Какво представлява IDS?

Системи за откриване на проникване на проникванеСистема за откриване) представлява съвкупност от софтуер и / или хардуер, който служи за откриване на фактите за неразрешен достъп до компютърна / компютърна мрежа, както и за предотвратяване на неразрешено управление на тях.

Какво представлява IDS?

Просто казано, IDS е система, коятоТя гарантира сигурността на дейността на потребителя, предпазва го от различни видове прониквания и мрежови атаки, които в ерата на информационните технологии просто не могат да бъдат взети под внимание. Освен това IDS е способността да получава прогнози за бъдещи атаки и да ги предотврати, както и да научи информация за "нападателите", която може да бъде полезна за коригиране на факторите, които позволяват неоторизиран достъп.

Защо са необходими IDS?

Напоследък използването на потребителитеСистемите за откриване на проникване активно набира популярност. IDS е най-важният елемент от информационната сигурност, изискван от всеки далекоглед. Системата за откриване на проникване не само ще открие компютърната атака и ще я блокира, но и ще я изпълни в удобен графичен интерфейс - потребителят няма да има нужда от специални познания за мрежовите протоколи и възможните уязвимости.

По аналогия с антивирусните програми, системите за откриване на проникване се използват за основния метод за откриване на неразрешена дейност:

• въз основа на подписа. В този случай анализът се извършва въз основа на определен набор от събития, които уникално характеризират конкретна атака. Тази техника е доста ефективна и в основните методи за търсене на опасност.
• въз основа на аномалии. Този вид работа се характеризира с откриване на атаки, като се идентифицира необичайно поведение на мрежата, сървъра или приложението. Системите, работещи по този механизъм, могат ефективно да проследяват атаките, но основният им проблем е масата на фалшивите положителни резултати.

IDS Архитектура

Всеки IDS включва:

• сензорна подсистема, която постоянно следи събития, свързани със сигурността на системата;
• подсистема за анализ, която избира от всички събития,избрани от сензора, подозрителни. IDS с активна аналитична подсистема в случай на откриване на подозрителна дейност може да предприеме действия за ответна реакция например, да прекъсне мрежата самостоятелно. Пасивното IDS ще информира администратора само за подозрително действие и ще го обръща или не, потребителят трябва да реши.
• Съхранение, натрупване на първични събития и резултати от анализи;
• контролния панел, позволяващ на потребителя да следи системата.

В повечето прости IDS, всички по-горекомпонентите се изпълняват като едно устройство. В зависимост от параметрите на сензора и методите за анализ, системите за откриване на проникване осигуряват различно ниво на откриване на атаки.

IDS, защитавайки сегмента на мрежата

Този тип система е много надеждна, защотоРазгръщането се извършва на специален сървър, където други приложения не могат да работят. В този случай сървърът може да бъде направен невидим за атакуващия. За особено висококачествена защита

мрежата определя редица такива сървъри, които могат да анализират трафика във всичките си сегменти. С успешното местоположение на тези системи можете да наблюдавате много голяма мрежа.

Дефектът на IDS, който защитава сегмента на мрежата, етрудността при разпознаване на атака по време на високо натоварване на мрежата. Освен това, такъв IDS може да съобщи само за атака, но не анализира степента на проникване.

IDS, който защитава един сървър

Тези системи събират и анализиратинформация за подозрителни процеси, които се случват на даден сървър. Такъв IDS има доста тясна задача и следователно може да извърши много подробен анализ, както и да идентифицира конкретен потребител, който извършва неразрешени действия.

Някои IDS, които защитават сървъра, саспособността за управление на група сървъри наведнъж, изготвяне на общи доклади за възможна мрежова атака. За разлика от IDS, защитата на мрежовия сегмент, тези системи могат да работят дори в мрежа, която използва криптиране, в случай че информацията на сървъра се държи в ясна форма, преди да бъде предадена.

Основният недостатък на IDS, контролиращ сървъра (сървърите), -невъзможността да се наблюдава цялата мрежа. За тях са видими само пакетите, получени от защитения сървър. Освен това производителността на системата се намалява, когато сървърът използва изчислителни ресурси.

IDS, защита на приложения

Тези системи за сигурност наблюдават събития,възникващи в едно и също приложение. Както може би вече сте предположили, тази система ви позволява да създадете отчет с възможно най-висока степен на детайлност, тъй като работи с още по-тясна задача от предишната система тип.

IDS, който защитава приложението, използва познания за приложението, както и анализ на данните за неговия системен регистър за анализ. Системата взаимодейства с приложението чрез приложния програмен интерфейс (API).

Недостатъкът на IDS, защитата на приложенията е очевиден - твърде тесен профил. Разбира се, ако е важно за потребителя да гарантира сигурността на конкретно приложение, това е приемлива опция.

IDS - надеждна защита?

Система за откриване на проникване - ефективназа използване инструмент за защита срещу всякакви неоторизирани атаки, но не забравяйте, че ако ние говорим за пълноправен сигурност, IDS - само елемент от системата. Пълна сигурност е:

• Интранет политика за сигурност;
• система за защита на домакините;
• мрежов одит;
• защита на базата на маршрутизатори;
• защитна стена;
• система за откриване на проникване;
• политически отговор на откритите атаки.

Само като правилно съчетава всички горепосочени видове защита, потребителят може да бъде абсолютно спокоен за сигурността при съхраняването и прехвърлянето на важни данни.