logo

TechCodeview

Inbraakdetectiesysteem (IDS)

Een Inbraakdetectiesysteem (IDS) zorgt ervoor dat het netwerkverkeer op zoek gaat naar ongebruikelijke activiteiten en stuurt waarschuwingen wanneer deze zich voordoen. De belangrijkste taken van een inbraakdetectiesysteem (IDS) zijn het detecteren en rapporteren van afwijkingen. Bepaalde inbraakdetectiesystemen kunnen echter actie ondernemen wanneer kwaadaardige activiteiten of ongebruikelijk verkeer worden ontdekt. In dit artikel bespreken we elk punt over het inbraakdetectiesysteem.

Wat is een inbraakdetectiesysteem?

Een systeem dat een inbraakdetectiesysteem (IDS) wordt genoemd, observeert netwerkverkeer op kwaadaardige transacties en verzendt onmiddellijk waarschuwingen wanneer dit wordt waargenomen. Het is software die een netwerk of systeem controleert op kwaadwillige activiteiten of beleidsschendingen. Elke illegale activiteit of overtreding wordt vaak centraal geregistreerd met behulp van een SIEM-systeem of gemeld aan een administratie. IDS controleert een netwerk of systeem op kwaadaardige activiteiten en beschermt een computernetwerk tegen ongeoorloofde toegang van gebruikers, inclusief mogelijk insiders. De leertaak van de inbraakdetector is het bouwen van een voorspellend model (d.w.z. een classificator) dat onderscheid kan maken tussen ‘slechte verbindingen’ (inbraak/aanvallen) en ‘goede (normale) verbindingen’.



Werking van het inbraakdetectiesysteem (IDS)

  • Een IDS (Inbraakdetectiesysteem) monitoren het verkeer op A computer netwerk om verdachte activiteiten op te sporen.
  • Het analyseert de gegevens die door het netwerk stromen om te zoeken naar patronen en tekenen van abnormaal gedrag.
  • De IDS vergelijkt de netwerkactiviteit met een reeks vooraf gedefinieerde regels en patronen om elke activiteit te identificeren die op een aanval of inbraak zou kunnen duiden.
  • Als de IDS iets detecteert dat overeenkomt met een van deze regels of patronen, stuurt het een waarschuwing naar de systeembeheerder.
  • De systeembeheerder kan de waarschuwing vervolgens onderzoeken en actie ondernemen om eventuele schade of verdere inbraak te voorkomen.

Classificatie van inbraakdetectiesystemen (IDS)

Inbraakdetectiesystemen zijn onderverdeeld in 5 typen:

  • Netwerkinbraakdetectiesysteem (NIDS): Netwerkinbraakdetectiesystemen (NIDS) worden op een gepland punt binnen het netwerk opgezet om verkeer van alle apparaten op het netwerk te onderzoeken. Het voert een observatie uit van passerend verkeer op het gehele subnet en vergelijkt het verkeer dat op de subnetten wordt doorgegeven met de verzameling bekende aanvallen. Zodra een aanval wordt geïdentificeerd of abnormaal gedrag wordt waargenomen, kan de waarschuwing naar de beheerder worden verzonden. Een voorbeeld van een NIDS is de installatie ervan op het subnet waar firewalls worden gelokaliseerd om te zien of iemand de firewall .
  • Host-inbraakdetectiesysteem (HIDS): Host Inbraakdetectiesystemen (HIDS) draaien op onafhankelijke hosts of apparaten in het netwerk. Een HIDS controleert alleen de inkomende en uitgaande pakketten van het apparaat en waarschuwt de beheerder als er verdachte of kwaadaardige activiteit wordt gedetecteerd. Er wordt een momentopname gemaakt van bestaande systeembestanden en deze wordt vergeleken met de vorige momentopname. Als de analytische systeembestanden zijn bewerkt of verwijderd, wordt er een waarschuwing naar de beheerder gestuurd om dit te onderzoeken. Een voorbeeld van HIDS-gebruik is te zien op bedrijfskritische machines, waarvan niet wordt verwacht dat ze hun lay-out zullen veranderen.
Inbraakdetectiesysteem (IDS)

Inbraakdetectiesysteem (IDS)

