Ielaušanās noteikšanas sistēma (IDS) uztur tīkla trafiku, meklē neparastas darbības un nosūta brīdinājumus, kad tā notiek. Ielaušanās noteikšanas sistēmas (IDS) galvenie pienākumi ir anomāliju noteikšana un ziņošana, tomēr noteiktas ielaušanās noteikšanas sistēmas var rīkoties, ja tiek atklāta ļaunprātīga darbība vai neparasta trafika. Šajā rakstā mēs apspriedīsim visus punktus par ielaušanās noteikšanas sistēmu.
Kas ir ielaušanās atklāšanas sistēma?
Sistēma, ko sauc par ielaušanās noteikšanas sistēmu (IDS), novēro tīkla trafiku par ļaunprātīgiem darījumiem un nosūta tūlītējus brīdinājumus, kad tie tiek novēroti. Tā ir programmatūra, kas pārbauda, vai tīklā vai sistēmā nav ļaunprātīgu darbību vai politikas pārkāpumu. Katra nelikumīga darbība vai pārkāpums bieži tiek reģistrēts vai nu centralizēti, izmantojot SIEM sistēmu, vai paziņots administrācijai. IDS pārrauga tīklu vai sistēmu, lai atklātu ļaunprātīgas darbības, un aizsargā datortīklu no nesankcionētas lietotāju piekļuves, tostarp, iespējams, iekšējās personas. Ielaušanās detektora mācīšanās uzdevums ir izveidot paredzamo modeli (t.i., klasifikatoru), kas spēj atšķirt “sliktos savienojumus” (ielaušanās/uzbrukumi) un “labos (normālos) savienojumus”.
Ielaušanās noteikšanas sistēmas (IDS) darbība
- IDS (Ielaušanās noteikšanas sistēma) monitori satiksme uz a datortīkls lai atklātu jebkādas aizdomīgas darbības.
- Tā analizē datus, kas plūst caur tīklu, lai meklētu neparastas uzvedības modeļus un pazīmes.
- IDS salīdzina tīkla darbību ar iepriekš definētu noteikumu un modeļu kopu, lai identificētu jebkuru darbību, kas varētu norādīt uz uzbrukumu vai ielaušanos.
- Ja IDS konstatē kaut ko, kas atbilst kādam no šiem noteikumiem vai modeļiem, tas nosūta brīdinājumu sistēmas administratoram.
- Pēc tam sistēmas administrators var izmeklēt brīdinājumu un veikt darbības, lai novērstu bojājumus vai turpmāku ielaušanos.
Ielaušanās noteikšanas sistēmas (IDS) klasifikācija
Ielaušanās noteikšanas sistēmas ir iedalītas 5 veidos:
- Tīkla ielaušanās noteikšanas sistēma (NIDS): Tīkla ielaušanās noteikšanas sistēmas (NIDS) ir iestatītas plānotā tīkla punktā, lai pārbaudītu trafiku no visām tīklā esošajām ierīcēm. Tas veic trafika novērošanu visā apakštīklā un saskaņo datplūsmu, kas tiek nodota apakštīklos, zināmo uzbrukumu kolekcijai. Kad uzbrukums ir identificēts vai tiek novērota neparasta uzvedība, brīdinājumu var nosūtīt administratoram. NIDS piemērs ir tā instalēšana apakštīklā, kur ugunsmūri atrodas, lai redzētu, vai kāds nemēģina uzlauzt ugunsmūris .
- Saimniekdatora ielaušanās noteikšanas sistēma (HIDS): Saimniekdatora ielaušanās noteikšanas sistēmas (HIDS) darbojas neatkarīgiem resursdatoriem vai ierīcēm tīklā. HIDS uzrauga tikai no ierīces ienākošās un izejošās paketes un brīdinās administratoru, ja tiek atklāta aizdomīga vai ļaunprātīga darbība. Tas uzņem esošo sistēmas failu momentuzņēmumu un salīdzina to ar iepriekšējo momentuzņēmumu. Ja analītiskās sistēmas faili tika rediģēti vai dzēsti, administratoram tiek nosūtīts brīdinājums, lai veiktu izmeklēšanu. HIDS izmantošanas piemēru var redzēt misijai kritiskās iekārtās, kuru izkārtojums nav paredzams.

Ielaušanās noteikšanas sistēma (IDS)
- Uz protokolu balstīta ielaušanās noteikšanas sistēma (PIDS): Uz protokolu balstīta ielaušanās noteikšanas sistēma (PIDS) ietver sistēmu vai aģentu, kas pastāvīgi atrodas servera priekšgalā, kontrolējot un interpretējot protokolu starp lietotāju/ierīci un serveri. Tas mēģina aizsargāt tīmekļa serveri, regulāri uzraugot HTTPS protokols straumēt un pieņemt saistīto HTTP protokols . Tā kā HTTPS ir nešifrēts un pirms tūlītējas ievadīšanas tā tīmekļa prezentācijas slānī, šai sistēmai ir jāatrodas šajā interfeisā, lai izmantotu HTTPS.
- Uz lietojumprogrammu protokolu balstīta ielaušanās noteikšanas sistēma (APIDS): Aplikācija Uz protokolu balstīta ielaušanās noteikšanas sistēma (APIDS) ir sistēma vai aģents, kas parasti atrodas serveru grupā. Tas identificē ielaušanās gadījumus, uzraugot un interpretējot saziņu par lietojumprogrammas specifiskiem protokoliem. Piemēram, tas pārraudzītu SQL protokolu tieši starpprogrammatūrai, kad tā veic darījumus ar datu bāzi tīmekļa serverī.
- Hibrīda ielaušanās noteikšanas sistēma: Hibrīda ielaušanās atklāšanas sistēma ir izveidota, apvienojot divas vai vairākas pieejas ielaušanās atklāšanas sistēmai. Hibrīda ielaušanās noteikšanas sistēmā resursdatora aģents vai sistēmas dati tiek apvienoti ar tīkla informāciju, lai izveidotu pilnīgu tīkla sistēmas priekšstatu. Hibrīda ielaušanās noteikšanas sistēma ir efektīvāka salīdzinājumā ar citu ielaušanās noteikšanas sistēmu. Prelūdija ir Hybrid IDS piemērs.
Ielaušanās noteikšanas sistēmas izvairīšanās metodes
- Sadrumstalotība: Pakešu sadalīšana mazākā paketē, ko sauc par fragmentu, un process ir pazīstams kā sadrumstalotība . Tādējādi nav iespējams identificēt ielaušanos, jo nevar būt ļaunprātīgas programmatūras paraksts.
- Pakešu kodējums: Pakešu kodēšana, izmantojot tādas metodes kā Base64 vai heksadecimāls, var paslēpt ļaunprātīgu saturu no paraksta IDS.
- Satiksmes traucēšana: Padarot ziņojumu sarežģītāku interpretāciju, var tikt izmantota neskaidrība, lai paslēptu uzbrukumu un izvairītos no atklāšanas.
- Šifrēšana: Tiek nodrošināti vairāki drošības līdzekļi, piemēram, datu integritāte, konfidencialitāte un datu privātums šifrēšana . Diemžēl ļaunprogrammatūras izstrādātāji izmanto drošības līdzekļus, lai slēptu uzbrukumus un izvairītos no atklāšanas.
IDS priekšrocības
- Atklāj ļaunprātīgu darbību: IDS var atklāt visas aizdomīgas darbības un brīdināt sistēmas administratoru, pirms tiek nodarīts būtisks kaitējums.
- Uzlabo tīkla veiktspēju: IDS var identificēt visas tīkla veiktspējas problēmas, kuras var novērst, lai uzlabotu tīkla veiktspēju.
- Atbilstības prasības: IDS var palīdzēt izpildīt atbilstības prasības, uzraugot tīkla darbību un ģenerējot atskaites.
- Sniedz ieskatu: IDS ģenerē vērtīgu ieskatu tīkla trafikā, ko var izmantot, lai identificētu visas nepilnības un uzlabotu tīkla drošību.
IDS noteikšanas metode
- Uz parakstu balstīta metode: Uz parakstu balstīta IDS atklāj uzbrukumus, pamatojoties uz specifiskiem modeļiem, piemēram, baitu skaitu vai 1 skaitu vai 0 skaitu tīkla trafikā. Tā arī nosaka, pamatojoties uz jau zināmo ļaunprātīgo instrukciju secību, ko izmanto ļaunprātīga programmatūra. Atklātie modeļi IDS ir zināmi kā paraksti. Uz parakstiem balstītas IDS var viegli noteikt uzbrukumus, kuru modelis (paraksts) jau pastāv sistēmā, taču ir diezgan grūti atklāt jaunus ļaunprātīgas programmatūras uzbrukumus, jo to modelis (paraksts) nav zināms.
- Uz anomālijām balstīta metode: Uz anomālijām balstīta IDS tika ieviesta, lai atklātu nezināmas ļaunprātīgas programmatūras uzbrukumus, jo jauna ļaunprogrammatūra tiek strauji izstrādāta. Uz anomālijām balstītā IDS tiek izmantota mašīnmācīšanās, lai izveidotu uzticamu darbības modeli, un viss nākošais tiek salīdzināts ar šo modeli un tiek pasludināts par aizdomīgu, ja tas modelī nav atrasts. Uz mašīnmācīšanos balstītajai metodei ir labāk vispārināta īpašība salīdzinājumā ar uz parakstu balstītu IDS, jo šos modeļus var apmācīt atbilstoši lietojumprogrammām un aparatūras konfigurācijām.
IDS salīdzinājums ar ugunsmūriem
IDS un ugunsmūris ir saistīti ar tīkla drošību, taču IDS atšķiras no a ugunsmūris kā ugunsmūris ārēji meklē ielaušanos, lai tos novērstu. Ugunsmūri ierobežo piekļuvi starp tīkliem, lai novērstu ielaušanos, un, ja uzbrukums notiek no tīkla iekšpuses, tas nedod signālu. IDS apraksta iespējamu ielaušanos, tiklīdz tā ir notikusi, un pēc tam signalizē par trauksmi.
IDS izvietošana
- Optimālākā un izplatītākā pozīcija IDS novietošanai ir aiz ugunsmūra. Lai gan šī pozīcija atšķiras atkarībā no tīkla. Izvietojums “aiz ugunsmūra” ļauj IDS labi redzēt ienākošo tīkla trafiku un nesaņems trafiku starp lietotājiem un tīklu. Tīkla punkta mala nodrošina tīklam iespēju izveidot savienojumu ar ārtīklu.
- Gadījumos, kad IDS atrodas ārpus tīkla ugunsmūra, tam vajadzētu būt aizsardzībai pret troksni no interneta vai pret uzbrukumiem, piemēram, portu skenēšanu un tīkla kartētāju. Šajā pozīcijā esošais IDS pārraudzītu 4.–7. OSI modelis un izmantotu uz parakstu balstītu noteikšanas metodi. Labāk ir rādīt mēģināto pārkāpumu skaitu, nevis faktiskos pārkāpumus, kas tika cauri ugunsmūrim, jo tas samazina viltus pozitīvu rezultātu skaitu. Ir nepieciešams arī mazāk laika, lai atklātu veiksmīgus uzbrukumus tīklam.
- Uzlabotu IDS, kas apvienots ar ugunsmūri, var izmantot, lai pārtvertu tīklā ienākošus sarežģītus uzbrukumus. Uzlabotās IDS funkcijas ietver vairākus drošības kontekstus maršrutēšanas līmenī un savienojuma režīmā. Tas viss savukārt potenciāli samazina izmaksas un darbības sarežģītību.
- Vēl viena IDS izvietošanas izvēle ir tīklā. Šī izvēle atklāj uzbrukumus vai aizdomīgas darbības tīklā. Neatzīt drošību tīklā ir kaitīga, jo tā var ļaut lietotājiem radīt drošības risku vai ļaut uzbrucējam, kurš ir ielauzies sistēmā, brīvi pārvietoties.
Secinājums
Ielaušanās noteikšanas sistēma (IDS) ir spēcīgs rīks, kas var palīdzēt uzņēmumiem atklāt un novērst nesankcionētu piekļuvi tīklam. Analizējot tīkla trafika modeļus, IDS var identificēt visas aizdomīgās darbības un brīdināt sistēmas administratoru. IDS var būt vērtīgs papildinājums jebkuras organizācijas drošības infrastruktūrai, sniedzot ieskatu un uzlabojot tīkla veiktspēju.
Bieži uzdotie jautājumi par ielaušanās noteikšanas sistēmu — FAQ
Atšķirība starp IDS un IPS?
Kad IDS konstatē ielaušanos, tas brīdina tikai tīkla administrāciju Ielaušanās novēršanas sistēma (IPS) bloķē ļaunprātīgās paketes, pirms tās sasniedz galamērķi.
Kādi ir IDS ieviešanas galvenie izaicinājumi?
Viltus pozitīvi un viltus negatīvi ir IDS galvenie trūkumi. Viltus pozitīvi rezultāti palielina troksni, kas var nopietni pasliktināt ielaušanās noteikšanas sistēmas (IDS) efektivitāti, savukārt viltus negatīvs rezultāts rodas, ja IDS netrāpa ielaušanos un uzskata to par derīgu.
Vai IDS var atklāt iekšējos draudus?
Jā Ielaušanās noteikšanas sistēma var atklāt draudus.
Kāda ir mašīnmācības loma IDS?
Izmantojot Mašīnmācība , var sasniegt augstu noteikšanas līmeni un zemu viltus trauksmes līmeni.