IDS - hvad er det?

IDS - hvad er det?Hvordan virker det?Intrusion Detection System - en software eller hardware detektion af angreb og ondsindet aktivitet.De hjælper netværk og computersystemer for at give dem en ordentlig afvise.For at opnå dette, IDS indsamler oplysninger fra flere kilder, system eller netværk.Derefter analyserer IDS det for at bestemme tilstedeværelsen af ​​angreb.Denne artikel vil forsøge at besvare spørgsmålet: "IDS - hvad er det og hvad er det for"

Hvad er intrusion detection systemer (IDS)

informationssystemer og netværk er konstant udsat for cyberangreb.Firewalls og antivirus software til at afspejle alle disse angreb er ikke nok, fordi de kun er i stand til at beskytte "hoveddøren" af edb-systemer og netværk.Andre unge, der forestiller sig hackere konstant vedligeholdelsesmiddel internettet på jagt efter huller i sikkerhedssystemer.

Takket være World Wide Web til deres rådighed en masse helt gratis ondsindet software - enhver Slammer, slepperov og lignende ondsindede programmer.Tjenesten er professionel indbrudstyve konkurrerer virksomhederne til at neutralisere hinanden.Så systemer, der registrerer indtrængen (intrusion detection systemer) - en vital nødvendighed.Intet under, at hver dag de er mere udbredt.

elementer IDS

Elements IDS omfatter:

  • detektor delsystem hvis formål - ophobning af begivenheder netværk eller computer-system;
  • analyse delsystem, der registrerer cyberangreb og tvivlsomme aktiviteter;
  • repository til lagring af information om de begivenheder og resultaterne af analysen af ​​cyberangreb og uautoriserede aktiviteter;
  • management konsol, som du kan indstille parametre IDS, overvåge status for netværket (eller computer-system), har adgang til oplysninger om delsystemet analyse opdaget angreb og ulovlige handlinger.

Faktisk mange kan spørge, "Hvordan er oversat IDS?"Oversættelse fra engelsk lyder som "system, der fanger de varme ubudne gæster."

grundlæggende opgaver at løse intrusion detection systemer

Intrusion Detection System har to hovedformål: analyse af kilder til information og passende reaktion, baseret på resultaterne af denne analyse.For at udføre disse opgaver IDS-system udfører følgende handlinger:

  • overvåger og analyserer brugerens aktivitet;
  • beskæftiger revision systemkonfiguration og dets svagheder;
  • kontrollerer integriteten af ​​kritiske systemfiler og datafiler;
  • gennemfører en statistisk analyse af systemtilstande baseret på en sammenligning med de stater, der har fundet sted i løbet af de allerede kendte angreb;
  • reviderer operativsystemet.

som kan give intrusion detection system, og at det ikke har råd

kan bruge det til at opnå følgende:

  • forbedre parametrene for integritet netværksinfrastruktur;
  • at spore brugerens aktivitet på datoen for dens indtræden i systemet, og til anvendelsen af ​​den skade, den eller gøre uautoriserede handlinger;
  • identificere og informere om ændre eller slette data;
  • automatisere opgaven med at overvåge internettet for at finde de seneste angreb;
  • opdage fejl i systemet konfiguration;
  • registrerer starten af ​​angrebet og anmelde.

The IDS kan ikke gøre det:

  • at udfylde huller i netværksprotokoller;
  • spiller en kompensatorisk rolle i tilfælde af svage mekanismer autentificering og autentificering i netværk eller computersystemer, at det overvåger;
  • bør også bemærkes, at IDS ikke altid klare de problemer, der er forbundet med angrebene på pakken niveau (packet-niveau).

IPS (Intrusion Prevention System) - en fortsættelse af IDS

IPS står for "indbrud forebyggelse system."Denne avancerede, mere funktionelt sort IDS.IPS IDS-system reaktivitet (i modsætning sædvanlig).Det betyder, at de ikke kun kan identificere, registrere og informere om angrebet, men har også en beskyttende funktion.Disse funktioner omfatter en reset og blokering indkommende trafik pakker.En anden funktion i IPS er, at de arbejder online og kan automatisk blokere angrebet.

Subspecies IDS ved fremgangsmåden i overvågningen

NIDS (dvs. IDS, som overvåger hele netværket (netværk)) beskæftiger sig med analyse af trafikken på tværs af undernet og styres centralt.Korrekt placering af flere NIDS overvågning kan opnås forholdsvis store netværk.

De arbejder i promiskuøs tilstand (dvs. find ud af alle indkommende pakker, og ikke gøre det valgfrit), subnet trafik sammenligne med de kendte angreb med sit bibliotek.Når et angreb er identificeret eller opdages uautoriseret aktivitet, er administratoren sendes en alarm.Dog bør det nævnes, at et stort netværk med høj trafik NIDS kan undertiden ikke klare alle de test informationspakker.Derfor er der en mulighed, at der under "myldretiden", kan de ikke genkende et angreb.