  • Op protocol gebaseerd inbraakdetectiesysteem (PIDS): Op protocol gebaseerd inbraakdetectiesysteem (PIDS) omvat een systeem of agent die zich consequent aan de voorkant van een server bevindt en het protocol tussen een gebruiker/apparaat en de server controleert en interpreteert. Het probeert de webserver te beveiligen door regelmatig de HTTPS-protocol streamen en het gerelateerde accepteren HTTP-protocol . Omdat HTTPS niet-gecodeerd is en voordat het onmiddellijk de webpresentatielaag binnengaat, moet dit systeem zich in deze interface bevinden, tussen het gebruik van HTTPS.
  • Applicatieprotocolgebaseerd inbraakdetectiesysteem (APIDS): Een applicatie Protocolgebaseerd inbraakdetectiesysteem (APIDS) is een systeem of agent die zich doorgaans binnen een groep servers bevindt. Het identificeert de inbraken door de communicatie via applicatiespecifieke protocollen te monitoren en te interpreteren. Dit zou bijvoorbeeld het SQL-protocol expliciet monitoren voor de middleware terwijl het transacties uitvoert met de database op de webserver.
  • Hybride inbraakdetectiesysteem: Een hybride inbraakdetectiesysteem wordt gemaakt door de combinatie van twee of meer benaderingen van het inbraakdetectiesysteem. In het hybride inbraakdetectiesysteem worden de hostagent- of systeemgegevens gecombineerd met netwerkinformatie om een ​​compleet beeld van het netwerksysteem te ontwikkelen. Het hybride inbraakdetectiesysteem is effectiever in vergelijking met het andere inbraakdetectiesysteem. Prelude is een voorbeeld van hybride IDS.

Ontwijkingstechnieken voor inbraakdetectiesystemen

  • Fragmentatie: Het pakket verdelen in kleinere pakketten, fragment genoemd, en het proces staat bekend als fragmentatie . Dit maakt het onmogelijk om een ​​inbraak te identificeren, omdat er geen malwarehandtekening kan zijn.
  • Pakketcodering: Het coderen van pakketten met methoden als Base64 of hexadecimaal kan schadelijke inhoud verbergen voor op handtekeningen gebaseerde IDS.
  • Verkeersverduistering: Door de interpretatie van berichten ingewikkelder te maken, kan verduistering worden gebruikt om een ​​aanval te verbergen en detectie te voorkomen.
  • Encryptie: Verschillende beveiligingsfuncties, zoals gegevensintegriteit, vertrouwelijkheid en gegevensprivacy, worden geleverd door encryptie . Helaas worden beveiligingsfuncties door malware-ontwikkelaars gebruikt om aanvallen te verbergen en detectie te voorkomen.

Voordelen van IDS

  • Detecteert kwaadaardige activiteit: IDS kan verdachte activiteiten detecteren en de systeembeheerder waarschuwen voordat er aanzienlijke schade wordt aangericht.
  • Verbetert de netwerkprestaties: IDS kan eventuele prestatieproblemen op het netwerk identificeren, die kunnen worden aangepakt om de netwerkprestaties te verbeteren.
  • Nalevingsvereisten: IDS kan helpen bij het voldoen aan compliance-eisen door netwerkactiviteit te monitoren en rapporten te genereren.
  • Biedt inzichten: IDS genereert waardevolle inzichten in het netwerkverkeer, die kunnen worden gebruikt om eventuele zwakke punten te identificeren en de netwerkbeveiliging te verbeteren.

Detectiemethode van IDS

  • Op handtekeningen gebaseerde methode: Signature-based IDS detecteert de aanvallen op basis van de specifieke patronen zoals het aantal bytes of een aantal enen of het aantal nullen in het netwerkverkeer. Het detecteert ook op basis van de reeds bekende kwaadaardige instructiereeks die door de malware wordt gebruikt. De gedetecteerde patronen in de IDS staan ​​bekend als handtekeningen. Op handtekeningen gebaseerde IDS kan gemakkelijk aanvallen detecteren waarvan het patroon (handtekening) al in het systeem bestaat, maar het is vrij moeilijk om nieuwe malware-aanvallen te detecteren omdat hun patroon (handtekening) niet bekend is.
  • Op afwijkingen gebaseerde methode: Op anomalie gebaseerde IDS werd geïntroduceerd om onbekende malware-aanvallen te detecteren, aangezien er snel nieuwe malware wordt ontwikkeld. Bij op anomalie gebaseerde IDS wordt machinaal leren gebruikt om een ​​betrouwbaar activiteitenmodel te creëren. Alles wat komt wordt vergeleken met dat model en wordt verdacht verklaard als het niet in het model wordt aangetroffen. De op machine learning gebaseerde methode heeft een beter gegeneraliseerde eigenschap in vergelijking met op handtekeningen gebaseerde IDS, omdat deze modellen kunnen worden getraind op basis van de applicaties en hardwareconfiguraties.

Vergelijking van IDS met firewalls

IDS en firewall hebben beide betrekking op netwerkbeveiliging, maar een IDS verschilt van een firewall zoals een firewall naar buiten kijkt naar indringers om deze te voorkomen. Firewalls beperken de toegang tussen netwerken om inbraak te voorkomen. Als een aanval van binnenuit het netwerk plaatsvindt, wordt er geen signaal afgegeven. Een IDS beschrijft een vermoedelijke inbraak zodra deze heeft plaatsgevonden en geeft vervolgens een alarm.



Plaatsing van IDS

  • De meest optimale en meest voorkomende positie om een ​​IDS te plaatsen is achter de firewall. Hoewel deze positie varieert afhankelijk van het netwerk. Door de plaatsing ‘achter de firewall’ heeft de IDS een hoge zichtbaarheid van inkomend netwerkverkeer en ontvangt geen verkeer tussen gebruikers en netwerk. De rand van het netwerkpunt biedt het netwerk de mogelijkheid om verbinding te maken met het extranet.
  • In gevallen waarin de IDS zich buiten de firewall van een netwerk bevindt, zou deze dienen ter verdediging tegen ruis van internet of ter verdediging tegen aanvallen zoals poortscans en netwerkmapper. Een IDS in deze positie zou de lagen 4 tot en met 7 van de netwerkomgeving monitoren. OSI-model en zou een op handtekeningen gebaseerde detectiemethode gebruiken. Het weergeven van het aantal pogingen tot inbreuk in plaats van de daadwerkelijke inbreuken die door de firewall zijn gekomen, is beter omdat hierdoor het aantal valse positieven wordt verminderd. Het kost ook minder tijd om succesvolle aanvallen op het netwerk te ontdekken.
  • Een geavanceerde IDS, geïntegreerd in een firewall, kan worden gebruikt om complexe aanvallen die het netwerk binnenkomen te onderscheppen. Kenmerken van geavanceerde IDS omvatten meerdere beveiligingscontexten op routeringsniveau en overbruggingsmodus. Dit alles vermindert op zijn beurt mogelijk de kosten en operationele complexiteit.
  • Een andere keuze voor IDS-plaatsing is binnen het netwerk. Deze keuze brengt aanvallen of verdachte activiteiten binnen het netwerk aan het licht. Het niet erkennen van de beveiliging binnen een netwerk is schadelijk, omdat gebruikers hierdoor veiligheidsrisico's met zich mee kunnen brengen of een aanvaller die in het systeem heeft ingebroken, vrij rond kan lopen.

Conclusie

Inbraakdetectiesysteem (IDS) is een krachtig hulpmiddel dat bedrijven kan helpen bij het detecteren en voorkomen van ongeautoriseerde toegang tot hun netwerk. Door netwerkverkeerspatronen te analyseren, kan IDS verdachte activiteiten identificeren en de systeembeheerder waarschuwen. IDS kan een waardevolle aanvulling zijn op de beveiligingsinfrastructuur van elke organisatie, door inzichten te verschaffen en de netwerkprestaties te verbeteren.

Veelgestelde vragen over het inbraakdetectiesysteem – Veelgestelde vragen

Verschil tussen IDS en IPS?

Wanneer IDS een inbraak detecteert, waarschuwt het alleen het netwerkbeheer Inbraakpreventiesysteem (IPS) blokkeert de kwaadaardige pakketten voordat deze de bestemming bereiken.

Wat zijn de belangrijkste uitdagingen bij de implementatie van IDS?

Valse positieven en valse negatieven zijn de voornaamste nadelen van IDS’en. Vals-positieven dragen bij aan de ruis die de efficiëntie van een inbraakdetectiesysteem (IDS) ernstig kan aantasten, terwijl een vals-negatief optreedt wanneer een IDS een inbraak mist en deze als geldig beschouwt.



Kan IDS insiderbedreigingen detecteren?

Ja Het inbraakdetectiesysteem kan bedreigingen detecteren.

Wat is de rol van machine learning in IDS?

Door het gebruiken van Machinaal leren kan men een hoog detectiepercentage en een laag percentage valse alarmen bereiken.