Базовая система обнаружения вторжений

Посмотрите на эту цитату Адмирал Грейс Хоппер

«До Второй мировой войны жизнь была проще. После этого у нас были системы »

Итак, что это на самом деле означает? С изобретением систем (компьютерных систем) увеличилось количество различных потребностей сетей, а вместе с сетями появилась идея совместного использования данных. Сегодня, в эпоху глобализации, с развитием информационных технологий, а также легкостью доступа и разработкой хакерских инструментов, возникает потребность в безопасности важных данных. Брандмауэры могут это обеспечить, но никогда не предупреждают администратора о каких-либо атаках. Вот где возникает необходимость в другой системе - своего рода системе обнаружения.

Система обнаружения вторжений - необходимое решение вышеуказанной проблемы. Это похоже на систему охранной сигнализации в вашем доме или любой организации, которая обнаруживает присутствие любого нежелательного вмешательства и предупреждает системного администратора.

Это тип программного обеспечения, которое предназначено для автоматического предупреждения администраторов, когда кто-либо пытается проникнуть в систему, используя вредоносные действия.

Теперь, прежде чем узнавать о системе обнаружения вторжений, позвольте нам вкратце вспомнить о брандмауэрах.

Брандмауэры - это программы или аппаратные устройства, которые можно использовать для предотвращения любых злонамеренных атак на систему или сеть. По сути, они действуют как фильтры, блокирующие любую информацию, которая может создать угрозу для системы или сети. Они могут либо контролировать небольшое количество содержимого входящего пакета, либо контролировать весь пакет.

Классификация систем обнаружения вторжений:

В зависимости от типа систем, которые защищает IDS:

• Система обнаружения сетевых вторжений :Эта система отслеживает трафик в отдельных сетях или подсетях, непрерывно анализируя трафик и сравнивая его с известными атаками в библиотеке. При обнаружении атаки системному администратору отправляется уведомление. Он размещается в основном в важных точках сети, поэтому он может отслеживать трафик, идущий к различным устройствам в сети и от них. IDS размещается вдоль границы сети или между сетью и сервером. Преимущество этой системы заключается в том, что ее можно легко и недорого развернуть без необходимости загружать для каждой системы.

• Система обнаружения вторжений на хост :Такая система работает в отдельных системах, где сетевое соединение с системой, то есть входящие и исходящие пакеты постоянно контролируются, а также выполняется аудит системных файлов, и в случае каких-либо несоответствий системный администратор получает уведомление об этом же. Эта система контролирует операционную систему компьютера. IDS установлен на компьютере. Преимущество этой системы в том, что она может точно контролировать всю систему и не требует установки какого-либо другого оборудования.

Исходя из метода работы:

• Система обнаружения вторжений на основе подписи :Эта система работает по принципу сопоставления. Данные анализируются и сравниваются с сигнатурами известных атак. В случае совпадения выдается предупреждение. Преимущество этой системы в том, что она имеет большую точность и стандартные сигналы тревоги, понятные пользователю.

• Система обнаружения вторжений на основе аномалий :Он состоит из статистической модели обычного сетевого трафика, которая состоит из используемой полосы пропускания, протоколов, определенных для трафика, портов и устройств, которые являются частью сети. Он регулярно отслеживает сетевой трафик и сравнивает его со статистической моделью. В случае какой-либо аномалии или несоответствия администратор будет предупрежден. Преимущество этой системы в том, что она может обнаруживать новые уникальные атаки.

Основываясь на их функционировании:

• Пассивная система обнаружения вторжений :Он просто определяет тип работы вредоносного ПО и выдает предупреждение системному или сетевому администратору. (То, что мы наблюдали до сих пор!). Требуемое действие затем предпринимает администратор.

• Реактивная система обнаружения вторжений :Он не только обнаруживает угрозу, но и выполняет определенные действия, сбрасывая подозрительное соединение или блокируя сетевой трафик от подозрительного источника. Она также известна как система предотвращения вторжений.

Типичные особенности системы обнаружения вторжений:

• Он отслеживает и анализирует действия пользователей и системы.
• Он выполняет аудит системных файлов, других конфигураций и операционной системы.
• Оценивает целостность системы и файлов данных.
• Он проводит анализ шаблонов на основе известных атак.
• Обнаруживает ошибки в конфигурации системы.
• Он обнаруживает и предупреждает, если система находится в опасности.

Бесплатное программное обеспечение для обнаружения вторжений

Система обнаружения вторжений Snort

Одним из наиболее широко используемых программ обнаружения вторжений является программа Snort. Это программное обеспечение для обнаружения сетевых вторжений, разработанное Source file. Он выполняет анализ трафика в реальном времени и анализ протоколов, сопоставление шаблонов и обнаружение различных видов атак.

Система обнаружения вторжений на основе Snort состоит из следующих компонентов:

• Пакетный декодер :Принимает пакеты из разных сетей и подготавливает их к предварительной обработке или дальнейшим действиям. Он в основном декодирует приходящие сетевые пакеты.
• Препроцессор :Он подготавливает и изменяет пакеты данных, а также выполняет дефрагментацию пакетов данных, декодирует потоки TCP.
• Механизм обнаружения :Выполняет обнаружение пакетов на основе правил Snort. Если какой-либо пакет соответствует правилам, предпринимаются соответствующие действия, в противном случае он отбрасывается.
• Система ведения журналов и предупреждений :Обнаруженный пакет либо регистрируется в системных файлах, либо в случае угроз система получает предупреждение.
• Модули вывода :Они контролируют тип вывода из системы регистрации и оповещения.

Преимущества систем обнаружения вторжений

• Сеть или компьютер постоянно отслеживаются на предмет вторжений или атак.
• Система может быть модифицирована и изменена в соответствии с потребностями конкретных клиентов и может помочь как в устранении внешних, так и внутренних угроз для системы и сети.
• Это эффективно предотвращает повреждение сети.
• Он предоставляет удобный интерфейс, который позволяет легко управлять системами управления безопасностью.
• Любые изменения в файлах и каталогах в системе можно легко обнаружить и сообщить о них.

Единственным недостатком системы обнаружения вторжений является то, что они не могут обнаружить источник атаки, и в любом случае атаки они просто блокируют всю сеть. Если возникнут какие-либо дополнительные вопросы по этой концепции или по электрическим и электронным проектам, оставьте комментарии ниже.