Ce sunt sistemele de detectare a intruziunilor?

Un sistem de detectare a intruziunilor – IDS (de asemenea, sistem de protectie impotriva intruziunilor sau IPS), este un dispozitiv sau o aplicatie software care monitorizeaza o retea sau un sistem pentru activitati rau intentionate sau incalcari ale securitatii. Orice activitate de intruziune sau incalcare este de obicei raportata fie unui administrator, fie colectata central, folosind un sistem de management al informatiilor si evenimentelor de securitate (SIEM). Un sistem SIEM combina iesiri din mai multe surse si utilizeaza tehnici de filtrare a alarmelor pentru a distinge activitatea rau intentionata de alarmele false.

Tipurile de IDS variaza de la computere individuale la retele mari. Cele mai comune clasificari sunt sistemele de detectare a intruziunilor in retea (NIDS) si sistemele de detectare a intruziunilor bazate pe gazda (HIDS). Un sistem care monitorizeaza fisierele importante ale sistemului de operare este un exemplu de HIDS, in timp ce un sistem care analizeaza traficul de retea de intrare, este un exemplu de NIDS. De asemenea, este posibil sa se clasifice IDS prin abordarea de detectare.

Cele mai cunoscute variante sunt detectarea bazata pe semnatura (recunoasterea tiparelor periculoase, cum ar fi malware) si detectarea bazata pe anomalii (detectarea abaterilor de la un model de trafic „bun”, care se bazeaza adesea pe machine learning). O alta varianta comuna este detectarea bazata pe reputatie (recunoasterea potentialei amenintari in functie de scorurile reputatiei). Unele produse IDS au capacitatea de a raspunde la intruziunile detectate.

Sistemele cu capacitati de raspuns sunt denumite de obicei sisteme de prevenire a intruziunilor. Sistemele de detectare a intruziunilor pot servi de asemenea unor scopuri specifice, sporindu-le puterea cu instrumente personalizate, cum ar fi utilizarea unui honeypot, pentru a atrage si a caracteriza traficul rau intentionat.

Comparatie cu firewall-urile

Desi ambele se refera la securitatea retelei, un IDS difera de un firewall prin aceea ca un firewall de retea traditional (distinct de un Firewall de generatie urmatoare) utilizeaza un set static de reguli pentru a permite sau a refuza conexiunile la retea. Previne implicit intruziunile, presupunand ca a fost definit un set adecvat de reguli. In esenta, firewall-urile limiteaza accesul intre retele pentru a preveni intruziunea si nu semnaleaza un atac din interiorul retelei. Un IDS descrie o intruziune suspectata odata ce a avut loc si semnaleaza o alarma. Un IDS urmareste, de asemenea, atacurile care provin din interiorul unui sistem. Acest lucru se realizeaza in mod traditional prin examinarea comunicatiilor de retea, identificarea euristicilor si tiparelor (cunoscute adesea ca semnaturi) ale atacurilor computerizate obisnuite si luand masuri pentru a alerta operatorii. Un sistem care termina conexiunile se numeste sistem de prevenire a intruziunilor si efectueaza controlul accesului ca un firewall, la nivel de aplicatie.

Categoria de detectare a intruziunilor

IDS poate fi clasificat in functie de locul in care are loc detectarea (retea sau gazda) sau metoda de detectare utilizata (in baza semnaturii sau a anomaliilor).

Sisteme de detectare a intruziunilor in retea

Sistemele de detectare a intruziunilor in retea (NIDS) sunt plasate intr-un punct sau puncte strategice din cadrul retelei pentru a monitoriza traficul catre si de la toate dispozitivele din retea. Efectueaza o analiza a traficului care trece pe intreaga subretea si compara traficul care este transmis pe subretele cu biblioteca de atacuri cunoscute. Odata ce un atac este identificat sau un comportament anormal este detectat, alerta poate fi trimisa administratorului.

Un exemplu de NIDS ar fi instalarea acestuia pe subreteaua in care se afla firewall-urile pentru a vedea daca cineva incearca sa patrunda in firewall. In mod ideal, s-ar scana tot traficul de intrare si de iesire, dar acest lucru ar putea crea un blocaj care ar afecta viteza generala a retelei. OPNET si NetSim sunt instrumente utilizate in mod obisnuit pentru simularea sistemelor de detectare a intruziunilor in retea.

