logo

TechCodeview

Intrusion Detection System (IDS)

Et Intrusion Detection System (IDS) sørger for, at netværkstrafik ser efter usædvanlig aktivitet og sender advarsler, når det opstår. Hovedopgaverne for et indtrængningsdetektionssystem (IDS) er afsløring og rapportering af uregelmæssigheder, dog kan visse indtrængningsdetektionssystemer handle, når ondsindet aktivitet eller usædvanlig trafik opdages. I denne artikel vil vi diskutere hvert punkt om indtrængningsdetektionssystemet.

Hvad er et Intrusion Detection System?

Et system kaldet et intrusion detection system (IDS) observerer netværkstrafik for ondsindede transaktioner og sender øjeblikkelige advarsler, når det observeres. Det er software, der kontrollerer et netværk eller system for ondsindede aktiviteter eller politikovertrædelser. Hver ulovlig aktivitet eller overtrædelse registreres ofte enten centralt ved hjælp af et SIEM-system eller meddeles til en administration. IDS overvåger et netværk eller system for ondsindet aktivitet og beskytter et computernetværk mod uautoriseret adgang fra brugere, herunder måske insidere. Indlæringsopgaven med indtrængendetektor er at bygge en forudsigelig model (dvs. en klassifikator), der er i stand til at skelne mellem 'dårlige forbindelser' (indtrængen/angreb) og 'gode (normale) forbindelser'.



java array

Arbejde med Intrusion Detection System (IDS)

  • Et IDS (Intrusion Detection System) skærme trafikken på en computer netværk at opdage enhver mistænkelig aktivitet.
  • Den analyserer de data, der strømmer gennem netværket for at lede efter mønstre og tegn på unormal adfærd.
  • IDS'en sammenligner netværksaktiviteten med et sæt foruddefinerede regler og mønstre for at identificere enhver aktivitet, der kan indikere et angreb eller indtrængen.
  • Hvis IDS'en registrerer noget, der matcher en af ​​disse regler eller mønstre, sender den en advarsel til systemadministratoren.
  • Systemadministratoren kan derefter undersøge alarmen og træffe foranstaltninger for at forhindre skade eller yderligere indtrængen.

Klassificering af Intrusion Detection System (IDS)

Intrusion Detection System er klassificeret i 5 typer:

  • Network Intrusion Detection System (NIDS): Network Intrusion Detection Systems (NIDS) er sat op på et planlagt punkt i netværket for at undersøge trafik fra alle enheder på netværket. Den udfører en observation af passerende trafik på hele undernettet og matcher den trafik, der sendes på undernettene, til samlingen af ​​kendte angreb. Når et angreb er identificeret, eller der observeres unormal adfærd, kan advarslen sendes til administratoren. Et eksempel på en NIDS er at installere den på undernettet hvor firewalls er placeret for at se, om nogen forsøger at knække firewall .
  • Host Intrusion Detection System (HIDS): Host Intrusion Detection Systems (HIDS) kører på uafhængige værter eller enheder på netværket. En HIDS overvåger kun de indgående og udgående pakker fra enheden og vil advare administratoren, hvis mistænkelig eller ondsindet aktivitet opdages. Det tager et øjebliksbillede af eksisterende systemfiler og sammenligner det med det forrige øjebliksbillede. Hvis de analytiske systemfiler blev redigeret eller slettet, sendes en advarsel til administratoren for at undersøge sagen. Et eksempel på HIDS-brug kan ses på missionskritiske maskiner, som ikke forventes at ændre deres layout.
Intrusion Detection System (IDS)

Intrusion Detection System (IDS)

  • Protokolbaseret indtrængningsdetektionssystem (PIDS): Protokolbaseret indtrængningsdetektionssystem (PIDS) omfatter et system eller en agent, der konsekvent vil ligge i frontenden af ​​en server, kontrollere og fortolke protokollen mellem en bruger/enhed og serveren. Den forsøger at sikre webserveren ved regelmæssigt at overvåge HTTPS protokol streame og acceptere det relaterede HTTP protokol . Da HTTPS er ukrypteret, og før det øjeblikkeligt går ind i sit webpræsentationslag, skal dette system ligge i denne grænseflade mellem for at bruge HTTPS.
  • Application Protocol-based Intrusion Detection System (APIDS): En ansøgning Protokolbaseret indtrængningsdetektionssystem (APIDS) er et system eller en agent, der generelt findes i en gruppe af servere. Den identificerer indtrængen ved at overvåge og fortolke kommunikationen på applikationsspecifikke protokoller. For eksempel vil dette overvåge SQL-protokollen eksplicit til middlewaren, når den handler med databasen på webserveren.
  • Hybrid Intrusion Detection System: Hybrid indtrængningsdetektionssystem er lavet ved kombinationen af ​​to eller flere tilgange til indtrængningsdetektionssystemet. I det hybride indtrængningsdetektionssystem kombineres værtsagenten eller systemdata med netværksinformation for at udvikle et komplet overblik over netværkssystemet. Det hybride indtrængningsdetektionssystem er mere effektivt sammenlignet med det andet indbrudsdetektionssystem. Prelude er et eksempel på Hybrid IDS.

Teknikker til undvigelse af indtrængen detektionssystem

  • Fragmentering: Opdeling af pakken i mindre pakke kaldet fragment og processen er kendt som fragmentering . Dette gør det umuligt at identificere en indtrængen, fordi der ikke kan være en malware-signatur.
  • Pakkekodning: Kodning af pakker ved hjælp af metoder som Base64 eller hexadecimal kan skjule skadeligt indhold fra signaturbaseret IDS.
  • Trafikobfuskation: Ved at gøre meddelelsen mere kompliceret at fortolke, kan sløring bruges til at skjule et angreb og undgå opdagelse.
  • Kryptering: Adskillige sikkerhedsfunktioner, såsom dataintegritet, fortrolighed og databeskyttelse, leveres af kryptering . Desværre bruges sikkerhedsfunktioner af malware-udviklere til at skjule angreb og undgå opdagelse.

