IDS - ano ito? Panghihimasok sistema ng pagtuklas (ID) bilang isang trabaho?

IDS - ano ito? Paano ito ang sistema gumagana? System panghihimasok tiktik - isang hardware o software sa tiktikan atake at malisyosong aktibidad. Sila ay makakatulong sa mga network at mga sistema ng computer upang mabigyan sila ng maayos na palayuin. Upang makamit ito, IDS nangongolekta ng impormasyon mula sa maramihang mga sistema o network mapagkukunan. Pagkatapos ay tinatasa nito ang IDS upang matukoy ang pagkakaroon ng mga pag-atake. Ang artikulong ito ay pagtatangka upang sagutin ang tanong: "? IDS - ano ito at kung ano ang mga ito para sa"

Ano ang panghihimasok detection systems (ID)

Impormasyon system at network ay patuloy na nailantad sa cyber-atake. Firewalls at antivirus upang sumalamin ang lahat ng mga pag-atake ay hindi sapat, dahil ang mga ito ay lamang magagawang upang maprotektahan ang mga "front door" ng mga sistema ng computer at network. Ibang mga tinedyer, naisip ang kanilang mga sarili hacker, patuloy na paglilinis ng internet sa paghahanap ng gaps sa mga sistema ng seguridad.

Salamat sa World Wide Web sa kanilang mga pagtatapon ng maraming mga ganap na libre ng malisyosong software - anumang Slammer, slepperov at mga katulad na mga malisyosong mga programa. Serbisyo ay propesyonal na hacker ay nakikipagkumpitensya sa mga kumpanya upang neutralisahin bawat isa. Upang ang mga system na tuklasin ang pagsalakay (panghihimasok detection systems), - isang kagyat na pangangailangan. Hindi nakakagulat na ang araw-araw ang mga ito ay nagiging mas malawak na ginamit.

elemento IDS

Ang mga elemento ng IDS ay kinabibilangan ng:

• detektor subsystem, ang layunin ng kung saan - ang akumulasyon ng mga kaganapan sa network o computer systems;
• analysis subsystem na nakita ng isang cyber-atake at mga kahina-hinala na aktibidad;
• imbakan para sa pag-iimbak ng impormasyon tungkol sa mga kaganapan at ang mga resulta ng pagtatasa ng pag-atake ng cyber at hindi awtorisadong aksyon;
• console ng pamamahala na kung saan IDS ay posible upang magtakda ng mga parameter, subaybayan ang katayuan ng network (o computer system), upang magkaroon ng access sa impormasyon tungkol sa mga nakita atake analysis subsystem at labag sa batas na mga pagkilos.

Sa katunayan, maraming maaaring magtanong, "Paano ay isinalin IDS?" Pagsasalin mula sa Ingles tunog tulad ng "system na nakakahanap ng mainit na intruders."

Ang mga pangunahing gawain upang malutas ang panghihimasok sistema ng pagtuklas

Panghihimasok sistema ng pagtuklas ay may dalawang pangunahing mga layunin: pag-aaral ng mga mapagkukunan ng impormasyon at ng isang naaangkop na tugon, batay sa mga resulta ng pagtatasa na ito. Upang maisagawa ang mga gawaing ito IDS sistema ay gumaganap ang mga sumusunod na pagkilos:

• sinusubaybayan at pinag-aaralan ang aktibidad ng gumagamit;
• Ito ay nakatuon sa pag-audit system configuration at kahinaan nito;
• Ito ay tseke ang integridad ng mga kritikal na mga file system at data ng mga file;
• pagsasagawa ng isang statistical analysis ng mga estado ng sistema batay sa isang paghahambing sa ang mga kondisyon na naganap sa panahon ng nai-kilalang pag-atake;
• Ito audit ng operating system.

Iyon ay maaaring magbigay ng isang panghihimasok sistema ng pagtuklas, at na hindi niya kayang bayaran

Maaari mo itong gamitin upang makamit ang mga sumusunod:

• mapabuti ang integridad ng ang mga parameter ng network infrastructure;
• upang subaybayan ang aktibidad ng gumagamit sa petsa ng entry nito sa system at upang ang application ng ang pinsala na o paggawa ng anumang di-awtorisadong aksyon;
• kilalanin at ipagbigay-alam sa tungkol sa pagbabago, o magtanggal ng data;
• Automated Internet monitoring gawain upang mahanap ang pinaka-kamakailan-lamang na pag-atake;
• detect ng error sa system configuration;
• tuklasin ang atake ng simula at i-notify.

Ang IDS ay hindi maaaring gawin ito:

• upang punan gaps sa mga protocol network;
• nauukol na bayad papel na ginagampanan upang i-play sa kaganapan ng mahinang pagkilala at authentication mekanismo network o sistema ng computer na sinusubaybayan ito;
• Dapat din ay mapapansin na ang IDS ay hindi palaging makaya na may mga problema na kaugnay sa mga pag-atake sa antas ng packet (packet-level).

