SlideShare uma empresa Scribd logo

Intrusion detection system - класификация, методи и техники

Transferir como DOCX, PDF
Maria Kostova
Maria Kostova

курсова работа относно системите за откриване на проникване

Software
1 de 14
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ ИТ ИНОВАЦИИ В БИЗНЕСА Intrusiondetection system (IDS) – класификация,методи и техники Изготвил: Мария Костова ПРОВЕРИЛ: Спец. ИТ иновации в бизнеса Доц.д-р Ст.Дражев Гр.10 , СИН 400445 ас.Радка Начева
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 1 Съдържание: 1. Въведение 2. Общ преглед 3. Класификация на IDS. 3.1. Класификация по предназначението на системата за откриване на атаки 3.2. Класификация по начина на реализация на системата за откриване на атаки 4. Видове IDS. 4.1 Статистически IDS (Statistical-Based IDS). 4.2 Съдържателно претърсващи IDS ( Signature-Based IDS). 4.3 IDS за хост(Host-Based IDS ) 4.4 IDS за мрежа (Network-Based IDS) 5. Други IDS 6 Използвана литература
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 2 ВЪВЕДЕНИЕ През последните години електронната търговия процъфтява, почти всеки един бизнес се състезава за по-голям пазарен дял в киберпространството. Мрежовите системи на предприятията за неизбежно изложени на нарастващите заплахи както от външни, така и от вътрешни хакери. Като резултат може да има загуба или промяна на критични бизнес данни , срив в услугите ( достъпните),излагане на риск на фирмените бизнес планове или процеси (поверителните). За да се противопоставят на тези заплахи Организацията за информационната сигурност разполага много методи , инструменти и технологии, за да предпази законността на системите, като прилагане на политики и процедури, информираността на потребителите, ползващи системите за защитната стена и проверка на автентичността и системи за контрол на достъпа . ОБЩ ПРЕГЛЕД В същността си, IDS приличат на алармени системи за сграда, в състояние да откриват и да предупреждават системния администратор за потенциално проникване, евентуална загуба на целостта и поверителността на ценни интелектуални активи на предприятието. Защитните стени и системите за проверка на автентичността са ефективни в защитата и предотвратяването на неоторизирания достъп до системите, но нямат възможност да наблюдават трафика в мрежата, където се състоят мнозинството от атаки. Тези атаки могат да бъдат инициирани от недоволни служители и други лица, които имат законен достъп до мрежата и използват тази привилегия да навредят. Защитната стена и системите за проверка на автентичността са от жизненоважно значение, но те работят в точката на влизане в мрежата, ако една атака премине защитната стена, може да броди свободно из цялата мрежа. За да се следи постоянно мрежовия трафик , сигурността на мрежата следва да бъдат допълнени с Systems Intrusion Detection (IDS). (IDS) е инструмент за видимост. IDS се намира от страната на мрежата, наблюдавайки трафика от множество различни точки и предоставя видимост върху състоянието на сигурността в мрежата. Добра аналогия е да се сравни IDS-ът с анализатор на протоколи. Това е инструмент, който се ползва от мрежовия инженер с цел да има възможност за задълбочен преглед на мрежата и да види какво се случва в
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 3 нея, понякога с много големи детайли. IDS е „протоколният анализатор“ за инженера/администратора по сигурността. Системата за откриване на проникване (IDS) поглежда дълбоко навътре в мрежата и вижда какво се случва там от гледна точка на сигурността. Може да се каже ,че системата за откриване на проникване е технология за защита на мрежата , първоначално за откриване на слаби, уязвими места в системата. Една IDS трябва само да открие заплахите и като такава е поставена извън мрежовата инфраструктура. Като такава , това означава, че тя не е в истинска комуникация с изпращача и получателя на информация. По-скоро IDS решенията често се възползват от TAP или SPAN порт за анализа на потока трафик, като по този начин се гарантира , че не влияе на производителността на мрежата. IDS следи трафика и отчита резултатите , но не може автоматично да предприеме дадени действия, за да предотврати заплахата. Информацията, предоставена от IDS, ще подпомогне екипите за управление на сигурността и на мрежата да разкрият като начало: o Нарушения в политиката за сигурност на информацията, като системи или потребители, които са стартирали приложения в противоречие с политиката. o Инфекции, като вируси и троянски коне, които имат частичен или цялостен контрол върху вътрешни системи, използвайки ги, за да разпространят инфекцията и да атакуват други системи o Изтичане на информация поради внедряване на шпионски софтуер и записвачки на клавишни натискания (key loggers), както и случайно изтичане на информация от нормални потребители. o Грешки в настройките на конфигурацията, като приложения или системни с некоректни настройки на сигурността или неправилна мрежова конфигурация, която намалява производителността на мрежата, като и погрешно конфигурирани защитни стени, където наборът от правила не отговаря на политиката за сигурност. o Неоторизирани клиенти или сървъри, включително сървърни приложения за самата мрежа като DHCP или DNS услугата, както и неоторизирани приложения като мрежови сканиращи инструменти или незащитен отдалечен самостоятелен компютър. IDS се опитва да прави оценка на всеки от милионите пакети които наблюдава в
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 4 режим на нормална работа. Определя дали даден пакет се среща нормално в мрежата или е пакет, който независимо поради какви причини, не трябва да се среща в мрежата. В основата си, една IDS не е нищо повече от програма специално обучена да разпознава пакети (sniffer). Тази програма наблюдава преносната среда и записва всички пакети за допълнителен анализ. Един от вариантите за сортиране на текстовите данни е да намерим отличителни характеристики на лошите пакети, като направим преглед на специализираната литература и наличната информация за различните видове мрежови атаки. За всяка атака, за която намерим информация, създаваме съответен филтър на нашата IDS. Въпреки че такъв подход може да отнеме много време, все пак броят на видовете лоши пакети е значително по-малък от броя на видовете добри пакети. Като резултат така изградената IDS страда от голям недостатък. Ако в системата не сме въвели информация за определен вид атака, то системата няма да ни сигнализира за нейната наличност. По същество нашата IDS е реактивна. Ние знаем само за атаки с които някой друг е бил нападнат, той е забелязал това и е известил Интернет общността за случката. Чрез наблюдение на трафика, ние можем да предскажем статистически какъв вид трафик се очаква между всеки две устройства в мрежата. Колкото повече наблюдаваме, толкова по-точни са нашите оценки. За ограничаване на настройките, които трябва да направим, ние дефинираме като нормален за IDS малък набор от възможности. Това означава, че даваме на IDS свобода на преценка какво е нормално и какво не. Не е необходимо когато потребителите направят нещо малко по-различно, веднага да се събира групата по сигурността. Това което се счита за нормално всъщност е малък прозорец на поведение на двете страни, който се определя статистически от IDS. Този подход може да ни защити в бъдеще от нови атаки. Както може да се предполага, новата атака ще използва специфичен, различен вид трафик, който не е бил използван досега. Но въпреки новата IDS не може да бъдем сигурни че сме се защитили. Ако някой постепенно и много внимателно да променя вида на трафика, така че да тренира IDS да не разпознава тези изменения като ненормален трафик. Ако поведението се променя достатъчно бавно, то трафикът винаги ще бъде разпознаван като нормален. Такива атаки биха останали напълно незабелязани от новата ни система. Повечето атаки се основават на незаконно използване на мрежови протоколи. Системите за откриване на нарушители, които в момента съществуват, са несъвършени и много често са непълни. Нито един модел на функциониране на IDS не е в състояние
