logo

TechCodeview

Sistem de detectare a intruziunilor (IDS)

Un sistem de detectare a intruziunilor (IDS) menține traficul de rețea căutează activități neobișnuite și trimite alerte atunci când aceasta are loc. Principalele sarcini ale unui sistem de detectare a intruziunilor (IDS) sunt detectarea și raportarea anomaliilor, cu toate acestea, anumite sisteme de detectare a intruziunilor pot lua măsuri atunci când se descoperă activități rău intenționate sau trafic neobișnuit. În acest articol, vom discuta fiecare punct despre sistemul de detectare a intruziunilor.

rețea și tipuri de rețea

Ce este un sistem de detectare a intruziunilor?

Un sistem numit sistem de detectare a intruziunilor (IDS) observă traficul de rețea pentru tranzacții rău intenționate și trimite alerte imediate atunci când este observat. Este un software care verifică o rețea sau un sistem pentru activități rău intenționate sau încălcări ale politicii. Fiecare activitate ilegală sau încălcare este adesea înregistrată fie central, folosind un sistem SIEM, fie notificată unei administrații. IDS monitorizează o rețea sau un sistem pentru activități rău intenționate și protejează o rețea de computere împotriva accesului neautorizat din partea utilizatorilor, inclusiv a persoanelor din interior. Sarcina de învățare a detectorului de intruziune este de a construi un model predictiv (adică un clasificator) capabil să facă distincția între „conexiuni proaste” (intruziune/atacuri) și „conexiuni bune (normale)”.



Funcționarea sistemului de detectare a intruziunilor (IDS)

  • Un IDS (sistem de detectare a intruziunilor) monitoare traficul pe a rețea de calculatoare pentru a detecta orice activitate suspectă.
  • Acesta analizează datele care circulă prin rețea pentru a căuta modele și semne de comportament anormal.
  • IDS compară activitatea rețelei cu un set de reguli și modele predefinite pentru a identifica orice activitate care ar putea indica un atac sau o intruziune.
  • Dacă IDS detectează ceva care se potrivește cu una dintre aceste reguli sau modele, trimite o alertă administratorului de sistem.
  • Administratorul de sistem poate investiga apoi alerta și poate lua măsuri pentru a preveni orice deteriorare sau intruziune ulterioară.

Clasificarea sistemului de detectare a intruziunilor (IDS)

Sistemele de detectare a intruziunilor sunt clasificate în 5 tipuri:

  • Sistem de detectare a intruziunilor în rețea (NIDS): Sistemele de detectare a intruziunilor în rețea (NIDS) sunt configurate într-un punct planificat din rețea pentru a examina traficul de la toate dispozitivele din rețea. Realizează o observare a traficului care trece pe întreaga subrețea și potrivește traficul care este transmis pe subrețele cu colecția de atacuri cunoscute. Odată ce un atac este identificat sau este observat un comportament anormal, alerta poate fi trimisă administratorului. Un exemplu de NIDS este instalarea lui pe subrețea unde firewall-uri sunt localizate pentru a vedea dacă cineva încearcă să spargă firewall .
  • Sistemul de detectare a intruziunilor gazdă (HIDS): Sistemele de detectare a intruziunilor gazdă (HIDS) rulează pe gazde sau dispozitive independente din rețea. Un HIDS monitorizează pachetele de intrare și de ieșire numai de pe dispozitiv și va alerta administratorul dacă este detectată activitate suspectă sau rău intenționată. Acesta face un instantaneu al fișierelor de sistem existente și îl compară cu instantaneul anterior. Dacă fișierele de sistem analitic au fost editate sau șterse, administratorului este trimisă o alertă pentru a investiga. Un exemplu de utilizare a HIDS poate fi văzut pe mașinile critice, care nu sunt de așteptat să-și schimbe aspectul.
Sistem de detectare a intruziunilor (IDS)

Sistem de detectare a intruziunilor (IDS)

