logo

TechCodeview

Systém detekce narušení (IDS)

Systém detekce narušení (IDS) udržuje síťový provoz, hledá neobvyklou aktivitu a odesílá upozornění, když k ní dojde. Hlavními povinnostmi systému detekce narušení (IDS) jsou detekce a hlášení anomálií, avšak některé systémy detekce narušení mohou při zjištění škodlivé aktivity nebo neobvyklého provozu zasáhnout. V tomto článku probereme každý bod o systému detekce narušení.

Co je systém detekce narušení?

Systém nazvaný Intrusion Detection System (IDS) sleduje síťový provoz na škodlivé transakce a odesílá okamžitá upozornění, když je zpozorován. Je to software, který kontroluje síť nebo systém na škodlivé aktivity nebo porušení zásad. Každá nezákonná činnost nebo porušení je často zaznamenáváno buď centrálně pomocí systému SIEM, nebo je oznámeno správě. IDS monitoruje síť nebo systém z hlediska škodlivé aktivity a chrání počítačovou síť před neoprávněným přístupem ze strany uživatelů, včetně možná zasvěcených osob. Úkolem učení detektoru narušení je sestavit prediktivní model (tj. klasifikátor) schopný rozlišovat mezi „špatnými spojeními“ (narušení/útoky) a „dobrými (normálními) spojeními“.



Fungování systému detekce narušení (IDS)

  • IDS (systém detekce narušení) monitory provoz na a počítačová síť k odhalení jakékoli podezřelé aktivity.
  • Analyzuje data protékající sítí a hledá vzorce a známky abnormálního chování.
  • IDS porovnává síťovou aktivitu se sadou předdefinovaných pravidel a vzorů, aby identifikovala jakoukoli aktivitu, která by mohla naznačovat útok nebo narušení.
  • Pokud IDS zjistí něco, co odpovídá jednomu z těchto pravidel nebo vzorů, odešle výstrahu správci systému.
  • Správce systému pak může výstrahu prozkoumat a přijmout opatření, aby zabránil poškození nebo dalšímu narušení.

Klasifikace systému detekce narušení (IDS)

Systémy detekce narušení jsou rozděleny do 5 typů:

  • Systém detekce narušení sítě (NIDS): Systémy detekce narušení sítě (NIDS) jsou nastaveny v plánovaném bodě v síti, aby prozkoumaly provoz ze všech zařízení v síti. Provádí pozorování procházejícího provozu v celé podsíti a přiřazuje provoz, který je předáván v podsítích, do kolekce známých útoků. Jakmile je útok identifikován nebo je pozorováno abnormální chování, může být výstraha odeslána správci. Příkladem NIDS je jeho instalace v podsíti, kde firewally jsou umístěny, aby se zjistilo, zda se někdo nesnaží prolomit firewall .
  • Hostitelský systém detekce narušení (HIDS): Hostitelské systémy detekce narušení (HIDS) běží na nezávislých hostitelích nebo zařízeních v síti. Systém HIDS monitoruje pouze příchozí a odchozí pakety ze zařízení a upozorní správce, pokud je zjištěna podezřelá nebo škodlivá aktivita. Pořídí snímek existujících systémových souborů a porovná jej s předchozím snímkem. Pokud byly soubory analytického systému upraveny nebo odstraněny, bude administrátorovi zasláno upozornění, aby prošetřil. Příklad použití HIDS lze vidět na kriticky důležitých strojích, u kterých se neočekává, že změní své rozvržení.
Systém detekce narušení (IDS)

Systém detekce narušení (IDS)

  • Protokolový systém detekce narušení (PIDS): Protokolový systém detekce narušení (PIDS) obsahuje systém nebo agenta, který by se trvale nacházel na předním konci serveru a kontroloval a interpretoval protokol mezi uživatelem/zařízením a serverem. Snaží se zabezpečit webový server pravidelným monitorováním HTTPS protokol stream a přijímání souvisejícího HTTP protokol . Protože HTTPS je nešifrované a než okamžitě vstoupí do své webové prezentační vrstvy, musel by tento systém sídlit v tomto rozhraní, aby mohl používat HTTPS.
  • Application Protocol-based Intrusion Detection System (APIDS): Aplikace Systém detekce narušení založený na protokolu (APIDS) je systém nebo agent, který se obecně nachází ve skupině serverů. Identifikuje narušení monitorováním a interpretací komunikace na aplikačních protokolech. To by například sledovalo protokol SQL explicitně vůči middlewaru při jeho transakcích s databází na webovém serveru.
  • Hybridní systém detekce narušení: Hybridní systém detekce narušení je vytvořen kombinací dvou nebo více přístupů k systému detekce narušení. V hybridním systému detekce narušení jsou data hostitelského agenta nebo systému kombinována s informacemi o síti za účelem vytvoření úplného pohledu na síťový systém. Hybridní systém detekce narušení je účinnější ve srovnání s jiným systémem detekce narušení. Prelude je příkladem Hybrid IDS.

Únikové techniky systému detekce narušení

  • Fragmentace: Rozdělení paketu na menší paket nazývaný fragment a proces je známý jako fragmentace . To znemožňuje identifikaci narušení, protože nemůže existovat podpis malwaru.
  • Kódování paketů: Kódování paketů pomocí metod jako Base64 nebo hexadecimální může skrýt škodlivý obsah před IDS založeným na signaturách.
  • Dopravní zmatení: Tím, že je zpráva složitější na interpretaci, lze znejasnění využít ke skrytí útoku a zamezení odhalení.
  • Šifrování: Poskytuje několik funkcí zabezpečení, jako je integrita dat, důvěrnost a soukromí dat šifrování . Bezpečnostní funkce bohužel používají vývojáři malwaru ke skrytí útoků a zamezení odhalení.

