logo

TechCodeview

Sistema di rilevamento delle intrusioni (IDS)

Un sistema di rilevamento delle intrusioni (IDS) mantiene il traffico di rete alla ricerca di attività insolite e invia avvisi quando si verificano. I compiti principali di un sistema di rilevamento delle intrusioni (IDS) sono il rilevamento e la segnalazione di anomalie, tuttavia, alcuni sistemi di rilevamento delle intrusioni possono agire quando vengono rilevati attività dannose o traffico insolito. In questo articolo discuteremo ogni punto relativo al sistema di rilevamento delle intrusioni.

Cos'è un sistema di rilevamento delle intrusioni?

Un sistema chiamato sistema di rilevamento delle intrusioni (IDS) osserva il traffico di rete per rilevare transazioni dannose e invia avvisi immediati quando viene osservato. È un software che controlla una rete o un sistema per individuare attività dannose o violazioni delle policy. Ogni attività illegale o violazione viene spesso registrata centralmente utilizzando un sistema SIEM o notificata ad un'amministrazione. IDS monitora una rete o un sistema per rilevare attività dannose e protegge una rete di computer dall'accesso non autorizzato da parte di utenti, inclusi forse interni. Il compito di apprendimento del rilevatore di intrusioni è quello di costruire un modello predittivo (ovvero un classificatore) in grado di distinguere tra “cattive connessioni” (intrusioni/attacchi) e “buone (normali) connessioni”.



converti il ​​numero intero in una stringa java

Funzionamento del sistema di rilevamento delle intrusioni (IDS)

  • Un IDS (sistema di rilevamento delle intrusioni) monitor il traffico su a rete di computer per rilevare eventuali attività sospette.
  • Analizza i dati che fluiscono attraverso la rete per cercare modelli e segni di comportamento anomalo.
  • L'IDS confronta l'attività di rete con una serie di regole e modelli predefiniti per identificare qualsiasi attività che potrebbe indicare un attacco o un'intrusione.
  • Se l'IDS rileva qualcosa che corrisponde a una di queste regole o modelli, invia un avviso all'amministratore del sistema.
  • L'amministratore di sistema può quindi indagare sull'avviso e agire per prevenire eventuali danni o ulteriori intrusioni.

Classificazione del sistema di rilevamento delle intrusioni (IDS)

I sistemi di rilevamento delle intrusioni sono classificati in 5 tipologie:

  • Sistema di rilevamento delle intrusioni di rete (NIDS): I sistemi di rilevamento delle intrusioni di rete (NIDS) vengono installati in un punto pianificato all'interno della rete per esaminare il traffico proveniente da tutti i dispositivi sulla rete. Esegue un'osservazione del traffico in transito sull'intera sottorete e abbina il traffico trasmesso nelle sottoreti alla raccolta degli attacchi noti. Una volta identificato un attacco o osservato un comportamento anomalo, l'avviso può essere inviato all'amministratore. Un esempio di NIDS è installarlo sulla sottorete dove firewall vengono localizzati per vedere se qualcuno sta cercando di violare il file firewall .
  • Sistema di rilevamento delle intrusioni host (HIDS): I sistemi di rilevamento delle intrusioni host (HIDS) vengono eseguiti su host o dispositivi indipendenti sulla rete. Un HIDS monitora solo i pacchetti in entrata e in uscita dal dispositivo e avviserà l'amministratore se viene rilevata attività sospetta o dannosa. Acquisisce un'istantanea dei file di sistema esistenti e la confronta con l'istantanea precedente. Se i file del sistema analitico sono stati modificati o eliminati, viene inviato un avviso all'amministratore per indagare. Un esempio di utilizzo di HIDS può essere visto su macchine mission-critical, per le quali non è previsto che cambino il loro layout.
Sistema di rilevamento delle intrusioni (IDS)

Sistema di rilevamento delle intrusioni (IDS)

