Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить.
Таким образом, IDS обнаруживает распространенные сетевые атаки на уязвимые сервисы и приложения, атаки на хосты, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (трояны, вирусы и т.д.).
Ключевое различие между системой предотвращения вторжений (IPS) и IDS заключается в том, что если IDS лишь пассивно отслеживает и сообщает о состоянии сети, то IPS идет дальше, она активно пресекает вредоносную деятельность злоумышленников.
В этом руководстве будут рассмотрены различные типы IDS, их компоненты, а также типы методов обнаружения, используемые в IDS.
Исторический обзор IDS
Джеймс Андерсон представил идею обнаружения вторжения или неправильного использования системы путем мониторинга шаблонов аномального использования сети или неправильного использования системы. В 1980 году на основе этого отчета он опубликовал свою работу под названием “Мониторинг и наблюдение за угрозами компьютерной безопасности”. В 1984 году была запущена новая система под названием “Intrusion Detection Expert System (IDES)”. Это был первый прототип IDS, который отслеживал действия пользователя.
В 1988 году была представлена другая IDS под названием “Haystack”, которая использовала шаблоны и статистический анализ для обнаружения аномальных действий.
Эта IDS, однако, не имеет функции анализа в реальном времени.
Следуя той же схеме, Лаборатория Лоуренса Ливермора Калифорнийского университета в Дэвисе представила новую IDS под названием “Network System Monitor (NSM)” для анализа сетевого трафика
. Впоследствии этот проект превратился в IDS под названием “Distributed Intrusion Detection System (DIDS)”.
На основе DIDS была разработана система “Stalker”, которая стала первой коммерчески доступной IDS.
В середине 1990-х годов SAIC разработала хост IDS под названием “Computer Misuse Detection System (CMDS)”.
Другая система под названием “Automated Security Incident Measurement (ASIM)” была разработана Центром криптографической поддержки ВВС США для измерения уровня несанкционированной активности и обнаружения необычных сетевых событий.
В 1998 году Мартин Роеш выпустил IDS для сетей с открытым исходным кодом под названием “SNORT”, которая впоследствии стала очень популярной.
Типы IDS
Исходя из уровня анализа, существует два основных типа IDS:
- IDS на основе сети (NIDS): Она предназначена для обнаружения сетевой активности, которая обычно не обнаруживается простыми правилами фильтрации брандмауэров. В NIDS отдельные пакеты, проходящие через сеть, отслеживаются и анализируются для обнаружения любой вредоносной активности, происходящей в сети. “SNORT” является примером NIDS.
- IDS на базе хоста (HIDS): Отслеживает действия, происходящие на отдельном хосте или сервере, на котором установлена IDS. Эти действия могут быть попытками входа в систему, проверкой целостности файлов в системе, трассировкой и анализом системных вызовов, логов приложений и т.д.
Компоненты IDS
Система обнаружения вторжений состоит из трех различных компонентов, которые кратко описаны ниже:
- Сенсоры: Они анализируют сетевой трафик или сетевую активность и генерируют события безопасности.
- Консоль: Ее цель – мониторинг событий, оповещение и управление сенсорами
- Механизм обнаружения: события, генерируемые сенсером, регистрируются движком. Они записываются в базу данных. Они также имеют политики для создания предупреждений, соответствующих событиям безопасности.
Методы обнаружения для IDS
В широком смысле методы, используемые в IDS, можно классифицировать следующим образом:
- Обнаружение на основе сигнатур/шаблонов: Мы используем известные шаблоны атак, называемые “сигнатурами”, и сопоставляем их с содержимым сетевых пакетов для обнаружения атак. Эти сигнатуры, хранящиеся в базе данных, представляют собой методы атак, использовавшиеся злоумышленниками в прошлом.
- Обнаружение несанкционированного доступа: Здесь IDS настроена на обнаружение нарушений доступа с помощью списка контроля доступа (ACL). ACL содержит политики контроля доступа, и он использует IP-адрес пользователей для проверки их запроса.
- Обнаружение на основе аномалий: Используется алгоритм машинного обучения для подготовки модели IDS, которая учится на основе регулярной модели активности сетевого трафика. Эта модель затем действует как базовая модель, с которой сравнивается входящий сетевой трафик. Если трафик отклоняется от нормального поведения, то генерируются предупреждения.
- Обнаружение аномалий протокола: В этом случае детектор аномалий обнаруживает трафик, который не соответствует существующим стандартам протоколов.
Заключение
В последнее время деловая активность в Интернете возросла, и компании имеют множество офисов, расположенных в разных точках мира.
Вполне естественно, что компании становятся мишенью для злых глаз хакеров.
Поэтому защита информационных систем и сетей стала очень важной задачей. В
этом случае IDS стала жизненно важным компонентом сети организации, который играет существенную роль в обнаружении несанкционированного доступа к этим системам.
