Jak działa system wykrywania włamań?

System wykrywania włamań (IDS) jest używany w celu wykrycia złośliwego ruchu sieciowego i niewłaściwego wykorzystania systemu, którego w przeciwnym razie konwencjonalne zapory ogniowe nie mogą wykryć. Zatem IDS wykrywa ataki sieciowe na wrażliwe usługi i aplikacje, ataki oparte na hostach, takie jak eskalacja uprawnień, nieautoryzowana aktywność logowania i dostęp do poufnych dokumentów oraz zakażenie złośliwym oprogramowaniem (konie trojanów, wirusy itp.). Okazało się, że jest to fundamentalna potrzeba udanego działania sieci.

Kluczową różnicą między systemem zapobiegania włamaniom (IPS) a IDS jest to, że chociaż IDS tylko biernie monitorują i zgłasza stan sieciowy, IPS wykracza poza to, aktywnie powstrzymuje intruzów przed wykonywaniem złośliwych działań.

Ten przewodnik zbada różne rodzaje identyfikatorów, ich komponentów i rodzajów technik wykrywania stosowanych w IDS.

Historyczny przegląd identyfikatorów

James Anderson wprowadził ideę wykrywania wtargnięcia lub niewłaściwego użycia systemu poprzez monitorowanie wzorca anomalnego wykorzystania sieci lub niewłaściwego wykorzystania systemu. W 1980 r., W oparciu o ten raport, opublikował swój artykuł zatytułowany „Monitorowanie i monitorowanie zagrożenia bezpieczeństwa komputerowego.”W 1984 r. To był pierwszy prototyp identyfikatorów, który monitoruje działania użytkownika.

W 1988 r. Wprowadzono kolejne identyfikatory o nazwie „Haymstack”, które wykorzystywały wzorce i analizę statystyczną do wykrywania anomalnych działań. Te identyfikatory nie mają jednak funkcji analizy w czasie rzeczywistym. Zgodnie z tym samym schematem, Lawrence Livermore Laboratories University of California Davis przyniosła nowe identyfikatory o nazwie „Network System Monitor (NSM)” w celu analizy ruchu sieciowego. Następnie projekt ten zamienił się w IDS o nazwie „Rozproszony system wykrywania włamań (DIDS).„W oparciu o DIDS opracowano„ Stalker ”i był to pierwszy identyfikator, który był dostępny w handlu.

W połowie lat 90. SAIC opracował identyfikatory hosta o nazwie „System wykrywania niewłaściwego użycia komputera (CMD).„Kryptograficzny centrum wsparcia amerykańskiej siły powietrznej USA w celu pomiaru poziomu nieautoryzowanej aktywności i wykrywania nietypowych zdarzeń sieciowych opracował inny system o nazwie„ Zautomatyzowany pomiar incydentów bezpieczeństwa (ASIM) ”.

W 1998 roku Martin Roesch wprowadził identyfikatory typu open source dla sieci o nazwie „Snort”, które później stały się bardzo popularne.

Rodzaje identyfikatorów

Na podstawie poziomu analizy istnieją dwa główne rodzaje ID:

1. Identyfikatory sieciowe (NIDS): jest zaprojektowany do wykrywania działań sieciowych, które zwykle nie są wykrywane przez proste reguły filtrowania zapory ogniowej. W NIDS indywidualne pakiety przechodzące przez sieć są monitorowane i analizowane w celu wykrycia wszelkich złośliwych działań w sieci. „Snort” jest przykładem NIDS.
2. Identyfikatory oparte na hostach (HIDS): Monitoruje działania trwające w indywidualnym hoście lub serwerze, na którym zainstalowaliśmy identyfikatory. Te działania mogą być próbami logowania systemu, sprawdzania integralności plików w systemie, śledzenia i analizy połączeń systemowych, dzienników aplikacji itp.

System wykrywania włamań hybrydowych: jest to połączenie dwóch lub więcej rodzajów IDS. „Prelude” jest przykładem tego rodzaju identyfikatorów.

Komponenty IDS

System wykrywania włamań składa się z trzech różnych komponentów, jak krótko wyjaśniono poniżej:

1. Czujniki: analizują ruch sieciowy lub aktywność sieciową i generują zdarzenia bezpieczeństwa.
2. Konsola: Ich celem jest monitorowanie zdarzeń oraz ostrzeganie i kontrolowanie czujników.
3. Silnik wykrywający: zdarzenia generowane przez czujniki są rejestrowane przez silnik. Są one rejestrowane w bazie danych. Mają także zasady generowania alertów odpowiadających zdarzeniu bezpieczeństwa.

Techniki wykrywania IDS

W szeroki sposób techniki stosowane w IDS można zaklasyfikować jako:

1. Wykrywanie podpisów/wzorów: Używamy znanych wzorów ataków zwanych „podpisami” i dopasowujemy je do zawartości pakietu sieciowego do wykrywania ataków. Podpisy te przechowywane w bazie danych to metody ataku stosowane przez intruzów w przeszłości.
2. Nieautoryzowane wykrywanie dostępu: Tutaj identyfikatory są skonfigurowane do wykrywania naruszeń dostępu za pomocą listy kontroli dostępu (ACL). ACL zawiera zasady kontroli dostępu i używa adresu IP użytkowników do weryfikacji ich żądania.
3. Wykrywanie oparte na anomalii: wykorzystuje algorytm uczenia maszynowego do przygotowania modelu IDS, który uczy się z regularnego wzorca ruchu sieciowego. Ten model działa następnie jako model podstawowy, z którego porównuje się przychodzący ruch sieciowy. Jeśli ruch odbiega od normalnego zachowania, wówczas generowane są alerty.
4. Detekcja anomalii protokołu: W tym przypadku detektor anomalii wykrywa ruch, który nie pasuje do istniejących standardów protokołu.

Wniosek

Online działalność biznesowa wzrosła w ostatnim czasie, przy czym firmy mają wiele biur w różnych lokalizacjach na całym świecie. Istnieje potrzeba ciągłego uruchamiania sieci komputerowych na poziomie Internetu i na poziomie przedsiębiorstw. To naturalne, że firmy stają się celem złych oczu hakerów. Jako taki, stał się bardzo krytycznym problemem, aby chronić systemy i sieci informacyjne. W tym przypadku IDS stał się istotnym elementem sieci organizacji, która odgrywa istotną rolę w wykryciu nieautoryzowanego dostępu do tych systemów.