IDS - nədir? Saldırı Algılama Sistemi (IDS) necə işləyir?

IDS - Nədir? Bu sistem necə işləyir? Saldırı aşkarlama sistemləri hücumların və zərərli hərəkətlərin aşkarlanması üçün proqram və ya avadanlıqlardır. Onlar şəbəkələrə və kompüter sistemlərinə düzgün cavab vermələrinə kömək edir. Bu məqsədə nail olmaq üçün IDS bir çox sistem və ya şəbəkə mənbələrindən məlumat toplayır. IDS sistemi hücumların olması üçün analiz edir. Bu yazı sualına cavab verməyə çalışacaq: "IDS - nədir və nə üçün?"

Nüfuzun aşkarlanması sistemləri (IDS)

Məlumat sistemləri və şəbəkələri daim kiber hücumlara məruz qalır. Bütün bu hücumları atmaq üçün firewalllar və antiviruslar kifayət deyil, çünki onlar yalnız kompüter sistemləri və şəbəkələrinin "ön qapısını" qoruya bilirlər. Müxtəlif gənclər, özlərini hackerları təsəvvür edərək, təhlükəsizlik sistemlərində çatlaqları axtararkən interneti daim təmizləyirlər.

World Wide Web sayəsində, onlar tamamilə pulsuz zərərli proqram bir çox var - spammers, blinders və oxşar zərərli proqramları bütün növləri. Professional oğruların xidmətləri bir-birlərini neytrallaşdırmaq üçün rəqabət aparan şirkətlər tərəfindən istifadə olunur. Belə ki, müdaxilənin aşkarlanması sistemlərini aşkar edən sistemlər mütləq bir zərurətdir. Təəccüblü deyil ki, onlar gündən-günə daha geniş istifadə olunurlar.

IDS elementləri

IDS elementləri aşağıdakılardır:

• Şəbəkə və ya kompüter sisteminin hadisələrinin yığılması məqsədi olan detektor alt sistemi;
• Kiber hücumları və şübhəli fəaliyyətini aşkar edən bir analiz alt sistemi;
• Hadisələr haqqında məlumatların yığılması, habelə kiber hücumların və icazəsiz hərəkətlərin təhlili nəticələrinin saxlanması;
• IDS parametrlərini təyin edə bilən bir idarəetmə konsolu, şəbəkənin vəziyyətini (və ya kompüter sistemini) nəzarət etmək, hücum analiz alt sistemi və qeyri-qanuni hərəkətlər tərəfindən aşkar edilmiş məlumatlara giriş imkanı verir.

Yeri gəlmişkən, çoxları: "IDS tərcümə olunur?" İngilis dili tərcüməsi "isti çağırılmamış qonaqlara tutulan bir sistem" kimi səslənir.

Müdaxilənin aşkarlanması sistemləri tərəfindən həll edilən əsas vəzifələr

Müdaxilənin aşkarlanması sisteminin iki əsas vəzifəsi var: məlumat mənbələrinin təhlili və bu təhlilin nəticələrinə əsaslanan düzgün cavab. Bu vəzifələri yerinə yetirmək üçün IDS sistemi aşağıdakı tədbirləri həyata keçirir:

• İstifadəçilərin fəaliyyətini izləyir və təhlil edir;
• Sistemin konfiqurasiyasını və zəifliyini yoxlayır;
• Ən əhəmiyyətli sistem fayllarının, həm də məlumat fayllarının bütövlüyünü yoxlayır;
• Artıq bilinən hücumlar zamanı baş verənlərlə müqayisədə sistemin dövlətlərinin statistik təhlili aparır;
• Əməliyyat sistemini yoxlayır.

Müdaxilənin aşkarlanması sistemi nə qədər güclü ola bilər və nə edə bilər?

Yardımı ilə aşağıdakılara nail ola bilərsiniz:

• Şəbəkə infrastrukturunun bütövlüyünü artırmaq;
• Sistemə daxil olduqdan və onu ziyan etmək üçün və ya icazəsiz aksiyaların istehsalına qədər istifadəçinin fəaliyyətini izləmək;
• Məlumatların dəyişdirilməsi və ya silinməsi barədə məlumat verin və bildirin;
• Son hücumları axtarmaq üçün internetin monitorinq vəzifələrini avtomatlaşdırın;
• Sistem konfiqurasiyasında səhvləri müəyyənləşdirmək;
• Hücumun başlanğıcını təsbit edin və bu barədə məlumat verin.

