Como funciona o sistema de detecção de intrusões?

Um sistema de detecção de intrusão (IDS) é usado com o objetivo de detectar o tráfego de rede e o uso do sistema malicioso que, de outra forma, os firewalls convencionais não podem detectar. Assim, o IDS detecta ataques baseados em rede em serviços e aplicações vulneráveis, ataques com base em hosts, como escalada de privilégio, atividade de login não autorizada e acesso a documentos confidenciais e infecção por malware (cavalos de Trojan, vírus, etc.). Provou ser uma necessidade fundamental para a operação bem -sucedida de uma rede.

A principal diferença entre um sistema de prevenção de intrusões (IPS) e o IDS é que, embora o IDS apenas monitora e relate o estado da rede, o IPS vai além, ele impede ativamente os intrusos de realizar atividades maliciosas.

Este guia explorará diferentes tipos de IDs, seus componentes e os tipos de técnicas de detecção usadas em IDs.

Revisão histórica de IDs

James Anderson introduziu a idéia de invasão ou uso do sistema, monitorando o padrão de uso anômalo de rede ou uso indevido do sistema. Em 1980, com base neste relatório, ele publicou seu artigo intitulado “Monitoramento e vigilância de ameaças à segurança do computador.”Em 1984, foi lançado um novo sistema chamado“ Sistema de Especialistas em Detecção de Intrusão (IDES) ”. Foi o primeiro protótipo de IDs que monitora as atividades de um usuário.

Em 1988, outros IDs chamados “Haystack” foram introduzidos que usavam padrões e análises estatísticas para detectar atividades anômalas. Este IDS, no entanto, não tem a característica da análise em tempo real. Seguindo o mesmo padrão, os Laboratórios Lawrence Livermore da Universidade da Califórnia Davis trouxeram um novo IDS chamado “Network System Monitor (NSM)” para analisar o tráfego de rede. Posteriormente, este projeto se transformou em um IDS chamado “Sistema de Detecção de Intrusão Distribuído (DIDS)."Com base no DIDS, o" perseguidor "foi desenvolvido e foram os primeiros IDs que estavam disponíveis comercialmente.

Em meados da década de 90, a SAIC desenvolveu um IDS de host chamado “Sistema de Detecção de Uso Independente de Computação (CMDs).“Outro sistema chamado“ Medição de incidentes de segurança automatizada (ASIM) ”foi desenvolvida pelo Centro de Apoio Criptográfico da Força Aérea dos EUA para medir o nível de atividade não autorizada e detectar eventos de rede incomum.

Em 1998, Martin Roesch lançou um IDS de código aberto para redes chamadas "Snort", que mais tarde se tornou muito popular.

Tipos de IDs

Com base no nível de análise, existem dois principais tipos de IDs:

1. IDs baseados em rede (NIDs): ele foi projetado para detectar atividades de rede que geralmente não são detectadas pelas regras de filtragem simples dos firewalls. Nos NIDs, pacotes individuais que passam por uma rede são monitorados e analisados ​​para detectar qualquer atividade maliciosa em uma rede. "Snort" é um exemplo de NIDS.
2. IDs baseados no host (HIDs): isso monitora as atividades em um host ou servidor individual no qual instalamos os IDs. Essas atividades podem ser tentativas de login do sistema, verificação de integridade para arquivos no sistema, rastreamento e análise de chamadas do sistema, registros de aplicativos etc.

Sistema de detecção de intrusões híbridas: é a combinação de dois ou mais tipos de IDs. "Prelude" é um exemplo desse tipo de IDS.

Componentes de IDs

Um sistema de detecção de intrusão é composto por três componentes diferentes, conforme explicado brevemente abaixo:

1. Sensores: eles analisam o tráfego de rede ou a atividade de rede e geram eventos de segurança.
2. Console: seu objetivo é o monitoramento de eventos e alertar e controlar os sensores.
3. Motor de detecção: os eventos gerados por sensores são registrados por um motor. Estes são registrados em um banco de dados. Eles também têm políticas para gerar alertas correspondentes a eventos de segurança.

Técnicas de detecção para IDs

De maneira ampla, as técnicas usadas nos IDs podem ser classificadas como:

1. Detecção baseada em assinatura/padrões: usamos padrões de ataque conhecidos chamados "assinaturas" e combinamos com o conteúdo do pacote de rede para detectar ataques. Essas assinaturas armazenadas em um banco de dados são os métodos de ataque usados ​​pelos intrusos no passado.
2. Detecção de acesso não autorizada: Aqui, o IDS está configurado para detectar violações de acesso usando uma lista de controle de acesso (ACL). O ACL contém políticas de controle de acesso e usa o endereço IP dos usuários para verificar sua solicitação.
3. Detecção baseada em anomalia: ele usa um algoritmo de aprendizado de máquina para preparar um modelo IDS que aprende com o padrão de atividade regular de tráfego de rede. Este modelo então atua como um modelo básico a partir do qual o tráfego de rede de entrada é comparado. Se o tráfego se desviar do comportamento normal, os alertas serão gerados.
4. Detecção de anomalia do protocolo: neste caso, o detector de anomalia detecta o tráfego que não corresponde aos padrões de protocolo existentes.

Conclusão

As atividades comerciais on -line aumentaram nos últimos tempos, com empresas com vários escritórios localizados em diferentes locais ao redor do mundo. É necessário executar redes de computadores constantemente no nível da Internet e um nível corporativo. É natural que as empresas se tornem alvos dos olhos malignos dos hackers. Como tal, tornou -se uma questão muito crítica para proteger sistemas e redes de informação. Nesse caso, o IDS se tornou um componente vital da rede de uma organização, que desempenha um papel essencial na detecção de acesso não autorizado a esses sistemas.