Сочинение на тему Хост-системы обнаружения вторжений
- Опубликовано: 27.09.2020
- Предмет: Информационная наука, преступление
- Темы: Безопасность, Информационные технологии, Компьютерная безопасность
Вторжение – это случай, когда кто-то попадает в ситуацию или место, где ему не нужны или не разрешены. Это относится к действиям вторжения или нежелательного посещения, вмешательству в чьи-либо дела и насильственному проникновению в любую ситуацию. В области информационной безопасности Intrusion – это любой несанкционированный доступ в сеть.
Взломщики
В области информационной безопасности одной из двух наиболее известных угроз безопасности является злоумышленник, которого обычно называют хакером или взломщиком. Нарушители – это те, кто пытается проникнуть в частную жизнь сети
Классы злоумышленников:
Как правило, злоумышленники делятся на три категории.
- Masquerader:
- Физическое лицо, которому не разрешено использовать компьютер и которое проникает в систему контроля доступа системы для использования учетной записи законного пользователя
- Маскарадер скорее всего будет аутсайдером
- Misfeasor:
- Тайный пользователь:
- Лицо, осуществляющее надзорный контроль над системой и использующее этот контроль для обхода аудита и контроля доступа или для подавления сбора аудита
- Тайный пользователь может быть как посторонним, так и инсайдерским.
Законный пользователь, который получает доступ к данным, программам или ресурсам, для которых такой доступ не авторизован, или кто авторизован для такого доступа, но злоупотребляет своими привилегиями, поскольку нарушитель прав обычно является инсайдером
Система обнаружения вторжений (IDS)
IDS – это устройство или программное приложение, которое отслеживает системы или сеть на предмет вредоносных действий или нарушений политики.
О любых обнаруженных действиях или нарушениях обычно сообщается сетевому администратору. Существует широкий спектр IDS, от антивирусного программного обеспечения до иерархических систем, которые отслеживают трафик всей сети.
Типы IDS:
Наиболее распространенные классификации:
- системы обнаружения вторжений в сеть (NIDS)
- хост-системы обнаружения вторжений (HIDS)
Хост-системы обнаружения вторжений (HIDS):
Система, которая отслеживает важные файлы операционной системы, является примером HIDS.
Системы обнаружения вторжений хостов (HIDS) работают на отдельных хостах или устройствах в сети. HIDS контролирует входящие и исходящие пакеты только с устройства и предупреждает пользователя или администратора в случае обнаружения подозрительной активности. Он делает снимок существующих системных файлов и сопоставляет его с предыдущим снимком. Если критические системные файлы были изменены или удалены, администратору отправляется предупреждение для расследования. Пример использования HIDS можно увидеть на критически важных компьютерах, которые не должны изменять свои конфигурации.
Системы обнаружения сетевых атак (NIDS):
Система, которая анализирует входящий сетевой трафик, является примером NIDS.
Сетевые системы обнаружения вторжений (NIDS) размещаются в стратегических точках или точках в сети для мониторинга трафика ко всем устройствам в сети и от них. Он выполняет анализ проходящего трафика по всей подсети и сопоставляет трафик, передаваемый в подсетях, с библиотекой известных атак. Как только атака обнаружена или обнаружено ненормальное поведение, предупреждение может быть отправлено администратору. Snort – это широко используемый инструмент для систем обнаружения сетевых вторжений. Системы NID также способны сравнивать подписи для похожих пакетов, чтобы связывать и отбрасывать обнаруженные вредоносные пакеты, подпись которых соответствует записям в NIDS.
Когда мы классифицируем дизайн NIDS в соответствии со свойством интерактивности системы, существует два типа: NIDS в режиме онлайн и в автономном режиме, часто называемые как inline и mode tap соответственно. NIDS онлайн работает с сетью в режиме реального времени. Он анализирует пакеты Ethernet и применяет некоторые правила, чтобы решить, является ли это атака или нет. Автономный NIDS обрабатывает хранимые данные и передает их через некоторые процессы, чтобы определить, является ли это атакой или нет.
Методы, используемые в IDS:
Также возможно классифицировать IDS по подходу обнаружения, наиболее известные варианты:
- Обнаружение на основе сигнатур (распознавание плохих шаблонов, таких как вредоносные программы)
Обнаружение базы подписи:
IDS на основе сигнатур относится к обнаружению атак путем поиска определенных шаблонов, таких как последовательности байтов в сетевом трафике или известные последовательности вредоносных команд, используемые вредоносным ПО. [2] Эта терминология происходит от антивирусного программного обеспечения, которое называет эти обнаруженные шаблоны сигнатурами. Хотя IDS на основе сигнатур может легко обнаруживать известные атаки, невозможно обнаружить новые атаки, для которых нет доступных шаблонов.