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 5 да открие всички атаки. Тези системи изискват значителни ресурси при първоначалното инсталиране и настройка. Независимо от продукта и начина, по който той се опитва да открие атаките, такава система винаги ще се нуждае от определен обучителен период за разпознаване на специфичните нужди на мрежата. КЛАСИФИКАЦИЯ НА IDS 3.1 Класификация по предназначението на системата за откриване на атаки Системи за анализ на сигурността (security assessment systems) Наричат се още скенери на сигурността (security scanners). Те функционират на първия етап на реализация на атаката и позволяват да се открият уязвимостите на ИС Системи за блокиране на атаките Функционират на втория етап и позволяват атаката да бъде открита и блокирана. Работят в реален или близък до реалния режими. Системи за откриване на атаки o Функционират на третия етап и позволяват да се открият вече извършени атаки. o Системи за контрол на цялостност – откриват промени в контролираните регистри; o Системи за анализ на дневниците за регистрация. 3.2 Класификация по начина на реализация на системата за откриване на атаки
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 6 o Откриване на атаки насочени към конкретен възел (host-based); o Откриване на атаки насочени към конкретно приложение (Application IDS); o Откриване на атаки насочени към операционната система (OS IDS); o Откриване на атаки насочени към системата за управление на база данни (DBMS IDS); o Откриване на атаки насочени към цялата мрежа или неин сегмент (network-based); ВИДОВЕ IDS. 4.1 Статистически IDS. Статистическите IDS се опитват да разберат нормалното поведение на мрежата и да класифицират като ненормален всеки трафик, който нарушава това нормално поведение.. Един от недостатъците на Статистическите IDS е необходимостта да научат нормалното поведение на мрежата, където има възможност да сметнат нещо необичайно като нормално. За да се намали броя на лъжливите аларми в повечето от този тип IDS се въвежда ниво на чувствителност, което може да се регулира,което може да доведе до генериране на много фалшиви алармени сигнали, и до затормозяване на потребителите и администраторите. Намалението на чувствителността пък ще увеличи вероятността за неоткрита злоупотреба с ресурсите на мрежата. Тясно свързани със статистическите IDS са системите за откриване на аномалии (anomaly detection systems - ADS), или т.нар. системи за откриване на аномалии в протоколите (protocol anomaly detection - PAD). Тези устройства експлоатират
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 7 предположението, че има определен краен брой легални начини да функционира даден протокол. Всяко използване на протокола по друг начин се разглежда като подозрително. 4.2 Съдържателно претърсващи IDS ( Signature-Based IDS) Това са едни от най-разпространените IDS. При тях образци на пакети, с които са направени опити за атака, се въвеждат в базата данни на IDS, след което IDS проверява дали всеки новооткрит пакет съвпада с някой от въведените й в базата данни образци. Пакетите, които съвпадат с образците, се маркират за по-нататъшна проверка. Той обаче страда от два недостатъка: липса на информация за определена атака и липса на образци на пакетите от такава атака. Тези недостатъци произхождат от начина, по който IDS работи. За да се открие определен вид атака някой трябва да положи усилия и да премине през процедурата за дефиниране как тази атака изглежда и през процедурата за конфигуриране на IDS с тази информация. Има два начина за откриване на нарушителите. IDS е базиран Host, основана на мрежата или хибриден на двете модел . Всеки тип системи за откриване на проникване има своите достойнства и недостатъци . Независимо от вида на системи разположени, тя трябва да включва следните основни характеристики: 1) Здрав - IDS трябва да работи непрекъснато(дори на фонов режим) , без чужда намеса. В случай на прекъсване или повреда не е необходимо да се възобновява или преконфигурира. Следва да остане не проницаема за атаки. 2) Гъвкавост и мащаб - Трябва да бъдат гъвкави в отговор на промените в среда на мрежата, също така да бъде в състояние да се справя с нарастването на трафика в мрежата, като поддържа сравнително висока точност при изпълнение. Предимства ● Лесна за изпълнение ● Лека ● Ниско резултатна неверните резултати ● Висок резултат за познатите резултати Недостатъци Слабониво на откриване на заплахи Трудностипри актуализацияна информациятаза нови заплахи
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 8 3)Лесен за употреба - Работи без да консумира много. Въпреки това, трябва да се търси баланс между лекота на използване и ефективността на системата. В една реална ситуация, тя изисква значителни ресурси, за да управлява и използва устройства. 4.3 IDS за хост (Host-Based IDS) IDS за хост е система, която се намира на отделен хост в мрежата. Нейната задача е да открива само атаки насочени към този конкретен хост. Предимството на системата е, че можем да имаме голяма степен на доверие в нея, както и информация за всяка атака предприета към дадения хост. Обикновено трафикът към даден хост е подмножество на трафика в цялата мрежа, което ни позволява ефективно да изградим система от разпределени IDS с по- голяма вероятност на откриване на атаките именно поради малкия и специфичен трафик към конкретните хостове. Тези системи имат и редица недостатъци, като : Зависимостта им от операционната система, което води до големи разходи при хетерогенни мрежи, тъй като при тях ще има нужда от много различни видове IDS. Също така няма ясна представа как точно ще се извършва регистрирането на събитията. Дали това ще се извършва централизирано или поотделно на всеки един хост. 4.4 IDS за мрежа (Network-Based IDS)
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 9 Network Based IDS са системи за откриване на злонамерени действия в рамките на мрежата и пакети, които са в състояние да преминат защитна стена. Следят трафика в реално време и неговите промени , за да открият нарушения и заплахи. IDS за мрежа са устройства, които работят в един мрежови сегмент. Функциониращи в хаотичен режим, тези устройства записват целия трафик в дадения сегмент. Това им дава предимство спрямо ICS за хост, защото могат от едно място да откриват атаки насочени към много хостове. Освен това една или две ICS за мрежа могат много по- лесно да бъдат наблюдавани, отколкото десетки или стотици IDS за хостове. Тези системи имат и редица недостатъци. Първият от тях е, че повечето мрежи са комутируеми (switched). За да могат IDS за мрежа да функционират правилно, те трябва да имат достъп до целия мрежови трафик. Това може да се осигури като комутаторите се конфигурират с пренасочване на портовете (port forwarding), известно също като огледално копие на портовете (port mirroring). Пренасочването на портовете е възможност за препращане на трафика между различните портове към специално отделен порт за наблюдение. Не всички комутатори, особено по- евтините, поддържат тази възможност. Освен това, дори да позволяват пренасочване на портовете, те не винаги поддържат възможността да наблюдават едновременно предаваните и приеманите пакети от тези портове. Най-честият проблем с тези IDS освен неправилната конфигурация , също и