NIDS (netværksbaserede IDS) - det er de systemer, der let integreres i nye netværk topologi så meget indflydelse på deres drift, har de ikke, at være passiv.De kun fast registreres og meddele modsætning reaktive typesystemer IPS, som blev diskuteret ovenfor.Det skal dog også siges om de netværksbaserede IDS, dette er det system, der ikke kan analysere oplysningerne udsat for kryptering.Dette er en væsentlig ulempe på grund af den stadig mere omfattende indførelse af virtuelt privat netværk (VPN) til at kryptere oplysningerne i stigende grad bruges af cyberkriminelle at angribe.

også NIDS kan ikke bestemme, hvad der skete som følge af angrebet, det forårsagede skader eller ej.Alt, hvad de har råd til - er at fastsætte sin begyndelse.Derfor er administratoren tvunget til at revurdere hvert enkelt tilfælde på deres egne angreb, for at sikre, at angrebet lykkedes.Et andet væsentligt problem er, at næppe fanger NIDS angreb med fragmenterede pakker.De er særligt farlige, fordi de kan forstyrre den normale drift af NIDS.Hvad betyder det for hele netværket eller edb-system, ingen grund til at forklare.

HIDS (host intrusion detection system)

HIDS (IDS, monitoryaschie vært (host)) tjener kun en bestemt computer.Dette naturligvis giver meget højere effektivitet.HIDS analyseret to typer oplysninger: systemets logfiler og operativsystemet revisionsresultater.De gør et øjebliksbillede af systemfiler og sammenligne den med den tidligere billede.Hvis missionskritiske systemfiler er blevet ændret eller fjernet, så administratoren sendes en alarm.

HIDS En væsentlig fordel er evnen til at udføre deres arbejde i en situation, hvor netværkstrafik er modtagelige kryptering.Dette er muligt, fordi er på værten (host-baserede) kan oprettes informationskilder før data er modtagelig for kryptering eller efter dekryptering på destinationen vært.

Ulemperne ved dette system omfatter muligheden for at blokere det eller endog forbyde brug af visse typer DoS-angreb.Problemet her er, at nogle sensorer og analyseværktøjer HIDS er placeret på den vært, der er angrebet, dvs. de også angrebet.Det faktum, at ressourcer er HIDS værter, hvis arbejde de overvåger, også er næppe et plus, som det er, selvfølgelig, reducerer deres produktivitet.

Subspecies IDS om hvordan man kan opdage angreb

Method anomali analysemetode og metoden underskrifter politikker - sådanne underart om, hvordan man opdage angreb er et system IDS.

analyse metode signaturer

I dette tilfælde er datapakkerne kontrolleret for signatur angreb.Undertegnelsen af ​​angreb - en tilsvarende begivenhed en af ​​prøverne, der beskriver kendte angreb.Denne metode er ganske effektiv, når det bruges som er sjældne rapporter om falske angreb.

metode anomalier

Med sin hjælp fundet ulovlige handlinger på netværket og vært.Baseret på historien om den normale drift af værten og netværket oprettet særlige profiler med data om den.Så komme i spil særlige detektorer, der analyserer begivenheder.Ved hjælp af forskellige algoritmer, de producerer en analyse af disse begivenheder, sammenligne dem med "normen" i profilerne.Den manglende behov for at akkumulere en enorm mængde af angreb underskrifter - et klart plus for denne metode.Men et betydeligt antal falske alarmer om angreb af usædvanlige, men helt legitime netværkshændelser - det er uden tvivl negativt.

metode politiker

En anden metode er metoden til angreb afsløring politikker.Essensen af ​​det - i skabelsen af ​​reglerne i netsikkerhed, som for eksempel kan indikere princippet om interoperabilitet indbyrdes og med de protokoller, der anvendes.Denne metode er lovende, men det er vanskeligt er ganske kompliceret proces med database skabelse politikker.

ID Systems vil give pålidelig beskyttelse af dit netværk og computersystemer

Group ID Systems er i dag en af ​​de førende på markedet inden for sikkerhedssystemer til computernetværk.Det vil give dig pålidelig beskyttelse mod cyber-skurke.Med beskyttelsessystemer ID Systems, kan du ikke bekymre dig om dine vigtige data.Denne måde kan du nyde livet mere, fordi du har på dit sind vil være mindre angst.

ID Systems - feedback fra personale

stor team og, vigtigst af alt, selvfølgelig - det er den korrekte holdning af virksomheden til sine medarbejdere.Alle (selv de spæde nybegyndere) har mulighed for faglig udvikling.Men for dette, selvfølgelig, er du nødt til at udtrykke sig, og så alt vil vise sig.

sund atmosfære i teamet.Begyndere er altid omkring og alle tog show.Ingen usund konkurrencen ikke mærkes.Medarbejdere, der arbejder i virksomheden i mange år, er glad for at dele alle de tekniske snørklede.De er venlige, selv uden en antydning af nedladenhed besvare de mest dumme spørgsmål uerfarne arbejdstagere.Generelt fra en arbejde ID Systems nogle positive følelser.

over for lederne behageligt tilfreds.Også glade for, at her, naturligvis, i stand til at arbejde med personale, fordi personalet virkelig er stærkt matchet.Medarbejder næsten entydig: de føler på arbejdet hjemme.