Įsibrovimų aptikimo sistema (IDS) palaiko tinklo srautą, ieško neįprastos veiklos ir siunčia įspėjimus, kai ji įvyksta. Pagrindinės įsibrovimų aptikimo sistemos (IDS) pareigos yra anomalijų aptikimas ir ataskaitų teikimas, tačiau kai kurios įsibrovimo aptikimo sistemos gali imtis veiksmų, kai aptinkama kenkėjiška veikla arba neįprastas srautas. Šiame straipsnyje aptarsime visus įsibrovimų aptikimo sistemos aspektus.

Kas yra įsibrovimo aptikimo sistema?

Sistema, vadinama įsibrovimų aptikimo sistema (IDS), stebi tinklo srautą dėl kenkėjiškų operacijų ir nedelsiant siunčia įspėjimus, kai tai pastebima. Tai programinė įranga, tikrinanti, ar tinkle ar sistemoje nėra kenkėjiškos veiklos ar politikos pažeidimų. Kiekviena neteisėta veikla ar pažeidimas dažnai registruojamas centralizuotai naudojant SIEM sistemą arba pranešama administracijai. IDS stebi tinklą ar sistemą, ar nėra kenkėjiškos veiklos, ir apsaugo kompiuterių tinklą nuo neteisėtos vartotojų, įskaitant galbūt viešai neatskleistą informaciją, prieigos. Įsibrovimų detektoriaus mokymosi užduotis yra sukurti nuspėjamąjį modelį (ty klasifikatorių), galintį atskirti „blogus ryšius“ (įsibrovimą / atakas) ir „gerus (įprastus) ryšius“.

Įsibrovimų aptikimo sistemos (IDS) veikimas

• IDS (įsilaužimo aptikimo sistema) monitoriai eismas a kompiuterinis tinklas aptikti bet kokią įtartiną veiklą.
• Jis analizuoja tinkle tekančius duomenis, kad ieškotų neįprasto elgesio modelių ir požymių.
• IDS lygina tinklo veiklą su iš anksto nustatytų taisyklių ir modelių rinkiniu, kad nustatytų bet kokią veiklą, kuri gali rodyti ataką ar įsibrovimą.
• Jei IDS aptinka kažką, kas atitinka vieną iš šių taisyklių ar šablonų, ji siunčia įspėjimą sistemos administratoriui.
• Tada sistemos administratorius gali ištirti įspėjimą ir imtis veiksmų, kad būtų išvengta žalos ar tolesnio įsibrovimo.

Įsibrovimų aptikimo sistemos (IDS) klasifikacija

Įsibrovimo aptikimo sistemos skirstomos į 5 tipus:

• Tinklo įsilaužimo aptikimo sistema (NIDS): Tinklo įsilaužimo aptikimo sistemos (NIDS) nustatomos suplanuotame tinklo taške, kad būtų galima ištirti visų tinklo įrenginių srautą. Ji stebi srautą, perduodamą visame potinklyje, ir suderina potinkliuose perduodamą srautą su žinomų atakų rinkiniu. Nustačius ataką arba pastebėjus neįprastą elgesį, įspėjimas gali būti siunčiamas administratoriui. NIDS pavyzdys yra jo įdiegimas potinklyje, kur ugniasienės yra tam, kad pamatytų, ar kas nors nebando nulaužti ugniasienė .

• Pagrindinio kompiuterio įsilaužimo aptikimo sistema (HIDS): Pagrindinio kompiuterio įsilaužimo aptikimo sistemos (HIDS) veikia nepriklausomuose pagrindiniuose kompiuteriuose arba tinklo įrenginiuose. HIDS stebi tik iš įrenginio gaunamus ir siunčiamus paketus ir įspės administratorių, jei aptiks įtartiną ar kenkėjišką veiklą. Jis padaro esamų sistemos failų momentinę nuotrauką ir palygina ją su ankstesne momentine nuotrauka. Jei analitinės sistemos failai buvo redaguoti arba ištrinti, administratoriui siunčiamas įspėjimas, kad jis ištirtų. HIDS naudojimo pavyzdį galima pamatyti itin svarbiose mašinose, kurių išdėstymas neturėtų keistis.

