Tunkeutumisen havaitsemisjärjestelmä (IDS) ylläpitää verkkoliikennettä, joka etsii epätavallista toimintaa ja lähettää hälytyksiä sen tapahtuessa. Tunkeutumisen havaitsemisjärjestelmän (IDS) päätehtävät ovat poikkeamien havaitseminen ja raportoiminen, mutta tietyt tunkeutumisen havaitsemisjärjestelmät voivat ryhtyä toimiin, kun haitallista toimintaa tai epätavallista liikennettä havaitaan. Tässä artikkelissa käsittelemme kaikkia tunkeutumisen havaitsemisjärjestelmää koskevia kohtia.

Mikä on tunkeutumisen tunnistusjärjestelmä?

IDS (Intrusion Detection System) -niminen järjestelmä tarkkailee verkkoliikennettä haitallisten tapahtumien varalta ja lähettää välittömiä hälytyksiä, kun se havaitaan. Se on ohjelmisto, joka tarkistaa verkon tai järjestelmän haitallisten toimien tai käytäntörikkomusten varalta. Jokainen laiton toiminta tai rikkomus kirjataan usein joko keskitetysti SIEM-järjestelmän avulla tai niistä ilmoitetaan hallinnolle. IDS valvoo verkkoa tai järjestelmää haitallisen toiminnan varalta ja suojaa tietokoneverkkoa käyttäjien, myös sisäpiiriläisten, luvattomalta käytöltä. Tunkeutumisen ilmaisimen oppimistehtävä on rakentaa ennustava malli (eli luokitin), joka pystyy erottamaan 'huonot yhteydet' (tunkeutuminen/hyökkäykset) ja 'hyvät (normaalit) yhteydet'.

Tunkeutumisen tunnistusjärjestelmän (IDS) toiminta

• IDS (Intrusion Detection System) monitorit liikenne tiellä a tietokoneverkko havaitaksesi epäilyttävän toiminnan.
• Se analysoi verkon läpi virtaavan tiedon etsiäkseen malleja ja merkkejä epänormaalista käyttäytymisestä.
• IDS vertaa verkon toimintaa ennalta määritettyihin sääntöihin ja malleihin tunnistaakseen toiminnan, joka saattaa viitata hyökkäykseen tai tunkeutumiseen.
• Jos IDS havaitsee jotain, joka vastaa jotakin näistä säännöistä tai kaavoista, se lähettää hälytyksen järjestelmänvalvojalle.
• Järjestelmänvalvoja voi sitten tutkia hälytyksen ja ryhtyä toimiin estääkseen vahingot tai lisätunkeutumisen.

Tunkeutumisen havaitsemisjärjestelmän (IDS) luokitus

Tunkeutumisen tunnistusjärjestelmät luokitellaan viiteen tyyppiin:

• Network Intrusion Detection System (NIDS): Verkon tunkeutumisen havaitsemisjärjestelmät (NIDS) määritetään suunniteltuun kohtaan verkossa tutkimaan liikennettä kaikista verkon laitteista. Se tarkkailee koko aliverkossa kulkevaa liikennettä ja sovittaa aliverkoissa välitetyn liikenteen tunnettujen hyökkäysten kokoelmaan. Kun hyökkäys havaitaan tai havaitaan epänormaalia toimintaa, hälytys voidaan lähettää järjestelmänvalvojalle. Esimerkki NIDS:stä on sen asentaminen aliverkkoon, jossa palomuurit sijaitsevat, jotta voidaan nähdä, yrittääkö joku murtaa sen palomuuri .

• Host Intrusion Detection System (HIDS): Isäntätunkeutumisen havaitsemisjärjestelmät (HIDS) toimivat riippumattomilla isännillä tai verkon laitteilla. HIDS valvoo vain laitteelta saapuvia ja lähteviä paketteja ja hälyttää järjestelmänvalvojalle, jos epäilyttävää tai haitallista toimintaa havaitaan. Se ottaa tilannekuvan olemassa olevista järjestelmätiedostoista ja vertaa sitä edelliseen tilannekuvaan. Jos analyyttisiä järjestelmätiedostoja on muokattu tai poistettu, järjestelmänvalvojalle lähetetään hälytys tutkittavaksi. Esimerkki HIDS:n käytöstä on nähtävissä kriittisissä koneissa, joiden ulkoasua ei odoteta muuttavan.

