IDS - đó là những gì? Hệ thống phát hiện xâm phạm (IDS) là một tác phẩm?

IDS - đó là những gì? Làm thế nào thực hiện điều này hệ thống làm việc? Hệ thống phát hiện xâm phạm - một phần cứng hoặc phần mềm để phát hiện các cuộc tấn công và hoạt động nguy hiểm. Họ giúp mạng và hệ thống máy tính để cung cấp cho họ một phản kháng thích hợp. Để đạt được điều này, IDS thu thập thông tin từ hệ thống hoặc mạng nhiều nguồn khác nhau. Sau đó, IDS phân tích nó để xác định sự hiện diện của các cuộc tấn công. Bài viết này sẽ cố gắng trả lời câu hỏi: "IDS - đó là những gì và những gì là nó cho"

hệ thống phát hiện xâm nhập là gì (IDS)

Hệ thống thông tin và mạng lưới thường xuyên tiếp xúc với cuộc tấn công mạng. Tường lửa và chống virus để phản ánh tất cả các cuộc tấn công là không đủ, bởi vì họ chỉ có thể để bảo vệ "cửa trước" của hệ thống máy tính và mạng. thanh thiếu niên khác, tưởng tượng bản thân hacker, không ngừng sục sạo internet để tìm kiếm lỗ hổng trong hệ thống an ninh.

Nhờ World Wide Web theo ý của họ rất nhiều hoàn toàn miễn phí của phần mềm độc hại - bất kỳ Slammer, slepperov và các chương trình độc hại tương tự. Dịch vụ được hacker chuyên nghiệp được các công ty cạnh tranh để trung hòa lẫn nhau. Vì vậy mà các hệ thống phát hiện xâm nhập (IDS), - một nhu cầu cấp bách. Không ngạc nhiên khi mỗi ngày họ đang trở nên sử dụng rộng rãi hơn.

yếu tố IDS

Các yếu tố của IDS bao gồm:

• dò hệ thống phụ, mục đích trong đó - sự tích tụ của các sự kiện mạng hoặc hệ thống máy tính;
• phân tích hệ thống phụ phát hiện một cuộc tấn công không gian mạng và hoạt động đáng ngờ;
• lưu trữ để lưu trữ thông tin về các sự kiện và các kết quả phân tích các cuộc tấn công không gian mạng và hoạt động trái phép;
• quản lý giao diện điều khiển mà IDS có thể thiết lập các thông số, theo dõi trạng thái của mạng (hay hệ thống máy tính), được tiếp cận với thông tin về phân tích hệ thống phụ tấn công phát hiện và hành động trái pháp luật.

Trong thực tế, nhiều người có thể hỏi, "Làm thế nào được dịch IDS?" Dịch tài liệu từ tiếng Anh nghe như "hệ thống phát hiện những kẻ xâm nhập nóng."

Nhiệm vụ cơ bản để giải quyết các hệ thống phát hiện xâm nhập

Intrusion Detection System có hai mục tiêu chính: phân tích các nguồn thông tin và phản ứng thích hợp, dựa trên kết quả phân tích này. Để thực hiện các nhiệm vụ hệ thống IDS thực hiện các thao tác sau:

• giám sát và phân tích hoạt động người dùng;
• Đó là tham gia vào việc kiểm toán cấu hình hệ thống và điểm yếu của nó;
• Nó kiểm tra tính toàn vẹn của tập tin hệ thống quan trọng và các tập tin dữ liệu;
• tiến hành một nghiên cứu thống kê của các trạng thái hệ thống dựa trên sự so sánh với các điều kiện đó xảy ra trong các cuộc tấn công đã được biết đến;
• Nó kiểm toán hệ điều hành.

Điều đó có thể cung cấp một hệ thống phát hiện xâm nhập, và rằng cô ấy không thể đủ khả năng

Bạn có thể sử dụng nó để đạt được những điều sau đây:

• cải thiện tính toàn vẹn của các thông số của cơ sở hạ tầng mạng;
• để theo dõi hoạt động người dùng kể từ ngày nhập cảnh của nó vào hệ thống và ứng dụng của nó hại hoặc thực hiện bất kỳ hành động trái phép;
• xác định và thông báo về sự thay đổi, hoặc xóa dữ liệu;
• Tự động nhiệm vụ giám sát Internet để tìm ra các vụ tấn công gần đây nhất;
• phát hiện một lỗi trong cấu hình hệ thống;
• phát hiện các cuộc tấn công bắt đầu và thông báo.

