SlideShare a Scribd company logo

IDS

Download as PPTX, PDF
S
ssalieva
1 of 16
СИСТЕМИ ЗА ОТКРИВАНЕ НА АТАКИ (IDS) ДИСЦИПЛИНА: БЕЗОПАСТНОСТ И ЗАЩИТА НА КОМПЮТЪРНИ СИСТЕМИ И ПРИЛОЖЕНИЯ Сафие Салиева, ИУ- Варна
Същност на IDS IDS е ключова техника в информационната сигурност, играе важна роля за откриване на различни видове атаки и осигурява сигурността на мрежовата система. IDS е процесът на наблюдение и анализиране на събитията възникващи в компютър или мрежова система за идентифициране на всички проблеми на сигурността.
Информацията предоставена от IDS, подпомага работата на екипите за управление на сигурността. Могат да се предвидят проблеми като: • Нарушения в политиката за сигурност наинформацията, като системи или потребители, които са стартирали приложения в противоречие с политиката; • Инфекции, като вируси и троянски коне, които имат частичен или цялостен контрол върху вътрешни системи, използвайки ги, за да разпространят инфекцията и да атакуват други Системи; • Грешки в настройките на конфигурацията, като приложения или системни с некоректни настройки на сигурността или неправилна мрежова конфигурация, която намалява производителността на мрежата, като и погрешно конфигурирани защитни стени, където наборът от правила не отговаря на политиката за сигурност; • Неоторизирани клиенти или сървъри, включително сървърни приложения за самата мрежа като DHCP или DNS услугата, както и неоторизирани приложения като мрежови сканиращи инструменти или незащитен отдалечен самостоятелен компютър.
Класификация на IDS Според обхвата на защита • Host Based Intrusion Detection System ( IDS за хост); • Network Based Intrusion Detection System (IDS за мрежа) ; • Hybrid Based Intrusion Detection System (хибриден IDS). Според анализа на използваната техника • Anomaly based IDS (IDS базирани на аномалии); • Misuse based IDS (IDS базирани на злоупотрдеби); • Signature-Based IDS (Съдържателно претърсващи IDS). Според поведението • Active IDS; • Passive IDS.
Host Based Intrusion Detection System (IDS за хост) - IDS за хост е система, която се намира на отделен хост в мрежата; - Oткрива само атаки насочени към този конкретен хост; - Обикновено се използват за защита само на особено чувствителни устройства, като например мрежови сървъри; - Зависими от операционната система.
Network Based Intrusion Detection System (IDS за мрежа) - Устройства, които работят в един мрежови сегмент; - Могат от едно място да откриват атаки насочени към много хостове; - Една или две IDS за мрежа могат много по- лесно да бъдат наблюдавани от колкото Hybrid Based Intrusion Detection System (хибриден IDS) - Съчетание между IDS за хост и IDS за мрежа ; - Гъвкава и повишава нивото на защита.
Anomaly based IDS (IDS базирани на аномалии) - Откриват случаи, които показват нетипични поведения ; - Определя нормалната дейност на мрежата; - Той записа какъв вид честотна лента обикновено се използва, какви протоколи се използват, кои портове и устройства обикновено се свързват един с друг; - Сигнализира администратора или потребителя, когато трафикът е открит, който е аномален (не е нормално). Misuse based IDS (IDS базирани на злоупотрдеби) Повечето търговски IDS търсят следи за атака: специфични модели на мрежовия трафик, или активност в лог файл, които показват подозрително поведение са известни като откриване на злоупотреби.
Signature-Based IDS (Съдържателно претърсващи IDS) - Едни от най-разпространените IDS. - Образци на пакети, с които са направени опити за атака, се въвеждат в базата данни на IDS, след което IDS проверява дали всеки новооткрит пакет съвпада с някой от въведените й в базата данни образци. - Пакетите, които съвпадат с образците, се маркират за по-нататъшна проверка.
Active IDS Активната IDS предприема действия срещу проблема, да го оправя или поне да намали въздействието му. Passive IDS Пасивната IDS е система, която е конфигурирана само да наблюдава и анализира дейността на мрежовия трафик и да сигнализира на администратора за потенциални уязвимости и атаки. Пасивната IDS не е в състояние да извършва каквито и да било предпазни или коригиращи функции по себе си.
Методи и техники използвани при системи за откриване на атаки 1. Техники използвани при подхода откриване на атаки (Anomaly detection techniques) 2. Техники, използвани при подхода откриване на злоупотреби (Misuse detection techniques)
1. Техники използвани при подхода откриване на атаки (Anomaly detection techniques) 1.1 Подход на имунната система (Immune system approach) - Реализациите на приложението осигуряват модел на нормално поведение, във формата на пътеки до кода на приложението. - Приложенията са моделирани по отношение на последователността на системата за различните й условия: нормално поведение, условия за грешки 1.2 Верификация на протокол (Protocol Verification) - Данните, които нарушават нормалните граници, се маркират като подозрителни. - Използва от редица търговски системи.
1.3 Проверка на файл (File checking) - Използва се в антивирусни приложения за откриване на промени в изпълними файлове - Използва криптографски контролни суми при системни данни, за да открие някаква промяна. 1.4 Taint Checking - Приложно ориентиран подход за откриване на аномалии.
1.5 Невронни мрежи (Neural Nets) Способността на мрежата за учене позволява компенсация при отклонение в поведението на системата – въпреки че това може да позволи неоткритите прониквания в системата да бъдат включени в модела. По-голямата трудност при тази техника се крие във факта, че само резултатът може да се наблюдава. 1.6 Празен списък (Whitelisting) Това е техника за редуциране на данните, която създава преглед на осъществимите потоци от събития.
2. Техники, използвани при подхода откриване на злоупотреби (Misuse detection techniques) 2.1 Съвпдание на израз (Expression Matching) Най-простата форма за откриване на злоупотреба е чрез техниката съвпадение на изрази, която търси поток от данни на събитие (влизане в системата, мрежови трафик и др.). Подбно е на ключови съвпадения, използвани в някои антивирусни приложения. 2.2 Анализ на преходите (State transition analysis) - Следи за атаки в мрежата при промяна на състоянието; - Позволява сложните сценарии на прониквания в системата да бъдат моделирани по прост начин.
1.3 Специализирани езици (Dedicated Languages) Броят на внедряванията на системите за откриване на атаки представят проникващи сигнатури, които използват специализирани езици. 1.4 Генетични алгоритми (Genetic algorithms) - Изразяват се като двоичен вектор, при който всеки един елемент представя наличието на определена атака; - Векторът се изчислява въз основа на риска, свързан със замесените атаки, и квадратна функция за несъотвестващите елементи. 1.5 Алармени системи (Burglar Alarms) Прилагането на специални наблюдения за търсене на случаи с подобни нарушения на политиките, реално поставя капан за евентуалните атаки.
Интернет и локалните мрежи вече са навсякъде, така организациите все повече прилагат различни системи за наблюдение на евентуалните нарушения в сигурността, защото проникванията в системите растат с всеки изминал ден. Системите за откриване на атаки имат потенциала да облекчават много от проблемите, пред които е изправена мрежовата сигурност.