  • Sistema di rilevamento delle intrusioni basato su protocollo (PIDS): Il sistema di rilevamento delle intrusioni basato su protocollo (PIDS) comprende un sistema o un agente che risiede costantemente nel front-end di un server, controllando e interpretando il protocollo tra un utente/dispositivo e il server. Sta cercando di proteggere il server web monitorando regolarmente il file Protocollo HTTPS stream e accettando il relativo Protocollo HTTP . Poiché HTTPS non è crittografato e prima di entrare immediatamente nel livello di presentazione web, questo sistema dovrebbe risiedere in questa interfaccia, per utilizzare HTTPS.
  • Sistema di rilevamento delle intrusioni basato su protocollo applicativo (APIDS): Un applicazione Sistema di rilevamento delle intrusioni basato su protocollo (APIDS) è un sistema o un agente che generalmente risiede all'interno di un gruppo di server. Identifica le intrusioni monitorando e interpretando la comunicazione su protocolli specifici dell'applicazione. Ad esempio, ciò monitorerebbe esplicitamente il protocollo SQL sul middleware mentre effettua transazioni con il database nel server web.
  • Sistema ibrido di rilevamento delle intrusioni: Il sistema ibrido di rilevamento delle intrusioni è costituito dalla combinazione di due o più approcci al sistema di rilevamento delle intrusioni. Nel sistema ibrido di rilevamento delle intrusioni, l'agente host o i dati di sistema vengono combinati con le informazioni di rete per sviluppare una visione completa del sistema di rete. Il sistema ibrido di rilevamento delle intrusioni è più efficace rispetto agli altri sistemi di rilevamento delle intrusioni. Prelude è un esempio di IDS ibrido.

Tecniche di elusione del sistema di rilevamento delle intrusioni

  • Frammentazione: Dividendo il pacchetto in pacchetti più piccoli chiamati frammento e il processo è noto come frammentazione . Ciò rende impossibile identificare un’intrusione perché non può esserci una firma malware.
  • Codifica dei pacchetti: La codifica dei pacchetti utilizzando metodi come Base64 o esadecimale può nascondere contenuti dannosi agli IDS basati su firma.
  • Offuscamento del traffico: Rendendo il messaggio più complicato da interpretare, è possibile utilizzare l'offuscamento per nascondere un attacco ed evitare il rilevamento.
  • Crittografia: Sono fornite diverse funzionalità di sicurezza, come l'integrità dei dati, la riservatezza e la privacy dei dati crittografia . Sfortunatamente, le funzionalità di sicurezza vengono utilizzate dagli sviluppatori di malware per nascondere gli attacchi ed evitare il rilevamento.

Vantaggi dell'IDS

  • Rileva attività dannose: IDS è in grado di rilevare qualsiasi attività sospetta e avvisare l'amministratore di sistema prima che si verifichino danni significativi.
  • Migliora le prestazioni della rete: IDS è in grado di identificare eventuali problemi di prestazioni sulla rete, che possono essere risolti per migliorare le prestazioni della rete.
  • Requisiti di conformità: IDS può aiutare a soddisfare i requisiti di conformità monitorando l'attività di rete e generando report.
  • Fornisce approfondimenti: IDS genera preziose informazioni sul traffico di rete, che possono essere utilizzate per identificare eventuali punti deboli e migliorare la sicurezza della rete.

Metodo di rilevamento dell'IDS

  • Metodo basato sulla firma: L'IDS basato sulla firma rileva gli attacchi sulla base di modelli specifici come il numero di byte o il numero di 1 o il numero di 0 nel traffico di rete. Rileva anche sulla base della sequenza di istruzioni dannose già nota utilizzata dal malware. I modelli rilevati nell'IDS sono noti come firme. Gli IDS basati sulla firma possono facilmente rilevare gli attacchi il cui modello (firma) esiste già nel sistema, ma è piuttosto difficile rilevare nuovi attacchi malware poiché il loro modello (firma) non è noto.
  • Metodo basato sulle anomalie: L'IDS basato su anomalie è stato introdotto per rilevare attacchi di malware sconosciuti man mano che nuovi malware vengono sviluppati rapidamente. Negli IDS basati sulle anomalie viene utilizzato l'apprendimento automatico per creare un modello di attività affidabile e qualsiasi cosa venga confrontata con quel modello e viene dichiarata sospetta se non viene trovata nel modello. Il metodo basato sull'apprendimento automatico ha una proprietà di generalizzazione migliore rispetto all'IDS basato sulla firma poiché questi modelli possono essere addestrati in base alle applicazioni e alle configurazioni hardware.

