logo

TechCodeview

System wykrywania włamań (IDS)

System wykrywania włamań (IDS) utrzymuje ruch sieciowy w poszukiwaniu nietypowej aktywności i wysyła alerty, gdy ona wystąpi. Do głównych zadań systemu wykrywania włamań (IDS) należy wykrywanie anomalii i raportowanie, jednak niektóre systemy wykrywania włamań mogą podjąć działania w przypadku wykrycia złośliwej aktywności lub nietypowego ruchu. W tym artykule omówimy każdy punkt dotyczący systemu wykrywania włamań.

Co to jest system wykrywania włamań?

System zwany systemem wykrywania włamań (IDS) obserwuje ruch sieciowy pod kątem złośliwych transakcji i po wykryciu wysyła natychmiastowe alerty. Jest to oprogramowanie sprawdzające sieć lub system pod kątem złośliwych działań lub naruszeń zasad. Każde nielegalne działanie lub naruszenie jest często rejestrowane centralnie za pomocą systemu SIEM lub zgłaszane administracji. IDS monitoruje sieć lub system pod kątem szkodliwej aktywności i chroni sieć komputerową przed nieautoryzowanym dostępem użytkowników, w tym być może osób z wewnątrz. Zadaniem uczenia się detektora włamań jest zbudowanie modelu predykcyjnego (tj. klasyfikatora) zdolnego do rozróżnienia pomiędzy „złymi połączeniami” (włamanie/ataki) i „dobrymi (normalnymi) połączeniami”.



Działanie systemu wykrywania włamań (IDS)

  • IDS (system wykrywania włamań) monitory ruch na A śieć komputerowa w celu wykrycia podejrzanej aktywności.
  • Analizuje dane przepływające przez sieć w poszukiwaniu wzorców i oznak nieprawidłowego zachowania.
  • IDS porównuje aktywność sieciową z zestawem predefiniowanych reguł i wzorców, aby zidentyfikować wszelkie działania, które mogą wskazywać na atak lub włamanie.
  • Jeżeli IDS wykryje coś, co pasuje do jednej z tych reguł lub wzorców, wysyła ostrzeżenie do administratora systemu.
  • Administrator systemu może następnie zbadać alert i podjąć działania, aby zapobiec uszkodzeniom lub dalszym włamaniom.

Klasyfikacja systemu wykrywania włamań (IDS)

Systemy wykrywania włamań dzielą się na 5 typów:

  • System wykrywania włamań sieciowych (NIDS): Systemy wykrywania włamań sieciowych (NIDS) są instalowane w zaplanowanym punkcie sieci w celu sprawdzania ruchu ze wszystkich urządzeń w sieci. Wykonuje obserwację ruchu przechodzącego w całej podsieci i dopasowuje ruch przekazywany w podsieciach do zbioru znanych ataków. Po wykryciu ataku lub zaobserwowaniu nietypowego zachowania alert może zostać wysłany do administratora. Przykładem NIDS jest instalacja go w podsieci, w której zapory ogniowe znajdują się w celu sprawdzenia, czy ktoś nie próbuje złamać hasła zapora sieciowa .
  • System wykrywania włamań hosta (HIDS): Systemy wykrywania włamań hosta (HIDS) działają na niezależnych hostach lub urządzeniach w sieci. HIDS monitoruje tylko pakiety przychodzące i wychodzące z urządzenia i powiadamia administratora w przypadku wykrycia podejrzanej lub złośliwej aktywności. Wykonuje migawkę istniejących plików systemowych i porównuje ją z poprzednią migawką. Jeśli pliki systemu analitycznego zostały zmodyfikowane lub usunięte, do administratora wysyłany jest alert w celu zbadania problemu. Przykład użycia HIDS można zobaczyć na komputerach o znaczeniu krytycznym, od których nie oczekuje się zmiany układu.
System wykrywania włamań (IDS)

System wykrywania włamań (IDS)