Recommended

Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техники Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиMaria Kostova
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemklimentina
 
Intrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияIntrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияklimentina
 
IDS
IDSIDS
IDSMvalkova
 
Intrusion Detection Systems Presentation
Intrusion Detection Systems PresentationIntrusion Detection Systems Presentation
Intrusion Detection Systems Presentationradoatanasov
 
речник
речникречник
речникklimentina
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsevation
 
Referat
ReferatReferat
Referatt1234567t
 

Recommended

Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техники Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиMaria Kostova
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemklimentina
 
Intrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияIntrusion detection systems (ids) – класификация
Intrusion detection systems (ids) – класификацияklimentina
 
IDS
IDSIDS
IDSMvalkova
 
Intrusion Detection Systems Presentation
Intrusion Detection Systems PresentationIntrusion Detection Systems Presentation
Intrusion Detection Systems Presentationradoatanasov
 
речник
речникречник
речникklimentina
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsevation
 
Referat
ReferatReferat
Referatt1234567t
 
Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referatradoatanasov
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
Referat
ReferatReferat
Referatt1234567t
 
10779
1077910779
10779Mvalkova
 
IDS
IDSIDS
IDSMvalkova
 
вируси, антивируси и защитни стени
вируси, антивируси и защитни стенивируси, антивируси и защитни стени
вируси, антивируси и защитни стениTanya Hristova
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqMartin Kenarov
 
Antivirus software
Antivirus softwareAntivirus software
Antivirus softwareFeNoMeNa
 
Netsec
NetsecNetsec
Netsecaltyalex
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхUniversity of Economics - Varna
 
Bezopasnost i za6tita_na_web_prolojenia
Bezopasnost i za6tita_na_web_prolojeniaBezopasnost i za6tita_na_web_prolojenia
Bezopasnost i za6tita_na_web_prolojeniaMartin Kenarov
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security LogMan Graduate School on Knowledge Economy
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защитаmarin georgiev
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетMonika Petrova
 
86101
8610186101
86101Александър Димитров
 
Referat
ReferatReferat
Referatt1234567t
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavrevaguestd2af7ff
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network AttacksSvetlin Nakov
 
Virusantivirusfirewall
VirusantivirusfirewallVirusantivirusfirewall
Virusantivirusfirewallivso1
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
 

More Related Content

Similar to IDS

Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referatradoatanasov
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)ssalieva
 
