lietotāja aktivitātēm no brīža, kad tas tiek ievadīts sistēmā, un līdz laikam, kad tas tiek nodarīts kaitējums vai tiek veiktas jebkādas neautorizētas darbības;
• Identificējiet un paziņojiet par datu maiņu vai dzēšanu;
• Automatizējiet interneta uzraudzības uzdevumus, lai meklētu jaunākos uzbrukumus;
• Identificēt kļūdas sistēmas konfigurācijā;
• Atklājiet uzbrukuma sākumu un paziņojiet par to.

IDS sistēma to nevar izdarīt:

• Aizpildīt tīkla protokolu kļūdas;
• Spēlēt kompensējošu lomu vāja identifikācijas un autentifikācijas mehānismu gadījumā tīklā vai datorsistēmās, ko tā uzrauga;
• Jāņem vērā arī tas, ka IDS ne vienmēr var tikt galā ar problēmām, kas saistītas ar paketes līmeņa uzbrukumiem.

IPS (ielaušanās novēršanas sistēma) - turpināta IDS

IPS nozīmē "iejaukšanās sistēmā novēršana". Tās ir paplašinātas, vairāk funkcionējošas IDS šķirnes. IPS IDS sistēmas ir reaktīvas (atšķirībā no tradicionālajām). Tas nozīmē, ka viņi var ne tikai atklāt, reģistrēt un paziņot par uzbrukumu, bet arī veikt aizsardzības funkcijas. Šīs funkcijas ietver savienojumu atiestatīšanu un ienākošo satiksmes paku bloķēšanu. Vēl viena atšķirīga iezīme IPS ir tā, ka viņi strādā tiešsaistē un var automātiski bloķēt uzbrukumus.

IDS pasugas, veicot uzraudzību

NIDS (t.i. IDS, kas pārrauga visu tīklu) analizē visu apakštīkla datplūsmu un tiek centralizēti pārvaldīta. Pareizu atrašanās vietu vairākiem NIDS var panākt, novērojot diezgan lielu tīkla izmēru.

Viņi strādā nedalāmā režīmā (tas ir, viņi pārbauda visus ienākošos paketus un to nedara selektīvi), salīdzinot apakštīkla datplūsmu ar zināmiem uzbrukumiem no savas bibliotēkas. Ja tiek atklāts uzbrukums vai tiek konstatēta neautorizēta darbība, brīdinājuma signāls tiek nosūtīts administratoram. Tomēr jāatzīmē, ka lielā tīklā ar lielu datplūsmu NIDS dažreiz nespēj pārbaudīt visas informācijas paketes. Tādēļ pastāv iespēja, ka "skriešanās stundā" viņi nespēs atpazīt uzbrukumu.

NIDS (tīkla IDS) ir tās sistēmas, kuras ir viegli integrēt jaunās tīkla topoloģijās, jo tās īpaši neietekmē to darbību, tās ir pasīvas. Tie reģistrē, reģistrē un paziņo tikai pretēji reakcijas tipa IPS sistēmām, par kurām aprakstīts iepriekš. Tomēr tas arī jāpasaka par tīkla IDS, ka tās ir sistēmas, kas nevar analizēt šifrētu informāciju. Šis ir ievērojams trūkums, jo arvien pieaugošā virtuālo privāto tīklu (VPN) ieviešanas dēļ kibernoziedznieki arvien biežāk izmanto šifrētu informāciju par uzbrukumiem.

Arī NIDS nevar noteikt, kas noticis uzbrukuma rezultātā, neatkarīgi no tā, vai tas ir nodarīts kaitējums vai nē. Viss, kas viņu spēkos, ir noteikt tā sākumu. Tādēļ administrators ir spiests patstāvīgi atkārtoti pārbaudīt katru uzbrukuma gadījumu, lai pārliecinātos, ka uzbrucēji ir sasnieguši savu mērķi. Vēl viena būtiska problēma ir tā, ka NIDS diez vai var atklāt uzbrukumus, izmantojot sadrumstalotos paketes. Tie ir īpaši bīstami, jo tie var traucēt NIDS normālu darbību. Ko tas var nozīmēt visam tīklam vai datorsistēmai, jums nav nepieciešams izskaidrot.

HIDS (uzņēmējas ielaušanās atklāšanas sistēma)

HIDS (IDS, saimniekdatora uzraudzība) kalpo tikai konkrētam datoram. Tas, protams, nodrošina daudz lielāku efektivitāti. HIDS analizē divu veidu informāciju: operētājsistēmas sistēmas žurnālus un revīzijas rezultātus. Viņi ņem momentāņu no sistēmas failiem un salīdzina to ar agrāku momentuzņēmumu. Ja sistēmas kritiskie faili ir mainīti vai izdzēsti, brīdinājuma signāls tiek nosūtīts administratoram.

