Vad är ett intrångsdetekteringssystem (IDS)?
ett Intrusion Detection System (IDS) övervakar nätverkstrafik för misstänkta aktiviteter och kända hot och utfärdar varningar när sådana aktiviteter upptäcks.
i huvudsak är en IDS en paketsniffer som upptäcker avvikelser i datapaket som reser längs olika kanaler. Deras roll är att:
- övervaka system. Utvärdera och utvärdera routrar, brandväggar, nyckelhanteringsservrar och filer för att hantera cyberattacker.
- forskningssystem loggar. Visa OS – granskningsspår och andra loggar för att finjustera system för bättre skydd.
- identifiera utformningen av typiska attacker. Matcha Attack signatur databaser med information från systemet.
typer av intrångsdetekteringssystem
ett intrångsdetekteringssystem kategoriseras i stort sett baserat på var IDS-sensorerna är placerade: nätverk eller värd.
Network Intrusion Detection System
ett nätverksbaserat intrusion detection system (NIDS) övervakar och analyserar nätverkstrafik för misstänkt beteende och verkliga hot med hjälp av NIDS-sensorer. Den granskar innehållet och rubrikinformationen för alla paket som rör sig över nätverket.
Nids-sensorerna placeras på viktiga punkter i nätverket för att inspektera trafik från alla enheter i nätverket. Till exempel installeras Nids-sensorer på delnätet där brandväggar finns för att upptäcka dos (Denial of Service) och andra sådana attacker.
Host Intrusion Detection System
ett värdbaserat intrusion detection system (HIDS) övervakar och analyserar systemkonfiguration och applikationsaktivitet för enheter som körs på företagsnätverket. HIDS-sensorerna kan installeras på vilken enhet som helst, oavsett om det är en stationär dator eller en server.
HIDS-sensorer tar i huvudsak en ögonblicksbild av befintliga systemfiler och jämför dem med tidigare ögonblicksbilder. De letar efter oväntade ändringar, till exempel överskrivning, radering och åtkomst till vissa portar. Följaktligen skickas varningar till administratörer för att undersöka aktiviteter som verkar osäkra.
de är ett mycket effektivt verktyg mot insiderhot. HIDS kan identifiera filtillståndsändringar och ovanliga klient-serverförfrågningar, vilket i allmänhet tenderar att vara en perfekt sammansättning för interna attacker. Därför borde det inte bli någon överraskning att HIDS ofta används för uppdragskritiska maskiner som inte förväntas förändras.
NIDS vs. HIDS: Vad är skillnaden?
var och en av dessa intrångsdetekteringssystem har sina egna styrkor. NIDS fungerar i realtid, vilket innebär att det spårar levande data och flaggar problem när de händer. Å andra sidan undersöker HIDS historiska data för att fånga kunniga hackare som använder icke-konventionella metoder som kan vara svåra att upptäcka i realtid.
det ideala scenariot är att införliva både HIDS och NIDS eftersom de kompletterar varandra. NIDS erbjuder snabbare svarstid medan HIDS kan identifiera skadliga datapaket som kommer från företagets nätverk.
titta på videon nedan för att lära dig mer om skillnaden mellan NIDS och HIDS.