Các IDS không thể làm điều đó:

• để lấp đầy những khoảng trống trong giao thức mạng;
• vai trò bù để chơi trong trường hợp mạng cơ chế nhận dạng và xác thực yếu hoặc hệ thống máy tính mà nó giám sát;
• Cũng cần phải lưu ý rằng IDS không phải luôn luôn đối phó với những vấn đề liên quan đến các vụ tấn công ở mức gói dữ liệu (packet-level).

IPS (Intrusion Prevention System) - IDS Tiếp

IPS là viết tắt của "hệ thống phòng chống xâm nhập." Đây tiên tiến, IDS giống chức năng hơn. hệ thống IPS IDS là phản ứng (trái ngược với bình thường). Điều này có nghĩa rằng họ không thể chỉ xác định, ghi lại và cảnh báo về vụ tấn công, mà còn để thực hiện chức năng an toàn. Các chức năng này bao gồm các hợp chất thiết lập lại và ngăn chặn các gói dữ liệu đến. Một tính năng của IPS là họ đang làm việc trực tuyến và có thể tự động chặn các cuộc tấn công.

phương pháp phân loài IDS để theo dõi

NIDS (tức là IDS, được giám sát mạng toàn bộ (mạng)) tham gia vào việc phân tích giao thông trên mạng con và quản lý tập trung. sắp xếp đều đặn một số NIDS giám sát có thể đạt được kích thước mạng khá lớn.

Họ làm việc ở chế độ promiscuous (tức là rà soát tất cả các gói tin đến, thay vì làm việc đó một cách chọn lọc) bằng cách so sánh giao thông subnet để tấn công đã biết với thư viện của mình. Khi một cuộc tấn công được xác định hoặc phát hiện hoạt động trái phép, người quản trị sẽ được gửi một cảnh báo. Tuy nhiên, nó nên được đề cập rằng một mạng lưới rộng lớn với lưu lượng cao NIDS đôi khi không thể đối phó với tất cả các gói thông tin thử nghiệm. Do đó, có một khả năng rằng trong "giờ cao điểm", họ sẽ không thể nhận ra cuộc tấn công.

NIDS (dựa trên mạng IDS) - đây là những hệ thống có thể dễ dàng tích hợp vào topo mạng mới như ảnh hưởng nhiều đến hiệu suất của họ, họ không có, là thụ động. Họ chỉ cố định được ghi lại và thông báo, không giống như các hệ thống loại IPS phản ứng đã được thảo luận ở trên. Tuy nhiên, nó cũng phải nói về IDS dựa trên mạng, đây là một hệ thống mà không thể phân tích dữ liệu bị mã hóa. Đây là một bất lợi đáng kể vì sự ra đời ngày càng cao của mạng riêng ảo (VPN) để mã hóa các thông tin ngày càng được sử dụng bởi tội phạm mạng để tấn công.

NIDS cũng không thể xác định những gì đã xảy ra như là kết quả của cuộc tấn công, nó gây ra thiệt hại hay không. Tất cả họ đủ khả năng - là để sửa chữa đầu của nó. Do đó, người quản trị buộc phải xem xét lại bản thân mỗi trường hợp tấn công để đảm bảo rằng các cuộc tấn công đã thành công. Một vấn đề quan trọng là NIDS khó chụp tấn công sử dụng các gói dữ liệu bị phân mảnh. Chúng đặc biệt nguy hiểm bởi vì họ có thể phá vỡ các hoạt động bình thường của NIDS. Điều này có nghĩa gì đối với toàn bộ hệ thống mạng hoặc máy tính, không cần phải giải thích.

HIDS (chủ hệ thống phát hiện xâm nhập)

HIDS (IDS, người dẫn chương monitoryaschie (host)) chỉ phục vụ một máy tính cụ thể. Điều này, tất nhiên, cung cấp hiệu quả cao hơn nhiều. HIDS phân tích hai loại thông tin: các bản ghi hệ thống và kết quả của cuộc kiểm toán hệ thống điều hành. Họ tạo ra một bản chụp của tập tin hệ thống và so sánh nó với hình ảnh trước đó. Nếu một quan trọng quan trọng đối với các tập tin hệ thống đã được sửa đổi hoặc loại bỏ, sau đó người quản lý sẽ gửi một cảnh báo.

HIDS lợi thế đáng kể là khả năng thực hiện công việc của họ trong một tình huống mà lưu lượng mạng là dễ bị mật mã. Điều này có thể nhờ vào thực tế là là trên máy chủ (host-based) nguồn thông tin có thể được tạo ra trước khi dữ liệu cho vay mình để mã hóa hoặc sau khi giải mã trên máy chủ đích.