Sistemele NIDS sunt, de asemenea, capabile sa compare semnaturile pentru pachete similare pentru a lega si elimina pachetele daunatoare detectate, care au o semnatura care se potriveste cu inregistrarile din NIDS. Cand clasificam proiectarea NIDS in functie de proprietatea de interactivitate a sistemului, exista doua tipuri: NIDS on-line si off-line, adesea denumite mod inline si, respectiv, tap.

NIDS on-line se ocupa de retea in timp real. Analizeaza pachetele Ethernet si aplica cateva reguli, pentru a decide daca este sau nu un atac. NIDS off-line se ocupa de datele stocate si le trece prin unele procese pentru a decide daca a avut loc un atac sau nu.

NIDS poate fi, de asemenea, combinat cu alte tehnologii pentru a creste ratele de detectare si predictie. IDS bazate pe retele neuronale artificiale sunt capabile sa analizeze volume uriase de date, intr-un mod inteligent, datorita structurii de auto-organizare care permite INS-IDS sa recunoasca mai eficient modelele de intruziune.

Retelele neuronale ajuta IDS sa prezica atacurile prin invatarea din greseli; INN IDS ajuta la dezvoltarea unui sistem de avertizare timpurie, bazat pe doua straturi. Primul strat accepta valori individuale, in timp ce al doilea strat ia ca intrare iesirea primului strat; ciclul se repeta si permite sistemului sa recunoasca automat noi modele neprevazute in retea. Acest sistem poate avea o rata medie de detectare si clasificare de 99,9%, pe baza rezultatelor cercetarii a 24 de atacuri de retea, impartite in patru categorii: DOS, Probe, Remote-to-Local si user-to-root.

Sisteme de detectare a intruziunilor gazda

Sistemele de detectare a intruziunilor gazda (HIDS) ruleaza pe gazde individuale sau dispozitive din retea. Un HIDS monitorizeaza pachetele de intrare si de iesire numai de pe acel dispozitiv si va alerta utilizatorul sau administratorul daca este detectata o activitate suspecta. Acesta face un instantaneu al fisierelor de sistem existente si il potriveste cu instantaneul anterior.

Daca fisierele de sistem critice au fost modificate sau sterse, administratorul primeste o alerta, pentru a investiga schimbarile. Un exemplu de utilizare a HIDS poate fi vazut pe masinile esentiale, care nu sunt de asteptat sa-si schimbe configuratiile.

Metoda de detectare

IDS bazat pe semnatura reprezinta detectarea atacurilor prin cautarea unor modele specifice, cum ar fi secventele de octeti in traficul de retea sau secventele de instructiuni rau intentionate cunoscute, utilizate de malware. Aceasta terminologie provine din software-ul antivirus, care se refera la aceste modele detectate ca semnaturi. Desi IDS-ul bazat pe semnatura poate detecta cu usurinta atacuri cunoscute, este dificil sa se detecteze atacuri noi, pentru care nu este disponibil nici un model.

Bazat pe anomalii

Sistemele de detectare a intruziunilor bazate pe anomalii au fost introduse in primul rand pentru a detecta atacuri necunoscute, in parte din cauza dezvoltarii rapide a programelor malware. Abordarea de baza este sa folositi invatarea automata pentru a crea un model de activitate de incredere si apoi sa comparati noul comportament cu acest model.

Deoarece aceste modele pot fi antrenate in functie de aplicatiile si configuratiile hardware, metoda bazata pe invatarea automata are o proprietate generalizata mai buna in comparatie cu IDS traditional, bazat pe semnatura. Desi aceasta abordare permite detectarea atacurilor necunoscute anterior, poate suferi de fals pozitive: activitatea legitima necunoscuta anterior poate fi, de asemenea, clasificata ca fiind rau intentionata.

Majoritatea IDS-urilor existente sufera din cauza procesului de detectare care consuma mult timp, care degradeaza performanta IDS-urilor. Algoritmul eficient de selectie a caracteristicilor face ca procesul de clasificare utilizat in detectie sa fie mai fiabil.

Noi tipuri de ceea ce ar putea fi numite sisteme de detectare a intruziunilor bazate pe anomalii sunt privite de catre Gartner ca User and Entity Behavior Analytics (UEBA) (o evolutie a categoriei de analiza a comportamentului utilizatorilor) si analiza traficului de retea (NTA). In special, NTA se ocupa cu persoane din interior rau intentionate, precum si cu atacuri externe directionate care au compromis o masina sau un cont de utilizator. Gartner a observat ca unele organizatii au optat pentru NTA fata de IDS-urile mai traditionale.