IDS sistemi bunu edə bilməz:

• Şəbəkə protokollarında qüsurları doldurmaq üçün;
• İzləyən şəbəkələrdə və ya kompüter sistemlərində zəif identifikasiya və identifikasiya mexanizmləri olduqda kompensasiya rolunu oynayır;
• Qeyd edək ki, IDS həmişə paket səviyyəli hücumlarla bağlı problemlərlə mübarizə aparır.

IPS (müdaxilənin qarşısının alınması sistemi) - davamlı IDS

IPS, "sistemə müdaxilənin qarşısını almaq" deməkdir. Bunlar IDS-nin daha funksional çeşididir. IPS IDS sistemləri reaktivdir (şərti olaraq fərqli olaraq). Bu deməkdir ki, onlar hücumu aşkarlaya, qeyd etməyə və xəbərdar edə bilməyəcək, həm də qoruyucu funksiyaları yerinə yetirirlər. Bu funksiyalar əlaqələri sıfırlama və daxil olan trafik paketlərini bloklaşdırır. IPS-nin digər fərqləndirici xüsusiyyəti onsuz da internetdə işləyir və hücumları avtomatik olaraq blok edə bilər.

Monitorinq yolu ilə İDS alt tipləri

NIDS (yəni, bütün şəbəkəni nəzarət edən IDS) bütün alt şəbəkənin trafiki təhlil edir və mərkəzləşdirilmiş şəkildə idarə olunur. Bir neçə NİP-lərin düzgün yerləşdirilməsi olduqca böyük bir şəbəkə ölçüsünü izləməklə əldə edilə bilər.

Onlar altıncı trafikin kütləvi kitabxanadan bilinən hücumlarla müqayisə edilməsələr, onlar qeyri-qanuni bir rejimdə işləyir (yəni, bütün gələn paketləri yoxlayırlar və seçməli deyil). Bir hücum müəyyən edildikdə və ya icazəsiz bir fəaliyyət aşkar edildikdə, administratora bir zəng göndərilir. Bununla belə, qeyd olunmalıdır ki, böyük trafikə malik geniş şəbəkədə NİDS bəzən bütün məlumat paketlərini yoxlaya bilmir. Buna görə də "təcavüz saatında" onlar hücumu tanıya bilməyəcəklər.

NİDS (şəbəkə bazlı IDS) yeni şəbəkə topologiyalarına inteqrasiya etmək asan olan sistemlərdir, çünki onların fəaliyyətinə xüsusi təsiri olmayan, passivdir. Yuxarıda müzakirə edilən reaktiv IPS sistemlərindən fərqli olaraq, onlar yalnız qeyd, qeyd və xəbərdarlıq edirlər. Bununla yanaşı, şəbəkə bazlı IDS-ləri də şifrələnmiş məlumatları analiz edə bilməyən sistemlər olduğunu da söyləmək lazımdır. Çünki virtual fərdi şəbəkələrin (VPN) daim artırılması səbəbindən şifreli məlumatlar hücumlar üçün kiber cinayətkarlar tərəfindən daha çox istifadə olunur.

Bundan əlavə, NIDS hücum nəticəsində baş verənləri, zərər və ya zərər olmadığını müəyyən edə bilməz. Gücündəki hər şey başlanğıcını düzəltməkdir. Buna görə, administrator hücumçuların hədəfə çatdıqlarına əmin olmaq üçün hər bir hücum hadisəsini müstəqil olaraq təkrarlamaq məcburiyyətində qalır. Digər əhəmiyyətli problem isə NİP-in parçalanmış paketləri istifadə edərək hücumları çətinləşdirə biləcəyidir. Onlar xüsusilə təhlükəlidirlər, çünki onlar NİDS-in normal əməliyyatını poza bilərlər. Bu, bütün şəbəkə və ya kompüter sistemi üçün nə deməkdir, sizə izah etməyə ehtiyac yoxdur.

HİSS (host intrusion aşkarlama sistemi)

HIDS (IDS, host monitorinqi) yalnız müəyyən bir kompüterə xidmət edir. Əlbəttə ki, bu, daha yüksək verimlilik təmin edir. HIDS iki növ məlumatları təhlil edir: əməliyyat sisteminin sistem qeydləri və audit nəticələri. Sistem fayllarının bir anlıq görüntüsünü çəkir və onu əvvəllər anlıq görüntülə müqayisə edirlər. Sistem üçün kritik fayllar dəyişdirildikdə və ya silinsə, administratora bir həyəcan göndərilir.

HİSP-in əsas üstünlüyü şəbəkə trafikinin şifrələnə biləcəyi bir vəziyyətdə işini yerinə yetirmək qabiliyyətidir. Bu, məlumatın şifrelenmeden önce, ya da hədəf hostda şifresi çözüldükten sonra, ana bilgisayara bağlı informasiya kaynaklarının oluşturulabildiği üçün mümkündür.

