Hvordan fungerer inntrengingsdeteksjonssystemet?

Et inntrengingsdeteksjonssystem (IDS) brukes til å oppdage ondsinnet nettverkstrafikk og system misbruk av systemet som ellers konvensjonelle brannmurer ikke kan oppdage. Dermed oppdager IDS nettverksbaserte angrep på sårbare tjenester og applikasjoner, angrep basert på verter, som opptrapping av privilegier, uautorisert påloggingsaktivitet og tilgang til konfidensielle dokumenter, og malware-infeksjon (trojanske hester, virus osv.). Det har vist seg å være et grunnleggende behov for vellykket drift av et nettverk.

Den viktigste forskjellen mellom et inntrengingsforebyggende system (IPS) og ID -ene er at selv om ID -er bare passivt overvåker og rapporterer nettverkstilstanden, går IPS utover, det stopper aktivt inntrengerne fra å utføre ondsinnede aktiviteter.

Denne guiden vil utforske forskjellige typer ID -er, deres komponenter og hvilke typer deteksjonsteknikker som brukes i ID -er.

Historisk gjennomgang av ID -er

James Anderson introduserte ideen om inntrenging eller misbruk av systemer ved å overvåke mønsteret for anomalt nettverksbruk eller misbruk av systemer. I 1980, basert på denne rapporten, publiserte han sin artikkel med tittelen “Datasikkerhetstrusselovervåking og overvåking.”I 1984 ble det lansert et nytt system som heter" Intrudery Detection Expert System (IDES) ". Det var den første prototypen av ID -er som overvåker aktivitetene til en bruker.

I 1988 ble en annen IDS kalt “Haystack” introdusert som brukte mønstre og statistisk analyse for å oppdage anomale aktiviteter. Denne IDS har imidlertid ikke funksjonen i sanntidsanalyse. Etter det samme mønsteret, brakte University of California Davis's Lawrence Livermore Laboratories opp en ny IDS kalt “Network System Monitor (NSM)” for å analysere nettverkstrafikk. Etterpå ble dette prosjektet til et IDS kalt “Distribuert inntrengingsdeteksjonssystem (DIDS).”Basert på Dids ble“ Stalker ”utviklet, og det var de første ID -ene som var kommersielt tilgjengelig.

I løpet av midten av 1990-tallet utviklet SAIC et verts-ID-er kalt “Computer Misuse Detection System (CMDS).”Et annet system kalt“ Automated Security Incident Måling (ASIM) ”ble utviklet av Cryptographic Support Center of Us Air Force for måling av nivået av uautorisert aktivitet og oppdage uvanlige nettverkshendelser.

I 1998 lanserte Martin Roesch en åpen kildekode-IDS for nettverk kalt "Snort", som senere ble veldig populær.

Typer ID -er

Basert på analysenivået er det to hovedtyper av ID -er:

1. Nettverksbaserte IDS (NIDS): Den er designet for å oppdage nettverksaktiviteter som vanligvis ikke blir oppdaget av de enkle filtreringsreglene for brannmurer. I NID -er overvåkes og analyseres individuelle pakker som passerer gjennom et nettverk for å oppdage ondsinnet aktivitet som foregår i et nettverk. “Snort” er et eksempel på NID -er.
2. Vertsbaserte IDS (HIDS): Dette overvåker aktivitetene som foregår i en individuell vert eller server som vi har installert IDS. Disse aktivitetene kan være forsøk på systeminnlogging, integritetskontroll for filer på systemet, sporing og analyse av systemanrop, applikasjonslogger osv.

Hybrid inntrengingsdeteksjonssystem: Det er kombinasjonen av to eller flere typer ID -er. "Forspill" er et eksempel på en slik type ID -er.

Komponenter av ID -er

Et inntrengingsdeteksjonssystem er sammensatt av tre forskjellige komponenter, som kort forklart nedenfor:

1. Sensorer: De analyserer nettverkstrafikk eller nettverksaktivitet, og de genererer sikkerhetshendelser.
2. Konsoll: Deres formål er hendelsesovervåking og å varsle og kontrollere sensorene.
3. Deteksjonsmotor: Hendelsene generert av sensorer blir registrert av en motor. Disse er spilt inn i en database. De har også retningslinjer for å generere varsler som tilsvarer sikkerhetshendelser.

Deteksjonsteknikker for IDS

På en bred måte kan teknikker som brukes i ID -er klassifiseres som:

1. Signatur/mønsterbasert deteksjon: Vi bruker kjente angrepsmønstre kalt "signaturer" og matcher dem mot nettverkspakkeinnholdet for å oppdage angrep. Disse signaturene som er lagret i en database er angrepsmetodene som brukes av inntrengerne i fortiden.
2. Uautorisert tilgangsdeteksjon: Her er IDS konfigurert til å oppdage tilgangsbrudd ved hjelp av en tilgangskontrollliste (ACL). ACL inneholder retningslinjer for tilgangskontroll, og den bruker IP -adressen til brukere for å bekrefte forespørselen deres.
3. Anomalybasert deteksjon: Den bruker en maskinlæringsalgoritme for å utarbeide en IDS-modell som lærer av det vanlige aktivitetsmønsteret for nettverkstrafikk. Denne modellen fungerer da som en basismodell som innkommende nettverkstrafikk sammenlignes. Hvis trafikken avviker fra normal oppførsel, genereres varsler.
4. Protokollanomalideteksjon: I dette tilfellet oppdager anomalidetektoren trafikken som ikke samsvarer med de eksisterende protokollstandardene.

Konklusjon

Online forretningsaktiviteter har økt i nyere tid, med selskaper som har flere kontorer lokalisert på forskjellige steder rundt om i verden. Det er behov for å kjøre datanettverk konstant på internett og et bedriftsnivå. Det er naturlig at selskaper blir mål fra de onde øynene til hackers. Som sådan har det blitt et veldig kritisk spørsmål å beskytte informasjonssystemer og nettverk. I dette tilfellet har IDS blitt en viktig komponent i organisasjonens nettverk, som spiller en essensiell rolle i å oppdage uautorisert tilgang til disse systemene.