Výhody IDS

  • Detekuje škodlivou aktivitu: IDS dokáže detekovat jakékoli podezřelé aktivity a upozornit správce systému dříve, než dojde k nějaké významné škodě.
  • Zlepšuje výkon sítě: IDS dokáže identifikovat jakékoli problémy s výkonem v síti, které lze řešit za účelem zlepšení výkonu sítě.
  • Požadavky na shodu: IDS může pomoci při plnění požadavků na shodu sledováním síťové aktivity a generováním zpráv.
  • Poskytuje přehled: IDS generuje cenné poznatky o síťovém provozu, které lze použít k identifikaci jakýchkoli slabin a zlepšení zabezpečení sítě.

Metoda detekce IDS

  • Metoda založená na podpisu: IDS detekuje útoky na základě specifických vzorců, jako je počet bajtů nebo počet 1s nebo počet 0s v síťovém provozu. Detekuje také na základě již známé sekvence škodlivých instrukcí, které malware používá. Zjištěné vzory v IDS jsou známé jako podpisy. IDS na bázi podpisu dokáže snadno detekovat útoky, jejichž vzor (podpis) již v systému existuje, ale je poměrně obtížné odhalit nové útoky malwaru, protože jejich vzor (podpis) není znám.
  • Metoda založená na anomáliích: IDS založené na anomáliích bylo zavedeno pro detekci neznámých malwarových útoků, protože nový malware se rychle vyvíjí. V IDS založeném na anomáliích se používá strojové učení k vytvoření důvěryhodného modelu aktivity a vše, co přijde, je s tímto modelem porovnáno a pokud to v modelu není nalezeno, je to prohlášeno za podezřelé. Metoda založená na strojovém učení má ve srovnání s IDS na bázi signatur lépe zobecněnou vlastnost, protože tyto modely lze trénovat podle aplikací a hardwarových konfigurací.

Porovnání IDS s firewally

IDS a firewall oba souvisí se zabezpečením sítě, ale IDS se liší od a firewall jako firewall hledá navenek průniky, aby jim zabránil. Firewally omezují přístup mezi sítěmi, aby zabránily vniknutí, a pokud je útok zevnitř sítě, nesignalizuje. IDS popisuje podezření na narušení, jakmile k němu došlo, a poté signalizuje poplach.



Umístění IDS

  • Nejoptimálnější a nejběžnější místo pro umístění IDS je za firewallem. I když se tato pozice liší podle sítě. Umístění „za firewallem“ umožňuje IDS vysokou viditelnost příchozího síťového provozu a nebude přijímat provoz mezi uživateli a sítí. Okraj síťového bodu poskytuje síti možnost připojení k extranetu.
  • V případech, kdy je IDS umístěn za síťovým firewallem, by se jednalo o obranu proti hluku z internetu nebo obranu proti útokům, jako je skenování portů a mapovač sítě. IDS v této pozici by monitorovalo vrstvy 4 až 7 OSI model a použil by metodu detekce založenou na podpisu. Zobrazení počtu pokusů o narušení namísto skutečných narušení, které prošlo bránou firewall, je lepší, protože snižuje množství falešných poplachů. Odhalení úspěšných útoků proti síti také zabere méně času.
  • Pokročilý IDS integrovaný s firewallem lze použít k zachycení složitých útoků vstupujících do sítě. Mezi funkce pokročilého IDS patří více kontextů zabezpečení na úrovni směrování a režimu přemostění. To vše následně potenciálně snižuje náklady a provozní složitost.
  • Další možností umístění IDS je v rámci sítě. Tato volba odhalí útoky nebo podezřelou aktivitu v síti. Nepřiznání zabezpečení uvnitř sítě je škodlivé, protože může umožnit uživatelům přinést bezpečnostní riziko nebo umožnit útočníkovi, který se naboural do systému, volně se pohybovat.

Závěr

Intrusion Detection System (IDS) je výkonný nástroj, který může firmám pomoci při odhalování a zabránění neoprávněnému přístupu do jejich sítě. Analýzou vzorců síťového provozu může IDS identifikovat jakékoli podezřelé aktivity a upozornit správce systému. IDS může být cenným doplňkem bezpečnostní infrastruktury jakékoli organizace, poskytuje přehled a zlepšuje výkon sítě.

Často kladené otázky o systému detekce narušení – FAQ

Rozdíl mezi IDS a IPS?

Když IDS detekuje narušení, pouze upozorní správu sítě Systém prevence narušení (IPS) blokuje škodlivé pakety, než se dostanou do cíle.

Jaké jsou hlavní výzvy implementace IDS?

Falešná pozitiva a falešná negativa jsou primárními nevýhodami IDS. Falešné poplachy zvyšují hluk, který může vážně narušit účinnost systému detekce narušení (IDS), zatímco falešně negativní nastává, když IDS přehlédne narušení a považuje ho za platné.



Dokáže IDS detekovat vnitřní hrozby?

Ano Systém detekce narušení dokáže detekovat hrozby.

Jaká je role strojového učení v IDS?

Používáním Strojové učení lze dosáhnout vysoké míry detekce a nízké míry falešných poplachů.