Tunkeutumisen havaitsemisjärjestelmä (IDS)

• Protokollapohjainen tunkeutumisen havaitsemisjärjestelmä (PIDS): Protocol-based intrusion detection system (PIDS) käsittää järjestelmän tai agentin, joka olisi jatkuvasti palvelimen etupäässä ohjaten ja tulkitseen käyttäjän/laitteen ja palvelimen välistä protokollaa. Se yrittää suojata verkkopalvelinta seuraamalla säännöllisesti HTTPS-protokolla stream ja hyväksymällä siihen liittyvä HTTP-protokolla . Koska HTTPS on salaamaton ja ennen kuin se siirtyy välittömästi sen web-esityskerrokseen, tämän järjestelmän on oltava tässä käyttöliittymässä HTTPS:n käyttämiseksi.
• Application Protocol-based Intrusion Detection System (APIDS): Hakemus Protokollapohjainen tunkeutumisen tunnistusjärjestelmä (APIDS) on järjestelmä tai agentti, joka yleensä sijaitsee palvelinryhmän sisällä. Se tunnistaa tunkeutumisen tarkkailemalla ja tulkitsemalla sovelluskohtaisten protokollien viestintää. Tämä esimerkiksi valvoisi SQL-protokollaa nimenomaisesti väliohjelmistolle, kun se toimii verkkopalvelimen tietokannan kanssa.
• Hybridi tunkeutumisen tunnistusjärjestelmä: Hybridi tunkeutumisen havaitsemisjärjestelmä on tehty yhdistämällä kaksi tai useampi lähestymistapa tunkeutumisen havaitsemisjärjestelmään. Hybriditunkeutumisen havaitsemisjärjestelmässä isäntäagentti tai järjestelmätiedot yhdistetään verkkotietoihin kokonaiskuvan muodostamiseksi verkkojärjestelmästä. Hybridi tunkeutumisen havainnointijärjestelmä on tehokkaampi verrattuna muihin tunkeutumisen havainnointijärjestelmiin. Prelude on esimerkki Hybrid IDS:stä.

Tunkeutumisen havaitsemisjärjestelmän evaasiotekniikat

• Hajanaisuus: Paketin jakaminen pienemmäksi paketiksi, jota kutsutaan fragmentiksi, ja prosessi tunnetaan nimellä pirstoutuminen . Tämä tekee tunkeutumisen tunnistamisen mahdottomaksi, koska haittaohjelmaallekirjoitusta ei voi olla.
• Pakettikoodaus: Pakettien koodaus käyttäen menetelmiä, kuten Base64 tai heksadesimaali, voi piilottaa haitallisen sisällön allekirjoituspohjaiselta IDS:ltä.
• Liikenteen hämärtäminen: Tekemällä viestin tulkinnasta monimutkaisempaa, hämärtämistä voidaan käyttää hyökkäyksen piilottamiseen ja havaitsemisen välttämiseen.
• Salaus: Useita turvaominaisuuksia, kuten tietojen eheys, luottamuksellisuus ja tietosuoja, tarjoaa salaus . Valitettavasti haittaohjelmien kehittäjät käyttävät suojausominaisuuksia piilottaakseen hyökkäykset ja välttääkseen havaitsemisen.

IDS:n edut

• Havaitsee haitallisen toiminnan: IDS voi havaita kaikki epäilyttävät toiminnot ja varoittaa järjestelmänvalvojaa ennen kuin merkittäviä vahinkoja tapahtuu.
• Parantaa verkon suorituskykyä: IDS voi tunnistaa kaikki verkon suorituskykyongelmat, jotka voidaan korjata verkon suorituskyvyn parantamiseksi.
• Vaatimustenmukaisuus: IDS voi auttaa vaatimustenmukaisuusvaatimusten täyttämisessä valvomalla verkon toimintaa ja luomalla raportteja.
• Tarjoaa oivalluksia: IDS tuottaa arvokasta tietoa verkkoliikenteestä, jonka avulla voidaan tunnistaa mahdolliset heikkoudet ja parantaa verkon turvallisuutta.

IDS:n tunnistusmenetelmä

• Allekirjoitukseen perustuva menetelmä: Allekirjoituspohjainen IDS havaitsee hyökkäykset tiettyjen mallien perusteella, kuten tavujen tai ykkösten lukumäärän tai nollien määrän verkkoliikenteessä. Se havaitsee myös jo tunnetun haittaohjelman käyttämän haitallisen käskysarjan perusteella. IDS:ssä havaitut kuviot tunnetaan allekirjoituksina. Allekirjoituspohjainen IDS tunnistaa helposti hyökkäykset, joiden malli (allekirjoitus) on jo olemassa järjestelmässä, mutta uusia haittaohjelmahyökkäyksiä on melko vaikea havaita, koska niiden mallia (allekirjoitusta) ei tunneta.
• Anomaliaan perustuva menetelmä: Poikkeamiin perustuva IDS otettiin käyttöön tunnistamaan tuntemattomat haittaohjelmahyökkäykset, kun uusia haittaohjelmia kehitetään nopeasti. Anomaliapohjaisessa IDS:ssä käytetään koneoppimista luomaan luotettava toimintamalli ja kaikkea tulevaa verrataan siihen malliin ja se julistetaan epäilyttäväksi, jos sitä ei löydy mallista. Koneoppimiseen perustuvalla menetelmällä on paremmin yleistetty ominaisuus verrattuna allekirjoituspohjaiseen IDS:ään, koska näitä malleja voidaan kouluttaa sovellusten ja laitteistokokoonpanojen mukaan.

IDS:n vertailu palomuureihin

IDS ja palomuuri liittyvät molemmat verkon turvallisuuteen, mutta IDS eroaa a palomuuri palomuurina etsii ulospäin tunkeutumisia estääkseen niitä tapahtumasta. Palomuurit rajoittavat pääsyä verkkojen välillä tunkeutumisen estämiseksi, ja jos hyökkäys tulee verkon sisältä, se ei anna signaalia. IDS kuvaa epäiltyä tunkeutumista, kun se on tapahtunut, ja antaa sitten hälytyksen.

IDS:n sijoittaminen

• Optimaalisin ja yleisin sijainti IDS:n sijoittamiselle on palomuurin takana. Vaikka tämä asema vaihtelee verkon mukaan. Palomuurin takana oleva sijoittelu mahdollistaa IDS:n hyvän näkyvyyden tulevalle verkkoliikenteelle, eikä se vastaanota liikennettä käyttäjien ja verkon välillä. Verkkopisteen reuna tarjoaa verkolle mahdollisuuden liittyä ekstranetiin.
• Tapauksissa, joissa IDS on sijoitettu verkon palomuurin ulkopuolelle, se suojaa Internetin aiheuttamalta melulta tai hyökkäyksiltä, ​​kuten porttien skannauksilta ja verkkokartoittajalta. Tässä asennossa oleva IDS valvoisi verkon kerroksia 4–7. OSI malli ja käyttäisi allekirjoituspohjaista tunnistusmenetelmää. Palomuurin läpi pääseneiden todellisten rikkomusten määrän näyttäminen on parempi, koska se vähentää väärien positiivisten tulosten määrää. Menestyneiden verkkohyökkäysten havaitseminen vie myös vähemmän aikaa.
• Palomuuriin yhdistettyä edistynyttä IDS:ää voidaan käyttää verkkoon tulevien monimutkaisten hyökkäysten sieppaamiseen. Edistyneen IDS:n ominaisuudet sisältävät useita suojauskonteksteja reititys- ja siltaustilassa. Kaikki tämä puolestaan ​​mahdollisesti vähentää kustannuksia ja toiminnan monimutkaisuutta.
• Toinen vaihtoehto IDS-sijoittelulle on verkon sisällä. Tämä valinta paljastaa hyökkäykset tai epäilyttävän toiminnan verkossa. Verkon sisäisen turvallisuuden tunnustamatta jättäminen on haitallista, koska se voi antaa käyttäjille mahdollisuuden aiheuttaa tietoturvariskejä tai antaa järjestelmään murtautuneen hyökkääjän liikkua vapaasti.

Johtopäätös

Intrusion Detection System (IDS) on tehokas työkalu, joka voi auttaa yrityksiä havaitsemaan ja estämään luvattoman pääsyn verkkoonsa. Analysoimalla verkon liikennemalleja IDS voi tunnistaa kaikki epäilyttävät toiminnot ja varoittaa järjestelmänvalvojaa. IDS voi olla arvokas lisä minkä tahansa organisaation tietoturvainfrastruktuuriin, mikä tarjoaa oivalluksia ja parantaa verkon suorituskykyä.

Usein kysytyt kysymykset tunkeutumisen havaitsemisjärjestelmästä – UKK

Ero IDS:n ja IPS:n välillä?

Kun IDS havaitsee tunkeutumisen, se hälyttää vain verkon hallinnasta Tunkeutumisen estojärjestelmä (IPS) estää haitalliset paketit ennen kuin ne saavuttavat määränpäähän.

Mitkä ovat IDS-toteutuksen tärkeimmät haasteet?

Väärät positiiviset ja väärät negatiiviset ovat IDS:n ensisijaisia ​​haittoja. Väärät positiiviset lisäävät kohinaa, joka voi vakavasti heikentää tunkeutumisen havainnointijärjestelmän (IDS) tehokkuutta, kun taas väärä negatiivinen tulos syntyy, kun IDS huomaa tunkeutumisen ja pitää sitä pätevänä.

Voiko IDS havaita sisäpiiriuhat?

Kyllä Tunkeutumisen tunnistusjärjestelmä voi havaita uhkia.

Mikä on koneoppimisen rooli IDS:ssä?

Käyttämällä Koneoppiminen , voidaan saavuttaa korkea tunnistustaajuus ja alhainen väärien hälytysten määrä.