logo

TechCodeview

Система виявлення вторгнень (IDS)

Система виявлення вторгнень (IDS) перевіряє мережевий трафік на наявність незвичайної активності та надсилає сповіщення, коли вона виникає. Основними обов’язками системи виявлення вторгнень (IDS) є виявлення аномалій і звітування, однак певні системи виявлення вторгнень можуть вжити заходів у разі виявлення зловмисної активності або незвичного трафіку. У цій статті ми обговоримо всі пункти системи виявлення вторгнень.

Що таке система виявлення вторгнень?

Система, яка називається системою виявлення вторгнень (IDS), відстежує мережевий трафік на наявність зловмисних транзакцій і негайно надсилає сповіщення, коли це спостерігається. Це програмне забезпечення, яке перевіряє мережу чи систему на наявність зловмисних дій або порушень політики. Кожна незаконна діяльність або порушення часто фіксується централізовано за допомогою системи SIEM або повідомляється адміністрації. IDS відстежує мережу або систему на наявність зловмисної активності та захищає комп’ютерну мережу від несанкціонованого доступу користувачів, у тому числі, можливо, інсайдерів. Завдання навчання детектора вторгнень полягає в тому, щоб побудувати прогностичну модель (тобто класифікатор), здатну розрізняти «погані з’єднання» (вторгнення/атаки) і «хороші (нормальні) з’єднання».



рядок для int у java

Робота системи виявлення вторгнень (IDS)

  • IDS (система виявлення вторгнень) монітори рух на а комп'ютерна мережа для виявлення будь-якої підозрілої діяльності.
  • Він аналізує дані, що проходять через мережу, щоб знайти шаблони та ознаки ненормальної поведінки.
  • IDS порівнює мережеву активність із набором попередньо визначених правил і шаблонів, щоб визначити будь-яку активність, яка може свідчити про атаку чи вторгнення.
  • Якщо IDS виявляє щось, що відповідає одному з цих правил або шаблонів, вона надсилає сповіщення системному адміністратору.
  • Після цього системний адміністратор може дослідити сповіщення та вжити заходів, щоб запобігти будь-якому пошкодженню чи подальшому вторгненню.

Класифікація системи виявлення вторгнень (IDS)

Системи виявлення вторгнень поділяються на 5 типів:

  • Система виявлення вторгнень у мережу (NIDS): Системи виявлення вторгнень у мережу (NIDS) встановлюються в запланованій точці мережі для перевірки трафіку з усіх пристроїв у мережі. Він виконує спостереження за трафіком, що проходить у всій підмережі, і зіставляє трафік, який передається підмережами, із колекцією відомих атак. Після виявлення атаки або виявлення ненормальної поведінки сповіщення можна надіслати адміністратору. Прикладом NIDS є його встановлення в підмережі, де брандмауери розташовані, щоб побачити, чи хтось намагається зламати брандмауер .
  • Система виявлення вторгнень (HIDS): Системи виявлення вторгнень (HIDS) працюють на незалежних хостах або пристроях у мережі. HIDS відстежує лише вхідні та вихідні пакети з пристрою та сповіщатиме адміністратора, якщо буде виявлено підозрілу або зловмисну ​​активність. Він робить знімок існуючих системних файлів і порівнює його з попереднім знімком. Якщо файли аналітичної системи були відредаговані або видалені, сповіщення надсилається адміністратору для дослідження. Приклад використання HIDS можна побачити на критично важливих машинах, на яких не очікується зміна компонування.
Система виявлення вторгнень (IDS)

Система виявлення вторгнень (IDS)

  • Система виявлення вторгнень на основі протоколу (PIDS): Система виявлення вторгнень на основі протоколу (PIDS) містить систему або агента, які постійно перебувають на передній частині сервера, контролюючи та інтерпретуючи протокол між користувачем/пристроєм і сервером. Він намагається захистити веб-сервер шляхом регулярного моніторингу Протокол HTTPS потік і прийняття пов'язаних протокол HTTP . Оскільки HTTPS не зашифрований і перед миттєвим переходом на рівень веб-презентації, ця система повинна знаходитися в цьому інтерфейсі між використанням HTTPS.
  • Система виявлення вторгнень на основі прикладного протоколу (APIDS): додаток Система виявлення вторгнень на основі протоколу (APIDS) — це система або агент, який зазвичай знаходиться в групі серверів. Він визначає вторгнення, відстежуючи та інтерпретуючи зв’язок за протоколами, що стосуються окремих програм. Наприклад, це явно відстежуватиме протокол SQL для проміжного програмного забезпечення під час його взаємодії з базою даних на веб-сервері.
  • Гібридна система виявлення вторгнень: Гібридна система виявлення вторгнень складається з комбінації двох або більше підходів до системи виявлення вторгнень. У гібридній системі виявлення вторгнень дані агента хоста або системи поєднуються з мережевою інформацією для створення повного уявлення про мережеву систему. Гібридна система виявлення вторгнень більш ефективна в порівнянні з іншими системами виявлення вторгнень. Prelude є прикладом Hybrid IDS.

Методи ухилення від системи виявлення вторгнень

  • Фрагментація: Поділ пакета на менші пакети називається фрагментом, а процес відомий як фрагментація . Це унеможливлює ідентифікацію вторгнення, оскільки не може бути підпису зловмисного програмного забезпечення.
  • Кодування пакетів: Кодування пакетів за допомогою таких методів, як Base64 або hexadecimal, може приховати шкідливий вміст від IDS на основі сигнатур.
  • Обфускація дорожнього руху: Зробивши повідомлення складнішим для інтерпретації, обфускація може бути використана, щоб приховати атаку та уникнути виявлення.
  • Шифрування: Деякі функції безпеки, такі як цілісність даних, конфіденційність і конфіденційність даних, надаються шифрування . На жаль, функції безпеки використовуються розробниками зловмисного програмного забезпечення, щоб приховати атаки та уникнути виявлення.