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 10 неверните положителни резултати за заплахи, което означава дори дейността на ръководството се счита за проникване в мрежата. 5.Други IDS IDS системите за мрежа или хост само откриват атаки и други аномалии на мрежовото поведение. Те не дават информация дали са направени легитимни промени в хостовете по мрежата и дали някой е получил достъп до хоста чрез локален терминал или флаш памет. Повечето IDS за мрежа не са в състояние да разберат за такива злоупотреби или промени. Проверката за целостта на файла ни помага за това. (file integrity checker). Ако искаме да знаем за тези събития, задължително е да използваме проверка на целостта на файла (file integrity checker). Проверката на целостта на файла е софтуерна програма, която изчислява MD5 хеш суми на всички програми на даден хост. Целта на програмата за проверка на целостта на файла е да позволи на мрежовия администратор да следи измененията в хиляди файлове и изпълними програми, които се намират на даден хост. Всички програми за проверка на целостта на файл, които се намират в търговската мрежа, позволяват конфигуриране, така че мрежовият администратор да не подлага на проверка някои често използвани файлове. Програмата за проверка на целостта на файл не ви позволява да определите каква промяна е настъпила. Тя само ще потвърди, че файлът е променен. Успехът на тази програма се дължи на интегритета на MD5 хеша, поради което не е препоръчително стойностите на хеша да се пазят на хоста, който се опитвате да защитите. Програмите за проверка на целостта на файловете са от съществено значение при определянето дали са правени промени в даден хост. Докато програмите за проверка на целостта на файловете може да се разглеждат като необходимост в хост машините, то има и друг инструмент на мрежовата сигурност, който е информативен, но някои го смятат за изключително важен. Инструментите, които нападателите използват срещу мрежовите системи, са в непрекъснато развитие. Разработват се нови инструменти, които да се възползват от новооткрити уязвимости. За професионалистите по мрежова сигурност, проблемът е да се определи какви са новите атаки преди те да бъдат
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 11 използвани срещу мрежата и да причинят вреди или да компрометират поверителна информация. Нов подход към решаването на този проблем е да създадем отделна система, чиято единствена цел е да бъде атакувана и разбита. Това е известно като използване на капан наречен “honeypot”. Honeypot, е сървър в мрежата, който е разположен там само за да примами някой да разбие неговата защита. Отделно от него е разположена една IP-невидима система, която действа като мрежов анализатор и която записва всички пакети към и от този сървър. След разбиването на сървъра, пакетите се изследват, за да се определи метода, който е използван за компрометиране на системата. Един път разбрали същността на метода, вече не е трудно всички реално действащи сървъри в мрежата да бъдат защитени срещу тази нова заплаха. Honeypots могат да бъдат класифицирани въз основа на тяхното разполагане и тяхното ниво на ангажираност. Според тяхното разполагане са : производствени и изследователски. Производствените Honeypots са лесни за използване, улавят само ограничена информация, и се използват предимно от компании или корпорации. Те са поставени вътре в производствената мрежа с други производствени сървъри от организация за подобряване на общото им състояние на сигурността. Те дават по-малко информация за заплахите или нападателите, отколкото изследователски Honeypots.
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 12 Изследователски Honeypots са сложни за внедряване и поддръжка, улавят обширна информация, и се използват предимно от научни изследвания, военни или правителствени организации. Събират информация за мотивите и тактиката на blackchat за насочване на различни мрежи. Те се използват за проучване на заплахите, пред които са изправени организациите и научават как да се предпазват по-добре срещу тези заплахи. Honeypot е много полезен срещу често срещаните скриптови атаки в Интернет. Използвайки прекомпилирани заготовки, много хакери с ограничени технически умения, са в състояние да нанесат големи щети в мрежите. При този клас атаки има голяма вероятност за компрометиране на всеки достъпен сървър. Това не означава, че honeypot не може да се използва за записване на действията на по-опитни хакери. Honeypot е интересно устройство за обучение по мрежови атаки и защита на мрежови ресурси; то със сигурност не е най-подходящото средство за залавяне на нападатели. С негова помощ може да се намери необходимата информация за начина на атаката, но използването на нормалните процедури за сигурност ще ни снабдят с тази информация по един или друг начин. ID системи се разработват в отговор на нарастващия брой нападения срещу големите сайтове и мрежи, включително тези на Пентагона, Белия дом, НАТО и Министерството на отбраната на САЩ. Вид система за управление на сигурността на компютри и мрежи. Събира и анализира информация от различни области в рамките на един компютър или мрежа, за да се идентифицират възможните нарушения на сигурността, които включват както прониквания (атаки от извън организацията) и злоупотреба (атаки от рамките на организацията). Използва оценка на уязвимостта (сканиране), която е технология, разработена за оценяване на сигурността на компютърната система или мрежа. Осигуряването на сигурността става все по-трудно, тъй като възможните технологии за атака стават все по-сложни; в същото време, се изисква по-малко технически умения от страна на нападателя. Системи за откриване на нарушители са не несъвършени и непълни. Нито един модел не е в състояние да открие всички атаки. Въпреки недостатъците са основен инструмент в съвременните мрежи.
Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 13 ИЗТОЧНИЦИ: 1. Управление на мрежовата сигурност http://www.nbu.bg/PUBLIC/IMAGES/File/departments/informatics/Emil_Stoilov. pdf 2. Системи за откриване на атаки - http://tuj.asenevtsi.com/Asec10/AIS34.htm 3. Intrusion Detection Systems (IDS) Part 2 - Classification; methods; techniques - http://www.windowsecurity.com/articles-tutorials/intrusion_detection/IDS-Part2- Classification-methods-techniques.html 4. Intrusion Detection - Systems for Today and Tomorrow - http://www.sans.org/reading-room/whitepapers/detection/intrusion-detection- systems-today-tomorrow-341 5. Introduction to Intrusion Detection Systems (IDS) - http://netsecurity.about.com/cs/hackertools/a/aa030504.htm 6. INTRUSION DETECTION SYSTEM - IDS TECHNOLOGY AND DEPLOYMENT https://www.paloaltonetworks.com/resources/learning- center/what-is-an-intrusion-detection-system-ids.html 7. Intrusion Detection and Prevention Systems - http://sanketrjain.com/intrusion- detection-and-prevention-systems/ 8. Intrusion detection - http://searchmidmarketsecurity.techtarget.com/definition/intrusion-detection

