IDS

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Система виявлення атак (вторгнень) — програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. Відповідний англійський термін — Intrusion Detection System (IDS). Системи виявлення вторгнень забезпечують додатковий рівень захисту комп'ютерних систем разом з системою запобігання вторгненням (IPS — англ. Intrusion Prevention System).

IDS можуть сповістити про початок атаки на мережу, причому деякі з них здатні виявляти paніш не відомі атаки. IPS не обмежуються лише оповіщенням, але й здійснюють piзні заходи, спрямовані на блокування атаки (наприклад. розрив з'єднання або виконання скрипта, заданого адміністратором). На практиці досить часто програмно-апаратні рішення поєднують у co6і функціональністъ двох типів систем. Їх об'єднання тоді називають IDPS (IDS i IPS)[1].

Порівняння IDS і файрвола[ред.ред. код]

Хоча й IDS, і міжмережевий екран відносяться до засобів забезпечення інформаційної безпеки, міжмережевий екран відрізняється тим, що обмежує надходження на хост або підмережу певних видів трафіку для запобігання вторгнень і не відслідковує вторгнення, які відбуваються всередині мережі. IDS, навпаки, пропускає трафік, аналізуючи його і сигналізуючи при виявленні підозрілої активності. Виявлення порушення безпеки проводиться звичайно з використанням евристичних правил та аналізу сигнатур відомих комп'ютерних атак.

Класифікація IDS[ред.ред. код]

Статичні і динамічні IDS[ред.ред. код]

  • Статичні засоби роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе ПО, помилки в конфігураціях і т. д. Статичні IDS перевіряють версії прикладних програм на наявність відомих вразливостей і слабких паролів, перевіряють вміст спеціальних файлів в директоріях користувачів або перевіряють конфігурацію відкритих мережевих сервісів. Статичні IDS виявляють сліди вторгнення.
  • Динамічні IDS здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети, що передаються за певний проміжок часу. Динамічні IDS реалізують аналіз в реальному часі і дозволяють постійно стежити за безпекою системи.

Мережеві та системні IDS[ред.ред. код]

  • Мережеві (Network-based IDS, NIDS) контролюють пакети в мережевому оточенні і виявляють спроби зловмисника проникнути всередину системи або реалізувати атаку «відмова в обслуговуванні». Ці IDS працюють з мережевими потоками даних. Типовий приклад NIDS — система, яка контролює велике число TPC-запитів на з'єднання (SYN) з багатьма портами на обраному комп'ютері, виявляючи, таким чином, що хтось намагається здійснити сканування TCP — портів. Мережева IDS може запускатися або на окремому комп'ютері, який контролює свій власний трафік, або на виділеному комп'ютері, прозоро переглядають весь трафік у мережі (концентратор, маршрутизатор). Мережеві IDS контролюють багато комп'ютерів, тоді як інші IDS контролюють тільки один. Прикладом мережевої IDS є Snort.
  • IDS, які встановлюються на хості і виявляють зловмисні дії на ньому називаються хостовими або системними IDS. Прикладами хостових IDS можуть бути системи контролю цілісності файлів, які перевіряють системні файли з метою визначення, коли в них були внесені зміни. Монітори реєстраційних файлів (Log — file monitors, LFM), контролюють реєстраційні файли, створювані мережевими сервісами і службами. Обманні системи, що працюють з псевдосервісами, мета яких полягає у відтворенні добре відомих вразливостей для обману зловмисників.

Аналіз сигнатур і протоколів[ред.ред. код]

  • Аналіз сигнатур був першим методом, застосованим для виявлення вторгнень. Він базується на простому понятті збігу послідовності зі зразком. У вхідному пакеті проглядається байт за байтом і порівнюється з сигнатурою (підписом) — характерним рядком програми, що вказує на характеристику шкідливого трафіку. Такий підпис може містити ключову фразу або команду, яка пов'язана з нападом. Якщо збіг знайдено, оголошується тривога.
  • Другий метод аналізу полягає в розгляді строго форматованих даних трафіку мережі, відомих як протоколи. Кожен пакет супроводжується різними протоколами. Кожен протокол має кілька полів з ​​очікуваними або нормальними значеннями. Якщо що-небудь порушує ці стандарти, то ймовірна зловмисність. IDS переглядає кожне поле всіх протоколів вхідних пакетів: IP, TCP, і UDP. Якщо є порушення протоколу, наприклад, якщо він містить несподівані значення в одному з полів, оголошується тривога.
    • PIDS (Protocol — based IDS) являє собою систему (або агента), яка відстежує і аналізує комунікаційні протоколи з пов'язаними системами або користувачами. Для веб-сервера подібна IDS зазвичай веде спостереження за HTTP і HTTPS протоколами. При використанні HTTPS IDS повинна розташовуватися на такому інтерфейсі, щоб переглядати HTTPS пакети ще до їх шифрування і відправки в мережу.
    • APIDS (Application Protocol — based IDS) — це система (або агент), яка веде спостереження та аналіз даних, переданих з використанням специфічних для певних програм протоколів. Наприклад, на веб-сервері з SQL базою даних IDS буде відслідковувати вміст SQL команд, що передаються на сервер.

Класифікація IPS[ред.ред. код]

  • Мережеві IPS (Network — based Intrusion Prevention, NIPS): відстежують трафік в комп'ютерній мережі і блокують підозрілі потоки даних.
  • IPS для бездротових мереж (Wireless Intrusion Prevention Systems, WIPS): перевіряє активність в бездротових мережах. Зокрема, виявляє невірно сконфігуровані точки бездротового доступу до мережі, атаки людина посередині, спуфинг MAC-адрес.
  • Поведінковий аналіз мережі (Network Behavior Analysis, NBA): аналізує мережевий трафік, ідентифікує нетипові потоки, наприклад DoS і DDoS атаки.
  • Система попередження вторгнень для окремих комп'ютерів (Host — based Intrusion Prevention, HIPS): резидентні програми, які виявляють підозрілу активність на комп'ютері.

Примітки[ред.ред. код]

Див. також[ред.ред. код]