IPS (panghihimasok prevention system) - Ang patuloy na IDS

IPS ang ibig sabihin ay "panghihimasok prevention system." Ang advanced na, mas functional IDS varieties. IPS ID ng mga sistema ay reaktibo (sa kaibahan sa karaniwan). Ang ibig sabihin nito na hindi lamang sila maaaring kilalanin, record at alerto tungkol sa mga pag-atake, ngunit din upang magsagawa ng mga paggana kaligtasan. Mga function na isama compounds reset at pag-block ang mga papasok na packet trapiko. Isa pang tampok ng IPS ay na sila ay nagtatrabaho sa online at maaaring awtomatikong i-block ang pag-atake.

Subspecies IDS pamamaraan para sa pagsubaybay

NIDS (ie IDS, na kung saan ay sa pagsubaybay ng buong network (network)) ay nakikibahagi sa mga pagsusuri ng trapiko sa kabuuan subnets at pinamamahalaang centrally. Regular aayos ng ilang pagsubaybay NIDS maaaring makamit medyo malaki laki network.

Sila ay nagtatrabaho sa makati mode (ie suriin ang lahat ng mga papasok na packet, sa halip ng paggawa nito nang pili) sa pamamagitan ng paghahambing subnet trapiko sa kilalang pag-atake sa kanyang library. Kapag ang isang pag-atake ay nakilala o walang pahintulot na aktibidad, ang mga administrator ay nagpadala ng isang alarm. Gayunpaman, dapat itong nabanggit na ang isang malaking network na may mataas na trapiko NIDS minsan ay hindi maaaring makaya sa lahat ng mga packet test impormasyon. Samakatuwid, mayroong isang posibilidad na ang panahon ng "rush hour", hindi nila magagawang upang makilala ang mga pag-atake.

NIDS (network-based na mga ID) - ito ang mga system na ay madaling isinama sa bagong network topology ng mas maraming impluwensiya sa kanilang pagganap, hindi nila kailangang, pagiging passive. Sila lamang naayos ay naitala at ipagbigay-alam, hindi katulad reactive sistema type IPS na kung saan ay tinalakay sa itaas. Gayunpaman, dapat ito rin ay maaaring sinabi tungkol sa network-based na mga ID, ito ay isang sistema na hindi maaaring pag-aralan ang data sumailalim sa pag-encrypt. Ito ay isang makabuluhang dehado dahil sa pagtaas ng pagpapakilala ng virtual pribadong network (VPN) upang i-encrypt ang impormasyon ay unting ginagamit sa pamamagitan ng cybercriminals sa pag-atake.

NIDS din ay hindi maaaring matukoy kung ano ang nangyari bilang resulta ng pag-atake, ito sanhi ng pinsala o hindi. Lahat sila ay kayang - ay upang ayusin ang kanyang simula. Samakatuwid, ang administrator ay sapilitang upang muling suriin ang iyong sarili sa bawat pag-atake kasong tiyakin na nagtagumpay ang pag-atake. Ang isa pang malaking problema ay na ang NIDS halos hindi kinukuha ng pag-atake gamit fragmented packet. Ang mga ito ay lalo na mapanganib dahil maaari nilang guluhin ang normal na operasyon ng NIDS. Ano ang ibig sabihin nito para sa buong network o computer system, hindi na kailangang ipaliwanag.

HIDS (host panghihimasok sistema ng pagtuklas)

HIDS (IDS, monitoryaschie host (host)) paghahatid lamang ng isang tukoy na computer. Ito, siyempre, ay nagbibigay ng mas mataas na kahusayan. HIDS aralan ng dalawang uri ng impormasyon: ang mga log ng system at ang mga resulta ng pag-audit operating system. Sila ay gumawa ng isang snapshot ng mga file system at ihambing ito sa mga naunang imahe. Kung ang isang kritikal na mahalaga para sa ang mga file na sistema ay binago o tinanggal, at pagkatapos ay ang manager ay nagpapadala ng isang alarma.

HIDS makabuluhang bentahe ay ang kakayahan upang magsagawa ng kanilang trabaho sa isang sitwasyon kung saan ang trapiko sa network ay madaling kapitan cipher. Ito ay posibleng salamat sa ang katunayan na ang pagiging bahagi ng host (host-based) mga mapagkukunan ng impormasyon ay maaaring malikha bago ipahiram ang data sa kanilang sarili na pag-encrypt o pagkatapos decryption sa host destination.

