Examinando Diferentes Tipos de Sistemas de Detecção de Intrusão
Detecção de intruso
Menu
IDS ativo e passivo
A ativo IDS (agora mais comumente conhecido como um sistema de prevenção de intrusão - IPS) é um sistema que está configurado para bloquear automaticamente ataques suspeitos em andamento sem qualquer intervenção necessária por um operador. IPS tem a vantagem de proporcionar medidas correctivas em tempo real, em resposta a um ataque, mas tem muitas desvantagens. Um IPS deve ser colocado em-linha ao longo de uma rede boundary Assim, o próprio IPS é susceptível ao ataque. Além disso, se os falsos alarmes e tráfego legítimo não foram devidamente identificados e filtrada, os usuários autorizados e aplicações podem ser indevidamente negado o acesso. Finalmente, o próprio IPS pode ser utilizado para efectuar uma Negação de serviço (DoS) ataque inundando intencionalmente o sistema com alarmes que causam-lo para bloquear conexões até que não haja conexões ou largura de banda estão disponíveis.
UMA passiva IDS é um sistema que está configurado apenas para monitorar e analisar a atividade tráfego na rede e alertar um operador sobre possíveis vulnerabilidades e ataques. Não é capaz de realizar todas as funções de proteção ou corretivas por conta própria. As principais vantagens de IDs passivos são de que estes sistemas podem ser facilmente e rapidamente implantado e não são normalmente susceptíveis ao ataque si.
IDS baseado na máquina baseada em rede e
UMA com base de rede de IDS geralmente consiste de um dispositivo de rede (ou sensor) com um cartão de interface de rede (NIC) operando em modo promíscuo e uma interface de gerenciamento separado. O IDS é colocado ao longo de um segmento de rede ou limite e monitora todo o tráfego naquele segmento.
UMA Host-Based IDS requer pequenos programas (ou agentes) A ser instalado em sistemas individuais a serem monitorizados. Os agentes monitoram o sistema operacional e gravar dados em arquivos e / ou alarmes gatilho log. Um IDS baseado na máquina só pode monitorar os sistemas host individuais em que os agentes são instalado- não monitorar toda a rede.
Baseada no conhecimento e IDS baseado em comportamento
UMA Baseada no conhecimento (ou baseada em assinatura) IDS faz referência a um banco de dados de perfis de ataque anteriores e vulnerabilidades do sistema conhecidas para identificar tentativas de intrusão ativos. IDS baseada no conhecimento é actualmente mais comum do IDS baseado em comportamento. Vantagens de sistemas baseados em conhecimento incluem o seguinte:
- Ele tem taxas de falso alarme mais baixos do que IDS baseado em comportamento.
- Os alarmes são mais padronizado e mais fácil de entender do que o IDS baseado em comportamento.
Desvantagens de sistemas baseados em conhecimento incluem estes:
- banco de dados de assinatura deve ser continuamente atualizado e mantido.
- Novo, original, ou originais ataques não podem ser detectados ou podem ser incorretamente classificados.
UMA comportamento baseada (ou anomalia à base estatística) IDS faz referência a uma linha de base ou padrão aprendido da atividade normal do sistema para identificar tentativas de intrusão ativos. Desvios dessa linha de base ou padrão causar um alarme para ser acionado. Vantagens dos sistemas baseados em comportamento incluem que eles
- Dinamicamente adaptar-se a ataques novos, únicos, ou originais.
- São menos dependentes de identificação de vulnerabilidades específicas do sistema operacional.
Desvantagens dos sistemas baseados em comportamento incluem
- As maiores taxas de falso alarme que IDSs baseada no conhecimento.
- padrões de uso que podem mudar frequentemente e não pode ser estática suficiente para implementar um eficaz IDS baseado em comportamento.