Grundlegendes Intrusion Detection System

Schauen Sie sich dieses Zitat von Admiral Grace Hopper an

„Das Leben war vor dem Zweiten Weltkrieg einfacher. Danach hatten wir Systeme “

Was bedeutet das eigentlich? Mit der Erfindung von Systemen (Computersystemen) stieg der Bedarf an verschiedenen Vernetzungsbedürfnissen und mit dem Vernetzen die Idee des Datenaustauschs. Im Zeitalter der Globalisierung, mit der Entwicklung der Informationstechnologie sowie dem einfachen Zugriff und der Entwicklung von Hacking-Tools, besteht heute das Bedürfnis nach Sicherheit wichtiger Daten. Firewalls bieten dies möglicherweise an, informieren den Administrator jedoch niemals über Angriffe. Hier besteht die Notwendigkeit für ein anderes System - eine Art Erkennungssystem.

Ein Intrusion Detection System ist erforderlichLösung für das obige Problem. Dies ist vergleichbar mit einem Einbruchmeldesystem in Ihrem Zuhause oder einer anderen Organisation, das unerwünschte Eingriffe erkennt und den Systemadministrator benachrichtigt.

Hierbei handelt es sich um eine Art Software, mit der Administratoren automatisch gewarnt werden sollen, wenn jemand versucht, das System mit schädlichen Aktivitäten zu durchbrechen.

Bevor wir nun ein Intrusion Detection System kennenlernen, sollten wir uns kurz über Firewalls informieren.

Firewalls sind Softwareprogramme oder HardwareGeräte, mit denen böswillige Angriffe auf das System oder das Netzwerk verhindert werden können. Sie dienen im Wesentlichen als Filter, die jegliche Art von Informationen blockieren, die eine Gefahr für das System oder das Netzwerk darstellen können. Sie können entweder nur wenige Inhalte des eingehenden Pakets oder das gesamte Paket überwachen.

Klassifizierung des Intrusion Detection Systems:

Basierend auf der Art der Systeme schützt das IDS:

  • Network Intrusion Detection System: Dieses System überwacht den Verkehr auf EinzelpersonenNetzwerke oder Subnetze, indem der Verkehr kontinuierlich analysiert und mit den bekannten Angriffen in der Bibliothek verglichen wird. Wenn ein Angriff entdeckt wird, wird eine Warnung an die Systemverwaltung gesendet. Es wird meistens an wichtigen Punkten im Netzwerk platziert, um den Verkehr zu und von den verschiedenen Geräten im Netzwerk zu überwachen. Das IDS wird entlang der Netzwerkgrenze oder zwischen dem Netzwerk und dem Server platziert. Ein Vorteil dieses Systems ist, dass es einfach und kostengünstig eingesetzt werden kann, ohne dass es für jedes System geladen werden muss.
Network Intrusion Detection System
  • Host Intrusion Detection System: Ein solches System funktioniert auf einzelnen Systemen, wodie Netzwerkverbindung zum System, d. h. eingehende und ausgehende Pakete werden ständig überwacht, und auch die Überprüfung der Systemdateien wird durchgeführt, und im Falle einer Abweichung wird der Systemadministrator darüber informiert. Dieses System überwacht das Betriebssystem des Computers. Das IDS ist auf dem Computer installiert. Vorteil dieses Systems ist, dass es das gesamte System genau überwachen kann und keine Installation anderer Hardware erfordert.
Host Intrusion Detection System

Basierend auf der Arbeitsweise:

  • Signaturbasiertes Intrusion Detection System: Dieses System arbeitet nach dem Matching-Prinzip. Die Daten werden analysiert und mit der Signatur bekannter Angriffe verglichen. Bei Übereinstimmung wird eine Warnung ausgegeben. Ein Vorteil dieses Systems ist, dass es mehr Genauigkeit und Standardalarme hat, die vom Benutzer verstanden werden.
Signaturbasiertes Intrusion Detection System
  • Anomalie-basiertes Intrusion Detection System: Es besteht aus einem statistischen Modell eines NormalenNetzwerkverkehr, der aus der verwendeten Bandbreite, den für den Verkehr definierten Protokollen, den Ports und Geräten besteht, die Teil des Netzwerks sind. Es überwacht regelmäßig den Netzwerkverkehr und vergleicht ihn mit dem statistischen Modell. Bei Unregelmäßigkeiten oder Unstimmigkeiten wird der Administrator benachrichtigt. Ein Vorteil dieses Systems ist, dass sie neue und einzigartige Angriffe erkennen können.
Anomalie-basiertes Intrusion Detection System

