Hva er IDS?

IntrusjonsinntrengningsdeteksjonssystemerDetection System) er en samling av programvare og / eller maskinvare som tjener til å oppdage fakta om uautorisert tilgang til et datamaskin / datanettverk, samt å forhindre uautorisert styring av dem.

Hva er IDS?

Enkelt sagt, IDS er et system somDet sikrer sikkerheten til brukerens aktivitet, beskytter den mot ulike typer inntrengninger og nettverksangrep, som i en alder av informasjonsteknologi ikke kan overveies. I tillegg er IDS muligheten til å motta prognoser om fremtidige angrep og hindre dem, samt å lære om informasjon om "angripere", noe som kan være nyttig for å korrigere faktorer som tillot uautorisert tilgang.

Hvorfor er IDS nødvendig?

Nylig bruk av brukereIntrusjonsdeteksjonssystemer blir stadig mer populært. IDS er det viktigste elementet i informasjonssikkerhet som kreves av alle seende brukere. Intrusjonsdetekteringssystemet vil ikke bare oppdage datangrepet og blokkere det, men også utføre det i et praktisk grafisk grensesnitt - brukeren trenger ikke spesiell kunnskap om nettverksprotokoller og mulige sårbarheter.

I analogi med antivirusprogrammer brukes inntrengingsdeteksjonssystemer for den grunnleggende metoden for å oppdage uautorisert aktivitet:

• basert på signaturen. I dette tilfellet, blir analysen utført på grunnlag av egnethet for et spesielt sett med hendelser som entydig kjennetegner en spesiell kjent angrep. Denne teknikken er ganske effektiv og i de viktigste metodene for å søke etter fare.
• basert på uregelmessigheter. Denne typen arbeid er preget av deteksjon av angrep ved å identifisere uvanlig oppførsel av nettverket, serveren eller applikasjonen. Systemer som opererer under denne mekanismen kan effektivt spore angrep, men deres hovedproblem er massen av falske positive.

IDS Arkitektur

Noen IDS inkluderer:

• et sensorsubsystem som kontinuerlig overvåker hendelser relatert til sikkerheten til systemet;
• et analysesubsystem som velger fra alle hendelser,valgt av sensoren, mistenkelig. IDS med et aktivt analysesubsystem i tilfelle deteksjon av mistenkelig aktivitet kan ta responshandlinger til for eksempel, bryte nettverksforbindelsen på egen hånd. Passive IDS vil bare informere administratoren om en mistenkelig handling, og ta hensyn til det eller ikke, brukeren må bestemme seg.
• Lagring, akkumulering av primære hendelser og analyseresultater;
• kontrollpanelet, slik at brukeren kan overvåke systemet.

I de fleste enkle IDS, alle de ovennevntekomponenter er implementert som en enkelt enhet. Avhengig av sensorparametere og analysemetoder gir inntrengingsdeteksjonssystemer et annet nivå av angrepssensor.

IDS, beskytter nettverkssegmentet

Denne typen system er veldig pålitelig, fordiUtplasseringen skjer på en dedikert server der andre programmer ikke kan fungere. I dette tilfellet kan serveren gjøres usynlig for angriperen. For spesielt høy kvalitet beskyttelse

nettverk setter en rekke slike servere som kan analysere trafikk i alle sine segmenter. Med den vellykkede plasseringen av disse systemene kan du overvåke et meget stort nettverk.

IDS-feilen som beskytter nettverkssegmentet ervanskeligheten med å gjenkjenne et angrep på en tid med høy nettverksbelastning. I tillegg kan en slik IDS bare rapportere et angrep, men ikke analysere graden av penetrasjon.

IDS, som beskytter en enkelt server

Disse systemene samler og analysererInformasjon om mistenkelige prosesser som oppstår på en bestemt server. Slike IDS har en ganske smal oppgave, og kan derfor utføre svært detaljert analyse, samt identifisere en bestemt bruker som utfører uautoriserte handlinger.

Noen IDSer som beskytter serveren harevnen til å administrere en gruppe servere samtidig, og utarbeide generelle rapporter om et mulig nettverksangrep. I motsetning til IDS, som beskytter nettverkssegmentet, kan disse systemene fungere selv på et nettverk som bruker kryptering, hvis informasjonen på serveren holdes i klar form før den overføres.

Den største ulempen ved IDS, styring av serveren (e), -manglende evne til å overvåke hele nettverket. For dem er kun pakkene mottatt av den beskyttede serveren synlige. I tillegg reduseres systemytelsen når serveren bruker beregningsressurser.

IDS, beskytte applikasjoner

Disse sikkerhetssystemene overvåker hendelser,forekommer i samme søknad. Som du sannsynligvis allerede gjettet, kan dette systemet lage en rapport med høyest mulig detaljnivå, siden den fungerer med en enda smalere oppgave enn forrige typesystem.

IDS, som beskytter applikasjonen, bruker kunnskap om applikasjonen, samt dataanalyse av systemloggen til analyse. Systemet samhandler med applikasjonen gjennom API.

Ulempen med IDS, beskyttelse av applikasjoner er åpenbar - for smal profil. Selvfølgelig, hvis det er viktig for en bruker å sikre sikkerheten til et bestemt program, er dette et helt akseptabelt alternativ.

IDS - pålitelig beskyttelse?

Intrusjonsdeteksjonssystem - effektivtbruker verktøy for å beskytte mot alle typer uautorisert angrep, men ikke glem at hvis vi snakker om et fullverdig sikkerhet, IDS - bare del av systemet. Fullverdig sikkerhet er:

• Intranett sikkerhetspolitikk;
• system for beskyttelse av verter;
• nettverk revisjon;
• beskyttelse basert på rutere;
• brannmur;
• inntrenging gjenkjenning system;
• politisk respons på oppdagede angrep.

Bare ved å kombinere alle ovennevnte typer beskyttelse korrekt, kan brukeren være helt rolig for sikkerheten til lagring og overføring av viktige data.