logo

Intrusion Detection System (IDS)

Et Intrusion Detection System (IDS) sørger for at nettverkstrafikk leter etter uvanlig aktivitet og sender varsler når det oppstår. Hovedoppgavene til et inntrengningsdeteksjonssystem (IDS) er avviksdeteksjon og rapportering, men visse inntrengningsdeteksjonssystemer kan iverksette tiltak når ondsinnet aktivitet eller uvanlig trafikk oppdages. I denne artikkelen vil vi diskutere hvert punkt om inntrengningsdeteksjonssystemet.

Hva er et inntrengningsdeteksjonssystem?

Et system kalt et inntrengningsdeteksjonssystem (IDS) observerer nettverkstrafikk for ondsinnede transaksjoner og sender umiddelbare varsler når den blir observert. Det er programvare som sjekker et nettverk eller system for ondsinnede aktiviteter eller brudd på retningslinjene. Hver ulovlig aktivitet eller brudd blir ofte registrert enten sentralt ved hjelp av et SIEM-system eller varslet til en administrasjon. IDS overvåker et nettverk eller system for ondsinnet aktivitet og beskytter et datanettverk mot uautorisert tilgang fra brukere, inkludert kanskje innsidere. Læringsoppgaven for inntrengningsdetektor er å bygge en prediktiv modell (dvs. en klassifiserer) som er i stand til å skille mellom 'dårlige forbindelser' (inntrenging/angrep) og 'gode (normale) forbindelser'.



java intervju spørsmål

Arbeid med inntrengningsdeteksjonssystem (IDS)

  • Et IDS (Intrusion Detection System) monitorer trafikken på en datanettverk for å oppdage mistenkelig aktivitet.
  • Den analyserer dataene som strømmer gjennom nettverket for å se etter mønstre og tegn på unormal oppførsel.
  • IDS-en sammenligner nettverksaktiviteten med et sett med forhåndsdefinerte regler og mønstre for å identifisere enhver aktivitet som kan indikere et angrep eller inntrenging.
  • Hvis IDS oppdager noe som samsvarer med en av disse reglene eller mønstrene, sender den et varsel til systemadministratoren.
  • Systemadministratoren kan deretter undersøke varselet og iverksette tiltak for å forhindre skade eller ytterligere inntrenging.

Klassifisering av inntrengningsdeteksjonssystem (IDS)

Intrusion Detection System er klassifisert i 5 typer:

  • Network Intrusion Detection System (NIDS): Network Intrusion Detection Systems (NIDS) settes opp på et planlagt punkt i nettverket for å undersøke trafikk fra alle enheter på nettverket. Den utfører en observasjon av passerende trafikk på hele undernettet og matcher trafikken som sendes på undernettene til samlingen av kjente angrep. Når et angrep er identifisert eller unormal oppførsel er observert, kan varselet sendes til administratoren. Et eksempel på en NIDS er å installere den på subnettet hvor brannmurer er plassert for å se om noen prøver å knekke brannmur .
  • Host Intrusion Detection System (HIDS): Host intrusion detection-systemer (HIDS) kjører på uavhengige verter eller enheter på nettverket. En HIDS overvåker kun innkommende og utgående pakker fra enheten og vil varsle administratoren hvis mistenkelig eller ondsinnet aktivitet oppdages. Den tar et øyeblikksbilde av eksisterende systemfiler og sammenligner det med det forrige øyeblikksbildet. Hvis de analytiske systemfilene ble redigert eller slettet, sendes et varsel til administratoren for å undersøke. Et eksempel på HIDS-bruk kan sees på oppdragskritiske maskiner, som ikke forventes å endre layout.
Intrusion Detection System (IDS)

Intrusion Detection System (IDS)

