IDS - vad är det? Intrusion Detection System (IDS) som ett verk?

IDS - vad är det? Hur fungerar den här systemet fungerar? System Intrusion Detection - ett maskin- eller programvara för att upptäcka attacker och skadlig aktivitet. De hjälper nätverk och datorsystem för att ge dem en ordentlig bakläxa. För att uppnå detta, samlar IDS information från flera system eller nätverk källor. Då IDS analyserar den för att fastställa förekomsten av attacker. Denna artikel kommer att försöka svara på frågan: "IDS - vad är det och vad är det för"

Vad är intrångsdetekteringssystem (IDS)

Informationssystem och nätverk utsätts ständigt för cyberattacker. Brandväggar och antivirusprogram för att återspegla alla dessa attacker är inte tillräckligt, eftersom de bara kan skydda "dörren" av datorsystem och nätverk. Andra tonåringar, föreställde sig hackers, ständigt skur internet på jakt efter luckor i säkerhetssystem.

Tack vare World Wide Web till sitt förfogande en hel del helt fri från skadliga program - alla Slammer, slepperov och liknande skadliga program. Tjänsten är professionella hackare konkurrerar företag att neutralisera varandra. Så att system som upptäcker invasion (intrångsdetekteringssystem), - ett akut behov. Inte undra på att varje dag de blir används i större utsträckning.

elementen IDS

Elementen i IDS inkluderar:

• detektor delsystem vars syfte - ansamling av nätverkshändelser eller datorsystem;
• analys delsystem som upptäcker en cyberattack och tvivelaktig verksamhet;
• lagring för att lagra information om händelser och resultaten av analys av cyberattacker och obehöriga åtgärder;
• hanteringskonsol som IDS är möjligt att ställa in parametrar, övervaka tillståndet i nätverket (eller datorsystem), att få tillgång till information om upptäckta attack analys delsystemet och olagliga handlingar.

I själva verket kan många frågar, "Hur översätts IDS?" Översättning från engelska låter som "system som hittar den varma inkräktare."

De grundläggande uppgifter att lösa Intrusion Detection System

Intrusion Detection System har två huvudsyften: analys informationskällor och ett lämpligt svar, baserat på resultaten av denna analys. För att utföra dessa uppgifter IDS-systemet utför följande åtgärder:

• övervakar och analyserar användarens aktivitet;
• Det är engagerad i revisionen konfigurationssystem och dess svagheter;
• Den kontrollerar integriteten av kritiska systemfiler och datafiler;
• genomförande av en statistisk analys av de systemtillstånden baseras på en jämförelse med de villkor som inträffat under de redan kända attacker;
• Den granskar operativsystemet.

Som kan ge ett intrångsdetekteringssystem, och att hon inte har råd

Du kan använda den för att uppnå följande:

• förbättra integriteten av parametrarna i nätverksinfrastrukturen;
• för att spåra användarnas aktivitet på dagen för inträde i systemet och tillämpningen av den skada den eller göra otillåtna åtgärder,
• identifiera och informera om ändra eller ta bort data;
• Automatiserad Internet övervakningsuppgifter i syfte att hitta de senaste attackerna;
• detektera ett fel i systemkonfiguration;
• upptäcka attacker börjar och meddela.

IDS kan inte göra det:

• för att fylla luckor i nätverksprotokoll;
• kompensatorisk roll att spela i samband med svaga identifiering och autentiseringsmekanismer nätverk eller datorsystem som det övervakar;
• Det bör också noteras att IDS inte alltid är klara problemen i samband med attackerna på paketnivå (paketnivå).

IPS (Intrusion Prevention System) - Fortsatta IDS

IPS står för "Intrusion Prevention system." Denna avancerade, mer funktionella IDS sorter. IPS IDS system är reaktiva (i motsats till den vanliga). Detta innebär att de inte bara kan identifiera, spela in och alert om attacken, men också för att utföra säkerhetsfunktioner. Dessa funktioner inkluderar föreningar återställa och blockera de inkommande trafikpaketen. Ett annat inslag i IPS är att de arbetar på nätet och kan automatiskt blockera attacken.

Underart IDS metod för övervakning

NIDS (dvs. IDS, som övervakar hela nätverket (nätverk)) deltar i analysen av trafik över subnät och hanteras centralt. Regelbunden arrangemang av flera övervaknings NIDS kan åstadkomma ganska stort nätverk storlek.

De arbetar i promiskuöst läge (dvs kontrollera alla inkommande paket, istället för att göra det selektivt) genom att jämföra subnät trafik till kända attacker med dess bibliotek. När en attack är identifierad eller detekteras obehörig aktivitet, är administratören skickas ett larm. Det bör dock nämnas att ett stort nätverk med hög trafik NIDS ibland inte klarar alla testinformationspaket. Därför finns det en möjlighet att under "rush hour", kommer de inte att kunna känna igen attacken.

