Intrusionlikni aniqlash tizimi (IDS) tarmoq trafigini nazorat qiladi va shubhali faoliyatni kuzatib boradi va tizim yoki tarmoq administratorini ogohlantiradi. Ba'zi hollarda IDS foydalanuvchi yoki manba IP-manzilini tarmoqqa kirishni blokirovkalash kabi xatti-harakatlarni amalga oshirib, anomal yoki yovuz trafikka javob berishi mumkin.
IDS har xil "tatlar" ga kiradi va shubhali trafikni turli yo'llar bilan aniqlash maqsadiga yaqinlashadi. Tarmoqli (NIDS) va xost-based (HIDS) intrusionlarni aniqlash tizimlari mavjud. Viruslarga qarshi dasturiy ta'minot odatda zararli dasturlardan algılayıp himoya qiladigan kabi ma'lum bo'lgan tahdidlarning muayyan imzolarini aniqlashga asoslangan holda identifikatsiyalanuvchi identifikatorlar mavjud va identifikatsiyalashgan IDSlar bazani sinchkovlik bilan solishtirish va anomaliyalarni izlashga asoslangan. Oddiy monitor va ogohlantirishlar mavjud bo'lgan va identifikatsiya qilingan tahdidlarga javoban harakat yoki xatti-harakatlarni amalga oshiruvchi IDS mavjud. Biz ularning har birini qisqacha qamrab olamiz.
NIDS
Tarmoqni ta'qib qilishni aniqlash tizimlari tarmoqdagi barcha qurilmalar va ulardagi trafikni nazorat qilish uchun tarmoq ichidagi strategik nuqtada yoki nuqtalarda joylashtiriladi. Ideal holda barcha kirish va chiqish trafigini sinab ko'rishingiz mumkin, ammo buni amalga oshirish tarmoqning umumiy tezligini buzadigan qiyinchiliklarni keltirib chiqarishi mumkin.
HIDS
Asosiy kompyuterga kirishni aniqlash tizimlari tarmoqdagi shaxsiy kompyuter yoki qurilmalarda ishlaydi. HIDS faqatgina qurilmadan kelgan va chiquvchi paketlarni kuzatib boradi va foydalanuvchini ogohlantiradi yoki shubhali faoliyatning ma'muri aniqlanadi
Imzo asosida
Imzoga asoslangan IDS tarmoqdagi paketlarni kuzatib boradi va ularni ma'lum zararli tahdidlardan imzolar yoki atributlar bazasiga solishtiradi. Bu antivirus dasturlarining ko'pchiligi zararli dasturlarni aniqlashga o'xshaydi. Muammo shundaki, u sizning IDS-ga nisbatan tahdidni aniqlash uchun yovvoyi tabiatda aniqlanadigan yangi tahdid bilan imzo tashlash o'rtasida kechikish bo'ladi. Ushbu vaqt davomida sizning IDS yangi tahdidni aniqlay olmaydi.
Anomaliyaga asoslangan
Anomali asosidagi IDS tarmoq trafigini kuzatib boradi va uni belgilangan bazaviy holatga solishtiradi. Bazaviy tarmoq ushbu tarmoq uchun "normal" nima ekanligini - qaysi tarmoqli kengligi odatda ishlatilishini, qanday protokollarni ishlatishni, qaysi portlar va qurilmalarning odatda bir-biriga ulanganligini aniqlashni va trafikni anomal aniqlanganda administratorni yoki foydalanuvchini ogohlantiradi, yoki asosiy ko'rsatkichdan sezilarli darajada farq qiladi.
Passiv IDS
Passiv IDS oddiygina hislar va ogohlantirishlarni beradi. Shubhali yoki yovuz trafik aniqlanganda ogohlantirish yaratiladi va administratorga yoki foydalanuvchiga yuboriladi va ularga faoliyatni to'sish yoki biron-bir tarzda javob berishga harakat qilish kerak.
Reaktiv IDS
Reaktiv IDS nafaqat shubhali yoki zararli trafikni aniqlashni va administratorni ogohlantirishni, balki tahdidga javob berish uchun oldindan aniqlangan proaktif harakatlarni amalga oshiradi. Odatda bu, manba IP-manzilidan yoki foydalanuvchidan boshqa tarmoq trafigini blokirovka qilish degan ma'noni anglatadi.
Eng taniqli va keng tarqalgan ishlatiladigan hujumni aniqlash tizimlaridan biri ochiq manba, erkin Snort. Linux va Windows ni o'z ichiga olgan bir qator platformalar va operatsion tizimlar uchun foydalanish mumkin. Snortning katta va sodiq izdoshi bor va internetda mavjud bo'lgan juda ko'p manbalar mavjud, bu erda so'nggi tahdidlarni aniqlash uchun imzolarni olishingiz mumkin. Boshqa bepul hujum qilishni aniqlash dasturlari uchun, Free Intrusion Detection Software dasturiga tashrif buyurishingiz mumkin.
Faervol va IDS o'rtasida yaxshi chiziq mavjud. IPS - Intrusion Prevention System deb ataladigan texnologiya mavjud. IPS asosan tarmoqni proaktively himoya qilish uchun tarmoq darajasida va dastur darajasida filtrlashni reaktiv IDS bilan birlashtirgan xavfsizlik devori hisoblanadi. Vaqt o'tishi bilan xavfsizlik devorlari davom etar ekan, IDS va IPS bir-biridan ko'proq xususiyatlarga ega bo'lib, chiziqni yanada pasaytiradi.
Aslini olganda, xavfsizlik devori sizning perimetriya mudofaasidagi birinchi qatoringiz. Eng yaxshi usullar sizning xavfsizlik devoringiz barcha kiruvchi trafiklarni aniq qilib belgilashni tavsiya qiladi va kerak bo'lganda teshiklarni ochasiz. FTP fayl serveriga mezbonlik qilish uchun veb-saytlarni yoki portni joylashtirish uchun portni 80 ochishingiz kerak bo'ladi. Bu teshiklarning har biri bir jihatdan kerak bo'lishi mumkin, lekin ular xavfsizlik devori tomonidan bloklanmaganga emas, balki sizning tarmoqqa kirish uchun zararli transport uchun mumkin bo'lgan vektorlarni ham ifodalaydi.
Sizning IDSlaringiz bu yerga kiradi. NIDSni butun tarmoq bo'ylab yoki o'ziga xos qurilmangizda HIDS dasturini qo'llaysizmi, IDS sizning kirish va chiqish tirnoqlarini kuzatib boradi va xavfsizlik devorini yoki sizning xavfsizlik devoringizni chetlab o'tishga olib keladigan shubhali yoki yovuz tirbandlikni aniqlaydi sizning tarmoqingizdan ham kelib chiqishi mumkin.
IDS sizning tarmoqingizni zararli faoliyatdan proaktif ravishda kuzatish va himoya qilish uchun ajoyib vosita bo'lishi mumkin, ammo ular noto'g'ri signallarga moyil. Siz amalga oshiradigan har qanday IDS yechimida siz birinchi marta o'rnatilgandan so'ng uni sozlashingiz kerak bo'ladi. Sizning tarmog'ingizdagi oddiy trafik nima ekanligini va yomon niyatli trafik yoki siz yoki IDS ogohlantirishlariga javob berish uchun mas'ul bo'lgan rahbarlar ogohlantirishlar nimani anglatishini va qanday qilib samarali tarzda javob berish kerakligini tushunish uchun nima to'g'ri ekanligini aniqlash uchun to'g'ri konfiguratsiya uchun IDS kerak.