IDS - มันคืออะไร? ระบบตรวจจับการบุกรุก (IDS) กับการทำงานหรือไม่?

IDS - มันคืออะไร? วิธีนี้ไม่ได้ ระบบการทำงานอย่างไร ระบบ ตรวจจับการบุกรุก - ฮาร์ดแวร์หรือซอฟต์แวร์เพื่อตรวจจับการโจมตีและกิจกรรมที่เป็นอันตราย พวกเขาช่วยให้เครือข่ายและระบบคอมพิวเตอร์เพื่อให้พวกเขาปฏิเสธที่เหมาะสม เพื่อให้บรรลุนี้ IDS เก็บรวบรวมข้อมูลจากระบบหลายหรือแหล่งที่มาของเครือข่าย แล้ว IDS วิเคราะห์เพื่อตรวจสอบสถานะของการโจมตี บทความนี้จะพยายามที่จะตอบคำถาม: "? IDS - มันคืออะไรและมันคืออะไรสำหรับ"

อะไรคือระบบตรวจจับการบุกรุก (IDS)

ระบบสารสนเทศและเครือข่ายที่มีการสัมผัสอย่างต่อเนื่องเพื่อการโจมตีไซเบอร์ ไฟร์วอลล์และป้องกันไวรัสเพื่อสะท้อนให้เห็นถึงทั้งหมดของการโจมตีเหล่านี้ไม่เพียงพอเพราะพวกเขาเป็นเพียงสามารถที่จะปกป้อง "ประตูหน้าบ้าน" ของระบบคอมพิวเตอร์และเครือข่าย วัยรุ่นอื่น ๆ , คิดว่าตัวเองแฮกเกอร์อย่างต่อเนื่องกำจัดสิ่งสกปรกบนอินเทอร์เน็ตในการค้นหาของช่องว่างในระบบรักษาความปลอดภัย

ขอบคุณที่เวิลด์ไวด์เว็บในการกำจัดของพวกเขาจำนวนมากของฟรีของซอฟต์แวร์ที่เป็นอันตราย - ใด ๆ Slammer, slepperov และโปรแกรมที่เป็นอันตรายที่คล้ายกัน บริการแฮกเกอร์มืออาชีพที่มีการแข่งขัน บริษัท ที่จะต่อต้านกันและกัน เพื่อให้ระบบที่ตรวจจับการบุกรุก (ระบบตรวจจับการบุกรุก) - ความจำเป็นเร่งด่วน ไม่น่าแปลกใจว่าทุกวันพวกเขาจะกลายเป็นที่ใช้กันอย่างแพร่หลาย

องค์ประกอบ IDS

องค์ประกอบของ IDS รวมถึง:

• เครื่องตรวจจับระบบย่อยวัตถุประสงค์ของการที่ - การสะสมของเหตุการณ์ที่เครือข่ายหรือระบบคอมพิวเตอร์นั้น
• ระบบย่อยการวิเคราะห์ที่ตรวจพบการโจมตีไซเบอร์และกิจกรรมที่น่าสงสัย;
• การจัดเก็บข้อมูลสำหรับการจัดเก็บข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นและผลของการวิเคราะห์ของการโจมตีในโลกไซเบอร์และการกระทำที่ไม่ได้รับอนุญาต;
• คอนโซลการจัดการที่ IDS เป็นไปได้ที่การตั้งค่าพารามิเตอร์ตรวจสอบสถานะของเครือข่าย (หรือระบบคอมพิวเตอร์) ที่จะมีการเข้าถึงข้อมูลเกี่ยวกับระบบย่อยการวิเคราะห์การโจมตีที่ตรวจพบการกระทำที่ผิดกฎหมายและ

ในความเป็นจริงหลายคนอาจถามว่า "วิธีการคือการแปล IDS?" แปลจากภาษาอังกฤษดูเหมือนจะเป็น "ระบบที่พบผู้บุกรุกร้อน."

งานพื้นฐานในการแก้ระบบตรวจจับการบุกรุก

ระบบตรวจจับการบุกรุกมีวัตถุประสงค์หลักคือการวิเคราะห์ ของแหล่งข้อมูล และการตอบสนองที่เหมาะสมขึ้นอยู่กับผลของการวิเคราะห์นี้ เพื่อให้บรรลุงานเหล่านี้ระบบ IDS ดำเนินการกระทำดังต่อไปนี้:

