logo

Sistem za zaznavanje vdorov (IDS)

Sistem za zaznavanje vdorov (IDS) vzdržuje, da omrežni promet išče nenavadne dejavnosti in pošilja opozorila, ko do njih pride. Glavne naloge sistema za zaznavanje vdorov (IDS) so odkrivanje nepravilnosti in poročanje, vendar pa lahko določeni sistemi za zaznavanje vdorov ukrepajo, ko se odkrije zlonamerna dejavnost ali nenavaden promet. V tem članku bomo obravnavali vsako točko o sistemu za zaznavanje vdorov.

Kaj je sistem za zaznavanje vdorov?

Sistem, imenovan sistem za zaznavanje vdorov (IDS), opazuje omrežni promet za zlonamerne transakcije in pošlje takojšnje opozorilo, ko ga opazi. To je programska oprema, ki preverja omrežje ali sistem glede zlonamernih dejavnosti ali kršitev pravilnika. Vsaka nezakonita dejavnost ali kršitev se pogosto zabeleži centralno s sistemom SIEM ali pa se o tem obvesti uprava. IDS nadzoruje omrežje ali sistem za zlonamerno dejavnost in ščiti računalniško omrežje pred nepooblaščenim dostopom uporabnikov, vključno z morda notranjimi osebami. Učna naloga detektorja vdorov je zgraditi napovedni model (tj. klasifikator), ki je sposoben razlikovati med 'slabimi povezavami' (vdori/napadi) in 'dobrimi (normalnimi) povezavami'.



Delovanje sistema za zaznavanje vdorov (IDS)

  • IDS (sistem za zaznavanje vdorov) monitorji promet na a računalniško omrežje za odkrivanje kakršne koli sumljive dejavnosti.
  • Analizira podatke, ki tečejo po omrežju, da poišče vzorce in znake nenormalnega vedenja.
  • IDS primerja omrežno dejavnost z naborom vnaprej določenih pravil in vzorcev, da identificira vsako dejavnost, ki bi lahko nakazovala napad ali vdor.
  • Če IDS zazna nekaj, kar se ujema z enim od teh pravil ali vzorcev, pošlje opozorilo skrbniku sistema.
  • Sistemski skrbnik lahko nato razišče opozorilo in ukrepa, da prepreči morebitno škodo ali nadaljnje vdore.

Klasifikacija sistema za zaznavanje vdorov (IDS)

Sistemi za zaznavanje vdorov so razvrščeni v 5 tipov:

  • Sistem za zaznavanje vdorov v omrežje (NIDS): Sistemi za zaznavanje vdorov v omrežje (NIDS) so nastavljeni na načrtovani točki znotraj omrežja, da pregledajo promet iz vseh naprav v omrežju. Izvaja opazovanje prehodnega prometa v celotnem podomrežju in primerja promet, ki je posredovan v podomrežjih, z zbirko znanih napadov. Ko je odkrit napad ali opaženo nenormalno vedenje, se lahko opozorilo pošlje skrbniku. Primer NIDS je namestitev v podomrežje, kjer požarni zidovi se nahajajo, da bi videli, ali nekdo poskuša vdreti požarni zid .
  • Sistem za zaznavanje vdorov (HIDS): Sistemi za zaznavanje vdorov v gostitelje (HIDS) delujejo na neodvisnih gostiteljih ali napravah v omrežju. HIDS spremlja samo dohodne in odhodne pakete iz naprave in bo skrbnika opozoril, če bo zaznana sumljiva ali zlonamerna dejavnost. Posname posnetek obstoječih sistemskih datotek in ga primerja s prejšnjim posnetkom. Če so bile datoteke analitičnega sistema urejene ali izbrisane, se administratorju pošlje opozorilo, da razišče. Primer uporabe HIDS je mogoče videti na kritičnih strojih, za katere se ne pričakuje, da bodo spremenili svojo postavitev.
Sistem za zaznavanje vdorov (IDS)

Sistem za zaznavanje vdorov (IDS)

  • Sistem za zaznavanje vdorov (PIDS), ki temelji na protokolu: Sistem za zaznavanje vdorov (PIDS), ki temelji na protokolu, obsega sistem ali agenta, ki bi bil dosledno nameščen na sprednji strani strežnika ter nadzoroval in interpretiral protokol med uporabnikom/napravo in strežnikom. Spletni strežnik poskuša zavarovati z rednim spremljanjem protokol HTTPS tok in sprejemanje povezanega protokol HTTP . Ker HTTPS ni šifriran in preden takoj vstopi v svojo spletno predstavitveno plast, bi moral ta sistem prebivati ​​v tem vmesniku med uporabo HTTPS.
  • Sistem za zaznavanje vdorov (APIDS), ki temelji na aplikacijskem protokolu: Aplikacija Sistem za zaznavanje vdorov, ki temelji na protokolu (APIDS) je sistem ali agent, ki se običajno nahaja v skupini strežnikov. Prepozna vdore s spremljanjem in interpretacijo komunikacije na protokolih, specifičnih za aplikacijo. To bi na primer nadziralo protokol SQL izrecno do vmesne programske opreme, ko opravlja transakcije z bazo podatkov v spletnem strežniku.
  • Hibridni sistem za zaznavanje vdorov: Hibridni protivlomni sistem je sestavljen s kombinacijo dveh ali več pristopov k sistemu za odkrivanje vdorov. V hibridnem sistemu za zaznavanje vdorov se podatki agenta gostitelja ali sistema združijo z informacijami o omrežju, da se razvije popoln pogled na omrežni sistem. Hibridni protivlomni sistem je bolj učinkovit v primerjavi z ostalimi protivlomnimi sistemi. Prelude je primer Hybrid IDS.

Tehnike izogibanja sistemu za zaznavanje vdorov

  • Razdrobljenost: Delitev paketa na manjši paket, imenovan fragment, postopek pa je znan kot razdrobljenost . Zaradi tega je nemogoče prepoznati vdor, ker ne more obstajati podpis zlonamerne programske opreme.
  • Kodiranje paketa: Kodiranje paketov z metodami, kot sta Base64 ali heksadecimalno, lahko skrije zlonamerno vsebino pred IDS, ki temeljijo na podpisu.
  • Omejitev prometa: S tem, ko je sporočilo bolj zapleteno za interpretacijo, se lahko zakrivanje uporabi za skrivanje napada in izogibanje odkrivanju.
  • Šifriranje: Več varnostnih funkcij, kot so celovitost podatkov, zaupnost in zasebnost podatkov, zagotavlja šifriranje . Na žalost razvijalci zlonamerne programske opreme uporabljajo varnostne funkcije za skrivanje napadov in izogibanje odkritju.

Prednosti IDS

  • Zazna zlonamerno dejavnost: IDS lahko odkrije kakršne koli sumljive dejavnosti in opozori sistemskega skrbnika, preden pride do večje škode.
  • Izboljša delovanje omrežja: IDS lahko prepozna vse težave z zmogljivostjo v omrežju, ki jih je mogoče odpraviti za izboljšanje zmogljivosti omrežja.
  • Zahteve glede skladnosti: IDS lahko pomaga pri izpolnjevanju zahtev glede skladnosti s spremljanjem omrežne dejavnosti in ustvarjanjem poročil.
  • Zagotavlja vpoglede: IDS ustvarja dragocene vpoglede v omrežni promet, ki jih je mogoče uporabiti za prepoznavanje morebitnih slabosti in izboljšanje varnosti omrežja.

Metoda odkrivanja IDS

  • Metoda na podlagi podpisa: IDS, ki temelji na podpisu, zazna napade na podlagi specifičnih vzorcev, kot je število bajtov ali število 1 ali število 0 v omrežnem prometu. Zaznava tudi na podlagi že znanega zaporedja zlonamernih navodil, ki jih zlonamerna programska oprema uporablja. Zaznani vzorci v IDS so znani kot podpisi. IDS, ki temelji na podpisih, zlahka zazna napade, katerih vzorec (podpis) že obstaja v sistemu, vendar je precej težko zaznati nove napade zlonamerne programske opreme, saj njihov vzorec (podpis) ni znan.
  • Metoda, ki temelji na anomalijah: IDS, ki temelji na anomalijah, je bil uveden za odkrivanje napadov neznane zlonamerne programske opreme, saj se nova zlonamerna programska oprema hitro razvija. V IDS, ki temelji na anomalijah, se uporablja strojno učenje za ustvarjanje zaupanja vrednega modela dejavnosti in vse, kar prihaja, se primerja s tem modelom in se razglasi za sumljivo, če ni najdeno v modelu. Metoda, ki temelji na strojnem učenju, ima boljšo generalizirano lastnost v primerjavi z IDS, ki temeljijo na podpisih, saj je te modele mogoče usposobiti glede na aplikacije in konfiguracije strojne opreme.

