logo

TechCodeview

Intrångsdetekteringssystem (IDS)

Ett Intrusion Detection System (IDS) upprätthåller nätverkstrafikens sökningar efter ovanlig aktivitet och skickar varningar när det inträffar. Huvuduppgifterna för ett intrångsdetekteringssystem (IDS) är avvikelsedetektering och rapportering, men vissa intrångsdetekteringssystem kan vidta åtgärder när skadlig aktivitet eller ovanlig trafik upptäcks. I den här artikeln kommer vi att diskutera varje punkt om intrångsdetektionssystemet.

Vad är ett intrångsdetektionssystem?

Ett system som kallas ett intrångsdetektionssystem (IDS) observerar nätverkstrafik för skadliga transaktioner och skickar omedelbara varningar när den observeras. Det är programvara som kontrollerar ett nätverk eller system för skadliga aktiviteter eller policyöverträdelser. Varje olaglig aktivitet eller överträdelse registreras ofta antingen centralt med hjälp av ett SIEM-system eller meddelas en administration. IDS övervakar ett nätverk eller system för skadlig aktivitet och skyddar ett datornätverk från obehörig åtkomst från användare, inklusive kanske insiders. Intrångsdetektorns inlärningsuppgift är att bygga en prediktiv modell (dvs en klassificerare) som kan skilja mellan 'dåliga anslutningar' (intrång/attacker) och 'bra (normala) anslutningar'.



Fungerar av intrångsdetektionssystem (IDS)

  • Ett IDS (Intrusion Detection System) övervakar trafiken på en datornätverk för att upptäcka någon misstänkt aktivitet.
  • Den analyserar data som flödar genom nätverket för att leta efter mönster och tecken på onormalt beteende.
  • IDS:n jämför nätverksaktiviteten med en uppsättning fördefinierade regler och mönster för att identifiera alla aktiviteter som kan indikera en attack eller intrång.
  • Om IDS upptäcker något som matchar någon av dessa regler eller mönster, skickar den en varning till systemadministratören.
  • Systemadministratören kan sedan undersöka varningen och vidta åtgärder för att förhindra skada eller ytterligare intrång.

Klassificering av intrångsdetektionssystem (IDS)

Intrångsdetekteringssystem är indelade i 5 typer:

  • Network Intrusion Detection System (NIDS): System för upptäckt av nätverksintrång (NIDS) sätts upp på en planerad punkt i nätverket för att undersöka trafik från alla enheter i nätverket. Den utför en observation av passerande trafik på hela subnätet och matchar trafiken som skickas på subnäten med samlingen av kända attacker. När en attack har identifierats eller onormalt beteende observerats kan varningen skickas till administratören. Ett exempel på en NIDS är att installera den på subnätet där brandväggar finns för att se om någon försöker knäcka brandvägg .
  • Host Intrusion Detection System (HIDS): Host Intrusion Detection System (HIDS) körs på oberoende värdar eller enheter i nätverket. En HIDS övervakar endast inkommande och utgående paket från enheten och varnar administratören om misstänkt eller skadlig aktivitet upptäcks. Den tar en ögonblicksbild av befintliga systemfiler och jämför den med föregående ögonblicksbild. Om de analytiska systemfilerna har redigerats eller tagits bort skickas en varning till administratören för att undersöka dem. Ett exempel på HIDS-användning kan ses på uppdragskritiska maskiner, som inte förväntas ändra sin layout.
Intrångsdetekteringssystem (IDS)

Intrångsdetekteringssystem (IDS)

  • Protokollbaserat intrångsdetektionssystem (PIDS): Protokollbaserat intrångsdetekteringssystem (PIDS) omfattar ett system eller en agent som konsekvent finns i frontänden av en server och kontrollerar och tolkar protokollet mellan en användare/enhet och servern. Den försöker säkra webbservern genom att regelbundet övervaka HTTPS-protokoll streama och acceptera relaterade HTTP-protokoll . Eftersom HTTPS är okrypterat och innan det omedelbart går in i sitt webbpresentationslager måste detta system finnas i detta gränssnitt, mellan för att kunna använda HTTPS.
  • Application Protocol-based Intrusion Detection System (APIDS): En ansökan Protokollbaserat intrångsdetektionssystem (APIDS) är ett system eller en agent som vanligtvis finns inom en grupp servrar. Den identifierar intrången genom att övervaka och tolka kommunikationen på applikationsspecifika protokoll. Detta skulle till exempel övervaka SQL-protokollet explicit till mellanvaran när den gör transaktioner med databasen på webbservern.
  • Hybrid intrångsdetekteringssystem: Hybrid intrångsdetekteringssystem görs genom kombinationen av två eller flera tillvägagångssätt till intrångsdetekteringssystemet. I det hybrida systemet för intrångsdetektering kombineras värdagenten eller systemdata med nätverksinformation för att utveckla en fullständig bild av nätverkssystemet. Hybridsystemet för intrångsdetektering är mer effektivt i jämförelse med det andra systemet för intrångsdetektering. Prelude är ett exempel på Hybrid IDS.

Intrångsdetekteringssystem Evasion Tekniker

  • Splittring: Dela upp paketet i mindre paket som kallas fragment och processen är känd som splittring . Detta gör det omöjligt att identifiera ett intrång eftersom det inte kan finnas en signatur för skadlig programvara.
  • Paketkodning: Kodning av paket med metoder som Base64 eller hexadecimal kan dölja skadligt innehåll från signaturbaserade IDS.
  • Trafikobfuskation: Genom att göra meddelandet mer komplicerat att tolka, kan förvirring användas för att dölja en attack och undvika upptäckt.
  • Kryptering: Flera säkerhetsfunktioner, såsom dataintegritet, konfidentialitet och datasekretess, tillhandahålls av kryptering . Tyvärr används säkerhetsfunktioner av skadlig programvara för att dölja attacker och undvika upptäckt.

