Hvad er et Intrusion Detection System (IDS)?
et Intrusion Detection System (IDS) overvåger netværkstrafik for mistænkelige aktiviteter og kendte trusler og udsender advarsler, når sådanne aktiviteter opdages.
i det væsentlige er en IDS en pakke sniffer, der registrerer anomalier i datapakker, der rejser langs forskellige kanaler. Deres rolle er at:
- Overvåg systemer. Vurdere og evaluere routere, brandvægge, nøglehåndteringsservere og filer for at tackle cyberangreb.
- forskning system logs. Se os-revisionsspor og andre logfiler for at finjustere systemer for bedre beskyttelse.
- Identificer designet af typiske angreb. Match angreb signatur databaser med oplysninger fra systemet.
typer af Intrusion Detection Systems
et intrusion detection system er bredt kategoriseret baseret på hvor IDS sensorer er placeret: netværk eller vært.
netværk Intrusion Detection System
et netværksbaseret intrusion detection system (NIDS) overvåger og analyserer netværkstrafik for mistænkelig adfærd og reelle trusler ved hjælp af Nids sensorer. Det undersøger indholdet og overskriftsoplysningerne for alle pakker, der bevæger sig på tværs af netværket.
Nids-sensorerne er placeret på afgørende punkter i netværket for at inspicere trafik fra alle enheder på netværket. For eksempel er Nids-sensorer installeret på undernettet, hvor brandvægge er placeret for at opdage lammelsesangreb (Dos) og andre sådanne angreb.
Host Intrusion Detection System
et host-based intrusion detection system (HIDS) overvåger og analyserer systemkonfiguration og applikationsaktivitet for enheder, der kører på virksomhedsnetværket. HIDS-sensorerne kan installeres på enhver enhed, uanset om det er en stationær PC eller en server.
HIDS-sensorer tager i det væsentlige et øjebliksbillede af eksisterende systemfiler og sammenligner dem med tidligere snapshots. De ser efter uventede ændringer, såsom overskrivning, sletning og adgang til bestemte porte. Derfor sendes advarsler til administratorer for at undersøge aktiviteter, der synes iffy.
de er et yderst effektivt værktøj mod insider trusler. HIDS kan identificere filtilladelsesændringer og usædvanlige klient-serveranmodninger, som generelt har tendens til at være en perfekt sammensætning for interne angreb. Derfor bør det ikke komme som nogen overraskelse, at HIDS ofte bruges til missionskritiske maskiner, der ikke forventes at ændre sig.
NIDS vs. HIDS: Hvad er forskellen?
hvert af disse indbrudsdetekteringssystemer har deres egne styrker. NIDS arbejder i realtid, hvilket betyder, at det sporer live data og flag problemer, som de sker. På den anden side undersøger HIDS Historiske data for at fange kyndige hackere, der bruger ikke-konventionelle metoder, der kan være vanskelige at opdage i realtid.
det ideelle scenario er at indarbejde både HIDS og NID ‘ er, da de supplerer hinanden. NIDS tilbyder hurtigere responstid, mens HIDS kan identificere ondsindede datapakker, der stammer fra virksomhedens netværk.
se videoen nedenfor for at lære mere om forskellen mellem NIDS og HIDS.