Locked History Actions

Intrusion Detection System

Žodis angliškai

  • Intrustion Detection System

Santrumpa

  • IDS

Žodis Lietuviškai

  • Atakų Atpažinimo Sistema


Apibrėžimas

  • IDS - Programinė ar techninė įranga, skirta aptikti nepageidaujamus bandymus gauti, valdyti ir/arba išjungti kompiuterines sistemas, daugiausia per tinklą, pavyzdžiui, internetu.


Paaiškinimai

  • IDS naudojama siekiant nustatyti kelių tipų kenksmingą elgesį, kuris gali kelti saugumo ir pasitikėjimo kompiuteryje. Tai apima tinklo atakų prieš pažeidžiamas paslaugos, priima pagrįstą išpuolių pvz privilegijų eskalacijos, neteisėto prisijungimo ir susipažinti su slapto pobūdžio bylas, ir kenkėjiškų programų (virusų, Trojos arklių ir kirminų). IDS gali būti sudaryta iš keleto komponentų: Sensors , kurie sukuria saugumo įvykius, Console stebi įvykius ir valdo daviklius ( Sensors ) ir Engine kad įrašai įvykiai registruojami jutiklių į duomenų bazę ir naudojami sistemos taisykles generuoti perspėjimus saugumo renginiai gavo. Yra keletas būdų klasifikaciją yra IDs priklausomai nuo rūšies ir vietos jutikliai ir naudojama metodika, pagal kurią variklio gauti perspėjimus. Daugelyje paprastose IDS priemonėse visi trys komponentai yra sujungti į vieną įtaisą arba įrenginį.

IDS tipai

  • Į tinklo pagrindu IDS davikliai yra droseliniai taškai stebimame tinkle, kurie turi būti kontroliuojami, dažnai į demilitaziruotoje zonoje (DMZ) arba tinklo ribose. Jutiklis perima visą tinklo srautą ir analizuoja kenkėjiško srauto kiekvieno paketo turinį. Sistemose, PIDS ir APIDS yra naudojami stebėti draudžiamo arba netinkamo srauto perdavimą ir protokolus, arba kalbos loginę struktūrą (pvz.: SQL). Mazgas-pagrindas sistemose jutiklis dažniausiai sudarytas iš programinės įrangos agento, kuris stebi visą mazgo aktyvumą, kuriame jis yra instaliuotas.
    • Network IDS - nepriklausoma platforma, kuri identifikuoja instrukcijas pagal tinklo srautą ir stebėdamas sudėtinį mazgą. NIDS pasiekia priėjima prie tinklo srauto prisijungdamas prie maršrutizatoriaus, tinklo komutatoriaus nustatytu portų ar tinklo stebėjimui.Kaip NIDS pavyzdys būtų Snort.

    • Protocol-based IDS susideda iš sistemos arba iš agento, kuris stebi ir analizuoja pereinantį tarp vartotojo ir serverio protokolų srautą. Tinklo serveriuose paprastai stebi HTTPS protokolų stekas ir supranta HTTP protokolo atitikmenį siekiant apsaugoti tinklo serverį.

    • Application protocol-based IDS (APIDS) - sudaro sistema ar agentas mazge kuris paprastai yra serveryje ir stebi bei analizuoja ryšio paraiškų protokolus.

    • Host-based IDS (HIDS) - sudarytas iš agento esančio mazge, kuris identifikuoja instrukcijas analizuodamas sistemos signalus, paraiškų įrašus, failų sistemos nustatymus ir kitą mazgo aktyvumą bei būseną. HIDS pavyzdys yra OSSEC.

    • Hybrid IDS jungia du ar daugiau metodų. Mazgo paslaugos duomenys yra jungiami su tinklo informacija siekiant suformuoti išsamų tinklo vaizdą.

IDS Programinė Įranga

Prevx Home

IDScenter (Snort front end)

SnoopNetCop Standard

AIDE (Advanced Intrusion Detection Environment)

Ką gali ir ko negali IDS

IDS stebi tinklą ir renka informaciją, siekdama identifikuoti atakas. IDS gali:

Užtikrinti didesnį tinklo infrastruktūros vientisumą.

Tirti vartotojo aktyvumą nuo įėjimo į sistemą iki daromo poveikio sistemai.

Atpažinti ir pranešti apie duomenų pasikeitimą.

Automatizuoti naujausių atakų paiešką internete. IDS tipai Atpažinti, kada sistema yra atakuojama.

Aptikti sistemos konfigūracijos klaidas.

Padėti administratoriui įgyvendinti informacinių vertybių apsaugos politiką.

Išmokyti saugos valdymo ir neprofesionalų personalą.

  • IDS nepajėgi:

Kompensuoti silpno identifikacijos ar autentifikacijos mechanizmo.

Negali atlikti tyrimo neįsikišus žmogui. Nors dauguma IDS automatiškai reaguoja į atakas, tačiau norint visapusiškai jas išnagrinėti (ypač naujas atakas), reikia administratoriaus.

Negali aptikti silpnų tinklo protokolų vietų.

Negali išspręsti sistemos tiekiamos informacijos kokybės ar vientisumo problemų.

Negali analizuoti viso srauto apkrautame tinkle.

Ne visada gali susidoroti su modernia tinklo technine įranga


Naudota literatūra

http://en.wikipedia.org/wiki/Intrusion-detection_system