logo

TechCodeview

Sistema de detecció d'intrusions (IDS)

Un sistema de detecció d'intrusions (IDS) manté el trànsit de xarxa busca activitats inusuals i envia alertes quan es produeix. Les funcions principals d'un sistema de detecció d'intrusions (IDS) són la detecció i la notificació d'anomalies, però, certs sistemes de detecció d'intrusions poden prendre mesures quan es descobreix activitat maliciós o trànsit inusual. En aquest article, parlarem de tots els punts sobre el sistema de detecció d'intrusions.

Què és un sistema de detecció d'intrusions?

Un sistema anomenat sistema de detecció d'intrusions (IDS) observa el trànsit de la xarxa per a transaccions malicioses i envia alertes immediates quan s'observa. És un programari que comprova una xarxa o un sistema per detectar activitats malicioses o infraccions de polítiques. Cada activitat o infracció il·legal sovint es registra de manera centralitzada mitjançant un sistema SIEM o notificada a una administració. L'IDS supervisa una xarxa o sistema per detectar activitats malicioses i protegeix una xarxa d'ordinadors de l'accés no autoritzat d'usuaris, inclòs potser persones privilegiades. La tasca d'aprenentatge del detector d'intrusions és construir un model predictiu (és a dir, un classificador) capaç de distingir entre 'connexions dolentes' (intrusions/atacs) i 'connexions bones (normals)'.



Funcionament del sistema de detecció d'intrusions (IDS)

  • Un IDS (sistema de detecció d'intrusions) monitors el trànsit a xarxa informàtica per detectar qualsevol activitat sospitosa.
  • Analitza les dades que flueixen per la xarxa per buscar patrons i signes de comportament anormal.
  • L'IDS compara l'activitat de la xarxa amb un conjunt de regles i patrons predefinits per identificar qualsevol activitat que pugui indicar un atac o una intrusió.
  • Si l'IDS detecta alguna cosa que coincideix amb una d'aquestes regles o patrons, envia una alerta a l'administrador del sistema.
  • Aleshores, l'administrador del sistema pot investigar l'alerta i prendre mesures per evitar qualsevol dany o intrusió posterior.

Classificació del sistema de detecció d'intrusions (IDS)

Els sistemes de detecció d'intrusions es classifiquen en 5 tipus:

  • Sistema de detecció d'intrusions en xarxa (NIDS): Els sistemes de detecció d'intrusions a la xarxa (NIDS) es configuren en un punt planificat de la xarxa per examinar el trànsit de tots els dispositius de la xarxa. Realitza una observació del trànsit que passa a tota la subxarxa i fa coincidir el trànsit que es passa a les subxarxes amb la col·lecció d'atacs coneguts. Un cop s'identifica un atac o s'observa un comportament anormal, l'alerta es pot enviar a l'administrador. Un exemple de NIDS és instal·lar-lo a la subxarxa on tallafocs estan localitzats per veure si algú està intentant trencar el tallafoc .
  • Sistema de detecció d'intrusions d'amfitrió (HIDS): Els sistemes de detecció d'intrusions d'amfitrió (HIDS) s'executen en amfitrions o dispositius independents de la xarxa. Un HIDS només supervisa els paquets entrants i sortints del dispositiu i avisarà l'administrador si es detecta activitat sospitosa o maliciosa. Fa una instantània dels fitxers del sistema existents i la compara amb la instantània anterior. Si s'han editat o suprimit els fitxers del sistema analític, s'envia una alerta a l'administrador perquè investigui. Un exemple d'ús d'HIDS es pot veure en màquines de missió crítica, que no s'espera que canviïn la seva disposició.
Sistema de detecció d'intrusions (IDS)

Sistema de detecció d'intrusions (IDS)