  • Protokollbasert inntrengningsdeteksjonssystem (PIDS): Protokollbasert inntrengningsdeteksjonssystem (PIDS) omfatter et system eller en agent som konsekvent vil ligge i frontenden av en server, og kontrollere og tolke protokollen mellom en bruker/enhet og serveren. Den prøver å sikre webserveren ved å overvåke regelmessig HTTPS-protokoll streame og godta det relaterte HTTP-protokoll . Siden HTTPS er ukryptert og før det umiddelbart går inn i nettpresentasjonslaget, må dette systemet ligge i dette grensesnittet, mellom for å bruke HTTPS.
  • Application Protocol-based Intrusion Detection System (APIDS): En søknad Protokollbasert inntrengningsdeteksjonssystem (APIDS) er et system eller en agent som vanligvis befinner seg innenfor en gruppe servere. Den identifiserer inntrengningene ved å overvåke og tolke kommunikasjonen på applikasjonsspesifikke protokoller. For eksempel vil dette overvåke SQL-protokollen eksplisitt til mellomvaren når den utfører transaksjoner med databasen på webserveren.
  • Hybrid inntrengningsdeteksjonssystem: Hybrid inntrengningsdeteksjonssystem er laget ved kombinasjonen av to eller flere tilnærminger til inntrengningsdeteksjonssystemet. I det hybride inntrengningsdeteksjonssystemet kombineres vertsagenten eller systemdata med nettverksinformasjon for å utvikle en fullstendig oversikt over nettverkssystemet. Det hybride inntrengningsdeteksjonssystemet er mer effektivt sammenlignet med det andre inntrengningsdeteksjonssystemet. Prelude er et eksempel på Hybrid IDS.

Inntrengningsdeteksjonssystem Evasion-teknikker

  • Fragmentering: Dele pakken i mindre pakke kalt fragment og prosessen er kjent som fragmentering . Dette gjør det umulig å identifisere et inntrenging fordi det ikke kan være en signatur for skadelig programvare.
  • Pakkekoding: Koding av pakker ved hjelp av metoder som Base64 eller heksadesimal kan skjule skadelig innhold fra signaturbasert IDS.
  • Trafikkobfuskasjon: Ved å gjøre meldingen mer komplisert å tolke, kan tilsløring brukes til å skjule et angrep og unngå oppdagelse.
  • Kryptering: Flere sikkerhetsfunksjoner, som dataintegritet, konfidensialitet og personvern, leveres av kryptering . Dessverre brukes sikkerhetsfunksjoner av skadevareutviklere for å skjule angrep og unngå oppdagelse.

Fordeler med IDS

  • Oppdager ondsinnet aktivitet: IDS kan oppdage mistenkelige aktiviteter og varsle systemadministratoren før noen betydelig skade er gjort.
  • Forbedrer nettverksytelsen: IDS kan identifisere eventuelle ytelsesproblemer på nettverket, som kan løses for å forbedre nettverksytelsen.
  • Samsvarskrav: IDS kan hjelpe til med å møte samsvarskrav ved å overvåke nettverksaktivitet og generere rapporter.
  • Gir innsikt: IDS genererer verdifull innsikt i nettverkstrafikk, som kan brukes til å identifisere eventuelle svakheter og forbedre nettverkssikkerheten.

Deteksjonsmetode for IDS

  • Signaturbasert metode: Signaturbasert IDS oppdager angrepene på grunnlag av de spesifikke mønstrene som antall byte eller et antall 1-ere eller antall 0-er i nettverkstrafikken. Den oppdager også på grunnlag av den allerede kjente ondsinnede instruksjonssekvensen som brukes av skadelig programvare. De oppdagede mønstrene i IDS er kjent som signaturer. Signaturbasert IDS kan enkelt oppdage angrep hvis mønster (signatur) allerede eksisterer i systemet, men det er ganske vanskelig å oppdage nye malware-angrep da deres mønster (signatur) ikke er kjent.
  • Anomalibasert metode: Anomali-basert IDS ble introdusert for å oppdage ukjente malware-angrep ettersom ny malware utvikles raskt. I anomalibasert IDS er det bruk av maskinlæring for å lage en pålitelig aktivitetsmodell, og alt som kommer blir sammenlignet med den modellen, og det blir erklært mistenkelig hvis det ikke finnes i modellen. Den maskinlæringsbaserte metoden har en bedre generalisert egenskap sammenlignet med signaturbasert IDS, da disse modellene kan trenes i henhold til applikasjonene og maskinvarekonfigurasjonene.

