Как работает система обнаружения вторжений (IDS)

Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить. Таким образом, IDS обнаруживает сетевые атаки на уязвимые службы и приложения, атаки, основанные на узлах, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (троянские кони, вирусы и т. д.). Это оказалось фундаментальной необходимостью для успешной работы сети.

Ключевое различие между системой предотвращения вторжений (IPS) и IDS заключается в том, что, хотя IDS только пассивно отслеживает и сообщает о состоянии сети, IPS выходит за рамки, она активно останавливает злоумышленников от выполнения злонамеренных действий.

В этом руководстве будут рассмотрены различные типы IDS, их компоненты и типы методов обнаружения, используемых в IDS.

 

Исторический обзор IDS

Джеймс Андерсон представил идею обнаружения вторжений или неправомерного использования системы путем отслеживания паттернов аномального использования сети или неправильного использования системы. В 1980 году на основе этого отчета он опубликовал свою статью под названием «Мониторинг и наблюдение за угрозами компьютерной безопасности». В 1984 году была запущена новая система под названием «Экспертная система обнаружения вторжений (IDES)». Это был первый прототип IDS, отслеживающий действия пользователя.

В 1988 году была представлена ​​еще одна IDS, названная «Стог сена», которая использовала шаблоны и статистический анализ для обнаружения аномальной активности. Однако эта IDS не имеет функции анализа в реальном времени. Следуя той же схеме, Лаборатория Лоуренса Ливермора в Дэвисе Калифорнийского университета представила новую IDS под названием Network System Monitor (NSM) для анализа сетевого трафика. Впоследствии этот проект превратился в IDS под названием «Распределенная система обнаружения вторжений (DIDS)». На основе DIDS был разработан «Сталкер», и это была первая коммерчески доступная IDS.

В середине 1990-х годов SAIC разработала хост-систему IDS под названием «Система обнаружения неправильного использования компьютеров (CMDS)». Другая система под названием «Автоматическое измерение инцидентов безопасности (ASIM)» была разработана Центром криптографической поддержки ВВС США для измерения уровня несанкционированной активности и обнаружения необычных сетевых событий.

В 1998 году Мартин Рош запустил IDS с открытым исходным кодом для сетей под названием «SNORT», который впоследствии стал очень популярным.

 

Типы IDS

По уровню анализа можно выделить два основных типа IDS:

  1. IDS на основе сети (NIDS): он предназначен для обнаружения сетевых действий, которые обычно не обнаруживаются простыми правилами фильтрации брандмауэров. В NIDS отдельные пакеты, проходящие через сеть, отслеживаются и анализируются для обнаружения любых вредоносных действий, происходящих в сети. «SNORT» — это пример NIDS.
  2. IDS на основе хоста (HIDS): отслеживает действия, происходящие на отдельном хосте или сервере, на котором мы установили IDS. Эти действия могут быть попытками входа в систему, проверкой целостности файлов в системе, отслеживанием и анализом системных вызовов, журналов приложений и т. д.

Гибридная система обнаружения вторжений: это комбинация двух или более типов IDS. «Прелюдия» — пример такого типа IDS.

 

Компоненты IDS

Система обнаружения вторжений состоит из трех различных компонентов, как кратко объясняется ниже:

  1. Датчики: они анализируют сетевой трафик или сетевую активность и генерируют события безопасности.
  2. Консоль: их цель — мониторинг событий, а также оповещение и управление датчиками.
  3. Механизм обнаружения: события, генерируемые датчиками, регистрируются механизмом. Они записываются в базу данных. У них также есть политики для генерации предупреждений, соответствующих событиям безопасности.

 

Методы обнаружения IDS

В широком смысле методы, используемые в IDS, можно классифицировать как:

  1. Обнаружение на основе сигнатур/шаблонов: мы используем известные шаблоны атак, называемые «сигнатурами», и сопоставляем их с содержимым сетевых пакетов для обнаружения атак. Эти сигнатуры, хранящиеся в базе данных, представляют собой методы атак, которые злоумышленники использовали в прошлом.
  2. Обнаружение неавторизованного доступа: здесь IDS настроен на обнаружение нарушений доступа с помощью списка управления доступом (ACL). ACL содержит политики контроля доступа и использует IP-адреса пользователей для проверки их запросов.
  3. Обнаружение на основе аномалий: он использует алгоритм машинного обучения для подготовки модели IDS, которая учится на регулярной модели активности сетевого трафика. Затем эта модель действует как базовая модель, с которой сравнивается входящий сетевой трафик. Если трафик отклоняется от нормального поведения, генерируются предупреждения.
  4. Обнаружение аномалий протокола: в этом случае детектор аномалий обнаруживает трафик, который не соответствует существующим стандартам протокола.

 

Заключение

Активность онлайн-бизнеса в последнее время возросла, и компании имеют несколько офисов, расположенных в разных местах по всему миру. Необходимо постоянно поддерживать компьютерные сети на уровне Интернета и на уровне предприятия. Для компаний естественно становиться мишенью дурных глаз хакеров. Таким образом, защита информационных систем и сетей стала очень важной проблемой. В этом случае IDS стала жизненно важным компонентом сети организации, которая играет важную роль в обнаружении несанкционированного доступа к этим системам.



2021-07-05T20:21:37
Безопасность