Basierend auf ihrer Funktionsweise:

  • Passives Intrusion Detection System: Es erkennt einfach die Art der Malware-Operationund gibt eine Warnung an den System- oder Netzwerkadministrator aus. (Was wir bisher gesehen haben!) Die erforderliche Aktion wird dann vom Administrator ausgeführt.
Passives Intrusion Detection System
  • Reactive Intrusion Detection System: Es erkennt nicht nur die Bedrohung, sondern auchführt bestimmte Aktionen durch, indem die verdächtige Verbindung zurückgesetzt wird oder der Netzwerkverkehr von der verdächtigen Quelle blockiert wird. Es ist auch als Intrusion Prevention System bekannt.

Typische Merkmale eines Intrusion Detection Systems:

  • Es überwacht und analysiert die Benutzer- und Systemaktivitäten.
  • Es führt eine Überprüfung der Systemdateien und anderer Konfigurationen sowie des Betriebssystems durch.
  • Es bewertet die Integrität von System- und Datendateien
  • Es führt eine Analyse von Mustern basierend auf bekannten Angriffen durch.
  • Es erkennt Fehler in der Systemkonfiguration.
  • Es erkennt und warnt, wenn das System in Gefahr ist.

Kostenlose Intrusion Detection Software

Snort Intrusion Detection System

Eine der am häufigsten verwendeten Intrusion DetectionSoftware ist die Snort-Software. Es handelt sich um eine Netzwerk-Intrusion Detection-Software, die von Source-Datei entwickelt wurde. Es führt eine Echtzeit-Verkehrsanalyse und Protokollanalyse, Musterabgleich und Erkennung verschiedener Arten von Angriffen durch.

Snort Intrusion Detection System

Ein Snort-basiertes Intrusion Detection System besteht aus folgenden Komponenten:

Komponenten des Snort IDS by Intrusion Detection Systems mit Snort
  • Ein Paketdecoder: Es nimmt Pakete aus verschiedenen Netzwerken und bereitet sie auf die Vorverarbeitung oder weitere Aktionen vor. Es entschlüsselt grundsätzlich die kommenden Netzwerkpakete.
  • Ein Präprozessor: Es bereitet und modifiziert die Datenpakete und führt auch eine Defragmentierung der Datenpakete durch, decodiert die TCP-Ströme.
  • Eine Erkennungsmaschine: Es führt die Paketerkennung auf Basis von Snort-Regeln durch. Wenn ein Paket den Regeln entspricht, wird eine entsprechende Aktion ausgeführt oder es wird verworfen.
  • Protokollierungs- und Warnsystem: Das erkannte Paket wird entweder in Systemdateien oder bei Bedrohungen protokolliert.
  • Ausgangsmodule: Sie steuern die Art der Ausgabe des Protokollierungs- und Alarmsystems.

Vorteile von Intrusion Detection Systemen

  • Das Netzwerk oder der Computer wird ständig auf Invasionen oder Angriffe überwacht.
  • Das System kann entsprechend den Anforderungen des jeweiligen Kunden modifiziert und geändert werden und kann sowohl außen als auch inneren Bedrohungen für das System und das Netzwerk helfen.
  • Es verhindert effektiv Schäden am Netzwerk.
  • Es bietet eine benutzerfreundliche Oberfläche, die ein einfaches Sicherheitsmanagement ermöglicht.
  • Änderungen an Dateien und Verzeichnissen im System können leicht erkannt und gemeldet werden.

Ein einziger Nachteil der Intrusion DetectionDas System kann die Quelle des Angriffs nicht erkennen und sperrt in jedem Fall das gesamte Netzwerk. Bei weiteren Fragen zu diesem Konzept oder zu den elektrischen und elektronischen Projekten lassen Sie die folgenden Kommentare.


Teile mit deinen Freunden