IDS - hva er det?Hvordan virker det?Intrusion Detection System - en programvare eller maskinvare deteksjon av angrep og ondsinnet aktivitet.De hjelper nettverk og datasystemer for å gi dem en skikkelig avslag.For å oppnå dette, samler IDS informasjon fra flere kilder, system eller nettverk.Deretter IDS analyserer for å bestemme tilstedeværelsen av angrep.Denne artikkelen vil forsøke å svare på spørsmålet: "IDS - hva er det og hva er det for"
Hva er Intrusion Detection Systems (IDS)
informasjonssystemer og nettverk blir stadig utsatt for nettangrep.Brannmurer og antivirus programvare for å gjenspeile alle disse angrepene er ikke nok, fordi de er bare i stand til å beskytte "døra" av datasystemer og nettverk.Andre tenåringer, forestilte seg hackere, stadig saumfarer internett på jakt etter hull i sikkerhetssystemer.
Takket være World Wide Web til rådighet en rekke helt fri for ondsinnet programvare - noen Slammer, slepperov og lignende skadelige programmer.Tjenesten er profesjonelle innbruddstyver konkurrerer selskapene å nøytralisere hverandre.Så systemer som gjenkjenner invasjon (intrusion detection system), - en vital nødvendighet.Ikke rart at hver dag de er mer utbredt.
elementer IDS
Elements IDS inkluderer:
- detektor delsystem, der formålet - opphopning av hendelser nettverk eller datasystem;
- delsystem analyse, som oppdager cyber-angrep og tvilsom aktivitet;
- oppbevaringssted for lagring av informasjon om hendelser og resultatene av analysen av cyber-angrep og uautoriserte aktiviteter;
- administrasjonskonsoll, som du kan stille inn parametrene IDS, overvåke statusen for nettverket (eller datasystem), har tilgang til informasjon om delsystemet analyse oppdaget angrepet og ulovlige handlinger.
faktisk mange kan spørre: "Hvordan er oversatt IDS?"Oversettelse fra engelsk høres ut som "system som fanger de varme inntrengere."
grunnleggende oppgaver å løse intrusion detection system
Intrusion Detection System har to hovedmål: analyse av kilder til informasjon og en passende reaksjon, basert på resultatene av denne analysen.For å utføre disse oppgavene, utfører IDS følgende handlinger:
- overvåker og analyserer brukerens aktivitet;
- omhandler revisjon systemkonfigurasjon og sine svakheter;
- kontrollerer integriteten av viktige systemfiler og datafiler;
- gjennomfører en statistisk analyse av systemtilstander basert på en sammenligning med de stater som har funnet sted i løpet av de allerede kjente angrep;
- reviderer operativsystemet.
som kan gi intrusion detection system, og at det ikke har råd
kan bruke den til å oppnå følgende:
- forbedre parametrene av integriteten av nettverksinfrastruktur;
- å spore brukerens aktivitet på datoen for sin inntreden i systemet og til anvendelsen av den skade den eller foreta uautoriserte handlinger;
- identifisere og informere om endringen, eller slette data,
- automat oppgave å overvåke Internett for å finne de siste angrepene;
- oppdage feil i systemet konfigurasjon;
- oppdage utbruddet av angrepet og varsle.
IDS kan ikke gjøre det:
- å fylle hullene i nettverksprotokoller;
- spille en kompensatorisk rolle når det gjelder svake autentiseringsmekanismer og godkjenning i nettverk eller datasystemer som det overvåker;
- bør også bemerkes at IDS ikke alltid takle problemene i forbindelse med angrep på pakkenivå (Packet-nivå).
IPS (Intrusion Prevention System) - en videreføring av IDS
IPS står for "intrusion prevention system."Denne avanserte, mer funksjonell rekke IDS.IPS IDS reaktivt system (i motsetning til normal).Dette betyr at de ikke bare kan identifisere, registrere og informere om angrepet, men også for å utføre beskyttelsesfunksjoner.Disse funksjonene inkluderer tilbakestilling tilkoblinger og blokkere innkommende trafikk pakker.En annen funksjon i IPS er at de jobber på nettet og kan automatisk blokkere angrepet.
Subspecies IDS til en metode for å overvåke
NIDS (dvs. IDS, som overvåker hele nettverket (nettverk)) engasjert i analysen av trafikken over subnett og administreres sentralt.Riktig plassering av flere NIDS kan bli ganske stor skjerm størrelser nettverk.
De jobber i promiskuøse modus (dvs. sjekke alle innkommende pakker, og ikke gjøre det valgfritt), nettverkstrafikk sammenligne med de kjente angrep med sitt bibliotek.Når et angrep er identifisert, eller uautorisert aktivitet blir oppdaget, er et alarmsignal sendes til administrator.Imidlertid bør det nevnes at et stort nettverk med høy trafikk NIDS noen ganger ikke kan håndtere alle testinformasjonspakker.Derfor er det en mulighet for at under "rushtiden", kan de ikke gjenkjenne et angrep.
