Afskipti uppgötvun kerfi (IDS) fylgist með net umferð og fylgist með grunsamlegri starfsemi og varir kerfið eða net stjórnandi. Í sumum tilfellum getur IDS einnig brugðist við óeðlilegum eða illgjarnum umferð með því að grípa til aðgerða eins og að hindra notandann eða IP-tölu frá upphaf netkerfisins.
IDS koma í ýmsum "bragði" og nálgast markmiðið að greina grunsamlega umferð á mismunandi vegu. Það eru nettengdar (NIDS) og gestgjafi byggðar (HIDS) afskipti uppgötvun kerfi. Það eru IDS sem uppgötva byggt á að leita að sérstökum undirskriftum þekktra ógna - svipað og hvernig antivirus hugbúnaður finnur og verndar gegn malware- og það eru IDS sem uppgötva byggt á því að bera saman umferðarmynstur gegn upphafsgildi og leita að frávikum. Það eru IDS sem einfaldlega fylgjast með og viðvörun og það eru IDS sem framkvæma aðgerð eða aðgerðir til að bregðast við uppgötvaðri ógn. Við munum hylja hvert af þessu stuttlega.
NIDS
Skynjunarkerfi netkerfa eru settar á stefnumótandi stig eða stig innan símkerfisins til að fylgjast með umferð til og frá öllum tækjum á netinu. Helst myndi þú skanna alla heimleið og útleið umferð, þó að það gæti skapað flöskuháls sem myndi skaða heildarhraða netkerfisins.
HIDS
Kerfiskynjunarkerfi fyrir hýsingu eru keyrð á einstökum vélar eða tæki á netinu. HIDS fylgist með inngöngu og útleið pakka frá tækinu eingöngu og mun láta notandann eða stjórnandann vita um grunsamlega virkni
Undirskrift Byggt
Undirritað auðkenni IDS mun fylgjast með pakka á netinu og bera saman þær gagnvart gagnagrunni um undirskrift eða eiginleika frá þekktum illgjarnum ógnum. Þetta er svipað og flestir antivirus hugbúnaður uppgötvar malware. Málið er að það muni vera lag á milli nýrrar ógnar sem uppgötvað er í náttúrunni og undirskrift til að greina að ógnin sé beitt á auðkenni þitt. Á þeim biðtímum gætu auðkenni þitt ekki fundið nýjan ógn.
Fráviksleysi
Skírteinisskírteini sem byggir á fráviki mun fylgjast með netumferðum og bera saman það gegn ákveðnu grunnlínu. Grunnlínan mun auðkenna hvað er "eðlilegt" fyrir það net - hvaða tegund af bandbreidd er almennt notuð, hvaða samskiptareglur eru notaðar, hvaða höfn og tæki tengjast almennt við hvert annað - og viðvörun kerfisstjóra eða notanda þegar umferð finnst sem er óeðlilegt, eða marktækt öðruvísi en upphafsgildi.
Passive IDS
A passive IDS uppgötvar einfaldlega og tilkynningar. Þegar grunsamlegur eða illgjarn umferð er greindur er búið til viðvörun og sendur til kerfisstjóra eða notanda og það er undir þeim að grípa til aðgerða til að loka fyrir virkni eða bregðast á einhvern hátt.
Reactive IDS
Viðbragðs IDS mun ekki aðeins greina grunsamlega eða illgjarn umferð og láta stjórnandann vita en mun taka fyrirfram skilgreindar fyrirbyggjandi aðgerðir til að bregðast við ógninni. Venjulega þýðir þetta að hindra frekari net umferð frá upptökum IP-tölu eða notanda.
Ein þekktasta og víðtæka afskipti uppgötvun kerfi er opinn uppspretta, frjálslega laus Snort. Það er fáanlegt fyrir fjölda vettvanga og stýrikerfa þar á meðal bæði Linux og Windows . Snort hefur mikla og trygga eftirfylgni og þar eru margar auðlindir tiltækar á Netinu þar sem þú getur fengið undirskrift til að framkvæma til að greina nýjustu ógnir. Fyrir aðrar ókeypis afskipti uppgötvun forrit, getur þú heimsótt Free Afskipti uppgötvun Hugbúnaður .
Það er fín lína milli eldvegg og IDS. Það er líka tækni sem kallast IPS - Átroðningurarkerfi . IPS er fyrst og fremst eldveggur sem sameinar netkerfis- og umsóknarsíunarsíun með viðbrögðum IDS til að varna netkerfið. Það virðist sem tíminn rennur út á eldveggum, IDS og IPS taka á móti fleiri eiginleikum frá hvor öðrum og þoka línuna enn meira.
Í meginatriðum er eldveggurinn þinn fyrsti línan í vörninni. Bestu venjur mæla með að eldveggurinn þinn sé skýrt stilltur til að hafna öllum komandi umferð og þá opnarðu holur ef þörf krefur. Þú gætir þurft að opna höfn 80 til að hýsa vefsíður eða höfn 21 til að hýsa FTP-skráþjón . Hvert þessara holna getur verið nauðsynlegt frá einum sjónarhóli, en þeir tákna einnig mögulegra vigra fyrir illgjarn umferð að slá inn netkerfið þitt frekar en að vera lokað af eldveggnum.
Það er þar sem auðkenni þitt myndi koma inn. Hvort sem þú setur inn NIDS á öllu símkerfi eða HIDS á sérstöku tækinu þínu, mun IDS fylgjast með heimleið og útleið umferð og greina grunsamlega eða illgjarn umferð sem kann að hafa einhvern veginn framhjá eldveggnum þínum eða það gæti hugsanlega verið upprunnin frá inni netkerfi þínu eins og heilbrigður.
IDS getur verið frábært tæki til að fylgjast náið með og vernda netið frá illgjarnri starfsemi, en þau eru einnig hætt við rangar viðvaranir. Með réttlátur óður í allir IDS lausn sem þú framkvæma þú þarft að "laga það" þegar það er fyrst sett upp. Þú þarft að IDS sé rétt stillt til að viðurkenna hvað er eðlilegt umferð á netinu þitt vs hvað gæti verið illgjarn umferð og þú eða stjórnendur sem bera ábyrgð á að svara IDS viðvörunum þarftu að skilja hvað viðvörunin þýðir og hvernig á að svara í raun.