Confronto tra IDS e firewall

IDS e firewall sono entrambi correlati alla sicurezza della rete, ma un IDS differisce da a firewall come un firewall cerca le intrusioni verso l'esterno per impedire che si verifichino. I firewall limitano l’accesso tra le reti per prevenire intrusioni e se un attacco proviene dall’interno della rete non viene segnalato. Un IDS descrive una sospetta intrusione una volta avvenuta e poi segnala un allarme.



Posizionamento dell'IDS

  • La posizione più ottimale e comune per posizionare un IDS è dietro il firewall. Sebbene questa posizione vari considerando la rete. Il posizionamento 'dietro il firewall' consente all'IDS un'elevata visibilità del traffico di rete in entrata e non riceverà traffico tra gli utenti e la rete. Il confine del punto di rete fornisce alla rete la possibilità di connettersi all'Extranet.
  • Nei casi in cui l'IDS è posizionato oltre il firewall di una rete, dovrebbe difendersi dal rumore proveniente da Internet o difendersi da attacchi come scansioni di porte e mappatori di rete. Un IDS in questa posizione monitorerebbe i livelli da 4 a 7 del OSI model e utilizzerebbe il metodo di rilevamento basato sulla firma. È meglio mostrare il numero di tentativi di violazione anziché quelli effettivi che hanno superato il firewall poiché riduce la quantità di falsi positivi. Inoltre, occorre meno tempo per scoprire gli attacchi riusciti contro la rete.
  • Un IDS avanzato integrato con un firewall può essere utilizzato per intercettare attacchi complessi che entrano nella rete. Le funzionalità di IDS avanzati includono più contesti di sicurezza a livello di routing e modalità bridging. Tutto ciò a sua volta riduce potenzialmente i costi e la complessità operativa.
  • Un'altra scelta per il posizionamento dell'IDS è all'interno della rete. Questa scelta rivela attacchi o attività sospette all'interno della rete. Non riconoscere la sicurezza all'interno di una rete è dannoso in quanto potrebbe consentire agli utenti di comportare rischi per la sicurezza o consentire a un utente malintenzionato che è entrato nel sistema di vagare liberamente.

Conclusione

Intrusion Detection System (IDS) è un potente strumento che può aiutare le aziende a rilevare e prevenire l'accesso non autorizzato alla propria rete. Analizzando i modelli di traffico di rete, IDS può identificare eventuali attività sospette e avvisare l'amministratore del sistema. IDS può rappresentare una preziosa aggiunta all'infrastruttura di sicurezza di qualsiasi organizzazione, fornendo approfondimenti e migliorando le prestazioni della rete.

Domande frequenti sul sistema di rilevamento delle intrusioni – Domande frequenti

Differenza tra IDS e IPS?

Quando IDS rileva un'intrusione, avvisa solo l'amministrazione della rete Sistema di prevenzione delle intrusioni (IPS) blocca i pacchetti dannosi prima che raggiungano la destinazione.

significato di xdxd

Quali sono le principali sfide legate all’implementazione dell’IDS?

Falsi positivi e falsi negativi sono i principali svantaggi degli IDS. I falsi positivi si aggiungono al rumore che può compromettere seriamente l’efficienza di un sistema di rilevamento delle intrusioni (IDS), mentre un falso negativo si verifica quando un IDS non rileva un’intrusione e la considera valida.



L'IDS è in grado di rilevare le minacce interne?

Sì, il sistema di rilevamento delle intrusioni è in grado di rilevare le minacce.

Qual è il ruolo del machine learning nell'IDS?

Usando Apprendimento automatico , è possibile ottenere un tasso di rilevamento elevato e un tasso di falsi allarmi basso.