ระบบตรวจจับการบุกรุกทำหน้าที่ป้องกันการโจมตี ips วิธีตรวจจับการโจมตีที่เป็นอันตราย การตรวจจับการโจมตีตามลายเซ็น

ในปัจจุบัน การป้องกันโดยไฟร์วอลล์และโปรแกรมป้องกันไวรัสไม่มีผลกับการโจมตีเครือข่ายและมัลแวร์อีกต่อไป ในระดับแนวหน้าคือโซลูชันคลาส IDS/IPS ที่สามารถตรวจจับและบล็อกภัยคุกคามทั้งที่รู้จักและไม่รู้จัก

ข้อมูล

  • เกี่ยวกับ Mod_Security และ GreenSQL-FW โปรดอ่านบทความ “The Last Frontier”, ][_12_2010
  • วิธีสอน iptables ให้ “ดู” ภายในแพ็กเก็ต อ่านบทความ “Fire Shield”, ][_12_2010.

เทคโนโลยี IDS/IPS

ในการตัดสินใจเลือกระหว่าง IDS หรือ IPS คุณต้องเข้าใจหลักการและวัตถุประสงค์ในการปฏิบัติงาน ดังนั้น หน้าที่ของ IDS (Intrusion Detection System) คือการตรวจจับและบันทึกการโจมตี ตลอดจนแจ้งเตือนเมื่อมีกฎบางอย่างเกิดขึ้น IDS สามารถตรวจจับการโจมตีเครือข่ายประเภทต่างๆ ตรวจจับความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตหรือการเพิ่มระดับสิทธิ์ การเกิดขึ้นของมัลแวร์ และติดตามการค้นพบใหม่ๆ ทั้งนี้ขึ้นอยู่กับประเภท พอร์ตมัน- d. ต่างจากไฟร์วอลล์ที่ควบคุมเฉพาะพารามิเตอร์เซสชัน (IP, หมายเลขพอร์ต และสถานะการเชื่อมต่อ) IDS จะ "ดู" ภายในแพ็กเก็ต (จนถึงชั้น OSI ที่เจ็ด) เพื่อวิเคราะห์ข้อมูลที่ส่ง ระบบตรวจจับการบุกรุกมีหลายประเภท APIDS (IDS ที่ใช้โปรโตคอลแอปพลิเคชัน) เป็นที่นิยมอย่างมากซึ่งมีการตรวจสอบ รายการที่จำกัด โปรโตคอลแอปพลิเคชันสำหรับการโจมตีแบบเฉพาะเจาะจง ตัวแทนทั่วไปของคลาสนี้คือ PHPIDS ซึ่งวิเคราะห์คำขอไปยังแอปพลิเคชัน PHP, Mod_Security ซึ่งปกป้องเว็บเซิร์ฟเวอร์ (Apache) และ GreenSQL-FW ซึ่งบล็อกคำสั่ง SQL ที่เป็นอันตราย (ดูบทความ “The Last Frontier” ใน [_12_2010)

Network NIDS (Network Intrusion Detection System) เป็นระบบสากลมากกว่า ซึ่งทำได้ด้วยเทคโนโลยี DPI (Deep Packet Inspection) พวกเขาควบคุมมากกว่าหนึ่ง แอปพลิเคชันเฉพาะการเข้าชมที่ผ่านทั้งหมดเริ่มต้นที่ระดับช่อง

ตัวกรองแพ็กเก็ตบางตัวยังให้ความสามารถในการ “มองเข้าไปข้างใน” และบล็อกภัยคุกคามอีกด้วย ตัวอย่างได้แก่โปรเจ็กต์ OpenDPI และ Fwsnort อย่างหลังเป็นโปรแกรมสำหรับแปลงฐานข้อมูลลายเซ็น Snort ให้เป็นกฎการบล็อกที่เทียบเท่าสำหรับ iptables แต่ในตอนแรกไฟร์วอลล์ได้รับการออกแบบสำหรับงานอื่น ๆ และเทคโนโลยี DPI นั้น "แพง" สำหรับเอ็นจิ้นดังนั้นฟังก์ชันในการประมวลผลข้อมูลเพิ่มเติมจึงถูกจำกัดอยู่เพียงการบล็อกหรือการทำเครื่องหมายโปรโตคอลที่กำหนดไว้อย่างเคร่งครัด IDS เพียงแจ้ง (แจ้งเตือน) การกระทำที่น่าสงสัยทั้งหมด หากต้องการบล็อกโฮสต์ที่ถูกโจมตี ผู้ดูแลระบบจะกำหนดค่าไฟร์วอลล์ใหม่โดยอิสระขณะดูสถิติ แน่นอนว่าไม่มีการตอบกลับแบบเรียลไทม์ที่เกี่ยวข้องที่นี่ นั่นคือเหตุผลที่ IPS (Intrusion Prevention System, Attack Prevention System) มีความน่าสนใจมากขึ้นในปัจจุบัน ขึ้นอยู่กับ IDS และสามารถสร้างตัวกรองแพ็คเก็ตใหม่หรือยุติเซสชันโดยการส่ง TCP RST ได้อย่างอิสระ ขึ้นอยู่กับหลักการทำงาน IPS สามารถติดตั้ง "ระเบิด" หรือใช้การมิเรอร์การรับส่งข้อมูล (SPAN) ที่ได้รับจากเซ็นเซอร์หลายตัว ตัวอย่างเช่น การระเบิดได้รับการติดตั้งโดย Hogwash Light BR ซึ่งทำงานที่ชั้น OSI ระบบดังกล่าวอาจไม่มีที่อยู่ IP ซึ่งหมายความว่าผู้โจมตีจะไม่สามารถมองเห็นได้

ในชีวิตปกติประตูไม่เพียงแต่ล็อคเท่านั้น แต่ยังป้องกันด้วยการทิ้งยามไว้ใกล้ประตูด้วย เพราะในกรณีนี้คุณจึงมั่นใจในความปลอดภัยได้เท่านั้น บิตเป็นการรักษาความปลอดภัยดังกล่าวจัดทำโดยโฮสต์ IPS (ดู “ขอบเขตการป้องกันใหม่” ใน][_08_2009) ซึ่งปกป้องระบบท้องถิ่นจากไวรัส รูทคิท และการแฮ็ก พวกเขามักจะสับสนกับโปรแกรมป้องกันไวรัสที่มีโมดูลการป้องกันเชิงรุก แต่ตามกฎแล้ว HIPS จะไม่ใช้ลายเซ็นซึ่งหมายความว่าไม่จำเป็นต้องอัปเดตฐานข้อมูลอย่างต่อเนื่อง พวกเขาควบคุมพารามิเตอร์ของระบบอื่นๆ อีกมากมาย: กระบวนการ ความสมบูรณ์ ไฟล์ระบบทะเบียน รายการในวารสาร และอื่นๆ อีกมากมาย

เพื่อควบคุมสถานการณ์ได้อย่างสมบูรณ์ จำเป็นต้องควบคุมและเชื่อมโยงเหตุการณ์ทั้งในระดับเครือข่ายและระดับโฮสต์ เพื่อจุดประสงค์นี้ IDS แบบไฮบริดได้ถูกสร้างขึ้นเพื่อรวบรวมข้อมูลจากแหล่งต่างๆ (ระบบดังกล่าวมักเรียกว่า SIM - การจัดการข้อมูลความปลอดภัย) ในบรรดาโปรเจ็กต์ OpenSource สิ่งที่น่าสนใจคือ Prelude Hybrid IDS ซึ่งรวบรวมข้อมูลจาก OpenSource IDS/IPS เกือบทั้งหมด และเข้าใจรูปแบบบันทึกของแอปพลิเคชันต่างๆ (การสนับสนุนสำหรับระบบนี้ถูกระงับเมื่อหลายปีก่อน แพ็คเกจที่คอมไพล์แล้วยังคงพบได้ใน ที่เก็บ Linux และ *BSD)

แม้แต่มืออาชีพก็ยังสับสนกับโซลูชันที่นำเสนอได้หลากหลาย วันนี้เราจะมาพบกับตัวแทนที่โดดเด่นที่สุดของระบบ IDS/IPS

การควบคุมภัยคุกคามแบบครบวงจร

อินเทอร์เน็ตสมัยใหม่เต็มไปด้วยภัยคุกคามจำนวนมาก ดังนั้นระบบที่มีความเชี่ยวชาญสูงจึงไม่เกี่ยวข้องอีกต่อไป จำเป็นต้องใช้โซลูชั่นมัลติฟังก์ชั่นที่ครอบคลุมซึ่งประกอบด้วยองค์ประกอบการป้องกันทั้งหมด: ไฟร์วอลล์, IDS/IPS, โปรแกรมป้องกันไวรัส, พร็อกซีเซิร์ฟเวอร์, ตัวกรองเนื้อหา และตัวกรองป้องกันสแปม อุปกรณ์ดังกล่าวเรียกว่า UTM (Unified การจัดการภัยคุกคาม, การควบคุมภัยคุกคามแบบครบวงจร) ตัวอย่างของ UTM ได้แก่ Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, FortiGate Network Security Platforms and Appliances หรือการกระจาย Linux แบบพิเศษ เช่น Untangle Gateway, IPCop Firewall, pfSense (อ่านบทวิจารณ์ของพวกเขาในบทความ “Network regulators”, ] [_01_2010 ).

ซูริกาตา

IDS/IPS รุ่นเบต้านี้เผยแพร่สู่สาธารณะในเดือนมกราคม พ.ศ. 2553 หลังจากพัฒนามาเป็นเวลาสามปี หนึ่งในเป้าหมายหลักของโครงการคือการสร้างและทดสอบเทคโนโลยีการตรวจจับการโจมตีใหม่ทั้งหมด เบื้องหลัง Suricata คือสมาคม OISF ซึ่งได้รับการสนับสนุนจากพันธมิตรที่จริงจัง รวมถึงบุคคลจากกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา รุ่นที่เกี่ยวข้องมากที่สุดในวันนี้คือหมายเลข 1.1 ซึ่งเปิดตัวในเดือนพฤศจิกายน พ.ศ. 2554 รหัสโครงการได้รับการเผยแพร่ภายใต้ใบอนุญาต GPLv2 แต่พันธมิตรทางการเงินสามารถเข้าถึงกลไกเวอร์ชันที่ไม่ใช่ GPL ซึ่งพวกเขาสามารถใช้ในผลิตภัณฑ์ของตนได้ เพื่อให้บรรลุผลสูงสุด งานนี้เกี่ยวข้องกับชุมชน ซึ่งช่วยให้เราสามารถบรรลุการพัฒนาที่สูงมาก ตัวอย่างเช่น เมื่อเปรียบเทียบกับเวอร์ชันก่อนหน้า 1.0 จำนวนโค้ดใน 1.1 เพิ่มขึ้น 70% IDS สมัยใหม่บางตัวที่มีประวัติยาวนาน รวมถึง Snort ไม่ได้ใช้ระบบมัลติโปรเซสเซอร์/มัลติคอร์อย่างมีประสิทธิภาพมากนัก ซึ่งนำไปสู่ปัญหาเมื่อประมวลผลข้อมูลจำนวนมาก Suricata ทำงานในโหมดมัลติเธรดโดยกำเนิด การทดสอบแสดงให้เห็นว่าเร็วกว่า Snort ถึงหกเท่า (บนระบบที่มี 24 CPU และ RAM 128 GB) เมื่อสร้างด้วยพารามิเตอร์ '--enable-cuda' การเร่งความเร็วด้วยฮาร์ดแวร์ที่ฝั่ง GPU จะเป็นไปได้ เริ่มแรกรองรับ IPv6 (ใน Snort จะเปิดใช้งานโดยคีย์ '—enable-ipv6') อินเทอร์เฟซมาตรฐานใช้เพื่อสกัดกั้นการรับส่งข้อมูล: LibPcap, NFQueue, IPFRing, IPFW โดยทั่วไป รูปแบบโมดูลาร์ช่วยให้คุณเชื่อมต่อองค์ประกอบที่ต้องการได้อย่างรวดเร็วเพื่อจับภาพ ถอดรหัส วิเคราะห์ หรือประมวลผลแพ็กเก็ต การบล็อกทำได้โดยใช้ตัวกรองแพ็กเก็ต OS มาตรฐาน (ใน Linux เพื่อเปิดใช้งานโหมด IPS คุณต้องติดตั้งไลบรารี netlink-queue หรือ libnfnetlink) เอ็นจิ้นตรวจจับโปรโตคอลการแยกวิเคราะห์โดยอัตโนมัติ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP และ SCTP) ดังนั้นกฎจึงไม่จำเป็นต้องเชื่อมโยงกับหมายเลขพอร์ต (เช่นเดียวกับที่ Snort ทำ) คุณเพียงแค่ต้อง กำหนดการดำเนินการสำหรับ โปรโตคอลที่จำเป็น- Ivan Ristic ผู้เขียน Mod_security ได้สร้างไลบรารี HTP พิเศษที่ใช้ใน Suricata เพื่อวิเคราะห์การรับส่งข้อมูล HTTP นักพัฒนามุ่งมั่นที่จะบรรลุความแม่นยำในการตรวจจับและเพิ่มความเร็วในการตรวจสอบกฎเป็นหลัก


