IDS - o que é? Sistema de Detección de intrusión (IDS) como un traballo?

IDS - o que é? Como é que este sistema funciona? Sistema de Detección de intrusión - un hardware ou software para detectar ataques e actividades maliciosas. Eles axudan a redes e sistemas informáticos para darlles un rexeitamento adecuada. Para conseguir isto, IDS recolle información de varias fontes de sistema ou de rede. Entón, o IDS analiza-lo para determinar a presenza de ataques. Este artigo pode tentar responder á pregunta: "IDs - o que é e para que serve"

Que son sistemas de detección de intrusión (IDS)

sistemas de información e redes están constantemente expostos a ataques cibernéticos. Firewalls e antivirus para reflectir todos estes ataques non é suficiente, porque só son capaces de protexer a "porta de diante" de sistemas de ordenadores e redes. Outros adolescentes, imaxinou-se hackers, constantemente percorre a internet en busca de lagoas en sistemas de seguridade.

Grazas á World Wide Web á súa disposición unha gran cantidade de totalmente libre de software malicioso - calquera Slammer, slepperov e programas maliciosos semellantes. Servizo é hackers profesionais están competindo empresas para neutralizar un ao outro. Así que os sistemas que detectan a invasión (sistemas de detección de intrusión), - unha necesidade urxente. Non é de admirar que cada día se están facendo máis amplamente utilizado.

elementos IDs

Os elementos de IDS inclúen:

• subsistema de detector, cuxa finalidade - a acumulación de eventos de rede ou sistemas de ordenador;
• subsistema de análise que detecta un ataque cibernético ea actividade dubidosa;
• almacenamento para almacenar informacións sobre os eventos e os resultados da análise de ataques cibernéticos e accións non autorizadas;
• consola de xestión coa que IDS é posible definir os parámetros, monitorizar o estado da rede (sistema ou ordenador), para ter acceso a información sobre o subsistema de análise ataque detectados e accións ilegais.

De feito, moitos poden preguntar: "Como é traducido IDS?" A tradución de inglés soa como "sistema que sitúa os intrusos quentes."

As tarefas básicas para resolver o sistema de detección de intrusión

Intrusion Detection System ten dous obxectivos principais: análise de fontes de información e unha resposta axeitada, con base nos resultados desta análise. Para realizar estas tarefas sistema IDS executa as seguintes accións:

• monitor e analiza a actividade do usuario;
• Ela está involucrada na auditoría de configuración do sistema e as súas debilidades;
• El comprobar a integridade dos ficheiros de sistema críticos e arquivos de datos;
• a realización dunha análise estatística dos estados do sistema en base a unha comparación coas condicións que se produciron durante os ataques xa coñecidos;
• El Audita sistema operativo.

Que pode proporcionar un sistema de detección de intrusión, e que non pode pagar

Pode usalo para alcanzar o seguinte:

• mellorar a integridade dos parámetros da infraestrutura de rede;
• para rastrexar a actividade do usuario na data da súa entrada no sistema e para a aplicación do danalo ou facer calquera accións non autorizadas;
• identificar e informar sobre a cambiar ou eliminar datos;
• Automatizado tarefas de vixilancia Internet a fin de atopar os ataques recentes;
• detectar un erro no sistema de configuración;
• detectar ataques iniciais e notificar.

O IDS non pode facelo:

• para cubrir as lagoas en protocolos de rede;
• papel compensatorio para xogar no caso de redes de mecanismos de identificación e autenticación débiles ou sistemas de ordenador que monitor;
• Tamén hai que ter en conta que o IDs non é sempre a xestionar os problemas asociados cos ataques no nivel de paquete (a nivel de paquete).

IPS (Intrusion Prevention System) - IDS Continuación

IPS significa "sistema de prevención de intrusión." Este avanzado, máis funcionais IDS variedades. sistemas IPS IDs son reactivos (en contraste co habitual). Isto significa que poden non só identificar, rexistrar e alerta sobre o ataque, pero tamén para desempeñar funcións de seguridade. Estas funcións inclúen compostos restaurar e bloqueando os paquetes de tráfico de entrada. Outra característica do IPS é que están a traballar en liña e pode bloquear automaticamente o ataque.

método subespecie IDs para monitorización

NIDS (isto é, IDS, que están a vixiar a rede enteira (rede)) parte na análise de tráfico a través de subredes e xestionada central. arranxo regular de varios NIDS monitorización poden atinxir o tamaño da rede moi grande.

Eles traballan en modo promiscuo (é dicir, comprobar todos os paquetes de entrada, no canto de facelo selectivamente), comparando o tráfico de subrede para ataques coñecidos coa súa biblioteca. Cando un ataque é identificado ou detectada actividade non autorizada, o administrador envíase unha alarma. Con todo, debe ser mencionado que unha gran rede con alto tráfico NIDS, por veces, non pode tratar con todos os paquetes de información de proba. Polo tanto, existe a posibilidade de que, durante a "hora punta", eles non serán capaces de recoñecer o ataque.

