Hujumni aniqlash tizimi (IDS [1]) - bu kompyuter tizimiga yoki tarmoqqa ruxsatsiz kirish yoki ularni asosan Internet orqali ruxsatsiz boshqarish faktlarini aniqlash uchun mo'ljallangan dasturiy ta'minot yoki apparat vositasi. Tegishli inglizcha atama Intruziyani aniqlash tizimi (IDS). Kirishni aniqlash tizimlari kompyuter tizimlari uchun qo'shimcha himoya qatlamini ta'minlaydi.
Kirishni aniqlash tizimlari kompyuter tizimining xavfsizligini buzishi mumkin bo'lgan zararli faoliyatning ayrim turlarini aniqlash uchun ishlatiladi. Ushbu faoliyat zaif xizmatlarga qarshi tarmoq hujumlarini, imtiyozlarni kuchaytirish hujumlarini, muhim fayllarga ruxsatsiz kirishni va zararli dasturlarning (kompyuter viruslari, troyan dasturlari va qurtlarni) o'z ichiga oladi.
Odatda, IDS arxitekturasi quyidagilarni o'z ichiga oladi:
himoyalangan tizim xavfsizligi bilan bog'liq voqealarni yig'ish uchun mo'ljallangan sensorli quyi tizim
sensor ma'lumotlariga asoslangan hujumlar va shubhali harakatlarni aniqlash uchun mo'ljallangan tahlil quyi tizimi
birlamchi hodisalar va tahlil natijalarini to'plashni ta'minlaydigan saqlash
IDS-ni sozlash, himoyalangan tizim va IDS holatini kuzatish, tahlilning quyi tizimi tomonidan aniqlangan hodisalarni ko'rish imkonini beradigan boshqaruv konsolidir.
Tarmoq IDS-da sensorlar tarmoqdagi qiziqish nuqtalarida, ko'pincha qurolsizlangan zonada yoki tarmoqning chekkasida joylashgan. Sensor barcha tarmoq trafigini ushlab turadi va zararli komponentlar uchun har bir paket tarkibini tahlil qiladi. Protokol identifikatorlari ma'lum protokollar yoki til sintaksisining qoidalarini (masalan, SQL) buzadigan trafikni kuzatish uchun ishlatiladi. Host IDS-da, sensor odatda o'rnatilgan xost faoliyatini kuzatib boradigan dasturiy ta'minot agentidir. Shuningdek, ro'yxatga olingan IDS turlarining gibrid versiyalari mavjud.
Tarmoqqa asoslangan IDS (NIDS) tarmoqdagi trafikni tekshirish orqali kirib borishni nazorat qiladi va bir nechta xostlarni nazorat qiladi. Tarmoqning kirishini aniqlash tizimi portni aks ettirish uchun tuzilgan markazga yoki kalitga yoki tarmoq TAP qurilmasiga ulanish orqali tarmoq trafigiga kirish huquqini oladi. Tarmoq IDS-lariga Snortni misol qilish mumkin.
Protokolga asoslangan IDS (PIDS) - tegishli tizimlar yoki foydalanuvchilar bilan aloqa protokollarini kuzatadigan va tahlil qiladigan tizim (yoki agent). Veb-server uchun bunday IDS odatda HTTP va HTTPS protokollarini nazorat qiladi. HTTPS dan foydalanilganda IDS shunday interfeysda joylashgan bo'lishi kerak, shunda HTTPS paketlari ularni shifrlashdan va tarmoqqa yuborishdan oldin ko'rib chiqilishi mumkin.
Ilova protokoliga asoslangan IDS (APIDS) - bu dasturga xos protokollar yordamida uzatiladigan ma'lumotlarni kuzatuvchi va tahlil qiluvchi tizim (yoki agent). Masalan, SQL ma'lumotlar bazasi bo'lgan veb-serverda IDS serverga yuborilgan SQL buyruqlari tarkibini nazorat qiladi.
Xostga asoslangan IDS (HIDS) - xostda joylashgan tizim (yoki agent) tizim qo'ng'iroqlari, dastur jurnallari, fayl modifikatsiyalari (bajariladigan fayllar, parol fayllari, tizim ma'lumotlar bazalari), xost holati va boshqa manbalar tahlili yordamida bosqinlarni kuzatib boradi. ... Masalan, OSSEC.
Gibrid IDS identifikatorlarni ishlab chiqishda ikki yoki undan ortiq yondashuvlarni birlashtiradi. Xostlardagi agentlarning ma'lumotlari tarmoq xavfsizligi to'g'risida eng to'liq ko'rinishni yaratish uchun tarmoq ma'lumotlari bilan birlashtirilgan. Gibrid IDSga misol - Prelude.
Passiv identifikatorda, xavfsizlik buzilishi aniqlanganda, qoidabuzarlik to'g'risidagi ma'lumotlar dasturlar jurnaliga yoziladi va xavfli signallar ma'lum aloqa kanali orqali konsolga va / yoki tizim ma'muriga yuboriladi. Hujumning oldini olish tizimi (IPS) deb ham ataladigan faol tizimda IDS buzilishga javoban ulanishni to'xtatib yoki tajovuzkordan trafikni blokirovka qilish uchun xavfsizlik devorini qayta tuzadi. Javob berish harakatlari avtomatik ravishda yoki operator buyrug'i bilan amalga oshirilishi mumkin.
Do'stlaringiz bilan baham: |