• ตรวจสอบและวิเคราะห์กิจกรรมของผู้ใช้;
• มันเป็นธุระในการตรวจสอบ การกำหนดค่าระบบ และจุดอ่อนของตน
• มันจะตรวจสอบความสมบูรณ์ของไฟล์ระบบที่สำคัญและไฟล์ข้อมูล;
• การดำเนินการวิเคราะห์ทางสถิติของรัฐตามระบบในการเปรียบเทียบกับสภาพที่เกิดขึ้นในระหว่างการโจมตีที่รู้จักกันอยู่แล้ว;
• มันตรวจสอบระบบปฏิบัติการ

ที่สามารถให้บริการระบบตรวจจับการบุกรุกและบอกว่าเธอไม่สามารถจ่ายได้

คุณสามารถใช้มันเพื่อให้บรรลุต่อไปนี้:

• ปรับปรุงความสมบูรณ์ของพารามิเตอร์ของโครงสร้างพื้นฐานของเครือข่ายนั้น
• เพื่อติดตามกิจกรรมของผู้ใช้ในวันที่เข้าสู่ระบบและแอพลิเคชันของอันตรายหรือทำให้การดำเนินการไม่ได้รับอนุญาตนั้น
• ระบุและแจ้งเกี่ยวกับการเปลี่ยนแปลงหรือลบข้อมูล;
• อัตโนมัติงานการตรวจสอบอินเทอร์เน็ตเพื่อหาการโจมตีล่าสุด;
• ตรวจสอบข้อผิดพลาดในการกำหนดค่าระบบ
• ตรวจจับการโจมตีเริ่มต้นและแจ้งให้

รหัสไม่สามารถทำมันได้

• เพื่อเติมเต็มช่องว่างในโปรโตคอลเครือข่าย;
• บทบาทของการชดเชยที่จะเล่นในกรณีของเครือข่ายการตรวจสอบบัตรประจำตัวและกลไกที่อ่อนแอหรือระบบคอมพิวเตอร์ที่จะตรวจสอบนั้น
• มันก็ควรจะตั้งข้อสังเกตว่า IDS ไม่เคยรับมือกับปัญหาที่เกี่ยวข้องกับการโจมตีที่ระดับแพ็คเก็ต (แพ็คเก็ตระดับ)

IPS (ระบบป้องกันการบุกรุก) - IDS ต่อ

IPS ย่อมาจาก "ระบบป้องกันการบุกรุก." นี้สูง, การทำงานมากขึ้นพันธุ์ IDS IPS IDS ระบบมีปฏิกิริยา (ตรงกันข้ามกับปกติ) ซึ่งหมายความว่าพวกเขาไม่เพียง แต่สามารถระบุบันทึกและการแจ้งเตือนเกี่ยวกับการโจมตี แต่ยังทำหน้าที่ด้านความปลอดภัย ฟังก์ชั่นเหล่านี้รวมถึงสารประกอบตั้งค่าและการปิดกั้นแพ็กเก็ตการจราจรขาเข้า คุณสมบัติของ IPS ก็คือว่าพวกเขากำลังทำงานออนไลน์โดยอัตโนมัติและสามารถป้องกันการโจมตี

วิธีช่ำชอง IDS สำหรับการตรวจสอบ

NIDS (เช่น IDS ซึ่งมีการตรวจสอบเครือข่ายทั้งหมด (เครือข่าย)) มีส่วนร่วมในการวิเคราะห์การจราจรทั่วทั้งเครือข่ายย่อยและการจัดการจากส่วนกลาง จัดปกติของการตรวจสอบหลาย NIDS สามารถบรรลุเครือข่ายขนาดค่อนข้างใหญ่

พวกเขาทำงานในโหมดสำส่อน (เช่นตรวจสอบแพ็คเก็ตเข้ามาทั้งหมดแทนการทำคัดเลือก) โดยการเปรียบเทียบการจราจรเครือข่ายย่อยการโจมตีที่รู้จักกันกับห้องสมุด เมื่อการโจมตีมีการระบุหรือตรวจพบกิจกรรมที่ไม่ได้รับอนุญาตให้ผู้ดูแลระบบจะส่งสัญญาณเตือนภัย แต่ก็ควรจะกล่าวว่าเป็นเครือข่ายขนาดใหญ่ที่มีการจราจรสูง NIDS บางครั้งไม่สามารถรับมือกับทุกการทดสอบแพ็คเก็ตข้อมูล ดังนั้นจึงมีความเป็นไปได้ว่าในช่วง "ชั่วโมงเร่งด่วน" พวกเขาจะไม่สามารถที่จะรับรู้การโจมตี

