IDS - hva er det? Intrusion Detection System (IDS) som et verk?

IDS - hva er det? Hvordan virker dette systemet fungerer? System Intrusion Detection - en maskinvare eller programvare for å oppdage angrep og ondsinnet aktivitet. De hjelper nettverk og datasystemer for å gi dem en skikkelig avslag. For å oppnå dette, samler IDS informasjon fra flere system eller nettverk kilder. Deretter IDS analyseres for å bestemme nærværet av angrepene. Denne artikkelen vil forsøke å svare på spørsmålet: "IDS - hva er det og hva er det for"

Hva er Intrusion Detection Systems (IDS)

Informasjonssystemer og nettverk blir stadig utsatt for cyber-angrep. Brannmurer og antivirus for å reflektere alle disse angrepene er ikke nok, fordi de er bare i stand til å beskytte "inngangsdør" av datasystemer og nettverk. Andre tenåringer, forestilte seg hackere, stadig saumfarer internett på jakt etter hull i sikkerhetssystemer.

Takket være World Wide Web til rådighet en rekke helt fri for skadelig programvare - noen Slammer, slepperov og lignende skadelige programmer. Tjenesten er profesjonelle hackere konkurrerer selskapene å nøytralisere hverandre. Slik at systemer som gjenkjenner invasjon (intrusion detection system), - et presserende behov. Ikke rart at hver dag de blir mer utbredt.

elementer IDS

Elementene i IDS omfatter:

• detektor delsystem, der formålet - akkumulering av nettverkshendelser eller datasystemer;
• analyse delsystem som oppdager en internettangrep og tvilsomme aktivitet;
• lagring for lagring av informasjon om hendelser og resultatene av analyser av internettangrep og uautoriserte handlinger;
• styringskonsoll med hvilken IDS er mulig å angi parametere, overvåke tilstanden av nettet (eller datamaskinsystemet), for å få tilgang til informasjon om den detekterte angrep analyse subsystem og ulovlige handlinger.

Faktisk kan mange spørre: "Hvordan er oversatt IDS?" Oversettelse fra engelsk høres ut som "system som finner de varme inntrengere."

De grunnleggende oppgaver å løse Intrusion Detection System

Intrusion Detection System har to hovedmål: analyse av informasjonskilder og en passende reaksjon, basert på resultatene av denne analysen. For å utføre disse oppgavene IDS system utfører følgende handlinger:

• overvåker og analyserer brukeraktivitet;
• Det er engasjert i revisjonssystemkonfigurasjonen og sine svakheter;
• Den kontrollerer integriteten av viktige systemfiler og datafiler;
• gjennomføre en statistisk analyse av systemtilstander basert på en sammenligning med de betingelser som fant sted i løpet av de allerede kjente angrep;
• Det reviderer operativsystemet.

Det kan gi en intrusion detection system, og at hun ikke har råd til

Du kan bruke den til å oppnå følgende:

• forbedre integriteten av parametrene av nettverksinfrastruktur;
• å spore brukerens aktivitet på datoen for sin inntreden i systemet og til anvendelsen av den skade den eller gjøre uautoriserte handlinger;
• identifisere og informere om endringen, eller slette data,
• Automatisert Internet overvåkingsoppgaver for å finne de siste angrepene;
• detektere en feil i systemkonfigurasjonen;
• oppdage angrep begynner og varsle.

Den IDS kan ikke gjøre det:

• for å fylle hullene i nettverksprotokoller;
• kompenserende rolle å spille i tilfelle av svake identifiserings- og autentiseringsmekanismer nett eller datasystemer som det overvåker;
• Det skal også bemerkes at IDS ikke alltid takle problemene forbundet med angrep på pakkenivå (pakke-nivå).

IPS (inntrengningsbeskyttelse-system) - forts IDS

IPS står for "Intrusion Prevention System." Denne avanserte, mer funksjonelle IDS varianter. IPS IDS systemer er reaktive (i motsetning til den vanlige). Dette betyr at de ikke bare kan identifisere, registrere og varsle om angrepet, men også for å ivareta sikkerhetsfunksjoner. Disse funksjonene innbefatter forbindelser tilbakestille og å blokkere innkommende trafikk pakker. En annen funksjon i IPS er at de arbeider på nettet, og kan automatisk blokkere angrepet.

Underart IDS metode for overvåking

Nids (dvs. IDS, som overvåker hele nettverket (nettverk)) i inngrep i analysen av trafikk på tvers av delnett og styres sentralt. Regelmessig arrangement av flere overvåkings NIDS kan oppnå ganske stort nettverk størrelse.

De jobber i promiskuøse modus (dvs. alle innkommende pakker, i stedet for å gjøre det selektivt) ved å sammenligne nettverkstrafikk til kjente angrep med sitt bibliotek. Når et anfall er identifisert eller detekteres uautorisert aktivitet, blir administrator sendes en alarm. Det bør imidlertid nevnes at et stort nettverk med høy trafikk NIDS noen ganger ikke kan takle alle test informasjon pakker. Derfor er det en mulighet at under "rush hour", vil de ikke være i stand til å gjenkjenne angrepet.