  • Sistem de detectare a intruziunilor bazat pe protocol (PIDS): Sistemul de detectare a intruziunilor bazat pe protocol (PIDS) cuprinde un sistem sau un agent care ar locui în mod constant la partea frontală a unui server, controlând și interpretând protocolul dintre un utilizator/dispozitiv și server. Încearcă să securizeze serverul web prin monitorizarea regulată a Protocolul HTTPS stream și acceptând cele legate Protocolul HTTP . Deoarece HTTPS este necriptat și înainte de a intra instantaneu în stratul său de prezentare web, acest sistem ar trebui să locuiască în această interfață, pentru a utiliza HTTPS.
  • Sistem de detectare a intruziunilor bazat pe protocol de aplicație (APIDS): O aplicatie Sistem de detectare a intruziunilor bazat pe protocol (APIDS) este un sistem sau un agent care rezidă în general într-un grup de servere. Identifică intruziunile prin monitorizarea și interpretarea comunicării pe protocoale specifice aplicației. De exemplu, acest lucru ar monitoriza protocolul SQL în mod explicit către middleware, în timp ce acesta efectuează tranzacții cu baza de date de pe serverul web.
  • Sistem hibrid de detectare a intruziunilor: Sistemul hibrid de detectare a intruziunilor este realizat prin combinarea a două sau mai multe abordări ale sistemului de detectare a intruziunilor. În sistemul hibrid de detectare a intruziunilor, agentul gazdă sau datele sistemului sunt combinate cu informațiile de rețea pentru a dezvolta o vedere completă a sistemului de rețea. Sistemul hibrid de detectare a intruziunilor este mai eficient în comparație cu celălalt sistem de detectare a intruziunilor. Prelude este un exemplu de IDS hibrid.

Tehnici de evaziune a sistemului de detectare a intruziunilor

  • Fragmentare: Împărțirea pachetului în pachet mai mic numit fragment și procesul este cunoscut ca fragmentare . Acest lucru face imposibilă identificarea unei intruziuni, deoarece nu poate exista o semnătură malware.
  • Codificarea pachetelor: Codificarea pachetelor folosind metode precum Base64 sau hexazecimal poate ascunde conținutul rău intenționat din ID-urile bazate pe semnături.
  • Ofucare a traficului: Făcând mesajul mai complicat de interpretat, ofuscarea poate fi utilizată pentru a ascunde un atac și pentru a evita detectarea.
  • Criptare: Mai multe caracteristici de securitate, cum ar fi integritatea datelor, confidențialitatea și confidențialitatea datelor, sunt furnizate de criptare . Din păcate, caracteristicile de securitate sunt folosite de dezvoltatorii de programe malware pentru a ascunde atacurile și pentru a evita detectarea.

Beneficiile IDS

  • Detectează activitatea rău intenționată: IDS poate detecta orice activitate suspectă și poate alerta administratorul de sistem înainte ca orice daune semnificative să se producă.
  • Îmbunătățește performanța rețelei: IDS poate identifica orice probleme de performanță în rețea, care pot fi rezolvate pentru a îmbunătăți performanța rețelei.
  • Cerințe de conformitate: IDS poate ajuta la îndeplinirea cerințelor de conformitate prin monitorizarea activității rețelei și generarea de rapoarte.
  • Oferă perspective: IDS generează informații valoroase asupra traficului de rețea, care pot fi utilizate pentru a identifica orice puncte slabe și pentru a îmbunătăți securitatea rețelei.

Metoda de detectare a IDS

  • Metodă bazată pe semnătură: IDS bazat pe semnătură detectează atacurile pe baza modelelor specifice, cum ar fi numărul de octeți sau un număr de 1 sau numărul de 0 din traficul de rețea. De asemenea, detectează pe baza secvenței deja cunoscute de instrucțiuni rău intenționate care este utilizată de malware. Modelele detectate în IDS sunt cunoscute ca semnături. IDS-ul bazat pe semnături poate detecta cu ușurință atacurile al căror model (semnătură) există deja în sistem, dar este destul de dificil să detectezi noile atacuri malware, deoarece modelul lor (semnătură) nu este cunoscut.
  • Metodă bazată pe anomalii: IDS bazat pe anomalii a fost introdus pentru a detecta atacurile malware necunoscute pe măsură ce noul malware este dezvoltat rapid. În IDS bazat pe anomalii există utilizarea învățării automate pentru a crea un model de activitate de încredere și orice lucru care vine este comparat cu acel model și este declarat suspect dacă nu este găsit în model. Metoda bazată pe învățarea automată are o proprietate mai generalizată în comparație cu IDS bazat pe semnătură, deoarece aceste modele pot fi antrenate în funcție de aplicații și configurații hardware.