Fördelarna med IDS

  • Upptäcker skadlig aktivitet: IDS kan upptäcka alla misstänkta aktiviteter och varna systemadministratören innan någon betydande skada uppstår.
  • Förbättrar nätverkets prestanda: IDS kan identifiera eventuella prestandaproblem på nätverket, vilket kan åtgärdas för att förbättra nätverkets prestanda.
  • Krav på överensstämmelse: IDS kan hjälpa till att uppfylla efterlevnadskrav genom att övervaka nätverksaktivitet och generera rapporter.
  • Ger insikter: IDS genererar värdefulla insikter om nätverkstrafik, som kan användas för att identifiera eventuella svagheter och förbättra nätverkssäkerheten.

Detektionsmetod för IDS

  • Signaturbaserad metod: Signaturbaserad IDS upptäcker attackerna utifrån de specifika mönstren som antalet byte eller ett antal 1:or eller antalet 0:or i nätverkstrafiken. Den upptäcker också på basis av den redan kända skadliga instruktionssekvensen som används av skadlig programvara. De upptäckta mönstren i IDS är kända som signaturer. Signaturbaserad IDS kan enkelt upptäcka attacker vars mönster (signatur) redan finns i systemet men det är ganska svårt att upptäcka nya skadliga attacker eftersom deras mönster (signatur) inte är känt.
  • Anomalibaserad metod: Anomalibaserad IDS introducerades för att upptäcka okända skadliga attacker eftersom ny skadlig programvara utvecklas snabbt. I anomalibaserad IDS används maskininlärning för att skapa en pålitlig aktivitetsmodell och allt som kommer jämförs med den modellen och det förklaras misstänkt om det inte finns i modellen. Den maskininlärningsbaserade metoden har en bättre generaliserad egenskap jämfört med signaturbaserad IDS eftersom dessa modeller kan tränas i enlighet med applikationerna och hårdvarukonfigurationerna.

Jämförelse av IDS med brandväggar

IDS och brandvägg är båda relaterade till nätverkssäkerhet men en IDS skiljer sig från en brandvägg som en brandvägg letar utåt efter intrång för att hindra dem från att inträffa. Brandväggar begränsar åtkomst mellan nätverk för att förhindra intrång och om en attack är inifrån nätverket signalerar den inte. En IDS beskriver ett misstänkt intrång när det väl har hänt och signalerar sedan ett larm.



Placering av IDS

  • Den mest optimala och vanliga positionen för att en IDS ska placeras är bakom brandväggen. Även om denna position varierar med tanke på nätverket. Placeringen 'bakom-brandväggen' tillåter IDS med hög synlighet av inkommande nätverkstrafik och tar inte emot trafik mellan användare och nätverk. Kanten på nätverkspunkten ger nätverket möjlighet att ansluta till extranätet.
  • I de fall där IDS är placerat bortom ett nätverks brandvägg skulle det vara för att försvara sig mot brus från internet eller försvara sig mot attacker som portskanningar och nätverksmappare. En IDS i denna position skulle övervaka lager 4 till 7 i OSI-modell och skulle använda signaturbaserad detektionsmetod. Det är bättre att visa antalet försökte överträdelser istället för faktiska intrång som tog sig igenom brandväggen eftersom det minskar mängden falska positiva resultat. Det tar också mindre tid att upptäcka framgångsrika attacker mot nätverk.
  • En avancerad IDS integrerad med en brandvägg kan användas för att avlyssna komplexa attacker som kommer in i nätverket. Funktioner i avancerad IDS inkluderar flera säkerhetskontexter i routingnivå och bryggläge. Allt detta kan i sin tur minska kostnaderna och den operativa komplexiteten.
  • Ett annat val för IDS-placering är inom nätverket. Detta val avslöjar attacker eller misstänkt aktivitet inom nätverket. Att inte erkänna säkerheten i ett nätverk är skadligt eftersom det kan tillåta användare att skapa säkerhetsrisker, eller tillåta en angripare som har brutit sig in i systemet att ströva runt fritt.

Slutsats

Intrusion Detection System (IDS) är ett kraftfullt verktyg som kan hjälpa företag att upptäcka och förhindra obehörig åtkomst till deras nätverk. Genom att analysera nätverkstrafikmönster kan IDS identifiera eventuella misstänkta aktiviteter och varna systemadministratören. IDS kan vara ett värdefullt tillägg till alla organisationers säkerhetsinfrastruktur, ge insikter och förbättra nätverksprestanda.

Vanliga frågor om intrångsdetektionssystem – Vanliga frågor

Skillnad mellan IDS och IPS?

När IDS upptäcker intrång varnar den bara nätverksadministrationen medan Intrångsskyddssystem (IPS) blockerar de skadliga paketen innan de når destinationen.

Vilka är de viktigaste utmaningarna för implementering av IDS?

Falska positiva och falska negativa är IDS:s främsta nackdelar. Falskt positivt ökar bruset som allvarligt kan försämra effektiviteten hos ett intrångsdetekteringssystem (IDS), medan ett falskt negativt uppstår när en IDS missar ett intrång och anser att det är giltigt.



Kan IDS upptäcka insiderhot?

Ja Intrångsdetekteringssystem kan upptäcka hot.

Vilken roll har maskininlärning i IDS?

Genom att använda Maskininlärning , kan man uppnå en hög detekteringsfrekvens och en låg falsklarmfrekvens.