co je systém detekce narušení (IDS)?
systém detekce narušení (IDS) monitoruje síťový provoz na podezřelé aktivity a známé hrozby a vydává upozornění, když jsou takové činnosti objeveny.
IDS je v podstatě paketový sniffer, který detekuje anomálie v datových paketech cestujících po různých kanálech. Jejich úlohou je:
- monitorovací systémy. Posoudit a vyhodnotit směrovače, brány firewall, servery pro správu klíčů a soubory, za účelem řešení kybernetických útoků.
- protokoly výzkumného systému. Zobrazit OS audit stezky a další protokoly doladit systémy pro lepší ochranu.
- Identifikujte design typických útoků. Porovnejte databáze podpisů útoků s informacemi ze systému.
typy systémů detekce narušení
systém detekce narušení je široce kategorizován podle toho, kde jsou umístěny senzory IDS: síť nebo hostitel.
Network Intrusion Detection System
network-based intrusion detection system (IDS) sleduje a analyzuje síťový provoz pro podezřelé chování a reálné hrozby s pomocí IDS senzory. Zkoumá informace o obsahu a záhlaví všech paketů pohybujících se po síti.
senzory NIDS jsou umístěny v klíčových bodech sítě pro kontrolu provozu ze všech zařízení v síti. Například senzory NIDS jsou nainstalovány v podsíti, kde jsou umístěny brány firewall, aby detekovaly odmítnutí služby (DoS) a další takové útoky.
hostitelský systém detekce narušení
hostitelský systém detekce narušení (HIDS) monitoruje a analyzuje konfiguraci systému a aktivitu aplikací pro zařízení běžící v podnikové síti. Senzory HIDS lze nainstalovat na jakékoli zařízení, bez ohledu na to, zda se jedná o stolní počítač nebo server.
HIDS senzory v podstatě pořizují snímek existujících systémových souborů a porovnávají je s předchozími snímky. Hledají neočekávané změny, jako je přepsání, odstranění a přístup k určitým portům. V důsledku toho jsou administrátorům zasílána upozornění, aby prozkoumali činnosti, které se zdají být ošemetné.
jsou vysoce účinným nástrojem proti hrozbám zasvěcených osob. HID mohou identifikovat změny oprávnění k souborům a neobvyklé požadavky klient-server, což obvykle bývá perfektní směsí pro interní útoky. Proto by nemělo být žádným překvapením, že HIDS se často používá pro kritické stroje, u kterých se neočekává změna.
NIDS vs. HIDS: jaký je v tom rozdíl?
každý z těchto systémů detekce narušení má své vlastní silné stránky. NIDS pracuje v reálném čase, což znamená, že sleduje živá data a příznaky problémů, jak k nim dochází. Na druhou stranu, HIDS zkoumá historická data chytit zdatné hackery, kteří používají nekonvenční metody, které by mohlo být obtížné detekovat v reálném čase.
ideálním scénářem je začlenit HID i NID, protože se navzájem doplňují. NIDS nabízí rychlejší dobu odezvy, zatímco HID mohou identifikovat škodlivé datové pakety, které pocházejí z podnikové sítě.
podívejte se na video níže a dozvíte se více o rozdílu mezi NID a HID.