Fordele ved IDS

  • Registrerer ondsindet aktivitet: IDS kan opdage eventuelle mistænkelige aktiviteter og advare systemadministratoren, før der sker væsentlig skade.
  • Forbedrer netværkets ydeevne: IDS kan identificere alle ydeevneproblemer på netværket, som kan løses for at forbedre netværkets ydeevne.
  • Overholdelseskrav: IDS kan hjælpe med at opfylde overholdelseskrav ved at overvåge netværksaktivitet og generere rapporter.
  • Giver indsigt: IDS genererer værdifuld indsigt i netværkstrafikken, som kan bruges til at identificere eventuelle svagheder og forbedre netværkssikkerheden.

Detektionsmetode for IDS

  • Signaturbaseret metode: Signaturbaseret IDS registrerer angrebene på baggrund af de specifikke mønstre, såsom antallet af bytes eller et antal 1'ere eller antallet af 0'er i netværkstrafikken. Den registrerer også på basis af den allerede kendte ondsindede instruktionssekvens, der bruges af malwaren. De detekterede mønstre i IDS er kendt som signaturer. Signaturbaseret IDS kan nemt opdage de angreb, hvis mønster (signatur) allerede eksisterer i systemet, men det er ret svært at opdage nye malware-angreb, da deres mønster (signatur) ikke er kendt.
  • Anomali-baseret metode: Anomali-baseret IDS blev introduceret for at opdage ukendte malware-angreb, da ny malware udvikles hurtigt. I anomali-baseret IDS er der brug af maskinlæring til at skabe en tillidsfuld aktivitetsmodel, og alt, der kommer, sammenlignes med denne model, og det erklæres mistænkeligt, hvis det ikke findes i modellen. Den maskinlæringsbaserede metode har en bedre generaliseret egenskab sammenlignet med signaturbaserede IDS, da disse modeller kan trænes i henhold til applikationerne og hardwarekonfigurationerne.

Sammenligning af IDS med firewalls

IDS og firewall er begge relateret til netværkssikkerhed, men en IDS adskiller sig fra en firewall som en firewall ser udad efter indtrængen for at forhindre dem i at ske. Firewalls begrænser adgangen mellem netværk for at forhindre indtrængen, og hvis et angreb er inde fra netværket, signalerer det ikke. En IDS beskriver en formodet indtrængen, når den er sket, og signalerer derefter en alarm.



Placering af IDS

  • Den mest optimale og fælles position for en IDS, der skal placeres, er bag firewallen. Selvom denne position varierer i betragtning af netværket. 'Bag-firewall'-placeringen tillader IDS'en med høj synlighed af indgående netværkstrafik og vil ikke modtage trafik mellem brugere og netværk. Kanten af ​​netværkspunktet giver netværket mulighed for at oprette forbindelse til ekstranettet.
  • I tilfælde, hvor IDS'en er placeret uden for et netværks firewall, ville det være for at forsvare sig mod støj fra internettet eller forsvare sig mod angreb såsom portscanninger og netværksmapper. En IDS i denne position vil overvåge lag 4 til 7 i OSI model og ville bruge signaturbaseret detektionsmetode. Det er bedre at vise antallet af forsøgte brud i stedet for faktiske brud, der kom igennem firewallen, da det reducerer mængden af ​​falske positiver. Det tager også mindre tid at opdage vellykkede angreb mod netværket.
  • En avanceret IDS integreret med en firewall kan bruges til at opsnappe komplekse angreb, der kommer ind på netværket. Funktioner i avanceret IDS inkluderer flere sikkerhedskontekster i routingniveau og brotilstand. Alt dette reducerer potentielt omkostninger og operationel kompleksitet.
  • Et andet valg til IDS-placering er inden for netværket. Dette valg afslører angreb eller mistænkelig aktivitet i netværket. Ikke at anerkende sikkerhed inde i et netværk er skadeligt, da det kan give brugere mulighed for at skabe sikkerhedsrisici eller tillade en angriber, der har brudt ind i systemet, at roame frit rundt.

Konklusion

Intrusion Detection System (IDS) er et kraftfuldt værktøj, der kan hjælpe virksomheder med at opdage og forhindre uautoriseret adgang til deres netværk. Ved at analysere netværkstrafikmønstre kan IDS identificere eventuelle mistænkelige aktiviteter og advare systemadministratoren. IDS kan være en værdifuld tilføjelse til enhver organisations sikkerhedsinfrastruktur, der giver indsigt og forbedrer netværkets ydeevne.

Ofte stillede spørgsmål om Intrusion Detection System – ofte stillede spørgsmål

Forskellen mellem IDS og IPS?

Når IDS registrerer indtrængen, advarer den kun netværksadministrationen mens Intrusion Prevention System (IPS) blokerer de ondsindede pakker, før de når til destinationen.

romertal 1-100

Hvad er de vigtigste udfordringer ved implementering af IDS?

Falske positive og falske negative er IDS'ers primære ulemper. Falske positive tilføjer til støjen, der alvorligt kan forringe et indtrængen detektionssystems (IDS) effektivitet, mens en falsk negativ opstår, når en IDS går glip af en indtrængen og anser den for gyldig.



Kan IDS opdage insidertrusler?

Ja Intrusion Detection System kan registrere trusler.

Hvad er rollen for maskinlæring i IDS?

Ved hjælp af Maskinelæring , kan man opnå en høj detektionsrate og en lav falsk alarmrate.