Warum bei IDS?
Was die Sicherheit der Netze, Menschen erster Gedanke ist eine Firewall. Aber mit der Technik, die wachsende Komplexität von Netzwerken, belichtet die traditionelle Firewall die Unzulänglichkeiten und Schwächen führt die Menschen in Intrusion Detection Systeme (IDS) Technologie Forschung und Entwicklung. Vor allem die traditionelle Firewall bei der Arbeit, als ob ihre große hohen Mauern, kann aber nicht blockieren die kleine Maus zu Hause und sogar wie ein Dieb in den Angriff, weil der Eindringling hinter der Firewall in die offene Hintertür gefunden werden könnten. Zweitens, die Firewall kann nicht verhindern, Angriffe von innen, und durch die Umfrage ergab, dass 50% der Angriffe von innen kommen, für die interne unzufriedene Mitarbeiter, die Firewall nutzlos. Darüber hinaus werden wegen Leistungseinschränkungen, die Firewall in der Regel nicht bieten Echtzeit-Intrusion-Detection-Fähigkeiten, die sind, denn nun aufkommenden Techniken des Angriffs ist von wesentlicher Bedeutung. Viertens muss die Firewall für das Virus ist fehlgeschlagen. So, dass der Eingang zum Einsatz in der Internet-Sicherheit Firewall-Systeme genug Idee unrealistisch ist.
Intrusion Detection System (IDS) können bis zum Fehlen einer Firewall für Netzwerk-Sicherheit in Echtzeit Intrusion Detection stellen und die erforderlichen Schutzmaßnahmen, wie beispielsweise der Aufzeichnung Beweise für die Verfolgung, die Verwertung, aus dem Netzwerk-Verbindungen getrennt.
IDS Konzept Analyse
Intrusion Detection System Intrusion-weit als Detective System, bekannt, welche aus dem Computer-Netzwerk-System Informationen über einige wichtige Punkte zu sammeln, zu analysieren und die Information, ob das Netzwerk Verletzungen der Sicherheitsrichtlinien und die Angriffe auf das Verhalten der Zeichen. Firewall, Intrusion Detection ist nach dem zweiten Tor der Sicherheit betrachtet. IDS vor allem die folgenden Aufgaben:
1. Beobachten und analysieren Benutzer-und System-Aktivität.
2. Systemaufbau und Schwächen der Prüfung.
3. Identifizieren bekannten Angriffsmethoden Handlungsmuster spiegelt die relevante Person an die Polizei.
4. Statistische Analyse der abnormen Verhalten.
5. Bewertung kritischer Systeme und Daten Integrität des Dokuments.
6. Operating System Audit-Trail-Management und Benutzer identifizieren, welche Sicherheitspolitik Verhalten zu verletzen.
Eine erfolgreiche Intrusion Detection System ermöglicht nicht nur Systemadministratoren immer wissen, das Netzwerk-System (einschließlich der Programme, Dateien und Hardware-Geräte, etc.) über alle Änderungen im Netzwerk können die Grundlage für die Formulierung der Sicherheitspolitik geben. Es sollte eine einfache Konfiguration zu verwalten, so dass Nicht-Profis ist sehr einfach Zugriff auf Netzwerk-Sicherheit. Das Ausmaß der Intrusion-Detection-Netzwerk sollte auf Größe, Struktur und Sicherheitsbedürfnisse des Systems beruhen wird geändert. Intrusion Detection System wurde nach dem Einmarsch gefunden wird, rechtzeitig zu reagieren, einschließlich der Netzwerk-Verbindungen abgeschnitten, melden Sie Ereignisse und Alarme. IDS-Systeme arbeiten in Abbildung 1 dargestellt.
Abbildung 1 IDS Werke Diagramm
IDS Klassifizierung
Intrusion Detection durch den Prozess und die Merkmale der, das Sicherheitssystem auf den Prozess der Invasion zu machen und die Invasion der Reaktion in Echtzeit.
Im Allgemeinen wird die Intrusion-Detection-System die folgenden zwei Technologien:
Eine ungewöhnliche Entdeckung Technologie. Angenommen, alle Verletzungen von normalen Verhalten. Wenn die Länge der normalen Verhalten des Systems zu etablieren, ist es theoretisch möglich, all die verschiedenen Systeme und der normale Zustand als eine verdächtige Versuch Länge. Und Merkmale von abnormen Schwelle für die Auswahl ist der Schlüssel technischen Anomalie gefunden wurde. Zum Beispiel durch statistische Analyse der abnormen Fluss der Zeit als ein verdächtiger Netzwerkverkehr Anomalien. Fehlbildungen wurden die Grenzen der Technik ist nicht alles für die Invasion haben gezeigt, abnormal, und das System schwer zu berechnen und aktualisieren die Flugbahn.
Zweitens Muster Entdeckung Techniken. Annehmen, dass alle der Verletzungen und die Mittel (und ihre Varianten) kann als ein Muster oder eine Funktion ausgedrückt werden, dann werden alle bekannten invasiven Methoden mit der passenden Methode gefunden werden kann. Pattern Entdeckung, ist der Schlüssel, wie die Expression der Invasion, die Invasion und das normale Verhalten von realen Unterschied. Pattern Entdeckung hat den Vorteil, weniger False Positives, ist beschränkt, dass sie nur in bekannten Angriffe gefunden werden, unbekannte Angriffe auf hilflos.
Intrusion Detection System nach der Quelle der Eingabedaten Sicht lässt sich in drei Kategorien unterteilt werden:
1. Host-based Intrusion Detection System: die Input-Daten aus dem System Audit-Logs, in der Regel kann nur erkennen, das Auftreten von Host-Invasion.
2. Based Network Intrusion Detection System: die Input-Daten aus dem Netz der Informationsfluss, den Einbruch zu entdecken aufgetreten Segment.
3. Mit den beiden Datenquellen verteilten Intrusion Detection System; gleichzeitig analysiert die Audit-Logs aus dem Host-System und Network Intrusion Detection System Datenstrom, normal verteilten Architektur, bestehend aus mehreren Teilen.
Behavior-basierten Nachweismethoden sind: Wahrscheinlichkeit, Statistik und Neuronalen Netzen.
Obwohl die vorliegende Methode gute Ergebnisse in einigen Bereichen haben kann, aber weniger als Ganzes, haben ihre eigene, für sich allein zu beurteilen, sind unerwünscht. So, jetzt mehr und mehr Intrusion-Detection-Systeme haben diese beiden Bereiche Technik, unzureichende ergänzende Prüfung zusammen, um Aufgaben zu erledigen.