Wat is een Intrusion Detection System (IDs)?
een Intrusion Detection System (IDs) bewaakt het netwerkverkeer op verdachte activiteiten en bekende bedreigingen en geeft waarschuwingen wanneer dergelijke activiteiten worden ontdekt.
in wezen is een IDS een pakketsniffer die anomalieën detecteert in datapakketten die langs verschillende kanalen reizen. Hun rol is om:
- monitorsystemen. Beoordeel en evalueer routers, firewalls, key management servers en bestanden, om cyberaanvallen aan te pakken.
- onderzoekssysteem logs. Bekijk OS audit trails en andere logs om systemen te verfijnen voor een betere bescherming.
- Identificeer het ontwerp van typische aanvallen. Match aanval handtekening databases met informatie van het systeem.
typen Intrusion Detection Systems
een intrusion detection system wordt in grote lijnen gecategoriseerd op basis van de plaats waar de IDS-sensoren zijn geplaatst: netwerk of host.
Network Intrusion Detection System
een netwerkgebaseerd intrusion detection system (NIDS) bewaakt en analyseert netwerkverkeer op verdacht gedrag en reële bedreigingen met behulp van Nid-sensoren. Het onderzoekt de inhoud en header informatie van alle pakketten bewegen over het netwerk.
de NID-sensoren worden op cruciale punten in het netwerk geplaatst om het verkeer van alle apparaten op het netwerk te inspecteren. Zo worden NID-sensoren geïnstalleerd op het subnet waar firewalls zich bevinden om Denial of Service (DoS) en andere dergelijke aanvallen te detecteren.
Host Intrusion Detection System
een host-based intrusion detection system (HIDS) bewaakt en analyseert de systeemconfiguratie en toepassingsactiviteit voor apparaten die op het bedrijfsnetwerk worden uitgevoerd. De HIDS-sensoren kunnen op elk apparaat worden geïnstalleerd, ongeacht of het een desktop-PC of een server is.
HIDS-sensoren maken in wezen een snapshot van bestaande systeembestanden en vergelijken deze met eerdere snapshots. Ze zoeken naar onverwachte wijzigingen, zoals overschrijven, verwijderen en toegang tot bepaalde poorten. Daarom worden er waarschuwingen naar beheerders gestuurd om activiteiten te onderzoeken die dubieus lijken.
ze zijn een zeer effectief instrument tegen insiderdreigingen. HIDS kan wijzigingen in bestandsmachtigingen en ongebruikelijke client-server-verzoeken identificeren, wat over het algemeen een perfect brouwsel is voor interne aanvallen. Daarom is het geen verrassing dat HIDS vaak wordt gebruikt voor bedrijfskritische machines die naar verwachting niet zullen veranderen.
NIDS vs. HIDS: Wat is het verschil?
elk van deze inbraakdetectiesystemen heeft zijn eigen sterke punten. NIDS werkt in real-time, wat betekent dat het live data bijhoudt en problemen markeert als ze gebeuren. Aan de andere kant, HIDS onderzoekt Historische gegevens savvy hackers die gebruik maken van niet-conventionele methoden die moeilijk te detecteren in real-time te vangen.
het ideale scenario is om zowel HID ’s als NID’ s op te nemen omdat ze elkaar aanvullen. NIDS biedt snellere responstijd, terwijl HIDS kwaadaardige datapakketten kan identificeren die afkomstig zijn van het bedrijfsnetwerk.
bekijk de video hieronder voor meer informatie over het verschil tussen NID ’s en HID’ s.