Įsibrovimų aptikimo sistema (IDS)

• Protokolu pagrįsta įsilaužimo aptikimo sistema (PIDS): Protokolais pagrįsta įsibrovimų aptikimo sistema (PIDS) apima sistemą arba agentą, kuris nuolat būtų serverio priekinėje dalyje, valdydamas ir interpretuodamas vartotojo / įrenginio ir serverio protokolą. Jis bando apsaugoti žiniatinklio serverį reguliariai stebėdamas HTTPS protokolas srautą ir priimdami susijusį HTTP protokolas . Kadangi HTTPS yra nešifruotas ir prieš akimirksniu įeinant į žiniatinklio pateikimo sluoksnį, ši sistema turėtų būti šioje sąsajoje, kad galėtų naudoti HTTPS.
• Programos protokolu pagrįsta įsilaužimo aptikimo sistema (APIDS): Aplikacija Protokolu pagrįsta įsilaužimo aptikimo sistema (APIDS) yra sistema arba agentas, kuris paprastai yra serverių grupėje. Jis identifikuoja įsibrovimus, stebėdamas ir interpretuodamas ryšį su konkrečios programos protokolais. Pavyzdžiui, taip būtų stebimas SQL protokolas, skirtas tarpinei programinei įrangai, kai ji sąveikauja su duomenų baze žiniatinklio serveryje.
• Hibridinė įsilaužimo aptikimo sistema: Hibridinė įsilaužimo aptikimo sistema yra sukurta derinant du ar daugiau įsibrovimo aptikimo sistemos metodų. Hibridinėje įsilaužimo aptikimo sistemoje pagrindinis agentas arba sistemos duomenys derinami su tinklo informacija, kad būtų sukurtas išsamus tinklo sistemos vaizdas. Hibridinė įsilaužimo aptikimo sistema yra efektyvesnė, palyginti su kita įsilaužimo aptikimo sistema. Preliudas yra hibridinio IDS pavyzdys.

Įsibrovimo aptikimo sistemos vengimo būdai

• Suskaidymas: Paketo padalijimas į mažesnį paketą, vadinamą fragmentu, ir procesas yra žinomas kaip suskaidymas . Dėl to neįmanoma nustatyti įsibrovimo, nes negali būti kenkėjiškos programos parašo.
• Paketų kodavimas: Paketų kodavimas naudojant tokius metodus kaip „Base64“ arba šešioliktainis gali paslėpti kenkėjišką turinį nuo parašu pagrįsto IDS.
• Eismo trukdymas: Sudėtingiau interpretuojant pranešimą, užmaskavimas gali būti naudojamas atakai paslėpti ir išvengti aptikimo.
• Šifravimas: Yra keletas saugos funkcijų, tokių kaip duomenų vientisumas, konfidencialumas ir duomenų privatumas šifravimas . Deja, saugos funkcijas naudoja kenkėjiškų programų kūrėjai, norėdami paslėpti atakas ir išvengti aptikimo.

IDS privalumai

• Aptinka kenkėjišką veiklą: IDS gali aptikti bet kokią įtartiną veiklą ir įspėti sistemos administratorių prieš padarant didelę žalą.
• Pagerina tinklo našumą: IDS gali nustatyti bet kokias tinklo veikimo problemas, kurias galima išspręsti siekiant pagerinti tinklo našumą.
• Atitikties reikalavimai: IDS gali padėti įvykdyti atitikties reikalavimus stebėdama tinklo veiklą ir generuodama ataskaitas.
• Suteikia įžvalgų: IDS sukuria vertingų įžvalgų apie tinklo srautą, kurią galima naudoti norint nustatyti bet kokius trūkumus ir pagerinti tinklo saugumą.

IDS aptikimo metodas

• Parašu pagrįstas metodas: Parašu pagrįstas IDS aptinka atakas pagal konkrečius modelius, pvz., baitų skaičių arba 1 skaičių arba 0 skaičių tinklo sraute. Jis taip pat aptinka pagal jau žinomą kenkėjiškų instrukcijų seką, kurią naudoja kenkėjiška programa. IDS aptikti šablonai yra žinomi kaip parašai. Parašu paremtas IDS gali nesunkiai aptikti atakas, kurių modelis (parašas) jau egzistuoja sistemoje, tačiau aptikti naujas kenkėjiškų programų atakas yra gana sunku, nes jų modelis (parašas) nėra žinomas.
• Anomalijomis pagrįstas metodas: Anomalijomis pagrįstas IDS buvo pristatytas siekiant aptikti nežinomų kenkėjiškų programų atakas, nes sparčiai kuriama nauja kenkėjiška programa. Anomalijomis pagrįstoje IDS naudojamas mašininis mokymasis, kad būtų sukurtas patikimas veiklos modelis, o viskas, kas ateina, lyginama su tuo modeliu ir paskelbiama įtartinu, jei jo modelyje nerasta. Mašininiu mokymusi pagrįsto metodo savybė yra geriau apibendrinta, palyginti su parašu pagrįstu IDS, nes šie modeliai gali būti mokomi pagal programas ir aparatinės įrangos konfigūracijas.