NIDS (nettverksbasert IDS) - dette er systemer som lett integreres i ny nettverkstopologi så mye innflytelse på resultatene deres, har de ikke, å være passiv. De eneste faste registreres og varsle, i motsetning til reaktive typen IPS systemer som ble diskutert ovenfor. Imidlertid må det også sies om de nettverksbaserte IDS, dette er et system som ikke kan analysere data som er utsatt for kryptering. Dette er en betydelig ulempe på grunn av den økende innføring av virtuelt privat nettverk (VPN) for å kryptere informasjonen blir i økende grad brukt av kriminelle å angripe.

NIDS kan heller ikke finne ut hva som skjedde som en følge av angrepet, forårsaket skader eller ikke. Alt de har råd til - er å fikse begynnelsen. Derfor er administrator tvunget til å revurdere selv hvert angrep sak å sørge for at angrepet lyktes. Et annet vesentlig problem er at NIDS fanger neppe angrep med fragmenterte pakker. De er spesielt farlige fordi de kan forstyrre den normale driften av NIDS. Hva betyr dette for hele nettverket eller datasystemet, trenger ikke å forklare.

HIDS (inntrengingsdeteksjonssystem)

HIDS (IDS, monitoryaschie vert (host)) tjener kun en bestemt datamaskin. Dette, selvfølgelig, gir mye høyere effektivitet. HIDS analysert to typer informasjon: Systemet logger og resultatene av operativsystemet tilsynet. De gjør et øyeblikksbilde av systemfiler og sammenligne den med tidligere bilde. Hvis en kritisk viktig for systemfiler har blitt endret eller fjernet, deretter manager sender en alarm.

HIDS betydelig fordel er muligheten til å utføre sitt arbeid i en situasjon der nettverkstrafikk er utsatt chiffer. Dette er mulig takket være det faktum at det å være på verten (host-basert) kilder kan opprettes før de data som egner seg for kryptering eller dekryptering etter på målverten.

Ulempene med dette systemet er muligheten for dens blokkering eller forby anvendelse av visse typer av DoS-angrep. Problemet her er at noen HIDS sensorer og analyseverktøy er plassert på verten, som er under angrep, dvs. at de også angrep. Det faktum at ressursene er HIDS verter som har arbeidet de overvåker også kan neppe kalles et pluss, fordi det naturlig reduserer produktiviteten.

Underarter IDS om hvordan å identifisere angrep

Metode anomalier, signaturanalyse metode og retningslinjer - slike underarter om hvordan å identifisere angrepene er den IDS.

Metode signaturanalyse

I dette tilfellet er datapakkene sjekket for angrep signaturer. Signaturen til angrep - den tilsvarer arrangementet til en av prøvene, som beskriver kjente angrep. Denne metoden er ganske effektiv, fordi når du bruker falske rapporter om angrep er relativt sjeldne.

anomalier metode

Med hans hjelp fant ulovlige handlinger på nettverket og verten. På bakgrunn av historien til den normale driften av verten og nettverket opprettet spesielle profiler med data om den. Deretter spiller inn spesielle detektorer som analyserer hendelser. Ved hjelp av forskjellige algoritmer de produserer en analyse av disse hendelsene, sammenligner dem med den "normale" i profilene. Mangelen på behovet for å samle en enorm mengde angrep signaturer - et klart pluss med denne metoden. Men det er et betydelig antall falske alarmer om angrepet med atypisk, men det er ganske legitime nettverkshendelser - dette er hans utvilsomme minus.

politikk metode

En annen metode for å oppdage angrep er en politikk metode. Essensen av det - i etableringen av nettverket sikkerhetsbestemmelser, som for eksempel kan tyde nettverkene prinsipielle mellom seg selv og som brukes i denne protokollen. Denne metoden er lovende, men vanskeligheten er en ganske vanskelig prosess med å lage en database med politikk.

ID Systems vil gi pålitelig beskyttelse av dine nettverk og datasystemer

Gruppe-ID Systems i dag er en av de innen sikkerhetssystemer markedsleder for datanettverk. Det vil gi deg pålitelig beskyttelse mot cyber-skurker. du kan ikke bekymre deg for dine viktige data for å beskytte ID Systems systemer. På grunn av dette vil du kunne nyte livet mer fordi du har på hjertet er litt problemer.

ID Systems - stab anmeldelser

Flott team, og viktigst, selvfølgelig - dette er den riktige holdningen til ledelsen av selskapet til sine ansatte. Alle (selv de nystartede nybegynnere) har mulighet for faglig vekst. Men for dette, selvfølgelig, du trenger å uttrykke seg, og da alt vil slå ut.

I teamet sunn atmosfære. Nybegynnere er alltid rundt toget og hele showet. Ingen usunn konkurranse er ikke følt. Ansatte som arbeider i selskapet i mange år, er glad for å dele alle de tekniske detaljene. De er vennlige, selv uten et snev av nedlatenhet besvare de mest tåpelige spørsmål uerfarne arbeidstakere. Generelt, fra å arbeide i ID-systemer noen hyggelige følelser.

Attitude styring hyggelig fornøyd. Også fornøyd med at her, selvsagt, er i stand til å arbeide med de ansatte, fordi de ansatte er veldig sterkt matchet. Ansatt nesten entydig: de føler seg arbeid i hjemmet.