NIDS (rede baseada en IDS) - estes son os sistemas que son facilmente integrados na nova topoloxía de rede tanta influencia sobre o seu funcionamento, non teñen, ser pasivo. Eles só fixo é rexistrada e notificar, ao contrario dos sistemas reactivos tipo IPS que foron discutidos anterior. Con todo, tamén debe ser dito sobre os IDs baseado en rede, este é un sistema que non pode analizar os datos sometidos a cifraxe. Esta é unha desvantaxe significativa porque a crecente introdución de rede privada virtual (VPN) para cifrar a información é cada vez máis a ser usado por cybercriminals para atacar.

NIDS tampouco pode determinar o que pasou como resultado do ataque, que causou danos ou non. Todos eles ofrecen - é fixar o seu inicio. Polo tanto, o administrador está obrigado a re-examinar-se todos os casos de ataque para asegurarse de que o ataque tivo éxito. Outro problema significativo é que NIDS dificilmente captura ataque usando paquetes fragmentados. Son especialmente perigosos porque poden perturbar o funcionamento normal do NIDS. O que isto supón para o sistema de rede ou ordenador, non hai necesidade de explicar.

SHID (host do sistema de detección de intrusión)

HIDS (IDS, anfitrión monitoryaschie (host)) serven só un ordenador específico. Isto, naturalmente, ofrece moito maior eficiencia. HIDS analizados dous tipos de información: os rexistros do sistema e os resultados da auditoría do sistema operativo. Eles fan unha instantánea de arquivos de sistema e comparalos-lo coa imaxe anterior. Un importante crítico para os ficheiros de sistema foron modificados ou eliminado, a continuación, o director envía unha alarma.

HIDS vantaxe significativa é a posibilidade de realizar o seu traballo nunha situación onde o tráfico de rede é cifrado susceptibles. Isto é posible grazas ao feito de que estar no servidor (servidor-based) fontes de información poden ser creados antes de que os datos se prestan a cifraxe ou descifrado despois no servidor de destino.

As desvantaxes deste sistema inclúen a posibilidade do seu bloqueo ou incluso prohibir o uso de certos tipos de dos-ataques. O problema aquí é que algúns sensores HIDS e ferramentas de análise están localizados no servidor, que está baixo ataque, é dicir, eles tamén ataque. O feito de que os recursos son HIDS anfitrións cuxo traballo están vixían, tamén, dificilmente pode ser chamado un plus, porque, naturalmente, reduce a súa produtividade.

Subespecies IDs sobre como identificar ataques

anomalías de método, método de análise de sinaturas e políticas - tales subespecies sobre como identificar ataques é o IDS.

análise de sinatura do método

Neste caso, os paquetes de datos son verificados para as firmas de ataque. A sinatura do ataque - que corresponde ao evento a un dos espécimes, describindo ataques coñecidos. Este método é moi eficaz, xa que cando usa os falsos informes de ataques son relativamente raros.

método de anomalías

Coa súa axuda atopada accións ilegais na rede e servidor. Baseado na historia do funcionamento normal do hospedeiro ea rede creada perfís especiais con datos sobre ela. Logo entran en xogo especial detectores que analizan eventos. Usando algoritmos diferentes que producen unha análise destes eventos, comparando-os coa "norma" nos perfís. A falta de necesidade de acumular unha enorme cantidade de firmas de ataque - unha clara vantaxe deste método. Con todo, un número considerable de alarmas falsas sobre o ataque con atípico, pero é eventos de rede moi lexítimas - esta é a súa menos indubidable.

método de política

Outro método para detectar ataques é un método de política. A esencia dela - na creación de normativas de seguridade de rede, o que, por exemplo, poden indicar as redes de principio entre si e utilizados neste protocolo. Este método é prometedor, pero a dificultade é moi difícil proceso de creación dun banco de datos de políticas.

Sistemas de identificación pode fornecer protección fiable dos seus sistemas de rede e ordenadores

Grupo de Sistemas de Identificación, hoxe, é unha das no ámbito do líder do mercado de sistemas de seguridade para redes de computadoras. Ha lle proporcionar protección fiable contra ciber-viláns. non pode se preocupar cos seus datos importantes para protexer sistemas de sistemas de identificación. Debido a iso, será capaz de aproveitar máis a vida, porque ten o corazón é un pouco de dificultade.

Sistemas de identificación - persoal Comentarios

Gran equipo, e máis importante, por suposto - esa é a actitude correcta de xestión da empresa aos seus empregados. Todos (mesmo os principiantes incipientes) teñen a oportunidade de crecemento profesional. Con todo, para iso, por suposto, que precisa para se expresar, e entón todo vai saír.

Na atmosfera saudable equipo. Principiantes son sempre en torno ao tren e todo o concerto. Sen competencia desleal non é sentido. Os funcionarios que traballan na empresa hai moitos anos, ten o pracer de compartir todos os detalles técnicos. Son agradable, mesmo sen unha pitada de condescendencia responder ás preguntas máis tolas traballadores inexperientes. En xeral, de traballar nos sistemas ID algunhas emocións agradables.

xestión actitude agradablemente satisfeito. Tamén o pracer que aquí, obviamente, son capaces de traballar co equipo, xa que o persoal é realmente moi correspondido. Empregado case inequívoca: se senten no traballo na casa.