Būtiska priekšrocība no HIDS ir spēja veikt savu darbu situācijā, kad tīkla trafiku var šifrēt. Tas ir iespējams tāpēc, ka uz resursiem balstītus informācijas avotus var izveidot pirms datu šifrēšanas vai pēc tam, kad tie ir atšifrēti galamērķa uzņēmējā.

Šīs sistēmas trūkumi ietver iespēju to bloķēt vai pat aizliegt dažu veidu DoS uzbrukumiem. Problēma ir tāda, ka sensori un daži HIDS analīzes rīki atrodas uzņēmējā, uz kuru tiek uzbrukti, tas ir, uz tiem arī tiek uzbrukti. Fakts, ka HIDS izmanto resursus saimniekiem, kuru darbu viņi pārrauga, ir grūti piesaukt plus, jo tas, protams, samazina to veiktspēju.

IDS IDE, lai noteiktu uzbrukumu noteikšanas metodes

Anomāliju metode, parakstu analīzes metode un politikas metode - šādi apakštipi, izmantojot uzbrukumu noteikšanas metodes, ir IDS sistēma.

Parakstu analīzes metode

Šajā gadījumā datu paketes tiek pārbaudītas uzbrukuma parakstiem. Uzbrukuma paraksts ir notikuma atbilstība vienam no paraugiem, kas raksturo zināmo uzbrukumu. Šī metode ir diezgan efektīva, jo, kad to lietojat, ziņojumi par viltus uzbrukumiem ir diezgan reti.

Anomāliju metode

Ar tā palīdzību tīklā un saimniekos tiek atklātas nelegālas darbības. Balstoties uz uzņēmējas un tīkla parastās darbības vēsturi, tiek veidoti speciāli profili, kuros ir dati par to. Tad parādās īpašie detektori, kas analizē notikumus. Izmantojot dažādus algoritmus, viņi analizē šos notikumus, salīdzinot tos ar "standartu" profilos. Nepieciešamība uzkrāt milzīgu skaitu uzbrukuma parakstu ir konkrēta šīs metodes pievienotā vērtība. Tomēr ievērojams skaits nepatiesu signālu par uzbrukumiem ar netipiskiem, bet diezgan likumīgiem notikumiem tīklā - tas ir tā neapšaubāms negatīvs.

Politikas metode

Vēl viena metode, kā noteikt uzbrukumus, ir politikas metode. Tās būtība - tīkla drošības noteikumu izstrādē, kurā, piemēram, var norādīt principu, ka tīkls ir savstarpēji savienojams ar izmantotajiem protokoliem. Šī metode ir daudzsološa, taču grūtības rodas samērā sarežģītajā politikas bāzes veidošanas procesā.

ID Systems nodrošinās uzticamu aizsardzību jūsu tīkliem un datorsistēmām

ID Systems Group of Companies ir viens no tirgus līderiem datortīklu drošības sistēmu izveidē. Tas sniegs jums drošu aizsardzību pret kibernoziegumiem. Izmantojot ID sistēmu aizsardzības sistēmas, jums nav jāuztraucas par svarīgiem datiem. Pateicoties tam, jūs varēsiet izbaudīt dzīvi vairāk, jo jums būs mazāk trauksmes savā dvēselē.

ID sistēmas - darbinieku atsauksmes

Laba komanda un, pats galvenais, protams, ir uzņēmuma vadības pareizā attieksme pret saviem darbiniekiem. Visiem (pat jaundzimušajiem jaunajiem) ir iespēja profesionāli attīstīties. Patiesi, šim, protams, ir jāpierāda sev, un tad viss izrādīsies.

Komanda ir veselīga atmosfēra. Iesācējiem vienmēr viss tiek mācīts, un viss tiks parādīts. Neviena veselīga konkurence nav jūtama. Darbinieki, kuri daudzus gadus strādā uzņēmumā, ir priecīgi dalīties ar visām tehniskajām detaļām. Viņi ir labvēlīgi, pat bez pazemības ēnas atbild uz visstingrākajiem jautājumiem par nepieredzējušiem strādniekiem. Kopumā no darba ID Systems ir dažas patīkamas emocijas.

Vadības attieksme ir patīkami patīkama. Arī priecājas, ka šeit, protams, viņi spēj strādāt ar kadriem, jo komanda patiešām ir ļoti profesionāla. Darbinieku viedoklis ir gandrīz viennozīmīgs: viņi jūtas mājās mājās.