Обнаружение аномальной базы:
Системы обнаружения вторжений, основанные на аномалиях, были в основном внедрены для обнаружения неизвестных атак, отчасти из-за быстрого развития вредоносных программ. Основной подход заключается в использовании машинного обучения для создания модели заслуживающей доверия деятельности, а затем сравнения нового поведения с этой моделью. Хотя этот подход позволяет обнаруживать ранее неизвестные атаки, он может страдать от ложных срабатываний, ранее неизвестные законные действия также могут быть классифицированы как вредоносные.
Использование IDS:
Система обнаружения вторжений может называться системой управления как для компьютеров, так и для сетей. Это комбинация архитектурных устройств и программных приложений с целью обнаружения вредоносных действий и нарушений политик и составления отчета об этом.
Система обнаружения вторжений может контролировать сеть на предмет любых оскорбительных, ненормальных или злонамеренных действий. Он ведет журнал каждой вредоносной или оскорбительной деятельности. Эти журналы очень важны для специалистов по безопасности, чтобы предпринять какие-либо шаги или установить какие-либо правила против этих действий.
Журналы, хранящиеся в IDS, могут быть использованы против обидчика в качестве доказательства принятия любого юридического шага.
Обнаружены слабости:
Часто системы обнаружения вторжений часто выдают ложные сообщения о вредоносной деятельности. Иногда это игнорирует реальную вредоносную деятельность.
Одной из ключевых особенностей большинства систем обнаружения вторжений является то, что они работают с зашифрованными пакетами. Эти зашифрованные пакеты сложны для анализа. Существуют различные способы предотвращения обнаружения атак IDS.
Подпись должна поддерживаться в актуальном состоянии. Если подпись слишком конкретна, атаку можно изменить, чтобы избежать обнаружения. Слишком много трафика, чтобы все проанализировать.
IPS
Система предотвращения вторжений (IPS) – это технология сетевой безопасности / предотвращения угроз, которая проверяет потоки сетевого трафика для обнаружения и предотвращения вторжений. Системы обнаружения и предотвращения вторжений (IDPS) в первую очередь направлены на выявление возможных инцидентов, регистрацию информации о них и отчеты о попытках. Кроме того, организации используют IDPS для других целей, таких как выявление проблем с политиками безопасности, документирование существующих угроз и удержание отдельных лиц от нарушения политик безопасности. IDPS стали необходимым дополнением к инфраструктуре безопасности почти каждой организации. [6]
IDPS обычно записывают информацию, связанную с наблюдаемыми событиями, уведомляют администраторов безопасности о важных наблюдаемых событиях и создают отчеты. Многие IDPS также могут реагировать на обнаруженную угрозу, пытаясь предотвратить ее успех. Они используют несколько методов ответа, которые включают в себя IDPS, который останавливает саму атаку, изменяет среду безопасности (например, переконфигурирует брандмауэр) или изменяет содержание атаки. [6]
Системы предотвращения вторжений (IPS), также известные как системы обнаружения и предотвращения вторжений (IDPS), представляют собой устройства сетевой безопасности, которые отслеживают сетевую или системную активность на предмет вредоносных действий. Основными функциями систем предотвращения вторжений являются идентификация злонамеренных действий, регистрация информации об этом действии, сообщение о нем и попытка заблокировать или остановить его. [7].
IPS предпринимает действия, если в системе обнаружено какое-либо вторжение. эти действия включают в себя:
Отправка тревоги администратору (как видно из IDS). Удаление вредоносных пакетов. Блокировка трафика с адреса источника. Сброс соединения.
Инструменты для IDS и IPS:
- Snort
- Suricata
<Литий> ACARM-нг - ПАМЯТНАЯ
- Bro NIDS
- Fail2ban
- OSSEC HIDS
- Гибридные IDS Prelude
- Саган
- Самайн
Кибербезопасность или защита информационных технологий – это методы защиты компьютеров, сетей, программ и данных от несанкционированного доступа или атак, направленных на эксплуатацию. Существует четыре типа
Группа реагирования на инциденты в области компьютерной безопасности (CSIRT, пояснено «see-sirt») – это подразделение, которое получает отчеты о взрывах безопасности, проводит проверки отчетов и отвечает
Ахмад Альдхафири CEGR 4802/1/2018 ГИС Геоинформационная система (ГИС) – это система, предназначенная для сбора, хранения, обработки, анализа, управления и представления всех типов географических данных. Ключевым