вируси, антивируси и защитни стени
вируси, антивируси и защитни стенивируси, антивируси и защитни стени
вируси, антивируси и защитни стениTanya Hristova
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqMartin Kenarov
 
Antivirus software
Antivirus softwareAntivirus software
Antivirus softwareFeNoMeNa
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхUniversity of Economics - Varna
 
Bezopasnost i za6tita_na_web_prolojenia
Bezopasnost i za6tita_na_web_prolojeniaBezopasnost i za6tita_na_web_prolojenia
Bezopasnost i za6tita_na_web_prolojeniaMartin Kenarov
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защитаmarin georgiev
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетMonika Petrova
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network AttacksSvetlin Nakov
 
Virusantivirusfirewall
VirusantivirusfirewallVirusantivirusfirewall
Virusantivirusfirewallivso1
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
 

Similar to IDS (20)

Inrusion Detection Systems Referat
Inrusion Detection Systems ReferatInrusion Detection Systems Referat
Inrusion Detection Systems Referat
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
 
Referat
ReferatReferat
Referat
 
10779
1077910779
10779
 
IDS
IDSIDS
IDS
 
вируси, антивируси и защитни стени
вируси, антивируси и защитни стенивируси, антивируси и защитни стени
вируси, антивируси и защитни стени
 
Bezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniqBezopastnost i zashtita na web priolojeniq
Bezopastnost i zashtita na web priolojeniq
 
Antivirus software
Antivirus softwareAntivirus software
Antivirus software
 
Netsec
NetsecNetsec
Netsec
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
 
Bezopasnost i za6tita_na_web_prolojenia
Bezopasnost i za6tita_na_web_prolojeniaBezopasnost i za6tita_na_web_prolojenia
Bezopasnost i za6tita_na_web_prolojenia
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
 
компютърна защита
компютърна защитакомпютърна защита
компютърна защита
 
Защита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернетЗащита при създаване на Dot net приложения в интернет
Защита при създаване на Dot net приложения в интернет
 
86101
8610186101
86101
 
Referat
ReferatReferat
Referat
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavreva
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
 
Virusantivirusfirewall
VirusantivirusfirewallVirusantivirusfirewall
Virusantivirusfirewall
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015
 

