El examen de diferentes tipos de sistemas de detección de intrusos

La detección de intrusiones

se define como el monitoreo en tiempo real y análisis de la actividad de la red y los datos de vulnerabilidades y ataques en curso potenciales. Una limitación importante del actual sistema de detección de intrusiones (IDS) tecnologías es el requisito para filtrar las falsas alarmas no sea que el operador (sistema o administrador de seguridad) ser abrumado con datos. IDSes se clasifican de muchas maneras diferentes, incluyendo activos y pasivos, la red y basados ​​basan anfitrión, y basada en el comportamiento basado en el conocimiento y:

IDS activos y pasivos

Un activo IDS (ahora conocido más comúnmente como un sistema de prevención de intrusiones - IPS) es un sistema que está configurado para bloquear automáticamente presuntos ataques en curso sin ninguna intervención requerida por un operador. IPS tiene la ventaja de proporcionar medidas correctivas en tiempo real en respuesta a un ataque pero tiene muchas desventajas. Un IPS debe ser colocado en línea a lo largo de una red boundary- por lo tanto, la propia IPS es susceptible al ataque. Usuarios y aplicaciones Además, si las falsas alarmas y el tráfico legítimo no han sido debidamente identificados y se filtra, autorizados se les puede negar el acceso inadecuadamente. Por último, el propio IPS se puede usar para efectuar una Negación de servicio (DoS) inundando intencionalmente el sistema con alarmas que hacen que se bloquean las conexiones hasta que no haya conexiones o ancho de banda están disponibles.

LA pasivo IDS es un sistema que está configurado sólo para monitorear y analizar la actividad de tráfico de red y alertar a un operador de vulnerabilidades y ataques potenciales. No es capaz de realizar cualquiera de las funciones de protección o correctivas por sí solo. Las principales ventajas de IDSes pasivos son que estos sistemas se pueden desplegar fácil y rápidamente y no son normalmente susceptibles al ataque sí mismos.

IDS basados ​​en host basada en la red y

LA basada en red IDS lo general consiste en un dispositivo de red (o sensor) con una tarjeta de interfaz de red (NIC) que funcionan en modo promiscuo y una interfaz de gestión independiente. El IDS se coloca a lo largo de un segmento de red o cobertura y supervisa todo el tráfico en ese segmento.

LA basado en host IDS requiere pequeños programas (o agentes) Para ser instalado en sistemas individuales a monitorizar. Los agentes supervisan el sistema operativo y escribir datos en archivos de registro y / o alarmas de activación. Un IDS basado en host sólo pueden controlar los sistemas host individuales en los que los agentes se instalado- no supervisa toda la red.

Basada en el conocimiento e IDS basados ​​en el comportamiento

LA basada en el conocimiento (o basada firma-) IDS hace referencia a una base de datos de perfiles de ataque anteriores y vulnerabilidades de los sistemas conocidos para identificar los intentos de intrusión activos. IDS basada en el conocimiento es actualmente más común que el IDS basados ​​en el comportamiento. Ventajas de los sistemas basados ​​en el conocimiento son los siguientes:

  • Tiene tasas de falsas alarmas bajas que IDS basados ​​en el comportamiento.
  • Las alarmas son más estandarizados y más fácil comprensión de IDS basados ​​en el comportamiento.

Desventajas de los sistemas basados ​​en el conocimiento incluyen los siguientes:

  • Base de datos de la firma debe ser actualizado y mantenido continuamente.
  • Ataques nuevos, únicos, originales o pueden no ser detectados o se pueden clasificar de manera incorrecta.

LA basada en el comportamiento (o basado anomalía estadística) IDS hace referencia a una línea de base o aprendido patrón de actividad normal del sistema para identificar los intentos de intrusión activos. Las desviaciones de esta línea de base o patrón causan una alarma que se activará. Ventajas de los sistemas basados ​​en el comportamiento incluyen que

  • Dinámicamente adaptarse a nuevos ataques, únicas, originales o.
  • Son menos dependientes de la identificación de vulnerabilidades específicas del sistema operativo.

Desventajas de los sistemas basados ​​en el comportamiento incluyen

  • Las mayores tasas de falsas alarmas que IDSes basadas en el conocimiento.
  • Los patrones de uso que pueden cambiar a menudo y pueden no ser lo suficientemente estática para implementar una efectiva IDS basados ​​en el comportamiento.



» » » » El examen de diferentes tipos de sistemas de detección de intrusos