ผลลัพธ์ของผลลัพธ์จะรวมเป็นหนึ่งเดียว ดังนั้นคุณสามารถใช้ยูทิลิตี้มาตรฐานเพื่อวิเคราะห์ได้ จริงๆ แล้ว แบ็คเอนด์ อินเทอร์เฟซ และเครื่องวิเคราะห์ทั้งหมดที่เขียนขึ้นสำหรับ Snort (Barnyard, Snortsnarf, Sguil ฯลฯ) ทำงานโดยไม่มีการแก้ไขกับ Suricata นี่เป็นข้อดีอย่างมาก การสื่อสาร HTTP ได้รับการบันทึกโดยละเอียดในรูปแบบไฟล์ Apache มาตรฐาน

กลไกการตรวจจับใน Suricata เป็นไปตามกฎ ที่นี่นักพัฒนายังไม่ได้ประดิษฐ์อะไรเลย แต่อนุญาตให้เชื่อมต่อชุดล้อที่สร้างขึ้นสำหรับโครงการอื่น: Sourcefire VRT (สามารถอัปเดตผ่าน Oinkmaster) และ Emerging Threats Pro ในรุ่นแรกๆ การสนับสนุนมีเพียงบางส่วนเท่านั้น และกลไกไม่รู้จักและโหลดกฎบางอย่าง แต่ตอนนี้ปัญหานี้ได้รับการแก้ไขแล้ว ดำเนินการแล้ว และรูปแบบของตัวเองกฎซึ่งดูเหมือนของ Snort กฎประกอบด้วยสามองค์ประกอบ: การดำเนินการ (ผ่าน วาง ปฏิเสธ หรือแจ้งเตือน) ส่วนหัว (IP/พอร์ตต้นทางและปลายทาง) และคำอธิบาย (สิ่งที่ต้องค้นหา) การตั้งค่าใช้ตัวแปร (กลไกการไหล) อนุญาตเช่น สร้างเคาน์เตอร์ ในกรณีนี้ ข้อมูลจากสตรีมสามารถบันทึกเพื่อใช้ในภายหลังได้ วิธีการติดตามความพยายามในการเดารหัสผ่านนี้มีประสิทธิภาพมากกว่าวิธีการตามเกณฑ์ของ Snort มีการวางแผนที่จะสร้างกลไกชื่อเสียง IP (เช่น SensorBase ของ Cisco ดูบทความ “Touch Cisco” ใน][_07_2011)

โดยสรุป ฉันทราบว่า Suricata เป็นเครื่องมือที่เร็วกว่า Snort เข้ากันได้กับแบ็กเอนด์อย่างสมบูรณ์และสามารถตรวจสอบขนาดใหญ่ได้ การไหลของเครือข่าย- ข้อเสียเปรียบประการเดียวของโครงการนี้คือเอกสารประกอบที่ไม่เพียงพอ ผู้ดูแลระบบที่มีประสบการณ์ไม่มีค่าใช้จ่ายใด ๆ ในการค้นหาการตั้งค่า แพ็คเกจการติดตั้งปรากฏแล้วในพื้นที่เก็บข้อมูลการแจกจ่าย และมีคำแนะนำที่ชัดเจนสำหรับการประกอบซอร์สโค้ดอย่างอิสระบนเว็บไซต์โครงการ มีการกระจาย Smooth-sec สำเร็จรูปซึ่งสร้างขึ้นบน Suricata


ซัมเฮน

Samhain เปิดตัวภายใต้ใบอนุญาต OpenSource เป็น IDS บนโฮสต์ที่ปกป้องคอมพิวเตอร์แต่ละเครื่อง ใช้วิธีการวิเคราะห์หลายวิธีเพื่อบันทึกเหตุการณ์ทั้งหมดที่เกิดขึ้นในระบบอย่างสมบูรณ์:

  • การสร้างฐานข้อมูลลายเซ็นในการเปิดตัวครั้งแรก ไฟล์สำคัญและการเปรียบเทียบเพิ่มเติมกับระบบ "สิ่งมีชีวิต"
  • การติดตามและวิเคราะห์รายการบันทึก
  • การควบคุมการเข้า/ออกเข้าสู่ระบบ
  • การตรวจสอบการเชื่อมต่อไปยังพอร์ตเครือข่ายที่เปิดอยู่
  • ควบคุมไฟล์ด้วย SUID ที่ติดตั้งของกระบวนการที่ซ่อนอยู่

โปรแกรมสามารถเปิดใช้งานในโหมดซ่อนตัว (โดยใช้โมดูลเคอร์เนล) เมื่อตรวจไม่พบกระบวนการเคอร์เนลในหน่วยความจำ Samhain ยังรองรับการตรวจสอบหลายโหนดที่ใช้ระบบปฏิบัติการที่แตกต่างกัน โดยบันทึกเหตุการณ์ทั้งหมดไว้ที่จุดเดียวกัน ในกรณีนี้ เอเจนต์ที่ติดตั้งบนโหนดระยะไกลจะส่งข้อมูลที่รวบรวมทั้งหมด (TCP, AES, ลายเซ็น) ไปยังช่องทางที่เข้ารหัสไปยังเซิร์ฟเวอร์ (เทศกาลคริสต์มาส) ซึ่งจัดเก็บไว้ในฐานข้อมูล (MySQL, PostgreSQL, Oracle) นอกจากนี้ เซิร์ฟเวอร์ยังรับผิดชอบในการตรวจสอบสถานะของระบบไคลเอนต์ แจกจ่ายการอัพเดตและไฟล์การกำหนดค่า มีการใช้ตัวเลือกมากมายสำหรับการแจ้งเตือนและการส่งข้อมูลที่รวบรวม: อีเมล (ลงนามอีเมลเพื่อหลีกเลี่ยงการปลอมแปลง), syslog, ไฟล์บันทึก (ลงนาม), Nagios, คอนโซล ฯลฯ การจัดการสามารถดำเนินการได้โดยใช้ผู้ดูแลระบบหลายคนที่มีบทบาทที่กำหนดไว้อย่างชัดเจน .

แพ็คเกจนี้มีอยู่ในที่เก็บเกือบทั้งหมด การแจกแจงลินุกซ์บนเว็บไซต์โครงการมีคำอธิบายวิธีการติดตั้ง Samhain บน Windows

ระบบป้องกันการบุกรุก StoneGate

โซลูชันนี้ได้รับการพัฒนาโดยบริษัทฟินแลนด์ที่สร้างผลิตภัณฑ์ ชั้นเรียนขององค์กรในทรงกลม ความปลอดภัยของเครือข่าย- ใช้ฟังก์ชันยอดนิยมทั้งหมด: IPS, การป้องกันการโจมตี DDoS และ 0day, การกรองเว็บ, รองรับการรับส่งข้อมูลที่เข้ารหัส ฯลฯ การใช้ StoneGate IPS คุณสามารถบล็อกไวรัส สปายแวร์ แอปพลิเคชันบางอย่าง (P2P, IM ฯลฯ) สำหรับการกรองเว็บจะใช้ฐานข้อมูลที่อัปเดตอย่างต่อเนื่องของไซต์ซึ่งแบ่งออกเป็นหลายประเภท ให้ความสนใจเป็นพิเศษในการปกป้องระบบความปลอดภัย AET (Advanced Evasion Techniques) เทคโนโลยีการควบคุมการเข้าถึงแบบโปร่งใสช่วยให้คุณสามารถแบ่งเครือข่ายองค์กรออกเป็นหลายส่วนเสมือนโดยไม่ต้องเปลี่ยนโทโพโลยีที่แท้จริงและตั้งค่านโยบายความปลอดภัยส่วนบุคคลสำหรับแต่ละเครือข่าย นโยบายการตรวจสอบการจราจรได้รับการกำหนดค่าโดยใช้เทมเพลตที่มีกฎมาตรฐาน นโยบายเหล่านี้ถูกสร้างขึ้นแบบออฟไลน์ ผู้ดูแลระบบตรวจสอบนโยบายที่สร้างขึ้นและดาวน์โหลดไปยังโฮสต์ IPS ระยะไกล เหตุการณ์ที่คล้ายกันใน StoneGate IPS ได้รับการประมวลผลตามหลักการที่ใช้ในระบบ SIM/SIEM ซึ่งอำนวยความสะดวกในการวิเคราะห์อย่างมาก อุปกรณ์หลายตัวสามารถรวมเข้าเป็นคลัสเตอร์ได้อย่างง่ายดายและรวมเข้ากับโซลูชั่น StoneSoft อื่นๆ - StoneGate Firewall/VPN และ StoneGate SSL VPN การจัดการมีให้โดยคอนโซลการจัดการเดียว (StoneGate Management Center) ซึ่งประกอบด้วยสามองค์ประกอบ: เซิร์ฟเวอร์การจัดการ, บันทึก เซิร์ฟเวอร์และการจัดการลูกค้า. คอนโซลช่วยให้คุณไม่เพียงแต่กำหนดค่าการทำงานของ IPS และสร้างกฎและนโยบายใหม่ แต่ยังสามารถตรวจสอบและดูบันทึกได้อีกด้วย เขียนด้วยภาษา Java ดังนั้นจึงมีเวอร์ชันสำหรับ Windows และ Linux


StoneGate IPS มีจำหน่ายทั้งแบบแพ็คเกจฮาร์ดแวร์และ และในรูปแบบ อิมเมจวีเอ็มแวร์- ส่วนหลังมีไว้สำหรับการติดตั้งบนอุปกรณ์ของคุณเองหรือในโครงสร้างพื้นฐานเสมือน อย่างไรก็ตาม บริษัท พัฒนาอนุญาตให้คุณดาวน์โหลดได้ไม่เหมือนกับผู้สร้างโซลูชันที่คล้ายกันมากมาย รุ่นทดสอบภาพ.

ระบบป้องกันการบุกรุกเครือข่าย IBM Security Network

ระบบป้องกันการโจมตีของ IBM ใช้เทคโนโลยีการวิเคราะห์โปรโตคอลที่ได้รับสิทธิบัตรซึ่งให้การป้องกันเชิงรุกต่อภัยคุกคาม 0 วัน เช่นเดียวกับผลิตภัณฑ์ทั้งหมดในซีรีส์ IBM Security มันใช้โมดูลการวิเคราะห์โปรโตคอล - PAM (โมดูลการวิเคราะห์โปรโตคอล) ซึ่งรวมวิธีการตรวจจับการโจมตีแบบดั้งเดิม (Proventia OpenSignature) ลายเซ็นแบบดั้งเดิมเข้ากับเครื่องมือวิเคราะห์พฤติกรรม ในเวลาเดียวกัน PAM จะแยกความแตกต่างระหว่างโปรโตคอลระดับแอปพลิเคชัน 218 รายการ (การโจมตีผ่าน VoIP, RPC, HTTP เป็นต้น) และรูปแบบข้อมูล เช่น DOC, XLS, PDF, ANI, JPG เพื่อคาดการณ์ว่าโค้ดที่เป็นอันตรายอาจถูกฝังไว้ที่ใด มีการใช้อัลกอริธึมมากกว่า 3,000 อัลกอริธึมในการวิเคราะห์การรับส่งข้อมูล โดย 200 อัลกอริธึมเป็น DoS แบบ "จับ" คุณสมบัติไฟร์วอลล์ช่วยให้คุณจำกัดการเข้าถึงเฉพาะบางคนเท่านั้น พอร์ตและ IPทำให้ไม่ต้องใช้อุปกรณ์เพิ่มเติม เทคโนโลยี Virtual Patch จะบล็อกไวรัสในขณะที่แพร่กระจายและปกป้องคอมพิวเตอร์จนกว่าจะมีการติดตั้งการอัปเดตที่แก้ไขช่องโหว่ที่สำคัญ หากจำเป็น ผู้ดูแลระบบสามารถสร้างและใช้ลายเซ็นได้ โมดูลควบคุมแอปพลิเคชันช่วยให้คุณจัดการองค์ประกอบ P2P, IM, ActiveX, เครื่องมือ VPN ฯลฯ และบล็อกองค์ประกอบเหล่านั้นหากจำเป็น ใช้โมดูล DLP ที่ตรวจสอบความพยายามในการส่งข้อมูล ข้อมูลที่เป็นความลับและการเคลื่อนย้ายข้อมูลภายในเครือข่ายที่ได้รับการป้องกัน ซึ่งช่วยให้คุณสามารถประเมินความเสี่ยงและป้องกันการรั่วไหลได้ ตามค่าเริ่มต้น ข้อมูลแปดประเภทจะถูกจดจำ (หมายเลขบัตรเครดิต หมายเลขโทรศัพท์...) ผู้ดูแลระบบจะตั้งค่าส่วนที่เหลือของข้อมูลเฉพาะองค์กรโดยแยกจากกันโดยใช้ การแสดงออกปกติ- ปัจจุบันช่องโหว่ส่วนใหญ่เกิดขึ้นในเว็บแอปพลิเคชัน ดังนั้นผลิตภัณฑ์ IBM จึงรวมโมดูล Web Application Security พิเศษที่ปกป้องระบบจากการโจมตีประเภททั่วไป: การแทรก SQL, การแทรก LDAP, XSS, การไฮแจ็ค JSON, ตัวรวมไฟล์ PHP, CSRF ฯลฯ . .d.


