Wie funktioniert das Intrusion Detection -System??

Ein Intrusion Detection System (IDS) wird zum Zwecke der Erkennung von böswilligen Netzwerkverkehr und Systemfehlwechsel verwendet, die ansonsten konventionelle Firewalls nicht erkennen können. Daher erkennt IDS netzwerkbasierte Angriffe auf gefährdete Dienste und Anwendungen, Angriffe auf der Grundlage von Hosts wie der Eskalation, nicht autorisierte Anmeldemachaktivität und Zugang zu vertraulichen Dokumenten und Malware-Infektionen (Trojaner Pferde, Viren usw.). Es hat sich als grundlegender Bedarf an den erfolgreichen Betrieb eines Netzwerks erwiesen.

Der Hauptunterschied zwischen einem Intrusion Prevention System (IPS) und den IDs besteht darin, dass IPS zwar nur passiv überwacht und meldet, dass der Netzwerkzustand über die Eindringlinge hinausgeht, die Eindringlinge jedoch aktiv daran hindern, böswillige Aktivitäten auszuführen.

In diesem Leitfaden werden verschiedene Arten von IDs, deren Komponenten und die Arten von Erkennungstechniken untersucht, die in IDs verwendet werden.

Historische Überprüfung der IDS

James Anderson führte die Idee der Erkennung von Intrusion oder Systemmissbrauch ein, indem das Muster der anomalen Netzwerkverwendung oder des Systemmissbrauchs überwacht wurde. Basierend auf diesem Bericht veröffentlichte er 1980 seine Arbeit mit dem Titel „Überwachung und Überwachung der Computersicherheitsbedrohung.1984 wurde ein neues System mit dem Namen „Intrusion Detection Expert System (IDE)“ gestartet. Es war der erste Prototyp von IDs, der die Aktivitäten eines Benutzers überwacht.

Im Jahr 1988 wurde ein weiterer Ausweis namens „Haystack“ eingeführt, der Muster und statistische Analysen verwendete. Diese IDs haben jedoch nicht das Merkmal der Echtzeitanalyse. Nach dem gleichen Muster brachte Lawrence Livermore Laboratories der University of California Davis eine neue IDS mit dem Namen „Network System Monitor (NSM)“ zur Analyse des Netzwerkverkehrs auf. Danach wurde dieses Projekt in eine IDS mit dem Namen „Distributed Intrusion Detection System (DIDS) verwandelt.Basierend auf DIDs wurde der „Stalker“ entwickelt, und es war die ersten IDs, die im Handel erhältlich waren.

Mitte der neunziger Jahre entwickelte SAIC eine Host-IDS mit dem Namen „Computer-Missbrauchserkennungssystem (CMDS).Ein anderes System namens „Automatisierte Sicherheitsvorfällemessung (ASIM)“ wurde vom kryptografischen Unterstützungszentrum der US -Luftwaffe entwickelt.

Im Jahr 1998 startete Martin Roesch eine Open-Source-IDS für Netzwerke namens "Snort", die später sehr beliebt wurde.

Arten von IDs

Basierend auf der Analyseebene gibt es zwei Haupttypen von IDs:

1. Netzwerkbasierte IDs (NIDs): Es ist so konzipiert, dass sie Netzwerkaktivitäten erkennen, die normalerweise nicht durch die einfachen Filterregeln von Firewalls erkannt werden. In NIDs werden einzelne Pakete, die ein Netzwerk durchlaufen, überwacht und analysiert, um alle böswilligen Aktivitäten in einem Netzwerk zu erkennen. "Snort" ist ein Beispiel für NIDs.
2. Host-basierte IDs (HIDS): Dies überwacht die Aktivitäten in einem einzelnen Host oder Server, auf dem wir die IDs installiert haben. Diese Aktivitäten können Versuche zur Systemanmeldung, Integritätsprüfung für Dateien auf dem System, die Verfolgung und Analyse von Systemaufrufen, Anwendungsprotokolle usw. sein.

Hybrid -Intrusion -Detektionssystem: Es ist die Kombination von zwei oder mehr Arten von IDs. "Präludie" ist ein Beispiel für eine solche Art von IDs.

Komponenten von IDs

Ein Intrusionserkennungssystem besteht aus drei verschiedenen Komponenten, wie unten kurz erläutert:

1. Sensoren: Sie analysieren den Netzwerkverkehr oder die Netzwerkaktivität und generieren Sicherheitsereignisse.
2. Konsole: Ihr Zweck ist die Ereignisüberwachung und die Warnung und Kontrolle der Sensoren.
3. Erkennungsmotor: Die von Sensoren erzeugten Ereignisse werden von einem Motor aufgezeichnet. Diese werden in einer Datenbank aufgezeichnet. Sie haben auch Richtlinien für die Generierung von Warnungen, die Sicherheitsereignissen entsprechen.

Erkennungstechniken für IDs

In einer breiten Weise können Techniken, die in IDs verwendet werden, als:

1. Signature/Muster-basierte Erkennung: Wir verwenden bekannte Angriffsmuster, die als „Signaturen“ bezeichnet werden, und entsprechen sie mit dem Netzwerkpaketgehalt zum Erkennen von Angriffen. Diese in einer Datenbank gespeicherten Signaturen sind die Angriffsmethoden, die von Eindringlingen in der Vergangenheit verwendet werden.
2. Nicht autorisierte Zugriffserkennung: Hier ist die IDs so konfiguriert, dass sie Zugriffsverstöße mithilfe einer Zugriffskontrollliste (ACL) erfassen. Die ACL enthält Richtlinien zur Zugriffssteuerung und verwendet die IP -Adresse der Benutzer, um ihre Anfrage zu überprüfen.
3. Anomalie-basierte Erkennung: Sie verwendet einen maschinellen Lernalgorithmus, um ein IDS-Modell vorzubereiten, das aus dem regulären Aktivitätsmuster des Netzwerkverkehrs lernt. Dieses Modell fungiert dann als Basismodell, aus dem eingehender Netzwerkverkehr verglichen wird. Wenn der Verkehr vom normalen Verhalten abweicht, werden Warnungen erzeugt.
4. Protokollanomalie -Nachweis: In diesem Fall erkennt der Anomalie -Detektor den Verkehr, der nicht mit den vorhandenen Protokollstandards übereinstimmt.

Abschluss

Online -Geschäftsaktivitäten sind in letzter Zeit gestiegen, und Unternehmen haben mehrere Büros an verschiedenen Orten auf der ganzen Welt. Auf der Internetebene und einer Unternehmensebene müssen die Computernetzwerke ständig ausgeführt werden. Es ist natürlich für Unternehmen, Ziele aus den bösen Augen von Hackern zu werden. Daher ist es ein sehr kritisches Thema geworden, um Informationssysteme und Netzwerke zu schützen. In diesem Fall ist IDS zu einem wesentlichen Bestandteil des Netzwerks einer Organisation geworden, das eine wesentliche Rolle bei der Erkennung des unbefugten Zugriffs zu diesen Systemen spielt.