Sammenligning av IDS med brannmurer

IDS og brannmur er begge relatert til nettverkssikkerhet, men en IDS skiller seg fra en brannmur som en brannmur ser utover etter inntrengninger for å hindre dem fra å skje. Brannmurer begrenser tilgang mellom nettverk for å forhindre inntrenging, og hvis et angrep er fra innsiden av nettverket, signaliserer det ikke. En IDS beskriver et mistenkt inntrenging når det har skjedd, og signaliserer deretter en alarm.



Plassering av IDS

  • Den mest optimale og vanlige plasseringen for en IDS som skal plasseres er bak brannmuren. Selv om denne posisjonen varierer med tanke på nettverket. 'Bak-brannmuren'-plasseringen lar IDS med høy synlighet av innkommende nettverkstrafikk og vil ikke motta trafikk mellom brukere og nettverk. Kanten på nettverkspunktet gir nettverket muligheten til å koble seg til ekstranettet.
  • I tilfeller der IDS-en er plassert utenfor et nettverks brannmur, vil det være å forsvare seg mot støy fra internett eller forsvare seg mot angrep som portskanning og nettverkskartlegging. En IDS i denne posisjonen vil overvåke lag 4 til 7 i OSI-modell og vil bruke signaturbasert deteksjonsmetode. Det er bedre å vise antall forsøkte brudd i stedet for faktiske brudd som kom gjennom brannmuren ettersom det reduserer mengden falske positiver. Det tar også mindre tid å oppdage vellykkede angrep mot nettverket.
  • En avansert IDS integrert med en brannmur kan brukes til å avskjære komplekse angrep som kommer inn i nettverket. Funksjoner for avansert IDS inkluderer flere sikkerhetskontekster i rutingnivå og bromodus. Alt dette reduserer potensielt kostnadene og operasjonell kompleksitet.
  • Et annet valg for IDS-plassering er innenfor nettverket. Dette valget avslører angrep eller mistenkelig aktivitet i nettverket. Å ikke anerkjenne sikkerhet inne i et nettverk er skadelig ettersom det kan tillate brukere å skape sikkerhetsrisiko, eller tillate en angriper som har brutt seg inn i systemet å streife rundt fritt.

Konklusjon

Intrusion Detection System (IDS) er et kraftig verktøy som kan hjelpe bedrifter med å oppdage og forhindre uautorisert tilgang til nettverket deres. Ved å analysere nettverkstrafikkmønstre kan IDS identifisere alle mistenkelige aktiviteter og varsle systemadministratoren. IDS kan være et verdifullt tillegg til enhver organisasjons sikkerhetsinfrastruktur, og gir innsikt og forbedrer nettverksytelsen.

Ofte stilte spørsmål om inntrengningsdeteksjonssystem – vanlige spørsmål

Forskjellen mellom IDS og IPS?

Når IDS oppdager inntrenging, varsler den bare nettverksadministrasjonen mens Intrusion Prevention System (IPS) blokkerer de skadelige pakkene før de når destinasjonen.

rajesh khanna

Hva er hovedutfordringene ved implementering av IDS?

Falske positive og falske negative er IDSs primære ulemper. Falske positiver øker støyen som alvorlig kan svekke effektiviteten til et inntrengningsdeteksjonssystem (IDS), mens en falsk negativ oppstår når en IDS savner et inntrenging og anser det som gyldig.



Kan IDS oppdage innsidetrusler?

Ja Intrusion Detection System kan oppdage trusler.

Hva er rollen til maskinlæring i IDS?

Ved bruk av Maskinlæring , kan man oppnå en høy deteksjonsrate og en lav falsk alarmrate.