มีหลายตัวเลือกสำหรับการดำเนินการเมื่อตรวจพบการโจมตี เช่น การบล็อกโฮสต์ การส่งการแจ้งเตือน บันทึกปริมาณการโจมตี (ไปยังไฟล์ที่เข้ากันได้กับ tcpdump) การกักกันโฮสต์ การดำเนินการที่ผู้ใช้กำหนดได้ และอื่นๆ อีกมากมาย นโยบายจะถูกเขียนลงในแต่ละพอร์ต ที่อยู่ IP หรือโซน VLAN โหมดสูงความพร้อมใช้งานช่วยให้แน่ใจว่าหากอุปกรณ์ IPS ตัวใดตัวหนึ่งบนเครือข่ายล้มเหลว การรับส่งข้อมูลจะไหลผ่านอุปกรณ์อื่นและการเชื่อมต่อที่สร้างขึ้นจะไม่ถูกรบกวน ระบบย่อยทั้งหมดภายในฮาร์ดแวร์ - RAID, พาวเวอร์ซัพพลาย, พัดลมระบายความร้อน - ซ้ำกัน การตั้งค่าโดยใช้เว็บคอนโซลทำได้ง่ายที่สุด (หลักสูตรการฝึกอบรมใช้เวลาเพียงวันเดียว) หากคุณมีอุปกรณ์หลายเครื่อง โดยทั่วไปคุณจะซื้อ IBM Security SiteProtector ซึ่งมีการจัดการแบบรวมศูนย์ การวิเคราะห์บันทึก และการรายงาน

แพลตฟอร์มความปลอดภัยเครือข่าย McAfee 7

IntruShield IPS ซึ่งผลิตโดย McAfee เคยเป็นหนึ่งในโซลูชัน IPS ที่ได้รับความนิยม ขณะนี้ McAfee Network Security Platform 7 (NSP) ได้รับการพัฒนาบนพื้นฐานแล้ว นอกเหนือจากฟังก์ชันทั้งหมดของ NIPS แบบคลาสสิกแล้ว ผลิตภัณฑ์ใหม่ได้รับเครื่องมือสำหรับการวิเคราะห์แพ็กเก็ตที่ส่งภายในเครือข่ายภายในองค์กร ซึ่งช่วยตรวจจับการรับส่งข้อมูลที่เป็นอันตรายที่เกิดจากคอมพิวเตอร์ที่ติดไวรัส McAfee ใช้เทคโนโลยี Global Threat Intelligence ซึ่งรวบรวมข้อมูลจากเซ็นเซอร์นับแสนที่ติดตั้งทั่วโลกและประเมินชื่อเสียงของไฟล์ที่ไม่ซ้ำกัน ที่อยู่ IP และ URL และโปรโตคอลทั้งหมดที่ส่งผ่าน ด้วยเหตุนี้ NSP จึงสามารถตรวจจับปริมาณการใช้บ็อตเน็ต ระบุภัยคุกคาม 0 วันและการโจมตี DDoS และการโจมตีที่ครอบคลุมในวงกว้างช่วยลดโอกาสที่จะเกิดผลบวกลวง

ไม่ใช่ทุก IDS/IPS ที่สามารถทำงานได้ในสภาพแวดล้อม เครื่องเสมือนเนื่องจากการแลกเปลี่ยนทั้งหมดเกิดขึ้นบนอินเทอร์เฟซภายใน แต่ NSP ไม่มีปัญหาในเรื่องนี้ เนื่องจากสามารถวิเคราะห์การรับส่งข้อมูลระหว่าง VM รวมถึงระหว่าง VM และโฮสต์จริงได้ ในการตรวจสอบโหนด จะใช้โมดูลตัวแทนจาก Reflex Systems ซึ่งจะรวบรวมข้อมูลการรับส่งข้อมูลใน VM และส่งไปยังสภาพแวดล้อมทางกายภาพเพื่อการวิเคราะห์

เอ็นจิ้นแยกแยะแอปพลิเคชันมากกว่า 1,100 รายการที่ทำงานบนเลเยอร์ OSI ที่เจ็ด จะสแกนการรับส่งข้อมูลโดยใช้เครื่องมือวิเคราะห์เนื้อหาและจัดเตรียมให้ เครื่องมือง่ายๆการจัดการ.

นอกเหนือจาก NIPS แล้ว McAfee ยังเผยแพร่โฮสต์ IPS - Host Intrusion Prevention for Desktop ซึ่งให้บริการ การป้องกันที่ครอบคลุมพีซี โดยใช้วิธีการตรวจจับภัยคุกคาม เช่น การวิเคราะห์พฤติกรรมและลายเซ็น การตรวจสอบสถานะการเชื่อมต่อโดยใช้ไฟร์วอลล์ และการประเมินชื่อเสียงเพื่อป้องกันการโจมตี

จะปรับใช้ IDS/IPS ได้ที่ไหน

เพื่อให้ได้รับประโยชน์สูงสุดจาก IDS/IPS คุณควรปฏิบัติตามคำแนะนำต่อไปนี้:

  • ระบบจะต้องปรับใช้ที่ทางเข้าของเครือข่ายหรือซับเน็ตที่ได้รับการป้องกัน และโดยปกติจะอยู่หลังไฟร์วอลล์ (ไม่มีประโยชน์ในการควบคุมการรับส่งข้อมูลที่จะถูกบล็อก) - ด้วยวิธีนี้เราจะลดภาระลง ในบางกรณี มีการติดตั้งเซ็นเซอร์ไว้ภายในเซ็กเมนต์
  • ก่อนที่จะเปิดใช้งานฟังก์ชัน IPS คุณควรรันระบบในโหมดที่ไม่ปิดกั้น IDS สักระยะหนึ่ง ในอนาคตจะต้องมีการปรับเปลี่ยนกฎเกณฑ์เป็นระยะ
  • การตั้งค่า IPS ส่วนใหญ่จะขึ้นอยู่กับเครือข่ายทั่วไป ในบางกรณีอาจไม่ได้ผล ดังนั้นจึงจำเป็นต้องระบุ IP ของซับเน็ตภายในและแอปพลิเคชัน (พอร์ต) ที่ใช้ สิ่งนี้จะช่วยให้ชิ้นส่วนของฮาร์ดแวร์เข้าใจได้ดีขึ้นว่าฮาร์ดแวร์กำลังเกี่ยวข้องกับอะไร
  • หากมีการติดตั้งระบบ IPS "ระเบิด" จำเป็นต้องตรวจสอบประสิทธิภาพมิฉะนั้นความล้มเหลวของอุปกรณ์อาจทำให้เครือข่ายทั้งหมดเป็นอัมพาตได้อย่างง่ายดาย

บทสรุป

เราจะไม่ตัดสินผู้ชนะ ตัวเลือกในแต่ละกรณีขึ้นอยู่กับงบประมาณ โทโพโลยีเครือข่าย ฟังก์ชันความปลอดภัยที่จำเป็น ความปรารถนาของผู้ดูแลระบบในการแก้ไขการตั้งค่า และแน่นอน ความเสี่ยง โซลูชันเชิงพาณิชย์ได้รับการสนับสนุนและมาพร้อมกับใบรับรอง ซึ่งอนุญาตให้ใช้โซลูชันเหล่านี้ในองค์กรที่เกี่ยวข้อง ในการประมวลผลข้อมูลส่วนบุคคล เหนือสิ่งอื่นใด เผยแพร่ภายใต้ใบอนุญาต OpenSource Snort ได้รับการจัดทำเป็นเอกสารอย่างดีและเพียงพอ ฐานขนาดใหญ่และประวัติที่ดีที่เป็นที่ต้องการของผู้ดูแลระบบ อิมเมจ Suricata ที่เข้ากันได้สามารถปกป้องเครือข่ายที่มีการรับส่งข้อมูลสูงและที่สำคัญที่สุดคือฟรีอย่างแน่นอน

การตรวจจับการบุกรุกเป็นเครื่องมือซอฟต์แวร์หรือฮาร์ดแวร์สำหรับตรวจจับการโจมตีและ การกระทำที่เป็นอันตราย- ช่วยให้เครือข่ายและระบบคอมพิวเตอร์ต่อสู้กลับอย่างเหมาะสม เพื่อให้บรรลุเป้าหมายนี้ IDS จะรวบรวมข้อมูลจากแหล่งระบบหรือเครือข่ายจำนวนมาก IDS จะวิเคราะห์การโจมตี บทความนี้จะพยายามตอบคำถาม: "IDS - มันคืออะไรและมีไว้เพื่ออะไร"

ระบบตรวจจับการบุกรุก (IDS) มีไว้เพื่ออะไร?

ระบบสารสนเทศและเครือข่ายถูกโจมตีทางไซเบอร์อยู่ตลอดเวลา ไฟร์วอลล์และโปรแกรมป้องกันไวรัสไม่เพียงพอที่จะป้องกันการโจมตีเหล่านี้ได้อย่างชัดเจน เนื่องจากสามารถปกป้อง "ประตูหน้า" ของระบบคอมพิวเตอร์และเครือข่ายเท่านั้น วัยรุ่นหลายคนที่คิดว่าตัวเองเป็นแฮกเกอร์มักจะค้นหาทางอินเทอร์เน็ตเพื่อค้นหาช่องโหว่ในระบบรักษาความปลอดภัย

ต้องขอบคุณเวิลด์ไวด์เว็บที่ทำให้พวกเขามีซอฟต์แวร์ที่เป็นอันตรายฟรีมากมายให้เลือกใช้งาน ไม่ว่าจะเป็นสแลมเมอร์ บลินเดอร์ และที่คล้ายกันทุกประเภท มัลแวร์- บริษัทคู่แข่งใช้บริการของแฮกเกอร์มืออาชีพเพื่อต่อต้านซึ่งกันและกัน ดังนั้นระบบตรวจจับการบุกรุก (Intrusion Detection Systems) จึงมีความจำเป็นเร่งด่วน ไม่น่าแปลกใจเลยที่จะมีการใช้กันอย่างแพร่หลายมากขึ้นทุกวัน

องค์ประกอบไอดีเอส

องค์ประกอบ IDS ประกอบด้วย:

  • ระบบย่อยของตัวตรวจจับซึ่งมีจุดประสงค์เพื่อสะสมเหตุการณ์เครือข่ายหรือระบบคอมพิวเตอร์
  • ระบบย่อยการวิเคราะห์ที่ตรวจจับการโจมตีทางไซเบอร์และกิจกรรมที่น่าสงสัย
  • พื้นที่เก็บข้อมูลสำหรับจัดเก็บข้อมูลเกี่ยวกับเหตุการณ์ตลอดจนผลการวิเคราะห์การโจมตีทางไซเบอร์และการกระทำที่ไม่ได้รับอนุญาต
  • คอนโซลการจัดการที่คุณสามารถตั้งค่าพารามิเตอร์ IDS ตรวจสอบสถานะของเครือข่าย (หรือระบบคอมพิวเตอร์) และเข้าถึงข้อมูลเกี่ยวกับการโจมตีและการกระทำที่ผิดกฎหมายที่ตรวจพบโดยระบบย่อยการวิเคราะห์

อย่างไรก็ตาม หลายคนอาจถามว่า “IDS แปลอย่างไร” การแปลจากภาษาอังกฤษฟังดูเหมือน “ระบบที่ดึงดูดแขกที่ไม่ได้รับเชิญให้มาแสดง”

งานหลักที่ระบบตรวจจับการบุกรุกแก้ไข

ระบบตรวจจับการบุกรุกมีหน้าที่หลักสองประการ: การวิเคราะห์และการตอบสนองที่เพียงพอโดยอิงตามผลลัพธ์ของการวิเคราะห์นี้ เพื่อดำเนินงานเหล่านี้ ระบบ IDS จะดำเนินการดังต่อไปนี้:

  • ติดตามและวิเคราะห์กิจกรรมของผู้ใช้
  • ตรวจสอบการกำหนดค่าระบบและจุดอ่อน
  • ตรวจสอบความสมบูรณ์ของไฟล์ระบบที่สำคัญตลอดจนไฟล์ข้อมูล
  • ดำเนินการวิเคราะห์ทางสถิติของสถานะของระบบโดยเปรียบเทียบกับสถานะที่เกิดขึ้นระหว่างการโจมตีที่ทราบอยู่แล้ว
  • ดำเนินการตรวจสอบ ระบบปฏิบัติการ.