NIDS (nätverksbaserat IDS) - det är de system som lätt kan integreras i nya nätverkstopologin så mycket inflytande på deras prestanda, har de inte, att vara passiv. De fasta endast registreras och meddela, till skillnad från reaktiva typ IPS-system som diskuterades ovan. Det måste emellertid också sägas om nätverksbaserade IDS, är detta ett system som inte kan analysera data som utsatts för kryptering. Detta är en betydande nackdel på grund av den ökande införandet av virtuella privata nätverk (VPN) för att kryptera informationen används allt oftare av cyberbrottslingar att attackera.

NIDS inte heller kan avgöra vad som hände till följd av attacken, orsakade det skada eller inte. Allt de har råd - är att fastställa dess början. Därför är administratören tvingas att ompröva dig själv varje attack fall för att se till att attacken lyckades. Ett annat stort problem är att NIDS fångar knappast attack med hjälp av fragmenterade paket. De är särskilt farliga eftersom de kan störa den normala driften av nids. Vad innebär detta för hela nätverket eller datorsystem, utan att behöva förklara.

HIDS (värdintrångsdetekteringssystem)

HIDS (IDS, monitoryaschie värd (host)) tjänar bara en viss dator. Detta är naturligtvis, ger mycket högre effektivitet. HIDS analyserat två typer av information: systemloggarna och resultaten av operativsystemet revision. De gör en ögonblicksbild av systemfiler och jämföra det med den tidigare bilden. Om en kritisk betydelse för systemfiler har ändrats eller tagits bort, sedan chefen skickar ett larm.

HIDS betydande fördel är möjligheten att utföra sitt arbete i en situation där nätverkstrafik är känslig chiffer. Detta är möjligt tack vare det faktum att vara på värden (värdbaserad) informationskällor kan skapas innan data lämpar sig för kryptering eller efter dekryptering på destination värd.

Nackdelarna med detta system inkluderar möjligheten av dess blockering eller förbjuda användning av vissa typer av DoS-attacker. Problemet här är att vissa HIDS sensorer och analysverktyg finns på värden, som är under attack, det vill säga de också attack. Det faktum att resurserna är HIDS värdar vars arbete de övervakar också kan knappast kallas ett plus, eftersom det minskar naturligtvis deras produktivitet.

Arten IDS om hur man identifierar attacker

Metod anomalier, design analysmetod och politik - sådana underarter om hur man identifierar attacker är IDS.

Förfarande signaturanalys

I detta fall är datapaketen kontrolleras attack signaturer. Undertecknandet av attack - det motsvarar händelsen till ett av proverna, som beskriver kända attacker. Denna metod är ganska effektiv, eftersom när du använder falska rapporter av attacker är relativt sällsynta.

anomalier metod

Med hans hjälp fann olagliga handlingar i nätverket och värd. På grundval av historien om den normala driften av värden och nätverk som skapats speciella profiler med information om det. Då spelar in speciella detektorer som analyserar händelser. Med hjälp av olika algoritmer de producerar en analys av dessa händelser, att jämföra dem med "normen" i profilerna. Avsaknaden av behovet av att samla en stor mängd attacksignaturer - en bestämd plus för denna metod. Men ett stort antal falsklarm om attacken med atypiska, men det är helt legitimt nätverkshändelser - detta är hans obestridliga minus.

policy metod

En annan metod för att upptäcka attacker är en policy metod. Kärnan i den - i skapandet av nätverks säkerhetsbestämmelser som, till exempel, kan tyda på nätverk av princip mellan dem och som används i detta protokoll. Denna metod är lovande, men svårigheten är ganska svår process att skapa en databas med politik.

ID Systems kommer att ge tillförlitligt skydd av ditt nätverk och datorsystem

Grupp-ID Systems är idag en av de inom marknaden säkerhetssystem ledare för datornätverk. Det kommer att ge dig ett pålitligt skydd mot cyberskurkar. du kan inte oroa dig för dina viktiga data för att skydda ID Systems system. På grund av detta kommer du att kunna njuta av livet mer eftersom du har i hjärtat är lite problem.

ID Systems - personal recensioner

Bra team, och viktigast av allt, naturligtvis - det är rätt attityd förvaltningen av bolaget till sina anställda. Alla (även spirande nybörjare) har möjlighet till professionell utveckling. Men för detta, naturligtvis, måste du att uttrycka sig, och sedan allt kommer att avlöpa.

I laget friska atmosfären. Nybörjare är alltid runt tåget och hela showen. Ingen osund konkurrens är inte känt. Anställda som arbetar i företaget under många år, är glada att dela alla de tekniska detaljerna. De är vänliga, även utan en antydan till överlägsenhet svarar de dåraktiga frågorna oerfarna arbetare. I allmänhet, från att arbeta i ID Systems några trevliga känslor.

Attitude management glatt nöjd. Också glad över att här uppenbarligen har möjlighet att arbeta med personal, eftersom personalen är verkligen mycket matchas. Anställd nästan entydig: de känner på jobbet hemma.