IDS

  • 1. СИСТЕМИ ЗА ОТКРИВАНЕ НА АТАКИ (IDS) ДИСЦИПЛИНА: БЕЗОПАСТНОСТ И ЗАЩИТА НА КОМПЮТЪРНИ СИСТЕМИ И ПРИЛОЖЕНИЯ Сафие Салиева, ИУ- Варна
  • 2. Същност на IDS IDS е ключова техника в информационната сигурност, играе важна роля за откриване на различни видове атаки и осигурява сигурността на мрежовата система. IDS е процесът на наблюдение и анализиране на събитията възникващи в компютър или мрежова система за идентифициране на всички проблеми на сигурността.
  • 3. Информацията предоставена от IDS, подпомага работата на екипите за управление на сигурността. Могат да се предвидят проблеми като: • Нарушения в политиката за сигурност наинформацията, като системи или потребители, които са стартирали приложения в противоречие с политиката; • Инфекции, като вируси и троянски коне, които имат частичен или цялостен контрол върху вътрешни системи, използвайки ги, за да разпространят инфекцията и да атакуват други Системи; • Грешки в настройките на конфигурацията, като приложения или системни с некоректни настройки на сигурността или неправилна мрежова конфигурация, която намалява производителността на мрежата, като и погрешно конфигурирани защитни стени, където наборът от правила не отговаря на политиката за сигурност; • Неоторизирани клиенти или сървъри, включително сървърни приложения за самата мрежа като DHCP или DNS услугата, както и неоторизирани приложения като мрежови сканиращи инструменти или незащитен отдалечен самостоятелен компютър.
  • 4. Класификация на IDS Според обхвата на защита • Host Based Intrusion Detection System ( IDS за хост); • Network Based Intrusion Detection System (IDS за мрежа) ; • Hybrid Based Intrusion Detection System (хибриден IDS). Според анализа на използваната техника • Anomaly based IDS (IDS базирани на аномалии); • Misuse based IDS (IDS базирани на злоупотрдеби); • Signature-Based IDS (Съдържателно претърсващи IDS). Според поведението • Active IDS; • Passive IDS.
  • 5. Host Based Intrusion Detection System (IDS за хост) - IDS за хост е система, която се намира на отделен хост в мрежата; - Oткрива само атаки насочени към този конкретен хост; - Обикновено се използват за защита само на особено чувствителни устройства, като например мрежови сървъри; - Зависими от операционната система.
  • 6. Network Based Intrusion Detection System (IDS за мрежа) - Устройства, които работят в един мрежови сегмент; - Могат от едно място да откриват атаки насочени към много хостове; - Една или две IDS за мрежа могат много по- лесно да бъдат наблюдавани от колкото Hybrid Based Intrusion Detection System (хибриден IDS) - Съчетание между IDS за хост и IDS за мрежа ; - Гъвкава и повишава нивото на защита.
  • 7. Anomaly based IDS (IDS базирани на аномалии) - Откриват случаи, които показват нетипични поведения ; - Определя нормалната дейност на мрежата; - Той записа какъв вид честотна лента обикновено се използва, какви протоколи се използват, кои портове и устройства обикновено се свързват един с друг; - Сигнализира администратора или потребителя, когато трафикът е открит, който е аномален (не е нормално). Misuse based IDS (IDS базирани на злоупотрдеби) Повечето търговски IDS търсят следи за атака: специфични модели на мрежовия трафик, или активност в лог файл, които показват подозрително поведение са известни като откриване на злоупотреби.
  • 8. Signature-Based IDS (Съдържателно претърсващи IDS) - Едни от най-разпространените IDS. - Образци на пакети, с които са направени опити за атака, се въвеждат в базата данни на IDS, след което IDS проверява дали всеки новооткрит пакет съвпада с някой от въведените й в базата данни образци. - Пакетите, които съвпадат с образците, се маркират за по-нататъшна проверка.
  • 9. Active IDS Активната IDS предприема действия срещу проблема, да го оправя или поне да намали въздействието му. Passive IDS Пасивната IDS е система, която е конфигурирана само да наблюдава и анализира дейността на мрежовия трафик и да сигнализира на администратора за потенциални уязвимости и атаки. Пасивната IDS не е в състояние да извършва каквито и да било предпазни или коригиращи функции по себе си.
  • 10. Методи и техники използвани при системи за откриване на атаки 1. Техники използвани при подхода откриване на атаки (Anomaly detection techniques) 2. Техники, използвани при подхода откриване на злоупотреби (Misuse detection techniques)
  • 11. 1. Техники използвани при подхода откриване на атаки (Anomaly detection techniques) 1.1 Подход на имунната система (Immune system approach) - Реализациите на приложението осигуряват модел на нормално поведение, във формата на пътеки до кода на приложението. - Приложенията са моделирани по отношение на последователността на системата за различните й условия: нормално поведение, условия за грешки 1.2 Верификация на протокол (Protocol Verification) - Данните, които нарушават нормалните граници, се маркират като подозрителни. - Използва от редица търговски системи.
  • 12. 1.3 Проверка на файл (File checking) - Използва се в антивирусни приложения за откриване на промени в изпълними файлове - Използва криптографски контролни суми при системни данни, за да открие някаква промяна. 1.4 Taint Checking - Приложно ориентиран подход за откриване на аномалии.
  • 13. 1.5 Невронни мрежи (Neural Nets) Способността на мрежата за учене позволява компенсация при отклонение в поведението на системата – въпреки че това може да позволи неоткритите прониквания в системата да бъдат включени в модела. По-голямата трудност при тази техника се крие във факта, че само резултатът може да се наблюдава. 1.6 Празен списък (Whitelisting) Това е техника за редуциране на данните, която създава преглед на осъществимите потоци от събития.
  • 14. 2. Техники, използвани при подхода откриване на злоупотреби (Misuse detection techniques) 2.1 Съвпдание на израз (Expression Matching) Най-простата форма за откриване на злоупотреба е чрез техниката съвпадение на изрази, която търси поток от данни на събитие (влизане в системата, мрежови трафик и др.). Подбно е на ключови съвпадения, използвани в някои антивирусни приложения. 2.2 Анализ на преходите (State transition analysis) - Следи за атаки в мрежата при промяна на състоянието; - Позволява сложните сценарии на прониквания в системата да бъдат моделирани по прост начин.
  • 15. 1.3 Специализирани езици (Dedicated Languages) Броят на внедряванията на системите за откриване на атаки представят проникващи сигнатури, които използват специализирани езици. 1.4 Генетични алгоритми (Genetic algorithms) - Изразяват се като двоичен вектор, при който всеки един елемент представя наличието на определена атака; - Векторът се изчислява въз основа на риска, свързан със замесените атаки, и квадратна функция за несъотвестващите елементи. 1.5 Алармени системи (Burglar Alarms) Прилагането на специални наблюдения за търсене на случаи с подобни нарушения на политиките, реално поставя капан за евентуалните атаки.
  • 16. Интернет и локалните мрежи вече са навсякъде, така организациите все повече прилагат различни системи за наблюдение на евентуалните нарушения в сигурността, защото проникванията в системите растат с всеки изминал ден. Системите за откриване на атаки имат потенциала да облекчават много от проблемите, пред които е изправена мрежовата сигурност.