สิ่งที่ระบบตรวจจับการบุกรุกสามารถให้ได้และสิ่งที่ไม่สามารถให้ได้

ด้วยความช่วยเหลือคุณสามารถบรรลุสิ่งต่อไปนี้:

  • ปรับปรุงพารามิเตอร์ความสมบูรณ์
  • ติดตามกิจกรรมของผู้ใช้ตั้งแต่ช่วงเวลาที่เขาเข้าสู่ระบบจนถึงช่วงเวลาที่เขาสร้างความเสียหายให้กับมันหรือดำเนินการใด ๆ ที่ไม่ได้รับอนุญาต
  • รับรู้และแจ้งเกี่ยวกับการเปลี่ยนแปลงหรือการลบข้อมูล
  • ทำให้งานตรวจสอบอินเทอร์เน็ตเป็นอัตโนมัติเพื่อค้นหาการโจมตีล่าสุด
  • ระบุข้อผิดพลาดในการกำหนดค่าระบบ
  • ตรวจพบจุดเริ่มต้นของการโจมตีและแจ้งให้ทราบ

ระบบ IDS ไม่สามารถทำได้:

  • เติมข้อบกพร่องในโปรโตคอลเครือข่าย
  • มีบทบาทในการชดเชยในกรณีที่กลไกการระบุและการรับรองความถูกต้องอ่อนแอในเครือข่ายหรือระบบคอมพิวเตอร์ที่ตรวจสอบ
  • ควรสังเกตด้วยว่า IDS ไม่สามารถรับมือกับปัญหาที่เกี่ยวข้องกับการโจมตีระดับแพ็กเก็ตได้เสมอไป

IPS (ระบบป้องกันการบุกรุก) - ความต่อเนื่องของ IDS

IPS ย่อมาจาก Intrusion Prevention System สิ่งเหล่านี้เป็น IDS ที่ทันสมัยและใช้งานได้หลากหลายกว่า ระบบ IPS IDS มีปฏิกิริยา (ต่างจากระบบทั่วไป) ซึ่งหมายความว่าไม่เพียงแต่ตรวจจับ บันทึก และรายงานการโจมตีเท่านั้น แต่ยังดำเนินการได้อีกด้วย ฟังก์ชั่นการป้องกัน- คุณสมบัติเหล่านี้รวมถึงการรีเซ็ตการเชื่อมต่อและการบล็อกแพ็กเก็ตการรับส่งข้อมูลที่เข้ามา คุณสมบัติที่โดดเด่นอีกประการหนึ่งของ IPS คือการทำงานออนไลน์และสามารถบล็อกการโจมตีได้โดยอัตโนมัติ

ชนิดย่อยของ IDS โดยวิธีการตรวจสอบ

NIDS (นั่นคือ IDS ที่ตรวจสอบเครือข่ายทั้งหมด) วิเคราะห์การรับส่งข้อมูลของเครือข่ายย่อยทั้งหมดและได้รับการจัดการจากส่วนกลาง ด้วยการวางตำแหน่งที่ถูกต้องของ NIDS หลายตัว สามารถตรวจสอบเครือข่ายที่ค่อนข้างใหญ่ได้

พวกเขาทำงานในโหมดที่หลากหลาย (นั่นคือ พวกเขาตรวจสอบแพ็กเก็ตขาเข้าทั้งหมดแทนที่จะทำแบบเลือกสรร) เปรียบเทียบการรับส่งข้อมูลเครือข่ายย่อยกับการโจมตีที่รู้จักจากไลบรารีของพวกเขา เมื่อมีการระบุการโจมตีหรือตรวจพบกิจกรรมที่ไม่ได้รับอนุญาต การแจ้งเตือนจะถูกส่งไปยังผู้ดูแลระบบ อย่างไรก็ตาม ควรสังเกตว่าในเครือข่ายขนาดใหญ่ที่มีการรับส่งข้อมูลจำนวนมาก บางครั้ง NIDS ล้มเหลวในการตรวจสอบแพ็กเก็ตข้อมูลทั้งหมด จึงมีความเป็นไปได้ที่ในช่วงเวลาเร่งด่วนจะไม่สามารถรับรู้ถึงการโจมตีได้

NIDS (IDS บนเครือข่าย) คือระบบที่ง่ายต่อการรวมเข้ากับโทโพโลยีเครือข่ายใหม่ เนื่องจากระบบเหล่านี้ไม่มีผลกระทบพิเศษต่อการทำงาน โดยเป็นแบบพาสซีฟ โดยจะบันทึก บันทึก และแจ้งเตือนเท่านั้น ต่างจากระบบ IPS แบบรีแอกทีฟที่กล่าวถึงข้างต้น อย่างไรก็ตาม ต้องกล่าวถึง IDS บนเครือข่ายด้วยว่าสิ่งเหล่านี้เป็นระบบที่ไม่สามารถวิเคราะห์ข้อมูลที่ถูกเข้ารหัสได้ นี่เป็นข้อเสียเปรียบที่สำคัญเนื่องจากเนื่องจากมีการนำเครือข่ายส่วนตัวเสมือน (VPN) มาใช้เพิ่มมากขึ้น อาชญากรไซเบอร์จึงใช้ข้อมูลที่เข้ารหัสในการโจมตีมากขึ้น

NIDS ยังไม่สามารถระบุได้ว่าเกิดอะไรขึ้นจากการโจมตี ไม่ว่าจะก่อให้เกิดอันตรายหรือไม่ก็ตาม สิ่งที่พวกเขาทำได้คือบันทึกจุดเริ่มต้น ดังนั้นผู้ดูแลระบบจึงถูกบังคับให้ตรวจสอบแต่ละกรณีการโจมตีซ้ำอีกครั้งเพื่อให้แน่ใจว่าผู้โจมตีบรรลุเป้าหมาย ปัญหาสำคัญอีกประการหนึ่งคือ NIDS มีปัญหาในการตรวจจับการโจมตีโดยใช้แพ็กเก็ตที่กระจัดกระจาย สิ่งเหล่านี้เป็นอันตรายอย่างยิ่งเนื่องจากอาจรบกวนการทำงานปกติของ NIDS สิ่งนี้อาจหมายถึงอะไรสำหรับทั้งเครือข่ายหรือระบบคอมพิวเตอร์ ไม่จำเป็นต้องอธิบาย

HIDS (ระบบตรวจจับการบุกรุกของโฮสต์)

HIDS (IDS การตรวจสอบโฮสต์) ให้บริการเฉพาะคอมพิวเตอร์เครื่องใดเครื่องหนึ่งเท่านั้น สิ่งนี้ให้ประสิทธิภาพที่สูงกว่ามากโดยธรรมชาติ HIDS วิเคราะห์ข้อมูลสองประเภท: บันทึกของระบบและผลการตรวจสอบระบบปฏิบัติการ พวกเขาถ่ายภาพสแน็ปช็อตของไฟล์ระบบและเปรียบเทียบกับสแน็ปช็อตก่อนหน้า หากไฟล์ที่สำคัญต่อระบบมีการเปลี่ยนแปลงหรือถูกลบ การแจ้งเตือนจะถูกส่งไปยังผู้ดูแลระบบ

ข้อได้เปรียบที่สำคัญของ HIDS คือความสามารถในการทำงานในสถานการณ์ที่สามารถเข้ารหัสการรับส่งข้อมูลเครือข่ายได้ สิ่งนี้เป็นไปได้เนื่องจากการที่แหล่งข้อมูลบนโฮสต์สามารถสร้างขึ้นได้ก่อนที่จะเข้ารหัสข้อมูลหรือหลังจากถอดรหัสบนโฮสต์ปลายทาง

ข้อเสียของระบบนี้ได้แก่ความเป็นไปได้ในการบล็อกหรือห้ามใช้งาน บางประเภทการโจมตีดอส ปัญหาคือเซ็นเซอร์และการวิเคราะห์ HIDS บางส่วนอยู่บนโฮสต์ที่ถูกโจมตี ซึ่งหมายความว่าพวกมันก็ถูกโจมตีเช่นกัน ความจริงที่ว่า HIDS ใช้ทรัพยากรของโฮสต์ที่พวกเขาตรวจสอบงานก็ยากที่จะเรียกข้อดีเช่นกัน เนื่องจากสิ่งนี้จะลดประสิทธิภาพลงตามธรรมชาติ

ประเภทย่อย IDS ตามวิธีการตรวจจับการโจมตี

วิธีความผิดปกติ วิธีวิเคราะห์ลายเซ็น และวิธีการนโยบาย - เหล่านี้เป็นประเภทย่อยของวิธีการตรวจจับการโจมตีที่ระบบ IDS มี

วิธีการวิเคราะห์ลายเซ็น

ในกรณีนี้ แพ็คเก็ตข้อมูลจะถูกตรวจสอบลายเซ็นการโจมตี ลายเซ็นการโจมตีคือเหตุการณ์ที่ตรงกับรูปแบบใดรูปแบบหนึ่งที่อธิบายการโจมตีที่ทราบ วิธีนี้ค่อนข้างมีประสิทธิภาพเพราะจะช่วยลดจำนวนรายงานการโจมตีที่ผิดพลาด

วิธีการผิดปกติ

ช่วยตรวจจับกิจกรรมที่ผิดกฎหมายบนเครือข่ายและบนโฮสต์ ขึ้นอยู่กับประวัติศาสตร์ ดำเนินการตามปกติโฮสต์และเครือข่าย โปรไฟล์พิเศษจะถูกสร้างขึ้นพร้อมข้อมูลเกี่ยวกับสิ่งนี้ จากนั้นเครื่องตรวจจับพิเศษจะเข้ามามีบทบาทและวิเคราะห์เหตุการณ์ ด้วยความช่วยเหลือ อัลกอริธึมต่างๆพวกเขาวิเคราะห์เหตุการณ์เหล่านี้โดยเปรียบเทียบกับ "บรรทัดฐาน" ในโปรไฟล์ การไม่จำเป็นต้องสะสมลายเซ็นการโจมตีจำนวนมากถือเป็นข้อได้เปรียบที่ชัดเจนของวิธีนี้ อย่างไรก็ตาม สัญญาณเท็จจำนวนมากเกี่ยวกับการโจมตีในระหว่างเหตุการณ์ที่ผิดปกติ แต่เหตุการณ์ทางกฎหมายโดยสมบูรณ์บนเครือข่ายถือเป็นข้อเสียอย่างไม่ต้องสงสัย

วิธีการนโยบาย

อีกวิธีหนึ่งในการตรวจจับการโจมตีคือวิธีการเชิงนโยบาย สาระสำคัญคือการสร้างกฎความปลอดภัยของเครือข่าย ซึ่งอาจบ่งบอกถึงหลักการของการโต้ตอบระหว่างเครือข่ายและโปรโตคอลที่ใช้ วิธีการนี้มีแนวโน้มดี แต่ปัญหาอยู่ที่กระบวนการที่ค่อนข้างซับซ้อนในการสร้างฐานนโยบาย

ID Systems จะให้การป้องกันที่เชื่อถือได้สำหรับเครือข่ายและระบบคอมพิวเตอร์ของคุณ

ปัจจุบันกลุ่มบริษัท ID Systems เป็นหนึ่งในผู้นำตลาดในด้านการสร้างระบบรักษาความปลอดภัยสำหรับเครือข่ายคอมพิวเตอร์ มันจะช่วยให้คุณได้รับการปกป้องที่เชื่อถือได้จากคนร้ายทางไซเบอร์ ด้วยระบบป้องกัน ID Systems คุณจะไม่ต้องกังวลกับข้อมูลสำคัญของคุณ ด้วยเหตุนี้ คุณจะสามารถสนุกกับชีวิตได้มากขึ้น เพราะคุณจะมีความกังวลในใจน้อยลง

ระบบ ID - บทวิจารณ์ของพนักงาน

ทีมที่ยอดเยี่ยม และแน่นอนว่าสิ่งสำคัญคือทัศนคติที่ถูกต้องของฝ่ายบริหารของบริษัทที่มีต่อพนักงาน ทุกคน (แม้แต่มือใหม่) มีโอกาสที่จะเติบโตอย่างมืออาชีพ จริงอยู่สำหรับสิ่งนี้โดยธรรมชาติคุณต้องพิสูจน์ตัวเองแล้วทุกอย่างจะออกมาดี

มีบรรยากาศที่ดีต่อสุขภาพในทีม ผู้เริ่มต้นจะได้รับการสอนทุกอย่างและแสดงทุกอย่างเสมอ ไม่มีความรู้สึกถึงการแข่งขันที่ไม่ดีต่อสุขภาพ พนักงานที่ทำงานในบริษัทมาหลายปียินดีที่จะแบ่งปันรายละเอียดทางเทคนิคทั้งหมด พวกเขาตอบคำถามโง่ๆ ของคนงานที่ไม่มีประสบการณ์ด้วยความกรุณา แม้ว่าจะไม่มีการดูถูกก็ตาม โดยทั่วไปแล้ว การทำงานที่ ID Systems ไม่ได้ให้อะไรนอกจากอารมณ์ที่น่าพึงพอใจ

ทัศนคติของผู้บริหารเป็นที่น่าพอใจ เป็นเรื่องน่ายินดีที่พวกเขารู้วิธีทำงานร่วมกับบุคลากรที่นี่อย่างชัดเจน เพราะทีมที่พวกเขาเลือกมีความเป็นมืออาชีพสูงอย่างแท้จริง ความคิดเห็นของพนักงานเกือบจะชัดเจน: พวกเขารู้สึกเหมือนอยู่บ้านในที่ทำงาน

ปัจจุบัน ระบบตรวจจับและป้องกันการบุกรุก (IDS/IPS ระบบตรวจจับการบุกรุก / ระบบป้องกันการบุกรุก คำภาษารัสเซียที่คล้ายกัน - SOV/SOA) - องค์ประกอบที่จำเป็นป้องกันการโจมตีเครือข่าย วัตถุประสงค์หลักของระบบดังกล่าวคือการระบุกรณีของการเข้าถึงเครือข่ายองค์กรโดยไม่ได้รับอนุญาตและใช้มาตรการรับมือที่เหมาะสม: แจ้งผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเกี่ยวกับข้อเท็จจริงของการบุกรุก การตัดการเชื่อมต่อ และการกำหนดค่าไฟร์วอลล์ใหม่เพื่อบล็อก การดำเนินการเพิ่มเติมผู้โจมตีเช่น การป้องกันจาก การโจมตีของแฮ็กเกอร์และ มัลแวร์.

