IDS - kio estas? Intrusion Detection System (IDS) kiel ĝi funkcias?

IDS - kio ĝi estas? Kiel tiu sistemo funkcias? Sistemo Intrusion Detection - aparataro aŭ programaro por detekti atakojn kaj malica agado. Ili helpas retojn kaj komputilajn sistemojn por doni al ili taŭgan rebon. Por atingi ĉi tiun celon, IDS kolektas informojn de multoblaj sistemoj aŭ retaj fontoj. Tiam la sistemo IDS analizas ĝin por la ĉeesto de atakoj. Ĉi tiu artikolo provos respondi la demandon: "IDS - kio ĝi estas kaj kio ĝi estas por?"

Kial Intrusion Detection Systems (IDS)

Informaj sistemoj kaj retoj senĉese elmontras al ciber-atakoj. Firewalls kaj antivirusoj por repeler ĉiuj ĉi tiuj atakoj estas klare ne sufiĉaj, ĉar ili nur povas protekti la "antaŭpordon" de komputilaj sistemoj kaj retoj. Malsamaj adoleskantoj, imagante sin pirantoj, senĉese skuriĝas interreton serĉante fendojn en sekurecaj sistemoj.

Danke al la Monda Retejo, ili havas multajn tute senpagajn malican programojn - ĉiajn spammistojn, blindulojn kaj similaj malutilaj programoj. La servoj de profesiaj ŝtelistoj estas uzataj de konkurantaj firmaoj por neŭtrigi unu la alian. Do sistemoj, kiuj detektas sistemajn detektajn sistemojn, estas absoluta neceso. Ne mirinde, ili estas pli vaste uzataj ĉiutage.

IDS-elementoj

IDS-elementoj inkluzivas:

• Subsema detektilo, kies celo estas la amasigo de retoj aŭ komputilaj sistemoj;
• Analizo-subsistemo, kiu detektas ciber-atakojn kaj dubindan aktivecon;
• Stokado por la amasigo de informoj pri eventoj, same kiel la rezultoj de la analizo de ciber-atakoj kaj ne rajtigitaj agoj;
• Administra konzolo kun kiu vi povas agordi IDS-parametrojn, monitoru la statuson de la reto (aŭ komputila sistemo), havi aliron al informoj pri la detektitaj de la atesta analizo-subsistemo kaj kontraŭleĝaj agoj.

Por iu, multaj povas demandi: "Kiel tradukas IDS?" Tradukado el la angla sonas kiel "sistemo, kiu kaptas varmajn nevunditajn gastojn".

La ĉefaj taskoj solvitaj de sistemoj de detección de intrusoj

Entrudiĝo Malkaŝo Sistemo havas du ĉefajn celojn: analizo de informo fontoj kaj konvenan respondon, surbaze de la rezultoj de ĉi tiu analizo. Por plenumi ĉi tiujn taskojn, la sistemo IDS plenumas la jenajn agojn:

• Monitoro kaj analizo de uzanto-aktiveco;
• Ĝi estas engaĝita en la auditoría sistemo agordo kaj ĝia malfortojn;
• Kontrolas la integrecon de la plej gravaj sistemaj dosieroj, same kiel datumaj dosieroj;
• Ĝi realigas statistikan analizon de la statoj de la sistemo, bazita en komparo kun tiuj, kiuj okazis dum jam konataj atakoj;
• Aŭskultas la mastruman sistemon.

Kion povas provizi la sistemo de detección de intrusoj kaj kio estas pli tie de lia potenco

Kun ĝia helpo vi povas atingi la jenajn:

• Plibonigi la integrecon de la reto-infrastrukturo;
• Spuri la agadon de la uzanto de la momento de ĝia eniro en la sistemon kaj ĝis la tempo de malutilo aŭ produktado de iuj ne rajtigitaj agoj;
• Identigi kaj sciigi pri ŝanĝi aŭ forigi datumojn;
• Aŭtomatigi interretajn taskojn por serĉi la plej lastajn atakojn;
• Identigi erarojn en la agordo de la sistemo;
• Detekti la komencon de la atako kaj sciigi pri tio.