Recomendados

с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referatradoatanasov
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAAKASH S
 
Snort IDS/IPS Basics
Snort IDS/IPS BasicsSnort IDS/IPS Basics
Snort IDS/IPS BasicsMahendra Pratap Singh
 
Intrusion Detection Systems (IDS)
Intrusion Detection Systems (IDS)Intrusion Detection Systems (IDS)
Intrusion Detection Systems (IDS)Hachmdhmdzad
 
AN INTRUSION DETECTION SYSTEM
AN INTRUSION DETECTION SYSTEMAN INTRUSION DETECTION SYSTEM
AN INTRUSION DETECTION SYSTEMApoorv Pandey
 
Intrusion prevention system(ips)
Intrusion prevention system(ips)Intrusion prevention system(ips)
Intrusion prevention system(ips)Papun Papun
 
Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1whitehat 'People'
 

Recomendados

с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referatradoatanasov
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAAKASH S
 
Snort IDS/IPS Basics
Snort IDS/IPS BasicsSnort IDS/IPS Basics
Snort IDS/IPS BasicsMahendra Pratap Singh
 
Intrusion Detection Systems (IDS)
Intrusion Detection Systems (IDS)Intrusion Detection Systems (IDS)
Intrusion Detection Systems (IDS)Hachmdhmdzad
 
AN INTRUSION DETECTION SYSTEM
AN INTRUSION DETECTION SYSTEMAN INTRUSION DETECTION SYSTEM
AN INTRUSION DETECTION SYSTEMApoorv Pandey
 
Intrusion prevention system(ips)
Intrusion prevention system(ips)Intrusion prevention system(ips)
Intrusion prevention system(ips)Papun Papun
 
Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1Introduction to IDS & IPS - Part 1
Introduction to IDS & IPS - Part 1whitehat 'People'
 
Intrusion Detection System
Intrusion Detection SystemIntrusion Detection System
Intrusion Detection SystemMohit Belwal
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAkhil Kumar
 
Intrusion Prevention System
Intrusion Prevention SystemIntrusion Prevention System
Intrusion Prevention SystemVishwanath Badiger
 
Introduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsIntroduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsPaul Green
 
intrusion detection system (IDS)
intrusion detection system (IDS)intrusion detection system (IDS)
intrusion detection system (IDS)Aj Maurya
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemSweta Sharma
 
IPS (intrusion prevention system)
IPS (intrusion prevention system)IPS (intrusion prevention system)
IPS (intrusion prevention system)Netwax Lab
 
Industrial Training - Network Intrusion Detection System Using Snort
Industrial Training - Network Intrusion Detection System Using SnortIndustrial Training - Network Intrusion Detection System Using Snort
Industrial Training - Network Intrusion Detection System Using SnortDisha Bedi
 
Intrusion detection system
Intrusion detection system Intrusion detection system
Intrusion detection system gaurav koriya
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemOECLIB Odisha Electronics Control Library
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemRoshan Ranabhat
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Intrusion Detection Systems.pptx
Intrusion Detection Systems.pptxIntrusion Detection Systems.pptx
Intrusion Detection Systems.pptxAnonymousEImkf6RGdQ
 
IDS and IPS
IDS and IPSIDS and IPS
IDS and IPSSantosh Khadsare
 
Ids vs ips
Ids vs ipsIds vs ips
Ids vs ipsTapan Khilar
 
Introduction to Snort
Introduction to SnortIntroduction to Snort
Introduction to SnortHossein Yavari
 
Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewallCoder Tech
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection PresentationMustafash79
 
Threat intelligence notes
Threat intelligence notesThreat intelligence notes
Threat intelligence notesAmgad Magdy
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemklimentina
 
IDS
IDSIDS
IDSssalieva
 

Mais conteúdo relacionado

Mais procurados

Intrusion Detection System
Intrusion Detection SystemIntrusion Detection System
Intrusion Detection SystemMohit Belwal
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAkhil Kumar
 
Introduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsIntroduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsPaul Green
 
intrusion detection system (IDS)
intrusion detection system (IDS)intrusion detection system (IDS)
intrusion detection system (IDS)Aj Maurya
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemSweta Sharma
 
IPS (intrusion prevention system)
IPS (intrusion prevention system)IPS (intrusion prevention system)
IPS (intrusion prevention system)Netwax Lab
 
Industrial Training - Network Intrusion Detection System Using Snort
Industrial Training - Network Intrusion Detection System Using SnortIndustrial Training - Network Intrusion Detection System Using Snort
Industrial Training - Network Intrusion Detection System Using SnortDisha Bedi
 
Intrusion detection system
Intrusion detection system Intrusion detection system
Intrusion detection system gaurav koriya
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemRoshan Ranabhat
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Intrusion Detection Systems.pptx
Intrusion Detection Systems.pptxIntrusion Detection Systems.pptx
Intrusion Detection Systems.pptxAnonymousEImkf6RGdQ
 
Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewallCoder Tech
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection PresentationMustafash79
 
Threat intelligence notes
Threat intelligence notesThreat intelligence notes
Threat intelligence notesAmgad Magdy
 

Mais procurados (20)

Intrusion Detection System
Intrusion Detection SystemIntrusion Detection System
Intrusion Detection System
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Intrusion Prevention System
Intrusion Prevention SystemIntrusion Prevention System
Intrusion Prevention System
 
Introduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsIntroduction To Intrusion Detection Systems
Introduction To Intrusion Detection Systems
 
intrusion detection system (IDS)
intrusion detection system (IDS)intrusion detection system (IDS)
intrusion detection system (IDS)
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
IPS (intrusion prevention system)
IPS (intrusion prevention system)IPS (intrusion prevention system)
IPS (intrusion prevention system)
 
Industrial Training - Network Intrusion Detection System Using Snort
Industrial Training - Network Intrusion Detection System Using SnortIndustrial Training - Network Intrusion Detection System Using Snort
Industrial Training - Network Intrusion Detection System Using Snort
 
Intrusion detection system
Intrusion detection system Intrusion detection system
Intrusion detection system
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 
Intrusion Detection Systems.pptx
Intrusion Detection Systems.pptxIntrusion Detection Systems.pptx
Intrusion Detection Systems.pptx
 
IDS and IPS
IDS and IPSIDS and IPS
IDS and IPS
 
Ids vs ips
Ids vs ipsIds vs ips
Ids vs ips
 
Introduction to Snort
Introduction to SnortIntroduction to Snort
Introduction to Snort
 
Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewall
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection Presentation
 
Threat intelligence notes
Threat intelligence notesThreat intelligence notes
Threat intelligence notes
 

Semelhante a Intrusion detection system - класификация, методи и техники

Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemklimentina
 
Intrusion Detection Systems Presentation
Intrusion Detection Systems PresentationIntrusion Detection Systems Presentation
Intrusion Detection Systems Presentationradoatanasov
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsevation
 
Intrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияIntrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияklimentina
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхUniversity of Economics - Varna
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защитаmarin georgiev
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqMartin Kenarov
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиDido Viktorov
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетMonika Petrova
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
 

Semelhante a Intrusion detection system - класификация, методи и техники (20)

Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
IDS
IDSIDS
IDS
 
Intrusion Detection Systems Presentation
Intrusion Detection Systems PresentationIntrusion Detection Systems Presentation
Intrusion Detection Systems Presentation
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
речник
речникречник
речник
 
Intrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияIntrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификация
 
IDS
IDSIDS
IDS
 
10779
1077910779
10779
 
IDS
IDSIDS
IDS
 
Referat
ReferatReferat
Referat
 
Referat
ReferatReferat
Referat
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защита
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniq
 
Netsec
NetsecNetsec
Netsec
 
86101
8610186101
86101
 
DoS атаки
DoS атакиDoS атаки
DoS атаки
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015
 