คำอธิบายทั่วไปของเทคโนโลยี

มีเทคโนโลยี IDS หลายอย่างที่แตกต่างกันไปตามประเภทของเหตุการณ์ที่ตรวจพบและวิธีการที่ใช้ในการระบุเหตุการณ์ นอกเหนือจากฟังก์ชันการติดตามและวิเคราะห์เหตุการณ์เพื่อระบุเหตุการณ์แล้ว IDS ทุกประเภทยังทำหน้าที่ต่อไปนี้:

  • การบันทึกข้อมูลเกี่ยวกับเหตุการณ์โดยทั่วไป ข้อมูลจะถูกจัดเก็บไว้ในเครื่อง แต่สามารถส่งไปยังระบบรวบรวมบันทึกแบบรวมศูนย์หรือระบบ SIEM ได้
  • แจ้งผู้ดูแลระบบความปลอดภัยเกี่ยวกับเหตุการณ์ความปลอดภัยของข้อมูลการแจ้งเตือนประเภทนี้เรียกว่าการแจ้งเตือน และสามารถดำเนินการได้หลายช่องทาง: อีเมล กับดัก SNMP ข้อความ บันทึกระบบ, คอนโซลการจัดการระบบ IDS ปฏิกิริยาที่ตั้งโปรแกรมได้โดยใช้สคริปต์ก็เป็นไปได้เช่นกัน
  • การสร้างรายงานรายงานถูกสร้างขึ้นเพื่อสรุปข้อมูลทั้งหมดเกี่ยวกับเหตุการณ์ที่ร้องขอ

เทคโนโลยีไอพีเอสเสริมเทคโนโลยี IDS โดยไม่เพียงแต่สามารถระบุภัยคุกคามได้อย่างอิสระ แต่ยังบล็อกได้สำเร็จอีกด้วย ในสถานการณ์สมมตินี้ ฟังก์ชันการทำงานของ IPS จะกว้างกว่าของ IDS มาก:

  • IPS บล็อกการโจมตี (ยุติเซสชันของผู้ใช้ที่ละเมิดนโยบายความปลอดภัย บล็อกการเข้าถึงทรัพยากร โฮสต์ แอปพลิเคชัน)
  • IPS เปลี่ยนสภาพแวดล้อมที่ได้รับการป้องกัน (การเปลี่ยนแปลงการกำหนดค่า อุปกรณ์เครือข่ายเพื่อป้องกันการโจมตี);
  • IPS เปลี่ยนเนื้อหาของการโจมตี (เช่น ลบออกจากจดหมาย ไฟล์ที่ติดไวรัสและส่งไปยังผู้รับที่เคลียร์แล้วหรือทำงานเป็นพร็อกซีวิเคราะห์คำขอที่เข้ามาและละทิ้งข้อมูลในส่วนหัวของแพ็กเก็ต)

แต่นอกเหนือจากข้อดีที่ชัดเจนแล้ว ระบบเหล่านี้ยังมีข้อเสียอยู่ด้วย ตัวอย่างเช่น IPS ไม่สามารถระบุเหตุการณ์ด้านความปลอดภัยของข้อมูลได้อย่างแม่นยำเสมอไป หรือเข้าใจผิดว่าการรับส่งข้อมูลปกติหรือพฤติกรรมของผู้ใช้เป็นเหตุการณ์หนึ่ง ในตัวเลือกแรก เป็นธรรมเนียมที่จะพูดถึงเหตุการณ์ผลลบลวง ในตัวเลือกที่สอง จะพูดถึงเหตุการณ์ผลลบลวง โปรดทราบว่าเป็นไปไม่ได้ที่จะกำจัดเหตุการณ์ที่เกิดขึ้นโดยสิ้นเชิง ดังนั้นองค์กรในแต่ละกรณีสามารถตัดสินใจได้อย่างอิสระว่าควรลดหรือยอมรับความเสี่ยงกลุ่มใดในทั้งสองกลุ่ม

มีหลากหลาย เทคนิคการตรวจจับเหตุการณ์ที่เกิดขึ้นโดยใช้ เทคโนโลยีไอพีเอส- การใช้งาน IPS ส่วนใหญ่ใช้เทคโนโลยีเหล่านี้รวมกันเพื่อให้บริการที่มากขึ้น ระดับสูงการตรวจจับภัยคุกคาม

1. การตรวจจับการโจมตีตามลายเซ็น

ลายเซ็นคือรูปแบบที่กำหนดการโจมตีที่เกี่ยวข้อง การตรวจจับการโจมตีตามลายเซ็นเป็นกระบวนการในการเปรียบเทียบลายเซ็นกับเหตุการณ์ที่เป็นไปได้ ตัวอย่างลายเซ็นได้แก่:

  • การเชื่อมต่อเทลเน็ตโดยผู้ใช้ "รูท" ซึ่งจะถือเป็นการละเมิดนโยบายความปลอดภัยของบริษัทบางประการ
  • อีเมลขาเข้าที่มีหัวเรื่อง “รูปภาพฟรี” พร้อมไฟล์แนบ “freepics.exe”;
  • บันทึกระบบปฏิบัติการด้วยรหัส 645 ซึ่งระบุว่าการตรวจสอบโฮสต์ถูกปิดใช้งาน

วิธีการนี้มีประสิทธิภาพมากในการตรวจจับภัยคุกคามที่ทราบ แต่ไม่ได้ผลกับการโจมตีที่ไม่รู้จัก (ไม่มีลายเซ็น)

2. การตรวจจับการโจมตีด้วยพฤติกรรมผิดปกติ

วิธีการนี้อาศัยการเปรียบเทียบกิจกรรมปกติของเหตุการณ์กับกิจกรรมของเหตุการณ์ที่เบี่ยงเบนไปจากระดับปกติ IPS ที่ใช้วิธีการนี้เรียกว่า "โปรไฟล์" ซึ่งสะท้อนถึงพฤติกรรมปกติของผู้ใช้ โหนดเครือข่าย การเชื่อมต่อ แอปพลิเคชัน และการรับส่งข้อมูล โปรไฟล์เหล่านี้ถูกสร้างขึ้นในช่วง "ช่วงการฝึกอบรม" ในช่วงระยะเวลาหนึ่ง ตัวอย่างเช่น โปรไฟล์อาจบันทึกการเข้าชมเว็บเพิ่มขึ้น 13% ในวันธรรมดา ในอนาคต IPS จะใช้ วิธีการทางสถิติเมื่อเปรียบเทียบคุณลักษณะต่างๆ ของกิจกรรมจริงกับค่าเกณฑ์ที่กำหนด เมื่อเกินแล้ว ข้อความที่เกี่ยวข้องจะถูกส่งไปยังคอนโซลการจัดการของเจ้าหน้าที่รักษาความปลอดภัย สามารถสร้างโปรไฟล์ตามคุณลักษณะต่างๆ ที่นำมาจากการวิเคราะห์พฤติกรรมผู้ใช้ ตัวอย่างเช่นตามจำนวนอีเมลที่ส่งจำนวนความพยายามเข้าสู่ระบบที่ไม่สำเร็จระดับของตัวประมวลผลเซิร์ฟเวอร์ที่โหลดในช่วงเวลาหนึ่ง ฯลฯ ด้วยเหตุนี้วิธีนี้จึงช่วยให้คุณสามารถบล็อกการโจมตีได้อย่างมีประสิทธิภาพ ที่ข้ามการกรองการวิเคราะห์ลายเซ็น จึงให้การป้องกันการโจมตีของแฮ็กเกอร์

เทคโนโลยี IDS/IPS ใน ALTELL NEO

IDS/IPS ที่บริษัทของเราใช้ในไฟร์วอลล์ ALTELL NEO รุ่นใหม่นั้นใช้เทคโนโลยี Suricata แบบเปิด ซึ่งกำลังได้รับการพัฒนาเพิ่มเติมตามงานของเรา ต่างจาก IDS/IPS Snort ที่นักพัฒนารายอื่นใช้ ระบบที่เราใช้มีข้อดีหลายประการ เช่น อนุญาตให้คุณใช้ GPU ในโหมด IDS มีข้อได้เปรียบที่สูงกว่า ระบบไอพีเอสรองรับการทำงานหลายอย่างพร้อมกัน (เพื่อประสิทธิภาพที่เร็วขึ้น) และอื่นๆ อีกมากมาย รวมถึงการรองรับรูปแบบกฎ Snort อย่างเต็มรูปแบบ

มันคุ้มค่าที่จะพิจารณาว่าสำหรับ การดำเนินการที่ถูกต้อง IDS/IPS ต้องการฐานข้อมูลลายเซ็นที่ทันสมัย ALTELL NEO ใช้ฐานข้อมูลช่องโหว่แห่งชาติแบบเปิดและ Bugtraq เพื่อจุดประสงค์นี้ ฐานข้อมูลจะได้รับการอัพเดต 2-3 ครั้งต่อวัน ซึ่งทำให้มั่นใจได้ ระดับที่เหมาะสมที่สุดความปลอดภัยของข้อมูล

ระบบ ALTELL NEO สามารถทำงานได้ในสองโหมด: โหมดตรวจจับการบุกรุก (IDS) และโหมดป้องกันการบุกรุก (IPS) ฟังก์ชัน IDS และ IPS ถูกเปิดใช้งานบนอินเทอร์เฟซอุปกรณ์ที่เลือกโดยผู้ดูแลระบบ - หนึ่งรายการขึ้นไป นอกจากนี้ยังสามารถเรียกใช้ฟังก์ชัน IPS เมื่อกำหนดค่ากฎไฟร์วอลล์สำหรับการรับส่งข้อมูลประเภทเฉพาะที่คุณต้องการสแกน ความแตกต่างด้านการทำงานระหว่าง IDS และ IPS คือในโหมด IPS การโจมตีเครือข่ายสามารถบล็อกได้แบบเรียลไทม์

การทำงานของระบบตรวจจับและป้องกันการบุกรุกใน ALTELL NEO

การทำงาน สนับสนุน
1. การตรวจจับ ช่องโหว่ (ช่องโหว่) ส่วนประกอบ ActiveX
2. การตรวจจับการรับส่งข้อมูลที่ส่งโดยโฮสต์บนเครือข่ายท้องถิ่นภายใน ลักษณะของการตอบสนองหลังจากการโจมตีสำเร็จ
3. การตรวจจับการรับส่งข้อมูลเครือข่ายจากคำสั่งบอทเน็ตและเซิร์ฟเวอร์ควบคุม (Bot C&C)
4. ตรวจจับการรับส่งข้อมูลเครือข่ายที่เกี่ยวข้องกับโปรโตคอลและโปรแกรมส่งข้อความโต้ตอบแบบทันที
5. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโหนดเครือข่ายที่ถูกบุกรุก
6. การตรวจจับการรับส่งข้อมูลเครือข่ายที่ส่งตรงไปยังเซิร์ฟเวอร์ DNS
7. การตรวจจับการรับส่งข้อมูลโดยทั่วไปของการโจมตีแบบปฏิเสธการบริการ (DoS, การปฏิเสธการบริการ)
8. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโฮสต์ในรายการ Spamhaus Drop
9. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโฮสต์ที่ทราบแหล่งที่มาของการโจมตีตามรายการ Dshield
10. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของโปรแกรมที่ใช้ประโยชน์จากช่องโหว่ (ช่องโหว่)
11. การตรวจจับปริมาณข้อมูลที่เกี่ยวข้องกับเกมคอมพิวเตอร์
12. การตรวจจับการรับส่งข้อมูลเครือข่าย ICMP ที่เกี่ยวข้องกับการโจมตีเครือข่าย เช่น การสแกนพอร์ต
13. การตรวจจับลักษณะการรับส่งข้อมูลเครือข่ายของการโจมตีบริการ IMAP
14. ตรวจจับการรับส่งข้อมูลเครือข่ายที่ไม่ถูกต้องซึ่งละเมิดนโยบายความปลอดภัยขององค์กรของคุณ
15. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของโปรแกรมที่เป็นอันตราย (มัลแวร์)
16. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของเวิร์มเครือข่ายโดยใช้โปรโตคอล NetBIOS
17 . การตรวจจับการรับส่งข้อมูลเครือข่าย โปรแกรมแชร์ไฟล์แบบเพียร์ทูเพียร์ (P2P เครือข่ายเพียร์ทูเพียร์)
18. การตรวจจับกิจกรรมเครือข่ายที่อาจขัดต่อนโยบายความปลอดภัยขององค์กร (เช่น การรับส่งข้อมูล VNC หรือการใช้การเข้าถึง FTP ที่ไม่เปิดเผยตัวตน)
19. การตรวจจับการรับส่งข้อมูลที่สอดคล้องกับการโจมตีบริการ POP3
20. การตรวจจับการรับส่งข้อมูลเครือข่ายจากโฮสต์ Russian Business Network
21. การตรวจจับการโจมตีบริการ RPC (การเรียกขั้นตอนระยะไกล)
22. การตรวจจับการรับส่งข้อมูลเครือข่ายจากเครื่องสแกนพอร์ต
23. การตรวจจับแพ็กเก็ตที่มีโค้ดแอสเซมบลี คำสั่งระดับต่ำ หรือที่เรียกว่าโค้ดคำสั่ง (เช่น การโจมตีบัฟเฟอร์ล้น)
24. การตรวจจับการรับส่งข้อมูลที่สอดคล้องกับการโจมตีบริการ SMTP
25. การตรวจจับการรับส่งข้อมูลเครือข่าย SNMP
26. การค้นพบกฎสำหรับโปรแกรมฐานข้อมูล SQL ต่างๆ
27. การตรวจจับการรับส่งข้อมูลเครือข่ายโปรโตคอล Telnet บนเครือข่าย
28. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของการโจมตี TFTP (trivial FTP)
29. การตรวจจับการรับส่งข้อมูลที่มาจากผู้ส่งที่ใช้ เครือข่ายทอร์เพื่อรักษาความไม่เปิดเผยตัวตน
30. การตรวจจับการรับส่งข้อมูลโทรจัน
31. การตรวจจับการโจมตีตัวแทนผู้ใช้
32. ความพร้อมใช้งานของลายเซ็นของไวรัสทั่วไป (เป็นส่วนเสริมของกลไกป้องกันไวรัส ALTELL NEO)
33. การตรวจจับลักษณะการรับส่งข้อมูลเครือข่ายของการโจมตีบริการ VoIP
34. การตรวจจับช่องโหว่ (ช่องโหว่) สำหรับเว็บไคลเอ็นต์
35. การตรวจจับการโจมตีบนเว็บเซิร์ฟเวอร์
36. การตรวจจับการโจมตีแบบฉีด SQL
37. การตรวจจับการรับส่งข้อมูลเครือข่ายตามแบบฉบับของเวิร์มเครือข่าย
38. ป้องกันการโจมตีของแฮกเกอร์