Những nhược điểm của hệ thống này bao gồm khả năng chặn hoặc thậm chí cấm sử dụng một số loại DoS-tấn công. Vấn đề ở đây là một số cảm biến HIDS và các công cụ phân tích đều nằm trên máy chủ, mà đang bị tấn công, có nghĩa là, họ cũng bị tấn công. Thực tế là các nguồn lực là HIDS host mà công việc họ đang theo dõi, cũng vậy, khó có thể được gọi là một lợi thế, bởi vì nó tự nhiên làm giảm năng suất của họ.

Phân loài IDS về cách xác định các cuộc tấn công

bất thường phương pháp, phương pháp phân tích chữ ký và chính sách - phân loài như vậy về cách xác định các cuộc tấn công là IDS.

phân tích phương pháp chữ ký

Trong trường hợp này, các gói dữ liệu được kiểm tra chữ ký tấn công. Chữ ký của người tấn công - nó tương ứng với các sự kiện vào một trong những mẫu vật, mô tả các cuộc tấn công được biết đến. Phương pháp này khá hiệu quả, bởi vì khi bạn sử dụng các báo cáo sai sự thật của cuộc tấn công là tương đối hiếm.

phương pháp bất thường

Với sự trợ giúp của ông tìm thấy những hành động trái pháp luật trên mạng và máy chủ. Trên cơ sở lịch sử của hoạt động bình thường của máy chủ và mạng tạo hồ sơ đặc biệt với dữ liệu về nó. Sau đó đi vào chơi đặc biệt dò rằng phân tích các sự kiện. Sử dụng thuật toán khác nhau mà họ tạo ra một phân tích về những sự kiện này, so sánh chúng với những "chuẩn mực" trong tiểu sử. Việc thiếu cần phải tích lũy một số tiền rất lớn của chữ ký tấn công - một cộng rõ ràng của phương pháp này. Tuy nhiên, một số lượng đáng kể các báo động sai về vụ tấn công bằng không điển hình, nhưng nó là sự kiện mạng hoàn toàn hợp pháp - đây là âm không phải bàn cãi của mình.

phương pháp chính sách

Một phương pháp để phát hiện các cuộc tấn công là một phương pháp chính sách. Bản chất của nó - trong việc tạo ra các quy định an ninh mạng, trong đó, ví dụ, có thể chỉ ra các mạng lưới của nguyên tắc giữa bản thân và được sử dụng trong giao thức này. Phương pháp này rất hứa hẹn, nhưng khó khăn là khá một quá trình khó khăn của việc tạo ra một cơ sở dữ liệu của các chính sách.

Hệ thống ID sẽ cung cấp bảo vệ đáng tin cậy của hệ thống mạng và máy tính của bạn

Nhóm ID Systems hôm nay là một trong những trong lĩnh vực dẫn đầu thị trường hệ thống an ninh cho các mạng máy tính. Nó sẽ cung cấp cho bạn sự bảo vệ đáng tin cậy chống lại cyber-nhân vật phản diện. bạn không thể lo lắng về dữ liệu quan trọng của bạn để bảo vệ hệ thống Hệ thống ID. Bởi vì điều này, bạn sẽ có thể tận hưởng cuộc sống nhiều hơn bởi vì bạn có trong tâm hồn là một chút rắc rối.

Hệ thống ID - Đánh giá nhân viên

Vĩ đại đội, và quan trọng nhất, tất nhiên - đây là thái độ đúng đắn về quản lý của công ty để nhân viên của mình. Tất cả mọi người (ngay cả những người mới bắt đầu còn non trẻ) có cơ hội cho sự phát triển chuyên nghiệp. Tuy nhiên, cho điều này, tất nhiên, bạn cần phải thể hiện bản thân, và sau đó tất cả mọi thứ sẽ ra sao.

Trong nhóm nghiên cứu bầu khí quyển khỏe mạnh. Người mới bắt đầu luôn xung quanh con tàu và tất cả các chương trình. Không cạnh tranh không lành mạnh là không cảm thấy. Nhân viên làm việc trong công ty trong nhiều năm, được hài lòng để chia sẻ tất cả các chi tiết kỹ thuật. Họ rất thân thiện, thậm chí không có một chút chiếu cố trả lời những câu hỏi ngớ ngẩn nhất công nhân thiếu kinh nghiệm. Nói chung, từ làm việc trong hệ thống ID một số cảm xúc dễ chịu.

quản lý thái độ ngạc hài lòng. Cũng hài lòng rằng ở đây, rõ ràng, có khả năng làm việc với các nhân viên, bởi vì các nhân viên thực sự phù hợp cao. Nhân viên gần như rõ ràng: họ cảm thấy tại nơi làm việc ở nhà.