La sistemo IDS ne povas fari ĉi tion:

• Plenigi difektojn en retaj protokoloj;
• Ludu kompensan rolon en kazo de malforta identigo kaj aŭtentika mekanismoj en la retoj aŭ komputilaj sistemoj, kiujn ĝi monitorigas;
• Ĝi ankaŭ devas rimarki, ke la IDS ne ĉiam traktas la problemojn asociitajn kun pakoj-nivelaj atakoj.

IPS (sistemo de antaŭzorgo de intrudado) - daŭrigis IDS

IPS staras "malhelpante intrusion en la sistemon". Ĉi tiuj estas etenditaj, pli funkciaj varioj de IDS. IPS-ID-sistemoj estas reagaj (kontraŭe al konvenciaj). Ĉi tio signifas, ke ili ne nur povas detekti, registri kaj sciigi pri atako, sed ankaŭ plenumi protektajn funkciojn. Ĉi tiuj funkcioj inkluzivas rekomenci ligojn kaj bloki venontajn trafikajn pakojn. Alia karakteriza karakterizaĵo de IPS estas, ke ili laboras interrete kaj povas aŭtomate bloki atakojn.

IDS-subspecioj per viglado

NIDS (ekz., IDSs, kiuj monitorigas la tutan reton) analizas la trafikon de la tuta subneto kaj estas centre administritaj. La ĝusta loko de pluraj NIDS povas esti atingita per monitorado de sufiĉe granda reto.

Ili laboras en nelegebla maniero (tio estas, ili kontrolas ĉiujn venontajn pakojn, kaj ne faras ĝin selecte), komparante subnet-trafikon kun konataj atakoj de sia biblioteko. Kiam atako estas identigita aŭ ne rajtigita agado detektas, alarmo estas sendita al la administranto. Tamen oni devas mencii, ke en granda reto kun granda trafiko, NIDS foje ne povas kontroli ĉiujn informajn pakojn. Sekve, ekzistas ebleco, ke dum la "pinto horo" ili ne povos rekoni la atakon.

NIDS (reto-bazitaj IDS) estas tiuj sistemoj, kiuj facile integras en novajn retajn topologiojn, ĉar ili havas neniun specialan efikon sur sia funkciado, pasiva. Ili nur registras, registras kaj sciigas, kontraste kun la reactiva tipo de IPS-sistemoj diskutitaj pli supre. Tamen, ĝi ankaŭ devus diri pri IDS-reto, ke tiuj estas sistemoj, kiuj ne povas analizi informojn, kiuj estis ĉifrita. Ĉi tio estas grava malfacilaĵo, ĉar pro la kreskanta enkonduko de virtualaj privataj retoj (VPNs), ĉifrita informo estas ĉiufoje pli uzita per ciberkriminalaj atakoj.

Ankaŭ, NIDS ne povas determini kio okazis kiel rezulto de la atako, ĉu ĝi difektis aŭ ne. Ĉio, kio estas en sia povo, devas ripari ĝian komencon. Sekve, la administranto devigas sendepende reekuti ĉiun kazon de atako por certigi, ke la atakantoj sukcesis sian celon. Alia grava problemo estas, ke NIDS apenaŭ povas detekti atakojn per fragmentaj pakoj. Ili estas speciale danĝeraj, ĉar ili povas malobservi la normalan operacion de NIDS. Kion tio signifas por la tuta reto aŭ komputila sistemo, vi ne bezonas klarigi.

HIDS (sistemo de detección de intrusoj gastiganto)

HIDS (IDS, gastigado) servas nur specifan komputilon. Ĉi tio kompreneble provizas multe pli altan efikecon. HIDS analizas du tipojn de informoj: sistemaj logoj kaj auditoriaj rezultoj de la mastruma sistemo. Ili prenas foton de la sistemaj dosieroj kaj komparas ĝin al pli frua fotokapablo. Se maltrankviligaj dosieroj por la sistemo ŝanĝiĝis aŭ forigis, tiam oni sendas alarmon al la administranto.

Esenca avantaĝo de HIDS estas la kapablo efektivigi sian laboron en situacio kie reto trafiko povas esti ĉifrita. Ĉi tio eblas pro la fakto ke gastigaj fontoj de informo povas esti kreitaj antaŭ ol la datumoj estas ĉifritaj aŭ post kiam ili estas senĉifritaj en la gastiganto.