  • Sistema de detecció d'intrusions basat en protocols (PIDS): El sistema de detecció d'intrusions basat en protocols (PIDS) comprèn un sistema o agent que residiria constantment a la part frontal d'un servidor, controlant i interpretant el protocol entre un usuari/dispositiu i el servidor. Està intentant protegir el servidor web supervisant regularment el Protocol HTTPS stream i acceptant el relacionat Protocol HTTP . Com que HTTPS no està xifrat i abans d'entrar instantàniament a la seva capa de presentació web, aquest sistema hauria de residir en aquesta interfície, entre per utilitzar l'HTTPS.
  • Sistema de detecció d'intrusions basat en el protocol d'aplicació (APIDS): Una aplicació Sistema de detecció d'intrusions basat en protocols (APIDS) és un sistema o agent que generalment resideix dins d'un grup de servidors. Identifica les intrusions monitoritzant i interpretant la comunicació en protocols específics de l'aplicació. Per exemple, això supervisaria el protocol SQL de manera explícita al programari intermedi mentre fa transaccions amb la base de dades al servidor web.
  • Sistema híbrid de detecció d'intrusions: El sistema híbrid de detecció d'intrusions es fa mitjançant la combinació de dos o més enfocaments del sistema de detecció d'intrusions. En el sistema de detecció d'intrusions híbrid, l'agent amfitrió o les dades del sistema es combinen amb la informació de la xarxa per desenvolupar una visió completa del sistema de xarxa. El sistema híbrid de detecció d'intrusions és més eficaç en comparació amb l'altre sistema de detecció d'intrusions. Prelude és un exemple d'IDS híbrid.

Tècniques d'evasió del sistema de detecció d'intrusions

  • Fragmentació: Dividir el paquet en un paquet més petit anomenat fragment i el procés es coneix com fragmentació . Això fa que sigui impossible identificar una intrusió perquè no hi pot haver una signatura de programari maliciós.
  • Codificació de paquets: La codificació de paquets amb mètodes com Base64 o hexadecimal pot amagar contingut maliciós dels IDS basats en signatures.
  • Ofuscament del trànsit: En fer que el missatge sigui més complicat d'interpretar, es pot utilitzar l'ofuscament per ocultar un atac i evitar la detecció.
  • Xifratge: Proporciona diverses funcions de seguretat, com ara la integritat de les dades, la confidencialitat i la privadesa de les dades xifratge . Malauradament, els desenvolupadors de programari maliciós utilitzen les funcions de seguretat per ocultar atacs i evitar la detecció.

Beneficis de l'IDS

  • Detecta activitats malicioses: L'IDS pot detectar qualsevol activitat sospitosa i avisar l'administrador del sistema abans que es produeixi cap dany important.
  • Millora el rendiment de la xarxa: IDS pot identificar qualsevol problema de rendiment a la xarxa, que es pot solucionar per millorar el rendiment de la xarxa.
  • Requisits de compliment: L'IDS pot ajudar a complir els requisits de compliment supervisant l'activitat de la xarxa i generant informes.
  • Proporciona informació: IDS genera informació valuosa sobre el trànsit de la xarxa, que es pot utilitzar per identificar qualsevol debilitat i millorar la seguretat de la xarxa.

Mètode de detecció d'IDS

  • Mètode basat en la signatura: L'IDS basat en signatures detecta els atacs en funció de patrons específics, com ara el nombre de bytes o un nombre d'1 o el nombre de 0 al trànsit de xarxa. També detecta sobre la base de la seqüència d'instruccions malicioses ja coneguda que utilitza el programari maliciós. Els patrons detectats a l'IDS es coneixen com a signatures. L'IDS basat en signatures pot detectar fàcilment els atacs el patró (signatura) dels quals ja existeix al sistema, però és bastant difícil detectar nous atacs de programari maliciós ja que no es coneix el seu patró (signatura).
  • Mètode basat en anomalies: L'IDS basat en anomalies es va introduir per detectar atacs de programari maliciós desconeguts a mesura que es desenvolupa ràpidament un nou programari maliciós. A l'IDS basat en anomalies hi ha l'ús de l'aprenentatge automàtic per crear un model d'activitat de confiança i qualsevol cosa que vingui es compara amb aquest model i es declara sospitós si no es troba al model. El mètode basat en l'aprenentatge automàtic té una propietat més generalitzada en comparació amb l'IDS basat en signatura, ja que aquests models es poden entrenar segons les aplicacions i les configuracions de maquinari.