  • System wykrywania włamań oparty na protokołach (PIDS): System wykrywania włamań oparty na protokołach (PIDS) składa się z systemu lub agenta, który stale znajduje się na froncie serwera, kontrolując i interpretując protokół pomiędzy użytkownikiem/urządzeniem a serwerem. Próbuje zabezpieczyć serwer WWW poprzez regularne monitorowanie Protokół HTTPS przesyłanie strumieniowe i akceptowanie powiązanych Protokół HTTP . Ponieważ protokół HTTPS nie jest szyfrowany i przed natychmiastowym wejściem do warstwy prezentacji internetowej, system ten musiałby znajdować się w tym interfejsie, pomiędzy nimi, aby móc korzystać z protokołu HTTPS.
  • System wykrywania włamań oparty na protokole aplikacji (APIDS): Aplikacja System wykrywania włamań oparty na protokołach (APIDS) to system lub agent, który zazwyczaj znajduje się w grupie serwerów. Identyfikuje włamania poprzez monitorowanie i interpretację komunikacji przy użyciu protokołów specyficznych dla aplikacji. Na przykład spowodowałoby to bezpośrednie monitorowanie protokołu SQL dla oprogramowania pośredniczącego podczas transakcji z bazą danych na serwerze WWW.
  • Hybrydowy system wykrywania włamań: Hybrydowy system wykrywania włamań powstaje poprzez połączenie dwóch lub więcej podejść do systemu wykrywania włamań. W hybrydowym systemie wykrywania włamań dane agenta hosta lub systemu są łączone z informacjami o sieci w celu uzyskania pełnego obrazu systemu sieciowego. Hybrydowy system wykrywania włamań jest skuteczniejszy w porównaniu do innych systemów wykrywania włamań. Prelude jest przykładem hybrydowego IDS.

Techniki unikania systemów wykrywania włamań

  • Podział: Dzielenie pakietu na mniejszy pakiet zwany fragmentem i proces ten jest znany jako podział . Uniemożliwia to zidentyfikowanie włamania, ponieważ nie może istnieć sygnatura złośliwego oprogramowania.
  • Kodowanie pakietów: Kodowanie pakietów przy użyciu metod takich jak Base64 lub szesnastkowe może ukryć złośliwą zawartość przed systemem IDS opartym na sygnaturach.
  • Zaciemnianie ruchu: Komplikując interpretację wiadomości, zaciemnianie można wykorzystać do ukrycia ataku i uniknięcia wykrycia.
  • Szyfrowanie: Zapewnia kilka funkcji bezpieczeństwa, takich jak integralność danych, poufność i prywatność danych szyfrowanie . Niestety, twórcy złośliwego oprogramowania wykorzystują funkcje bezpieczeństwa do ukrywania ataków i unikania wykrycia.

Korzyści z IDS

  • Wykrywa złośliwą aktywność: IDS może wykryć wszelkie podejrzane działania i powiadomić administratora systemu, zanim nastąpią jakiekolwiek znaczące szkody.
  • Poprawia wydajność sieci: IDS może zidentyfikować wszelkie problemy z wydajnością sieci, które można rozwiązać w celu poprawy wydajności sieci.
  • Wymagania dotyczące zgodności: IDS może pomóc w spełnieniu wymogów zgodności poprzez monitorowanie aktywności sieciowej i generowanie raportów.
  • Dostarcza spostrzeżeń: IDS generuje cenne informacje o ruchu sieciowym, które można wykorzystać do identyfikacji słabych punktów i poprawy bezpieczeństwa sieci.

Metoda wykrywania IDS

  • Metoda oparta na podpisie: IDS oparty na sygnaturach wykrywa ataki na podstawie określonych wzorców, takich jak liczba bajtów, liczba jedynek lub liczba zer w ruchu sieciowym. Wykrywa również na podstawie znanej już sekwencji szkodliwych instrukcji wykorzystywanych przez złośliwe oprogramowanie. Wzorce wykryte w systemie IDS nazywane są sygnaturami. IDS oparty na sygnaturach może łatwo wykryć ataki, których wzór (podpis) już istnieje w systemie, ale dość trudno jest wykryć nowe ataki szkodliwego oprogramowania, ponieważ ich wzór (podpis) nie jest znany.
  • Metoda oparta na anomaliach: Wprowadzono IDS oparty na anomaliach, aby wykrywać ataki nieznanego złośliwego oprogramowania w miarę szybkiego rozwoju nowego szkodliwego oprogramowania. W IDS opartym na anomaliach wykorzystuje się uczenie maszynowe do stworzenia wiarygodnego modelu działania, a wszystko, co się pojawia, jest porównywane z tym modelem i uznawane za podejrzane, jeśli nie zostanie znalezione w modelu. Metoda oparta na uczeniu maszynowym ma lepiej uogólnioną właściwość w porównaniu z IDS opartym na sygnaturach, ponieważ modele te można trenować zgodnie z aplikacjami i konfiguracjami sprzętowymi.

