¿Por qué utilizar IDS?
En cuanto a seguridad de red, pensaba que la gente primero es un servidor de seguridad. Pero con la tecnología, la creciente complejidad de las redes, el firewall tradicionales expuestos las deficiencias y debilidades lleva a la gente a los sistemas de detección de intrusos (IDS) de investigación y desarrollo tecnológico. En primer lugar, el servidor de seguridad tradicionales en el trabajo, como si sus paredes altas grande, pero no puede bloquear la casa del ratón pequeño e incluso como un ladrón en el ataque porque el intruso podría estar detrás del firewall se pueden encontrar en la puerta de atrás abierta. En segundo lugar, el servidor de seguridad no puede prevenir los ataques desde dentro, ya través de la encuesta encontró que el 50% de los ataques le vienen de dentro, por empleados descontentos internos, el firewall inútil. Además, debido a las limitaciones de rendimiento, el servidor de seguridad por lo general no pueden proporcionar en tiempo real la capacidad de detección de intrusos, este ataque sin fin para la tecnología actual es esencial. En cuarto lugar, el servidor de seguridad para que el virus ha fallado. De modo que la entrada de la implementación en los sistemas de cortafuegos de seguridad en Internet idea bastante poco realista.
Intrusion Detection System (IDS) puede compensar la falta de un firewall para una seguridad de red para proporcionar en tiempo real de detección de intrusos y tomar las necesarias medidas de protección tales como registro de las pruebas para el seguimiento, la recuperación, desconectada de las conexiones de red.
IDS análisis de concepto
Detección de Intrusos en todo el sistema conocido como el detective de intrusos del sistema, que desde el sistema de red informática para recabar información sobre varios puntos clave, y analizar la información, compruebe si la red de violaciónes de políticas de seguridad y los ataques sobre el comportamiento de los signos. Firewall, detección de intrusos se considera después de la segunda puerta de seguridad. IDS principalmente realiza las siguientes tareas:
1. Observar, analizar la actividad del sistema y de usuario.
2. Estructura del sistema y las debilidades de la auditoría.
3. Identificar patrones de ataque conocidos de la actividad refleja las personas pertinentes a la policía.
4. Análisis estadístico de la conducta anormal.
5. Evaluación de los sistemas críticos y la integridad de los datos del documento.
6. usuarios del sistema operativo de auditoría de gestión de rastro, e identificar comportamientos que violan las políticas de seguridad.
Un sistema de detección de intrusiones con éxito no sólo permite a los administradores de sistemas conocer el sistema de red (incluyendo programas, archivos y dispositivos de hardware, etc) de cualquier cambio en la red puede servir de base para la formulación de la política de seguridad. Se debe administrar una configuración sencilla, de manera que los no profesionales es de fácil acceso a la seguridad de la red. La escala de detección de intrusiones debe basarse en el tamaño de la red, la estructura y las necesidades de seguridad del sistema es cambiado. sistema de detección de intrusiones se encontró después de la invasión, responderá de manera oportuna, incluyendo el corte de las conexiones de red, registro de eventos y alarmas. sistemas IDS trabajo se muestra en la Figura 1.
Figura 1 Diagrama de las obras IDS
IDS clasificación
De detección de intrusos a través del proceso y las características del sistema de seguridad para que el proceso de la invasión y la invasión de respuesta en tiempo real.
En general, el sistema de detección de intrusos utiliza los siguientes dos tecnologías:
Una tecnología de descubrimiento inusual. Suponga que todas las violaciónes son diferentes de comportamiento normal. Si la pista de la conducta normal para establecer el sistema, es teóricamente posible el seguimiento de todos los diferentes sistemas y el estado normal como un intento sospechoso. umbral de selección de rasgos anormales es la excepción y encontrar la clave de la tecnología. Por ejemplo, a través de análisis estadístico del flujo anormal de tiempo, como anomalías de tráfico sospechoso de la red. Anomalías eran las limitaciones de la tecnología no es todo para la invasión han demostrado anormal, y el sistema difíciles de calcular y actualizar la trayectoria.
En segundo lugar, las técnicas de descubrimiento de patrones. Suponga que todas las violaciónes y los medios (y sus variantes) se puede expresar como un patrón o característica, entonces todos los métodos invasivos conocido puede ser visto con el método de emparejamiento. descubrimiento de patrones, la clave es cómo el patrón de expresión de la invasión, la invasión y el comportamiento normal de distinción real. descubrimiento de patrones tiene la ventaja de menos falsos positivos, la limitación es que sólo se puede encontrar en los ataques conocidos, desconocidos en los ataques impotentes.
Intrusion Detection System, según la fuente del punto de entrada de datos de vista, se puede dividir en tres categorías:
1. Sistema de detección de intrusos basado en host: sus datos de entrada de la auditoría los registros del sistema, por lo general sólo se puede detectar la aparición de la invasión del huésped.
2. Intrusos basados en red del sistema de detección: sus datos de entrada de la red del flujo de información, para detectar la intrusión ocurrió segmento.
3. Uso de las dos fuentes de datos, sistema distribuido de detección de intrusos; analizar simultáneamente los registros de auditoría del sistema de acogida y de intrusión en la red de detección de flujo de datos del sistema, normalmente arquitectura distribuida, compuesta de partes múltiples.
métodos de detección basados en comportamiento son: las estadísticas de probabilidad y redes neuronales.
Aunque este método puede tener buenos resultados en algunas áreas, pero inferior al conjunto, tienen su propio, por sí solos para evaluar son indeseables. Así que ahora cada vez más sistemas de detección de intrusos tienen estos dos ámbitos de la tecnología, la insuficiencia complementarios juntos para completar las tareas de la prueba.