Untersuchen Verschiedene Arten von Intrusion Detection Systems
Intrusion Detection
Menu
Aktive und passive IDS
Ein aktiv IDS (jetzt häufiger als Intrusion-Prevention-System bekannt - IPS) ist ein System, das automatisch im Verdacht Angriffe im Gange konfiguriert ist ohne Eingriff durch einen Bediener erforderlich zu blockieren. IPS hat den Vorteil der Bereitstellung von Echtzeit-Korrekturmaßnahmen als Reaktion auf einen Angriff, sondern hat auch viele Nachteile. Ein IPS muss somit Boundary-in-line entlang einem Netzwerk platziert werden, die IPS selbst ist anfällig für Angriffe. Auch, wenn Fehlalarme und legitimen Datenverkehr nicht richtig identifiziert und gefiltert wurde, autorisierte Benutzer und Anwendungen sind möglicherweise falsch Zugriff verweigert. Schließlich kann das IPS selbst verwendet werden, eine zu bewirken Denial of Service (DoS) Angriff durch das System absichtlich mit Alarmen überschwemmen, die sie verursachen Verbindungen zu blockieren, bis keine Verbindungen oder Bandbreite zur Verfügung stehen.
EIN passiv IDS ist ein System, das nur konfiguriert ist, zu überwachen und Netzwerkverkehr Aktivität zu analysieren und einen Operator, um potenzielle Schwachstellen und Angriffe aufmerksam machen. Es ist nicht in der Lage Schutz- oder Korrekturfunktionen auf seine eigene Durchführung. Die wesentlichen Vorteile von passiven IDS sind, dass diese Systeme leicht und schnell verteilt und sind normalerweise nicht anfällig selbst angreifen.
Netzwerk-basierte und Host-basierte IDS
EIN Netzwerk-basierten IDS besteht in der Regel aus einem Netzwerkgerät (oder Sensor) mit einer Netzwerkkarte (NIC) im Promiscuous-Modus und einem separaten Management-Schnittstelle betrieben wird. Das IDS ist entlang einem Netzwerksegment oder Grenze gesetzt und überwacht den gesamten Datenverkehr auf diesem Segment.
EIN Host-basierte IDS erfordert kleine Programme (oder Agenten) Auf einzelnen Systemen installiert werden, überwacht werden. Die Agenten des Betriebssystems überwachen und Daten Schreiben von Dateien und / oder Trigger-Alarme zu protokollieren. Ein Host-basierte IDS können nur die einzelnen Host-Systeme, auf denen überwachen die Agenten installiert- sie das gesamte Netzwerk nicht überwachen hat.
Wissensbasierte und verhaltensbasierten IDS
EIN wissensbasierte (oder Signatur-basierte) IDS verweist auf eine Datenbank von früheren Angriffsprofile und bekannte Schwachstellen im System aktiven Einbruchsversuche zu identifizieren. Wissensbasierte IDS ist derzeit häufiger als verhaltensbasierten IDS. Vorteile der wissensbasierte Systeme umfassen die folgenden:
- Es hat eine geringere Fehlalarmraten als verhaltensbasierten IDS.
- Alarme sind standardisiert und leichter zu verstehen als verhaltensbasierten IDS.
Nachteile der wissensbasierte Systeme umfassen diese:
- Signatur-Datenbank muss ständig aktualisiert und gepflegt werden.
- Neu, einzigartig, oder Original-Angriffe nicht erkannt werden kann oder nicht ordnungsgemäß eingestuft werden können.
EIN verhaltensbasierte (oder statistische Anomalie-basierte) IDS verweist auf eine Basislinie oder erlernten Muster der normalen Systemaktivität aktiven Einbruchsversuche zu identifizieren. Abweichungen von dieser Basislinie oder Muster verursachen ein Alarm ausgelöst werden. Vorteile der verhaltensbasierte Systeme umfassen, dass sie
- passen sich dynamisch neu, einzigartig, oder Original-Attacken.
- Sind weniger abhängig von bestimmten Betriebssystem-Schwachstellen zu identifizieren.
Nachteile von verhaltensbasierte Systeme umfassen
- Höhere Fehlalarmraten als wissensbasierte IDS.
- Nutzungsmuster, die häufig ändern kann und nicht statisch genug sein, um eine effektive verhaltensbasierten IDS zu implementieren.