Переваги IDS

  • Виявляє зловмисну ​​активність: IDS може виявити будь-які підозрілі дії та попередити системного адміністратора до того, як буде завдано будь-якої значної шкоди.
  • Покращує продуктивність мережі: IDS може виявити будь-які проблеми з продуктивністю в мережі, які можна вирішити для покращення продуктивності мережі.
  • Вимоги відповідності: IDS може допомогти виконати вимоги відповідності шляхом моніторингу мережевої активності та створення звітів.
  • Надає інформацію: IDS створює цінну інформацію про мережевий трафік, яку можна використовувати для виявлення будь-яких слабких місць і підвищення безпеки мережі.

Метод виявлення IDS

  • Метод на основі підпису: IDS на основі сигнатур виявляє атаки на основі конкретних шаблонів, таких як кількість байтів, кількість одиниць або кількість нулів у мережевому трафіку. Він також виявляє на основі вже відомої шкідливої ​​послідовності інструкцій, яка використовується шкідливим програмним забезпеченням. Виявлені шаблони в IDS називаються сигнатурами. IDS на основі сигнатур може легко виявити атаки, шаблон (сигнатура) яких уже існує в системі, але виявити нові атаки зловмисного програмного забезпечення досить важко, оскільки їх шаблон (сигнатура) невідомий.
  • Метод на основі аномалій: IDS на основі аномалій було запроваджено для виявлення атак невідомого шкідливого програмного забезпечення, оскільки нове шкідливе програмне забезпечення швидко розробляється. В IDS на основі аномалій використовується машинне навчання для створення довірчої моделі діяльності, і все, що надходить, порівнюється з цією моделлю, і оголошується підозрілим, якщо воно не знайдено в моделі. Метод на основі машинного навчання має кращу узагальнену властивість порівняно з IDS на основі сигнатур, оскільки ці моделі можна навчити відповідно до програм і конфігурацій апаратного забезпечення.

Порівняння IDS з Firewall

IDS і брандмауер пов’язані з безпекою мережі, але IDS відрізняється від a брандмауер як брандмауер шукає зовні вторгнення, щоб запобігти їхньому виникненню. Брандмауери обмежують доступ між мережами, щоб запобігти вторгненню, і якщо атака відбувається зсередини мережі, вона не сигналізує. IDS описує ймовірне вторгнення, коли воно сталося, а потім подає сигнал тривоги.



Розміщення IDS

  • Найбільш оптимальне і поширене місце для розміщення IDS – за брандмауером. Хоча ця позиція різниться залежно від мережі. Розташування «за брандмауером» забезпечує IDS високу видимість вхідного мережевого трафіку та не отримуватиме трафік між користувачами та мережею. Край точки мережі надає мережі можливість підключення до екстранету.
  • У випадках, коли IDS розташовано за брандмауером мережі, це буде захист від шуму з Інтернету або захисту від таких атак, як сканування портів і мережеве відображення. IDS у цьому положенні контролюватиме рівні з 4 по 7 Модель OSI і використовуватиме метод виявлення на основі підпису. Відображення кількості спроб зламів замість фактичних зломів, які пройшли через брандмауер, краще, оскільки це зменшує кількість помилкових спрацьовувань. Також потрібно менше часу, щоб виявити успішні атаки на мережу.
  • Удосконалений IDS, об’єднаний із брандмауером, можна використовувати для перехоплення складних атак, що проникають у мережу. Особливості розширеної IDS включають кілька контекстів безпеки на рівні маршрутизації та режимі мосту. Все це, у свою чергу, потенційно знижує вартість і складність експлуатації.
  • Іншим варіантом для розміщення IDS є мережа. Цей вибір виявляє атаки або підозрілу активність у мережі. Невизнання безпеки всередині мережі є згубним, оскільки це може дозволити користувачам створити ризик безпеки або дозволити зловмиснику, який зламався в систему, вільно блукати.

Висновок

Система виявлення вторгнень (IDS) — це потужний інструмент, який може допомогти підприємствам виявити та запобігти несанкціонованому доступу до їхніх мереж. Аналізуючи шаблони мережевого трафіку, IDS може виявити будь-які підозрілі дії та попередити системного адміністратора. IDS може стати цінним доповненням до інфраструктури безпеки будь-якої організації, надаючи інформацію та покращуючи продуктивність мережі.

Часті запитання щодо системи виявлення вторгнень – поширені запитання

Різниця між IDS та IPS?

Коли IDS виявляє вторгнення, він лише попереджає мережеву адміністрацію Система запобігання вторгненням (IPS) блокує шкідливі пакети до того, як вони досягнуть місця призначення.

java конкатенація рядків

Які ключові проблеми впровадження IDS?

Помилково-позитивні та помилково-негативні результати є основними недоліками IDS. Помилкові спрацьовування додають шуму, який може серйозно погіршити ефективність системи виявлення вторгнень (IDS), тоді як хибні спрацьовування виникають, коли IDS пропускає вторгнення та вважає його дійсним.



Чи може IDS виявити внутрішні загрози?

Так, система виявлення вторгнень може виявляти загрози.

Яка роль машинного навчання в IDS?

З допомогою Машинне навчання , можна досягти високого рівня виявлення та низького рівня помилкових тривог.