กฎความปลอดภัยได้รับการพัฒนาและปรับปรุงโดยชุมชน Emerging Threats และอาศัยประสบการณ์หลายปีของผู้เชี่ยวชาญในสาขาการป้องกันการโจมตีเครือข่าย กฎจะได้รับการอัปเดตโดยอัตโนมัติผ่านช่องทางที่ปลอดภัย (สำหรับสิ่งนี้ จะต้องกำหนดค่าการเชื่อมต่ออินเทอร์เน็ตใน ALTELL NEO) แต่ละกฎได้รับการกำหนดลำดับความสำคัญตามประเภทการโจมตีโดยพิจารณาจากความถี่ในการใช้งานและความสำคัญ ระดับมาตรฐานลำดับความสำคัญ - ตั้งแต่ 1 ถึง 3 โดยลำดับความสำคัญ “1” คือสูง ลำดับความสำคัญ “2” คือปานกลาง และลำดับความสำคัญ “3” คือต่ำ

ตามลำดับความสำคัญเหล่านี้ สามารถกำหนดให้ระบบตรวจจับและป้องกันการบุกรุก ALTELL NEO ดำเนินการแบบเรียลไทม์เมื่อตรวจพบการรับส่งข้อมูลเครือข่ายที่ตรงกับลายเซ็นของกฎ การดำเนินการอาจเป็นดังนี้:

  • เตือน(โหมด IDS) - อนุญาตการรับส่งข้อมูลและส่งต่อไปยังผู้รับ คำเตือนถูกเขียนลงในบันทึกเหตุการณ์ การดำเนินการนี้เป็นค่าเริ่มต้นสำหรับกฎทั้งหมด
  • หยด(โหมด IPS) - การวิเคราะห์แพ็คเก็ตหยุดลง ไม่มีการเปรียบเทียบเพิ่มเติมเพื่อให้สอดคล้องกับกฎที่เหลือ แพ็กเก็ตจะถูกละทิ้งและมีการเขียนคำเตือนลงในบันทึก
  • ปฏิเสธ(โหมด IPS) - ในโหมดนี้แพ็กเก็ตจะถูกละทิ้งและมีการเขียนคำเตือนลงในบันทึก ในกรณีนี้ ข้อความที่เกี่ยวข้องจะถูกส่งไปยังผู้ส่งและผู้รับแพ็คเกจ
  • ผ่าน(โหมด IDS และ IPS) - ในโหมดนี้ การวิเคราะห์แพ็คเก็ตจะหยุดลง และจะไม่มีการเปรียบเทียบเพิ่มเติมเพื่อให้สอดคล้องกับกฎที่เหลือ แพ็กเก็ตจะถูกส่งต่อไปยังปลายทางและไม่มีการสร้างคำเตือน

สามารถสร้างรายงานการรับส่งข้อมูลที่ผ่านระบบตรวจจับและป้องกันการบุกรุก ALTELL NEO ได้ ระบบรวมศูนย์ระบบควบคุม ALTELL NEO ที่ออกแบบเอง ซึ่งรวบรวมข้อมูลเริ่มต้น (การแจ้งเตือน) จากอุปกรณ์ ALTELL NEO ตั้งแต่หนึ่งเครื่องขึ้นไป


การทดสอบฟรี

คุณสามารถทดสอบการทำงานของระบบ IDS/IPS ที่สร้างไว้ใน ALTELL NEO ในเวอร์ชัน UTM ได้ฟรีโดยกรอกใบสมัครสั้นๆ คุณยังสามารถเลือกการกำหนดค่าอุปกรณ์ ( หน่วยความจำเพิ่มเติม, โมดูลส่วนขยาย, เวอร์ชันซอฟต์แวร์ ฯลฯ) และคำนวณราคาโดยประมาณโดยใช้

งานห้องปฏิบัติการหมายเลข_ . ระบบตรวจจับการโจมตีแบบเรียลไทม์

เป้าหมายของการทำงาน: ทำความคุ้นเคยกับหลักการทำงานของระบบตรวจจับการโจมตีที่ทำงานแบบเรียลไทม์ การติดตั้งและการกำหนดค่า ระบบจริงการตรวจจับการโจมตี สีดำ น้ำแข็ง ผู้ปกป้อง.

    แนวคิดพื้นฐาน

ระบบและเครือข่ายเป็นเป้าหมายของการโจมตี บ่อยครั้งที่มีการบันทึกการโจมตีบนแหล่งข้อมูลอินเทอร์เน็ตที่มีเป้าหมายเพื่อละเมิดนโยบายความปลอดภัยที่มีอยู่ ระบบวิเคราะห์ความปลอดภัย (เครื่องสแกนความปลอดภัย) จะตรวจสอบระบบและเครือข่ายเพื่อค้นหาปัญหาในการใช้งานและการกำหนดค่าที่นำไปสู่การละเมิดเหล่านี้ ระบบตรวจจับการโจมตี (ต่อไปนี้ ไอดีเอส-ระบบ การบุกรุก การตรวจจับ ระบบ) รวบรวมข้อมูลต่างๆ จากแหล่งต่างๆ และวิเคราะห์การละเมิดนโยบายความปลอดภัยต่างๆ ทั้งการวิเคราะห์ความปลอดภัยและการตรวจจับการโจมตีช่วยให้องค์กรสามารถป้องกันตนเองจากการสูญเสียที่เกี่ยวข้องกับการละเมิดความปลอดภัย

ไอดีเอส-ระบบรวบรวมข้อมูลเกี่ยวกับการใช้ระบบและทรัพยากรเครือข่ายที่หลากหลาย จากนั้นวิเคราะห์ข้อมูลสำหรับการบุกรุก (การโจมตีที่มาจากภายนอกองค์กร) และการละเมิด (การโจมตีที่มาจากภายในองค์กร) การตรวจจับการโจมตีเป็นกระบวนการประเมินกิจกรรมที่น่าสงสัยที่เกิดขึ้นบนเครือข่ายองค์กร การตรวจจับการโจมตีจะดำเนินการผ่านการวิเคราะห์บันทึกระบบปฏิบัติการและแอปพลิเคชันหรือการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ ส่วนประกอบการตรวจจับการบุกรุกที่อยู่บนโหนดหรือส่วนเครือข่ายจะประเมินการกระทำต่างๆ รวมถึง และใช้ประโยชน์จากช่องโหว่ที่ทราบ

มีการจำแนกหลายประเภท ไอดีเอส-ระบบ หนึ่งในนั้นขึ้นอยู่กับหลักการดำเนินการ:

    เจ้าภาพ-ซึ่งเป็นรากฐาน- ตรวจจับการโจมตีที่มุ่งเป้าไปที่โหนดเครือข่ายเฉพาะ

    เครือข่าย- ซึ่งเป็นรากฐาน- ตรวจจับการโจมตีที่มุ่งเป้าไปที่เครือข่ายทั้งหมดหรือส่วนของเครือข่าย

ระบบชั้นเรียน เจ้าภาพ-ซึ่งเป็นรากฐานสามารถแบ่งได้อีก 3 ระดับย่อย คือ

    แอปพลิเคชัน ไอดีเอส- ตรวจจับการโจมตีที่มุ่งเป้าไปที่แอปพลิเคชันเฉพาะ

    ระบบปฏิบัติการ ไอดีเอส- ตรวจจับการโจมตีที่มุ่งเป้าไปที่ระบบปฏิบัติการ

    ดีบีเอ็มเอส ไอดีเอส- ตรวจจับการโจมตีที่มุ่งเป้าไปที่ DBMS

การแยกการตรวจจับการโจมตีบน DBMS ออกเป็นหมวดหมู่แยกต่างหากนั้นเกิดจากการที่ DBMS สมัยใหม่ได้ออกจากหมวดหมู่ของแอปพลิเคชันทั่วไปไปแล้วและในลักษณะหลายประการรวมถึง และหากมีความซับซ้อนก็จะใกล้เคียงกับ OS ดังนั้นการจำแนกประเภท ไอดีเอส- ระบบตามหลักการดำเนินงานมีดังนี้

ข้าว. 1. การจำแนกประเภทของระบบตรวจจับการโจมตีตามหลักการนำไปใช้งาน

ไอดีเอส-systems ทำหน้าที่จำนวนดังต่อไปนี้:

    การติดตามและวิเคราะห์กิจกรรมของผู้ใช้และระบบ

    การตรวจสอบการกำหนดค่าระบบ

    การตรวจสอบความสมบูรณ์ของไฟล์ระบบและไฟล์ข้อมูล

    การรับรู้รูปแบบการกระทำที่สะท้อนถึงการโจมตีที่ทราบ

    การวิเคราะห์ทางสถิติของรูปแบบการกระทำที่ผิดปกติ

ขอแนะนำให้อ้างอิงข้อความจากผู้เชี่ยวชาญที่มีชื่อเสียงในสาขานั้น ไอดีเอส-ระบบ:

มาร์คัส รานัม: ไอดีเอส-ระบบตรวจจับการโจมตีที่ทราบในเวลาที่เหมาะสม คุณไม่ควรคาดหวังว่าระบบดังกล่าวจะตรวจจับการโจมตีที่ไม่รู้จักในปัจจุบัน ปัญหาในการค้นพบสิ่งที่ยังไม่ทราบมาจนบัดนี้นั้นยากมากและมีพรมแดนติดกับระบบปัญญาประดิษฐ์และระบบผู้เชี่ยวชาญ มีโอกาสมากขึ้น, ไอดีเอส-ระบบคล้ายกับโปรแกรมป้องกันไวรัสที่ใช้ค้นหาไวรัสบนฮาร์ดไดรฟ์หรือเครือข่าย

ลี แซทเทอร์ฟิลด์: ระบบตรวจจับการโจมตีสมัยใหม่สามารถตรวจสอบกิจกรรมเครือข่ายและระบบปฏิบัติการแบบเรียลไทม์ ตรวจจับการกระทำที่ไม่ได้รับอนุญาต และตอบสนองต่อสิ่งเหล่านั้นโดยอัตโนมัติ นอกจาก, ไอดีเอส-ระบบสามารถวิเคราะห์เหตุการณ์ปัจจุบัน โดยคำนึงถึงเหตุการณ์ที่เกิดขึ้นแล้ว ซึ่งทำให้สามารถระบุการโจมตีที่แพร่กระจายอยู่ตลอดเวลา และด้วยเหตุนี้จึงคาดการณ์เหตุการณ์ในอนาคตได้ คาดว่าเทคโนโลยีการตรวจจับการบุกรุกจะปรับปรุงระดับความปลอดภัยที่มีอยู่อย่างมีนัยสำคัญ ซึ่งทำได้ด้วยวิธี "มาตรฐาน" โดยการจัดการการกระทำที่ไม่ได้รับอนุญาตแบบเรียลไทม์

ในอดีตเทคโนโลยีที่ใช้ในการสร้าง ไอดีเอส-ระบบแบ่งตามอัตภาพออกเป็นสองประเภท: การตรวจจับพฤติกรรมผิดปกติ ( ความผิดปกติ การตรวจจับ) และการตรวจจับการละเมิด ( การใช้ในทางที่ผิด การตรวจจับ- อย่างไรก็ตามในทางปฏิบัติ การจำแนกประเภทที่ใช้นั้นคำนึงถึงหลักการของการใช้งานจริงของระบบดังกล่าว - การตรวจจับการโจมตีในระดับเครือข่ายและระดับโฮสต์

ระบบบนเครือข่ายจะวิเคราะห์การรับส่งข้อมูลเครือข่าย ในขณะที่ระบบบนโฮสต์จะวิเคราะห์ระบบปฏิบัติการหรือบันทึกของแอปพลิเคชัน แต่ละชั้นเรียนมีข้อดีและข้อเสียของตัวเอง ควรสังเกตเพียงบางส่วนเท่านั้น ไอดีเอส-ระบบสามารถกำหนดให้กับหนึ่งในคลาสที่มีชื่อได้อย่างชัดเจน โดยทั่วไปจะมีความสามารถจากหลายประเภท อย่างไรก็ตาม การจำแนกประเภทนี้สะท้อนให้เห็น คุณสมบัติที่สำคัญแยกแยะอย่างหนึ่ง ไอดีเอส-ระบบจากที่อื่น

