Come funziona il sistema di rilevamento delle intrusioni?

Un sistema di rilevamento delle intrusioni (IDS) viene utilizzato allo scopo di rilevare il traffico di rete dannoso e la caduta di un sistema che altrimenti i firewall convenzionali non possono rilevare. Pertanto, IDS rileva attacchi basati sulla rete a servizi e applicazioni vulnerabili, attacchi basati su host, come escalation dei privilegi, attività di accesso non autorizzate e accesso a documenti riservati e infezione da malware (cavalli di Troia, virus.). Ha dimostrato di essere un bisogno fondamentale per il funzionamento di successo di una rete.

La differenza chiave tra un sistema di prevenzione delle intrusioni (IPS) e gli ID è che mentre gli ID monitorino e riportano solo lo stato di rete, l'IPS va oltre, impedisce attivamente agli intrusi di svolgere attività dannose.

Questa guida esplorerà diversi tipi di ID, i loro componenti e i tipi di tecniche di rilevamento utilizzate negli ID.

Revisione storica degli ID

James Anderson ha introdotto l'idea di intrusione o rilevazione a uso improprio del sistema monitorando il modello di utilizzo della rete anomalo o uso improprio del sistema. Nel 1980, basato su questo rapporto, ha pubblicato il suo documento intitolato "Monitoraggio e sorveglianza delle minacce alla sicurezza informatica."Nel 1984, è stato lanciato un nuovo sistema chiamato" Sistema di esperti di rilevamento di intrusioni (IDES) ". È stato il primo prototipo di ID che monitora le attività di un utente.

Nel 1988 fu introdotto un altro ID chiamato "Haystack" che usava schemi e analisi statistiche per rilevare attività anomale. Questi ID, tuttavia, non hanno la caratteristica dell'analisi in tempo reale. Seguendo lo stesso modello, Lawrence Livermore Laboratories dell'Università della California Davis ha creato un nuovo ID chiamato "Network System Monitor (NSM)" per analizzare il traffico di rete. Successivamente, questo progetto si è trasformato in un IDS chiamato "Sistema di rilevamento di intrusioni distribuito (Dids)."Basato su Dids, è stato sviluppato lo" Stalker "ed è stato i primi ID che era disponibile in commercio.

Durante la metà degli anni '90, SAIC ha sviluppato un ID host chiamato "Sistema di rilevamento dell'uso del computer (CMD)."Un altro sistema chiamato" misurazione automatica degli incidenti di sicurezza (ASIM) "è stato sviluppato dal Centro di supporto crittografico dell'Aeronautica statunitense per misurare il livello di attività non autorizzata e rilevare eventi di rete insoliti.

Nel 1998, Martin Roesch ha lanciato un ID open source per reti chiamate "Snort", che in seguito è diventato molto popolare.

Tipi di ID

Sulla base del livello di analisi, esistono due tipi principali di ID:

1. ID basati su rete (NIDS): è progettato per rilevare attività di rete che di solito non sono rilevate dalle semplici regole di filtraggio dei firewall. In NIDS, i singoli pacchetti che passano attraverso una rete vengono monitorati e analizzati per rilevare qualsiasi attività dannosa in corso in una rete. "Snort" è un esempio di nids.
2. ID basati su host (HIDS): questo monitora le attività in corso in un singolo host o server su cui abbiamo installato gli ID. Queste attività possono essere tentativi di accesso al sistema, controllo di integrità per file sul sistema, tracciamento e analisi di chiamate di sistema, registri delle applicazioni, ecc.

Sistema di rilevamento delle intrusioni ibride: è la combinazione di due o più tipi di ID. "Preludio" è un esempio di tale tipo di ID.

Componenti di IDS

Un sistema di rilevamento delle intrusioni è composto da tre diversi componenti, come brevemente spiegato di seguito:

1. Sensori: analizzano il traffico di rete o l'attività di rete e generano eventi di sicurezza.
2. Console: il loro scopo è il monitoraggio degli eventi e avvisare e controllare i sensori.
3. Motore di rilevamento: gli eventi generati dai sensori sono registrati da un motore. Questi sono registrati in un database. Hanno anche politiche per generare avvisi corrispondenti agli eventi di sicurezza.

Tecniche di rilevamento per IDS

In modo ampio, le tecniche utilizzate negli ID possono essere classificate come:

1. Rilevamento basato sulla firma/pattern: utilizziamo modelli di attacco noti chiamati "firme" e li abbiniamo ai contenuti del pacchetto di rete per rilevare gli attacchi. Queste firme memorizzate in un database sono i metodi di attacco utilizzati dagli intrusi in passato.
2. Rilevamento di accesso non autorizzato: qui, l'IDS è configurato per rilevare le violazioni dell'accesso utilizzando un elenco di controlli di accesso (ACL). L'ACL contiene politiche di controllo degli accessi e utilizza l'indirizzo IP degli utenti per verificare la loro richiesta.
3. Rilevamento basato su anomalia: utilizza un algoritmo di apprendimento automatico per preparare un modello IDS che apprende dal normale modello di attività del traffico di rete. Questo modello agisce quindi come un modello di base da cui viene confrontato il traffico di rete in arrivo. Se il traffico si discosta dal comportamento normale, vengono generati avvisi.
4. Rilevamento dell'anomalia del protocollo: in questo caso, il rilevatore di anomalie rileva il traffico che non corrisponde agli standard di protocollo esistenti.

Conclusione

Le attività commerciali online sono aumentate negli ultimi tempi, con le aziende che hanno più uffici situati in diverse località in tutto il mondo. È necessario eseguire reti di computer costantemente a livello di Internet e un livello aziendale. È naturale che le aziende diventino bersagli dagli occhi malvagi degli hacker. Pertanto, è diventato un problema molto critico per proteggere i sistemi di informazione e le reti. In questo caso, IDS è diventato una componente vitale della rete di un'organizzazione, che svolge un ruolo essenziale nel rilevare l'accesso non autorizzato a questi sistemi.