logo

TechCodeview

Intrusion Detection System (IDS)

Ein Intrusion Detection System (IDS) verwaltet den Netzwerkverkehr, sucht nach ungewöhnlichen Aktivitäten und sendet Warnungen, wenn diese auftreten. Die Hauptaufgaben eines Intrusion Detection Systems (IDS) sind die Erkennung und Meldung von Anomalien. Bestimmte Intrusion Detection Systeme können jedoch Maßnahmen ergreifen, wenn bösartige Aktivitäten oder ungewöhnlicher Datenverkehr entdeckt werden. In diesem Artikel werden wir alle Punkte zum Intrusion Detection System besprechen.

Was ist ein Intrusion Detection System?

Ein als Intrusion Detection System (IDS) bezeichnetes System überwacht den Netzwerkverkehr auf böswillige Transaktionen und sendet sofort Warnungen, wenn es beobachtet wird. Dabei handelt es sich um Software, die ein Netzwerk oder System auf böswillige Aktivitäten oder Richtlinienverstöße überprüft. Jede illegale Aktivität oder jeder Verstoß wird häufig entweder zentral über ein SIEM-System erfasst oder einer Verwaltung gemeldet. IDS überwacht ein Netzwerk oder System auf böswillige Aktivitäten und schützt ein Computernetzwerk vor unbefugtem Zugriff durch Benutzer, möglicherweise auch Insider. Die Lernaufgabe des Einbruchdetektors besteht darin, ein Vorhersagemodell (d. h. einen Klassifikator) zu erstellen, der in der Lage ist, zwischen „schlechten Verbindungen“ (Einbruch/Angriffe) und „guten (normalen) Verbindungen“ zu unterscheiden.



string.format Java-String

Funktionsweise des Intrusion Detection Systems (IDS)

  • Ein IDS (Intrusion Detection System) Monitore der Verkehr auf einem Computernetzwerk um verdächtige Aktivitäten zu erkennen.
  • Es analysiert die durch das Netzwerk fließenden Daten, um nach Mustern und Anzeichen für abnormales Verhalten zu suchen.
  • Das IDS vergleicht die Netzwerkaktivität mit einer Reihe vordefinierter Regeln und Muster, um alle Aktivitäten zu identifizieren, die auf einen Angriff oder Einbruch hinweisen könnten.
  • Wenn das IDS etwas erkennt, das einer dieser Regeln oder Muster entspricht, sendet es eine Warnung an den Systemadministrator.
  • Der Systemadministrator kann dann die Warnung untersuchen und Maßnahmen ergreifen, um Schäden oder weitere Eingriffe zu verhindern.

Klassifizierung des Intrusion Detection Systems (IDS)

Einbruchmeldesysteme werden in 5 Typen eingeteilt:

  • Netzwerk-Intrusion-Detection-System (NIDS): Netzwerk-Intrusion-Detection-Systeme (NIDS) werden an einem geplanten Punkt im Netzwerk eingerichtet, um den Datenverkehr aller Geräte im Netzwerk zu untersuchen. Es führt eine Beobachtung des fließenden Datenverkehrs im gesamten Subnetz durch und ordnet den in den Subnetzen weitergeleiteten Datenverkehr der Sammlung bekannter Angriffe zu. Sobald ein Angriff erkannt oder ungewöhnliches Verhalten beobachtet wird, kann die Warnung an den Administrator gesendet werden. Ein Beispiel für ein NIDS ist die Installation in dem Subnetz, in dem Firewalls werden lokalisiert, um zu sehen, ob jemand versucht, das zu knacken Firewall .
  • Host Intrusion Detection System (HIDS): Host-Intrusion-Detection-Systeme (HIDS) werden auf unabhängigen Hosts oder Geräten im Netzwerk ausgeführt. Ein HIDS überwacht nur die vom Gerät ein- und ausgehenden Pakete und benachrichtigt den Administrator, wenn verdächtige oder böswillige Aktivitäten erkannt werden. Es erstellt einen Snapshot der vorhandenen Systemdateien und vergleicht ihn mit dem vorherigen Snapshot. Wenn die Dateien des Analysesystems bearbeitet oder gelöscht wurden, wird eine Warnung an den Administrator zur Untersuchung gesendet. Ein Beispiel für die Verwendung von HIDS ist auf geschäftskritischen Maschinen zu sehen, von denen nicht erwartet wird, dass sie ihr Layout ändern.
Intrusion Detection System (IDS)

Intrusion Detection System (IDS)

Ersatz in Java
  • Protokollbasiertes Intrusion Detection System (PIDS): Ein protokollbasiertes Intrusion-Detection-System (PIDS) umfasst ein System oder einen Agenten, der sich ständig am Front-End eines Servers befindet und das Protokoll zwischen einem Benutzer/Gerät und dem Server steuert und interpretiert. Es wird versucht, den Webserver durch regelmäßige Überwachung zu schützen HTTPS-Protokoll streamen und die damit verbundenen akzeptieren HTTP-Protokoll . Da HTTPS unverschlüsselt ist und bevor es sofort in die Webpräsentationsebene gelangt, muss sich dieses System in dieser Schnittstelle befinden, um HTTPS verwenden zu können.
  • Anwendungsprotokollbasiertes Intrusion Detection System (APIDS): Eine Bewerbung Protokollbasiertes Intrusion Detection System (APIDS) ist ein System oder Agent, der sich im Allgemeinen innerhalb einer Gruppe von Servern befindet. Es identifiziert Eindringlinge durch Überwachung und Interpretation der Kommunikation über anwendungsspezifische Protokolle. Dies würde beispielsweise das SQL-Protokoll explizit für die Middleware überwachen, während diese mit der Datenbank im Webserver verkehrt.
  • Hybrides Einbruchmeldesystem: Ein hybrides Einbrucherkennungssystem entsteht durch die Kombination von zwei oder mehr Ansätzen für das Einbrucherkennungssystem. Im Hybrid-Intrusion-Detection-System werden die Host-Agenten- oder Systemdaten mit Netzwerkinformationen kombiniert, um eine vollständige Ansicht des Netzwerksystems zu erstellen. Das hybride Einbruchmeldesystem ist im Vergleich zu den anderen Einbruchmeldesystemen effektiver. Prelude ist ein Beispiel für Hybrid-IDS.

Umgehungstechniken für Intrusion-Detection-Systeme

  • Zersplitterung: Das Aufteilen des Pakets in kleinere Pakete, sogenannte Fragmente, wird als Prozess bezeichnet Zersplitterung . Dies macht es unmöglich, einen Eindringling zu identifizieren, da keine Malware-Signatur vorhanden sein kann.
  • Paketkodierung: Durch die Verschlüsselung von Paketen mit Methoden wie Base64 oder Hexadezimal können schädliche Inhalte vor signaturbasierten IDS verborgen werden.
  • Verkehrsverschleierung: Indem die Interpretation von Nachrichten komplizierter wird, kann die Verschleierung genutzt werden, um einen Angriff zu verbergen und einer Entdeckung zu entgehen.
  • Verschlüsselung: Mehrere Sicherheitsfunktionen wie Datenintegrität, Vertraulichkeit und Datenschutz werden von bereitgestellt Verschlüsselung . Leider nutzen Malware-Entwickler Sicherheitsfunktionen, um Angriffe zu verbergen und einer Entdeckung zu entgehen.

Vorteile von IDS

  • Erkennt schädliche Aktivitäten: IDS kann verdächtige Aktivitäten erkennen und den Systemadministrator alarmieren, bevor ein erheblicher Schaden entsteht.
  • Verbessert die Netzwerkleistung: IDS kann alle Leistungsprobleme im Netzwerk identifizieren, die behoben werden können, um die Netzwerkleistung zu verbessern.
  • Compliance-Anforderungen: IDS kann bei der Erfüllung von Compliance-Anforderungen helfen, indem es die Netzwerkaktivität überwacht und Berichte erstellt.
  • Bietet Einblicke: IDS generiert wertvolle Einblicke in den Netzwerkverkehr, die zur Identifizierung etwaiger Schwachstellen und zur Verbesserung der Netzwerksicherheit genutzt werden können.

Erkennungsmethode von IDS

  • Signaturbasierte Methode: Signaturbasiertes IDS erkennt die Angriffe anhand spezifischer Muster wie der Anzahl der Bytes oder einer Anzahl von Einsen oder der Anzahl von Nullen im Netzwerkverkehr. Es erkennt auch anhand der bereits bekannten schädlichen Befehlssequenz, die von der Malware verwendet wird. Die erkannten Muster im IDS werden als Signaturen bezeichnet. Signaturbasiertes IDS kann leicht Angriffe erkennen, deren Muster (Signatur) bereits im System vorhanden ist. Es ist jedoch recht schwierig, neue Malware-Angriffe zu erkennen, da deren Muster (Signatur) nicht bekannt ist.
  • Anomaliebasierte Methode: Anomaliebasiertes IDS wurde eingeführt, um unbekannte Malware-Angriffe zu erkennen, da neue Malware schnell entwickelt wird. Beim anomaliebasierten IDS kommt maschinelles Lernen zum Einsatz, um ein vertrauenswürdiges Aktivitätsmodell zu erstellen. Alles, was kommt, wird mit diesem Modell verglichen und als verdächtig eingestuft, wenn es nicht im Modell gefunden wird. Die auf maschinellem Lernen basierende Methode weist im Vergleich zu signaturbasiertem IDS eine bessere Generalisierungseigenschaft auf, da diese Modelle entsprechend den Anwendungen und Hardwarekonfigurationen trainiert werden können.

Vergleich von IDS mit Firewalls

IDS und Firewall hängen beide mit der Netzwerksicherheit zusammen, aber ein IDS unterscheidet sich von einem Firewall Eine Firewall sucht nach außen nach Eindringlingen, um diese zu verhindern. Firewalls schränken den Zugriff zwischen Netzwerken ein, um Eindringlinge zu verhindern, und wenn ein Angriff von innerhalb des Netzwerks erfolgt, erfolgt keine Signalisierung. Ein IDS beschreibt einen vermuteten Einbruch, sobald er stattgefunden hat, und gibt dann einen Alarm aus.



Platzierung von IDS

  • Die optimalste und gebräuchlichste Position für die Platzierung eines IDS ist hinter der Firewall. Obwohl diese Position je nach Netzwerk unterschiedlich ist. Die Platzierung „hinter der Firewall“ ermöglicht dem IDS eine hohe Sichtbarkeit des eingehenden Netzwerkverkehrs und empfängt keinen Datenverkehr zwischen Benutzern und Netzwerk. Der Rand des Netzwerkpunkts bietet dem Netzwerk die Möglichkeit, eine Verbindung zum Extranet herzustellen.
  • In Fällen, in denen das IDS außerhalb der Firewall eines Netzwerks positioniert ist, dient es der Abwehr von Störungen aus dem Internet oder der Abwehr von Angriffen wie Port-Scans und Netzwerk-Mapper. Ein IDS in dieser Position würde die Schichten 4 bis 7 des Netzwerks überwachen OSI-Modell und würde eine signaturbasierte Erkennungsmethode verwenden. Es ist besser, die Anzahl der versuchten Sicherheitsverletzungen anstelle der tatsächlichen Sicherheitsverletzungen anzuzeigen, die es durch die Firewall geschafft haben, da dadurch die Anzahl der Fehlalarme reduziert wird. Es dauert auch weniger Zeit, erfolgreiche Angriffe auf das Netzwerk zu entdecken.
  • Mit einem fortschrittlichen IDS, das in eine Firewall integriert ist, können komplexe Angriffe, die in das Netzwerk eindringen, abgefangen werden. Zu den Funktionen von Advanced IDS gehören mehrere Sicherheitskontexte auf der Routing-Ebene und im Bridging-Modus. All dies wiederum reduziert potenziell die Kosten und die betriebliche Komplexität.
  • Eine weitere Möglichkeit zur IDS-Platzierung ist die innerhalb des Netzwerks. Diese Auswahl deckt Angriffe oder verdächtige Aktivitäten innerhalb des Netzwerks auf. Die Sicherheit innerhalb eines Netzwerks nicht anzuerkennen ist schädlich, da Benutzer dadurch möglicherweise ein Sicherheitsrisiko darstellen oder einem Angreifer, der in das System eingedrungen ist, die Möglichkeit geben, sich frei zu bewegen.

Abschluss

Das Intrusion Detection System (IDS) ist ein leistungsstarkes Tool, das Unternehmen dabei helfen kann, unbefugten Zugriff auf ihr Netzwerk zu erkennen und zu verhindern. Durch die Analyse von Netzwerkverkehrsmustern kann IDS verdächtige Aktivitäten identifizieren und den Systemadministrator alarmieren. IDS kann eine wertvolle Ergänzung für die Sicherheitsinfrastruktur jedes Unternehmens sein, indem es Erkenntnisse liefert und die Netzwerkleistung verbessert.

Häufig gestellte Fragen zum Intrusion Detection System – FAQs

Unterschied zwischen IDS und IPS?

Wenn IDS einen Einbruch erkennt, alarmiert es die Netzwerkadministration nur während dieser Zeit Intrusion Prevention System (IPS) blockiert die bösartigen Pakete, bevor sie ihr Ziel erreichen.

Was sind die größten Herausforderungen bei der IDS-Implementierung?

Falsch-positive und falsch-negative Ergebnisse sind die Hauptnachteile von IDS. Falsch-positive Ergebnisse verstärken den Lärm, der die Effizienz eines Einbruchmeldesystems (IDS) ernsthaft beeinträchtigen kann, während ein falsch-negatives Ergebnis auftritt, wenn ein IDS einen Einbruch übersieht und ihn für gültig hält.



a b c zahlen

Kann IDS Insider-Bedrohungen erkennen?

Ja, das Intrusion Detection System kann Bedrohungen erkennen.

Welche Rolle spielt maschinelles Lernen in IDS?

Durch die Nutzung Maschinelles Lernen kann man eine hohe Erkennungsrate und eine niedrige Fehlalarmrate erreichen.