Халдлагыг илрүүлэх систем (IDS) нь сүлжээний урсгалыг хянаж, сэжигтэй үйлдлийн хувьд хянаж, систем эсвэл сүлжээний администраторыг дохиолдог. Зарим тохиолдолд, IDS сүлжээнд хандах хэрэглэгчийн эсвэл эх үүсвэрийн IP хаягийг хориглох зэрэг үйлдлүүдийг хийснээр anxalous буюу хортой урсгалаар хариу үйлдэл үзүүлж болно.
ХИС нь янз бүрийн "амт" хэлбэрээр ирдэг бөгөөд сэжигтэй урсгалыг янз бүрийн аргаар илрүүлэх зорилго тавина. Сүлжээ дээр суурилсан (NIDS) болон хост дээр суурилсан (HIDS) халдлага илрүүлэгч систем байдаг. IDS нь мэдэгдэж буй аюул заналын тусгай гарын авлагыг хайж олоход үндэслэсэн байдаг - вирусны эсрэг программ нь хорт програмын эсрэг илрүүлж, хамгаалахтай адил бөгөөд IDS нь суурь шугамын эсрэг урсгалыг харьцуулж, гажиг хайхад үндэслэдэг IDS байдаг. Зөвхөн хяналт тавьж, сэрэмжтэй байх IDS байдаг бөгөөд илэрсэн аюул заналын хариуд үйлдэл, үйлдэл хийдэг IDS байдаг. Бид эдгээрийг бүгдийг нь хамрах болно.
NIDS
Сүлжээний Халдлагыг илрүүлэх системийг сүлжээ доторх бүх төхөөрөмжүүдээс болон сүлжээний урсгалыг хянахын тулд сүлжээн дэх стратегийн цэг эсвэл цэгүүдэд байршуулдаг. Хамгийн гол нь та бүх дотогшоо болон гадагш чиглэсэн урсгалыг скан хийх боловч, ингэснээр сүлжээний нийт хурдыг бууруулж болох саад тотгорыг үүсгэж болзошгүй юм.
HIDS
Халдлага илрүүлэгчийг илрүүлэх системийн хостыг сүлжээн дэх хувь хүмүүс эсвэл төхөөрөмж дээр ажиллуулдаг. СХИС нь гадагшаа болон гадагш чиглэсэн пакетуудыг зөвхөн төхөөрөмжөөс хянаж, сэжигтэй үйлдлийн талаар хэрэглэгч эсвэл администратор мэдэгдэнэ.
Гарын үсгийн үндсэн дээр
Гарын үсэг дээр суурилсан ХИС нь сүлжээн дэх пакетуудыг хянаж, мэдэгдэж байгаа хортой аюул заналхийллийн гарын үсэг буюу шинж чанаруудын мэдээллийн сантай харьцуулах болно. Энэ нь ихэнх вирусны эсрэг програм хангамжийг malware илрүүлдэг аргатай ижил юм. Асуудал нь зэрлэг ан амьтдыг илрүүлэх шинэ аюул хоёрын хоорондын хоцрогдол бөгөөд таны ХИС-д аюул заналыг илрүүлэх гарын үсгийг харуулах болно. Энэ хожимдолтонд таны ХИС шинэ аюул заналыг илрүүлэх боломжгүй болно.
Аномали дээр тулгуурласан
Гэнэтийн гажигтай IDS нь сүлжээний урсгалыг хянаж, суурь өгөгдлийн эсрэг харьцуулах болно. Суурь өгөгдөл нь тухайн сүлжээнд "хэвийн" гэж юу болохыг тодорхойлох болно. Ямар төрлийн зурвасын өргөн ашиглагддаг, ямар протоколууд, ямар портууд болон төхөөрөмжүүд ерөнхийдөө хоорондоо холбогддог зэргийг тодорхойлно. Энэ нь администратор, эсвэл суурь үзүүлэлтээс ялгаатай.
Идэвхгүй ХИС
Идэвхгүй ХИС нь зүгээр л илрүүлж, сэрэмжлүүлдэг. Сэжигтэй эсвэл хортой урсгал илрүүлэгдэх үед сэрэмжлүүлэг үүсч, администратор эсвэл хэрэглэгч рүү илгээгдэж, үйл ажиллагааг хаах, эсвэл ямар нэг аргаар хариу арга хэмжээ авах үйлдэл хийхэд нь хүрдэг.
Урвалын идэвхитэй IDS
Реактив IDS нь зөвхөн сэжигтэй, хортой урсгал илрүүлэх төдийгүй администраторыг сэрэмжлүүлэх боловч аюул заналд хариу өгөхийн тулд урьдчилан тодорхойлсон идэвхтэй арга хэмжээ авах болно. Ерөнхийдөө энэ нь эхлэл IP хаягаар эсвэл хэрэглэгчийн цаашдын сүлжээний урсгалыг хаах гэсэн үг юм.
Хамгийн алдартай, түгээмэл хэрэглэгддэг халдлага илрүүлэгч системүүдийн нэг бол нээлттэй эх сурвалж болох Snort чөлөөтэй байдаг. Энэ нь Линукс, Windows зэрэг хэд хэдэн платформ, үйлдлийн системүүдэд зориулагдсан . Snort нь маш том, үнэнч үйлдэлтэй бөгөөд хамгийн сүүлийн үеийн аюулыг илрүүлэхийн тулд хэрэгжүүлэх гарын үсгийг олж авч болох Интернет дээр олон нөөц байдаг. Бусад Freeware халдлага илрүүлэх програмуудын хувьд та Free Intrusion Detection Software-д зочилж болно.
Галт хана болон ХИС хоорондын нарийн шугам байдаг. Мөн IPS - Intrusion Prevention System гэж нэрлэгддэг технологи байдаг. IPS нь үндсэндээ сүлжээний түвшин ба хэрэглээний түвшний шүүлтийг сүлжээ идэвхтэй хамгаалахын тулд идэвхтэй IDS-тай хослуулан галт хана юм. IDS болон IPS галт хана цаг хугацаа өнгөрөх тусам бие биенээсээ илүү их зан чанарыг авч, мөрийг улам бүр бүдгэрүүлдэг.
Үндсэндээ, таны галт хана бол таны периметр хамгаалалтын эхний мөр юм. Хамгийн шилдэг туршлага нь таны галт ханыг DENY уруу орж буй бүх урсгал руу шууд тохируулагдсан бөгөөд шаардлагатай бол нүхийг нээдэг. FTP файлын серверийг хослуулахын тулд вэбсайтууд эсвэл порт 21-ийг хост 80 руу нээх хэрэгтэй болж магадгүй. Эдгээр нүхнүүд нь нэг талаасаа шаардлагатай байж болох ч галт ханаар хориглосноор хортой урсгалыг таны сүлжээнд оруулах боломжтой векторуудыг харуулдаг.
Энэ нь танай IDS-т нэвтрэн орох болно.Та бүхэлдээ СИС-ийг бүхэл бүтэн сүлжээгээр эсвэл өөрийн тодорхой төхөөрөмж дээр ХХИС-ийг хэрэгжүүлдэг эсэхээс үл хамааран IDS нь ирж буй болон гадагш чиглэсэн урсгалыг хянах бөгөөд таны галт хана өнгөрч магадгүй сэжигтэй эсвэл хортой траффикийг илрүүлэх болно. Таны сүлжээнээс гаралтай байж магадгүй юм.
ХИС нь таны сүлжээг идэвхтэй мониторинг хийх, хор хөнөөлтэй үйл ажиллагааг хамгаалах гайхалтай хэрэгсэл байж болох ч эдгээр нь хуурамч дохиоллын шинжтэй байдаг. Таны хэрэгжүүлж буй ХИС-ийн бүх шийдлээр та үүнийг эхлээд суулгаж байхдаа "тааруулах" хэрэгтэй болно. ХИС - ийг сүлжээнийхээ хэвийн урсгал гэж юу болохыг тодорхойлохын тулд ХИС - ийг зөв тохируулах хэрэгтэй. Ховдлын урсгал юу болох, ХИС - ийн анхааруулгад хариулах үүрэг бүхий админууд, анхааруулга нь ямар утгатай, хэрхэн үр дүнтэй хариу үзүүлэхийг ойлгох хэрэгтэй.