Šiuo­lai­ki­nės įsi­lau­žimų aptikimo sistemos veiks­min­gai papildo tra­di­ci­nes ug­nia­sie­nes. Jos nuolat ana­li­zuo­ja ir stebi sistemas bei visus tinklus realiuoju laiku, nu­sta­ty­da­mos galimas grėsmes ir ne­dels­da­mos apie tai pra­neš­da­mos ad­mi­nist­ra­to­riams. Tada, naudojant papildomą prog­ra­mi­nę įrangą, imamasi konkrečių priemonių prieš atakas.

Kas slypi už IDS (įsi­lau­žimų aptikimo sistemos)?

Nors šiuo­lai­ki­nės kom­piu­te­rių ir tinklų saugumo sistemos yra pažangios, ki­ber­ne­ti­nės atakos taip pat tampa vis su­dė­tin­ges­nės. Norint veiks­min­gai apsaugoti jautrią inf­rastruk­tū­rą, verta ap­svars­ty­ti galimybę taikyti kelias saugumo priemones. Šiame kontekste įsi­lau­žimų aptikimo sistema (IDS) yra puikus ug­nia­sie­nės pa­pil­dy­mas. IDS puikiai tinka anks­ty­viam atakų ir po­ten­cia­lių grėsmių aptikimui, aki­mirks­niu įspėdama ad­mi­nist­ra­to­rius, kurie tuomet gali imtis greitų gynybinių veiksmų. Svarbu tai, kad įsi­bro­vi­mo aptikimo sistema taip pat gali nustatyti atakas, kurios galėjo pra­si­skverb­ti pro ug­nia­sie­nės apsaugą.

Skir­tin­gai, pa­vyz­džiui, nuo įsi­lau­žimų pre­ven­ci­jos sistemos, įsi­lau­žimų aptikimo sistema pati negina nuo atakų. Vietoj to, įsi­lau­žimų aptikimo sistema ana­li­zuo­ja visą veiklą tinkle ir lygina ją su konk­re­čiais modeliais. Aptikusi neįprastą veiklą, sistema įspėja vartotoją ir pateikia išsamią in­for­ma­ci­ją apie atakos kilmę ir pobūdį.

Tip

Daugiau in­for­ma­ci­jos apie įsi­bro­vi­mo aptikimo ir įsi­bro­vi­mo pre­ven­ci­jos sistemų skirtumus rasite mūsų atskirame straips­ny­je šia tema.

Kokios yra įsi­bro­vi­mo aptikimo sistemos?

Įsi­lau­žimų aptikimo sistemos skirs­to­mos į tris tipus: kom­piu­te­rio lygmens (HIDS), tinklo lygmens (NIDS) arba hib­ri­di­nes sistemas, kuriose derinami HIDS ir NIDS principai.

HIDS: Kom­piu­te­rio lygmens įsi­bro­vi­mo aptikimo sistemos

Kom­piu­te­ry­je įdiegta įsi­bro­vi­mų aptikimo sistema yra seniausia saugumo sistemos rūšis. Šiuo atveju IDS yra įdiegiama tie­sio­giai ati­tin­ka­mo­je sistemoje. Ji ana­li­zuo­ja duomenis tiek žurnalo, tiek bran­duo­lio lyg­me­ni­mis, taip pat tikrina kitus sistemos failus. Kad būtų galima pri­tai­ky­ti au­to­no­mi­nes darbo vietas, kom­piu­te­rio pagrindu veikianti įsi­bro­vi­mo aptikimo sistema remiasi stebėjimo agentais, kurie iš anksto filtruoja srautą ir siunčia re­zul­ta­tus į centrinį serverį. Nors ši sistema yra labai tiksli ir išsami, ji gali būti pa­žei­džia­ma tokių atakų kaip DoS ir DDoS. Be to, ji priklauso nuo konk­re­čios ope­ra­ci­nės sistemos.

NIDS: Tinklo įsi­lau­žimų aptikimo sistemos

Tinklo įsi­lau­žimų aptikimo sistema ana­li­zuo­ja tinkle keičiamus duomenų paketus ir ne­dels­da­ma nustato ne­įp­ras­tus ar ne­nor­ma­lius modelius, apie kuriuos praneša. Tačiau didelių duomenų kiekių tvarkymas gali būti su­dė­tin­gas uždavinys, kuris gali perkelti įsi­lau­žimų aptikimo sistemą ir trukdyti sklan­džiai vykdyti stebėjimą.

Hib­ri­di­nės įsi­bro­vi­mo aptikimo sistemos

Šiandien daugelis tiekėjų renkasi hib­ri­di­nes įsi­bro­vi­mo aptikimo sistemas, kuriose suderinti abu metodai. Šias sistemas sudaro kom­piu­te­riuo­se įdiegti jutikliai, tinkle įdiegti jutikliai ir centrinis valdymo lygmuo, kuriame surenkami duomenys išsamiai analizei ir kontrolei atlikti.

IDS paskirtis ir pri­va­lu­mai

Įsi­lau­žimų aptikimo sistema jokiu būdu neturėtų būti laikoma ar naudojama kaip ug­nia­sie­nės pa­kai­ta­las. Prie­šin­gai, tai yra puikus pa­pil­dy­mas, kuris, veikiant kartu su ug­nia­sie­ne, leidžia veiks­min­giau nustatyti grėsmes. Kadangi įsi­lau­žimų aptikimo sistema gali ana­li­zuo­ti net aukš­čiau­sią OSI modelio lygį, ji sugeba aptikti naujus ir anksčiau nežinomus pavojų šaltinius, net jei ug­nia­sie­nės apsauga jau buvo įveikta.

Kaip veikia įsi­bro­vi­mo aptikimo sistema

Hib­ri­di­nis modelis yra la­biau­siai paplitęs įsi­lau­žimų aptikimo sistemų tipas, kuriame naudojami tiek kom­piu­te­rio, tiek tinklo lygmens metodai. Surinkta in­for­ma­ci­ja vertinama cent­ri­nė­je valdymo sistemoje, pa­si­tel­kiant tris skir­tin­gus kom­po­nen­tus.

Duomenų stebėjimo sistema

Duomenų stebėjimo sistema renka visus reikiamus duomenis per jutiklius ir juos filtruoja pagal svarbą. Tai apima duomenis iš kom­piu­te­rio pusės, įskaitant žurnalo failus ir sistemos in­for­ma­ci­ją, taip pat per tinklą per­duo­da­mus duomenų paketus. Be kita ko, įsi­bro­vi­mų aptikimo sistema renka ir sistemina siuntėjo bei gavėjo adresus bei kitus svarbius atributus. Esminis rei­ka­la­vi­mas yra tai, kad surinkti duomenys būtų gaunami iš patikimo šaltinio arba tie­sio­giai iš įsi­bro­vi­mų aptikimo sistemos, siekiant už­tik­rin­ti duomenų vi­en­ti­su­mą ir užkirsti kelią anks­tes­niam jų klasto­ji­mui.

Ana­li­za­to­rius

Antrasis įsi­bro­vi­mo aptikimo sistemos kom­po­nen­tas yra ana­li­za­to­rius, at­sa­kin­gas už visų gautų ir iš anksto filtruotų duomenų vertinimą, taikant įvairius šablonus. Šis ver­ti­ni­mas at­lie­ka­mas realiuoju laiku, o tai gali kelti ypač didelę apkrovą pro­ce­so­riui ir pag­rin­di­nei atminties. Norint už­tik­rin­ti greitą ir tikslų ana­li­za­vi­mą, būtina turėti pa­kan­ka­mus išteklius. Šiam tikslui ana­li­za­to­rius naudoja du skir­tin­gus metodus:

  • Pikt­nau­džia­vi­mo aptikimas: Ap­tik­da­mas pikt­nau­džia­vi­mus, ana­li­za­to­rius atidžiai tikrina gaunamus duomenis, ieš­ko­da­mas žinomų atakų modelių, saugomų spe­cia­lio­je duomenų bazėje, kuri re­gu­lia­riai at­nau­ji­na­ma. Kai ataka atitinka anksčiau už­re­gist­ruo­tą parašą, ją galima nustatyti anks­ty­vo­je stadijoje. Tačiau šis metodas yra ne­veiks­min­gas aptinkant atakas, apie kurias sistema dar nežino.
  • Anomalijų aptikimas: Anomalijų aptikimas apima visos sistemos vertinimą. Kai vienas ar daugiau procesų nukrypsta nuo nustatytų normų, tokios ano­ma­li­jos yra pažymimos. Pa­vyz­džiui, jei pro­ce­so­riaus apkrova viršija nustatytą ribą arba jei pa­ste­bi­mas ne­įp­ras­tas puslapių peržiūrų skaičiaus šuolis, suveikia įspėjimas. Įsi­lau­žimų aptikimo sistema taip pat gali ana­li­zuo­ti įvairių įvykių ch­ro­no­lo­gi­nę seką, kad nustatytų nežinomus atakų modelius. Tačiau svarbu pažymėti, kad kai kuriais atvejais gali būti pranešama ir apie ne­kenks­min­gus nu­kry­pi­mus.

Įspėjimas

Trečiasis ir pas­ku­ti­nis įsi­lau­žimų aptikimo sistemos kom­po­nen­tas – pačios per­spė­ji­mo funkcijos. Jei ap­tin­ka­mas išpuolis arba bent jau ano­ma­li­jos, sistema apie tai in­for­muo­ja ad­mi­nist­ra­to­rių. Šis pra­ne­ši­mas gali būti siun­čia­mas elekt­ro­ni­niu paštu, per vietinį signalą arba kaip pra­ne­ši­mas į išmanųjį telefoną ar plan­še­ti­nį kom­piu­te­rį.

Kokie yra įsi­bro­vi­mo aptikimo sistemos trūkumai?

Nors įsi­lau­žimų aptikimo sistemos padidina saugumą, kaip minėta anksčiau, jos turi ir trūkumų. Kom­piu­te­ry­je vei­kian­čios IDS gali būti pa­žei­džia­mos DDoS atakoms, o tinklo pagrindu vei­kian­čios sistemos didesnėse tinklo aplinkose gali susidurti su sunkumais ir galbūt ne­pri­gau­ti duomenų paketų. Anomalijų aptikimas, pri­klau­so­mai nuo kon­fi­gū­ra­ci­jos, gali sukelti klai­din­gus pavojaus signalus. Be to, visos IDS yra skirtos tik grėsmių aptikimui, todėl veiks­min­gai gynybai nuo atakų rei­ka­lin­ga papildoma prog­ra­mi­nė įranga.

Įsi­lau­žimų aptikimo sistema ir „Snort“ pavyzdys

Viena iš ge­riau­siai žinomų ir po­pu­lia­riau­sių įsi­lau­žimų aptikimo sistemų yra „Snort“. Ši saugumo priemonė, kurią 1998 m. sukūrė Martinas Roeschas, yra ne tik su­de­ri­na­ma su įvai­rio­mis plat­for­mo­mis ir atvirojo kodo, bet ir , kaip įsi­lau­žimų pre­ven­ci­jos sistema, var­to­to­jams siūlo išsamias pre­ven­ci­jos priemones. Programa yra prieinama nemokamai, taip pat yra ir mokama versija, kuriai, pa­vyz­džiui, at­nau­ji­ni­mai teikiami greičiau.

Go to Main Menu