Как работает система обнаружения вторжений (IDS)?

Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить.

Таким образом, IDS обнаруживает сетевые атаки на уязвимые сервисы и приложения, атаки на хосты, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (трояны, вирусы и т.д.).

Типы IDS
Исходя из уровня анализа, существует два основных типа IDS:

IDS на основе сети (NIDS): Она предназначена для обнаружения сетевой активности, которая обычно не обнаруживается простыми правилами фильтрации брандмауэров. В NIDS отдельные пакеты, проходящие через сеть, отслеживаются и анализируются для обнаружения любой вредоносной активности, происходящей в сети. “SNORT” является примером NIDS.

IDS на базе хоста (HIDS): Отслеживает действия, происходящие на отдельном хосте или сервере, на котором установлена IDS. Эти действия могут быть попытками входа в систему, проверкой целостности файлов в системе, трассировкой и анализом системных вызовов, логов приложений и т.д.

Компоненты IDS
Система обнаружения вторжений состоит из трех различных компонентов, которые кратко описаны ниже:

Сенсоры: Они анализируют сетевой трафик или сетевую активность и генерируют события безопасности.
Консоль: Ее цель – мониторинг событий, оповещение и управление сенсорами
Механизм обнаружения: события, генерируемые сенсером, регистрируются движком. Они записываются в базу данных. Они также имеют политики для создания предупреждений, соответствующих событиям безопасности.

Методы обнаружения для IDS
В широком смысле методы, используемые в IDS, можно классифицировать следующим образом:

Обнаружение на основе сигнатур/шаблонов: Мы используем известные шаблоны атак, называемые “сигнатурами”, и сопоставляем их с содержимым сетевых пакетов для обнаружения атак. Эти сигнатуры, хранящиеся в базе данных, представляют собой методы атак, использовавшиеся злоумышленниками в прошлом.
Обнаружение несанкционированного доступа: Здесь IDS настроена на обнаружение нарушений доступа с помощью списка контроля доступа (ACL). ACL содержит политики контроля доступа, и он использует IP-адрес пользователей для проверки их запроса.
Обнаружение на основе аномалий: Используется алгоритм машинного обучения для подготовки модели IDS, которая учится на основе регулярной модели активности сетевого трафика. Эта модель затем действует как базовая модель, с которой сравнивается входящий сетевой трафик. Если трафик отклоняется от нормального поведения, то генерируются предупреждения.
Обнаружение аномалий протокола: В этом случае детектор аномалий обнаруживает трафик, который не соответствует существующим стандартам протоколов.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *