IDS (Intrusion Detection), așa cum sugerează și numele, este de a găsi intruziune. Prin colecția sa la o rețea de calculatoare sau de sistemul informatic un număr de puncte-cheie și să analizeze informații, și a găsit politica de rețea sau de sistem de securitate este o încălcare de comportament și de semne de a fi atacat.

Introducere de bază

IDS (Intrusion Detection) este detectarea intruziunilor. Ea face acest lucru prin colectarea și analiza comportamentul de rețea, bustean de securitate, date de audit, informații cu privire la alte rețele pot obține sisteme de informare și de calculatoare de o serie de puncte-cheie, comportamentul și semne de violare a politicii de securitate este acela de a verifica dacă există un atac de rețea sau de sistem. De detectare a intruziunilor ca tehnologii proactive de securitate, oferă atacuri interne și atacuri externe și utilizarea abuzivă a sistemelor de protecție, în timp real de rețea compromise înainte de interceptare și să răspundă la intruziuni. Prin urmare, considerat a fi cel de-al doilea poarta de securitate în spatele firewall-ului, fără a afecta performanța rețelei pot fi monitorizate în rețea. De detectare a intruziunilor se realizează prin efectuarea următoarele sarcini: monitor, analiza activitatea de utilizator și sistem; de configurare a sistemului și de audit vulnerabilitate, identifică modele ale activității reflectă cunoscut alarma de atac a părților interesate, o analiză statistică a modelelor de comportament anormal, evaluarea sistemelor critice și a datelor fișier de integritate, managementul pistă de audit de sistem de operare, și să identifice utilizatorii care încalcă comportament politica de securitate.

Detectare a intruziunilor este un plus logic de firewall-ul, sistemul de ajutor pentru a face față atacurilor de rețea, extinde capacitatea de management de securitate a administratorului de sistem (inclusiv audituri de securitate, supraveghere, recunoaștere atac și răspuns), pentru a îmbunătăți integritatea infrastructurii de securitate a informațiilor. Colectează informații de la o serie de puncte-cheie într-un sistem de rețea de calculatoare, și să analizeze aceste informații pentru a vedea dacă există un comportament încălcare a politicii de securitate a rețelei și a atacat semne. De detectare a intruziunilor este considerat a fi de-a doua poarta de securitate în spatele firewall-ului, fără a afecta performanța rețelei pot fi monitorizate în rețea, oferind astfel atacurile interne și atacuri externe și de abuz în protecția în timp real.

Acestea sunt prin aceasta îndeplinește următoarele sarcini pentru a realiza:

· Monitor, analiza activitatea de utilizator și de sistem

• Configurația sistemului și de audit vulnerabilitatea

· Identifica modele de activitate reflectă cunoscută atacul a părților interesate de poliție

Analiza statistică · modele de comportament anormal

· Evaluarea integritatea sistemului critic și fișiere de date

Management audit, și să identifice utilizatorii care încalcă comportament politica de securitate · sistem de operare.

Pentru un sistem de detectare a intruziunilor de succes este în cauză, acesta nu numai că permite administratorilor de sistem ști întotdeauna sistemul de rețea (inclusiv programe, fișiere și dispozitive hardware, etc) de orice modificări, dar, de asemenea, la dezvoltarea politicii de securitate a rețelei pentru a oferi îndrumare. Punct mai important este că ar trebui să gestioneze, de configurare simplu, astfel încât non-profesioniști este foarte ușor pentru a obține de securitate a rețelei. Mai mult decât atât, scara de detectare a intruziunilor de rețea trebuie să se bazeze pe o amenințare de a schimba configurația sistemului și de nevoile de securitate schimbarea. Sisteme de detectare a intruziunilor, după descoperirea a invaziei, va raspunde prompt, inclusiv tăierea accesului la Internet, evenimente și alarme jurnal.

Clasificare

Sistem de tehnologie de detectare a intruziunilor utilizat pot fi împărțite în două tipuri de detectare caracteristică și detectarea anomaliilor.

Detectare caracteristică

Detectare caracteristică (detectare bazată pe semnături), de asemenea, cunoscut sub numele de detectare Abuzul, presupunând că activitatea de detectare a intrus poate fi reprezentat de un model,

scopul este de a detecta principalele activități ale sistemului îndeplinește aceste moduri. Acesta poate fi metoda invaziva a fost verificat, dar nimic noi metode de intruziune. Dificultatea constă în modul de a proiecta un model nu numai pentru a exprima activitățile normale fenomenului "invazie" nu va cuprinde.

Anomaly Detection

Anomalie de detectare (detectarea anomaliilor), în ipoteza în care intrusul Evenimente anomalii la subiecții sănătoși. Ideea principală a instituției de "profil de activitate" normal activitate va fi subiectul statutul actual al activităților față de "profilul activ", în condițiile legii atunci când încălcarea de statisticile lor, că activitatea ar putea fi "invadat" de comportament. Anomalie problemă de detectare este cum de a construi "profilul activ", și cum de a proiecta algoritmi statistice, astfel încât să nu funcționare normală ca "invazie", sau ignora adevarata "invazie" comportamentul.

Clasificare a intruziunilor

1) Host-based

Principala utilizare a sistemului de operare în jurnalele de urmărire generale de audit ca o sursă de date, unii vor să ia inițiativa de a interacționa cu sistemul gazdă nu există în sistem pentru a obține informații în jurnal pentru a detecta intruziuni. Acest tip de sistem de detectare nu necesită hardware suplimentar. Traficul în rețea nu este sensibil la randament ridicat, de poziționare exacte și răspuns intruziune în timp util, dar resurse gazdă dependente de gazdă viu de încredere poate detecta tipuri de atac este limitată. Nu poate detecta atacurile de rețea.

Rețea 2) pe bază de

Pasiv de a monitoriza rețeaua de transport pe traficul inițial în rețea pentru a prelucra datele obținute pentru a extrage informații utile, și apoi prin meciul cu un cunoscut de semnături de atac sau prototip, comparativ cu comportamentul normal de rețea pentru a identifica atacurile. Un astfel de sistem de detectare a nu se bazeaza pe sistemul de operare ca o resurse de testare pot fi folosite în diferite platforme de sistem de operare, profilul de configurare. Singur, nu are nevoie de nici audit speciale și mecanisme de exploatare forestieră; protocol poate detecta atac, mediu specific de atac și alte atacuri.

Dar se poate monitoriza numai segment de rețea prin intermediul activităților, nu poate obține statutul de timp real a sistemului de gazdă, precizia este slabă. Cele mai multe instrumente de detectare a intruziunilor sunt sisteme de detectare a intruziunii bazate pe rețea.

3) distribuită

Acest lucru este distribuit, în general, structura sistem de detectare a intruziunilor, o pluralitate de componente, gazda cheie folosind detectarea gazdă a intruziunilor, un nod important în rețeaua folosind un sistem de detectare a intruziunilor de rețea, precum și analiza istoricelor de auditare din sistemul gazdă și fluxul de date de la rețeaua a determina dacă sistemul este sub protecție de atac [1].

Etapele de lucru

Pentru un sistem de detectare a intruziunilor de succes este în cauză, acesta nu numai că permite administratorilor de sistem ști întotdeauna sistemul de rețea (inclusiv programe, fișiere și dispozitive hardware, etc) de orice modificări, dar, de asemenea, la dezvoltarea politicii de securitate a rețelei pentru a oferi îndrumare. Punct mai important este că ar trebui să gestioneze, de configurare simplu, astfel încât non-profesioniști este foarte ușor pentru a obține de securitate a rețelei. Mai mult decât atât, scara de detectare a intruziunilor de rețea trebuie să se bazeze pe o amenințare de a schimba configurația sistemului și de nevoile de securitate schimbarea. Sisteme de detectare a intruziunilor, după descoperirea a invaziei, va raspunde prompt, inclusiv tăierea accesului la Internet, evenimente și alarme jurnal.

Termeni comune

Cu IDS (Intrusion Detection System) dezvoltarea de viteză asociate cu evoluția rapidă a aceeași terminologie. Acest articol vă arată unii termeni tehnici IDS, dintre care unele sunt foarte de bază și relativ comun, în timp ce altele sunt oarecum mai puțin frecvente. Având în vedere dezvoltarea rapidă a producătorilor IDS IDS, precum și unele influențe de pe piață, la diferiți producători pot utiliza același termen pentru a reprezenta sensuri diferite, ceea ce duce la sensul exact al anumitor termeni de apariția de haos. În acest sens, această lucrare va încerca să includă toți termenii sunt de vină.

Alerte

Atunci când o intruziune are loc sau are loc tentativa, sistem IDS va lansa un mesaj de alertă pentru a notifica administratorul de sistem. Dacă sistemele consola și IDS, cu o mașină, mesaj de alertă va fi afișat pe monitor poate fi, de asemenea, însoțit de vocale. În cazul în care consola de la distanță, apoi de alerta sistemului construit prin metoda IDS (de obicei criptate), SNMP (Simple Network Management Protocol, nu este de obicei criptate), modul mixt de e-mail, SMS (mesaje scurte) sau a trecut peste mai multe metode administrator.

Anomalie

(Anormale)

Atunci când există un eveniment cu un semnal potrivește un atac cunoscut, majoritatea IDS va alarma. Anomalie pe bază (anomalie) din IDS va construi contururile largi de o activitate gazdă sau rețea la momentul respectiv, atunci când există un eveniment dincolo de conturul are loc, IDS va alarma, cum ar fi a fost făcut înainte de el nu se face în atunci când, de exemplu, un utilizator a achiziționat dintr-o dată un administrator sau privilegii de root. Unii distribuitori IDS văzut această funcție metodă euristică, dar un IDS euristice ar trebui să aibă mai multe informații în ceea ce privește hotărârea sa raționament.

Aparat

(IDS Hardware)

În plus față de cei care doresc să instaleze în sistemele existente până software-ul IDS, rafturile de pe piață, puteți cumpăra unele hardware IDS gata, doar că ei pot accesa aplicații de rețea. Unele dintre hardware-ul disponibil IDS include CaptIO, Cisco Secure IDS, OpenSnort, Dragon și SecureNetPro.

Arahnide

Arahnide dezvoltate de Max Visi-o bază de date atac semnătură, care este actualizat în mod dinamic, pentru o varietate de sisteme de detectare a intruziunii bazate pe rețea.

ARIS: Atac Registrul & Serviciului de Informații (atacuri de înregistrare și a serviciilor de informații)

SecurityFocus ARIS este un serviciu suplimentar oferit de companie, care permite utilizatorilor să se conecteze la rețeaua de pe Internet anonim prezinte la incidentele de securitate a rețelei SecurityFocus, urmate de SecurityFocus va aceste date cu datele de la alți participanți la multe combina pentru a forma rețeaua de detaliat finală Siguranța analiză statistică și prognoză tendință, publicat pe web. Adresa URL da.

Atacuri

(Atac)

Atacurile poate fi înțeleasă ca o încercare de a se infiltreze în sistemul sau trece de politica de securitate de sistem, pentru a obține informații, modifica informații, și de a distruge rețeaua țintă sau caracteristica de sistem. Următoarele liste cele mai frecvente tipuri de atacuri de pe Internet pot fi detectate de IDS:

Atac de tip 1-DOS (atac denial of service, respingerea atacurilor asupra serviciului): atac DOS nu este de a submina securitatea unui sistem de hacking, face doar accident de sistem, sistemul a refuzat să furnizeze servicii utilizatorilor săi. Speciile sale includ buffer overflow, scurgere resurse de sistem prin intermediul torrent (inundații), și așa mai departe.

Atac de tip 2-DDOS (Distributed Denial of Service, Distributed Denial of Service atac): Un DOS standard de atacă folosind cantități mari de date la o gazdă la o gazdă de la distanță la atac, dar nu pot trimite suficient de pachet de informații pentru a obține rezultatele dorite, Astfel apare DDOS, care gazdă un obiectiv de atac multiple distribuite, resursele epuizate ale sistemului de la distanță, sau nu reușesc să facă legătura.

Atac de tip 3-Smurf: Acesta este un atac de modă veche apărea, de asemenea, atacatorul folosește o adresă sursă falsă a obiectivului de atac la ping pălărie amplificator la o adresă de difuzare, atunci toate activitățile vor găzdui răspuns la țintă, întrerupând astfel conexiune la rețea.

Atac de tip 4-troieni (cal troian): Trojan Acest termen provine de la grecii antici utilizate atacurile cal troian, troieni în posesia de soldați greci, în cazul în care troienii transportate în oraș, soldații turnat din oras si locuitorii sai pentru troienii atac. În terminologia calculator, se referă la cei care au avut forma unui program de software legitim apare, de fapt, adapostirea software rău intenționat. Astfel, atunci când utilizatorul execută programul legitim, în necunoștință, a fost instalat software rău intenționat. Cu toate acestea, deoarece majoritatea programelor malware instalat în această formă sunt instrumente de control de la distanță, pe termen troian a evoluat în curând pentru a se referi în mod special la astfel de instrumente, astfel BackOrifice, SubSeven, NetBus așa.

Răspuns automat

(Răspuns automat)

În plus, pentru a emite o alertă pentru atacuri, unele IDS poate rezista în mod automat aceste atacuri. Există mai multe modalități de a rezista: În primul rând, puteți re-configura router și firewall, respinge fluxul de informații de la aceeași adresă, în al doilea rând, prin trimiterea de pachete de resetare de pe întrerupătorul de rețea. Cu toate acestea, ambele metode au o problemă, un atacator poate folosi la rândul lor, pentru a reconfigura echipament, care este: de deghizat ca o adresă de prietenos pentru a ataca, atunci IDS va configura routere si firewall-uri pentru a nega aceste adrese, astfel este, de fapt la "insideri" Denial of Service. Trimite metodă de pachete de resetare necesită o interfață de rețea activ, astfel încât acesta va fi plasat sub atac, un remediu este: de a face interfață de rețea activ este situat în interiorul firewall-ului, sau utilizarea unor proceduri de contractare de specialitate pentru a evita nevoile standard de stiva IP .

CERT

(Computer Emergency Response Team, Computer Emergency Response Team)

Acest termen este reflectat de prima alegere Computer Emergency Response Team, această echipă construit la Universitatea Carnegie Mellon, și ei să răspundă la incidente de securitate de calculator și să ia măsuri. Multe organizatii au o CERT, cum ar CNCERT / CC (China rețea de calculatoare Centrul de Coordonare Emergency Response). Din cauza la o oarecare lipsă de claritate a situației de urgență cuvânt, multe organizații trebuie să-l înlocuiască, rezultând într-un cuvânt nou computer echipei de răspuns la incidente (CIRT) cu Incident al cuvântului, și anume, echipa de răspuns la incidente de

calculator. răspuns manipulare cuvântul este folosit uneori acțiuni de intervenție de urgență în schimb, sensul său se spune, mai degrabă decât de cercetare pe termen lung.

CIDF

(Cadru de detectare a intruziunilor comun; cadru de detectare a intruziunilor comun)

CIDF încercat într-un fel la standardizarea detectare a intruziunilor, de a dezvolta o serie de protocoale și interfețe de programare a aplicațiilor pentru a permite capacitatea de a face schimb de informații și resurse, și componenta de detectare a intruziunilor, de asemenea, pot fi reutilizate în alte sisteme între proiectele de cercetare de detectare a intruziunilor.

CIRT

(Computer Incident Response Team, Computer Incident Response Team)

CIRT este evoluat de la CERT, CIRT a reprezentat o schimbare în filosofia de incidente de securitate înțelegere. CERT a fost proiectat inițial pentru o urgențe specifice de calculator, și a incidentelor termen CIRT indică faptul că nu toate incidentele sunt în mod necesar situații de urgență, precum și toate situațiile de urgență poate fi văzută ca incidente.

CISL

(Common Intrusion Specification Language, Intrusion Common Language Specification)

CISL este printre CIDF limbaj de asamblare pentru a comunica unul cu altul. Deoarece CIDF este de a încerca de a standardiza protocoalele și interfețele, astfel încât CISL este studiul de tentative de detectare a intruziunilor standardizare limbă.

CVE

(Vulnerabilități și expuneri comune, vulnerabilități și expuneri comune)

O întrebare veche despre scaner de vulnerabilitate este conceput sau strategii de coping, diferiți producători titlul de vulnerabilități va fi complet diferit. Există unele lacune în definiția de Camera de Comerț a produs o varietate de funcții și aplicații pentru sistemul de IDS, oferind astfel o impresie falsa ca și în cazul în care produsele lor mai eficient. MITRE creat CVE, va fi nume standardizate de vulnerabilitate, care participă vânzătorii vor dezvolta în mod natural, în conformitate cu aceste produse IDS standard.

Crafting Pachete

(Pachet personalizat)

Construi pachete de date personalizate, puteți evita unele dintre cerințele obișnuite ale structurii de pachete, creând astfel de pachete de spoofing, astfel încât să fie primit sau computerele nu știu cum să se descurce.

Desincronizare

(Eșec sincronizare)

Termenul prevăzut inițial desincronizare cu secvențe escape metode de IDS. Ar putea fi de așteptat unele IDS, care ar fi fost confundat cu privire la numărul de secvențe obținute, datele rezultate nu pot fi reconstruite. Această tehnologie este foarte popular în 1998, a devenit caducă, unele articole pe numele desincronizare acest termen se referă la alte metode de evaziune IDS.

Eleet

Când hackeri scrie lacune proces de dezvoltare, ei vor pleca, de obicei, o semnătură, unul dintre cel mai notoriu este de elita. Dacă eleet convertit la digital, este 31337, și atunci când se referă la capacitatea de

timpul lor, elita = eleet, a spus elită. 31337 este frecvent utilizat ca un număr de port sau de numărul de serie. Cuvânt popular este "talentul".

Enumerare

(Lista)

După o cercetare și inginerie socială de muncă pasiv, atacatorul va începe să enumera resurse de rețea. Citat este explorarea activă a unui atacator rețea a găsit ceea ce este și ceea ce ar putea fi utilizarea lui. Deoarece acțiunea nu mai este un pasiv, este foarte probabil să fie detectat. Desigur, pentru a evita detectarea, ei vor liniște cu putință.

Evaziune

(Escape)

Evaziune înseamnă a lansa un atac, fără a fi detectat de IDS cu succes. Trucul este de a face IDS poate vedea doar o parte, în timp ce atacul actual este o altă țintă, a strigat la mare, pentru a fura. Evaziune de un formular de setări diferite pentru diferite pachete TTL valoare (valabil), astfel încât mesajul arata ca dupa IDS este inofensiv, iar biții de informație TTL decât sunetul pentru a ajunge la gazdă țintă TTL trebuie să fie scurt. Odată ce prin IDS și aproape de țintă, o parte inofensiv va fi pierdut, lăsând doar dăunătoare.

Exploatează

(Exploit)

Pentru fiecare vulnerabilitate are mecanisme pentru a exploata aceasta vulnerabilitate pentru a ataca. În scopul de a ataca sistemul, un atacator codul de exploatare sau de a scrie un scenariu.

Va exista pentru fiecare exploata aceasta vulnerabilitate pentru a executa modul de atac, acest mod este Exploit. În scopul de a ataca sistemul, hackerii vor exploata programe de scriere.

Exploit: Ziua Zero Exploit (exploateaza timp de zero)

Zero timp se referă faptele nu au fost înțelese și încă rulează amoc exploit, că acest tip de a nu exploata fi găsită în prezent. Odată ce o exploata este găsit în industria de securitate a rețelei, și în curând va exista un patch pentru ea, și scrie în IDS caracterizat informații de identificare pentru a face acest lucru exploata este invalid, captura in mod eficient.

Negative false

(Negative false)

O misiune înseamnă că un atac este detectat sau nu analiștilor IDS considerat inofensiv.

Pozitive false (fals pozitive)

Fals pozitive se referă la evenimentul real, dar a fost de detectare IDS inofensive de atacuri.

Firewall-uri (Firewall)

Un firewall este un prim obstacol de securitate a rețelei, deși nu este IDS, dar jurnalele firewall poate furniza informații valoroase pentru IDS. De lucru se bazează pe principiul de reguli firewall sau standarde, cum ar fi adresa sursă și portul, blocarea conexiunii periculos.

PRIMA

(Forumul de răspuns la incidente și echipele de securitate, de răspuns la incidente de securitate și Echipe Forum)

În primul rând este de a uni schimbul internațional de informații cu privire la Guvern și organizațiile private și să coordoneze acțiunile în răspuns la liga, anual PRIMA foarte atenția.

Fragmentarea

(Fragmentarea)

În cazul în care un pachet este prea mare pentru a fi încărcat, a trebuit să fie împărțită în bucăți. Fragmentarea se bazează pe MTU rețea (Numărul maxim de unități de transport, Maximum Transmission Unit). De exemplu, tablete inel (token ring) MTU este 4464, Ethernet (Ethernet) MTU este 1500, astfel încât, dacă un pachet este transmis de la comprimatele la rețeaua inel Ethernet, ar trebui să fie împărțită în bucăți mai mici și apoi reconstruit în destinația. In timp ce acest acord va duce la eficiență redusă, dar efectul de fragmentare este foarte bun. Hackerii vor fi considerate a se sustrage IDS metoda de feliere, există unele atacuri DOS, folosind tehnici de feliere.

Euristici

(Inspirat)

Euristica se referă la utilizarea de AI (inteligenta artificiala, inteligenta artificiala), gândire în detectare a intruziunilor. Cu adevărat inspirat de teoria cu ajutorul IDS a apărut aproximativ 10 de ani, dar ele nu sunt suficient de "inteligent", atacatorul poate ignora în același timp, cei de trafic malware prin formare. Unele modele anormale de utilizare IDS pentru a detecta intruziunile, cum ar fi IDS trebuie să continue pentru a afla ceea ce este de evenimente normale. Unii producători cred că acest lucru este destul de IDS "inteligente", astfel încât acestea vor fi văzute ca un IDS euristice. Dar, de fapt, aplicarea reală a tehnologiei AI pentru analiza datelor de intrare IDS este, de asemenea, foarte puțin.

Proiectul Honeynet

(Honeynet Project)

Honeynet este un instrument de învățare, este un sistem de rețea care conține defecte de securitate. Atunci când este supus la o amenințare la adresa securității, invazia a informațiilor va fi capturat și analiză de acceptare, astfel încât să puteți înțelege unele cazuri, hackeri. Honeynet este unul din mai mult de 30 de membri ai organizației de securitate format din profesionale, dedicat pentru intelegerea comunitatii hacker de a folosi instrumente, strategii și motivație, precum și împărtășirea cunoștințelor lor de proiect. Ei au stabilit o serie de honeypots, oferă o intruziune aparent vulnerabil rețea Honeynet observate în aceste sisteme de hackeri, tactici de studiu hacker, motivația și comportamentul.

Honeypot

(Honeypot)

Honeypot este un sistem care conține lacune, care simulează una sau mai multe gazde vulnerabile, oferind o tinta usoara pentru hackeri pentru a ataca. Din moment ce nu există alte sarcini de la Honeypot finalizate, prin urmare, toate tentativele de conectare ar trebui să fie considerate suspecte. O altă utilizare a honeypots întârzie atacatorii săi scopul real, care permite atacatorului să pierdeți timpul pe Honeypot. În același timp, obiectivul inițial este protejat, conținut într-adevăr valoros nu vor fi încălcate.

Unul dintre primul scop al unui honeypot este un hacker rău intenționat să strângă dovezi pentru urmărirea penală, care pare a fi "prins" sentiment. Cu toate acestea, în unele țări, folosirea de honeypots nu pot colecta probe pentru a urmări hackeri.

IDS Categorii

(Clasificare IDS)

Există multe tipuri diferite de IDS, sunt enumerate următoarele:

IDS Clasificare 1-Application IDS (cererea IDS): cererile de IDS pentru o serie de aplicații speciale constatat semnal intruziune, aceste aplicații, de obicei, se referă la acele aplicații mai vulnerabile, cum ar fi servere Web, baze de date, și așa mai departe. Există mai multe sisteme de operare s-au concentrat inițial pe IDS-bazate pe gazdă, deși nu în starea implicită pentru punerea în aplicare, dar poate fi, de asemenea, instruiți în cerere. De exemplu, KSE (un IDS host-based), pot spune tot ceea ce facem în jurnalul de evenimente, inclusiv de ieșire raport jurnal de evenimente în legătură cu cererea. Un exemplu de aplicare a IDS este Entercept Web Server Edition.

