mi az a behatolásérzékelő rendszer (IDS)?
a behatolásérzékelő rendszer (IDS) figyeli a hálózati forgalmat gyanús tevékenységek és ismert fenyegetések után, és riasztásokat ad ki, amikor ilyen tevékenységeket fedeznek fel.
lényegében az IDS egy csomagszippantó, amely észleli a különböző csatornák mentén haladó adatcsomagok rendellenességeit. Szerepük az, hogy:
- Monitor rendszerek. Értékelje és értékelje az útválasztókat, tűzfalakat, kulcskezelő szervereket és fájlokat a kibertámadások kezelése érdekében.
- kutatási rendszer naplók. Tekintse OS audit pályák és egyéb naplók finomhangolása rendszerek jobb védelmet.
- határozza meg a tipikus támadások kialakítását. Match támadás aláírás adatbázisok információkat a rendszer.
a behatolásérzékelő rendszerek típusai
a behatolásérzékelő rendszereket széles körben kategorizálják az IDS érzékelők elhelyezése alapján: hálózat vagy gazdagép.
hálózati behatolásérzékelő rendszer
a hálózati behatolásérzékelő rendszer (Nids) Nids érzékelők segítségével figyeli és elemzi a hálózati forgalmat gyanús viselkedés és valós fenyegetések szempontjából. Megvizsgálja a hálózaton mozgó összes csomag tartalmát és fejléc információit.
a Nids érzékelők a hálózat kritikus pontjain helyezkednek el, hogy ellenőrizzék a hálózat összes eszközének forgalmát. Például Nids érzékelőket telepítenek az alhálózatra, ahol a tűzfalak találhatók a szolgáltatásmegtagadás (Dos) és más hasonló támadások észlelésére.
gazdagép-behatolásérzékelő rendszer
a gazdagép-alapú behatolásérzékelő rendszer (HIDS) figyeli és elemzi a vállalati hálózaton futó eszközök rendszerkonfigurációját és alkalmazási tevékenységét. A HIDS érzékelők bármilyen eszközre telepíthetők, függetlenül attól, hogy asztali PC-ről vagy szerverről van szó.
a HIDS érzékelők lényegében pillanatfelvételt készítenek a meglévő rendszerfájlokról, és összehasonlítják azokat a korábbi pillanatképekkel. Váratlan változásokat keresnek, például felülírást, törlést és bizonyos portokhoz való hozzáférést. Következésképpen riasztásokat küldenek az adminisztrátoroknak, hogy kivizsgálják azokat a tevékenységeket, amelyek zavarosnak tűnnek.
rendkívül hatékony eszköz a bennfentes fenyegetések ellen. A HIDS képes azonosítani a fájlengedély-változásokat és a szokatlan kliens-szerver kéréseket, ami általában tökéletes megoldás a belső támadásokhoz. Ezért nem meglepő, hogy a HIDS-t gyakran használják olyan kritikus gépekhez, amelyek várhatóan nem változnak.
NIDS vs. HIDS: mi a különbség?
ezen behatolásérzékelő rendszerek mindegyikének megvan a maga erőssége. A NIDS valós időben működik, ami azt jelenti, hogy nyomon követi az élő adatokat és jelzi a problémákat. Másrészt a HIDS megvizsgálja a történelmi adatokat, hogy elkapja a hozzáértő hackereket, amelyek nem hagyományos módszereket használnak, amelyeket nehéz lehet valós időben felismerni.
az ideális forgatókönyv mind a HIDS, mind a NID beépítése, mivel kiegészítik egymást. A NIDS gyorsabb válaszidőt kínál, míg a HIDS képes azonosítani a vállalati hálózaton belülről származó rosszindulatú adatcsomagokat.
nézze meg az alábbi videót, hogy többet megtudjon a NIDS és a HIDS közötti különbségről.