ce este un sistem de detectare a intruziunilor (IDS)?
un sistem de detectare a intruziunilor (IDS) monitorizează traficul de rețea pentru activități suspecte și amenințări cunoscute și emite alerte atunci când astfel de activități sunt descoperite.
în esență, un IDS este un sniffer de pachete care detectează anomalii în pachetele de date care călătoresc de-a lungul diferitelor canale. Rolul lor este de a:
- sisteme de monitorizare. Evaluați și evaluați routerele, firewall-urile, serverele de gestionare a cheilor și fișierele, pentru a face față atacurilor cibernetice.
- jurnalele sistemului de cercetare. Vizualizați traseele de audit ale sistemului de operare și alte jurnale pentru a regla sistemele pentru o mai bună protecție.
- identificați proiectarea atacurilor tipice. Potriviți bazele de date cu semnături de atac cu informații din sistem.
tipuri de sisteme de detectare a intruziunilor
un sistem de detectare a intruziunilor este clasificat în general în funcție de locul în care sunt plasați senzorii IDS: rețea sau gazdă.
sistem de detectare a intruziunilor în rețea
un sistem de detectare a intruziunilor bazat pe rețea (NIDS) monitorizează și analizează traficul de rețea pentru un comportament suspect și amenințări reale cu ajutorul senzorilor NIDS. Acesta examinează informațiile de conținut și antet ale tuturor pachetelor care se deplasează în rețea.
senzorii NIDS sunt amplasați în puncte cruciale din rețea pentru a inspecta traficul de pe toate dispozitivele din rețea. De exemplu, senzorii NIDS sunt instalați pe subrețea unde sunt localizate firewall-urile pentru a detecta Denial of Service (DoS) și alte astfel de atacuri.
Host Intrusion Detection System
un sistem de detectare a intruziunilor bazat pe gazdă (HIDS) monitorizează și analizează configurația sistemului și activitatea aplicației pentru dispozitivele care rulează în rețeaua întreprinderii. Senzorii HIDS pot fi instalați pe orice dispozitiv, indiferent dacă este un computer desktop sau un server.
senzorii HIDS fac în esență un instantaneu al fișierelor de sistem existente și le compară cu instantaneele anterioare. Ei caută modificări neașteptate, cum ar fi suprascrierea, ștergerea și accesul la anumite porturi. În consecință, alertele sunt trimise administratorilor pentru a investiga activitățile care par a fi nesigure.
sunt un instrument extrem de eficient împotriva amenințărilor din interior. HIDS poate identifica modificările permisiunilor de fișiere și cererile neobișnuite client-server, care, în general, tinde să fie un amestec perfect pentru atacurile interne. De aceea, nu ar trebui să fie o surpriză faptul că HIDS este adesea folosit pentru mașini critice pentru misiune care nu se așteaptă să se schimbe.
NIDS vs. HIDS: care este diferența?
fiecare dintre aceste sisteme de detectare a intruziunilor vin cu propriile lor forte. NIDS funcționează în timp real, ceea ce înseamnă că urmărește problemele de date și steaguri live pe măsură ce se întâmplă. Pe de altă parte, HIDS examinează datele istorice pentru a prinde hackeri pricepuți care folosesc metode neconvenționale care ar putea fi dificil de detectat în timp real.
scenariul ideal este de a încorpora atât HIDS, cât și NIDS, deoarece se completează reciproc. NIDS oferă un timp de răspuns mai rapid, în timp ce HIDS poate identifica pachetele de date rău intenționate care provin din interiorul rețelei întreprinderii.
Urmăriți videoclipul de mai jos pentru a afla mai multe despre diferența dintre NIDS și HIDS.