Primerjava IDS s požarnimi zidovi

IDS in požarni zid sta povezana z varnostjo omrežja, vendar se IDS razlikuje od a požarni zid saj požarni zid išče vdore navzven, da jih prepreči. Požarni zidovi omejujejo dostop med omrežji, da preprečijo vdor, in če je napad znotraj omrežja, ne signalizira. IDS opiše domnevni vdor, ko se zgodi, in nato sproži alarm.



Namestitev IDS

  • Najbolj optimalen in pogost položaj za namestitev IDS je za požarnim zidom. Čeprav se ta položaj razlikuje glede na omrežje. Postavitev 'behind-the-firewall' omogoča IDS visoko vidljivost dohodnega omrežnega prometa in ne bo sprejemala prometa med uporabniki in omrežjem. Rob omrežne točke omogoča omrežju možnost povezave z ekstranetom.
  • V primerih, ko je IDS nameščen onkraj požarnega zidu omrežja, bi se branil pred šumom iz interneta ali branil pred napadi, kot sta skeniranje vrat in preslikava omrežja. IDS v tem položaju bi nadzoroval plasti od 4 do 7 model OSI in bi uporabil metodo zaznavanja na podlagi podpisa. Bolje je prikazati število poskusov vdorov namesto dejanskih vdorov, ki so prišli skozi požarni zid, saj zmanjša število lažno pozitivnih rezultatov. Prav tako potrebuje manj časa za odkrivanje uspešnih napadov na omrežje.
  • Napredni IDS, vključen v požarni zid, se lahko uporablja za prestrezanje kompleksnih napadov, ki vstopajo v omrežje. Funkcije naprednega IDS vključujejo več varnostnih kontekstov na ravni usmerjanja in premostitvenem načinu. Vse to pa potencialno zmanjša stroške in kompleksnost delovanja.
  • Druga možnost za postavitev IDS je znotraj omrežja. Ta izbira razkrije napade ali sumljivo dejavnost znotraj omrežja. Nepriznavanje varnosti v omrežju je škodljivo, saj lahko uporabnikom omogoči varnostno tveganje ali omogoči napadalcu, ki je vdrl v sistem, prosto pohajkovanje.

Zaključek

Sistem za zaznavanje vdorov (IDS) je močno orodje, ki lahko podjetjem pomaga pri odkrivanju in preprečevanju nepooblaščenega dostopa do njihovega omrežja. Z analizo vzorcev omrežnega prometa lahko IDS prepozna vse sumljive dejavnosti in opozori sistemskega skrbnika. IDS je lahko dragocen dodatek k varnostni infrastrukturi katere koli organizacije, saj zagotavlja vpoglede in izboljša delovanje omrežja.

Pogosto zastavljena vprašanja o sistemu za zaznavanje vdorov – pogosta vprašanja

Razlika med IDS in IPS?

Ko IDS zazna vdor, opozori samo skrbništvo omrežja, medtem ko Sistem za preprečevanje vdorov (IPS) blokira zlonamerne pakete, preden dosežejo cilj.

Kateri so ključni izzivi implementacije IDS?

Lažno pozitivni in lažno negativni rezultati so glavne pomanjkljivosti IDS-jev. Lažni pozitivni rezultati povečajo hrup, ki lahko resno zmanjša učinkovitost sistema za zaznavanje vdorov (IDS), medtem ko se lažni negativni rezultati pojavijo, ko IDS zgreši vdor in ga šteje za veljavnega.



Ali lahko IDS odkrije notranje grožnje?

Da, sistem za zaznavanje vdorov lahko zazna grožnje.

Kakšna je vloga strojnega učenja v IDS?

Z uporabo Strojno učenje , je mogoče doseči visoko stopnjo odkrivanja in nizko stopnjo lažnih alarmov.