Bu sistemin dezavantajları, bəzi DoS hücumları tərəfindən bloklanması və hətta qadağan edilməsi imkanıdır. Buradakı problem, sensorlar və bəzi HIDS analiz vasitələrinə hücum edən ev sahibliyində, yəni hücuma məruz qaldıqlarıdır. HİSS'in işlərini izləyən sahiblərinin resurslarını istifadə etməsi, təbii olaraq onların performansını azaldığından daha çox zəng etmək çətindir.

Hücumların aşkarlanması üsulları üçün IDS IDE'leri

Anomaliya metodu, imza təhlili üsulu və siyasət metodu - hücumlar aşkarlanması üsulları ilə bu subtiplər IDS sisteminə malikdir.

İmza təhlili metodu

Bu halda, məlumat paketləri hücum imza üçün yoxlanılır. Hücum imza, hadisənin tanınmış hücumu izah edən nümunələrdən birinə yazışmasıdır. Bu üsul olduqca effektivdir, çünki istifadə etdiyiniz zaman yalançı hücumlar haqqında mesajlar olduqca nadirdir.

Anomaliya metodu

Onun köməyi ilə şəbəkədə və hostda qanunsuz hərəkətlər aşkar edilir. Ev sahibi və şəbəkənin normal fəaliyyətinin tarixinə əsasən, bu barədə məlumatlarla xüsusi profillər yaradılır. Sonra xüsusi detektorlar hadisələri təhlil edən oyuna gəlir. Müxtəlif alqoritmlərdən istifadə edərək, bu hadisələri təhlil edir, onları profildən "norma" ilə müqayisə edirlər. Çox sayda hücum imza toplamaq ehtiyacının olmaması bu metodun müəyyən bir üstünlüyü. Ancaq şəbəkədə qeyri-adi, lakin olduqca qanuni hadisələrlə əlaqədar hücumlarla əlaqədar çox sayda yanlış siqnallar - bu, şübhəsiz ki, mənfi.

Siyasət metodu

Hücumların aşkarlanmasının başqa üsulu siyasət üsuludur. Bunun mahiyyəti - şəbəkə təhlükəsizliyi qaydalarının yaradılmasında, məsələn, bir-birilərlə şəbəkələşmə prinsipi və istifadə olunan protokolların göstərilməsi. Bu üsul perspektivli, lakin bu çətinlik bir siyasət bazasının yaradılmasının çətin prosesindədir.

ID Systems şəbəkələri və kompüter sistemləri üçün etibarlı qorunma təmin edəcəkdir

ID Systems Şirkətlər qrupu kompüter şəbəkələri üçün təhlükəsizlik sistemləri yaratmaq sahəsində bazar liderlərindən biridir. Kiber zərərsizlərə qarşı etibarlı qorunma təmin edəcək. ID Sistemlərinin qorunması sistemləri ilə siz üçün vacib məlumatlar barədə narahat olmaya bilərsiniz. Bunun sayəsində daha çox həyatdan zövq alacaqsınız, çünki ruhunuzda daha az narahatlıq olacaq.

ID Sistemləri - işçilərin rəyləri

Gözəl bir komanda və ən başlıcası, əlbəttə ki, şirkətin rəhbərliyinin işçilərinə doğru münasibəti. Bütün (hətta yeni doğan yeni gələnlər) də peşə inkişafı üçün imkanları var. Doğrudur, bunun üçün əlbəttə ki, özünü sübut etmək lazımdır, sonra isə hər şey çıxacaq.

Komandanın sağlam bir atmosferi var. Yeni başlayanlar həmişə hər şeyə öyrədir və hər şey göstəriləcəkdir. Heç bir sağlam rəqabət hiss etmir. Uzun illər şirkətdə çalışan işçilər, bütün texniki incəlikləri paylaşmaqdan xoşbəxtdirlər. Onlar xeyirxahdırlar, hətta soyğunçuluq kölgəsi olmadan təcrübəsiz işçilərin ən axmaq suallarını cavablandırırlar. Ümumiyyətlə, ID Sistemlərindəki işlərə bir neçə xoş duyğular daxildir.

İdarəetmə rəftarı xoş sevindirir. Həm də burada xoşbəxtlikdir, əlbəttə ki, heyət kadrlarla işləyə bilərlər, çünki komanda həqiqətən yüksək peşəkardır. İşçilərin fikirləri demək olar ki, birmənalı deyil: onlar evdə evdə hiss edirlər.