ข้อได้เปรียบพื้นฐานของเครือข่าย ไอดีเอส-systems คือการระบุการโจมตีก่อนที่จะไปถึงโหนดที่ถูกโจมตี ระบบเหล่านี้ง่ายต่อการปรับใช้ เครือข่ายขนาดใหญ่เนื่องจากไม่ต้องติดตั้งบนแพลตฟอร์มต่างๆที่ใช้ในองค์กร นอกจาก, ไอดีเอส-ระบบในระดับเครือข่ายในทางปฏิบัติไม่ได้ลดประสิทธิภาพของเครือข่าย

ไอดีเอส-ระบบระดับโฮสต์ได้รับการออกแบบมาเพื่อใช้งานระบบปฏิบัติการเฉพาะซึ่งมีข้อจำกัดบางประการ ด้วยการใช้ความรู้เกี่ยวกับวิธีการทำงานของระบบปฏิบัติการ เครื่องมือที่สร้างขึ้นด้วยวิธีนี้บางครั้งสามารถตรวจจับการบุกรุกที่เครื่องมือตรวจจับการบุกรุกเครือข่ายพลาดไป อย่างไรก็ตามสิ่งนี้มักจะบรรลุผลสำเร็จ ในราคาที่สูงเนื่องจากการบันทึกอย่างต่อเนื่องที่จำเป็นในการดำเนินการค้นหาประเภทนี้จะลดประสิทธิภาพของโฮสต์ที่ได้รับการป้องกันลงอย่างมาก ระบบดังกล่าวใช้โปรเซสเซอร์จำนวนมากและต้องการพื้นที่ดิสก์จำนวนมากในการจัดเก็บบันทึก และโดยหลักการแล้ว ไม่สามารถใช้ได้กับระบบเรียลไทม์ที่มีความสำคัญสูง (เช่น ระบบประจำวันของธนาคาร ระบบควบคุมกระบวนการ หรือระบบควบคุมการกำกับดูแล) ไม่ว่าอย่างไรก็ตาม ทั้งสองแนวทางนี้สามารถนำไปใช้เพื่อปกป้ององค์กรของคุณได้ หากคุณต้องการปกป้องหนึ่งโหนดขึ้นไป ไอดีเอส-ระบบระดับโฮสต์อาจเป็นทางเลือกที่ดี แต่ถ้าคุณต้องการปกป้องโหนดเครือข่ายส่วนใหญ่ขององค์กรของคุณล่ะก็ ไอดีเอส-ระบบระดับเครือข่ายมีแนวโน้มที่จะเป็นทางเลือกที่ดีกว่า เนื่องจากการเพิ่มจำนวนโหนดในเครือข่ายจะไม่ส่งผลกระทบต่อระดับความปลอดภัยที่ทำได้ด้วย ไอดีเอส-ระบบ จะสามารถปกป้องโหนดเพิ่มเติมได้โดยไม่ต้องกำหนดค่าเพิ่มเติม ในขณะที่ในกรณีของการใช้ระบบที่ทำงานในระดับโฮสต์ ก็จะต้องติดตั้งและกำหนดค่าบนโฮสต์ที่ได้รับการป้องกันแต่ละแห่ง ทางออกที่ดีคือการใช้ ไอดีเอส- ระบบที่รวมทั้งสองแนวทางเข้าด้วยกัน

เทคโนโลยีที่อยู่เบื้องหลังระบบเหล่านี้ตั้งอยู่บนสมมติฐานที่ว่าพฤติกรรมของผู้ใช้ที่ผิดปกติ (เช่น การโจมตีหรือการกระทำที่ไม่เป็นมิตร) มักจะแสดงออกมาว่าเป็นการเบี่ยงเบนไปจากพฤติกรรมปกติ ตัวอย่างของพฤติกรรมที่ผิดปกติได้แก่: การเชื่อมต่อจำนวนมากในช่วงเวลาสั้นๆ โหลด CPU สูง หรือการใช้อุปกรณ์ต่อพ่วงที่ผู้ใช้ไม่ได้ใช้งานตามปกติ หากเราสามารถอธิบายโปรไฟล์ของพฤติกรรมผู้ใช้ปกติได้ การเบี่ยงเบนใดๆ จากพฤติกรรมดังกล่าวก็อาจถูกจัดว่าเป็นพฤติกรรมที่ผิดปกติ อย่างไรก็ตาม พฤติกรรมที่ผิดปกติไม่ใช่การโจมตีเสมอไป ตัวอย่างเช่น การส่งคำขอจำนวนมากเกี่ยวกับกิจกรรมสถานีจากผู้ดูแลระบบการจัดการเครือข่ายไปพร้อมๆ กัน มากมาย ไอดีเอส-systems ระบุตัวอย่างนี้เป็นการโจมตีแบบปฏิเสธการให้บริการ (" การปฏิเสธ ของ บริการ") เมื่อคำนึงถึงข้อเท็จจริงนี้ควรสังเกตว่าอาจมีกรณีร้ายแรงสองกรณีเมื่อใช้งานระบบ:

1. การตรวจจับพฤติกรรมผิดปกติที่ไม่ใช่การโจมตีและจัดประเภทเป็นการโจมตี

2. พลาดการโจมตีที่ไม่ตรงตามคำจำกัดความของพฤติกรรมผิดปกติ กรณีนี้เป็นอันตรายมากกว่าการจำแนกพฤติกรรมที่ผิดปกติว่าเป็นการโจมตีอย่างไม่ถูกต้อง ดังนั้นเมื่อตั้งค่าและระบบปฏิบัติการในหมวดนี้ผู้ดูแลระบบจะประสบปัญหาดังต่อไปนี้:

    การสร้างโปรไฟล์ผู้ใช้ งานที่ยากและใช้เวลานานในการทำให้เป็นระเบียบโดยต้องอาศัยการทำงานเบื้องต้นจำนวนมากจากผู้ดูแลระบบ

    การกำหนดค่าขอบเขตของลักษณะพฤติกรรมผู้ใช้เพื่อลดโอกาสที่จะเกิดกรณีร้ายแรงอย่างใดอย่างหนึ่งข้างต้น

การจัดระบบรหัสประจำตัว

ระบบตรวจจับการโจมตีทั้งหมดสามารถสร้างได้โดยใช้สถาปัตยกรรมสองแบบ: " ตัวแทนอิสระ" และ " ผู้จัดการตัวแทน"ในกรณีแรก จะมีการติดตั้งเอเจนต์ระบบบนแต่ละโหนดหรือส่วนเครือข่ายที่ได้รับการป้องกัน ซึ่งไม่สามารถแลกเปลี่ยนข้อมูลระหว่างกันได้ และยังไม่สามารถควบคุมจากส่วนกลางจากคอนโซลเดียวได้ สถาปัตยกรรมไม่มีข้อบกพร่องเหล่านี้" ผู้จัดการตัวแทน".

ด้านล่างนี้เป็นรายการส่วนประกอบทั่วไป ไอดีเอส-ระบบ:

1. กุย - ไม่จำเป็นต้องพูดว่าแม้แต่เครื่องมือที่ทรงพลังและมีประสิทธิภาพก็จะไม่ถูกนำมาใช้หากไม่มีอินเทอร์เฟซที่เป็นมิตร ขึ้นอยู่กับ OS ที่ใช้งานอยู่ ไอดีเอส-ระบบ ส่วนต่อประสานกราฟิกจะต้องเป็นไปตามมาตรฐานโดยพฤตินัย หน้าต่างและ ยูนิกซ์.

2. ระบบย่อยการจัดการส่วนประกอบ - ระบบย่อยนี้ช่วยให้คุณควบคุมส่วนประกอบต่างๆ ไอดีเอส-ระบบ การจัดการสามารถทำได้ทั้งโดยใช้โปรโตคอลภายในและอินเทอร์เฟซ และใช้มาตรฐานที่พัฒนาแล้ว เช่น ส.น.ม- คำว่า "การควบคุม" เข้าใจได้ว่าเป็นความสามารถในการเปลี่ยนแปลงนโยบายความปลอดภัยสำหรับส่วนประกอบต่างๆ ไอดีเอส-system (เช่น โมดูลติดตาม) และการรับข้อมูลจากส่วนประกอบเหล่านี้ (เช่น ข้อมูลเกี่ยวกับการโจมตีที่ลงทะเบียน)

3. ระบบย่อยการตรวจจับการโจมตี - ส่วนประกอบหลัก ไอดีเอส- ระบบวิเคราะห์ข้อมูลที่ได้รับจากโมดูลติดตาม จากผลการวิเคราะห์ ระบบย่อยนี้สามารถระบุการโจมตี ตัดสินใจเกี่ยวกับตัวเลือกการตอบสนอง จัดเก็บข้อมูลเกี่ยวกับการโจมตีไว้ในคลังข้อมูล ฯลฯ

4. ระบบย่อยการตอบสนอง - ระบบย่อยที่ตอบสนองต่อการโจมตีที่ตรวจพบและเหตุการณ์ที่ได้รับการควบคุมอื่นๆ

ตัวเลือกการตอบกลับจะอธิบายรายละเอียดเพิ่มเติมด้านล่าง

5. โมดูลการติดตาม - ส่วนประกอบที่ให้การรวบรวมข้อมูลจากพื้นที่ควบคุม (การลงทะเบียนหรือการรับส่งข้อมูลเครือข่าย) ผู้ผลิตหลายรายอาจเรียกมันว่า: เซ็นเซอร์ ( เซ็นเซอร์), เฝ้าสังเกต ( เฝ้าสังเกต) โพรบ ( สอบสวน).

ขึ้นอยู่กับสถาปัตยกรรมของอาคาร ไอดีเอส-ระบบสามารถแยกออกจากกันทางกายภาพได้ (สถาปัตยกรรม " ผู้จัดการตัวแทน") จากส่วนประกอบอื่น ๆ เช่น ตั้งอยู่บนคอมพิวเตอร์เครื่องอื่น

6. ฐานความรู้ - ขึ้นอยู่กับวิธีการที่ใช้ค่ะ ไอดีเอส-ระบบ ฐานความรู้อาจมีโปรไฟล์ผู้ใช้และระบบคอมพิวเตอร์ ลายเซ็นการโจมตี หรือสตริงที่น่าสงสัยซึ่งแสดงถึงกิจกรรมที่ไม่ได้รับอนุญาต ผู้ผลิตสามารถอัพเดตฐานข้อมูลนี้ได้ ไอดีเอส- ระบบ ผู้ใช้ระบบ หรือบุคคลภายนอก เช่น บริษัทที่ดูแลระบบ

7. เก็บข้อมูล - ให้การจัดเก็บข้อมูลที่รวบรวมระหว่างการดำเนินการ ไอดีเอส-ระบบ

วิธีการตอบสนองของระบบ ID

การตรวจจับการโจมตีนั้นไม่เพียงพอ เรายังต้องตอบสนองต่อมันอย่างทันท่วงทีอีกด้วย ยิ่งไปกว่านั้น ปฏิกิริยาต่อการโจมตีไม่เพียงแต่เป็นการปิดกั้นเท่านั้น บ่อยครั้งจำเป็นต้อง "ปล่อยให้" ผู้โจมตีเข้าไปในเครือข่ายของบริษัท เพื่อบันทึกการกระทำทั้งหมดของเขา และใช้ในกระบวนการสอบสวนในภายหลัง ดังนั้นระบบที่มีอยู่จึงใช้วิธีการตอบสนองที่หลากหลาย ซึ่งสามารถแบ่งออกเป็น 3 ประเภท ได้แก่ การแจ้งเตือน การจัดเก็บ และการตอบสนองที่ใช้งานอยู่:

1. การแจ้งเตือน - วิธีการแจ้งเตือนที่ง่ายและธรรมดาที่สุดคือการส่งข้อความถึงผู้ดูแลระบบความปลอดภัยเกี่ยวกับการโจมตีคอนโซล ไอดีเอส-ระบบ เนื่องจากไม่สามารถติดตั้งคอนโซลดังกล่าวให้กับพนักงานทุกคนที่รับผิดชอบด้านความปลอดภัยในองค์กรได้ และในกรณีที่พนักงานเหล่านี้อาจไม่สนใจเหตุการณ์ด้านความปลอดภัยทั้งหมด จึงต้องใช้กลไกการแจ้งเตือนอื่นๆ กลไกดังกล่าวคือการส่งข้อความผ่าน อีเมลทางเพจเจอร์ ทางแฟกซ์ หรือทางโทรศัพท์

2. การเก็บรักษา - หมวดหมู่ “การเก็บรักษา” มีสองตัวเลือกในการตอบกลับ: การบันทึกเหตุการณ์ในฐานข้อมูลและการเล่นการโจมตีซ้ำแบบเรียลไทม์

ตัวเลือกแรกแพร่หลายในระบบรักษาความปลอดภัยหลายระบบ

ตัวเลือกที่สองน่าสนใจกว่า ช่วยให้ผู้ดูแลระบบความปลอดภัยสามารถจำลองการกระทำทั้งหมดที่ผู้โจมตีทำแบบเรียลไทม์ (ด้วยความเร็วที่กำหนด) สิ่งนี้ช่วยให้คุณไม่เพียงแต่วิเคราะห์การโจมตีที่ "สำเร็จ" และป้องกันการโจมตีในอนาคต แต่ยังใช้ข้อมูลที่รวบรวมไว้เพื่อการสืบสวนอีกด้วย