Porównanie IDS z zaporami ogniowymi

Zarówno IDS, jak i zapora ogniowa są związane z bezpieczeństwem sieci, ale IDS różni się od zapora sieciowa tak jak zapora sieciowa szuka na zewnątrz włamań, aby je powstrzymać. Zapory ogniowe ograniczają dostęp między sieciami, aby zapobiec włamaniom, a jeśli atak następuje z wnętrza sieci, nie jest to sygnalizowane. IDS opisuje podejrzenie włamania po jego wystąpieniu, a następnie sygnalizuje alarm.



Umiejscowienie IDS

  • Najbardziej optymalną i najczęstszą pozycją do umieszczenia IDS jest za zaporą ogniową. Chociaż to stanowisko różni się w zależności od sieci. Umieszczenie „za zaporą ogniową” umożliwia IDS dobrą widoczność przychodzącego ruchu sieciowego i nie będzie odbierać ruchu pomiędzy użytkownikami a siecią. Krawędź punktu sieciowego zapewnia sieci możliwość podłączenia się do ekstranetu.
  • W przypadkach, gdy IDS jest umieszczony poza zaporą sieciową, będzie on chronił przed szumami z Internetu lub chronił przed atakami, takimi jak skanowanie portów i mapowanie sieci. IDS w tej pozycji będzie monitorował warstwy od 4 do 7 Model OSI i użyłby metody wykrywania opartej na sygnaturach. Lepsze jest pokazywanie liczby prób włamań zamiast faktycznych naruszeń, które przedostały się przez zaporę ogniową, ponieważ zmniejsza to liczbę fałszywych alarmów. Wykrycie skutecznych ataków na sieć zajmuje również mniej czasu.
  • Zaawansowany system IDS zintegrowany z zaporą sieciową może służyć do przechwytywania złożonych ataków wchodzących do sieci. Funkcje zaawansowanego IDS obejmują wiele kontekstów bezpieczeństwa na poziomie routingu i w trybie mostu. Wszystko to z kolei potencjalnie zmniejsza koszty i złożoność operacyjną.
  • Inną możliwością umieszczenia IDS jest umieszczenie go w sieci. Ten wybór ujawnia ataki lub podejrzaną aktywność w sieci. Niepotwierdzenie bezpieczeństwa w sieci jest szkodliwe, ponieważ może pozwolić użytkownikom na spowodowanie zagrożenia bezpieczeństwa lub pozwolić atakującemu, który włamał się do systemu, na swobodne poruszanie się.

Wniosek

System wykrywania włamań (IDS) to potężne narzędzie, które może pomóc firmom w wykrywaniu i zapobieganiu nieautoryzowanemu dostępowi do ich sieci. Analizując wzorce ruchu sieciowego, IDS może zidentyfikować podejrzane działania i powiadomić administratora systemu. IDS może być cennym dodatkiem do infrastruktury bezpieczeństwa każdej organizacji, zapewniając wgląd i poprawiając wydajność sieci.

mysql nie jest równy

Często zadawane pytania dotyczące systemu wykrywania włamań – często zadawane pytania

Różnica między IDS a IPS?

Kiedy IDS wykryje włamanie, powiadamia tylko administrację sieci System zapobiegania włamaniom (IPS) blokuje złośliwe pakiety, zanim dotrą do miejsca docelowego.

Jakie są kluczowe wyzwania związane z wdrażaniem IDS?

Fałszywie pozytywne i fałszywie negatywne wyniki to główne wady IDS. Fałszywe alarmy zwiększają szum, który może poważnie osłabić skuteczność systemu wykrywania włamań (IDS), natomiast fałszywie ujemne mają miejsce, gdy system IDS przeoczy włamanie i uzna je za prawidłowe.



Czy IDS może wykryć zagrożenia wewnętrzne?

Tak System wykrywania włamań może wykrywać zagrożenia.

Jaka jest rola uczenia maszynowego w IDS?

Używając Nauczanie maszynowe można osiągnąć wysoki współczynnik wykrywalności i niski współczynnik fałszywych alarmów.