Comparació d'IDS amb tallafocs

L'IDS i el tallafoc estan relacionats amb la seguretat de la xarxa, però un IDS difereix de a tallafoc ja que un tallafoc busca cap intrusions a l'exterior per evitar que es produeixin. Els tallafocs restringeixen l'accés entre xarxes per evitar intrusions i si un atac és des de l'interior de la xarxa no emet senyals. Un IDS descriu una sospita d'intrusió un cop ha passat i després senyala una alarma.



Col·locació d'IDS

  • La posició més òptima i comuna per col·locar un IDS és darrere del tallafoc. Encara que aquesta posició varia tenint en compte la xarxa. La col·locació 'darrere del tallafoc' permet que l'IDS tingui una gran visibilitat del trànsit de xarxa entrant i no rebrà trànsit entre usuaris i xarxa. La vora del punt de xarxa ofereix a la xarxa la possibilitat de connectar-se a l'extranet.
  • En els casos en què l'IDS es col·loca més enllà del tallafoc d'una xarxa, seria per defensar-se del soroll d'Internet o per defensar-se d'atacs com ara exploracions de ports i mapeador de xarxa. Un IDS en aquesta posició supervisaria les capes 4 a 7 del Model OSI i utilitzaria el mètode de detecció basat en la signatura. És millor mostrar el nombre d'infraccions intentades en lloc d'incompliments reals que han passat pel tallafoc, ja que redueix la quantitat de falsos positius. També es necessita menys temps per descobrir atacs reeixits contra la xarxa.
  • Un IDS avançat incorporat amb un tallafoc es pot utilitzar per interceptar atacs complexos que entren a la xarxa. Les característiques de l'IDS avançat inclouen múltiples contextos de seguretat en el nivell d'encaminament i el mode de pont. Tot això al seu torn redueix potencialment els costos i la complexitat operativa.
  • Una altra opció per a la col·locació d'IDS és dins de la xarxa. Aquesta elecció revela atacs o activitat sospitosa dins de la xarxa. No reconèixer la seguretat dins d'una xarxa és perjudicial, ja que pot permetre als usuaris generar un risc de seguretat o permetre que un atacant que hagi entrat al sistema vagi lliurement.

Conclusió

El sistema de detecció d'intrusions (IDS) és una potent eina que pot ajudar les empreses a detectar i prevenir l'accés no autoritzat a la seva xarxa. Mitjançant l'anàlisi dels patrons de trànsit de la xarxa, IDS pot identificar qualsevol activitat sospitosa i alertar l'administrador del sistema. L'IDS pot ser una addició valuosa a la infraestructura de seguretat de qualsevol organització, proporcionant informació i millorant el rendiment de la xarxa.

Preguntes freqüents sobre el sistema de detecció d'intrusions - Preguntes freqüents

Diferència entre IDS i IPS?

Quan l'IDS detecta una intrusió, només alerta l'administració de la xarxa Sistema de prevenció d'intrusions (IPS) bloqueja els paquets maliciosos abans que arribin a destinació.

Quins són els principals reptes de la implementació de l'IDS?

Els falsos positius i els falsos negatius són els principals inconvenients dels IDS. Els falsos positius s'afegeixen al soroll que pot perjudicar greument l'eficiència d'un sistema de detecció d'intrusions (IDS), mentre que un fals negatiu es produeix quan un IDS passa a faltar una intrusió i la considera vàlida.



L'IDS pot detectar amenaces internes?

Sí, el sistema de detecció d'intrusions pot detectar amenaces.

Quin és el paper de l'aprenentatge automàtic a IDS?

Mitjançant l'ús de Aprenentatge automàtic , es pot aconseguir una alta taxa de detecció i una baixa taxa de falses alarmes.