Comparația IDS cu firewall-urile

IDS și firewall ambele sunt legate de securitatea rețelei, dar un IDS diferă de a firewall ca un firewall caută în exterior intruziunile pentru a le împiedica să se întâmple. Firewall-urile restricționează accesul între rețele pentru a preveni intruziunea și, dacă un atac este din interiorul rețelei, nu semnalează. Un IDS descrie o intruziune suspectată odată ce a avut loc și apoi semnalează o alarmă.



Plasarea IDS

  • Cea mai optimă și obișnuită poziție pentru ca un IDS să fie plasat este în spatele firewall-ului. Deși această poziție variază în funcție de rețea. Plasarea „în spatele paravanului de protecție” permite IDS-ului cu vizibilitate ridicată a traficului de rețea de intrare și nu va primi trafic între utilizatori și rețea. Marginea punctului de rețea oferă rețelei posibilitatea de a se conecta la extranet.
  • În cazurile în care IDS-ul este poziționat dincolo de firewall-ul unei rețele, ar fi pentru a se apăra împotriva zgomotului de la internet sau pentru a se apăra împotriva atacurilor, cum ar fi scanările de porturi și maparea rețelei. Un IDS în această poziție ar monitoriza straturile 4 până la 7 ale Modelul OSI și ar folosi metoda de detectare bazată pe semnătură. Afișarea numărului de încălcări încercate în loc de încălcări reale care au trecut prin firewall este mai bună, deoarece reduce cantitatea de fals pozitive. De asemenea, este nevoie de mai puțin timp pentru a descoperi atacuri de succes împotriva rețelei.
  • Un IDS avansat încorporat cu un firewall poate fi folosit pentru a intercepta atacurile complexe care intră în rețea. Caracteristicile IDS avansate includ mai multe contexte de securitate la nivel de rutare și modul de legătură. Toate acestea, la rândul lor, pot reduce costurile și complexitatea operațională.
  • O altă opțiune pentru plasarea IDS este în rețea. Această alegere dezvăluie atacuri sau activități suspecte în cadrul rețelei. Nerecunoașterea securității în interiorul unei rețele este dăunătoare, deoarece poate permite utilizatorilor să aducă riscuri de securitate sau să permită unui atacator care a pătruns în sistem să se plimbe liber.

Concluzie

Sistemul de detectare a intruziunilor (IDS) este un instrument puternic care poate ajuta companiile să detecteze și să prevină accesul neautorizat la rețeaua lor. Prin analizarea tiparelor de trafic în rețea, IDS poate identifica orice activitate suspectă și poate alerta administratorul de sistem. IDS poate fi un plus valoros la infrastructura de securitate a oricărei organizații, oferind informații și îmbunătățind performanța rețelei.

Întrebări frecvente despre sistemul de detectare a intruziunilor – Întrebări frecvente

Diferența dintre IDS și IPS?

Când IDS detectează intruziunea, alertează doar administrarea rețelei în timp ce Sistem de prevenire a intruziunilor (IPS) blochează pachetele rău intenționate înainte de a ajunge la destinație.

Care sunt provocările cheie ale implementării IDS?

Falsele pozitive și falsele negative sunt principalele dezavantaje ale IDS. Falsele pozitive se adaugă la zgomotul care poate afecta grav eficiența unui sistem de detectare a intruziunilor (IDS), în timp ce un fals negativ apare atunci când un IDS ratează o intruziune și o consideră validă.



Poate IDS să detecteze amenințările din interior?

Da Sistemul de detectare a intruziunilor poate detecta amenințările.

Care este rolul învățării automate în IDS?

Prin utilizarea Învățare automată , se poate obține o rată de detecție ridicată și o rată scăzută de alarmă falsă.