Intrusion detection system - класификация, методи и техники

  • 1. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ ИТ ИНОВАЦИИ В БИЗНЕСА Intrusiondetection system (IDS) – класификация,методи и техники Изготвил: Мария Костова ПРОВЕРИЛ: Спец. ИТ иновации в бизнеса Доц.д-р Ст.Дражев Гр.10 , СИН 400445 ас.Радка Начева
  • 2. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 1 Съдържание: 1. Въведение 2. Общ преглед 3. Класификация на IDS. 3.1. Класификация по предназначението на системата за откриване на атаки 3.2. Класификация по начина на реализация на системата за откриване на атаки 4. Видове IDS. 4.1 Статистически IDS (Statistical-Based IDS). 4.2 Съдържателно претърсващи IDS ( Signature-Based IDS). 4.3 IDS за хост(Host-Based IDS ) 4.4 IDS за мрежа (Network-Based IDS) 5. Други IDS 6 Използвана литература
  • 3. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 2 ВЪВЕДЕНИЕ През последните години електронната търговия процъфтява, почти всеки един бизнес се състезава за по-голям пазарен дял в киберпространството. Мрежовите системи на предприятията за неизбежно изложени на нарастващите заплахи както от външни, така и от вътрешни хакери. Като резултат може да има загуба или промяна на критични бизнес данни , срив в услугите ( достъпните),излагане на риск на фирмените бизнес планове или процеси (поверителните). За да се противопоставят на тези заплахи Организацията за информационната сигурност разполага много методи , инструменти и технологии, за да предпази законността на системите, като прилагане на политики и процедури, информираността на потребителите, ползващи системите за защитната стена и проверка на автентичността и системи за контрол на достъпа . ОБЩ ПРЕГЛЕД В същността си, IDS приличат на алармени системи за сграда, в състояние да откриват и да предупреждават системния администратор за потенциално проникване, евентуална загуба на целостта и поверителността на ценни интелектуални активи на предприятието. Защитните стени и системите за проверка на автентичността са ефективни в защитата и предотвратяването на неоторизирания достъп до системите, но нямат възможност да наблюдават трафика в мрежата, където се състоят мнозинството от атаки. Тези атаки могат да бъдат инициирани от недоволни служители и други лица, които имат законен достъп до мрежата и използват тази привилегия да навредят. Защитната стена и системите за проверка на автентичността са от жизненоважно значение, но те работят в точката на влизане в мрежата, ако една атака премине защитната стена, може да броди свободно из цялата мрежа. За да се следи постоянно мрежовия трафик , сигурността на мрежата следва да бъдат допълнени с Systems Intrusion Detection (IDS). (IDS) е инструмент за видимост. IDS се намира от страната на мрежата, наблюдавайки трафика от множество различни точки и предоставя видимост върху състоянието на сигурността в мрежата. Добра аналогия е да се сравни IDS-ът с анализатор на протоколи. Това е инструмент, който се ползва от мрежовия инженер с цел да има възможност за задълбочен преглед на мрежата и да види какво се случва в
  • 4. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 3 нея, понякога с много големи детайли. IDS е „протоколният анализатор“ за инженера/администратора по сигурността. Системата за откриване на проникване (IDS) поглежда дълбоко навътре в мрежата и вижда какво се случва там от гледна точка на сигурността. Може да се каже ,че системата за откриване на проникване е технология за защита на мрежата , първоначално за откриване на слаби, уязвими места в системата. Една IDS трябва само да открие заплахите и като такава е поставена извън мрежовата инфраструктура. Като такава , това означава, че тя не е в истинска комуникация с изпращача и получателя на информация. По-скоро IDS решенията често се възползват от TAP или SPAN порт за анализа на потока трафик, като по този начин се гарантира , че не влияе на производителността на мрежата. IDS следи трафика и отчита резултатите , но не може автоматично да предприеме дадени действия, за да предотврати заплахата. Информацията, предоставена от IDS, ще подпомогне екипите за управление на сигурността и на мрежата да разкрият като начало: o Нарушения в политиката за сигурност на информацията, като системи или потребители, които са стартирали приложения в противоречие с политиката. o Инфекции, като вируси и троянски коне, които имат частичен или цялостен контрол върху вътрешни системи, използвайки ги, за да разпространят инфекцията и да атакуват други системи o Изтичане на информация поради внедряване на шпионски софтуер и записвачки на клавишни натискания (key loggers), както и случайно изтичане на информация от нормални потребители. o Грешки в настройките на конфигурацията, като приложения или системни с некоректни настройки на сигурността или неправилна мрежова конфигурация, която намалява производителността на мрежата, като и погрешно конфигурирани защитни стени, където наборът от правила не отговаря на политиката за сигурност. o Неоторизирани клиенти или сървъри, включително сървърни приложения за самата мрежа като DHCP или DNS услугата, както и неоторизирани приложения като мрежови сканиращи инструменти или незащитен отдалечен самостоятелен компютър. IDS се опитва да прави оценка на всеки от милионите пакети които наблюдава в
  • 5. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 4 режим на нормална работа. Определя дали даден пакет се среща нормално в мрежата или е пакет, който независимо поради какви причини, не трябва да се среща в мрежата. В основата си, една IDS не е нищо повече от програма специално обучена да разпознава пакети (sniffer). Тази програма наблюдава преносната среда и записва всички пакети за допълнителен анализ. Един от вариантите за сортиране на текстовите данни е да намерим отличителни характеристики на лошите пакети, като направим преглед на специализираната литература и наличната информация за различните видове мрежови атаки. За всяка атака, за която намерим информация, създаваме съответен филтър на нашата IDS. Въпреки че такъв подход може да отнеме много време, все пак броят на видовете лоши пакети е значително по-малък от броя на видовете добри пакети. Като резултат така изградената IDS страда от голям недостатък. Ако в системата не сме въвели информация за определен вид атака, то системата няма да ни сигнализира за нейната наличност. По същество нашата IDS е реактивна. Ние знаем само за атаки с които някой друг е бил нападнат, той е забелязал това и е известил Интернет общността за случката. Чрез наблюдение на трафика, ние можем да предскажем статистически какъв вид трафик се очаква между всеки две устройства в мрежата. Колкото повече наблюдаваме, толкова по-точни са нашите оценки. За ограничаване на настройките, които трябва да направим, ние дефинираме като нормален за IDS малък набор от възможности. Това означава, че даваме на IDS свобода на преценка какво е нормално и какво не. Не е необходимо когато потребителите направят нещо малко по-различно, веднага да се събира групата по сигурността. Това което се счита за нормално всъщност е малък прозорец на поведение на двете страни, който се определя статистически от IDS. Този подход може да ни защити в бъдеще от нови атаки. Както може да се предполага, новата атака ще използва специфичен, различен вид трафик, който не е бил използван досега. Но въпреки новата IDS не може да бъдем сигурни че сме се защитили. Ако някой постепенно и много внимателно да променя вида на трафика, така че да тренира IDS да не разпознава тези изменения като ненормален трафик. Ако поведението се променя достатъчно бавно, то трафикът винаги ще бъде разпознаван като нормален. Такива атаки биха останали напълно незабелязани от новата ни система. Повечето атаки се основават на незаконно използване на мрежови протоколи. Системите за откриване на нарушители, които в момента съществуват, са несъвършени и много често са непълни. Нито един модел на функциониране на IDS не е в състояние