3. การตอบสนองที่ใช้งานอยู่ - หมวดหมู่นี้มีตัวเลือกการตอบสนองดังต่อไปนี้: การบล็อกงานของผู้โจมตี การสิ้นสุดเซสชันด้วยโหนดการโจมตี การจัดการอุปกรณ์เครือข่าย และมาตรการรักษาความปลอดภัย กลไกการตอบสนองประเภทนี้ในอีกด้านหนึ่งค่อนข้างมีประสิทธิภาพ แต่ในอีกด้านหนึ่งต้องใช้อย่างระมัดระวังนั่นคือการทำงานที่ไม่ถูกต้องอาจนำไปสู่การหยุดชะงักของระบบคอมพิวเตอร์ทั้งหมด

กระบวนการที่ใช้งานอยู่ซึ่งตรวจพบแฮกเกอร์เมื่อเขาพยายามเจาะระบบ ตามหลักการแล้ว ระบบดังกล่าวจะส่งสัญญาณเตือนเมื่อมีการพยายามเจาะเท่านั้น การตรวจจับการบุกรุกช่วยในการระบุภัยคุกคามที่ทำงานอยู่ในเชิงรุกผ่านการแจ้งเตือนและคำเตือนว่าผู้โจมตีกำลังรวบรวมข้อมูลที่จำเป็นในการโจมตี ในความเป็นจริง ดังที่แสดงไว้ในเนื้อหาการบรรยาย มันไม่ได้เป็นเช่นนั้นเสมอไป ก่อนที่จะพูดคุยถึงรายละเอียดที่เกี่ยวข้องกับการตรวจจับการบุกรุก เรามาทำความเข้าใจก่อนว่าจริงๆ แล้วคืออะไร

ระบบตรวจจับการบุกรุก (IDS) มีมานานแล้ว ประการแรกถือได้ว่าเป็นสุนัขเฝ้ายามกลางคืนและสุนัขเฝ้ายาม ยามรักษาการณ์และ สุนัขเฝ้าบ้านดำเนินการสองงาน: พวกเขาระบุการกระทำที่น่าสงสัยที่ริเริ่มโดยใครบางคนและป้องกันการบุกรุกโดยผู้โจมตีเพิ่มเติม ตามกฎแล้ว โจรหลีกเลี่ยงการเผชิญหน้ากับสุนัข และในกรณีส่วนใหญ่ พยายามหลีกเลี่ยงอาคารที่มีสุนัขเฝ้าอยู่ เช่นเดียวกันกับนาฬิกากลางคืน พวกโจรไม่ต้องการให้หน่วยลาดตระเวนติดอาวุธหรือเจ้าหน้าที่รักษาความปลอดภัยสังเกตเห็นซึ่งอาจโทรหาตำรวจ

สัญญาณเตือนภัยในอาคารและรถยนต์ก็ถือเป็นระบบตรวจจับการบุกรุกประเภทหนึ่งเช่นกัน ถ้า ระบบแจ้งเตือนตรวจจับเหตุการณ์ที่ต้องสังเกต (เช่น ทุบหน้าต่างหรือเปิดประตู) จากนั้นสัญญาณเตือนจะดังขึ้นพร้อมกับหลอดไฟที่สว่างขึ้นและเปิดขึ้น สัญญาณเสียงหรือสัญญาณเตือนจะถูกส่งไปยังแผงควบคุมของสถานีตำรวจ ฟังก์ชั่นป้องกันการลักขโมยทำได้โดยใช้สติกเกอร์คำเตือนที่หน้าต่างหรือป้ายที่วางไว้หน้าบ้าน ตามกฎแล้วในรถยนต์เมื่อเปิดสัญญาณเตือนไฟสีแดงจะสว่างขึ้นเพื่อเตือนเกี่ยวกับสถานะการทำงานของระบบสัญญาณเตือน

ตัวอย่างทั้งหมดเหล่านี้ใช้หลักการเดียวกัน: การตรวจจับความพยายามที่จะเจาะเข้าไปในขอบเขตที่ได้รับการป้องกันของวัตถุ (สำนักงาน อาคาร รถยนต์ ฯลฯ) ในกรณีของรถยนต์หรืออาคาร ขอบเขตการป้องกันนั้นค่อนข้างจะกำหนดได้ง่าย ผนังของอาคาร รั้วรอบทรัพย์สินส่วนบุคคล และประตูและหน้าต่างรถเป็นตัวกำหนดขอบเขตการป้องกันอย่างชัดเจน ลักษณะเฉพาะอีกประการหนึ่งที่พบบ่อยในทุกกรณีนี้คือเกณฑ์ที่ชัดเจนว่าสิ่งใดที่ถือเป็นความพยายามบุกรุก และสิ่งใดที่ถือเป็นขอบเขตที่ได้รับการป้องกันอย่างแท้จริง

หากคุณถ่ายโอนแนวคิดของระบบเตือนภัยไปยังโลกคอมพิวเตอร์ คุณจะได้รับแนวคิดพื้นฐานของระบบตรวจจับการบุกรุก มีความจำเป็นต้องพิจารณาว่าขอบเขตการรักษาความปลอดภัยของระบบคอมพิวเตอร์หรือเครือข่ายจริงๆ แล้วเป็นอย่างไร เห็นได้ชัดว่าขอบเขตการป้องกันในกรณีนี้ไม่ใช่กำแพงหรือรั้ว ขอบเขตการป้องกันเครือข่ายเป็นขอบเขตเสมือนที่มีอยู่ ระบบคอมพิวเตอร์- ขอบเขตนี้อาจกำหนดโดยไฟร์วอลล์ จุดแยกการเชื่อมต่อ หรือ คอมพิวเตอร์ตั้งโต๊ะพร้อมโมเด็ม ขอบเขตนี้สามารถขยายเพื่อให้มีคอมพิวเตอร์ที่บ้านของพนักงานที่ได้รับอนุญาตให้เชื่อมต่อถึงกัน หรือคู่ค้าทางธุรกิจที่ได้รับอนุญาตให้เชื่อมต่อกับเครือข่าย ด้วยการถือกำเนิดของเครือข่ายไร้สายในการโต้ตอบทางธุรกิจ ขอบเขตความปลอดภัยขององค์กรจึงขยายเป็นขนาดของเครือข่ายไร้สาย

สัญญาณเตือนผู้บุกรุกได้รับการออกแบบมาเพื่อตรวจจับความพยายามที่จะเข้าไปในพื้นที่ที่ได้รับการป้องกันเมื่อไม่ได้ใช้งานพื้นที่นั้น ระบบตรวจจับการบุกรุกของ IDS ได้รับการออกแบบมาเพื่อแยกความแตกต่างระหว่างการเข้ามาที่ได้รับอนุญาตและการเข้าโดยไม่ได้รับอนุญาต ซึ่งดำเนินการได้ยากกว่ามาก นี่คือตัวอย่างร้านขายเครื่องประดับที่มีสัญญาณกันขโมย หากใครแม้แต่เจ้าของร้านเปิดประตู สัญญาณเตือนภัยก็จะดับลง เจ้าของจะต้องแจ้งบริษัทสัญญาณเตือนภัยว่าเขาเป็นผู้เปิดร้านและทุกอย่างเรียบร้อยดี ระบบไอดีเอสในทางตรงกันข้ามสามารถเปรียบได้กับเจ้าหน้าที่รักษาความปลอดภัยที่คอยติดตามทุกสิ่งที่เกิดขึ้นในร้านและตรวจจับการกระทำที่ไม่ได้รับอนุญาต (เช่น การนำอาวุธปืนเข้ามา) น่าเสียดาย อิน โลกเสมือนจริง"อาวุธปืน" มักจะมองไม่เห็น

ประเด็นที่สองที่ต้องพิจารณาคือการพิจารณาว่าเหตุการณ์ใดที่ถือเป็นการละเมิด ขอบเขตการรักษาความปลอดภัย- การพยายามระบุคอมพิวเตอร์ที่ทำงานอยู่นั้นผิดกฎหมายหรือไม่ จะทำอย่างไรในกรณีที่ทราบการโจมตีระบบหรือเครือข่าย? เมื่อถามคำถามเหล่านี้ จะเห็นได้ชัดว่าคำตอบนั้นหาได้ไม่ง่ายนัก นอกจากนี้ ยังขึ้นอยู่กับเหตุการณ์อื่นๆ และสถานะของระบบเป้าหมายด้วย

การกำหนดประเภทของระบบตรวจจับการบุกรุก

IDS มีสองประเภทหลัก: แบบอิงฮับ (HIDS) และแบบเครือข่าย (NIDS) ระบบ HIDS เปิดอยู่ โหนดแยกกันและติดตามสัญญาณการโจมตีบนโหนดที่กำหนด ระบบ NIDS อยู่บนระบบแยกต่างหากที่ตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อหาสัญญาณการโจมตีที่ดำเนินการในส่วนที่ได้รับการควบคุมของเครือข่าย รูปที่ 13.1 แสดง IDS สองประเภทที่อาจมีอยู่ในสภาพแวดล้อมเครือข่าย


ข้าว. 13.1.

โหนดไอดี

Node-based IDS (HIDS) คือระบบเซ็นเซอร์ที่อัปโหลดไปยังเซิร์ฟเวอร์ต่างๆ ในองค์กรและจัดการโดยผู้มอบหมายงานส่วนกลาง เซ็นเซอร์จะตรวจสอบเหตุการณ์ประเภทต่างๆ (เพิ่มเติมเกี่ยวกับเหตุการณ์เหล่านี้ในส่วนถัดไป) และดำเนินการเฉพาะบนเซิร์ฟเวอร์หรือส่งการแจ้งเตือน เซ็นเซอร์ HIDS จะตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับเซิร์ฟเวอร์ที่โหลดเซ็นเซอร์นั้นไว้ เซ็นเซอร์ HIDS ช่วยให้คุณระบุได้ว่าการโจมตีสำเร็จหรือไม่ หากการโจมตีเกิดขึ้นบนแพลตฟอร์มเดียวกันกับที่ติดตั้งเซ็นเซอร์

ดังที่จะกล่าวถึงในภายหลัง เซ็นเซอร์ HIDS ประเภทต่างๆ สามารถทำงานการตรวจจับการบุกรุกประเภทต่างๆ ได้ เซ็นเซอร์บางประเภทไม่สามารถใช้ในองค์กรได้ และอาจจำเป็นต้องใช้เซิร์ฟเวอร์ที่แตกต่างกันภายในองค์กรเดียวกันด้วย เซ็นเซอร์ที่แตกต่างกัน- ควรสังเกตว่าระบบ



บทความที่เกี่ยวข้อง

เท่าไหร่ที่จะเติมเงินเข้าบัญชีโรมมิ่ง Kyivstar ของคุณ?
วินโดว์ 8

เท่าไหร่ที่จะเติมเงินเข้าบัญชีโรมมิ่ง Kyivstar ของคุณ?

วิธีแก้อาการหน้าจอกระพริบบน Xiaomi
แหล่งจ่ายไฟ

วิธีแก้อาการหน้าจอกระพริบบน Xiaomi

เข็มทิศบนโทรศัพท์ของคุณ - คืออะไร, เปิดใช้งานอย่างไร, ดาวน์โหลดแอปพลิเคชั่น เข็มทิศที่แม่นยำที่สุดสำหรับ Android
การ์ดแสดงผล

เข็มทิศบนโทรศัพท์ของคุณ - คืออะไร, เปิดใช้งานอย่างไร, ดาวน์โหลดแอปพลิเคชั่น เข็มทิศที่แม่นยำที่สุดสำหรับ Android

จะทำอย่างไรถ้าคอมพิวเตอร์ร้อน
แกะ

จะทำอย่างไรถ้าคอมพิวเตอร์ร้อน

วิธีเปลี่ยนอักษรระบุไดรฟ์หรือแฟลชไดรฟ์ วิธีสร้างอักษรระบุไดรฟ์
โปรเซสเซอร์

วิธีเปลี่ยนอักษรระบุไดรฟ์หรือแฟลชไดรฟ์ วิธีสร้างอักษรระบุไดรฟ์

วิธีบล็อคโทรศัพท์ไม่ให้โทรหาคุณ
โปรเซสเซอร์

วิธีบล็อคโทรศัพท์ไม่ให้โทรหาคุณ

บทสัมภาษณ์ - Vladimir Chernyshov ผู้อำนวยการด้านเทคนิคของระบบค้นหาอัจฉริยะ Nigma
จอภาพ

บทสัมภาษณ์ - Vladimir Chernyshov ผู้อำนวยการด้านเทคนิคของระบบค้นหาอัจฉริยะ Nigma

คำสั่ง USSD ที่มีประโยชน์ที่สุดบนเครือข่าย Tele2
มัลติมีเดีย

คำสั่ง USSD ที่มีประโยชน์ที่สุดบนเครือข่าย Tele2

วิธีการตั้งค่าเซิร์ฟเวอร์ DLNA บน Windows โดยเชื่อมต่อทีวีเข้ากับเครือข่ายในบ้านของท่าน
อื่น

วิธีการตั้งค่าเซิร์ฟเวอร์ DLNA บน Windows โดยเชื่อมต่อทีวีเข้ากับเครือข่ายในบ้านของท่าน