D'examen différents types de systèmes de détection d'intrusion

category Ordinateurs et logiciels / Systèmes d'exploitation / Windows XP et Vista

Détection d'intrusion

Sommaire

est défini comme la surveillance en temps réel et l'analyse de l'activité du réseau et des données pour les vulnérabilités potentielles et les attaques en cours. Une limitation majeure du système de détection d'intrusion (IDS) actuelle technologies est l'obligation de filtrer les fausses alarmes de peur que l'opérateur (administrateur système ou de sécurité) d'être submergés par les données. Les IDS sont classés de différentes façons, y compris active et passive, fondées sur les réseaux et basé sur l'hôte, et basée sur le comportement de la connaissance et:

IDS actives et passives

Un actif IDS (maintenant plus communément connu sous le nom d'un système de prévention des intrusions - IPS) est un système qui est configuré pour bloquer automatiquement les attaques présumés en cours sans aucune intervention nécessaire par un opérateur. IPS a l'avantage de fournir en temps réel des mesures correctives en réponse à une attaque, mais a de nombreux inconvénients. Un IPS doit être placé en ligne le long d'un réseau boundary- ainsi, l'IPS lui-même est sensible à l'attaque. Les utilisateurs et les applications Aussi, si les fausses alarmes et le trafic légitime n'a pas été correctement identifiés et filtré, autorisées peuvent être mal vu refuser l'accès. Enfin, l'IPS lui-même peut être utilisé pour effectuer une Déni de service (DoS) en inondant intentionnellement le système d'alarmes qui provoquent de bloquer les connexions jusqu'à ce qu'aucune des connexions ou la bande passante sont disponibles.




UN passif IDS est un système qui est configuré uniquement pour surveiller et analyser l'activité du trafic réseau et d'alerter un opérateur de vulnérabilités potentielles et les attaques. Il est pas capable d'exécuter toutes les fonctions de protection ou correctives sur son propre. Les principaux avantages de l'IDS sont passifs que ces systèmes peuvent être facilement et rapidement déployées et ne sont généralement pas eux-mêmes sensibles à l'attaque.

Basé sur le réseau et IDS basés sur l'hôte

UN basé sur le réseau IDS est généralement constitué d'un appareil de réseau (ou capteur) avec une carte d'interface réseau (NIC) fonctionnant en mode promiscuité et une interface de gestion distincte. L'IDS est placé le long d'un segment de réseau ou à la limite et surveille tout le trafic sur ce segment.

UN basé sur l'hôte IDS nécessite de petits programmes (ou agents) Pour être installé sur des systèmes individuels à surveiller. Les agents surveillent le système d'exploitation et écrire les données des fichiers journaux et / ou déclencher des alarmes. Un IDS basé sur l'hôte ne peuvent surveiller les systèmes hôtes individuels sur lesquels les agents sont installed- elle ne contrôle pas l'ensemble du réseau.

Fondée sur la connaissance et IDS basés sur le comportement

UN fondée sur la connaissance (ou basée sur les signatures) IDS référence à une base de données de profils d'attaque précédents et les vulnérabilités connues du système pour identifier les tentatives d'intrusion actifs. IDS fondée sur la connaissance est actuellement plus commun que IDS basé sur le comportement. Avantages des systèmes à base de connaissances sont les suivants:

  • Il a des taux moindres de fausses alarmes que IDS basé sur le comportement.
  • Les alarmes sont plus standardisés et plus facile à comprendre que IDS basé sur le comportement.

Inconvénients des systèmes à base de connaissances comprennent ceux-ci:

  • Base de données de signature doit être continuellement mis à jour et maintenu.
  • Nouveaux, uniques, originaux ou les attaques ne peuvent pas être détectés ou peuvent être mal classés.

UN basée sur le comportement (ou basée anomalie statistique) IDS référence à une base ou un modèle appris de l'activité normale du système pour identifier les tentatives d'intrusion actifs. Déviations de cette ligne de base ou un motif provoquent une alarme soit déclenchée. Avantages des systèmes basés sur le comportement comprennent qu'ils

  • Adapter dynamiquement aux nouvelles, uniques, originaux ou des attaques.
  • Sont moins dépendantes de l'identification des vulnérabilités du système d'exploitation spécifiques.

Inconvénients des systèmes basés sur le comportement comprennent

  • Taux de fausses alarmes plus élevés que les IDS basés sur la connaissance.
  • Les modèles d'utilisation qui peuvent changer souvent et peuvent ne pas être assez statique de mettre en œuvre un IDS basé sur des comportements efficaces.
Articles Similaires

A propos Auteur
Snmp Scan pour prévenir un hack de votre réseau Snmp Scan pour prévenir un hack de votre réseau

Simple Network Management Protocol (SNMP) est intégré dans pratiquement tous les appareils de réseau et peut être une source de piratage. Programmes de gestion de réseau (tels que HP OpenView et LANDesk) utilisent SNMP pour la gestion de…

Scannez systèmes pour détecter et se prémunir contre les vulnérabilités de Windows Scannez systèmes pour détecter et se prémunir contre les vulnérabilités de Windows

Lorsque vous évaluez les vulnérabilités de Windows, commencez par la numérisation de vos ordinateurs pour voir ce que les pirates peuvent voir. De là, vous pouvez utiliser la plupart des multiples outils disponibles pour l'acier vous contre les…

Les hacks vos systèmes sont confrontés Les hacks vos systèmes sont confrontés

Il est une chose de savoir généralement que vos systèmes sont sous le feu des hackers du monde entier et des utilisateurs malveillants à travers le bureau- il est une autre de comprendre les attaques spécifiques contre vos systèmes qui sont…

Comment surveiller les opérations de réseau avec OS Junos Comment surveiller les opérations de réseau avec OS Junos

L'auto-surveillance permet une rétroaction continue, capturant l'ensemble du réseau de suite jusqu'à des vues très granulaires dans les opérations de l'appareil. Cette capacité ne peut pas ne vous alerter sur les problèmes, mais vous permet…

Sécuriser l'infrastructure avec des solutions de sécurité de Juniper Sécuriser l'infrastructure avec des solutions de sécurité de Juniper

Les besoins de sécurité des réseaux sont en constante évolution que de nouvelles menaces émergent et que les données sont partagées entre de nombreux utilisateurs et applications différentes. Rester à l'avant des deux les nouvelles menaces…

Des stratégies d'attaque de réseau commun Des stratégies d'attaque de réseau commun

Deux principaux types d'attaques ont lieu sur un réseau: ceux qui sont gérés à l'intérieur du réseau et ceux qui essaient de faire leur chemin dans de périmètre du réseau.Bien que tout le monde veut faire confiance aux gens avec lesquels…

Les stratégies communes d'attaque de réseau: inondations syn Les stratégies communes d'attaque de réseau: inondations syn

Un SYN-flood est une attaque réseau où le dispositif d'attaque envoie une série de requêtes SYN dans le but de submerger le système de réseau. Dans le monde de TCP, vos périphériques réseau sont capables de traiter un nombre limité de…

Sécurité réseau: prévention des intrusions et de détection d'intrusion Sécurité réseau: prévention des intrusions et de détection d'intrusion

Les administrateurs réseau doivent mettre en œuvre des systèmes de détection d'intrusion (IDS) et les systèmes de prévention des intrusions (IPS) de fournir une stratégie de sécurité au niveau du réseau. IDS et IPS offrent tous deux une…

Comment les pirates contraire à l'éthique peut nuire à vos systèmes Comment les pirates contraire à l'éthique peut nuire à vos systèmes

Il est une chose de savoir que vos systèmes sont généralement sous le feu des hackers du monde entier et les initiés voyous autour de la bureau- il est une autre de comprendre les attaques spécifiques contre vos systèmes qui sont possibles.…

Agissant sur les agents dans Unicenter TNG Agissant sur les agents dans Unicenter TNG

Agents jouent un rôle important dans l'architecture Unicenter TNG. Les agents sont des programmes qui Unicenter TNG utilise pour surveiller les objets gérés, qui comprennent les ressources du réseau tels que les serveurs de base de données,…

10 termes de sécurité Linux sachent 10 termes de sécurité Linux sachent

Comme un utilisateur et l'administrateur Linux, la sécurité informatique est un enjeu essentiel. Dix principaux termes peuvent vous prendre un long chemin vers la maîtrise de votre environnement.3DES: Aussi connu comme Triple Encryption Standard…

Linux et certaines vulnérabilités informatiques commune Linux et certaines vulnérabilités informatiques commune

Prévention dans Linux inclut les mécanismes (non techniques et techniques) qui aident à prévenir les attaques sur le système et le réseau. Avant que vous pouvez penser de la prévention, cependant, vous devez connaître les types de problèmes…

Linux: la mise en œuvre d'une méthodologie de test de sécurité Linux: la mise en œuvre d'une méthodologie de test de sécurité

Un élément clé d'un audit de sécurité informatique que vous souhaitez utiliser tout en travaillant dans Linux est un test de sécurité qui vérifie les mécanismes techniques utilisés pour sécuriser un hôte et le réseau. La méthodologie…

En regardant la détection d'intrusion dans le chapeau rouge Enterprise Linux 4 En regardant la détection d'intrusion dans le chapeau rouge Enterprise Linux 4

Avoir des utilisateurs non autorisés entrant vos systèmes est certainement quelque chose que vous ne voulez pas arriver. Bien sûr, vous voulez les arrêter avant qu'ils obtiennent. Mais avant que vous pouvez faire quelque chose au sujet de garder…

» » » » D'examen différents types de systèmes de détection d'intrusion