Undersöka Olika typer av Intrusion Detection Systems

October 11

Intrångsdetektering definieras som realtidsövervakning och analys av nätverksaktivitet och data för potentiella sårbarheter och attacker pågående. En stor begränsning av nuvarande systemet intrångsdetektering (IDS) teknik är kravet att filtrera falsklarm lest operatören (system eller säkerhetsadministratör) bli överväldigad med data. IDSes klassificeras på många olika sätt, bland annat aktiv och passiv, nätverksbaserad och värdbaserad och kunskapsbaserad och beteendebaserad:

Aktiva och passiva IDS

En aktiv IDS (nu mer allmänt känd som ett Intrusion Prevention System - IPS) är ett system som är konfigurerat för att automatiskt blockera misstänkta attacker pågår utan ingripande krävs av en operatör. IPS har fördelen att ge realtids korrigerande åtgärder som svar på en attack, men har många nackdelar också. En IPS måste placeras i linje längs ett nätverk gräns; alltså, är IPS själv känslig för angrepp. Dessutom, om falsklarm och legitim trafik inte har korrekt identifierade och filtreras, behöriga användare och applikationer kan vara felaktigt nekas tillträde. Slutligen kan IPS sig användas för att åstadkomma en Denial of Service (DoS) attack av avsiktsvämmar systemet med larm som orsakar det att blockera anslutningar tills inga anslutningar eller bandbredd är tillgängliga.

Ett passivt IDS är ett system som är konfigurerat bara att övervaka och analysera nätverkstrafik aktivitet och varna en operatör att potentiella sårbarheter och attacker. Det är inte i stånd att utföra alla skyddsåtgärder och korrigerande funktioner på egen hand. De stora fördelarna med passiva IDSes är att dessa system kan enkelt och snabbt iordningställas och är normalt inte känslig för sig själva.

Nätverksbaserad och värdbaserade IDS

En nätverksbaserade IDS består vanligen av ett Network Appliance (eller sensor) med en nätverkskort (NIC) som arbetar i promiskuöst läge och en separat administrationsgränssnitt. IDS är placerad längs en nätverkssegment eller gräns och övervakar all trafik på det segmentet.

En värdbaserad IDS kräver små program (eller agenter) som ska installeras på enskilda system som ska övervakas. Agenterna övervakar operativsystemet och skriva data till loggfiler och / eller utlösa larm. En värdbaserade IDS kan bara övervaka de enskilda värdsystem som agenterna installeras; den inte övervaka hela nätverket.

Kunskapsbaserade och beteendebaserade IDS

En kunskapsbaserad (eller signaturbaserad) IDS refererar till en databas med tidigare attackprofiler och kända sårbarheter i systemet för att identifiera aktiva intrångsförsök. Kunskapsbaserad IDS är idag vanligare än beteendebaserade IDS. Fördelar med kunskapsbaserade system inkluderar följande:

  • Den har lägre falsklarm än beteendebaserade IDS.
  • Larm är mer standardiserade och mer lättförståe än beteendebaserade IDS.

Nackdelar med kunskapsbaserade system inkludera dessa:

  • Signatur databasen måste ständigt uppdateras och underhållas.
  • Nya, unika, eller originella attacker kan inte upptäckas eller kan vara felaktigt klassificerade.

En beteendebaserad (eller statistisk anomali-baserade) IDS referenser en baslinje eller lärt mönster av normal systemaktivitet kunna identifiera aktiva intrångsförsök. Avvikelser från denna baslinje eller mönster orsakar ett larm ska utlösas. Fördelar med beteendebaserade system inkluderar att de

  • Dynamiskt anpassa sig till nya, unika, eller originella attacker.
  • Är mindre beroende av att identifiera specifika operativsystem sårbarheter.

Nackdelar med beteendebaserade system inkluderar

  • Högre falsklarm än kunskapsbaserade IDSes.
  • Användningsmönster som kan ändra ofta och får inte vara statiskt nog att genomföra en effektiv beteendebaserade IDS.