IDS palyginimas su ugniasienėmis

IDS ir ugniasienė yra susijusios su tinklo saugumu, tačiau IDS skiriasi nuo a ugniasienė kaip ugniasienė išoriškai ieško įsibrovimų, kad jie neįvyktų. Ugniasienės riboja prieigą tarp tinklų, kad būtų išvengta įsibrovimo, o jei ataka vyksta iš tinklo, ji neduoda signalo. IDS aprašo įtariamą įsibrovimą, kai jis įvyksta, ir tada signalizuoja.

IDS išdėstymas

• Optimaliausia ir labiausiai paplitusi IDS padėtis yra už ugniasienės. Nors ši padėtis skiriasi atsižvelgiant į tinklą. „Už ugniasienės“ vieta leidžia IDS gerai matyti gaunamą tinklo srautą ir nepriims srauto tarp vartotojų ir tinklo. Tinklo taško kraštas suteikia tinklui galimybę prisijungti prie ekstraneto.
• Tais atvejais, kai IDS yra už tinklo ugniasienės, ji turėtų apsisaugoti nuo interneto triukšmo arba apsisaugoti nuo atakų, tokių kaip prievadų nuskaitymas ir tinklo žemėlapių sudarytojas. Šioje pozicijoje esantis IDS stebėtų 4–7 sluoksnius. OSI modelis ir naudotų parašu pagrįstą aptikimo metodą. Geriau rodyti bandytų pažeidimų skaičių, o ne tikrus pažeidimus, per kuriuos buvo pasiekta ugniasienė, nes taip sumažėja klaidingų teigiamų rezultatų skaičius. Sėkmingoms tinklo atakoms atrasti taip pat reikia mažiau laiko.
• Išplėstinė IDS, integruota su ugniasiene, gali būti naudojama sudėtingoms į tinklą patenkančioms atakoms perimti. Išplėstinių IDS ypatybės apima kelis saugos kontekstus maršruto parinkimo lygyje ir sujungimo režimu. Visa tai savo ruožtu gali sumažinti išlaidas ir veiklos sudėtingumą.
• Kitas IDS talpinimo pasirinkimas yra tinkle. Šis pasirinkimas atskleidžia atakas arba įtartiną veiklą tinkle. Saugumo tinkle nepripažinimas kenkia, nes gali leisti vartotojams kelti saugumo riziką arba leisti į sistemą įsilaužusiam užpuolikui laisvai klaidžioti.

Išvada

Įsibrovimų aptikimo sistema (IDS) yra galingas įrankis, galintis padėti įmonėms aptikti ir užkirsti kelią neteisėtai prieigai prie tinklo. Analizuodama tinklo srauto modelius, IDS gali nustatyti bet kokią įtartiną veiklą ir įspėti sistemos administratorių. IDS gali būti vertingas bet kurios organizacijos saugos infrastruktūros priedas, suteikiantis įžvalgų ir pagerinantis tinklo našumą.

Dažnai užduodami klausimai apie įsibrovimo aptikimo sistemą – DUK

Skirtumas tarp IDS ir IPS?

Kai IDS aptinka įsibrovimą, jis tik įspėja tinklo administravimą Įsibrovimų prevencijos sistema (IPS) blokuoja kenkėjiškus paketus prieš jiems pasiekiant paskirties vietą.

Kokie yra pagrindiniai IDS diegimo iššūkiai?

Klaidingi teigiami ir klaidingi neigiami rezultatai yra pagrindiniai IDS trūkumai. Klaidingi teigiami duomenys padidina triukšmą, kuris gali rimtai pabloginti įsibrovimo aptikimo sistemos (IDS) efektyvumą, o klaidingas neigiamas rezultatas atsiranda, kai IDS nepatenka į įsibrovimą ir laiko jį galiojančiu.

Ar IDS gali aptikti viešai neatskleistas grėsmes?

Taip Įsibrovimų aptikimo sistema gali aptikti grėsmes.

Koks yra mašininio mokymosi vaidmuo IDS?

Naudojant Mašininis mokymasis , galima pasiekti aukštą aptikimo dažnį ir mažą klaidingų pavojaus signalų dažnį.