  • 6. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 5 да открие всички атаки. Тези системи изискват значителни ресурси при първоначалното инсталиране и настройка. Независимо от продукта и начина, по който той се опитва да открие атаките, такава система винаги ще се нуждае от определен обучителен период за разпознаване на специфичните нужди на мрежата. КЛАСИФИКАЦИЯ НА IDS 3.1 Класификация по предназначението на системата за откриване на атаки Системи за анализ на сигурността (security assessment systems) Наричат се още скенери на сигурността (security scanners). Те функционират на първия етап на реализация на атаката и позволяват да се открият уязвимостите на ИС Системи за блокиране на атаките Функционират на втория етап и позволяват атаката да бъде открита и блокирана. Работят в реален или близък до реалния режими. Системи за откриване на атаки o Функционират на третия етап и позволяват да се открият вече извършени атаки. o Системи за контрол на цялостност – откриват промени в контролираните регистри; o Системи за анализ на дневниците за регистрация. 3.2 Класификация по начина на реализация на системата за откриване на атаки
  • 7. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 6 o Откриване на атаки насочени към конкретен възел (host-based); o Откриване на атаки насочени към конкретно приложение (Application IDS); o Откриване на атаки насочени към операционната система (OS IDS); o Откриване на атаки насочени към системата за управление на база данни (DBMS IDS); o Откриване на атаки насочени към цялата мрежа или неин сегмент (network-based); ВИДОВЕ IDS. 4.1 Статистически IDS. Статистическите IDS се опитват да разберат нормалното поведение на мрежата и да класифицират като ненормален всеки трафик, който нарушава това нормално поведение.. Един от недостатъците на Статистическите IDS е необходимостта да научат нормалното поведение на мрежата, където има възможност да сметнат нещо необичайно като нормално. За да се намали броя на лъжливите аларми в повечето от този тип IDS се въвежда ниво на чувствителност, което може да се регулира,което може да доведе до генериране на много фалшиви алармени сигнали, и до затормозяване на потребителите и администраторите. Намалението на чувствителността пък ще увеличи вероятността за неоткрита злоупотреба с ресурсите на мрежата. Тясно свързани със статистическите IDS са системите за откриване на аномалии (anomaly detection systems - ADS), или т.нар. системи за откриване на аномалии в протоколите (protocol anomaly detection - PAD). Тези устройства експлоатират
  • 8. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 7 предположението, че има определен краен брой легални начини да функционира даден протокол. Всяко използване на протокола по друг начин се разглежда като подозрително. 4.2 Съдържателно претърсващи IDS ( Signature-Based IDS) Това са едни от най-разпространените IDS. При тях образци на пакети, с които са направени опити за атака, се въвеждат в базата данни на IDS, след което IDS проверява дали всеки новооткрит пакет съвпада с някой от въведените й в базата данни образци. Пакетите, които съвпадат с образците, се маркират за по-нататъшна проверка. Той обаче страда от два недостатъка: липса на информация за определена атака и липса на образци на пакетите от такава атака. Тези недостатъци произхождат от начина, по който IDS работи. За да се открие определен вид атака някой трябва да положи усилия и да премине през процедурата за дефиниране как тази атака изглежда и през процедурата за конфигуриране на IDS с тази информация. Има два начина за откриване на нарушителите. IDS е базиран Host, основана на мрежата или хибриден на двете модел . Всеки тип системи за откриване на проникване има своите достойнства и недостатъци . Независимо от вида на системи разположени, тя трябва да включва следните основни характеристики: 1) Здрав - IDS трябва да работи непрекъснато(дори на фонов режим) , без чужда намеса. В случай на прекъсване или повреда не е необходимо да се възобновява или преконфигурира. Следва да остане не проницаема за атаки. 2) Гъвкавост и мащаб - Трябва да бъдат гъвкави в отговор на промените в среда на мрежата, също така да бъде в състояние да се справя с нарастването на трафика в мрежата, като поддържа сравнително висока точност при изпълнение. Предимства ● Лесна за изпълнение ● Лека ● Ниско резултатна неверните резултати ● Висок резултат за познатите резултати Недостатъци Слабониво на откриване на заплахи Трудностипри актуализацияна информациятаза нови заплахи
  • 9. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 8 3)Лесен за употреба - Работи без да консумира много. Въпреки това, трябва да се търси баланс между лекота на използване и ефективността на системата. В една реална ситуация, тя изисква значителни ресурси, за да управлява и използва устройства. 4.3 IDS за хост (Host-Based IDS) IDS за хост е система, която се намира на отделен хост в мрежата. Нейната задача е да открива само атаки насочени към този конкретен хост. Предимството на системата е, че можем да имаме голяма степен на доверие в нея, както и информация за всяка атака предприета към дадения хост. Обикновено трафикът към даден хост е подмножество на трафика в цялата мрежа, което ни позволява ефективно да изградим система от разпределени IDS с по- голяма вероятност на откриване на атаките именно поради малкия и специфичен трафик към конкретните хостове. Тези системи имат и редица недостатъци, като : Зависимостта им от операционната система, което води до големи разходи при хетерогенни мрежи, тъй като при тях ще има нужда от много различни видове IDS. Също така няма ясна представа как точно ще се извършва регистрирането на събитията. Дали това ще се извършва централизирано или поотделно на всеки един хост. 4.4 IDS за мрежа (Network-Based IDS)
  • 10. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 9 Network Based IDS са системи за откриване на злонамерени действия в рамките на мрежата и пакети, които са в състояние да преминат защитна стена. Следят трафика в реално време и неговите промени , за да открият нарушения и заплахи. IDS за мрежа са устройства, които работят в един мрежови сегмент. Функциониращи в хаотичен режим, тези устройства записват целия трафик в дадения сегмент. Това им дава предимство спрямо ICS за хост, защото могат от едно място да откриват атаки насочени към много хостове. Освен това една или две ICS за мрежа могат много по- лесно да бъдат наблюдавани, отколкото десетки или стотици IDS за хостове. Тези системи имат и редица недостатъци. Първият от тях е, че повечето мрежи са комутируеми (switched). За да могат IDS за мрежа да функционират правилно, те трябва да имат достъп до целия мрежови трафик. Това може да се осигури като комутаторите се конфигурират с пренасочване на портовете (port forwarding), известно също като огледално копие на портовете (port mirroring). Пренасочването на портовете е възможност за препращане на трафика между различните портове към специално отделен порт за наблюдение. Не всички комутатори, особено по- евтините, поддържат тази възможност. Освен това, дори да позволяват пренасочване на портовете, те не винаги поддържат възможността да наблюдават едновременно предаваните и приеманите пакети от тези портове. Най-честият проблем с тези IDS освен неправилната конфигурация , също и