NIDS (เครือข่ายที่ใช้ IDS) - เหล่านี้เป็นระบบที่มีการบูรณาการได้อย่างง่ายดายในโครงสร้างเครือข่ายใหม่ที่มีอิทธิพลมากต่อประสิทธิภาพการทำงานของพวกเขาพวกเขาไม่ได้เป็นแบบพาสซีฟ พวกเขาคงเพียง แต่จะถูกบันทึกไว้และแจ้งให้แตกต่างจากชนิดปฏิกิริยา IPS ระบบที่ได้รับการกล่าวถึงข้างต้น แต่ก็ยังต้องมีการกล่าวเกี่ยวกับ IDS เครือข่ายนี้เป็นระบบที่ไม่สามารถวิเคราะห์ข้อมูลภายใต้การเข้ารหัส นี่คือข้อเสียที่สำคัญเพราะการเปิดตัวที่เพิ่มขึ้นของเครือข่ายส่วนตัวเสมือน (VPN) ในการเข้ารหัสข้อมูลที่มีการใช้มากขึ้นโดยอาชญากรไซเบอร์ที่จะโจมตี

NIDS ยังไม่สามารถระบุได้ว่าเกิดอะไรขึ้นเป็นผลมาจากการโจมตีมันจะทำให้เกิดความเสียหายหรือไม่ ทั้งหมดที่พวกเขาจ่าย - คือการแก้ไขจุดเริ่มต้น ดังนั้นผู้ดูแลระบบถูกบังคับให้ต้องสอบใหม่ด้วยตัวเองกรณีการโจมตีทุกคนที่จะตรวจสอบให้แน่ใจว่าการโจมตีที่ประสบความสำเร็จ อีกปัญหาที่สำคัญก็คือว่า NIDS แทบจะจับการโจมตีโดยใช้แพ็กเก็ตการแยกส่วน พวกเขาจะมีอันตรายโดยเฉพาะอย่างยิ่งเพราะพวกเขาสามารถทำลายการทำงานปกติของ NIDS สิ่งนี้หมายความว่าสำหรับเครือข่ายคอมพิวเตอร์หรือระบบทั้งหมดไม่จำเป็นต้องอธิบาย

HIDS (เจ้าภาพระบบตรวจจับการบุกรุก)

HIDS (IDS โฮสต์ monitoryaschie (เจ้าภาพ)) ให้บริการเฉพาะคอมพิวเตอร์ที่เฉพาะเจาะจง นี้ของหลักสูตรให้มีประสิทธิภาพสูงขึ้นมาก HIDS วิเคราะห์ทั้งสองประเภทของข้อมูล: ระบบบันทึกและผลของการตรวจสอบระบบปฏิบัติการ พวกเขาทำให้ภาพรวมของไฟล์ระบบและเปรียบเทียบกับภาพก่อนหน้านี้ หากที่สำคัญสิ่งสำคัญสำหรับระบบไฟล์ได้รับการแก้ไขหรือเอาออกแล้วผู้จัดการจะส่งสัญญาณเตือนภัย

HIDS ได้เปรียบที่สำคัญคือความสามารถในการดำเนินงานของพวกเขาอยู่ในสถานการณ์ที่เครือข่ายการจราจรเป็นตัวเลขอ่อนแอ นี้เป็นไปได้ที่จะขอบคุณความจริงที่ว่าอยู่บนโฮสต์ (ตามโฮสต์) แหล่งที่มาของข้อมูลที่สามารถสร้างขึ้นก่อนที่ข้อมูลจะยืมตัวให้การเข้ารหัสหรือหลังการถอดรหัสบนโฮสต์ปลายทาง

ข้อเสียของระบบนี้รวมถึงความเป็นไปได้ของการปิดกั้นของตนหรือแม้กระทั่งห้ามใช้บางประเภทของ DoS โจมตี นี่คือปัญหาว่าบางเซ็นเซอร์ HIDS และเครื่องมือในการวิเคราะห์ที่ตั้งอยู่ในพื้นที่ซึ่งอยู่ภายใต้การโจมตีที่เป็นพวกเขายังโจมตี ความจริงที่ว่าทรัพยากรที่มีโฮสต์ HIDS ที่มีผลงานที่พวกเขามีการตรวจสอบมากเกินไปแทบจะไม่สามารถเรียกว่าเป็นบวกเพราะมันเป็นธรรมชาติช่วยลดการผลิตของพวกเขา

IDS ช่ำชองในการระบุการโจมตี

ความผิดปกติวิธีการวิธีการวิเคราะห์ลายเซ็นและนโยบาย - ชนิดย่อยดังกล่าวเกี่ยวกับวิธีการระบุการโจมตีเป็น IDS

วิเคราะห์ลายเซ็นวิธี

ในกรณีนี้แพ็กเก็ตข้อมูลจะถูกตรวจสอบลายเซ็นโจมตี ลายเซ็นของการโจมตี - มันสอดคล้องกับเหตุการณ์ที่เกิดขึ้นให้เป็นหนึ่งในตัวอย่างที่อธิบายการโจมตีที่รู้จักกัน วิธีนี้เป็นวิธีที่มีประสิทธิภาพมากเพราะเมื่อคุณใช้การรายงานเท็จของการโจมตีจะค่อนข้างหายาก