La malavantaĝoj de ĉi tiu sistemo inkluzivas la eblecon bloki aŭ eĉ malpermesi iujn specojn de DoS-atakoj. La problemo ĉi tie estas, ke la sensiloj kaj iuj HIDS-analizaj iloj estas sur la gastiganto, kiu estas atakita, tio estas, ili ankaŭ estas atakitaj. La fakto, ke HIDS uzas la rimedojn de gastigantoj, kies laboro ili observas, estas malfacile nomi pluson, ĉar ĉi tio nature reduktas ilian agadon.

IDS IDEs por metodoj detekti atakojn

La metodo de anomalioj, la metodo de subskriba analizo kaj la metodo de politikoj - tiaj subtipoj per metodoj detekti atakojn havas la sistemon IDS.

Subskriba analitika metodo

En ĉi tiu kazo, la datumaj pakoj estas registritaj por atakaj subskriboj. La subskribo de la atako estas la respondeco de la evento al unu el la specimenoj priskribantaj la konatan atakon. Ĉi tiu metodo estas sufiĉe efika, ĉar kiam vi uzas ĝin, mesaĝoj pri falsaj atakoj estas sufiĉe maloftaj.

Metodo de anomalioj

Kun ĝia helpo, kontraŭleĝaj agoj detektas sur la reto kaj gastigantoj. Bazita sur la historio de la normala funkciado de la gastiganto kaj reto, specialaj profiloj estas kreitaj per datumoj pri ĝi. Tiam specialaj detektiloj eniras en ludon, kiuj analizas la eventojn. Uzante diversaj algoritmoj, ili analizas ĉi tiujn eventojn, komparante ilin per la "normo" en la profiloj. La manko de la bezono amasigi grandegan nombron de atakaj subskriboj estas definitiva pluso de ĉi tiu metodo. Tamen, konsiderinda nombro de falsaj signaloj pri atakoj kun atípicos, sed sufiĉe laŭleĝaj eventoj en la reto - ĉi tio estas nedubebla negativa.

Politika Metodo

Alia metodo por detekti atakojn estas la politika metodo. La esenco de ĝi - en la kreado de retaj sekurecaj reguloj, en kiuj, ekzemple, la principo de interligado inter unu kaj la protokoloj uzataj povas esti specifita. Ĉi tiu metodo estas promesplena, sed la malfacilaĵo kuŝas en la sufiĉe komplika procezo krei politikan bazon.

ID-sistemoj provizos fidindan protekton por viaj retoj kaj komputilaj sistemoj

ID Systems Grupoj de kompanioj estas unu el la merkatestroj en la kampo krei sekurecajn sistemojn por komputilaj retoj. Ĝi provizos al vi fidindan protekton kontraŭ ciber-villanoj. Kun sistemoj pri protektado de ID-sistemoj, vi ne povas zorgi pri la gravaj datumoj por vi. Danke al tio vi povos ĝui la vivon pli, ĉar vi havos malpli angoron en via animo.

ID-sistemoj - dungitata retpoŝto

Bona teamo, kaj plej grave, kompreneble, estas la ĝusta sinteno de la administrado de la kompanio al siaj dungitoj. Ĉiuj (eĉ la bredantaj novuloj) havas la ŝancon por profesia kresko. Vere, por tio, kompreneble, vi devas pruvi vin mem, kaj tiam ĉio fariĝos.

La teamo havas sanan atmosferon. Komencantoj ĉiam instruos ĉion kaj ĉio estos montrita. Ne malsana konkurenco ne sentas. Dungitoj, kiuj laboras en la kompanio dum multaj jaroj, estas feliĉaj dividi ĉiujn teknikajn subtilaĵojn. Ili estas bonvolaj, eĉ sen ombro de kondamnado respondas la plej stultajn demandojn pri nespertaj laboristoj. Ĝenerale, de laboro en ID-Sistemoj iuj agrablaj emocioj.

La sinteno de demarŝo plaĉas plaĉe. Ankaŭ plaĉas, ke ĉi tie, evidente, ili kapablas labori kun kadroj, ĉar la teamo estas vere tre profesia. La opinio de la dungitoj estas preskaŭ senŝanĝa: ili sentas hejme hejme.