  • 11. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 10 неверните положителни резултати за заплахи, което означава дори дейността на ръководството се счита за проникване в мрежата. 5.Други IDS IDS системите за мрежа или хост само откриват атаки и други аномалии на мрежовото поведение. Те не дават информация дали са направени легитимни промени в хостовете по мрежата и дали някой е получил достъп до хоста чрез локален терминал или флаш памет. Повечето IDS за мрежа не са в състояние да разберат за такива злоупотреби или промени. Проверката за целостта на файла ни помага за това. (file integrity checker). Ако искаме да знаем за тези събития, задължително е да използваме проверка на целостта на файла (file integrity checker). Проверката на целостта на файла е софтуерна програма, която изчислява MD5 хеш суми на всички програми на даден хост. Целта на програмата за проверка на целостта на файла е да позволи на мрежовия администратор да следи измененията в хиляди файлове и изпълними програми, които се намират на даден хост. Всички програми за проверка на целостта на файл, които се намират в търговската мрежа, позволяват конфигуриране, така че мрежовият администратор да не подлага на проверка някои често използвани файлове. Програмата за проверка на целостта на файл не ви позволява да определите каква промяна е настъпила. Тя само ще потвърди, че файлът е променен. Успехът на тази програма се дължи на интегритета на MD5 хеша, поради което не е препоръчително стойностите на хеша да се пазят на хоста, който се опитвате да защитите. Програмите за проверка на целостта на файловете са от съществено значение при определянето дали са правени промени в даден хост. Докато програмите за проверка на целостта на файловете може да се разглеждат като необходимост в хост машините, то има и друг инструмент на мрежовата сигурност, който е информативен, но някои го смятат за изключително важен. Инструментите, които нападателите използват срещу мрежовите системи, са в непрекъснато развитие. Разработват се нови инструменти, които да се възползват от новооткрити уязвимости. За професионалистите по мрежова сигурност, проблемът е да се определи какви са новите атаки преди те да бъдат
  • 12. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 11 използвани срещу мрежата и да причинят вреди или да компрометират поверителна информация. Нов подход към решаването на този проблем е да създадем отделна система, чиято единствена цел е да бъде атакувана и разбита. Това е известно като използване на капан наречен “honeypot”. Honeypot, е сървър в мрежата, който е разположен там само за да примами някой да разбие неговата защита. Отделно от него е разположена една IP-невидима система, която действа като мрежов анализатор и която записва всички пакети към и от този сървър. След разбиването на сървъра, пакетите се изследват, за да се определи метода, който е използван за компрометиране на системата. Един път разбрали същността на метода, вече не е трудно всички реално действащи сървъри в мрежата да бъдат защитени срещу тази нова заплаха. Honeypots могат да бъдат класифицирани въз основа на тяхното разполагане и тяхното ниво на ангажираност. Според тяхното разполагане са : производствени и изследователски. Производствените Honeypots са лесни за използване, улавят само ограничена информация, и се използват предимно от компании или корпорации. Те са поставени вътре в производствената мрежа с други производствени сървъри от организация за подобряване на общото им състояние на сигурността. Те дават по-малко информация за заплахите или нападателите, отколкото изследователски Honeypots.
  • 13. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 12 Изследователски Honeypots са сложни за внедряване и поддръжка, улавят обширна информация, и се използват предимно от научни изследвания, военни или правителствени организации. Събират информация за мотивите и тактиката на blackchat за насочване на различни мрежи. Те се използват за проучване на заплахите, пред които са изправени организациите и научават как да се предпазват по-добре срещу тези заплахи. Honeypot е много полезен срещу често срещаните скриптови атаки в Интернет. Използвайки прекомпилирани заготовки, много хакери с ограничени технически умения, са в състояние да нанесат големи щети в мрежите. При този клас атаки има голяма вероятност за компрометиране на всеки достъпен сървър. Това не означава, че honeypot не може да се използва за записване на действията на по-опитни хакери. Honeypot е интересно устройство за обучение по мрежови атаки и защита на мрежови ресурси; то със сигурност не е най-подходящото средство за залавяне на нападатели. С негова помощ може да се намери необходимата информация за начина на атаката, но използването на нормалните процедури за сигурност ще ни снабдят с тази информация по един или друг начин. ID системи се разработват в отговор на нарастващия брой нападения срещу големите сайтове и мрежи, включително тези на Пентагона, Белия дом, НАТО и Министерството на отбраната на САЩ. Вид система за управление на сигурността на компютри и мрежи. Събира и анализира информация от различни области в рамките на един компютър или мрежа, за да се идентифицират възможните нарушения на сигурността, които включват както прониквания (атаки от извън организацията) и злоупотреба (атаки от рамките на организацията). Използва оценка на уязвимостта (сканиране), която е технология, разработена за оценяване на сигурността на компютърната система или мрежа. Осигуряването на сигурността става все по-трудно, тъй като възможните технологии за атака стават все по-сложни; в същото време, се изисква по-малко технически умения от страна на нападателя. Системи за откриване на нарушители са не несъвършени и непълни. Нито един модел не е в състояние да открие всички атаки. Въпреки недостатъците са основен инструмент в съвременните мрежи.
  • 14. Intrusion detection system- класификация,методии техники Мария Костова, ИУ-Варна 13 ИЗТОЧНИЦИ: 1. Управление на мрежовата сигурност http://www.nbu.bg/PUBLIC/IMAGES/File/departments/informatics/Emil_Stoilov. pdf 2. Системи за откриване на атаки - http://tuj.asenevtsi.com/Asec10/AIS34.htm 3. Intrusion Detection Systems (IDS) Part 2 - Classification; methods; techniques - http://www.windowsecurity.com/articles-tutorials/intrusion_detection/IDS-Part2- Classification-methods-techniques.html 4. Intrusion Detection - Systems for Today and Tomorrow - http://www.sans.org/reading-room/whitepapers/detection/intrusion-detection- systems-today-tomorrow-341 5. Introduction to Intrusion Detection Systems (IDS) - http://netsecurity.about.com/cs/hackertools/a/aa030504.htm 6. INTRUSION DETECTION SYSTEM - IDS TECHNOLOGY AND DEPLOYMENT https://www.paloaltonetworks.com/resources/learning- center/what-is-an-intrusion-detection-system-ids.html 7. Intrusion Detection and Prevention Systems - http://sanketrjain.com/intrusion- detection-and-prevention-systems/ 8. Intrusion detection - http://searchmidmarketsecurity.techtarget.com/definition/intrusion-detection