วิธีการที่ผิดปกติ

ด้วยความช่วยเหลือของเขาพบว่าการกระทำที่ผิดกฎหมายบนเครือข่ายและโฮสต์ บนพื้นฐานของประวัติศาสตร์ของการทำงานปกติของโฮสต์และเครือข่ายที่สร้างโปรไฟล์พิเศษที่มีข้อมูลเกี่ยวกับเรื่องนี้ จากนั้นเข้ามาในเครื่องตรวจจับการเล่นพิเศษที่วิเคราะห์เหตุการณ์ที่เกิดขึ้น โดยใช้กลไกที่แตกต่างกันที่พวกเขาผลิตการวิเคราะห์ของเหตุการณ์เหล่านี้เปรียบเทียบพวกเขากับ "บรรทัดฐาน" ในโปรไฟล์ การขาดความจำเป็นที่จะสะสมเป็นจำนวนมากของลายเซ็นโจมตี - บวกแน่นอนของวิธีการนี้ อย่างไรก็ตามจำนวนมากของการเตือนที่ผิดพลาดเกี่ยวกับการโจมตีที่มีความผิดปกติ แต่มันเป็นเหตุการณ์ที่เครือข่ายที่ถูกต้องค่อนข้าง - นี้เป็นลบไม่เป็นที่สงสัยของเขา

วิธีการกำหนดนโยบาย

วิธีการในการตรวจจับการโจมตีก็คือวิธีการนโยบาย สาระสำคัญของมัน - ในการสร้างกฎระเบียบของการรักษาความปลอดภัยเครือข่ายซึ่งยกตัวอย่างเช่นอาจบ่งบอกถึงเครือข่ายของหลักการระหว่างตัวเองและใช้โปรโตคอลนี้ วิธีนี้เป็นวิธีที่มีแนวโน้ม แต่ความยากลำบากที่ค่อนข้างเป็นกระบวนการที่ยากของการสร้างฐานข้อมูลของนโยบาย

ระบบ ID จะให้ความคุ้มครองที่เชื่อถือได้ของเครือข่ายและระบบคอมพิวเตอร์ของคุณ

รหัสกลุ่มระบบในวันนี้เป็นหนึ่งในด้านการเป็นผู้นำตลาดระบบรักษาความปลอดภัยสำหรับเครือข่ายคอมพิวเตอร์ มันจะช่วยให้คุณมีการป้องกันที่เชื่อถือกับไซเบอร์คนร้าย คุณไม่สามารถกังวลเกี่ยวกับข้อมูลสำคัญของคุณเพื่อปกป้องระบบระบบ ID ด้วยเหตุนี้คุณจะสามารถเพลิดเพลินไปกับชีวิตมากขึ้นเพราะคุณมีหัวใจเป็นปัญหาเล็กน้อย

ระบบ ID - ความคิดเห็นพนักงาน

ทีมที่ดีและที่สำคัญที่สุดของหลักสูตร - นี่คือทัศนคติที่ถูกต้องของการจัดการของ บริษัท ให้กับพนักงาน ทุกคน (แม้จะเริ่มต้นนก) มีโอกาสสำหรับการเจริญเติบโตที่เป็นมืออาชีพ อย่างไรก็ตามสำหรับการนี้แน่นอนคุณจะต้องแสดงตัวเองและแล้วทุกอย่างจะเปิดออก

ในทีมบรรยากาศที่ดีต่อสุขภาพ เริ่มต้นอยู่เสมอรอบรถไฟและทุกการแสดง ไม่มีการแข่งขันที่ไม่แข็งแรงจะไม่รู้สึก พนักงานที่ทำงานใน บริษัท เป็นเวลาหลายปีมีความยินดีที่จะแบ่งปันทุกรายละเอียดทางเทคนิค พวกเขาเป็นมิตรแม้จะไม่มีคำใบ้ของท่าทีตอบคำถามโง่ที่สุดคนงานที่ไม่มีประสบการณ์ โดยทั่วไปจากการทำงานในระบบ ID บางอารมณ์ที่น่าพอใจ

การจัดการทัศนคติโปรดเกล้าฯ ยินดีนอกจากนี้ที่นี่เห็นได้ชัดว่ามีความสามารถที่จะทำงานร่วมกับพนักงานเพราะพนักงานที่เป็นจริงที่จับคู่สูง พนักงานเกือบชัดเจน: พวกเขารู้สึกว่าในที่ทำงานที่บ้าน