IDS Categorie 2-Console IDS (consolă IDS): Pentru a face IDS aplică mediu de colaborare, distribuit agent IDS trebuie să raporteze la consola centrului de informare. Multe consola centrală poate primi, de asemenea, date din alte surse, cum ar fi alți producători de IDS, firewall-uri, routere, și așa mai departe. Acestea pot fi integrate cu informații care arată o imagine mai completă a atacului. Unele console va adăuga, de asemenea, propria semnătură la nivel de agent consola de management de la distanță și capabilități. Aceste produse IDS sunt Security Monitor Intellitactics rețea și deschide Esecurity Platform.

IDS Categoria 3-File de integritate Checkers (integritate File Checker): Atunci când un sistem este atacat de amenințarea, se va schimba de multe ori anumite documente-cheie pentru a asigura accesul continuu și pentru a preveni detectare. Informații suplimentare pentru fișierul cheie de rezumat (hash criptate), puteți verifica periodic fișierul pentru a vedea dacă acestea sunt modificate, astfel încât într-un mod de a oferi o garanție. Odată ce o astfel de schimbare este detectată, verificatorul de integritate va emite o alertă. Mai mult decât atât, atunci când un sistem a fost sub atac, administratorii de sistem pot utiliza, de asemenea, aceeași metodă pentru a determina gradul de sistemul compromis. File Checker, înainte de incident, după o lungă perioadă de timp pentru a ieși de detectare a intruziunilor, este "retrospectiv", care apare în multe produse pot fi accesate simultan pe documente verificate, poate fi văzută ca fiind produsul IDS în timp real. Aceste produse au Tripwire și Intact.

IDS clasificate 4-Honeypots (Honeypot): La Honeypot, introdus deja. Exemplele includ Mantrap Honeypot și Sting.

IDS Categoria 5-bazate pe Host IDS (IDS host-based): IDS pe o varietate de surse de astfel de sisteme și activități suspecte monitor jurnal de evenimente. IDS bazate pe găzdui, de asemenea, numit IDS gazdă, cele mai potrivite pentru cei care se bazează pe personalul intern pentru a detecta utilizarea abuzivă și a evitat metodele de detectare tradiționale să se infiltreze activitățile rețelei. În plus față de completarea o funcționalitate similară vizualizator jurnal de evenimente, gazdă IDS, de asemenea, cu privire la "eveniment / log / Ora" analiza semn. Multe produse sunt de asemenea incluse în funcția euristică. Deoarece IDS gazdă este aproape de locul de muncă în timp real, sistemul de erori pot fi detectate rapid,

tehnicieni si oameni de securitate sunt foarte mândru de ea. Se referă la toate tipurile de sistem de detectare a intruziunilor, pe baza de server / Workstation IDS-bazate pe gazdă gazdă. Aceste produse includ Kane Enterprise Secure și Dragon Squire.

IDS de clasificare IDS 6-hibride (IDS Hybrid): arhitectura moderna rețele trecut la operație de detectare a intruziunilor cauzat unele probleme. În primul rând, starea implicită a rețelei de comutare nu permite NIC în modul de promiscuitate, ceea ce face instalarea IDS rețea tradițională este foarte dificil. În al doilea rând, de mare viteza de rețea înseamnă că mai multe pachete sunt în curs de a scazut NIDS. O soluție IDS hibride (mixte IDS) este de a rezolva aceste probleme, este IDS nivelul următor, și combinația de nod de rețea IDS IDS gazdă (Host IDS). Deși această acoperire soluție este mare, dar ținând cont de cantitatea mare de date și costurile aferente. Rețea de multe doar pentru servere foarte critice ține de amestecare IDS. Unii producători pune mai mult de o sarcină pentru a finaliza IDS sunt numite IDS hibride, în fapt, aceasta este doar pentru efectul de publicitate. Produsele IDS hibride sunt CentraxICE și RealSecure Server senzor.

Clasificare IDS 7-Network IDS (NIDS, rețea IDS): NIDS pentru a monitoriza traficul de rețea curge prin toți agenții sunt monitorizate pentru a răspunde la activitățile suspecte și evenimente au inclus semnături anormale de atac. NIDS a fost inițial amestecat cu IDS informații filtru de pachete sniffer, dar ele devin mai inteligent, se poate descifra acordul și să mențină de stat. Produse NIDS există aplicații bazate doar trebuie să fie instalat pe gazda poate fi aplicat. Semnături de atac NIDs au fost analizate pentru fiecare pachet, dar sub sarcină mare în rețea, sau să renunțați la aceste pachete. Produsele IDS rețea sunt SecureNetPro și Snort.

IDS Categoria 8-Network Node IDS (NNIDS, nod de rețea IDS): În unele rețele IDS este nesigur la viteză mare, acestea vor fi eliminate după încărcarea unui procent ridicat al rețelei de pachete, iar rețeaua va împiedica IDS de rețea de comutare frecventă vedea de amestecare pachet transmis. NNIDS funcțiile NIDs încredințate la o singura gazda, usurand astfel problema de mare viteză și de schimb. Deși NNIDS și caracteristici de firewall personal sunt similare, dar există diferențe între ele. NNIDS să fie clasificate ca un firewall personal, ar trebui să încerce să se conecteze analiză. De exemplu, spre deosebire de pe multe firewall personal a constatat "încearcă să se conecteze la xxx port", un NNIDS fi făcut pentru a detecta orice analiză caracteristică. În plus, NNIDS va fi trimis la primește evenimente la o consola centrala gazdă. Produse NNIDS BlackICE Agent și Tiny cmds.

IDS Categorie Firewall 9-Personal (Personal Firewall): un firewall instalat pe un sistem separat pentru a preveni conexiunile nedorite, fie că vine în sau în afara, protejând astfel sistemul gazdă. Aveți grijă să nu-l confunda cu NNIDS. ZoneAlarm firewall personal și Sybergen.

IDS IDS Categorie 10-Target-Based (IDS pe bază de țintă): Nu este clar în ceea ce privește un IDS, persoane diferite au sensuri diferite. O posibilă verificator de integritate fișier de definiție, iar celălalt este definiția unei rețele IDS, care este doar pentru cei care sunt în căutarea de semnături din cauza rețelei de vulnerabile și protejate efectuate. Scopul din spatele acestei definiții IDS pentru a îmbunătăți viteza, pentru că nu este necesar să se caute aceste atacuri.

IDWG

(Grupul de lucru Intrusion Detection, Intrusion Detection Grupul de lucru)

Țintă Intrusion Detection Grupul de lucru este de a defini formatele de date și schimbul de informații proces pas, sistemul de informații de detectare a intruziunilor, sisteme de management de răspuns, iar aceste sisteme trebuie să interacționeze cu ei are o semnificație importantă. Intrusion Detection Grupul de lucru și alte organizații IETF pentru a lucra împreună.

Incident Manipulare

(Prelucrarea Event)

Detectat o intruziune, este doar începutul. Mai general, operatorul consola va continua să primească o alertă, ca imposibil de separat de timp pentru a urmări personal orice incident potențial, operatorul va face un semn cu privire la evenimentele de interes pentru evenimente viitoare gestionate de către echipa de de cercetare. După reacția inițială, este necesar să se ocupe de eveniment, care este, cum ar fi sondaje, dezbateri și probleme de urmărire penală, cum ar fi acest lucru.

Incident Response

(Răspuns la incidente)

Potențial de detecție a evenimentului reacția inițială, atunci aceste evenimente să fie prelucrate în conformitate cu procedura de manipulare eveniment.

Insularizare

(Insula)

Insula este complet tăiat de la rețea la Internet, care este aproape în ultimă instanță, nu calea. O organizație numai atunci când este supus la noi viruși pe scară largă sau atacuri de securitate foarte evidente folosind această metodă.

Promiscuu

(Modul de promiscuitate)

În mod implicit, interfață de rețea IDS poate vedea doar de gazdă, care este așa-numita non-promiscuu (modul non-promiscuu). În cazul în care interfața de rețea este în modul de promiscuitate, puteți vedea toate din traficul de rețea segment, indiferent de sursă sau destinație. Este necesar pentru IDS de rețea, dar poate fi un sniffer de pachete pentru a monitoriza modul de utilizare a traficului de rețea. Trecerea

HUB poate rezolva acest tip de problemă poate fi văzut în zonele globale de trafic, va avea mai multe deschideri de port (interval).

Routere (router)

Routere sunt utilizate pentru a conecta hub diferite subrețele, care lucrează în stratul de transport și stratul de rețea OSI 7 modelul strat. Funcția de bază a unui router este de a transmite pachete de rețea la destinațiile lor. Unele routere, precum și listele de control al accesului (ACL-uri), permite filtra pachetul de nedorit. Multe routere pot fi injectate în informațiile de jurnal de sistemul IDS, furnizarea de informații valoroase despre încercările blocate pentru a accesa rețeaua.

Scanere

(Scaner)

Scanerul este un instrument automat care scanează rețeaua și vulnerabilitățile gazdă. Cu sisteme de detectare a intruziunilor, acestea sunt împărțite în mai multe, descrisă în continuare.

Tipuri de scanare 1-NetworkScanners (scanner de rețea): scanerul de rețea pe o căutare pe Web pentru a găsi toate gazdele din rețea. Acestea sunt utilizate în mod tradițional ICMP ping tehnică, dar această metodă poate fi detectată cu ușurință. Pentru a deveni ascunse, există unele tehnologii noi, cum ar fi scanare și fin de scanare ACK. Un alt beneficiu de a folosi aceste scanere sunt mult mai subtile: diferite sisteme de operare au răspunsuri diferite la aceste scanari, oferind astfel mai multe informații valoroase pentru atacator. Un exemplu de astfel de instrument este nmap.

Tipuri de scanere Scanere 2-rețea de vulnerabilitate (scanner de breșe de rețea): rețea scanner vulnerabilitate scaner în rețea pas înainte, se poate detecta gazda țintă, și de a evidenția totul poate fi exploatat de hackeri. Scanner de breșe de web poate fi atacatorii și experți în securitate folosesc, dar va lasa de multe ori sistemul IDS "tensionate". Aceste produse au Retina și cybercop.

Tipuri de scanare VulnerabilityScanners 3-gazdă (scanner vulnerabilitate gazdă): Acest tip de instrument ca un utilizator privilegiat, gazda de la scanare, rezistență internă parola de testare și politica de securitate, precum și permisiunile de fișiere și așa mai departe. IDS de retea, mai ales IDS gazdă se poate detecta afară. Aceste produse au SecurityExpressions, acesta este un scaner de vulnerabilitate la distanță pentru Windows, și poate repara în mod automat vulnerabilități. Baza de date SIS, precum și scaner, scanează vulnerabilitățile de baze de date.

Script kiddies

(Script kiddies)

Unii dintre cei care trâmbițată încălcările de securitate pe Internet, cum ar fi refuzul februarie 2000 a atacurilor asupra serviciului pe Yahoo, unii elevi în vârstă de zece ani de liceu au, au scopul de a face aceste lucruri rele par să faima. Experții în securitate adesea numit script kiddies acești oameni (script kiddies). Unele script kiddies sunt de obicei spontan la instalația de cracare, mai puțin calificați, au folosit pentru a descărca informații de pe Internet, software-ul sau script-ul pentru a distruge site-ul țintă. Hackeri sau de autoritățile de aplicare a legii și-au exprimat disprețul pentru acești copii script-uri, deoarece acestea sunt de multe ori necalificat, au luat o mulțime de timp pentru a efectua distrugerea lui, scopul lor este de a impresiona prietenii lor. Script kiddies este ca deține o apuca copii, ei nu știu cum să balistică teorie, nu trebuie să fie în măsură să fabrice arme de foc, poate deveni un inamic puternic. Prin urmare, ori de câte ori nu se poate subestima puterea lor.

Bazata pe renume

Escape)

Se refera la frontiera pentru a scăpa dispozitivul este configurat pentru a refuza toate pachetele nedorite, unele pachete vor refuza chiar să scape din anumite țări toate adresele IP.

Semnături

(Caracteristici)

IDS este ataca caracteristicile de bază, se face IDS declanșat atunci când se produce evenimentul. Informații caracteristică este prea scurt va declanșa adesea IDS, ceea ce duce la rezultate pozitive false sau inexacte, IDS va încetini ritmul de lucru prea mult timp. Unele caracteristici vor fi sprijinite de numărul de IDS IDS standardelor de calitate considerate, dar o parte din producție comercială de o caracteristică care acoperă mai multe atacuri, dar unii producatori de aceste caracteristici sunt enumerate separat, ceea ce ar da impresia ca și în cazul în care Acesta conține mai multe caracteristici, IDS mai bune. Trebuie să fim conștienți de acestea.

Furt

(Secretă)

Ascuns este IDS nu este văzut în detectarea atacurilor din afara, ei folosesc de multe ori în afara DMZ, nu este protejat de un firewall. Ea are unele neajunsuri, cum ar fi un răspuns automat.

Colectarea de informații

Detectare a intruziunilor este primul pas în colectarea de informații, inclusiv starea și comportamentul sistemului, rețelei, datele, și activitatea utilizatorului. Mai mult decât atât, un număr de diferite puncte critice (diferite segmente și diferite gazde) necesită un sistem de rețea de calculatoare pentru a colecta informații, care, pe lângă maximizarea ariei de acoperire de factori, există un factor important este informația de la o sursă poate Uite, fără îndoială, dar câteva neconcordanțe în sursa de informare este cel mai bun identifica un comportament suspect sau invazie.

Desigur, informațiile de detectare a intruziunilor colectate depinde în mare măsură de precizia și fiabilitatea, astfel că este necesar să se folosească numai informații reale și corecte este raportat la software-ul. Deoarece hackerii adesea confundate și înlocui software-ul pentru a elimina informațiile, cum ar fi înlocuirea subrutina este numit, biblioteci, și alte instrumente. Hackerii modifica sistemul, astfel încât sistemul poate să nu funcționeze și arată ca un obișnuit, cum ar fi, și, de fapt, nu sunt. De exemplu, sistemele de PS comanda UNIX poate fi înlocuită cu o procedura non-invaziva pentru a afișa instrucțiuni sau editor este înlocuit cu o lectură diferă de la fișierul specificat (prima încercare de hackeri pentru a ascunde fișiere și înlocuit cu o altă versiune). Este nevoie să se asigure integritatea software-ului sistemului de rețea pentru a detecta, în special a intruziunilor software-ul de sistem de detectare în sine ar trebui să aibă o robustete foarte puternic, a preveni manipularea frauduloasă și pentru a colecta un mesaj greșit.

Utilizarea generală a informațiilor de detectare a intruziunilor de la următoarele patru aspecte:

De sistem și de rețea fișiere jurnal

Analiza statistică

Procesul de dezvoltare