Ang disadvantages ng system na ito isama ang posibilidad ng kanyang pag-block o kahit na ipagbawal ang paggamit ng tiyak na mga uri ng DOS-atake. Ang problema dito ay na ang ilang mga HIDS sensor at mga tool sa pagtatasa ay matatagpuan sa host, na kung saan ay sa ilalim ng atake, iyon ay, sila din pag-atake. Ang katotohanan na ang mga mapagkukunan ay HIDS host na ang trabaho nila ay pagsubaybay, masyadong, ay maaaring bahagya ay tinatawag na isang plus, dahil ito natural binabawasan ang kanilang pagiging produktibo.

Subspecies IDS sa kung paano upang makilala ang mga pag-atake

Pamamaraan ng anomalya, signature pamamaraan sa pagtatasa at mga patakaran - tulad subspecies sa kung paano upang makilala ang mga pag-atake ay ang mga ID.

Pamamaraan signature analysis

Sa kasong ito, ang data packets ay naka-check para sa mga pag-atake lagda. Ang lagda ng pag-atake - ito ay tumutugon sa kaganapan sa isa sa mga specimens, na naglalarawan kilalang pag-atake. Ang pamamaraan na ito ay lubos na epektibo, dahil kapag ginamit mo ang maling ulat ng pag-atake ay relatibong bihirang.

anomalya paraan

Sa kanyang aid natagpuan labag sa batas na mga pagkilos sa network at host. Sa batayan ng kasaysayan ng ang normal na pagpapatakbo ng host at ng network na nilikha espesyal na profile na may data tungkol sa mga ito. Pagkatapos ay dumating sa paglalaro espesyal detector na-aralan mga kaganapan. Paggamit ng iba't ibang mga algorithm silang makabuo ng isang pagtatasa ng mga kaganapang ito, paghahambing ng mga ito sa mga "pamantayan" sa profile. Ang kakulangan ng kailangan upang maipon ng isang malaking halaga ng mga pag-atake lagda - isang tiyak plus ng ito paraan. Gayunman, ang isang mumunti bilang ng mga maling alarma tungkol sa mga pag-atake na may hindi tipiko, ngunit ito ay lubos na lehitimong mga kaganapan sa network - ito ay ang kanyang hindi pinag-aalinlanganan minus.

Ang pamamaraan sa patakaran

Ang isa pang paraan upang tuklasin ang mga pag-atake ay isang paraan ng patakaran. Ang kakanyahan ng ito - sa paglikha ng mga network na regulasyon ng seguridad, na kung saan, halimbawa, ay maaaring magpahiwatig ng mga network ng mga prinsipyo sa pagitan ng kanilang mga sarili at ginamit sa protocol na ito. Ang pamamaraan na ito ay may pag-asa, ngunit ang kahirapan ay lubos na isang mahirap na proseso ng paglikha ng isang database ng mga patakaran.

ID Systems ay magbibigay ng maaasahang proteksyon ng iyong network at computer systems

Group ID Systems ngayon ay isa sa mga sa larangan ng sistema ng seguridad merkado lider para sa mga network computer. Ito ay magbigay sa iyo ng maaasahang proteksyon laban sa cyber-villains. hindi ka maaaring mag-alala tungkol sa iyong mga mahalagang data upang protektahan ID Systems sistema. Dahil dito magagawa mong upang ma-enjoy ang buhay higit pa dahil mayroon kang sa puso ay isang maliit na problema.

ID Systems - staff review

Mahusay na koponan, at pinaka-mahalaga, siyempre - ito ay ang tamang saloobin ng pamamahala ng kumpanya sa mga empleyado nito. Lahat ng tao (kahit na ang mga taong walang karanasan sa mga nagsisimula) ng pagkakataon para sa propesyonal na pag-unlad. Gayunpaman, para sa na ito, siyempre, kailangan mo upang ipahayag ang kanilang sarili, at pagkatapos ang lahat ay i-out.

Sa team malusog na kapaligiran. Mga nagsisimula ay palaging sa paligid ng tren at ang lahat ng mga show. Walang masama sa katawan kumpetisyon ay hindi nadama. Empleyado na nagtatrabaho sa kumpanya para sa maraming taon, ay nalulugod na ibahagi ang lahat ng mga teknikal na detalye. Ang mga ito ay friendly, kahit na walang isang pahiwatig ng paglait sagutin ang mga pinaka hangal na usapan bagito manggagawa. Sa pangkalahatan, mula sa pagtatrabaho sa ID System ang ilang mga kaaya-ayang damdamin.

Saloobin sa pamamahala ng kawili-wiling nalulugod. Gayundin nalulugod na dito, malinaw naman, ay magagawang upang gumana sa mga kawani, dahil ang mga tauhan ay talagang lubos na katugma. Empleyado halos malinaw: sa palagay nila sa trabaho sa bahay.