NIDS (nettverksbasert IDS) - dette er de systemene som er lett integreres i nye nettverket topologi så mye innvirkning på driften deres, har de ikke, å være passiv.De eneste faste registreres og varsle motsetning reaktivt typen IPS-systemet, som ble diskutert ovenfor.Imidlertid må det også sies om de nettverksbaserte IDS, er dette systemet som ikke kan analysere informasjonen utsettes for kryptering.Dette er en betydelig ulempe på grunn av den stadig mer omfattende innføring av virtuelt privat nettverk (VPN) for å kryptere informasjonen blir i økende grad brukt av nettkriminelle å angripe.
også NIDS kan ikke fastslå hva som skjedde som følge av angrepet, det forårsaket skade eller ikke.Alt de har råd til - er å fikse sin begynnelse.Derfor er administratoren tvunget til å undersøke hvert tilfelle på sine egne angrep, for å sikre at angrepet var vellykket.Et annet vesentlig problem er at knapt fanger NIDS angrep med fragmenterte pakker.De er spesielt farlige fordi de kan forstyrre den normale driften av NIDS.Hva betyr dette for hele nettverket eller datasystemet, trenger ikke å forklare.
HIDS (host Intrusion Detection System)
HIDS (IDS, monitoryaschie vert (host)) bare tjene en bestemt datamaskin.Dette er selvfølgelig gir mye høyere effektivitet.HIDS analysert to typer informasjon: systemlogger og resultater operativsystem handlinger.De gjør et øyeblikksbilde av systemfiler og sammenligne den med tidligere bilde.Hvis de kritiske systemfiler har blitt endret eller fjernet, deretter administratoren sendes en alarm.
HIDs En vesentlig fordel er muligheten til å utføre sitt arbeid i en situasjon der nettverkstrafikk er utsatt kryptering.Dette er mulig fordi det er på verten (host-basert) informasjonskilder kan opprettes før dataene er mottagelig for kryptering eller etter dekryptering på destinasjonen vert.
Ulempene med dette systemet inkluderer muligheten til å blokkere den eller forby bruk av visse typer DoS-angrep.Problemet her er at noen sensorer og analyseverktøy HIDS er plassert på verten som blir angrepet, dvs. at de også angrepet.At ressursene er HIDs verter som har arbeidet de overvåke, også, er neppe et pluss, som det er, selvfølgelig, reduserer deres produktivitet.
Subspecies IDS å oppdage angrep metoder
Metode anomali analysemetoden og metoden signaturer av politikk - slike underart om hvordan å identifisere en systemangrep IDS.
analysemetode signaturer
I dette tilfellet er datapakkene sjekket for undertegning angrep.Underskrift av angrepet - en tilsvarende hendelse én av prøvene, som beskriver kjente angrep.Denne metoden er ganske effektiv, fordi når du bruker de falske rapporter om angrep er sjeldne.
metode anomalier
Med hans hjelp fant ulovlige handlinger på nettverket og verten.Basert på historien til normal drift av verten og nettverket som er opprettet spesialprofiler med data om den.Deretter spiller inn spesielle detektorer som analyserer hendelser.Ved hjelp av ulike algoritmer de produserer en analyse av disse hendelsene, sammenligner dem med "normen" i profilene.Mangelen på behovet for å samle en enorm mengde angrep signaturer - et klart pluss med denne metoden.Men et betydelig antall falske alarmer om angrep av uvanlige, men ganske legitime nettverkshendelser - det er utvilsomt negative.
metode politiker
En annen metode er metoden for politikk angrep gjenkjenning.Essensen av den - i etableringen av regler for nettverkssikkerhet, i hvilket, for eksempel, kan indikere prinsippet for interoperabilitet seg imellom og med protokollene som brukes.Denne metoden er lovende, men vanskelighetsgraden er ganske komplisert prosess database creation politikk.
ID Systems vil gi pålitelig beskyttelse av dine nettverk og datasystemer
Gruppe ID Systems er i dag en av markedslederne innen sikkerhetssystemer for datanettverk.Det vil gi deg pålitelig beskyttelse mot cyber-skurker.Med beskyttelsessystemer ID Systems, kan du ikke bekymre deg for dine viktige data.På denne måten kan du nyte livet mer fordi du har på hjertet vil være mindre angst.
ID Systems - tilbakemeldinger fra ansatte
godt team, og, viktigst, selvfølgelig - dette er den riktige holdningen til selskapet til sine ansatte.Alle (selv de ferske nybegynnere) har mulighet for faglig vekst.Men for dette, selvfølgelig, du trenger å uttrykke seg, og deretter alt vil slå ut.
sunn atmosfære i laget.Nybegynnere er alltid rundt og alle tog showet.Ingen usunn konkurranse er ikke følt.Ansatte som arbeider i selskapet i mange år, er glad for å dele alle de tekniske detaljene.De er vennlige, selv uten et snev av nedlatenhet svare på de dumme spørsmålene uerfarne arbeidstakere.Generelt, fra et arbeid ID Systems noen positive følelser.
mot lederskap hyggelig fornøyd.Også fornøyd med at her, selvsagt, vet hvordan man skal arbeide med de ansatte fordi de ansatte er veldig sterkt matchet.Ansatt nesten utvetydig: de føler seg på jobb hjemme.