Kas ir IDS?

Ielaušanās ielaušanās atklāšanas sistēmasDetection System) - ir komplekts programmatūras un / vai aparatūras, kas tiek izmantoti, lai noteiktu gadījumus nesankcionētu piekļuvi datoram / datortīklu, un novērstu neatļautu pārvaldību.

Kas ir IDS?

Vienkārši sakot, IDS ir sistēma, kasTas nodrošina lietotāja darbības drošību, aizsargājot to no dažādiem iebrukumiem un tīkla uzbrukumiem, kurus informācijas tehnoloģiju laikmetā vienkārši nevar ņemt vērā. Turklāt, IDS - tas ir iespējams iegūt prognozi turpmākiem uzbrukumiem un novērstu tās, kā arī uzzināt informāciju par "uzbrukumu", kas var būt noderīga, lai izlabotu faktorus, kas aizliedz nesankcionētu piekļuvi.

Kādēļ IDS ir nepieciešams?

Nesen lietotāju izmantošanaIebrukuma atklāšanas sistēmas aktīvi iegūst popularitāti. IDS ir vissvarīgākais informācijas drošības elements, ko pieprasa katrs tālredzīgais lietotājs. Ielaušanās atklāšanas sistēma ne tikai atklās datora uzbrukumu un to bloķē, bet arī to izpilda ērtā grafiskā saskarne - lietotājam nav nepieciešamas īpašas zināšanas par tīkla protokoliem un iespējamām neaizsargātībām.

Pēc analoģijas ar pretvīrusu programmām, ielaušanās atklāšanas sistēmas tiek izmantotas, lai atklātu neatļautu darbību pamatmetode:

• pamatojoties uz parakstu. Šajā gadījumā analīze tiek veikta, pamatojoties uz noteiktiem notikumu kopumiem, kuri viennozīmīgi raksturo konkrētu uzbrukumu. Šī metode ir diezgan efektīva un galvenās briesmu meklēšanas metodes.
• pamatojoties uz anomālijām. Šāda veida darbu raksturo lēkmju atklāšana, identificējot tīkla, servera vai lietojumprogrammas neparastu uzvedību. Sistēmas, kas darbojas saskaņā ar šo mehānismu, var efektīvi izsekot uzbrukumiem, taču to galvenā problēma ir nepareizu pozitīvu datu masa.

IDS arhitektūra

Jebkura IDS ietver:

• sensoru apakšsistēma, kas nepārtraukti uzrauga notikumus, kas saistīti ar sistēmas drošību;
• analīzes apakšsistēma, kas atlasa no visiem notikumiem,sensora izvēlēts, aizdomīgs. IDS ar aktīvās analīzes apakšsistēmu aizdomīgu darbību atklāšanas gadījumā var veikt atbildes pasākumus Piemēram, pārtrauciet tīkla savienojumu atsevišķi. Pasīvās IDS tikai informē administratoru par aizdomīgu darbību, un pievērst uzmanību tam, vai nav, lietotājam ir jāizlemj pašam.
• Uzglabāšana, primāro notikumu uzkrāšana un analīzes rezultāti;
• vadības panelis, kas ļauj lietotājam pārraudzīt sistēmu.

Lielākajā daļā vienkāršo IDS visi iepriekš minētiesastāvdaļas tiek īstenotas kā viena ierīce. Atkarībā no sensora parametriem un analīzes metodēm ielaušanās atklāšanas sistēmas nodrošina atšķirīgu uzbrukuma noteikšanas līmeni.

IDS, tīkla segmenta aizsardzība

Šāda veida sistēma ir ļoti uzticama, joIzvietošana notiek speciālā serverī, kurā citas programmas nevar darboties. Šajā gadījumā serveris var būt neredzams uzbrucējam. Īpaši augstas kvalitātes aizsardzībai

tīkls nosaka vairākus šādus serverus, kas spēj analizēt datplūsmu visos tā segmentos. Veiksmīgi izvietojot šīs sistēmas, jūs varat pārraudzīt ļoti lielu tīklu.

IDS defekts, kas aizsargā tīkla segmentu, irgrūtības atpazīt uzbrukumu augsta tīkla slodzes laikā. Turklāt šāda IDS var ziņot tikai par uzbrukumu, bet neanalizē iespiešanās pakāpi.

IDS, kas aizsargā vienu serveri

Šīs sistēmas apkopo un analizēinformācija par aizdomīgiem procesiem, kas notiek konkrētā serverī. Šādam IDS ir samērā šaurs uzdevums, un tādēļ var veikt ļoti detalizētu analīzi, kā arī identificēt konkrētu lietotāju, kurš veic nesankcionētas darbības.

Ir daži IDS, kas aizsargā serverispēja pārvaldīt serveru grupu uzreiz, sastādot vispārējus pārskatus par iespējamu tīkla uzbrukumu. Atšķirībā no IDS, tīkla segmenta aizsardzībai šīs sistēmas var darboties pat tīklā, kas izmanto šifrēšanu, ja informācija pirms nosūtīšanas serverī tiek saglabāta skaidrā formā.

IDS galvenais trūkums, kontrolējot serveri (-us), -nespēja uzraudzīt visu tīklu. Tiem ir redzami tikai paketi, ko saņem aizsargāts serveris. Turklāt, sistēmas darbība tiek samazināta, ja serveris izmanto aprēķinu resursus.

IDS, lietojumprogrammu aizsardzība

Šīs drošības sistēmas uzrauga notikumus,kas notiek vienā pieteikumā. Kā jūs droši vien jau uzminējāt, šī sistēma ļauj jums izveidot ziņojumu ar visaugstāko iespējamo detalizācijas pakāpi, jo tas darbojas ar vēl šaurāku uzdevumu nekā iepriekšējā tipa sistēma.

IDS, kas aizsargā lietojumprogrammu, izmanto zināšanas par lietojumprogrammu, kā arī tās sistēmas žurnāla datu analīzi analīzei. Sistēma mijiedarbojas ar lietojumprogrammu, izmantojot API.

IDS trūkums, aizsargājot lietojumprogrammas, ir acīmredzams - pārāk šaurs profils. Protams, ja lietotājam ir svarīgi nodrošināt konkrēta lietojuma drošību, tas ir pieņemams risinājums.

IDS - droša aizsardzība?

Ielaušanās atklāšanas sistēma - efektīvalietotāju rīku, lai aizsargātu pret visu veidu neatļautu uzbrukumu, bet neaizmirstiet, ka, ja mēs runājam par pilntiesīgu drošību, IDS - tikai sistēmas elements. Pilnais nodrošinājums ir:

• Iekštīkla drošības politika;
• saimnieku aizsardzības sistēma;
• tīkla audits;
• aizsardzība, pamatojoties uz maršrutētājiem;
• ugunsmūris;
• ielaušanās atklāšanas sistēma;
• politikas reakcija uz atklātiem uzbrukumiem.

Tikai pareizi apvienojot visus iepriekšminētos aizsardzības veidus, lietotājs var būt pilnīgi mierīgs, lai nodrošinātu svarīgu datu saglabāšanu un pārsūtīšanu.