Prevenirea intruziunilor

Unele sisteme pot incerca sa opreasca o incercare de intruziune, dar acest lucru nu este nici necesar, nici asteptat de la un sistem de monitorizare. Sistemele de detectare si prevenire a intruziunilor (IDPS) se concentreaza in primul rand pe identificarea posibilelor incidente, inregistrarea informatiilor despre acestea si incercarile de raportare. In plus, organizatiile folosesc IDPS in alte scopuri, cum ar fi identificarea problemelor cu politicile de securitate, documentarea amenintarilor existente si descurajarea persoanelor de la incalcarea politicilor de securitate. IDPS au devenit un plus necesar la infrastructura de securitate a aproape fiecarei organizatii.

De obicei, IDPS inregistreaza informatii legate de evenimentele observate, notifica administratorii de securitate despre evenimentele importante observate si elaboreaza rapoarte. Multe IDPS pot raspunde si la o amenintare detectata incercand sa o impiedice sa reuseasca, folosind mai multe tehnici de raspuns, care implica oprirea atacului in sine, schimbarea mediului de securitate (de exemplu, reconfigurarea unui firewall) sau modificarea continutului atacului.

Sistemele de prevenire a intruziunilor (IPS), cunoscute si ca sisteme de detectare si prevenire a intruziunilor (IDPS), sunt dispozitive de securitate a retelei care monitorizeaza activitatile de retea sau de sistem pentru activitati rau intentionate. Principalele functii ale sistemelor de prevenire a intruziunilor sunt identificarea activitatilor rau intentionate, inregistrarea informatiilor despre aceasta activitate, raportarea acesteia si incercarea de a o bloca sau opri.

Sistemele de prevenire a intruziunilor sunt considerate extensii ale sistemelor de detectare a intruziunilor, deoarece ambele monitorizeaza traficul de retea si/sau activitatile sistemului pentru activitati rau intentionate. Principalele diferente sunt ca, spre deosebire de sistemele de detectare a intruziunilor, sistemele de prevenire a intruziunilor sunt plasate in linie si sunt capabile sa previna sau sa blocheze in mod activ intruziunile care sunt detectate. IPS poate executa actiuni precum trimiterea unei alarme. , eliminarea pachetelor rau intentionate detectate, resetarea unei conexiuni sau blocarea traficului de la adresa IP ofensatoare. De asemenea, un IPS poate corecta erorile de verificare a redundantei ciclice (CRC), defragmenta fluxurile de pachete, poate atenua problemele de secventiere TCP si poate curata optiunile nedorite ale nivelului de transport si retea.

Clasificare

Sistemele de prevenire a intruziunilor pot fi clasificate in patru tipuri diferite:

• Sistemul de prevenire a intruziunilor bazat pe retea (NIPS): monitorizeaza intreaga retea pentru trafic suspect prin analizarea activitatii protocolului.
• Sistem wireless de prevenire a intruziunilor (WIPS): monitorizeaza o retea fara fir pentru trafic suspect, prin analizarea protocoalelor de retea fara fir.
• Analiza comportamentului retelei (NBA): examineaza traficul de retea pentru a identifica amenintarile care genereaza fluxuri de trafic neobisnuite, cum ar fi atacurile distribuite de refuzare a serviciului (DDoS), anumite forme de malware si incalcari ale politicilor.
• Sistem de prevenire a intruziunilor bazat pe gazda (HIPS): un pachet software instalat care monitorizeaza o singura gazda pentru activitati suspecte prin analizarea evenimentelor care au loc in gazda respectiva.

Metode de detectare

Majoritatea sistemelor de prevenire a intruziunilor utilizeaza una dintre cele trei metode de detectare: bazata pe semnatura, bazata pe anomalii statistice si analiza protocolului cu stare.

• Detectare pe baza de semnatura: IDS bazat pe semnatura monitorizeaza pachetele din retea si compara cu modele de atac preconfigurate si predeterminate cunoscute sub numele de semnaturi.
• Detectare bazata pe anomalii statistice: un IDS bazat pe anomalii va monitoriza traficul de retea si il va compara cu o linie de referinta stabilita. Linia de baza va identifica ce este „normal” pentru acea retea – ce fel de latime de banda este utilizata in general si ce protocoale sunt utilizate. Cu toate acestea, poate genera o alarma fals pozitiva pentru utilizarea legitima a latimii de banda, daca liniile de baza nu sunt configurate inteligent.
• Detectarea analizei cu stare a protocolului: Aceasta metoda identifica abaterile starilor protocolului prin compararea evenimentelor observate cu „profiluri predeterminate ale definitiilor general acceptate ale activitatii benigne”.